ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DỊ QT LỖ HỔNG TRONG CÁC HỆ THỐNG THƠNG TIN LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2021 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DÒ QUÉT LỖ HỔNG TRONG CÁC HỆ THỐNG THƠNG TIN Ngành: Cơng nghệ thơng tin Chun ngành: Quản lý hệ thống thông tin Mã số : 8480205.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN NGỌC HÓA Hà Nội - 2021 Lời cảm ơn LỜI CẢM ƠN Qua trình nghiên cứu rèn luyện Trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội, với hướng dẫn, giảng dạy tận tụy Giáo sư, Tiến sĩ tạo điều kiện cho tác giá hồn thành chương trình học tập Luận văn tốt nghiệp Bằng tất lịng kính trọng biết ơn, tác giả xin gửi lời cảm ơn đến Ban Giám hiệu, khoa, phịng thầy nhiệt tình giúp đỡ Đặc biệt, tác giả xin gửi lời cảm ơn đến Thầy hướng dẫn PGS.TS Nguyễn Ngọc Hóa nhiệt tình giúp đỡ tơi q trình học tập nghiên cứu, để tơi hồn thành tốt luận văn Mặc dù cố gắng để hồn thành luận văn, với điều kiện thời gian trình độ cịn hạn chế nên khơng tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp thầy, bạn để hồn thành tốt luận văn Tôi xin chân thành cảm ơn! Hà Nội, tháng 10 năm 2021 Học viên Nguyễn Việt Dũng Lời cam đoan LỜI CAM ĐOAN Tôi xin cam đoan luận văn tốt nghiệp “Nghiên cứu phát triển giải pháp dò quét lỗ hổng hệ thống thơng tin” cơng trình nghiên cứu thực của thân, xây dựng thực sở khảo sát, nghiên cứu tình hình thực tiễn hướng dẫn khoa học PGS.TS Nguyễn Ngọc Hóa Những tham chiếu từ nghiên cứu liên quan nêu rõ tài liệu tham khảo Các kết số liệu trình bày luận văn hồn tồn trung thực Nếu sai tơi xin chịu hồn tồn trách nhiệm chịu kỷ luật khoa nhà trường đề Hà Nội, tháng 10 năm 2021 Học viên Nguyễn Việt Dũng Mục lục MỤC LỤC LỜI CẢM ƠN II LỜI CAM ĐOAN .II DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT IV DANH MỤC BẢNG BIỂU V DANH MỤC HÌNH VẼ VI MỞ ĐẦU CHƯƠNG 1: QUY TRÌNH QUẢN LÝ RỦI RO VÀ PHƯƠNG PHÁP ĐÁNH GIÁ ATTT HỆ THỐNG 1.1 Quy trình đánh giá rủi ro 1.1.1 Tổng quan đánh giá rủi ro 1.1.2 Quy trình đánh giá rủi ro ATTT 1.1.3 Quy trình quản lý rủi ro an tồn thơng tin 1.1.3.1 Thiết lập ngữ cảnh 1.1.3.2 Đánh giá rủi ro 1.2 Đánh giá rủi ro hệ thống thông tin 1.2.1 Tại phải đánh giá rủi ro lỗ hổng bảo mật 1.2.1.1 Xác đinh mức độ an ninh hệ thống 1.2.1.2 Phòng ngừa, giảm thiểu rủi ro tương lai 1.2.2 Phương pháp tiếp cận 1.2.3 Khó khăn đánh giá rủi ro 1.2.4 Các tiêu chí quản lý rủi ro 1.2.4.1 Tiêu chí ước lượng 1.2.4.2 Tiêu chí tác động 1.2.4.3 Tiêu chí chấp nhận rủi ro 1.2.5 Quy trình thực đánh giá rủi ro 10 1.2.5.1 Phương pháp đánh giá 10 1.2.5.2 Quy trình thực đánh giá 11 1.3 Tổng kết chương 13 CHƯƠNG 2: GIẢI PHÁP DÒ QUÉT LỖ HỖNG BẢO MẬT 14 2.1 Bài toán đặt 14 2.2 Phương pháp giải toán 14 Mục lục 2.2.1 Hướng cho toán 14 2.2.2 Xây dựng phần mềm dò quét lỗ hổng 15 2.3 Kỹ thuật phân tích, đánh giá rủi ro ATTT 17 2.3.1 Phương pháp đánh giá rủi ro OWASP 17 2.3.2 Phương pháp chấm điểm lỗ hổng bảo mật CVSS 22 2.3.2.1 Giới