ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
ĐỖ THỊ HUỆ
NGHIÊN CƢ́U MỘT SỐ CÔNG CỤ ĐỂ ĐÁNH GIÁ SẢN PHẨM
AN TOÀ N BẢO MẬT THÔNG TIN
LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN
Hà Nội – 2014
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
ĐỖ THỊ HUỆ
NGHIÊN CƢ́U MỘT SỐ CÔNG CỤ ĐỂ ĐÁNH GIÁ SẢN PHẨM
AN TOÀ N BẢO MẬT THÔNG TIN
Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số:60480104
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DẪN KHOA HỌC 1: TS. HỒ VĂN HƢƠNG
NGƢỜI HƢỚNG DẪN KHOA HỌC 2: TS. NGUYỄN VIẾT THẾ
Hà Nội – 2014
2
3
LỜI CAM ĐOAN
Tôi xin cam đoan kế t quả đa ̣t đƣơ ̣c của luâ ̣n văn là sản phẩ m của cá nhân tôi
,
không sao chép nguyên văn của ngƣời khác . Trong toàn bô ̣ nô ̣i dung của luâ ̣n văn ,
nhƣ̃ng phầ n đƣơ ̣c triǹ h bày hoă ̣c là của cá nhân tôi hoă ̣c là đƣơ ̣c tổ hơ ̣p tƣ̀ nhi ều nguồn
tài liệu khác nhau . Tấ t cả các tài liê ̣u tham khảo đề u có xuấ t xƣ́ rõ ràng và đƣơ ̣c trích
dẫn đúng quy đinh.
̣
Tôi xin hoàn toàn chiụ trách nhiê ̣m với lời cam đoan của min
̀ h
Hà Nội, năm 2014
Đỗ Thị Huệ
4
MỤC LỤC
LỜI CAM ĐOAN ................................................................................................................... 4
MỤC LỤC................................................................................................................................ 5
DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT .................................................................... 8
DANH MỤC HÌNH VẼ ........................................................................................................ 9
DANH MỤC BẢNG ............................................................................................................ 11
MỞ ĐẦU ................................................................................................................................ 12
CHƢƠNG I: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN ................... 14
1.1. Thực trạng an toàn thông tin ....................................................................... 14
1.1.1. An ninh an toàn thông tin tại Việt Nam và trên thế giới ................................. 14
1.1.2. Nguy cơ mất an toàn thông tin trong cổng thông tin điện tử ........................... 15
1.2. Tiêu chí và công cu ̣ đánh giá an toàn thông tin ........................................... 17
1.2.1. Giới thiệu các tiêu chuẩn đánh giá hệ thống an toàn thông tin ........................ 17
1.2.2. Công cụ phân tích, dò quét lỗ hổng bảo mật trong cổng thông tin điện tử ....... 24
CHƢƠNG II: NGHIÊN CỨU CÁC KỸ THUẬT PHÂN TÍCH, DÒ QUÉT VÀ
LỰA CHỌN CÔNG CỤ ĐÁNH GIÁ CỔNG THÔNG TIN ĐIỆN TỬ ................... 30
2.1. Nghiên cứu một số lỗ hổng trong cổng thông tin điện tử ............................. 30
2.1.1. SQL injection .............................................................................................. 30
2.1.2. XSS ……………………………………………………………………..31
2.1.3. CSRF .......................................................................................................... 31
2.1.4. Tràn bộ đệm ................................................................................................ 33
2.2. Nghiên cứu các kỹ thuật phân tích lỗ hổng cổng thông tin điện tử.............. 33
2.2.1. Kỹ thuật phân tích tĩnh ................................................................................ 33
2.2.2. Kỹ thuật phân tích động ............................................................................... 33
2.3. Thuật toán phát hiện lỗ hổng trong cổng thông tin điện tử ......................... 37
2.3.1. Học máy ..................................................................................................... 37
2.3.2. Cây phân tích cú pháp truy vấn .................................................................... 37
2.3.3. Biểu đồ luồng điều khiển ............................................................................. 43
5
2.3.4. Fuzzing ....................................................................................................... 45
2.4. Công cụ dò quét lỗ hổng trong cổng thông tin điện tử ................................. 49
2.4.1. Bkav Web Scan ........................................................................................... 49
2.4.2. Acunetix Web Vulnerability Scanner ........................................................... 51
2.4.3. IBM Rational AppScan ................................................................................ 56
2.5. Đánh giá các công cụ dò quét lỗ hổng website ............................................. 58
2.5.1. Đánh giá kỹ thuật và thuật toán sử dụng ....................................................... 58
2.5.2. Khả năng ứng dụng thực tiễn ....................................................................... 58
CHƢƠNG III: ĐỀ XUẤT LƢ̣A CHỌN CÔNG CỤ, XÂY DƢ̣NG QUY TRÌNH
ĐÁNH GIÁ CỔNG THÔNG TIN ĐIỆN TƢ̉ VÀ TRIỂN KHAI ÁP DỤNG
TRONG THỰC TIỄN ......................................................................................................... 63
3.1. Đề đánh giá cổng thông tin điện tử .............................................................. 63
3.2. Đề xuất quy trình triển khai, đánh giá cổng thông tin điện tử .................... 63
3.2.1. Mục đích ..................................................................................................... 63
3.2.2. Phạm vi áp dụng .......................................................................................... 63
3.2.3. Lƣu đồ ........................................................................................................ 64
3.2.4. Mô tả quy trình thực hiện ............................................................................. 65
3.2.5. Đánh giá quy trình ....................................................................................... 67
3.3. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử Công ty NEO sử
dụng công cụ Acunetix ......................................................................................... 68
3.3.1. Xây dựng kịch bản đánh giá ......................................................................... 68
3.3.2. Thực hiện đánh giá ...................................................................................... 69
3.3.3. Kết quả đánh giá ......................................................................................... 75
3.4. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử Đại học công
nghệ - Đại học Quốc gia Hà nội sử dụng công cụ Acunetix ................................ 83
3.4.1. Xây dựng kịch bản đánh giá cổng thông tin điện tử ....................................... 83
3.4.2. Thực hiện đánh giá ...................................................................................... 84
3.4.3. Kết quả đánh giá ......................................................................................... 85
6
