Nghiên cứu vấn đề an toàn bảo mật thông tin và đề xuất giải pháp an toàn hệ thống thông tin tại trung tâm lưu trữ cơ sở dữ liệu ADN trực thuộc cục người có công TT

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG PHẠM MINH TUẤN NGHIÊN CỨU VẤN ĐỀ AN TỒN BẢO MẬT THƠNG TIN VÀ ĐỀ XUẤT GIẢI PHÁP AN TOÀN HỆ THỐNG THÔNG TIN TẠI TRUNG TÂM LƯU TRỮ CƠ SỞ DỮ LIỆU ADN TRỰC THUỘC CỤC NGƯỜI CĨ CƠNG Chun ngành: Kĩ thuật viễn thơng Mã số: 8.52.02.08 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) Hà Nội – NĂM 2022 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS NGUYỄN NGỌC MINH Phản biện 1: TS Ngô Đức Thiện Phản biện 2: TS Hồ Văn Canh Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: 09 15 ngày 02 tháng năm 2022 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Ngày 03/6/2020, Thủ tướng Chính phủ ban hành Quyết định Phê duyệt “Chương trình Chuyển đổi số Quốc gia đến năm 2025, định hướng đến năm 2030” với tầm nhìn đến năm 2030, Việt Nam trở thành quốc gia số, ổn định thịnh vượng, tiên phong thử nghiệm cơng nghệ mơ hình mới; đổi bản, toàn diện hoạt động quản lý, điều hành Chính phủ, hoạt động sản xuất kinh doanh doanh nghiệp, phương thức sống, làm việc người dân, phát triển mơi trường số an tồn, nhân văn, rộng khắp Trên sở đó, Bộ, ban, ngành địa phương đẩy mạnh ứng dụng công nghệ thông tin, chuyển đổi số vào hoạt động xử lý cơng việc Cùng với việc triển khai xây dựng thu thập thông tin, tài liệu, hồ sơ chuyển hóa thành liệu, tạo lập sở liệu để lưu trữ, quản lý phục vụ mục đích quản lý nhà nước Bộ Lao động - Thương binh Xã hội đẩy mạnh ứng dụng Công nghệ thông tin lĩnh vực quản lý Nhà nước, kể đến việc xây dựng Cơ sở liệu , trang thông tin điện tử để phục vụ người dân, doanh nghiệp như: sở liệu quốc gia Việc làm, Cổng thông tin điện tử liệt sĩ, mộ liệt sĩ, nghĩa trang liệt sĩ, sở liệu ADN liệt sĩ Do đó, việc đảm bảo an tồn thơng tin Bộ Lao động - Thương binh Xã hội nói chung đơn vị Quản lý nhà nước trực thuộc nói riêng điều cần thiết Trung tâm lưu trữ sở liệu ADN thuộc Cục Người có cơng xây dựng để phục vụ cơng tác xác định hài cốt liệt sĩ cịn thiếu thơng tin, hệ thống phần mềm sở liệu có chức lưu trữ, tra cứu, phân tích, so sánh, đối khớp liệu ADN hài cốt liệt sĩ, thân nhân liệt sĩ để xác định hài cốt liệt sĩ cịn thiếu thơng tin Do việc bảo mật hệ thống thông tin việc quan trọng cần thiết Từ lí trên, học viên lựa chọn đề tài “Nghiên cứu vấn đề an tồn bảo mật thơng tin đề xuất giải pháp an tồn hệ thống thơng tin Trung tâm lưu trữ Cơ sở liệu ADN trực thuộc Cục Người có cơng” cho luận văn tốt nghiệp trình độ đào tạo thạc sĩ Bố cục luận văn gồm chương: Chương 1: Cơ sở lý thuyết an tồn, bảo mật thơng tin Chương 2: Cơ sở liệu, hệ thống quản lý sở liệu, công nghệ ứng dụng web Chương 3: Đề xuất giải pháp an tồn hệ thống thơng tin Trung tâm lưu trữ Cơ sở liệu ADN CHƯƠNG CƠ SỞ LÝ THUYẾT VỀ AN TỒN, BẢO MẬT THƠNG