HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG PHẠM MINH TUẤN NGHIÊN CỨU VẤN ĐỀ AN TỒN BẢO MẬT THƠNG TIN VÀ ĐỀ XUẤT GIẢI PHÁP AN TOÀN HỆ THỐNG THÔNG TIN TẠI TRUNG TÂM LƯU TRỮ CƠ SỞ DỮ LIỆU ADN TRỰC THUỘC CỤC NGƯỜI CĨ CƠNG LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – NĂM 2022 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG PHẠM MINH TUẤN NGHIÊN CỨU VẤN ĐỀ AN TỒN BẢO MẬT THƠNG TIN VÀ ĐỀ XUẤT GIẢI PHÁP AN TỒN HỆ THỐNG THƠNG TIN TẠI TRUNG TÂM LƯU TRỮ CƠ SỞ DỮ LIỆU ADN TRỰC THUỘC CỤC NGƯỜI CĨ CƠNG Chun ngành: Kĩ thuật viễn thơng Mã số: 8.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN NGỌC MINH Hà Nội – NĂM 2022 LỜI CAM ĐOAN Tôi cam đoan cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Hà Nội, ngày 23 tháng năm 2022 Tác giả Phạm Minh Tuấn LỜI CẢM ƠN Lời , học viên xin chân thành cảm ơn đến thầy giáo, cô giáo thuộc Học viện cơng nghệ Bưu viễn thơng, Khoa Đào tạo sau đại học - Học viện Công nghệ Bưu viễn thơng giảng dạy, truyền đạt nội dung kiến thức, kinh nghiệm quý báu suốt trình học viên theo học Học viện mà nhờ đó, học viên trau dồi, bổ sung, hồn thiện hệ thống kiến thức chuyên môn, đáp ứng tốt yêu cầu công tác đơn vị.  Đặc biệt, học viên xin gửi lời cảm ơn trân thành tới người hướng dẫn khoa học, thầy giáo TS Nguyễn Ngọc Minh, Khoa Kĩ thuật điện tử - Học viện Cơng nghệ Bưu viễn thơng tâm huyết, tận tình bảo, hướng dẫn, định hướng đắn giúp học viên hoàn thành luận văn Học viên xin bày tỏ cảm ơn sâu sắc tới gia đình, đồng nghiệp tập thể lớp Cao học Kĩ thuật viễn thông- Đợt năm 2020 đồng hành, khích lệ chia sẻ suốt trình học tập Trân trọng cảm ơn./ Hà Nội, ngày 23 tháng năm 2022 Học viên Phạm Minh Tuấn MỤC LỤC MỤC LỤC iii DANH MỤC BẢNG BIỂU vi DANH MỤC HÌNH VẼ vii MỞ ĐẦU CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VỀ AN TỒN, BẢO MẬT THƠNG TIN .3 Khái qt an tồn, bảo mật thơng tin 1.1.Giới thiệu an toàn, bảo mật thông tin 1.2.Thực trạng an tồn, bảo mật thơng tin Hệ thống thơng tin, mức độ an tồn, bảo mật hệ thống thông tin, mối nguy hiểm an tồn hệ thống thơng tin 2.1.Hệ thống thông tin 2.2.Đảm bảo an tồn hệ thống thơng tin 2.3.Các mức độ an toàn bảo mật hệ thống thông tin 2.4.Một số yêu cầu bảo mật cho Hệ thống thông tin 10 2.5.Một số nguy hệ thống thông tin 13 KẾT LUẬN CHƯƠNG I 14 CHƯƠNG II: CƠ SỞ DỮ LIỆU, HỆ THỐNG QUẢN LÝ CƠ SỞ DỮ LIỆU, ỨNG DỤNG WEB 15 Tổng quan Cơ sở liệu .15 1.1.Kiến trúc ba lược đồ liệu độc lập .15 1.2.Kiến trúc tập trung Kiến trúc Máy khách/Máy chủ cho DBMS 17 1.3.Phân loại Cơ sở liệu 22 Hệ thống quản lý sở liệu 24 2.1.Nền tảng phát triển hệ thống 24 2.2.Một số hệ quản trị sở liệu 28 Công nghệ ứng dụng web, nguy bảo mật công nghệ ứng dụng web 29 3.1.Giới thiệu công nghệ ứng dụng web .29 3.2.Hoạt động ứng dụng web, nguy bảo mật ứng dụng web 30 KẾT LUẬN CHƯƠNG II 34 CHƯƠNG III: ĐỀ XUẤT GIẢI PHÁP AN TỒN HỆ THỐNG THƠNG TIN TẠI TRUNG TÂM LƯU TRỮ CSDL ADN 35 Giới thiệu chung 35 1.1 Tổng quan Trung tâm .35 1.2 Sơ đồ hệ thống 35 Khảo sát trạng Trung tâm lưu trữ CSDL ADN 36 2.1 Khảo sát hệ thống hạ tầng kết nối .36 2.2 Khảo sát Hệ thống phần mềm quản lý sở liệu Trung tâm lưu trữ CSDL AND 39 2.3 Giao diện nguyên lý vận hành hệ thống quản lý CSDL ADN liệt sĩ .43 2.4 Đánh giá 48 Đề xuất giải pháp an tồn hệ thống thơng tin Trung tâm lưu trữ CSDL ADN 50 3.1 Giới thiệu chung 50 3.2 Giải pháp Zed Attack Proxy (ZAP) .50 Mô thử nghiệm giải pháp 52 4.1 Kịch mô .52 4.2 Các bước thực .52 4.3 Kết mô thử nghiệm 55 4.4 Đánh giá kết mô 61 Kết luận chương 62 KẾT LUẬN 63 Các kết đạt 63 Hướng nghiên cứu 63 DANH MỤC TÀI LIỆU THAM KHẢO 64 DANH MỤC TỪ NGỮ VIẾT TẮT STT Từ viết tắt Nghĩa tiếng Anh AJAX Asynchronous Javascript and XML API CSRF Application Programming Interface Cross-Site Request Forgery CSS Cascading Style Sheets DOM Document Object Model DoS HTTP Denial of Services HyperText Transfer Protocol IDS Intrusion Detection Systems OWASP 10 XSS Open Web Application Security Project Cross-Site Scripting 11 12 SOA SOAP 13 14 SSL URL 15 WAF Nghĩa tiếng Việt Phương thức trao đổi liệu với máy chủ cập nhật hay nhiều phần trang web Giao diện lập trình ứng dụng Giả mạo yêu cầu liên kết trang Ngôn ngữ tạo phong cách cho trang web Mơ hình Các Đối tượng Tài liệu Tấn cơng từ chối dịch vụ Giao thức truyền tải siêu văn Hệ thống phát xâm nhập Dự án mở bảo mật ứng dụng web Một dạng kỹ thuật công vào code injection máy khách Service Oriented Architecture Kiến trúc hướng dịch vụ Simple Object Access Protocol Giao thức truy cập đối tượng đơn giản Secure Sockets Layer Lớp socket bảo mật Uniform Resource Locator Hệ thống định vị tài nguyên thống Web application firewall Tường lửa ứng dụng web DANH MỤC BẢNG BIỂU Bảng 1.1: Ba mức độ tác động tương ứng lên hệ thống Bảng 1.2: Phân loại thông tin theo 06 cấp độ Bảng 1.3: Bảng mô tả cấp độ an tồn thơng tin theo Luật an tồn thơng tin Bảng 3.1 : Kết kiểm tra lỗ hổng bảo mật hệ thống csdl.lietsi.vn 55 Bảng 3.2 : Kết kiểm tra lỗ hổng bảo mật website: tutorialsninja.com 58 DANH MỤC HÌNH VẼ Hình 1.1: Các cấp độ an tồn thơng tin 10 Hình 2.1: Kiến trúc ba lược đồ 15 Hình 2.2 : Mơ hình kiến trúc tập trung 18 Hình 2.3: Kiến trúc logic máy khách/máy chủ 19 Hình 2.4: Kiến trúc vật lý hai tầng máy khách/máy chủ 19 Hình 2.5: Kiến trúc ba tầng logic máy khách/máy chủ 21 Hình 2.6: Hoạt động ứng dụng web 30 Hình 3.1: Sơ đồ cấu trúc Trung tâm lưu trữ CSDL ADN .36 Hình 3.2: Mơ hình hệ thống Trung tâm thông tin .37 Hình 3.3: Sơ đồ kết nối hệ thống máy chủ ảo hóa 37 Hình 3.4: Mơ hình kết nối hạ tầng hệ thống Trung tâm lưu trữ ADN 38 Hình 3.5: Mơ hình kiến trúc ứng dụng Bộ Lao động - Thương binh Xã hội .39 Hình 3.6: Mơ hình kiến trúc liệu Bộ Lao động - Thương binh Xã hội 40 Hình 3.7: Mơ hình kiến trúc lớp hệ thống 42 Hình 3.8: Giao diện hệ thống phần mềm .44 Hình 3.9: Sơ đồ tổng thể hệ thống 44 Hình 3.10: Mơ hình tích hợp trao đổi liệu 48 Hình 3.11 : Nguyên tắc hoạt động ZAP 51 Hình 3.12 : Khởi tạo ZAP 53 Hình 3.13 : Thiết lập thơng số ZAP .53 Hình 3.14: Đăng nhập hệ thống để qt lỗi an tồn thơng tin 54 Hình 3.15: Quá trình quét lỗ hổng 54 Hình 3.16: Kết trình quét lỗ hổng bảo mật 54 Hình 3.17: Báo cáo lỗ hổng phịng chống cơng CSRF 55 Hình 3.18: Báo cáo lỗ hổng thiếu phương pháp chống cơng clickjacking 57 Hình 3.19 : Báo cáo lỗ hổng Cross Site Scripting (XSS-Reflected) 59 Hình 3.20: Báo cáo lỗ hổng chuyển hướng bên (External Redirect) .59 Hình 3.21: Báo cáo lỗ hổng Path Traversal .60 Hình 3.22: Báo cáo lỗ hổng RFI (Remote file inclusion) 61 MỞ ĐẦU Ngày 03/6/2020, Thủ tướng Chính phủ ban hành Quyết định Phê duyệt “Chương trình Chuyển đổi số Quốc gia đến năm 2025, định hướng đến năm 2030” với tầm nhìn đến năm 2030, Việt Nam trở thành quốc gia số, ổn định thịnh vượng, tiên phong thử nghiệm cơng nghệ mơ hình mới; đổi bản, tồn diện hoạt động quản lý, điều hành Chính phủ, hoạt động sản xuất kinh doanh doanh nghiệp, phương thức sống, làm việc người dân, phát triển mơi trường số an tồn, nhân văn, rộng khắp Trên sở đó, Bộ, ban, ngành địa phương đẩy mạnh ứng dụng công nghệ thông tin, chuyển đổi số vào hoạt động xử lý cơng việc Cùng với việc triển khai xây dựng thu thập thông tin, tài liệu, hồ sơ chuyển hóa thành liệu, tạo lập sở liệu để lưu trữ, quản lý phục vụ mục đích quản lý nhà nước Bộ Lao động - Thương binh Xã hội đẩy mạnh ứng dụng Công nghệ thông tin lĩnh vực quản lý Nhà nước, kể đến việc xây dựng Cơ sở liệu , trang thông tin điện tử để phục vụ người dân, doanh nghiệp như: sở liệu quốc gia Việc làm, Cổng thông tin điện tử liệt sĩ, mộ liệt sĩ, nghĩa trang liệt sĩ, sở liệu ADN liệt sĩ Do đó, việc đảm bảo an tồn thơng tin Bộ Lao động - Thương binh Xã hội nói chung đơn vị Quản lý nhà nước trực thuộc nói riêng điều cần thiết Trung tâm lưu trữ sở liệu ADN thuộc Cục Người có cơng xây dựng để phục vụ cơng tác xác định hài cốt liệt sĩ cịn thiếu thơng tin, hệ thống phần mềm sở liệu có chức lưu trữ, tra cứu, phân tích, so sánh, đối khớp liệu ADN hài cốt liệt sĩ, thân nhân liệt sĩ để xác định hài cốt liệt sĩ cịn thiếu thơng tin Do việc bảo mật hệ thống thông tin việc quan trọng cần thiết Từ lí trên, học viên lựa chọn đề tài “Nghiên cứu vấn đề an tồn bảo mật thơng tin đề xuất giải pháp an tồn hệ thống thơng