3.5. Kết quả thực tiễn áp dụng ........................................................................... 87
3.5.1. Thống kê số lƣợng lỗ hổng phát hiện theo từng loại ...................................... 87
3.5.2. Thống kê số lƣợng lỗ hổng phát hiện theo mức độ nghiêm trọng ................... 88
3.5.3. Thống kê các lỗi phổ biến ............................................................................ 89
KẾT LUẬN ............................................................................................................................ 90
TÀI LIỆU THAM KHẢO .................................................................................................. 92
7
DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT
LAN
Local Area Network
DOS
Denial of Service
DDOS
Distributed Denial of Service
CC
Common Criteria
XSS
Cross-Site Scripting
HTML
HyperText Markup Language
CSRF
Cross-site request forgery
CSDL
Cở Sở Dữ liệu
CNTT
Công Nghệ Thông Tin
VSW
Vulns Scanner website
VSA
Vulns Scanner Application
CSP
Critical Security Parameter
CMVP
Cryptographic Module Validation Program
HTTP
Hypertext Transfer Protocol
TCP
Transmission Control Protoco
UDP
User Datagram Protocol
ARP
Address Resolution Protocol
DHCP
Dynamic Host Configuration Protocol
URL
Uniform Resource Locator
8
DANH MỤC HÌNH VẼ
Hình 2.1:Một thông báo lỗi đƣợc trả về liên quan tới hệ quản trị CSDL......................35
Hình 2.2: Một thông báo trả về liên quan tới cấu trúc CSDL .......................................35
Hình 2.3: Kiến trúc V1p3R ...........................................................................................36
Hình 2.4 Kiến trúc mô hình ...........................................................................................38
Hình 2.5: Cây phân tích cú pháp cho câu truy vấn SELECT ........................................40
Hình 2.6 Cây phân tích cú pháp của câu truy vấn SELECT cụ thể...............................41
Hình 2.7: Cây phân tích cú pháp của truy vấn hợp lệ ...................................................42
Hình 2.8: Cây phân tích cú pháp của câu truy vấn không hợp lệ ..................................43
Hình 2.9: Quá trình sinh ra dữ liệu kiểm thử trong CFG ..............................................44
Hình 2.10:Vector tấn công hệ thống đa mức .................................................................46
Hình 2.11: Các kiểu bất thƣờng vào mô hình báo cáo lỗi khác nhau............................47
Hình 2.12: Cấu trúc logic của fuzzer .............................................................................47
Hình 2.13: Ví dụ về một kịch bản fuzz và kết quả trả về từ một SUT ..........................48
Hình 2.14: Quá trình fuzzing bao gồm các kịch bản fuzz và một hệ thống giám sát ...49
Hình 3.1: Giao diện thu thập dữ liệu .............................................................................69
Hình 3.2: Cấu trúc website ............................................................................................70
Hình 3.3: Giao diện chính của Acunetix .......................................................................71
Hình 3.4: Nhập địa chỉ và tuỳ chọn quét .......................................................................71
Hình 3.5: Chọn Scaning Profile.....................................................................................72
Hình 3.6: Thông tin về server ........................................................................................73
Hình 3.7: Chọn Login sequence ....................................................................................73
Hình 3.8: Kết thúc quá trình tuỳ chọn ...........................................................................74
Hình 3.9: Giao diện khi đang thực hiện quét.................................................................74
Hình 3.10: Màn hình sau khi thực hiện quét xong ........................................................75
Hình 3.11: Giao diện chi tiết từng lỗi ............................................................................75
Hình 3.12: Mức độ cảnh báo .........................................................................................76
Hình 3.13: Giao diện xuất báo cáo ................................................................................78
9
Hình 3.14 : Báo cáo .......................................................................................................79
Hình 3.15: Tuỳ chọn xuất báo cáo.................................................................................80
Hình 3.16: Chọn lần quét để xuất báo cáo.....................................................................80
Hình 3.17: Giao diện xuất báo cáo ra các định dạng .....................................................81
Hình 3.18: Chi tiết về file nguồn phát sinh lỗi ..............................................................81
Hình 3.19: Khuyến cáo để thực hiện vá lỗi ...................................................................82
Hình 3.20: Kết quả đánh giá ..........................................................................................85
Hình 3.21: Danh sách số lƣợng các lỗi ..........................................................................85
Hình 3.22: Chi tiết lỗi HTML form without CSRF protection .....................................86
Hình 3.23: Thống kê lỗ hổng phát hiện theo từng loại ..................................................88
Hình 3.24: Thống kê lỗ hổng theo mức độ nghiêm trọng .............................................88
Hình 3.25: Thống kê các lỗi thƣờng gặp .......................................................................89
10
DANH MỤC BẢNG
Bảng 1-1 Tỉ lệ các sản phẩm đƣợc đánh giá theo từng năm .........................................22
Bảng 2-1 So sánh giữa các công cụ ...............................................................................60
Bảng 2-2 So sách các công cụ về mặt công cụ hỗ trợ ...................................................61
Bảng 2-3 So sánh một số công cụ về mặt chức năng ....................................................61
Bảng 3-1 Nội dung quy trình .........................................................................................65
Bảng 3-2 Kịch bản đánh giá ..........................................................................................68
Bảng 3-3 Kết quả theo kịch bản ....................................................................................77
Bảng 3-4 Kịch bản đánh giá ..........................................................................................83
Bảng 3-5: Kết quả đánh giá theo kịch bản ....................................................................86
11
MỞ ĐẦU
1) Lý do chọn đề tài
Ngày nay với sự phát triển vƣợt bậc của công nghệ thông tin, nhu cầu về vấn đề
trao đổi thông tin ngày càng trở nên phổ biến. Khi lƣợng thông tin trao đổi càng nhiều,
và có ý nghĩa càng quan trọng thì vấn đề an toàn bảo mật thông tin cũng trở nên bức
thiết.
