Luận văn ThS: Một số kỹ thuật kiểm thử an toàn hệ thống

Luận văn Một số kỹ thuật kiểm thử an toàn hệ thống trình bày tình hình chung về an toàn thông tin hiện nay tại Việt Nam; trình bày về các tiêu chuẩn, quy trình kiểm thử và đánh giá an toàn hệ thống: OWASP, OSTMM, ISSAF, WASC-TC, NIST SP 800-115; trình bày nguy cơ mất an toàn hệ thống từ các ứng dụng phổ biến và cách phòng chống, ngăn ngừa tương ứng; đưa ra quy trình kiểm thử an toàn hệ thống và giới thiệu các công cụ có trên Kali Linux.

Luận văn ThS: Một số kỹ thuật kiểm thử an toàn hệ thống

1. Mở đầu

1.1 Lí do chọn đề tài

Đối với một hệ thống công nghệ thông tin, việc kiểm tra hệ thống có an toàn trước các cuộc tấn công của tin tặc vào hệ thống thông tin là một việc làm thường xuyên và rất quan trọng. Trên thực tế, người quản trị hệ thống thường đi sau tin tặc trong việc ngăn ngừa xâm nhập, tấn công hệ thống do nhiều nguyên nhân, trong đó có nguyên nhân chính là chậm trễ trong việc cập nhật thông tin, không thường xuyên đánh giá độ an toàn bảo mật của hệ thống. Ngoài ra, đa phần người quản trị hệ thống làm việc trong các cơ quan nhà nước, các doanh nghiệp vừa và nhỏ, các doanh nghiệp không liên quan đến các ngành ngân hàng, công nghệ thông tin thường không chuyên về bảo mật hệ thống. Đó cũng là yếu tố làm gia tăng sự rủi ro khi vận hành hệ thống thông tin.

1.2 Mục đích nghiên cứu

Giới thiệu một bộ công cụ dễ sử dụng, nhiều tiện ích cùng đưa ra một quy trình kiểm thử. Dựa vào đó họ tự đánh giá được độ an toàn của hệ thống đang quản lý hoặc sản phẩm phần mềm do họ tạo ra một cách chính xác, dễ dàng và nhanh chóng.

1.3 Đối tượng phạm vi nghiên cứu

Đối tượng nghiên cứu:

  • Tổng quan về tình hình an toàn thông tin hiện nay tại Việt Nam
  • Các loại phương thức tấn công, các phương pháp phòng chống, ngăn ngừa
  • Các tiêu chuẩn đánh giá an toàn hệ thống thông tin
  • Bộ công cụ Kali Linux và xây dựng quy trình kiểm thử an toàn hệ thống dùng Kali Linux.

Phạm vi nghiên cứu:

Xây dựng quy trình kiểm thử an toàn hệ thống thông tin (không thử nghiệm tấn công) dùng một số công cụ trong Kali Linux. Đánh giá thực nghiệm trên hệ thống máy tính Windows trong mạng LAN; máy chủ ứng dụng Web, đưa ra đề xuất các biện pháp phòng chống, ngăn ngừa đối với các lỗ hổng bảo mật phổ biến.

2. Nội dung

2.1 Tổng quan

Tình hình chung về an toàn thông tin hiện nay tại Việt Nam

Các khái niệm trong lĩnh vực kiểm thử an toàn hệ thống thông tin

  • Khái niệm hệ thống
  • Khái niệm hệ thống thông tin
  • Khái niệm an toàn hệ thống thông tin
  • Khái niệm kiểm thử
  • Khái niệm kiểm thử an toàn hệ thống thông tin
  • Đối tượng tấn công
  • Lỗ hổng bảo mật
  • Chính sách bảo mật
  • Những mối đe dọa an toàn hệ thống thường gặp
  • Các nguyên nhân gây mất an ninh thông tin
  • Các phương thức đảm bảo an toàn thông tin trong hệ thống

2.2 Một số tiêu chuẩn kiểm thử

Dự án nguồn mở đánh giá an toàn ứng dụng web (OWASP)

Phương pháp kiểm tra an toàn dành cho mạng và hệ thống (OSSTMM)

Chuẩn đánh giá an ninh hệ thống thông tin (ISSAF)

Tiêu chuẩn phân loại nguy cơ trong bảo mật ứng dụng web (WASC-TC)

