Tài liệu Nghiên cứu một số công cụ để đánh giá sản phẩm an toàn bảo mật thông tin 04

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐỖ THỊ HUỆ NGHIÊN CƢ́U MỘT SỐ CÔNG CỤ ĐỂ ĐÁNH GIÁ SẢN PHẨM AN TOÀ N BẢO MẬT THÔNG TIN LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN Hà Nội – 2014 1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐỖ THỊ HUỆ NGHIÊN CƢ́U MỘT SỐ CÔNG CỤ ĐỂ ĐÁNH GIÁ SẢN PHẨM AN TOÀ N BẢO MẬT THÔNG TIN Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số:60480104 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC 1: TS. HỒ VĂN HƢƠNG NGƢỜI HƢỚNG DẪN KHOA HỌC 2: TS. NGUYỄN VIẾT THẾ Hà Nội – 2014 2 3 LỜI CAM ĐOAN Tôi xin cam đoan kế t quả đa ̣t đƣơ ̣c của luâ ̣n văn là sản phẩ m của cá nhân tôi , không sao chép nguyên văn của ngƣời khác . Trong toàn bô ̣ nô ̣i dung của luâ ̣n văn , nhƣ̃ng phầ n đƣơ ̣c triǹ h bày hoă ̣c là của cá nhân tôi hoă ̣c là đƣơ ̣c tổ hơ ̣p tƣ̀ nhi ều nguồn tài liệu khác nhau . Tấ t cả các tài liê ̣u tham khảo đề u có xuấ t xƣ́ rõ ràng và đƣơ ̣c trích dẫn đúng quy đinh. ̣ Tôi xin hoàn toàn chiụ trách nhiê ̣m với lời cam đoan của min ̀ h Hà Nội, năm 2014 Đỗ Thị Huệ 4 MỤC LỤC LỜI CAM ĐOAN ................................................................................................................... 4 MỤC LỤC................................................................................................................................ 5 DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT .................................................................... 8 DANH MỤC HÌNH VẼ ........................................................................................................ 9 DANH MỤC BẢNG ............................................................................................................ 11 MỞ ĐẦU ................................................................................................................................ 12 CHƢƠNG I: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN ................... 14 1.1. Thực trạng an toàn thông tin ....................................................................... 14 1.1.1. An ninh an toàn thông tin tại Việt Nam và trên thế giới ................................. 14 1.1.2. Nguy cơ mất an toàn thông tin trong cổng thông tin điện tử ........................... 15 1.2. Tiêu chí và công cu ̣ đánh giá an toàn thông tin ........................................... 17 1.2.1. Giới thiệu các tiêu chuẩn đánh giá hệ thống an toàn thông tin ........................ 17 1.2.2. Công cụ phân tích, dò quét lỗ hổng bảo mật trong cổng thông tin điện tử ....... 24 CHƢƠNG II: NGHIÊN CỨU CÁC KỸ THUẬT PHÂN TÍCH, DÒ QUÉT VÀ LỰA CHỌN CÔNG CỤ ĐÁNH GIÁ CỔNG THÔNG TIN ĐIỆN TỬ ................... 30 2.1. Nghiên cứu một số lỗ hổng trong cổng thông tin điện tử ............................. 30 2.1.1. SQL injection .............................................................................................. 30 2.1.2. XSS ……………………………………………………………………..31 2.1.3. CSRF .......................................................................................................... 31 2.1.4. Tràn bộ đệm ................................................................................................ 33 2.2. Nghiên cứu các kỹ thuật phân tích lỗ hổng cổng thông tin điện tử.............. 33 2.2.1. Kỹ thuật phân tích tĩnh ................................................................................ 33 2.2.2. Kỹ thuật phân tích động ............................................................................... 33 2.3. Thuật toán phát hiện lỗ hổng trong cổng thông tin điện tử ......................... 37 2.3.1. Học máy ..................................................................................................... 37 2.3.2. Cây phân tích cú pháp truy vấn .................................................................... 37 2.3.3. Biểu đồ luồng điều khiển ............................................................................. 43 5 2.3.4. Fuzzing ....................................................................................................... 45 2.4. Công cụ dò quét lỗ hổng trong cổng thông tin điện tử ................................. 49 2.4.1. Bkav Web Scan ........................................................................................... 