Để đáp ứng đƣợc nhu cầu của con ngƣời, hàng loạt các hệ thống về bảo mật an toàn
thông tin đƣợc ra đời. Các hệ thống này đã giúp cho công việc, hoạt động của con
ngƣời trở nên đơn giản và tiết kiệm rất nhiều thời gian, tiền bạc. Bên cạnh các lợi ích
mà các hệ thống về bảo mật và an toàn thông tin đem lại thì việc mất mát, lộ lọt thông
tin cũng gây tổn rất lớn cho các tổ chức sử dụng chúng.
Đặc biệt, vấn đề mất an ninh an toàn cổng thông tin điện tử đang đƣợc xem là vấn
đề nóng không chỉ của Việt Nam mà là của toàn thế giới. Các con số thống kê hàng
năm về tình trạng mất an ninh trong các cổng thông tin điện tử là vấn đề đáng lo ngại
của toàn xã hội, toàn thế giới. Sở dĩ các website này bị tấn công do đang tồn tại rất
nhiều lỗ hổng an ninh chƣa đƣợc khắc phục
Ngoài ra, có một vấn đề đặt ra là chính những nhà quản trị mạng, quản trị website
vẫn chƣa thể đánh giá đƣợc các hệ thống mà mình đang quản lý. Có thể một số ngƣời
còn chƣa từng nghiên cứu, tìm cách để phát hiện và khắc phục các lỗ hổng trong hệ
thống của họ
Từ thực tiễn trên, em nhận thấy vấn đề về chất lƣợng của các sản phẩm an toàn bảo
mật thông tin là vấn đề đang nhận đƣợc sự quan tâm từ nhiều phía. Cùng với lý do trên
và niềm đam mê, em đã quyết định chọn đề tài “Nghiên cứu một số công cụ để đánh
giá sản phẩm an toàn bảo mật thông tin” làm luận văn tốt nghiệp với mong muốn tìm
hiểu, nghiên cứu về an toàn bảo mật thông tin, cũng nhƣ các kỹ thuật, phƣơng pháp để
phát hiện lỗ hổng trong cổng thông tin điện tử. Đồng thời, tìm hiểu các công cụ kiểm
tra, đánh giá sản phẩm an toàn bảo mật thông tin.
2) Bố cục luận văn
Luận văn đƣợc chia làm 3 chƣơng:
Chƣơng 1: Chƣơng này trình bày tổng quan về lý thuyết mật mã, an toàn bảo mật
thông tin. Đồng thời, giúp ta nắm đƣợc thực trạng an toàn thông tin, nguy cơ mất an
toàn thông tin trong cổng thông tin điện tử ở Việt Nam và trên thế giới. Chƣơng đầu
tiên này cũng giới thiệu tổng quan về các công cụ và tiêu chí đánh giá an toàn thông
tin
Chƣơng 2: Nghiên cứu các kỹ thuật phân tích, dò quét và lựa chọn công cụ đánh giá
cổng thông tin điện tử. Chƣơng này nghiên cứu một số lỗ hổng trong cổng thông tin
điện tử, các kỹ thuật phân tích, thuật toán dò quét để phát hiện các lỗ hổng này.
12
Nghiên cứu một số công cụ quét website phổ biến, trên cơ sở đó so sánh, đánh giá và
đề xuất lựa chọn công cụ đánh giá cổng thông tin điện tử
Chƣơng 3 của luận văn sẽ xây dựng và đề xuất quy trình đánh giá cổng thông tin điện
tử. Đồng thời đề xuất lựa chọn công cụ sử dụng để đánh giá cổng thông tin điện tử,
triển khai áp dụng đánh giá một số cổng thông tin điện tử trong thực tiễn
Kết luận
Phần này trình bày các kết luận chung của luận văn: bao gồm các kết quả đã đạt đƣợc
và hƣớng nghiên cứu, phát triển trong tƣơng lai
13
CHƢƠNG I: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN
1.1.
Thực trạng an toàn thông tin
1.1.1. An ninh an toàn thông tin tại Việt Nam và trên thế giới
Trong xã hội hiện đại, việc sử dụng internet đã trở thành thói quen cũng nhƣ yêu
cầu công việc không thể thiếu đối với các cá nhân trong các doanh nghiệp cũng nhƣ
trong các cơ quan nhà nƣớc. Ngƣời dùng nhờ có internet có thể làm việc từ xa, sử
dụng các ứng dụng đào tạo tập trung và nhiều tiện ích khác. Tuy nhiên, bên cạnh các
lợi ích mà internet mang lại thì cũng có rất nhiều nguy cơ có thể xảy ra do mất an ninh
an toàn mạng cũng nhƣ tiềm ẩn trong việc mất an toàn của các máy tính cá nhân tham
gia mạng
Thực trạng an toàn thông tin của hệ thống mạng LAN
Theo báo cáo về tính an toàn của các mạng LAN và website của Việt Nam của
một tổ chức quốc tế thì Việt Nam là một trong 3 nƣớc yếu nhất.
Còn theo báo cáo của Bộ Công An thì hơn 90% các mạng nội bộ của các cơ quan
Đảng, Chính phủ và các Ngân hàng bị xâm nhập, lấy dữ liệu
Có rất nhiều nguyên nhân dẫn tới tình trạng này trong đó có thể kể tới một số
nguyên nhân nhƣ: Năng lực kỹ thuật của nhân viên quản trị mạng còn yếu kém, việc
đầu tƣ thiết bị an ninh mạng còn thiếu đồng bộ, thiếu công nghệ phù hợp với hoàn
cảnh Việt Nam. Hơn nữa Việt nam còn là một trong những điểm yêu thích của hacker
quốc tế
Để hạn chế đƣợc mức độ ảnh hƣởng của việc mất an toàn mạng trong việc bảo mật
các dữ liệu quan trọng, nhà nƣớc cũng đã ban hành các quy định: Quy định về sử dụng
internet của Bộ công an(QĐ 71/2004/QĐ - BCA) nghiêm cấm các máy tính có tài liệu
dữ liệu bí mật kết nối internet, quyết định của Bộ trƣởng bộ tài chính(2615/QĐ - BTC)
các máy tính trong ngành tài chính có các tài liệu quan trọng không đƣợc mở trang tin
và ứng dụng ngay trên máy
An toàn của máy tính cá nhân tham gia mạng
Chỉ riêng năm 2010, đã có tới 58,6 triệu lƣợt máy tính tại Việt Nam bị nhiễm vi
rút. Theo đó, trung bình một ngày đã có hơn 160 nghìn máy tính bị nhiễm vi rút. Các
chuyên gia an ninh mạng đánh giá, đây là con số báo động về tình hình vi rút máy tính
tại Việt Nam.
Còn theo báo cáo của onsummerreport của Mỹ về tình trạng lây nhiễm vi rút và
mã độc thì có đến 58,2 triệu máy tính từng bị lây nhiễm ít nhất một loại mã độc gây
ảnh hƣởng đến tính năng và hiệu suất hoạt động của máy tính; chi phí sửa chữa các
14
thiệt hại từ những vụ xâm nhập và lây nhiễm mã độc tại Mỹ đã lên đến gần 4 tỷ USD
trong năm 2011. Báo cáo cũng cho biết có khoảng 9,2 triệu ngƣời Mỹ là nạn nhân của
hình thức tấn công lừa đảo. Với mạng xã hội Facebook, báo cáo cho biết có đến 9,8
triệu ngƣời dùng Facebook tại Mỹ bị ngƣời khác sử dụng trái phép tài khoản, gây tổn
hại danh tiếng, hoặc dùng cho mục đích quấy rối, đe dọa, lừa đảo. Tình trạng này dẫn
đến có khoảng 28,5 triệu ngƣời dùng Facebook phải thay đổi thông tin trong hồ sơ cá
nhân trong năm 2012 nhằm mục đích bảo vệ sự riêng tƣ.
Năm 2011, Bộ công an cũng đã phát hiện loại malware, trojan chuyên lấy cắp
thông tin mật lây nhiễm qua usb hoặc thâm nhập qua cửa hậu vào máy tính và tự động
đánh cắp những văn bản nhạy cảm trong máy tính về địa chỉ bên ngoài. Hiện nay cũng
có một loại virut lây lan rất nhanh qua USB có tên w32.UsbFakedrive. Tỷ lệ rất cao
các thiết bị lƣu trữ usb bán trên thị trƣờng hiện nay có cài đặt sẵn mã độc
1.1.2.
Nguy cơ mất an toàn thông tin trong cổng thông tin điện tử
Vấn đề mất an ninh an toàn không chỉ là ở việc mất an ninh mạng và máy tính cá
nhân tham gia mạng. Thực trạng vấn đề này trong nƣớc ta hiện đang rất đáng lo ngại.