thiệu 22 2.3.2.2 Đánh giá mức độ nghiêm trọng 24 2.3.2.3 Chuỗi Vector 25 2.3.2.4 Thuật tốn tính CVSS v3.1 26 2.4 Một số kỹ thuật dò quét lỗ hổng hệ thống thông tin 29 2.4.1 Kỹ thuật dò quét mạng 30 2.4.2 Dò quét lỗ hổng bảo mật 31 2.5 Đánh giá lựa chọn công nghệ xây dựng công cụ dò quét 34 2.5.1 OpenVAS 34 2.5.2 Metasploit Framework 35 2.5.3 Nessus 36 2.5.4 Lựa chọn giải pháp 37 2.6 Tổng kết chương 38 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG ĐÁNH GIÁ, DÒ QUYÉT LỖ HỔNG 39 3.1 Xây dựng hệ thống 39 3.1.1 Môi trường phát triển 39 3.1.2 Cài đặt thư viện tảng 39 3.2 Xây dựng mô-đun với thư viện tảng hệ thống 44 3.2.1 Mô-đun phát nguy cơ, lỗ hổng dựa CSDL mẫu thử 44 3.2.2 Mô-đun dò quét lỗ hổng hệ thống CNTT 46 3.3 Xây dựng mô-đun quản lý tác vụ xác định rủi ro 47 3.4 Kết luận chương 56 CHƯƠNG 4: THỰC NGHIỆM VÀ ĐÁNH GIÁ 57 4.1 Thực nghiệm rà quét lỗ hổng bảo mật 57 4.1.1 Môi trường thực nghiệm 57 4.1.2 Thông tin chung hệ thống 57 4.2 Kiểm thử đánh giá rủi ro ATTT hệ thống 59 4.2.1 Danh mục hệ thống tham gia kiểm thử 59 4.2.2 Kịch thử nghiệm đánh giá rủi ro máy chủ Web vnptsmartads.vn 61 4.2.3 Kịch thử nghiệm đánh giá máy chủ Web dịch vụ smartcloud.vn 64 4.3 Thử nghiệm so sánh, đánh giá kết so với Nessus 67 Mục lục 4.4 Kết luận chương 67 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 68 TÀI LIỆU THAM KHẢO 69 Danh mục ký hiệu chữ viết tắt DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Giải thích Kí hiệu Tiếng Anh ATTT CVE An tồn thơng tin Common Vulnerabilities and Exposures Các lỗ hổng bảo mật thông dụng CNTT CVSS Tiếng Việt Công nghệ thông tin Common Vulnerability Scoring System Hệ thống chấm điểm lỗ hổng bảo mật phổ biến Khung phát triển ứng dụng Framework GVM Greenbone Vulnerability Management Trình quản lý lỗ hổng Greenbone ISO International Organization for Standardization Tổ chức Quốc tế Tiêu chuẩn hóa NIST National Institute of Standards and Technology Viện Tiêu chuẩn Công nghệ Quốc gia NVT Network vulnerability test Tệp mẫu dò quét lỗ hổng NASL Nessus Attack Scripting Language Ngôn ngữ công dạng kịch Nessus OpenVAS Open Vulnerability Assessment Scanner Hệ thống quét đánh giá lỗ hổng mở OSP Open scanner protocol Giao thức dò quét mở OWASP Open Web Application Security Project Dự án an toàn ứng dụng Web mở Danh mục bảng biểu DANH MỤC BẢNG BIỂU Bảng 1.1 - Bảng tổng hợp nhiệm vụ đánh giá rủi ro 13 Bảng 2.1 - Xác định mức độ nghiêm trọng rủi ro 21 Bảng 2.2 - Xác định khả xảy 22 Bảng 2.3 - Xác định tác động 22 Bảng 2.4 - Xác định mức độ nghiêm trọng 22 Bảng 2.5 - Thang đánh giá mức độ nghiêm trọng 25 Bảng 2.6 - Các vectơ Cơ sở, Tạm thời Môi trường 26 Bảng 2.7 - Giá trị số liệu 29 Bảng 3.1 - Bảng ca sử dụng mô-đun quản lý tác vụ 49 Bảng 3.2 - Lược đồ sở liệu 51 Bảng 3.3 - Ca sử dụng Tạo tác vụ xác định rủi ro 52 Bảng 3.4 - Ca sử dụng hiển thị danh sách tác vụ dò quét xác định rủi ro 53 Bảng 3.5 - Ca sử dụng Cập nhật tác vụ dò quét xác định rủi ro 53 Bảng 3.6 - Ca sử dụng