49 2.4.2. Acunetix Web Vulnerability Scanner ........................................................... 51 2.4.3. IBM Rational AppScan ................................................................................ 56 2.5. Đánh giá các công cụ dò quét lỗ hổng website ............................................. 58 2.5.1. Đánh giá kỹ thuật và thuật toán sử dụng ....................................................... 58 2.5.2. Khả năng ứng dụng thực tiễn ....................................................................... 58 CHƢƠNG III: ĐỀ XUẤT LƢ̣A CHỌN CÔNG CỤ, XÂY DƢ̣NG QUY TRÌNH ĐÁNH GIÁ CỔNG THÔNG TIN ĐIỆN TƢ̉ VÀ TRIỂN KHAI ÁP DỤNG TRONG THỰC TIỄN ......................................................................................................... 63 3.1. Đề đánh giá cổng thông tin điện tử .............................................................. 63 3.2. Đề xuất quy trình triển khai, đánh giá cổng thông tin điện tử .................... 63 3.2.1. Mục đích ..................................................................................................... 63 3.2.2. Phạm vi áp dụng .......................................................................................... 63 3.2.3. Lƣu đồ ........................................................................................................ 64 3.2.4. Mô tả quy trình thực hiện ............................................................................. 65 3.2.5. Đánh giá quy trình ....................................................................................... 67 3.3. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử Công ty NEO sử dụng công cụ Acunetix ......................................................................................... 68 3.3.1. Xây dựng kịch bản đánh giá ......................................................................... 68 3.3.2. Thực hiện đánh giá ...................................................................................... 69 3.3.3. Kết quả đánh giá ......................................................................................... 75 3.4. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử Đại học công nghệ - Đại học Quốc gia Hà nội sử dụng công cụ Acunetix ................................ 83 3.4.1. Xây dựng kịch bản đánh giá cổng thông tin điện tử ....................................... 83 3.4.2. Thực hiện đánh giá ...................................................................................... 84 3.4.3. Kết quả đánh giá ......................................................................................... 85 6 3.5. Kết quả thực tiễn áp dụng ........................................................................... 87 3.5.1. Thống kê số lƣợng lỗ hổng phát hiện theo từng loại ...................................... 87 3.5.2. Thống kê số lƣợng lỗ hổng phát hiện theo mức độ nghiêm trọng ................... 88 3.5.3. Thống kê các lỗi phổ biến ............................................................................ 89 KẾT LUẬN ............................................................................................................................ 90 TÀI LIỆU THAM KHẢO .................................................................................................. 92 7 DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT LAN Local Area Network DOS Denial of Service DDOS Distributed Denial of Service CC Common Criteria XSS Cross-Site Scripting HTML HyperText Markup Language CSRF Cross-site request forgery CSDL Cở Sở Dữ liệu CNTT Công Nghệ Thông Tin VSW Vulns Scanner website VSA Vulns Scanner Application CSP Critical Security Parameter CMVP Cryptographic Module Validation Program HTTP Hypertext Transfer Protocol TCP Transmission Control Protoco UDP User Datagram Protocol ARP Address Resolution Protocol DHCP Dynamic Host Configuration Protocol URL Uniform Resource Locator 8 DANH MỤC HÌNH VẼ Hình 2.1:Một thông báo lỗi đƣợc trả về liên quan tới hệ quản trị CSDL......................35 Hình 2.2: Một thông báo trả về liên quan tới cấu trúc CSDL .......................................35 Hình 2.3: Kiến trúc V1p3R ...........................................................................................36 Hình 2.4 Kiến trúc mô hình ...........................................................................................38 Hình 2.5: Cây phân tích cú pháp cho câu truy vấn SELECT ........................................40 Hình 2.6 Cây phân tích cú pháp của câu truy vấn SELECT cụ thể...............................41 Hình 2.7: Cây phân tích cú pháp của truy vấn hợp lệ ...................................................42 Hình 2.8: Cây phân tích cú pháp của câu truy vấn không hợp lệ ..................................43 Hình 2.9: Quá trình sinh ra dữ liệu kiểm thử trong CFG ..............................................44 Hình 2.10:Vector tấn công hệ thống đa mức .................................................................46 Hình 2.11: Các kiểu bất thƣờng vào mô hình báo cáo lỗi khác nhau............................47 Hình 2.12: Cấu trúc logic của fuzzer .............................................................................47 Hình 2.13: Ví dụ về một kịch bản fuzz và kết quả trả về từ một SUT ..........................48 Hình 2.14: Quá trình fuzzing bao gồm các kịch bản fuzz và một hệ thống giám sát ...49 Hình 3.1: Giao diện thu thập dữ liệu .............................................................................69 Hình 3.2: Cấu trúc website ............................................................................................70 Hình 3.3: Giao diện chính của Acunetix .......................................................................71 Hình 3.4: Nhập địa chỉ và tuỳ chọn quét .......................................................................71 Hình 3.5: Chọn Scaning Profile.....................................................................................72 Hình 3.6: Thông tin về server ........................................................................................73 Hình 3.7: Chọn Login sequence ....................................................................................73 Hình 3.8: Kết thúc quá trình tuỳ chọn ...........................................................................74 Hình 3.9: Giao diện khi đang thực hiện quét.................................................................74 Hình 3.10: Màn hình sau khi thực hiện quét xong ........................................................75 Hình 3.11: Giao diện chi tiết từng lỗi ............................................................................75 Hình 3.12: Mức độ cảnh báo .........................................................................................76 Hình 3.13: Giao diện xuất báo cáo ................................................................................78 9 Hình 3.14 : Báo cáo .......................................................................................................79 Hình 3.15: Tuỳ chọn xuất báo cáo.................................................................................80 Hình 3.16: Chọn lần quét để xuất báo cáo.....................................................................80 Hình 3.17: Giao diện xuất báo cáo ra các định dạng .....................................................81 Hình 3.18: Chi tiết về file nguồn phát sinh lỗi ..............................................................81 Hình 3.19: Khuyến cáo để thực hiện vá lỗi ...................................................................82 Hình 3.20: Kết quả đánh giá ..........................................................................................85 Hình 3.21: Danh sách số lƣợng các lỗi ..........................................................................85 Hình 3.22: Chi tiết lỗi HTML form without CSRF protection .....................................86 Hình 3.23: Thống kê lỗ hổng phát hiện theo từng loại ..................................................88 Hình 3.24: Thống kê lỗ hổng theo mức độ nghiêm trọng .............................................88 Hình 3.25: Thống kê các lỗi thƣờng gặp .......................................................................89 10 DANH MỤC BẢNG Bảng 1-1 Tỉ lệ các sản phẩm đƣợc đánh giá theo từng năm .........................................22 Bảng 2-1 So sánh giữa các công cụ ...............................................................................60 Bảng 2-2 So sách các công cụ về mặt công cụ hỗ trợ ...................................................61 Bảng 2-3 So sánh một số công cụ về mặt chức năng ....................................................61 Bảng 3-1 Nội dung quy trình .........................................................................................65 Bảng 3-2 Kịch bản đánh giá ..........................................................................................68 Bảng 3-3 Kết quả theo kịch bản ....................................................................................77 Bảng 3-4 Kịch bản đánh giá ..........................................................................................83 Bảng 3-5: Kết quả đánh giá theo kịch bản ....................................................................86 11 MỞ ĐẦU 1) Lý do chọn đề tài Ngày nay với sự phát triển vƣợt bậc của công nghệ thông tin, nhu cầu về vấn đề trao đổi thông tin ngày càng trở nên phổ biến. Khi lƣợng thông tin trao đổi càng nhiều, và có ý nghĩa càng quan trọng thì vấn đề an toàn bảo mật thông tin cũng trở nên bức thiết. Để đáp ứng đƣợc nhu cầu của con ngƣời, hàng loạt các hệ thống về bảo mật an toàn thông tin đƣợc ra đời. Các hệ thống này đã giúp cho công việc, hoạt động của con ngƣời trở nên đơn giản và tiết kiệm rất nhiều thời gian, tiền bạc. Bên cạnh các lợi ích mà các hệ thống về bảo mật và an toàn thông tin đem lại thì việc mất mát, lộ lọt thông tin cũng gây tổn rất lớn cho các tổ chức sử dụng chúng. Đặc biệt, vấn đề mất an ninh an toàn cổng thông tin điện tử đang đƣợc xem là vấn đề nóng không chỉ của Việt Nam mà là của toàn thế giới. Các con số thống kê hàng năm về tình trạng mất an ninh trong các cổng thông tin điện tử là vấn đề đáng lo ngại của toàn xã hội, toàn thế giới. Sở dĩ các website này bị tấn công do đang tồn tại rất nhiều lỗ hổng an ninh chƣa đƣợc khắc phục Ngoài ra, có một vấn đề đặt ra là chính những nhà quản trị mạng, quản trị website vẫn chƣa thể đánh giá đƣợc các hệ thống mà mình đang quản lý. Có thể một số ngƣời còn chƣa từng nghiên cứu, tìm cách để phát hiện và khắc phục các lỗ hổng trong hệ thống của họ Từ thực tiễn trên, em nhận thấy vấn đề về chất lƣợng của các sản phẩm an toàn bảo mật thông tin là vấn đề đang nhận đƣợc sự quan tâm từ nhiều phía. Cùng với lý do trên và niềm đam mê, em đã quyết định chọn đề tài “Nghiên cứu một số công cụ để đánh giá sản phẩm an toàn bảo mật thông tin” làm luận văn tốt nghiệp với mong muốn tìm hiểu, nghiên cứu về an toàn bảo mật thông tin, cũng nhƣ các kỹ thuật, phƣơng pháp để phát hiện lỗ hổng trong cổng thông tin điện tử. Đồng thời, tìm hiểu các công cụ kiểm tra, đánh giá sản phẩm an toàn bảo mật thông tin. 2) Bố cục luận văn Luận văn đƣợc chia làm 3 chƣơng: Chƣơng 1: Chƣơng này trình bày tổng quan về lý thuyết mật mã, an toàn bảo mật thông tin. Đồng thời, giúp ta nắm đƣợc thực trạng an toàn thông tin, nguy cơ mất an toàn thông tin trong cổng thông tin điện tử ở Việt Nam và trên thế giới. Chƣơng đầu tiên này cũng giới thiệu tổng quan về các công cụ và tiêu chí đánh giá an toàn thông tin Chƣơng 2: Nghiên cứu các kỹ thuật phân tích, dò quét và lựa chọn công cụ đánh giá cổng thông tin điện tử. Chƣơng này nghiên cứu một số lỗ hổng trong cổng thông tin điện tử, các kỹ thuật phân tích, thuật toán dò quét để phát hiện các lỗ hổng này. 12 Nghiên cứu một số công cụ quét website phổ biến, trên cơ sở đó so sánh, đánh giá và đề xuất lựa chọn công cụ đánh giá cổng thông tin điện tử Chƣơng 3 của luận văn sẽ xây dựng và đề xuất quy trình đánh giá cổng thông tin điện tử. Đồng thời đề xuất lựa chọn công cụ sử dụng để đánh giá cổng thông tin điện tử, triển khai áp dụng đánh giá một số cổng thông tin điện tử trong thực tiễn Kết luận Phần này trình bày các kết luận chung của luận văn: bao gồm các kết quả đã đạt đƣợc và hƣớng nghiên cứu, phát triển trong tƣơng lai 13 CHƢƠNG I: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN 1.1. Thực trạng an toàn thông tin 1.1.1. An ninh an toàn thông tin tại Việt Nam và trên thế giới Trong xã hội hiện đại, việc sử dụng internet đã trở thành thói quen cũng nhƣ yêu cầu công việc không thể thiếu đối với các cá nhân trong các doanh nghiệp cũng nhƣ trong các cơ quan nhà nƣớc. Ngƣời dùng nhờ có internet có thể làm việc từ xa, sử dụng các ứng dụng đào tạo tập trung và nhiều tiện ích khác. Tuy nhiên, bên cạnh các lợi ích mà internet mang lại thì cũng có rất nhiều nguy cơ có thể xảy ra do mất an ninh an toàn mạng cũng nhƣ tiềm ẩn trong việc mất an toàn của các máy tính cá nhân tham gia mạng Thực trạng an toàn thông tin của hệ thống mạng LAN Theo báo cáo về tính an toàn của các mạng