Các số liệu khảo sát về thực trạng mất an toàn thông tin trong cổng thông tin điện tử
sau đây sẽ làm rõ hơn về nhận định này
Thực trạng mất an toàn cổng thông tin điện tử tại Việt Nam
Năm 2011
Theo thống kê của trang web Zone-H – chuyên thống kê các website bị tấn công
trên toàn cầu, chỉ trong 20 ngày đầu tháng 6 năm 2011, có khoảng 446 website ".vn"
đã bị hacker tấn công, trong đó có 16 trang chứa tên miền “.gov.vn”. Chỉ tính riêng
tuần đầu tiên của tháng 6 cũng đã có 407 website tên miền .vn bị hacker tấn công.
Cũng theo tìm hiểu, năm 2011, hàng loạt website của các tổ chức lớn tại Việt Nam
đồng loạt bị tấn công bởi một nhóm hacker nổi tiếng tại Iran, với mục đích thông qua
việc hack các trang web, chúng muốn bán những thông tin trợ giúp an ninh mạng, web
hosting và dịch vụ mạng.
Một sự kiện cũng đƣợc chú ý trong năm 2011 đó là: gần 200 website Việt nam bị
tấn công trong vòng một đêm. Đêm ngày 3/7/2011, gần 200 website có tên miền .vn và
.com, .net nằm trên một số server đã bị tấn công.
Năm 2012
Theo khảo sát mới nhất của Microsoft, trong năm 2012 có 2.500 website của Việt
Nam tiếp tục là mục tiêu tấn công của hacker. Không chỉ các website của doanh
nghiệp, Chính phủ, mà cả những website của các công ty bảo mật hàng đầu Việt Nam
cũng bị tấn công.
Còn theo tổng kết tình hình an ninh mạng của Bkav năm 2012 thì: An ninh mạng
tại các cơ quan doanh nghiệp không đƣợc cải thiện. Trong năm 2012 vẫn có tới 2.203
15
website của các cơ quan doanh nghiệp tại Việt Nam bị tấn công, chủ yếu thông qua
các lỗ hổng trên hệ thống mạng. So với năm 2011 (có 2.245 website bị tấn công), con
số này hầu nhƣ không giảm.
Năm 2013
Thông tin từ công ty an ninh mạng Bkav ngày 20/8 vừa qua cho biết, trong 30
ngày kể từ 20/7/2013 tới 20/8/12013 có 437 website của các cơ quan, doanh nghiệp tại
Việt Nam bị hacker xâm nhập, trong đó có 16 trƣờng hợp gây ra bởi hacker trong
nƣớc, 421 trƣờng hợp do hacker nƣớc ngoài. “Đình đám” nhất trong tháng 7/2013 vừa
qua là việc hàng loạt website của các báo điện tử lớn đã bị tấn công bằng phƣơng thức
từ chối dịch vụ (DDoS) dài ngày nhƣ Tuổi trẻ, VietNamNet, Dân Trí… Những đợt tấn
công đã khiến nhiều báo trong tình trạng nghẽn truy cập, thậm chí tê liệt trong thời
gian ngắn.
Theo báo cáo bảo mật Intelligence Report của hãng Symantec, số lƣợng các lỗ
hổ ng bảo mâ ̣t phát si nh trong nửa đầ u năm 2013 đã tăng lên 16% so với cùng thời
điểm này năm 2012
Thực trạng mất an toàn cổng thông tin điện tử trên thế giới
Không riêng gì Việt Nam, vấn đề mất an ninh an toàn còn là vấn đề đáng lo ngại
của toàn thế giới. Trong đó không thể không kể tới các vụ tấn công an ninh website tại
một số nƣớc lớn nhƣ: Mỹ, Nga, Trung quốc
Tại Mỹ, gần đây nhất, 6 ngân hàng gồm Bank of America, JPMorgan Chase,
Citigroup, US Bank, Wells Fargo và PNC đã phải chịu các cuộc tấn công từ chối dịch
vụ bởi một nhóm tuyên bố có quan hệ mật thiết với Trung Đông.
Với Trung Quốc, ngày 25/08/2013 hàng loạt các website đã bị đánh sập. Chính phủ
Trung Quốc đã phải thừa nhận đây là cuộc tấn công quy mô lớn nhất từ truớc đến nay
nhắm vào những website có tên miền .cn.
Ngày 9/5/2012, chỉ hai ngày sau khi Tổng thống Nga Vladimir Putin tuyên thệ
nhận chức, nhóm tin tặc nổi tiếng Anonymous tuyên bố trên Twitter đã đánh sập cổng
thông tin Chính phủ nƣớc Nga (tại địa chỉ www.kremlin.ru), đồng thời khẳng định sẽ
tiến hành thêm nhiều đợt tấn công tƣơng tự khác vào các website của Chính phủ nƣớc
này. Ngƣời dùng Internet tại Nga cho hay, họ đã không thể truy cập vào trang chủ của
Cổng thông tin Chính phủ Nga trong vài phút vào ngày 9/5/2012. Trƣớc đó một ngày,
vào ngày 8/5, nhóm tin tặc giấu mặt đã tấn công vào website của Virgin Media - một
trong những nhà cung cấp dịch vụ Internet lớn nhất tại Anh.