Xóa tác vụ dị qt rủi ro 54 Bảng 3.7 - Ca sử dụng Khởi động tiến trình dò quét rủi ro hệ thống 55 Bảng 3.8 - Ca sử dụng Tạm dừng tiến trình dị qt rủi ro hệ thống 55 Bảng 3.9 - Ca sử dụng Kết thúc tiến trình dị qt rủi ro hệ thống 56 Bảng 4.1 - Tổng hợp kết so sánh đánh giá rủi ro ATTT Nessus vScanner 67 Danh mục hình vẽ DANH MỤC HÌNH VẼ Hình 1.1 - Sơ đồ thể quy trình quản lý rủi ro Hình 1.2 - Các bước đánh giá rủi ro Hình 1.3 - Phương pháp tiếp cận theo cấp độ quản lý rủi ro Hình 2.1 - Mơ hình đề xuất triển khai hệ thống đánh giá, quản lý rủi ro ATTT 15 Hình 2.2 - Mơ hình kiến trúc tổng thể hệ thống đánh giá, quản lý rủi ro ATTT 16 Hình 2.3- Kiến trúc HostScanner 17 Hình 2.4- Các nhóm số liệu CVSS 23 Hình 2.5- Các số liệu phương trình CVSS 24 Hình 2.6- Các bước kỹ thuật thực dò quét lỗ hổng bảo mật 30 Hình 2.7- Phần mềm Zenmap sử dụng cơng cụ Nmap để dò quét mạng 31 Hình 2.8- Kiến trúc OpenVAS 35 Hình 2.9- Minh hoạ kết dò quét sử dụng Metaspoit Nexpose 36 Hình 3.1 - Cài đặt Python 42 Hình 3.2 - Cài đặt pip3 42 Hình 3.3 - Cài đặt thư viện tảng 42 Hình 3.4 - Cài đặt ospd_scanner 43 Hình 3.5 - Cài đặt ospd-ikeprobe 44 Hình 3.6 - Minh hoạ số mẫu thử lỗ hổng OpenVAS 45 Hình 3.7 - Kết thi hành mẫu dò quét NVTs 47 Hình 3.8 - Biểu đồ minh hoạ chức quản lý tác vụ 50 Hình 3.9 – chức quản lý danh mục dò quét rủi ro 51 Hình 3.10 - Các chức Quản lý tác vụ dò quét xác định rủi ro ATTT 54 Hình 4.1 - Màn hình thống kê liệu NVTs, CVEs 57 Hình 4.2 - Chi tiết mẫu thử lỗ hổng NVTs 58 Hình 4.3 - Danh mục chi tiết tập lỗ hổng CVEs 58 Hình 4.4 - Màn hình thống kê lỗ hổng phát 58 Hình 4.5 - Danh mục hệ thống tham gia kiểm thử 59 Hình 4.6 - Khởi tạo hệ thống đánh giá 60 Hình 4.7 - Khởi tạo tác vụ dò quét lỗ hổng 60 Chương 4: Thực nghiệm đánh giá Luồng kiện Yêu cầu đặc biệt o Luồng bản: ▪ Ca sử dụng bắt đầu người dùng chọn chức kết thúc tiến trình ▪ Hệ thống hiển thị trạng thái kết thúc tác vụ dò quét rủi ro ATTT hệ thống o Luồng thay thế: ▪ Hệ thống thông báo cho người dùng có lỗi xảy q trình thực Người dùng có vai trị quyền tạo tác vụ dị qt (có vai trị từ “Quản trị” trở lên, người tạo tác vụ có vai trị “Đánh giá”) Tiền điều kiện Người dùng đăng nhập vào hệ thống Hậu điều kiện Không Bảng 3.9 - Ca sử dụng Kết thúc tiến trình dị qt rủi ro hệ thống 3.4 Kết luận chương Trong chương trình bày chi tiết xây dựng giải pháp dị quét lỗ hổng bảo mật, môi trường phát triển cài đặt thư viện tảng dùng cho ứng dụng Từ đóng đề xuất xây dựng mơ-đun phát lỗ hổng hệ thống qua thư viện tập mẫu, mô đun quản lý tác vụ xác định rủi ro Kết thực nghiệm trình bày chương Học viên: Nguyễn Việt Dũng 56 Chương 4: Thực nghiệm đánh giá CHƯƠNG 4: THỰC NGHIỆM VÀ ĐÁNH GIÁ 4.1 Thực nghiệm rà quét lỗ hổng bảo mật 4.1.1 Mơi trường thực nghiệm Q trình xây dựng môi trường thực nghiệm triển khai hệ thống máy chủ có cấu sau: • CPU: Intel Xeon 12 core • RAM: 16GB • HDD: 50GB • OS: Ubuntu 18 4.1.2 Thơng tin chung hệ thống - Màn hình hệ thống, thể thống kê số