LAN và website của Việt Nam của một tổ chức quốc tế thì Việt Nam là một trong 3 nƣớc yếu nhất. Còn theo báo cáo của Bộ Công An thì hơn 90% các mạng nội bộ của các cơ quan Đảng, Chính phủ và các Ngân hàng bị xâm nhập, lấy dữ liệu Có rất nhiều nguyên nhân dẫn tới tình trạng này trong đó có thể kể tới một số nguyên nhân nhƣ: Năng lực kỹ thuật của nhân viên quản trị mạng còn yếu kém, việc đầu tƣ thiết bị an ninh mạng còn thiếu đồng bộ, thiếu công nghệ phù hợp với hoàn cảnh Việt Nam. Hơn nữa Việt nam còn là một trong những điểm yêu thích của hacker quốc tế Để hạn chế đƣợc mức độ ảnh hƣởng của việc mất an toàn mạng trong việc bảo mật các dữ liệu quan trọng, nhà nƣớc cũng đã ban hành các quy định: Quy định về sử dụng internet của Bộ công an(QĐ 71/2004/QĐ - BCA) nghiêm cấm các máy tính có tài liệu dữ liệu bí mật kết nối internet, quyết định của Bộ trƣởng bộ tài chính(2615/QĐ - BTC) các máy tính trong ngành tài chính có các tài liệu quan trọng không đƣợc mở trang tin và ứng dụng ngay trên máy An toàn của máy tính cá nhân tham gia mạng Chỉ riêng năm 2010, đã có tới 58,6 triệu lƣợt máy tính tại Việt Nam bị nhiễm vi rút. Theo đó, trung bình một ngày đã có hơn 160 nghìn máy tính bị nhiễm vi rút. Các chuyên gia an ninh mạng đánh giá, đây là con số báo động về tình hình vi rút máy tính tại Việt Nam. Còn theo báo cáo của onsummerreport của Mỹ về tình trạng lây nhiễm vi rút và mã độc thì có đến 58,2 triệu máy tính từng bị lây nhiễm ít nhất một loại mã độc gây ảnh hƣởng đến tính năng và hiệu suất hoạt động của máy tính; chi phí sửa chữa các 14 thiệt hại từ những vụ xâm nhập và lây nhiễm mã độc tại Mỹ đã lên đến gần 4 tỷ USD trong năm 2011. Báo cáo cũng cho biết có khoảng 9,2 triệu ngƣời Mỹ là nạn nhân của hình thức tấn công lừa đảo. Với mạng xã hội Facebook, báo cáo cho biết có đến 9,8 triệu ngƣời dùng Facebook tại Mỹ bị ngƣời khác sử dụng trái phép tài khoản, gây tổn hại danh tiếng, hoặc dùng cho mục đích quấy rối, đe dọa, lừa đảo. Tình trạng này dẫn đến có khoảng 28,5 triệu ngƣời dùng Facebook phải thay đổi thông tin trong hồ sơ cá nhân trong năm 2012 nhằm mục đích bảo vệ sự riêng tƣ. Năm 2011, Bộ công an cũng đã phát hiện loại malware, trojan chuyên lấy cắp thông tin mật lây nhiễm qua usb hoặc thâm nhập qua cửa hậu vào máy tính và tự động đánh cắp những văn bản nhạy cảm trong máy tính về địa chỉ bên ngoài. Hiện nay cũng có một loại virut lây lan rất nhanh qua USB có tên w32.UsbFakedrive. Tỷ lệ rất cao các thiết bị lƣu trữ usb bán trên thị trƣờng hiện nay có cài đặt sẵn mã độc 1.1.2. Nguy cơ mất an toàn thông tin trong cổng thông tin điện tử Vấn đề mất an ninh an toàn không chỉ là ở việc mất an ninh mạng và máy tính cá nhân tham gia mạng. Thực trạng vấn đề này trong nƣớc ta hiện đang rất đáng lo ngại. Các số liệu khảo sát về thực trạng mất an toàn thông tin trong cổng thông tin điện tử sau đây sẽ làm rõ hơn về nhận định này Thực trạng mất an toàn cổng thông tin điện tử tại Việt Nam Năm 2011 Theo thống kê của trang web Zone-H – chuyên thống kê các website bị tấn công trên toàn cầu, chỉ trong 20 ngày đầu tháng 6 năm 2011, có khoảng 446 website ".vn" đã bị hacker tấn công, trong đó có 16 trang chứa tên miền “.gov.vn”. Chỉ tính riêng tuần đầu tiên của tháng 6 cũng đã có 407 website tên miền .vn bị hacker tấn công. Cũng theo tìm hiểu, năm 2011, hàng loạt website của các tổ chức lớn tại Việt Nam đồng loạt bị tấn công bởi một nhóm hacker nổi tiếng tại Iran, với mục đích thông qua việc hack các trang web, chúng muốn bán những thông tin trợ giúp an ninh mạng, web hosting và dịch vụ mạng. Một sự kiện cũng đƣợc chú ý trong năm 2011 đó là: gần 200 website Việt nam bị tấn công trong vòng một đêm. Đêm ngày 3/7/2011, gần 200 website có tên miền .vn và .com, .net nằm trên một số server đã bị tấn công. Năm 2012 Theo khảo sát mới nhất của Microsoft, trong năm 2012 có 2.500 website của Việt Nam tiếp tục là mục tiêu tấn công của hacker. Không chỉ các website của doanh nghiệp, Chính phủ, mà cả những website của các công ty bảo mật hàng đầu Việt Nam cũng bị tấn công. Còn theo tổng kết tình hình an ninh mạng của Bkav năm 2012 thì: An ninh mạng tại các cơ quan doanh nghiệp không đƣợc cải thiện. Trong năm 2012 vẫn có tới 2.203 15 website của các cơ quan doanh nghiệp tại Việt Nam bị tấn công, chủ yếu thông qua các lỗ hổng trên hệ thống mạng. So với năm 2011 (có 2.245 website bị tấn công), con số