Hướng dẫn kiểm tra và đánh giá an toàn thông tin (NIST SP 800-115)

  • Các phương pháp kỹ thuật nhận định mục tiêu
  • Các phương pháp kỹ thuật xác định và phân tích
  • Các phương pháp kỹ thuật xác nhận điểm yếu của mục tiêu

2.3 Nguy cơ mất an toàn hệ thống

Injection

  • SQL Injection là gì?
  • Nguyên lý thực hiện
  • Một số kiểu tấn công SQL Injection
  • Phương pháp phòng chống

Lỗi liên quan đến quá trình quản lý xác thực và phiên truy cập

  • Tấn công kiểu ấn định phiên truy cập
  • Tấn công kiểu chiếm phiên truy cập
  • Phương pháp phòng chống

Thực thi đoạn mã trên trình duyệt (XSS)

  • Nguyên lý thực hiện
  • Một số kiểu tấn công XSS
  • Phương pháp phòng chống

Không mã hóa dữ liệu nhạy cảm

  • Nguy cơ mất thông tin
  • Phương pháp phòng chống

Lỗ hổng bảo mật CSRF

  • Sự khác nhau giữa hai kiểu tấn công khai thác lỗi XSS và CSRF
  • Nguyên lý thực hiện
  • Phương pháp phòng chống

Tấn công kiểu Man in the middle (MITM)

  • Tấn công bằng cách giả mạo ARP Cache
  • Phương pháp phòng chống tấn công kiểu MTIM

2.4 Sử dụng Kali Linux

Giới thiệu về Kali Linux

Phân nhóm các công cụ có sẵn trên Kali Linux

Quy trình kiểm thử an toàn hệ thống

  • Bước lập kế hoạch
  • Tìm hiểu và thu thập thông tin mục tiêu
  • Bước xác nhận lỗ hổng bảo mật
  • Bước lập báo cáo

Thực nghiệm

  • Kiểm thử hệ thống mạng LAN
  • Kiểm thử ứng dụng web

3. Kết luận

Luận văn đã đáp ứng nhiệm vụ đề ra của đề tài:

  • Trình bày được các loại phương thức tấn công thông qua lỗ hổng bảo mật phổ biến, các biện pháp phòng chống, ngăn ngừa tương ứng.
  • Đưa ra quy trình kiểm thử an toàn hệ thống.
  • Nắm rõ và sử dụng các công cụ trên bộ công cụ Kali Linux.
  • Thực nghiệm đánh giá mức độ an toàn bảo mật hệ thống: máy tính Windows trong hệ thống mạng LAN; máy chủ ứng dụng Web.

Hạn chế của luận văn là chưa giới thiệu chi tiết cách sử dụng các công cụ kiểm thử. Nhưng nhìn chung, luận văn có thể trở thành một tài liệu tham khảo tin cậy cho các nhà quản trị hệ thống nhỏ, người lập trình ứng dụng không chuyên về bảo mật nhằm giúp họ có thể tự đánh giá được hệ thống họ phụ trách quản lý, lập trình có bảo mật hay không.

4. Tài liệu tham khảo

Vũ Anh Tuấn (2009), Giải pháp nâng cao độ an ninh thông tin trong mạng Lan không dây chuẩn IEEE 802.11i . Luận văn (thạc sỹ), Khoa Công nghệ thông tin, Đại học Thái Nguyên

Đinh Thị Thiên Anh (2011), Nghiên cứu kiểm thử bảo mật website. Luận văn (thạc sỹ), Khoa Công nghệ thông tin, Đại học Đà Nẵng

Lê Ngọc Thức (2012), Xây dựng công cụ đánh giá an toàn website. Luận văn (thạc sỹ), Khoa Công nghệ thông tin, Đại học Lạc Hồng

Nguyễn Văn Thịnh (2013), Nghiên cứu phân tích một số phương pháp tấn công điển hình trên mạng máy tính và phương pháp ngăn chặn, Luận văn (thạc sỹ), Khoa Công nghệ thông tin, Học viện công nghệ bưu chính viễn thông.....

--- Nhấn nút TẢI VỀ hoặc XEM ONLINE để tham khảo đầy đủ nội dung Luận văn trên ---

Ngày:04/09/2020 Chia sẻ bởi:

CÓ THỂ BẠN QUAN TÂM