tin Trung tâm lưu trữ Cơ sở liệu ADN trực thuộc Cục Người có cơng” cho luận văn tốt nghiệp trình độ đào tạo thạc sĩ Mục tiêu nghiên cứu Mục tiêu tổng quan: Mục tiêu tổng quan luận văn nghiên cứu vấn đề an toàn bảo mật thơng tin, khảo sát thực tiễn, đánh giá, phân tích đề xuất giải pháp an tồn hệ thống thơng tin Trung tâm lưu trữ CSDL ADN thuộc Cục Người có cơng 55 Hình 3.14: Đăng nhập hệ thống để qt lỗi an tồn thơng tin Bước : Thực trình, sử dụng spider truyền thống để thu thập thơng tin, sau trình qt ứng dụng xác định lỗ hổng cách sử dụng phương pháp công vào mục tiêu mà nhận từ q trình qt Hình 3.15: Quá trình quét lỗ hổng Bước : Nhận kết cảnh báo lỗ hổng Hình 3.16: Kết trình quét lỗ hổng bảo mật 56 7.3 Kết mô thử nghiệm 7.3.1 Đánh giá kết kiểm tra lỗ hổng hệ thống phần mềm quản lý csdl.lietsi.vn Tổng số lỗ hổng phát : 11, : Cảnh báo mức Cảnh báo mức Cảnh báo mức Cảnh báo cao (High Priority trung bình thấp (Low Priority mức thấp Alerts) (Medium Priority Alerts) (Informational Alerts) Priority Alerts) Bảng 3.1 : Kết kiểm tra lỗ hổng bảo mật hệ thống csdl.lietsi.vn Ba lỗi cảnh báo mức trung bình gồm : Lỗ hổng khơng có phịng chống cơng CSRF (Cross-site Request Forgery), - kĩ thuật cơng giả mạo Hình 3.17: Báo cáo lỗ hổng phịng chống cơng CSRF CSRF kiểu cơng mà tin tặc gửi request giả mạo đến máy chủ tạo nhầm lẫn tăng tính xác thực, cấp quyền người bị cơng Do đó, lỗ hổng CSRF tác động trực tiếp đến quyền người sử dụng hệ thống ví dụ quản trị viên, kết tin tặc có truy cập với quyền truy cập đầy đủ 57 Khi gửi yêu cầu HTTP, trình duyệt nạn nhân nhận Cookie Cookie lưu trữ session thông qua đó, người dùng khơng phải xác thực lại cho yêu cầu gửi lên Nếu phiên làm việc xác thực nạn nhân lưu trữ Cookie cịn hiệu lực, ứng dụng khơng bảo mật dễ bị cơng CSRF Kẻ cơng thử dụng CSRF để chạy requets với ứng dụng web mà trang web phân biệt request thực hay giả mạo Một số giải pháp để phòng chống lỗi :  Đối với người quản trị viên người sử dụng hệ thống  Đăng xuất khỏi tài khoản sau lần sử dụng  Hạn chế click vào đường link nhận qua đường thư điện tư, mạng xã hội…  Đăng xuất không lưu mật trình duyệt  Về phía nhà phát triển ứng dụng, hệ thống :  Sử dụng captcha, thông báo để nhận biết đối tượng truy cập, thao tác hệ thống người hay không  Sử dụng mã csrf thay đổi liên tục phiên làm việc, thay đổi thông tin gửi kèm thông tin mã Nếu mã cấp mã gửi lên ko trùng loại bỏ yêu cầu  Để trang quản trị subdomain riêng để chúng không dùng chung cookies với front end sản phẩm Lỗ hổng thiếu nội dung chống cơng clickjacking 58 Hình 3.18: Báo cáo lỗ hổng thiếu phương pháp chống công clickjacking Kĩ thuật cơng clickjacking, cịn gọi “cuộc công chỉnh sửa giao diện người dùng”, kẻ công