này hầu nhƣ không giảm. Năm 2013 Thông tin từ công ty an ninh mạng Bkav ngày 20/8 vừa qua cho biết, trong 30 ngày kể từ 20/7/2013 tới 20/8/12013 có 437 website của các cơ quan, doanh nghiệp tại Việt Nam bị hacker xâm nhập, trong đó có 16 trƣờng hợp gây ra bởi hacker trong nƣớc, 421 trƣờng hợp do hacker nƣớc ngoài. “Đình đám” nhất trong tháng 7/2013 vừa qua là việc hàng loạt website của các báo điện tử lớn đã bị tấn công bằng phƣơng thức từ chối dịch vụ (DDoS) dài ngày nhƣ Tuổi trẻ, VietNamNet, Dân Trí… Những đợt tấn công đã khiến nhiều báo trong tình trạng nghẽn truy cập, thậm chí tê liệt trong thời gian ngắn. Theo báo cáo bảo mật Intelligence Report của hãng Symantec, số lƣợng các lỗ hổ ng bảo mâ ̣t phát si nh trong nửa đầ u năm 2013 đã tăng lên 16% so với cùng thời điểm này năm 2012 Thực trạng mất an toàn cổng thông tin điện tử trên thế giới Không riêng gì Việt Nam, vấn đề mất an ninh an toàn còn là vấn đề đáng lo ngại của toàn thế giới. Trong đó không thể không kể tới các vụ tấn công an ninh website tại một số nƣớc lớn nhƣ: Mỹ, Nga, Trung quốc Tại Mỹ, gần đây nhất, 6 ngân hàng gồm Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo và PNC đã phải chịu các cuộc tấn công từ chối dịch vụ bởi một nhóm tuyên bố có quan hệ mật thiết với Trung Đông. Với Trung Quốc, ngày 25/08/2013 hàng loạt các website đã bị đánh sập. Chính phủ Trung Quốc đã phải thừa nhận đây là cuộc tấn công quy mô lớn nhất từ truớc đến nay nhắm vào những website có tên miền .cn. Ngày 9/5/2012, chỉ hai ngày sau khi Tổng thống Nga Vladimir Putin tuyên thệ nhận chức, nhóm tin tặc nổi tiếng Anonymous tuyên bố trên Twitter đã đánh sập cổng thông tin Chính phủ nƣớc Nga (tại địa chỉ www.kremlin.ru), đồng thời khẳng định sẽ tiến hành thêm nhiều đợt tấn công tƣơng tự khác vào các website của Chính phủ nƣớc này. Ngƣời dùng Internet tại Nga cho hay, họ đã không thể truy cập vào trang chủ của Cổng thông tin Chính phủ Nga trong vài phút vào ngày 9/5/2012. Trƣớc đó một ngày, vào ngày 8/5, nhóm tin tặc giấu mặt đã tấn công vào website của Virgin Media - một trong những nhà cung cấp dịch vụ Internet lớn nhất tại Anh. Vấ n đề an ninh an toà n mạng cho các doanh nghiê ̣p nói chung và các doanh nghiệp Việt Nam nói riêng chƣa thấ y có dấ u hiê ̣u suy giảm về mức đô ̣ và số lƣợng . Tô ̣i phạm mạng liên tục sáng tạo ra những cách thức tấ n công mới và tinh vi nhằm đánh cắp 16 thông tin quan trọng của các doanh nghiê ̣p ở mọi quy mô . Vì thế để tiế p tục khai thác những mặt mạnh mà công nghê ̣ thông tin và Internet mang lại cho hoạt đô ̣ng kinh doanh, các doanh nghiê ̣p nên song song , chủ đô ̣ng phố i kế t hợp áp dụng các biê ̣n pháp an ninh bảo mâ ̣t để phòng ngừa, ngăn chặn và giảm thiể u các mố i đe dọa an ninh thông tin. Nhƣ vậy, các con số trên một lần nữa làm dấy lên lo ngại về sự mất an toàn, bảo mật của các website Việt nam cũng nhƣ trên thế giới. Trên thực tế , các mối đe dọa luôn hiện hữu và ngày càng gia tăng cả về số lƣợng và chất lƣợng. Những cuộc tấn công ngày càng có chủ đích hơn và đƣợc thực hiện bởi những tin tặc có kỹ năng cao. Những con số thống kê của các hãng nghiên cứu uy tín về các mối đe dọa cho thấ y , tỷ lê ̣ năm sau cao hơn năm trƣớc và với mức độ ngày càng tinh vi hơn.  Thực trạng này cho thấy, an ninh mạng vẫn chƣa thực sự đƣợc quan tâm tại các cơ quan, doanh nghiệp. Hầu hết cơ quan doanh nghiệp của Việt Nam chƣa bố trí đƣợc nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ này chƣa tƣơng xứng với tình hình thực tế. Đó là những nguyên nhân chính.  Để giải bài toán về an toàn thông tin tại Việt Nam, ông Ngô Việt Khôi - Giám đốc Kinh doanh của Trend Micro Việt Nam cho rằng ngoài nâng cao ý thức cho doanh nghiệp, cần chuẩn bị một nguồn nhân lực chuyên nghiệp trong lĩnh vực này. Bên cạnh đó, từng bƣớc nghiên cứu, phát triển các công cụ bảo vệ do chính Việt Nam làm chủ hoàn toàn. Các cơ quan, doanh nghiệp hãy nghĩ đến những giải pháp phòng vệ nhiều lớp và đầu tƣ cho công nghệ nội địa ƣu việt. Đặc biệt, để hạn chế đƣợc các nguy cơ mất an ninh an toàn cổng thông tin điện tử, mỗi cá nhân, doanh nghiệp cần phải đánh giá đƣợc mức độ an toàn của website mà mình sở hữu. Hiện nay có rất nhiều tiêu chí và công cụ đƣợc sử đụng để dò quét và đánh giá mức độ an toàn của cổng thông tin điện tử. Tổng quan về các công cụ và tiêu chí này sẽ đƣợc trình bày trong phần sau(1.3) của luận văn. 1.2. Tiêu