Vấ n đề an ninh an toà n mạng cho các doanh nghiê ̣p nói chung và các doanh nghiệp
Việt Nam nói riêng chƣa thấ y có dấ u hiê ̣u suy giảm về mức đô ̣ và số lƣợng . Tô ̣i phạm
mạng liên tục sáng tạo ra những cách thức tấ n công mới và tinh vi nhằm đánh cắp
16
thông tin quan trọng của các doanh nghiê ̣p ở mọi quy mô . Vì thế để tiế p tục khai thác
những mặt mạnh mà công nghê ̣ thông tin và Internet mang lại cho hoạt đô ̣ng kinh
doanh, các doanh nghiê ̣p nên song song , chủ đô ̣ng phố i kế t hợp áp dụng các biê ̣n pháp
an ninh bảo mâ ̣t để phòng ngừa, ngăn chặn và giảm thiể u các mố i đe dọa an ninh
thông tin.
Nhƣ vậy, các con số trên một lần nữa làm dấy lên lo ngại về sự mất an toàn, bảo mật
của các website Việt nam cũng nhƣ trên thế giới. Trên thực tế , các mối đe dọa luôn
hiện hữu và ngày càng gia tăng cả về số lƣợng và chất lƣợng. Những cuộc tấn công
ngày càng có chủ đích hơn và đƣợc thực hiện bởi những tin tặc có kỹ năng cao. Những
con số thống kê của các hãng nghiên cứu uy tín về các mối đe dọa cho thấ y , tỷ lê ̣ năm
sau cao hơn năm trƣớc và với mức độ ngày càng tinh vi hơn.
Thực trạng này cho thấy, an ninh mạng vẫn chƣa thực sự đƣợc quan tâm tại các cơ
quan, doanh nghiệp. Hầu hết cơ quan doanh nghiệp của Việt Nam chƣa bố trí đƣợc
nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ này chƣa
tƣơng xứng với tình hình thực tế. Đó là những nguyên nhân chính.
Để giải bài toán về an toàn thông tin tại Việt Nam, ông Ngô Việt Khôi - Giám đốc
Kinh doanh của Trend Micro Việt Nam cho rằng ngoài nâng cao ý thức cho doanh
nghiệp, cần chuẩn bị một nguồn nhân lực chuyên nghiệp trong lĩnh vực này. Bên
cạnh đó, từng bƣớc nghiên cứu, phát triển các công cụ bảo vệ do chính Việt Nam
làm chủ hoàn toàn. Các cơ quan, doanh nghiệp hãy nghĩ đến những giải pháp
phòng vệ nhiều lớp và đầu tƣ cho công nghệ nội địa ƣu việt.
Đặc biệt, để hạn chế đƣợc các nguy cơ mất an ninh an toàn cổng thông tin điện tử,
mỗi cá nhân, doanh nghiệp cần phải đánh giá đƣợc mức độ an toàn của website mà
mình sở hữu. Hiện nay có rất nhiều tiêu chí và công cụ đƣợc sử đụng để dò quét và
đánh giá mức độ an toàn của cổng thông tin điện tử. Tổng quan về các công cụ và tiêu
chí này sẽ đƣợc trình bày trong phần sau(1.3) của luận văn.
1.2. Tiêu chí và công cụ đánh giá an toàn thông tin
Để đánh giá sản phẩm an toàn thông tin, có rất nhiều tiêu chuẩn đƣợc sử dụng tại
Việt Nam cũng nhƣ trên thế giới. Ở đây, em xin giới thiệu về một số tiêu chuẩn đƣợc
sử dụng khá rộng rãi ở Việt nam là Tiêu chuẩn chung CC, tiêu chuẩn 140-2 và tiêu
chuẩn iso 27000
1.2.1. Giới thiệu các tiêu chuẩn đánh giá hệ thống an toàn thông tin
a) Tiêu chuẩn chung CC
Giới thiệu
CC là kết quả tổng quát tất cả những thành tựu của những năm lại đây trong lĩnh
vực ATTT. Lần đầu tiên tài liệu tại mức nhƣ vậy có chứa những mục đề cập đến
những ngƣời sử dụng, những ngƣời sản xuất và những ngƣời đánh giá sản phẩm
CNTT.
17
Các cơ chế PP và ST của CC cho phép những ngƣời sử dụng và những ngƣời sản
xuất phản ánh đầy đủ quan điểm của mình về các yêu cầu an toàn và những vấn đề bảo
vệ, mặt khác cho những ngƣời đánh giá khả năng phân tích mối tƣơng ứng lẫn nhau
giữa các yêu cầu, những sự cần thiết của những ngƣời sử dụng, những vấn đề bảo vệ
và những phƣơng tiện bảo vệ sản phẩm CNTT.
Những ngƣời thiết kế CC đã tiếp tục cách tiếp cận của FC hƣớng tới từ chối sự
phân chia thống nhất an toàn và tăng cƣờng tính mềm dẻo những giải pháp đƣợc đề
xuất trong chúng bằng cách tiến hành những sự phân chia sắp xếp bộ phận mà nhờ đó
những ngƣời sử dụng và những ngƣời sản xuất nhận đƣợc những khả năng bổ sung về
sự lựa chọn những yêu cầu và sự thích ứng của chúng đối với các vấn đề ứng dụng của
mình.
Chuẩn CC dành chú ý đặc biệt cho sự đảm bảo hiện thực hoá các yêu cầu chức
năng mà sự đảm bảo đƣợc đảm bảo bằng kiểm định độc lập và phân tích sản phẩm
CNTT cũng nhƣ ứng dụng các công nghệ tƣơng ứng trên tất cả các giai đoạn thiết kế
và hiện thực hoá nó.