lượng tập mẫu dùng cho dị qt đánh giá rủi ro an tồn thơng hệ thống Hình 4.1 - Màn hình thống kê liệu NVTs, CVEs Học viên: Nguyễn Việt Dũng 57 Chương 4: Thực nghiệm đánh giá - Màn hình danh mục chi tiết mẫu thử lỗ hổng NVTs: Hình 4.2 - Chi tiết mẫu thử lỗ hổng NVTs Hình 4.3 - Danh mục chi tiết tập lỗ hổng CVEs - Màn hình thống kê lỗ hỗng phát hiện: Hình 4.4 - Màn hình thống kê lỗ hổng phát Học viên: Nguyễn Việt Dũng 58 Chương 4: Thực nghiệm đánh giá 4.2 Kiểm thử đánh giá rủi ro ATTT hệ thống 4.2.1 Danh mục hệ thống tham gia kiểm thử Danh sách hệ thống tham gia kiểm thử đánh giá rủi ro an tồn thơng tin thể hình đây: Hình 4.5 - Danh mục hệ thống tham gia kiểm thử • Hệ thống SMARTADS: Đánh giá thử nghiệm máy chủ web vnptsmartads.vn • Hệ thống SMARTCLOUD: Đánh giá thử nghiệm máy chủ web smartcloud.vn Các bước thực tạo tác vụ dò quét: + Bước 1: Học viên: Nguyễn Việt Dũng 59 Chương 4: Thực nghiệm đánh giá Hình 4.6 - Khởi tạo hệ thống đánh giá + Bước 2: Hình 4.7 - Khởi tạo tác vụ dò quét lỗ hổng Học viên: Nguyễn Việt Dũng 60 Chương 4: Thực nghiệm đánh giá + Bước 3: Hình 4.8- Tiến trình thực dò quét lỗ hổng 4.2.2 Kịch thử nghiệm đánh giá rủi ro máy chủ Web vnptsmartads.vn a Mục tiêu Đánh giá khả dò quét lỗ hổng bảo mật máy chủ web vnptsmartads.vn, từ đưa báo cáo kết đánh giá chi tiết nguy rủi ro ATTT hệ thống b Kết mong muốn Đối với hệ thống đánh giá: Thu kết rò quét lỗ hổng bảo mật tồn hệ thống Xác định điểm yếu, lỗ hổng bảo mật máy chủ c Kết đạt Kết dò quét lỗ hổng, rủi ro hệ thống máy chủ Web dịch vụ vnptsmartads.vn thể sau: Chi tiết báo cáo đánh giá thể hình đây: Hình 4.9 - Chi tiết báo cáo đánh giá hệ thống máy chủ web vnptsmartads.vn Học viên: Nguyễn Việt Dũng 61 Chương 4: Thực nghiệm đánh giá Hình 4.10 - Thông tin chi tiết rủi ro SSL/TLS: Certificate Expired Thông tin kết tổng hợp báo cáo kết đánh giá: Hình 4.11 - Thơng tin kết đánh giá hệ thống máy chủ web vnptsmartads.vn Học viên: Nguyễn Việt Dũng 62 Chương 4: Thực nghiệm đánh giá Thơng tin cụ thể báo cáo sau: Hình 4.12 - Báo cáo chi tiết lỗ hổng FTP Unencrypted Cleartext Login d Nhận xét, đánh giá - Hệ thống đánh giá hoạt động tốt, khơng có lỗi xảy chạy quản lý rủi ro ATTT từ lỗ hổng máy chủ dịch vụ vnptsmartads.vn - Các lỗ hổng mức độ rủi ro hệ thống dò quét phát máy chủ web xác Hỗ trợ cho đội ngũ quản trị nhận biết rủi ro để xử lý Học viên: Nguyễn Việt Dũng 63 Chương 4: Thực nghiệm đánh giá 4.2.3 Kịch thử nghiệm đánh giá máy chủ Web dịch vụ smartcloud.vn a Mục tiêu Đánh giá khả dò quét lỗ hổng bảo mật máy chủ web dịch vụ smartcloud.vn, từ đưa báo cáo kết đánh giá chi tiết nguy rủi ro ATTT hệ thống b Kết mong muốn Đối với hệ thống đánh giá: Thu kết rò quét lỗ hổng bảo mật tồn hệ thống Xác định điểm yếu, lỗ hổng bảo mật máy chủ c Kết đạt Kết dò quét lỗ hổng, rủi ro hệ thống máy chủ Web dịch vụ smartcloud.vn thể sau: Chi tiết báo cáo đánh giá thể hình đây: Hình 4.13 - Chi tiết báo cáo đánh giá hệ thống máy chủ web vnptsmartads.vn Học viên: Nguyễn