chí và công cụ đánh giá an toàn thông tin Để đánh giá sản phẩm an toàn thông tin, có rất nhiều tiêu chuẩn đƣợc sử dụng tại Việt Nam cũng nhƣ trên thế giới. Ở đây, em xin giới thiệu về một số tiêu chuẩn đƣợc sử dụng khá rộng rãi ở Việt nam là Tiêu chuẩn chung CC, tiêu chuẩn 140-2 và tiêu chuẩn iso 27000 1.2.1. Giới thiệu các tiêu chuẩn đánh giá hệ thống an toàn thông tin a) Tiêu chuẩn chung CC Giới thiệu CC là kết quả tổng quát tất cả những thành tựu của những năm lại đây trong lĩnh vực ATTT. Lần đầu tiên tài liệu tại mức nhƣ vậy có chứa những mục đề cập đến những ngƣời sử dụng, những ngƣời sản xuất và những ngƣời đánh giá sản phẩm CNTT. 17 Các cơ chế PP và ST của CC cho phép những ngƣời sử dụng và những ngƣời sản xuất phản ánh đầy đủ quan điểm của mình về các yêu cầu an toàn và những vấn đề bảo vệ, mặt khác cho những ngƣời đánh giá khả năng phân tích mối tƣơng ứng lẫn nhau giữa các yêu cầu, những sự cần thiết của những ngƣời sử dụng, những vấn đề bảo vệ và những phƣơng tiện bảo vệ sản phẩm CNTT. Những ngƣời thiết kế CC đã tiếp tục cách tiếp cận của FC hƣớng tới từ chối sự phân chia thống nhất an toàn và tăng cƣờng tính mềm dẻo những giải pháp đƣợc đề xuất trong chúng bằng cách tiến hành những sự phân chia sắp xếp bộ phận mà nhờ đó những ngƣời sử dụng và những ngƣời sản xuất nhận đƣợc những khả năng bổ sung về sự lựa chọn những yêu cầu và sự thích ứng của chúng đối với các vấn đề ứng dụng của mình. Chuẩn CC dành chú ý đặc biệt cho sự đảm bảo hiện thực hoá các yêu cầu chức năng mà sự đảm bảo đƣợc đảm bảo bằng kiểm định độc lập và phân tích sản phẩm CNTT cũng nhƣ ứng dụng các công nghệ tƣơng ứng trên tất cả các giai đoạn thiết kế và hiện thực hoá nó. Nhƣ vậy là các yêu cầu của CC chiếm thực tế toàn bộ các khía cạnh an toàn các sản phẩm CNTT và công nghệ chế tạo chúng và cũng chứa tất cả các tài liệu ban đầu cần thiết cho những ngƣời sản xuất và những ngƣời thiết kế để tạo nên PP và ST. Ngoài ra, những yêu cầu của CC thực tế là một bộ bách khoa đầy đủ về ANTT vì rằng có thể sử dụng nó nhƣ là sách tra cứu về an toàn CNTT. Chuẩn CC đánh dấu một mức độ mới việc chuẩn hoá CNTT nâng nó lên tầm quốc tế. Đằng sau đó thấy đƣợc triển vọng thực tế của việc tạo ra không gian thông tin an toàn thống nhất mà trong đó chứng nhận an toàn các hệ thống xử lý thông tin sẽ đƣợc thực hiện ở mức độ sâu sắc mở ra những khả năng để tích hợp các hệ thống thông tin quốc gia đến lƣợt mình lại mở ra những lĩnh vực hoàn toàn mới ứng dụng CNTT Quy trình đánh giá: Tiêu chuẩn CC đƣợc đánh giá theo quy trình gồm 7 mức EAL1:Mức đảm bảo an toàn đƣợc kiểm định chức năng EAL2:Mức đảm bảo an toàn đƣợc kiểm định cấu trúc EAL3:Mức đảm bảo an toàn đƣợc kiểm định và kiểm tra có phƣơng pháp EAL4:Mức đảm bảo an toàn đƣợc thiết kế, kiểm định và duyệt lại có phƣơng pháp EAL5:Mức đảm bảo an toàn đƣợc thiết kế và kiểm định bán hình thức EAL6:Mức đảm bảo an toàn đƣợc kiểm định và thiết kế có thẩm định bán hình thức EAL7:Mức đảm bảo an toàn đƣợc kiểm định và thiết kế có thẩm định hình thức, mức này thể hiện kiểm định hộp trắng b) Tiêu chuẩn 140-2 Tiêu chuẩn này đƣa ra các yêu cầu an toàn cho một mô- đun mật mã sử dụng trong một hệ thống an toàn, dùng để bảo vệ thông tin nhạy cảm, nhƣng chƣa đƣợc phân loại 18 (nghĩa là các thông tin không thuộc dạng tuyệt mật, tối mật theo cách phân loại của Mỹ). Tiêu chuẩn này đƣa ra 4 mức an toàn tăng dần từ 1 đến 4. Các mức an toàn này bao quát hết các ứng dụng và môi trƣờng mà các module mật mã đƣợc triển khai. Quy trình đánh giá Sau đây là các Mức an toàn với cấp độ chặt chẽ khác nhau Mức an toàn 1 Mức an toàn 1 cung cấp khả năng an toàn thấp nhất. Mô-đun mật mã đáp ứng mức an toàn này chỉ cần thỏa mãn một số yêu cầu rất cơ bản, nhƣ phải sử dụng ít nhất một thuật toán mật mã đã đƣợc phê chuẩn hoặc một chức năng an toàn đã đƣợc phê chuẩn. Không bắt buộc phải có cơ chế an toàn vật lý nào trong mô- đun mật mã ở mức này, ngoại trừ các yêu cầu cơ bản đối với các thành phần đƣợc tạo ra bởi nhà sản xuất. Một ví dụ về mô- đun mật mã có mức an toàn 1 là bảng mạch mã hóa của máy tính cá nhân. Mức an toàn 1 cho phép các thành phần phần mềm và phần sụn của mô- đun mật mã đƣợc thực thi trong các hệ thống máy tính đa mục đích, sử dụng hệ điều hành chƣa đƣợc kiểm định, phù hợp với một số ứng dụng có mức an toàn thấp, trong đó khả năng kiểm soát các vấn đề về an ninh vật lý, an ninh