Nhƣ vậy là các yêu cầu của CC chiếm thực tế toàn bộ các khía cạnh an toàn các
sản phẩm CNTT và công nghệ chế tạo chúng và cũng chứa tất cả các tài liệu ban đầu
cần thiết cho những ngƣời sản xuất và những ngƣời thiết kế để tạo nên PP và ST.
Ngoài ra, những yêu cầu của CC thực tế là một bộ bách khoa đầy đủ về ANTT vì rằng
có thể sử dụng nó nhƣ là sách tra cứu về an toàn CNTT.
Chuẩn CC đánh dấu một mức độ mới việc chuẩn hoá CNTT nâng nó lên tầm quốc
tế. Đằng sau đó thấy đƣợc triển vọng thực tế của việc tạo ra không gian thông tin an
toàn thống nhất mà trong đó chứng nhận an toàn các hệ thống xử lý thông tin sẽ đƣợc
thực hiện ở mức độ sâu sắc mở ra những khả năng để tích hợp các hệ thống thông tin
quốc gia đến lƣợt mình lại mở ra những lĩnh vực hoàn toàn mới ứng dụng CNTT
Quy trình đánh giá:
Tiêu chuẩn CC đƣợc đánh giá theo quy trình gồm 7 mức
EAL1:Mức đảm bảo an toàn đƣợc kiểm định chức năng
EAL2:Mức đảm bảo an toàn đƣợc kiểm định cấu trúc
EAL3:Mức đảm bảo an toàn đƣợc kiểm định và kiểm tra có phƣơng pháp
EAL4:Mức đảm bảo an toàn đƣợc thiết kế, kiểm định và duyệt lại có phƣơng pháp
EAL5:Mức đảm bảo an toàn đƣợc thiết kế và kiểm định bán hình thức
EAL6:Mức đảm bảo an toàn đƣợc kiểm định và thiết kế có thẩm định bán hình thức
EAL7:Mức đảm bảo an toàn đƣợc kiểm định và thiết kế có thẩm định hình thức, mức
này thể hiện kiểm định hộp trắng
b)
Tiêu chuẩn 140-2
Tiêu chuẩn này đƣa ra các yêu cầu an toàn cho một mô- đun mật mã sử dụng trong
một hệ thống an toàn, dùng để bảo vệ thông tin nhạy cảm, nhƣng chƣa đƣợc phân loại
18
(nghĩa là các thông tin không thuộc dạng tuyệt mật, tối mật theo cách phân loại của
Mỹ). Tiêu chuẩn này đƣa ra 4 mức an toàn tăng dần từ 1 đến 4. Các mức an toàn này
bao quát hết các ứng dụng và môi trƣờng mà các module mật mã đƣợc triển khai.
Quy trình đánh giá
Sau đây là các Mức an toàn với cấp độ chặt chẽ khác nhau
Mức an toàn 1
Mức an toàn 1 cung cấp khả năng an toàn thấp nhất. Mô-đun mật mã đáp ứng mức
an toàn này chỉ cần thỏa mãn một số yêu cầu rất cơ bản, nhƣ phải sử dụng ít nhất một
thuật toán mật mã đã đƣợc phê chuẩn hoặc một chức năng an toàn đã đƣợc phê chuẩn.
Không bắt buộc phải có cơ chế an toàn vật lý nào trong mô- đun mật mã ở mức này,
ngoại trừ các yêu cầu cơ bản đối với các thành phần đƣợc tạo ra bởi nhà sản xuất. Một
ví dụ về mô- đun mật mã có mức an toàn 1 là bảng mạch mã hóa của máy tính cá
nhân.
Mức an toàn 1 cho phép các thành phần phần mềm và phần sụn của mô- đun mật
mã đƣợc thực thi trong các hệ thống máy tính đa mục đích, sử dụng hệ điều hành chƣa
đƣợc kiểm định, phù hợp với một số ứng dụng có mức an toàn thấp, trong đó khả năng
kiểm soát các vấn đề về an ninh vật lý, an ninh mạng và các thủ tục quản trị có thể ở
mức hạn chế hoặc không có.
Mức an toàn 2
Mức an toàn 2 tăng thêm các cơ chế an toàn vật lý so với Mức an toàn 1 bằng cách
thêm các yêu cầu về khả năng chống can thiệp (tamper-evidence) nhƣ việc đóng hộp
cách ly (coating), đóng dấu niêm phong (seal) hoặc đƣa các khóa cứng an toàn (pickresistant lock) vào phần vỏ hoặc nắp đóng mở của mô- đun mật mã. Việc đóng hộp
cách ly hoặc dán tem niêm phong là nhằm chống lại sự can thiệp hoặc lấy cắp khóa
mật mã ở dạng rõ (plaintext cryptographic key) hoặc các Tham số an toàn quan trọng
(CSP - Critical Security Parameter) thông qua cách tiếp cận trực tiếp vào mô- đun mật
mã. Dấu niêm phong và khóa cứng an toàn đƣợc đƣa vào phần vỏ hoặc nắp đậy là
nhằm chống lại việc truy cập trái phép mô- đun mật mã.