sử dụng nhiều lớp frame để lừa người dùng nhấp vào nút liên kết mà người sử dụng nghĩ đối tượng truy cập thực chất nhấp vào đối tượng khác Và vậy, kẻ công "chiếm quyền điều khiển" nhấp chuột dành cho trang họ định tuyến chúng đến trang khác, thuộc sở hữu ứng dụng, miền khác hai Giải pháp để ngăn chặn lỗi :  Sử dụng mã phòng thủ giao diện người sử dụng để đảm bảo khung cửa sổ cấp cao  Sử dụng X-Frame-Options HTTP header để biểu thị có khơng cho phép trình duyệt render thẻ , , Lỗ hổng thư viện jquery phiên 1.9.1 sử dụng có lỗ hổng jQuery thư viện làm cho JavaScript dễ tiếp cận thao tác với DOM trở nên dễ dàng Cú pháp dễ dàng jQuery hình thành hệ nhà phát triển client-side Một vài năm trước đây, jQuery xem giải pháp vững chãi để xây dựng website mạnh mẽ, với hỗ trợ đa trình 59 duyệt Các tính cốt yếu jQuery xử lý DOM dựa CSS selectors, event handling gọi AJAX thúc đẩy phổ biến Các phiên 1.9.1 dễ bị công Cross-site Scripting (XSS) truyền HTML có chứa phần tử từ nguồn không đáng tin cậy - sau làm - đến phương pháp thao tác DOM jQuery (tức html (), append ()…) thực thi mã khơng đáng tin cậy Giải pháp khắc phục lỗ hổng : Nâng cấp lên phiên 3.5.1 thông qua mở file functions.php sử dụng đoạn code sau: //Install jQuery 3.5.1 - jQuery CDN function vts_custom_jquery() { wp_deregister_script('jquery'); wp_register_script('jquery', ("https://vutruso.com/wpcontent/themes/vutrus/js/jquery.min.js"), false); wp_enqueue_script('jquery'); } add_action('wp_enqueue_scripts', 'vts_custom_jquery'); 7.3.2 Kết kiểm tra lỗ hổng website: tutorialsninja.com Tổng số lỗ hổng phát : 21, : Cảnh báo mức Cảnh báo mức Cảnh báo mức Cảnh báo khuyến cao (High Priority trung bình thấp (Low Priority nghị Alerts) (Medium Priority Alerts) (Informational Alerts) Priority Alerts) Bảng 3.2 : Kết kiểm tra lỗ hổng bảo mật website: tutorialsninja.com Bốn lỗi cảnh báo mức cao gồm : Lỗ hổng Cross Site Scripting (XSS-Reflected) Tấn công XSS đoạn mã độc, để khái thác lỗ hổng XSS, hacker chèn mã độc thông qua đoạn script để thực thi chúng phía Client Tấn cơng XSS thường đánh cắp liệu nhận dạng người dùng cookies, session tokens… 60 Hình 3.19 : Báo cáo lỗ hổng Cross Site Scripting (XSS-Reflected) Giải pháp ngăn chặn lỗi :  Xác thực đầu vào: liệu đầu vào người dùng cần xác thực xác, làm sở để đảm bảo tính bảo mật hệ thống  Lọc đầu vào người dùng Ý tưởng lọc tìm kiếm từ khóa nguy hiểm mục nhập người dùng xóa chúng thay chúng chuỗi trống Lỗ hổng chuyển hướng bên ngồi (External Redirect) Hình 3.20: Báo cáo lỗ hổng chuyển hướng bên ngồi (External Redirect) 61 Trình chuyển hướng URL đại diện cho chức phổ biến trang web sử dụng để chuyển tiếp yêu cầu đến đến tài nguyên thay Điều thực nhiều lý thường thực phép