mạng và các thủ tục quản trị có thể ở mức hạn chế hoặc không có. Mức an toàn 2 Mức an toàn 2 tăng thêm các cơ chế an toàn vật lý so với Mức an toàn 1 bằng cách thêm các yêu cầu về khả năng chống can thiệp (tamper-evidence) nhƣ việc đóng hộp cách ly (coating), đóng dấu niêm phong (seal) hoặc đƣa các khóa cứng an toàn (pickresistant lock) vào phần vỏ hoặc nắp đóng mở của mô- đun mật mã. Việc đóng hộp cách ly hoặc dán tem niêm phong là nhằm chống lại sự can thiệp hoặc lấy cắp khóa mật mã ở dạng rõ (plaintext cryptographic key) hoặc các Tham số an toàn quan trọng (CSP - Critical Security Parameter) thông qua cách tiếp cận trực tiếp vào mô- đun mật mã. Dấu niêm phong và khóa cứng an toàn đƣợc đƣa vào phần vỏ hoặc nắp đậy là nhằm chống lại việc truy cập trái phép mô- đun mật mã. Để đạt Mức an toàn 2 thì tối thiểu phải có cơ chế xác thực dựa trên vai trò (rolebased authentication) thực thi bởi mô-đun mật mã nhằm cho phép từng vai trò ngƣời dùng đƣợc thực thi một tập dịch vụ xác định trên mô- đun mật mã. Mức an toàn 2 cho phép các thành phần phần mềm hoặc phần sụn trong mô- đun mật mã đƣợc thực thi trên các hệ thống máy tính đa mục đích nhƣng hệ điều hành phải thỏa mãn các yêu cầu chức năng đƣa ra bởi PP ở Phụ lục B của tiêu chuẩn FIPS 140- 2 và đƣợc đánh giá đạt EAL2 theo CC. Mức an toàn 3 Ngoài các yêu cầu đƣa ra ở Mức an toàn 2, Mức an toàn 3 ngăn chặn các xâm nhập thông qua truy cập vào CSP. Các cơ chế an toàn vật lý yêu cầu ở Mức an toàn 3 hƣớng đến việc phải có khả năng phát hiện và phản ứng với các cố gắng truy cập về 19 mặt vật lý, sử dụng hoặc sửa đổi mô- đun mật mã khá cao. Các cơ chế an toàn vật lý có thể bao gồm việc sử dụng rào chắn mạnh và chu trình phát hiện/phản ứng với các can thiệp để hủy bỏ tất cả CSP dạng rõ khi có hành động mở nắp/tháo vỏ các mô- đun mật mã. Mức an toàn 3 yêu cầu các cơ chế xác thực dựa trên định danh (identity- based authentication), đây là sự nâng cao so với cơ chế xác thực dựa trên vai trò (role-based authentication) ở Mức an toàn 2. Mô- đun mật mã sẽ xác thực định danh của một tác tử (ngƣời dùng, tiến trình máy) và xác nhận rằng tác tử này đủ thẩm quyền để đƣợc đƣa vào một nhóm ngƣời dùng xác định nào đó và nó có thể thực thi một tập dịch vụ thích hợp đƣợc chỉ định cho nhóm đó. Mức an toàn 3 yêu cầu đầu vào và đầu ra của CPS dạng rõ (bao gồm cả đầu vào và đầu ra của CPS dạng rõ sử dụng thủ tục phân chia tri thức) phải đƣợc thực thi trên các cổng tách biệt về mặt vật lý hoặc các giao diện tách biệt về mặt lôgic, các giao diện này liên lạc với nhau bằng đƣờng truyền tin cậy. Các CPS có thể đƣợc nhập vào hoặc xuất ra từ mô- đun mật mã ở dạng đã mã hóa (vì thế có thể chuyển đi trên các hệ thống không an toàn). Mức an toàn 3 cho phép các thành phần phần mềm hoặc phần sụn trong mô-đun mật mã đƣợc thực thi trên các hệ thống máy tính đa mục đích nhƣng hệ điều hành phải thỏa mãn các yêu cầu chức năng đƣa ra bởi PP (ở Phụ lục B của tiêu chuẩn FIPS 1402) và đƣợc đánh giá đạt EAL3 + ADV_SPM.1 theo CC. Mức an toàn 4 Đây là mức an toàn cao nhất. Ở mức an toàn này, các cơ chế an toàn vật lý cung cấp một vỏ bọc hoàn chỉnh để bảo vệ mô- đun mật mã hƣớng đến việc phát hiện và phản ứng với tất cả các cố gắng truy cập trái phép về vật lý. Việc thâm nhập vào môđun mật mã theo mọi hƣớng sẽ bị phát hiện với khả năng rất cao và kết quả là tất cả CSP dạng rõ sẽ đƣợc hủy bỏ ngay lập tức. Mô-đun mật mã có Mức an toàn 4 thích hợp cho việc sử dụng trong các môi trƣờng không có sự bảo vệ về mặt vật lý Mức an toàn 4 cũng bảo vệ mô- đun mật mã khỏi bị tổn thƣơng về an toàn trong các điều kiện môi trƣờng hoặc sự thay đổi bất thƣờng vƣợt khỏi điều kiện hoạt động thông thƣờng của mô- đun nhƣ về điện thế và nhiệt độ. Việc thay đổi có chủ ý vƣợt ra khỏi điều kiện hoạt động thông thƣờng có thể đƣợc kẻ tấn công sử dụng để phá vỡ sự phòng thủ của mô- đun mật mã. Một mô- đun mật mã yêu cầu phải đƣợc thiết kế các tính năng bảo vệ trong môi trƣờng cụ thể nhằm đáp ứng vấn đề thay đổi và hủy bỏ CSP hoặc phải vƣợt qua đƣợc quá trình kiểm tra lỗi nghiêm ngặt nhằm đảm bảo chắc chắn rằng mô-đun sẽ không bị ảnh hƣởng bởi các tác động vƣợt quá điều kiện hoạt động thông thƣờng, dẫn đến việc bị can thiệp về mặt an toàn. Mức an toàn 4 cho phép phần mềm hoặc phần sụn trong mô- đun mật mã hoạt động trên các hệ thống máy tính đa mục đích nhƣng hệ điều hành phải thỏa mãn các 20