Để đạt Mức an toàn 2 thì tối thiểu phải có cơ chế xác thực dựa trên vai trò (rolebased authentication) thực thi bởi mô-đun mật mã nhằm cho phép từng vai trò ngƣời
dùng đƣợc thực thi một tập dịch vụ xác định trên mô- đun mật mã.
Mức an toàn 2 cho phép các thành phần phần mềm hoặc phần sụn trong mô- đun
mật mã đƣợc thực thi trên các hệ thống máy tính đa mục đích nhƣng hệ điều hành phải
thỏa mãn các yêu cầu chức năng đƣa ra bởi PP ở Phụ lục B của tiêu chuẩn FIPS 140- 2
và đƣợc đánh giá đạt EAL2 theo CC.
Mức an toàn 3
Ngoài các yêu cầu đƣa ra ở Mức an toàn 2, Mức an toàn 3 ngăn chặn các xâm
nhập thông qua truy cập vào CSP. Các cơ chế an toàn vật lý yêu cầu ở Mức an toàn 3
hƣớng đến việc phải có khả năng phát hiện và phản ứng với các cố gắng truy cập về
19
mặt vật lý, sử dụng hoặc sửa đổi mô- đun mật mã khá cao. Các cơ chế an toàn vật lý
có thể bao gồm việc sử dụng rào chắn mạnh và chu trình phát hiện/phản ứng với các
can thiệp để hủy bỏ tất cả CSP dạng rõ khi có hành động mở nắp/tháo vỏ các mô- đun
mật mã.
Mức an toàn 3 yêu cầu các cơ chế xác thực dựa trên định danh (identity- based
authentication), đây là sự nâng cao so với cơ chế xác thực dựa trên vai trò (role-based
authentication) ở Mức an toàn 2. Mô- đun mật mã sẽ xác thực định danh của một tác
tử (ngƣời dùng, tiến trình máy) và xác nhận rằng tác tử này đủ thẩm quyền để đƣợc
đƣa vào một nhóm ngƣời dùng xác định nào đó và nó có thể thực thi một tập dịch vụ
thích hợp đƣợc chỉ định cho nhóm đó.
Mức an toàn 3 yêu cầu đầu vào và đầu ra của CPS dạng rõ (bao gồm cả đầu vào và
đầu ra của CPS dạng rõ sử dụng thủ tục phân chia tri thức) phải đƣợc thực thi trên các
cổng tách biệt về mặt vật lý hoặc các giao diện tách biệt về mặt lôgic, các giao diện
này liên lạc với nhau bằng đƣờng truyền tin cậy. Các CPS có thể đƣợc nhập vào hoặc
xuất ra từ mô- đun mật mã ở dạng đã mã hóa (vì thế có thể chuyển đi trên các hệ thống
không an toàn).
Mức an toàn 3 cho phép các thành phần phần mềm hoặc phần sụn trong mô-đun
mật mã đƣợc thực thi trên các hệ thống máy tính đa mục đích nhƣng hệ điều hành phải
thỏa mãn các yêu cầu chức năng đƣa ra bởi PP (ở Phụ lục B của tiêu chuẩn FIPS 1402) và đƣợc đánh giá đạt EAL3 + ADV_SPM.1 theo CC.
Mức an toàn 4
Đây là mức an toàn cao nhất. Ở mức an toàn này, các cơ chế an toàn vật lý cung
cấp một vỏ bọc hoàn chỉnh để bảo vệ mô- đun mật mã hƣớng đến việc phát hiện và
phản ứng với tất cả các cố gắng truy cập trái phép về vật lý. Việc thâm nhập vào môđun mật mã theo mọi hƣớng sẽ bị phát hiện với khả năng rất cao và kết quả là tất cả
CSP dạng rõ sẽ đƣợc hủy bỏ ngay lập tức. Mô-đun mật mã có Mức an toàn 4 thích hợp
cho việc sử dụng trong các môi trƣờng không có sự bảo vệ về mặt vật lý
Mức an toàn 4 cũng bảo vệ mô- đun mật mã khỏi bị tổn thƣơng về an toàn trong
các điều kiện môi trƣờng hoặc sự thay đổi bất thƣờng vƣợt khỏi điều kiện hoạt động
thông thƣờng của mô- đun nhƣ về điện thế và nhiệt độ. Việc thay đổi có chủ ý vƣợt ra
khỏi điều kiện hoạt động thông thƣờng có thể đƣợc kẻ tấn công sử dụng để phá vỡ sự
phòng thủ của mô- đun mật mã. Một mô- đun mật mã yêu cầu phải đƣợc thiết kế các
tính năng bảo vệ trong môi trƣờng cụ thể nhằm đáp ứng vấn đề thay đổi và hủy bỏ
CSP hoặc phải vƣợt qua đƣợc quá trình kiểm tra lỗi nghiêm ngặt nhằm đảm bảo chắc
chắn rằng mô-đun sẽ không bị ảnh hƣởng bởi các tác động vƣợt quá điều kiện hoạt
động thông thƣờng, dẫn đến việc bị can thiệp về mặt an toàn.
Mức an toàn 4 cho phép phần mềm hoặc phần sụn trong mô- đun mật mã hoạt
động trên các hệ thống máy tính đa mục đích nhƣng hệ điều hành phải thỏa mãn các
20
- Xem thêm -