tài nguyên di chuyển cấu trúc thư mục tránh phá vỡ chức cho người dùng yêu cầu tài nguyên vị trí trước Các trình chuyển hướng URL sử dụng để thực cân tải, tận dụng URL viết tắt ghi lại liên kết Các trình chuyển hướng URL không thiết đại diện cho lỗ hổng bảo mật trực tiếp bị lạm dụng kẻ công cố gắng để người bị công tin họ điều hướng đến trang web khơng phải đích thực Giải pháp cho lỗi này:  Cần có danh sách tĩnh vị trí hợp lệ để chuyển hướng  Whitelist tham số người dùng xác định (tương đối phức tạp) Lỗ hổng Path Traversal Path traversal (hay gọi Directory traversal) lỗ hổng web cho phép kẻ công đọc file không mong muốn server Nó dẫn đến việc bị lộ thơng tin nhạy cảm ứng dụng thông tin đăng nhập , số file thư mục hệ điều hành Trong số trường hợp ghi vào files server, cho phép kẻ công thay đổi liệu hay chí chiếm quyền điều khiển server Hình 3.21: Báo cáo lỗ hổng Path Traversal Giải pháp lỗi này: 62  Xác thực đầu vào người dùng trước xử lý  Sử dụng whitelist cho giá trị cho phép  Tên file kí tự số,chữ không nên chứa ký tự đặc biệt Lỗ hổng RFI (Remote file inclusion) RFI công nhắm vào lỗ hổng ứng dụng web tham chiếu động tập lệnh bên Mục tiêu tin tặc khai thác chức tham chiếu ứng dụng để tải lên phần mềm độc hại (ví dụ: backdoor shell) từ URL từ xa nằm miền khác Hình 3.22: Báo cáo lỗ hổng RFI (Remote file inclusion) Giải pháp ngăn chặn:  Sử dụng tường lửa ứng dụng web (WAF) giám sát đầu vào người dùng lọc yêu cầu độc hại WAF triển khai proxy an toàn chặn nỗ lực RFI rìa máy chủ trước chúng tương tác với ứng dụng web 7.4 Đánh giá kết mô Dựa kết mô phỏng, ta thấy Zed Attack Proxy cơng cụ hữu ích quản trị viên việc kiểm soát lỗ hổng bảo mật hệ thống phần mềm sở quản lý Trung tâm lưu trữ CSDL ADN Zed Attack Proxy số lỗ hổng bảo mật hệ thống phần mềm quản lý sở liệu liệt sĩ website giải lập, đồng thời phân tích, cung cấp số thông tin liên quan đến lỗ hổng Dựa sở đó, quản trị viên nắm bắt vấn đề trao 63 đổi với đơn vị phát triển hệ thống để có phương án khắc phục lỗ hổng để đảm bảo an tồn hệ thống thơng tin Đồng thời, công cụ giúp quản trị viên kiểm tra lỗ hổng bảo mật tích hợp hai sở liệu trình bày trước hệ thống đưa vào hoạt động Ngồi cơng cụ hỗ trợ quản trị viên quản trị hệ thống website, quản trị hệ thống phần mền quản lý sở liệu việc kiểm soát lỗ hổng sau phiên cập nhật ứng dụng Điều đảm bảo hệ thống thông tin vận hành ổn định, an toàn tránh khỏi nguy đáng tiếc, đặc biệt hệ thống sở liệu quan trọng quan quản lý nhà nước nói chung Trung tâm lưu trữ CSDL ADN nói riêng 64 KẾT LUẬN CHƯƠNG Tại chương 3, luận văn khảo sát thực tế hệ thống hạ tầng hệ thống phần mềm quản lý sở liệu Trung tâm lưu trữ Cơ sở liệu ADN Trên sở kết khảo sát, luận văn đề xuất ứng dụng