Việt Dũng 64 Chương 4: Thực nghiệm đánh giá Hình 4.14 - Thông tin chi tiết rủi ro SSL/TLS Thông tin kết tổng hợp báo cáo kết đánh giá: Hình 4.15- Thông tin kết đánh giá hệ thống web smartcloud.vn Học viên: Nguyễn Việt Dũng 65 Chương 4: Thực nghiệm đánh giá Thông tin cụ thể báo cáo sau: Hình 4.16 - Báo cáo chi tiết lỗ hổng SSL/TLS d Nhận xét, đánh giá: - Hệ thống đánh giá hoạt động tốt, khơng có lỗi xảy chạy quản lý - rủi ro ATTT từ lỗ hổng máy chủ Web dịch vụ smartcloud.vn Các lỗ hổng mức độ rủi ro hệ thống dò quét phát máy chủ web xác Hỗ trợ cho đội ngũ quản trị nhận biết rủi ro để xử lý Học viên: Nguyễn Việt Dũng 66 Chương 4: Thực nghiệm đánh giá 4.3 Thử nghiệm so sánh, đánh giá kết so với Nessus a Mục tiêu Kịch thực để so sánh, đánh giá kết thu trình đánh giá rủi ro ATTT hệ thống Web dịch vụ vnptsmartads.vn so với sản phẩm thương mại sử dụng nay: Tenable Nessus b Kết mong muốn Kết xác định rủi ro hai sản phẩm tương đương c Kết đạt Kết dò quét lỗ hổng, rủi ro hệ thống máy chủ Web dịch vụ vnptsmartads.vn thực sau: Hình 4.17 - Thơng tin kết đánh giá hệ thống vnptsmartads.vn Nessus Kết tổng hợp thông tin cụ thể so sánh kết hai hệ thống sau: Hệ thống vScanner (High-Medium-Low-Info) Nessus (Critical-High-Medium-Low-Info) 0-11-1-36 0-0-8-2-34 Máy chủ web dịch vụ vnptsmartads.vn Bảng 4.1 - Tổng hợp kết so sánh đánh giá rủi ro ATTT Nessus vScanner d Nhận xét, đánh giá: Qua kết đánh giá nhận thấy, hệ thống vScanner phát nguy rủi ro ATTT tương tự sản phẩm thương mại tiếng thị trường Tenable Nessus 4.4 Kết luận chương Trong chương chúng tơi trình bày chi tiết thực nghiệm đánh giá giải pháp dò quét lỗ hổng bảo mật, bao gồm mô tả môi trường phát triển thông tin chung hệ thống Luận văn thực nghiệm hệ thống tổ chức có kết đáp ứng yêu cầu Bên cạnh chúng tơi thực so sánh với sản phẩm thương mại có thị trường, cho kết tương đương Kết thu thể kết tốt với yêu cầu toán đặt ra, cho phép kết luận luận văn đạt kết tốt Học viên: Nguyễn Việt Dũng 67 Kết luận hướng phát triển KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ❖ Kết luận Trong pham vi nghiên cứu luận văn, nội dung trình bày: Lý thuyết quy trình quản lý rủi ro phương pháp đánh giá ATTT hệ thống Từ nghiên cứu sở lý thuyết trạng rủi ro ATTT hệ thống đơn vị, tổ chức, dẫn đến tốn xây dựng phần mềm dị lỗ hổng bảo mật phục vụ cho việc đánh giá rủi ro ATTT, hỗ trợ khắc phục điểm yếu hệ thống Luận văn thực nghiên cứu tìm hiểu giải pháp dò quét lỗ hổng để xây dựng phần mềm vScanner thực dò quét lỗ hổng hệ thống từ xa Kế tiếp, luận văn trình bày chi tiết bước phân tích thiết kế mơ-đun dị qt lỗ hổng thực xây dựng dịch vụ dị qt web cách trực quan hóa Về thực nghiệm, luận văn thực tiến hành đánh giá dò quét lỗ hổng hệ thống với CSDL mẫu thử, từ sinh báo cáo thông kê chi tiết lỗ hổng để đánh giá kết thu giải pháp dị qt lỗ hổng Thêm vào đó, chúng tơi so sánh kết thu với số phần mềm thương mại cho kết tương đương ❖ Hướng phát triển: - Nghiên cứu để xây dựng giải pháp tổng thể phục vụ công tác quản trị rủi ro hệ thống thông tin - Nghiên cứu ứng dụng phương pháp học máy việc dò quét lỗ hổng bảo mật - Ứng dụng kỹ thuật hỗ trợ xử lý rủi ro an tồn thơng tin - Hồn thiện hệ thống dị qt lỗ hổng bảo mật hỗ trợ quản lý đánh giá rủi ro Học viên: Nguyễn Việt Dũng 68 Tài liệu tham khảo TÀI LIỆU THAM KHẢO Tiếng Việt Tiêu chuẩn quốc gia TCVN 10295:2014 (ISO/IEC 27005:2011) - Công nghệ thơng tin – Các kỹ thuật an tồn thơng tin – Quản lý rủi ro an tồn thơng tin Báo cáo tổng kết đề tài, “Nghiên cứu, xây dựng hệ thống đánh giá, quản lý rủi ro hỗ trợ xử lý cố an tồn thơng tin Chính phủ điện tử”, mã số KC.01.19/16-20 Tiếng Anh ISO/IEC 27001, Information technology - Security techniques - Information security management systems: Requirements http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber =54534 ISO/IEC 15408, Information technology - Security techniques - Evaluation criteria for IT security ISO/IEC 27005:2011, Information technology - Security techniques - Information security risk management (second edition) NIST Cybersecurity Framework (Framework for Improving Critical Infrastructure Cybersecurity), 2014 NIST SP 800-39 (2011), Managing Information Security Risk: Organization, Mission, and Information System View http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf Hệ thống quét đánh giá lỗ hổng mở, https://www.openvas.org Nikita Jhala, “Network Scanning & Vulnerability Assessment with Report Generation”, 2014 10 Nessus review by Gartner, https://www.gartner.com/reviews/market/vulnerabilityassessment/vendor/tenable/product/nessus-vulnerability-scanner 11 “OWASP Risk Rating Methodology”, https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology 12 “Common Vulnerability Scoring System v3.1: Specification Document”, https://www.first.org/cvss/v3.1/specification-document 13 Hệ thống khai thác thông tin mạng kiểm tra bảo mật mở, https://nmap.org Học viên: Nguyễn Việt Dũng 69 Tài liệu tham khảo 14 Gordon Fyodor Lyon, “Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning” 15 Information Security Handbook by Darren Death, 2017 16 Irfan Shakeel, “The Art of Network Vulnerability Assessment”, Infosec, 2015 17 Sugandh Shah, B M Mehtre, “An overview of vulnerability assessment and penetration testing techniques”, J Comput Virol Hack Tech, 2014 Học viên: Nguyễn Việt Dũng 70 ... TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DỊ QT LỖ HỔNG TRONG CÁC HỆ THỐNG THƠNG TIN Ngành: Công nghệ thông tin Chuyên ngành: Quản lý hệ thống thông tin Mã số : 8480205.01... xây dựng giải pháp dò quét lỗ hổng bảo mật hệ thống thông tin đơn vị, tổ chức Trong phạm vi chương này, đề xuất xây dựng giải pháp phần mềm vScanner dùng cho dò quét từ xa lỗ hổng hệ thống, phục... đoan luận văn tốt nghiệp ? ?Nghiên cứu phát triển giải pháp dò quét lỗ hổng hệ thống thơng tin? ?? cơng trình nghiên cứu thực của thân, xây dựng thực sở khảo sát, nghiên cứu tình hình thực tiễn hướng