công cụ Zed Attack Proxy việc phát lỗ hổng bảo mật ứng dụng web Trung tâm lưu trữ CSDL ADN Cơng cụ giúp người quản trị hệ thống nắm bắt lỗ hổng bảo mật ứng dụng web Trung tâm sau lần nâng cấp, bảo trì Ngồi ra, cơng cụ hỗ trợ đơn vị công tác kiểm thử an toàn ứng dụng web triển khai giai đoạn dự án ứng dụng công nghệ thông tin vào số hoạt động lĩnh vực chun mơn Ngồi ra, luận văn tiến hành đánh giá thử nghiệm ứng dụng hệ thống quản trị liệu csdl.lietsi.vn (ứng dụng có cơng nghệ phát triển tương đồng với phần mềm quản lý csdl ADN) thử nghiệm website mô Kết ứng dụng phát hiện, đưa cảnh bảo số lỗ hổng bảo mật hai ứng dụng web Đây giúp đơn vị quản lý nhận biết lỗ hổng tại, đưa giải pháp để đảm bảo an toàn hệ thống thơng tin nói chung hệ thống thơng tin Trung tâm lưu trữ CSDL ADN nói riêng để đảm bảo hệ thống thông tin vận hành cách an tồn, thơng suốt 65 KẾT LUẬN Các kết đạt Trên sở mục tiêu nghiên cứu vấn đề án toàn bảo mật thơng tin đề xuất giải pháp an tồn hệ thống thông tin Trung tâm lưu trữ Cơ sở liệu ADN trực thuộc Cục Người có cơng, luận văn đạt số kết sau:  Nghiên cứu tổng quan an toàn, bảo mật thông tin, hệ thống thông tin, mức độ an tồn bảo mật thơng tin, số u cầu cho việc đảm bảo an tồn hệ thống thơng tin  Nghiên cứu kiến trúc sở liệu, phân loại sở liệu, tảng phát triển hệ thống quản lý sở liệu, công nghệ ứng dụng web nguy an toàn, an ninh ứng dụng web  Kháo sát trạng hạ tầng kĩ thuật hệ thống quản lý sở liệu Trung tâm lưu trữ CSDL ADN trực thuộc Cục Người có cơng  Đề xuất giải pháp, thử nghiệm đánh giá giải pháp phát lỗ hổng bảo mật hệ thống quản lý sở liệu ADN tảng ứng dụng web trực thuộc Trung tâm lưu trữ CSDL ADN Hướng nghiên cứu  Nghiên cứu giải pháp công nghệ, thuật tốn mã hóa để đảm bảo an tồn, bảo mật hệ thống thông tin, hệ thống quản lý sở liệu  Nghiên cứu ứng dụng công nghệ sinh trắc học, công nghệ để nhận dạng, giám sát đầu vào người sử dụng trình đăng nhập, tác nnghiệp hệ thống quản lý sở liệu  Nghiên cứu số công cụ quét lỗ hổng bảo mật hệ thống quản lý sở liệu 66 DANH MỤC TÀI LIỆU THAM KHẢO TÀI LIỆU TIẾNG VIỆT [1] Bộ Thông tin Truyền thông, Báo cáo việc tham khảo kinh nghiệm nước khu vực giới quản lý an tồn thơng tin, 36 trang [2] Bộ Thông tin Truyền thông, Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 việc Quy định chi tiết hướng dẫn số điều Nghị định 85/2016/NĐ-CP ngày 01/7/2016 Chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ, 26 trang [3] Chính phủ, Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 bảo đảm an toàn hệ thống thông tin theo cấp độ, 26 trang [4] Quốc hội khóa XIII kì họp thứ 10, Luật An tồn thơng tin mạng ngày 19/11/2015, 29 trang [5] TS.Hồng Xuân Dậu, Nguyễn Thị Thanh Thủy (2016), Bài giảng Cơ sở an tồn thơng tin, Học viện Cơng nghệ Bưu - Viễn thơng, NXB Thơng tin Truyền thơng, trang 11-69 [6] Sở Bưu Viễn thơng Hà Nội (2005), Giáo trình “Cơ sở liệu Phần 1”, Nhà xuất Hà Nội, 48 trang [7] Viện Kiểm sát nhân dân tỉnh Bình Định (2020), Bài giảng “An ninh mạng cơng tác phịng chống lọt, lộ thơng tin, 35 trang TÀI LIỆU TIẾNG ANH [8] Bruce Schneier (1996), Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd edition, Wiley [9] Matt Bishop (2004), Introduction to Computer Security, Addison-Wesley [10] Mike McGrath (2022), C# Programming in easy steps: Modern coding with C# 10 and NET Updated for Visual Studio 2022, 3rd edition, In Easy Steps Limited [11] Ramez Elmasri, Shamkant B Navathe (2016), Fundamentals of Database Systems, 7th edition, Pearson 67 [12] Ravi S Sandhu and Sushil Jajodia (1993), Data and Database Security and Controls, Handbook of Information Security Management, Auerbach Publishers, trang 481-499 [13] William Stallings (2005), Cryptography and Network Security Principles and Practices, Prentice Hall TÀI LIỆU TỪ INTERNET [14] https://aita.gov.vn/tong-quan-ve-khai-niem-co-so-du-lieu-phan-loai-co-so-dulieu-va-thao-luan-ve-co-so-du-lieu-trong-co-quan-nha-nuoc-phan-1 [15] https://cystack.net/vi/blog/tinh-hinh-an-ninh-mang [16] https://data.worldbank.org/indicator/NY.GDP.MKTP.CD [17] https://docs.broadcom.com/doc/istr-24-2019-en [18] http://m.antoanthongtin.vn/an-toan-thong-tin/tinh-hinh-an-ninh-mang-cua-vietnam-va-the-gioi-trong-quy-i2021-107145 [19]https://www.tuyengiao.vn/khoa-giao/khoa-hoc/su-co-an-ninh-mang-co-the-gaythiethai-1-745-ngan-ty-usd-115300 68 BẢN CAM ĐOAN Tôi cam đoan thực kiểm tra mức độ tương đồng nội dung luận văn qua hệ thống Kiểm tra tài liệu cách trung thực kết mức độ tương đồng 16% toàn nội dung luận văn Bản luận văn kiểm tra qua phần mềm cứng luận văn nộp để bảo vệ trước Hội đồng Nếu sai xin chịu hình thức kỷ luật theo quy định hành học viện./ Hà nội, ngày 23 tháng năm 2022 Tác giả luận văn Phạm Minh Tuấn 69 KẾT QUẢ KIỂM TRA TRÙNG LẮP Học viên Người hướng dẫn khoa học Phạm Minh Tuấn TS Nguyễn Ngọc Minh ... Nghiên cứu lí thuyết an tồn, bảo mật thông tin Nghiên cứu kiến trúc sở liệu, biện pháp an toàn, bảo mật sở liệu Nghiên cứu đề xuất giải pháp an toàn, bảo mật hệ thống thông tin Trung tâm lưu trữ. .. VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG PHẠM MINH TUẤN NGHIÊN CỨU VẤN ĐỀ AN TỒN BẢO MẬT THƠNG TIN VÀ ĐỀ XUẤT GIẢI PHÁP AN TOÀN HỆ THỐNG THÔNG TIN TẠI TRUNG TÂM LƯU TRỮ CƠ SỞ DỮ LIỆU ADN TRỰC THUỘC CỤC... sở lý thuyết an toàn, bảo mật thông tin Chương 2: Cơ sở liệu, hệ thống quản lý sở liệu, công nghệ ứng dụng web Chương 3: Đề xuất giải pháp an toàn hệ thống thông tin Trung tâm lưu trữ Cơ sở liệu