TIN Khái qt an tồn, bảo mật thơng tin 1.1 Giới thiệu an tồn, bảo mật thơng tin An tồn, bảo mật thơng tin việc bảo vệ, ngăn chặn truy cập trái phép, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, chép phá hủy thơng tin Thơng tin thơng tin vật lý điện tử Thơng tin điều hồ sơ cá nhân hay tổ chức, liệu kinh doanh, liệu điện thoại di động, sinh trắc học Các sách, giải pháp an tồn thơng tin xây dựng dựa mục tiêu, thường gọi CIA - Tính bảo mật (Confidentiality), Tính tồn vẹn, (Integrity), Tính khả dụng (Availability) Ngồi điều cịn có ngun tắc tác động lên sách an tồn, bảo mật thông tin như: Không từ chối (Non repudiation); Tính xác thực (Authenticity); Trách nhiệm giải trình (Accountability) Vấn đề cốt lõi An tồn thơng tin đảm bảo thơng tin, có nghĩa hành động trì thông tin CIA, đảm bảo thông tin không bị xâm phạm theo cách vấn đề quan trọng phát sinh 1.2 Thực trạng an tồn, bảo mật thơng tin Theo số liệu từ tổ chức an ninh quốc tế, số loại tội phạm nguy hiểm, tội phạm sử dụng công nghệ cao đứng thứ sau tội phạm khủng bố Theo nghiên cứu thực Frost & Sullivan Microsoft tiết lộ khả thiệt hại kinh tế khắp Châu Á - Thái Bình Dương gây cố an ninh mạng đạt mức 1,745 nghìn tỷ USD, tương đương 7% tổng GDP khu vực [15] Một số vụ việc gây thiệt hại lớn kể đến giới như: Facebook liên tiếp gây rị rỉ thơng tin người dùng; Google+ bị khai tử tồn lỗ hổng bảo mật gây rò rỉ liệu người dùng; tin tặc đánh cắp 90 GB liệu Apple hay gần Quý 1/2022, Samsung Electronics bị ảnh hưởng nghiêm trọng công mạng tàn khốc diễn ra, khiến nhiều liệu bí mật họ bị rò rỉ mạng (190Gb liệu nhạy cảm) Tại Việt Nam xảy nhiều vụ việc nghiêm trọng liên quan đến liệu cá nhân như: rị rỉ thơng tin liệu 5,4 triệu khách hàng Thế Giới Di Động; lộ liệu thông tin khách hàng FPT Shop; 275 nghìn liệu Ngân hàng Hợp tác xã Việt Nam bị tin tặc khai thác [7] Hệ thống thông tin, mức độ an toàn, bảo mật hệ thống thơng tin, mối nguy hiểm an tồn hệ thống thông tin 2.1 Hệ thống thông tin Hệ thống thơng tin tập hợp tích hợp thành phần để thu thập, lưu trữ, xử lý truyền đạt thông tin Doanh nghiệp tổ chức sử dụng hệ thống thông tin để quản lý hoạt động họ thị trường cung cấp dịch vụ nâng cao đời sống cá nhân Có hai loại hệ thống thông tin là: Hệ thống thông tin mục đích chung Hệ thống thơng tin chun ngành 2.2 Đảm bảo an tồn hệ thống thơng tin Để đảm bảo an ninh an tồn hệ thống thơng tin, cần phải cung cấp dịch vụ sau đây, đưa Xác thực: Đây hành động xác định xem thực thể (xác thực) có quyền thực hành động hay khơng; Đánh giá: Cung cấp lịch sử hoạt động sử dụng để xác định điều (nếu có) sai nguyên nhân dẫn đến sai sót; Xác thực vật lý: Một số quan, tổ chức xác thực chẳng hạn đối tượng (chìa khóa thẻ thông minh) đặc điểm cá nhân vân tay, mẫu võng mạc, hình học bàn tay; Bảo mật liệu: Nó bảo vệ chống lại việc tiết lộ liệu trình vận chuyển cung cấp cách mã hóa liệu 2.3 Các mức độ an toàn bảo mật hệ thống thông tin 2.3.1 Trên giới Việc xác định loại bảo mật hệ thống thơng tin địi hỏi phải phân tích phải xem xét hạng bảo mật tất loại thông tin thường trú hệ thống thông tin Cho hệ thống thông tin, giá trị tác động tiềm ẩn định cho mục tiêu an ninh tương ứng (tính bảo mật, tính tồn vẹn, tính khả dụng) phải giá trị cao (tức dấu nước cao) số giá trị danh mục bảo mật xác định cho loại thông tin cư trú hệ thống thông tin Định dạng tổng quát để thể loại bảo mật hệ thống thông tin là: SCinformation system = {(confidentiality, impact), (integrity, impact), (availability, impact)} giá trị chấp nhận tác động tiềm ẩn THẤP, TRUNG CẤP CAO Việc phân loại hệ thống thông tin dựa vào thuộc tính tác động với thông tin SCinformation system = {(confidentiality, impact), (integrity, impact), (availability, impact)} Trong SC mức độ an tồn hệ thống thông tin Đối với hệ thống thông tin, impact cần đặt giá trị cao số giá trị xác định cho loại thơng tin có hệ thống Bộ tiêu chuẩn FIPS 200 đưa ba phân loại bản: Hệ thống có tác động thấp: HTTT có yêu cầu thấp ba thuộc tính bí mật, tồn vẹn khả dụng Hệ thống có tác động trung bình: HTTT có thuộc tính trung bình, khơng có thuộc tính mức cao Hệ thống có tác động cao: HTTT có thuộc tính mức cao Bộ tiêu chuẩn FIPS 199 đưa ba mức độ tác động gồm mức thấp, trung bình, cao Căn vào ba thuộc tính: bí mật, tồn vẹn, khả dụng thơng tin ba mức độ tác động tương ứng, phân loại thơng tin theo 06 cấp độ gồm tuyệt mật, tối mật, mật, hạn chế, bảo vệ, hạn chế, không phân loại 2.3.2 Tại Việt Nam Phân loại cấp độ an tồn hệ thống thơng tin việc xác định cấp độ an tồn thơng tin hệ thống thơng tin theo cấp độ tăng dần từ đến để áp dụng biện pháp quản lý kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ Hình 1.1: Các cấp độ an tồn thơng tin 2.4 Một số yêu cầu bảo mật cho Hệ thống thông tin Bộ tiêu chuẩn FIPS 200 đưa yêu cầu an toàn tối thiểu cho HTTT tiêu chí: (i) quyền truy cập, kiểm sốt; (ii) nhận thức đào tạo; (iii) đánh giá trách nhiệm giải trình; (iv) chứng nhận, cơng nhận đánh giá an ninh; (v) quản lý cấu hình; (vi) lập kế hoạch dự phòng; (vii) nhận dạng xác thực; (viii) ứng phó cố; (ix) bảo trì; (x) bảo vệ phương tiện; (xi) vật lý bảo vệ môi trường; (xii) lập kế hoạch; (xiii) an ninh nhân sự; (xiv) đánh giá rủi ro; (xv) hệ thống dịch vụ mua lại; (xvi) bảo vệ hệ thống thơng tin liên lạc; (xvii) hệ thống tồn vẹn thông tin Mười bảy yếu tố đại diện cho an tồn thơng tin cân bằng, giải khía cạnh quản lý diện rộng , vận hành kỹ thuật việc bảo vệ thông tin hệ thống thông tin 2.5 Một số nguy hệ thống thơng tin  Lỗi bỏ sót, cố tình bỏ qua  Lừa đảo lấy cắp thông tin  Nguy từ tin tặc (hacker)  Lây lan mã độc  Tấn công từ chối dịch vụ  Social engineering KẾT LUẬN CHƯƠNG I Trong chương I, luận văn trình bày nội dung nghiên cứu an tồn, bảo mật thơng tin; tổng quan hệ thống thông tin, số yêu cầu để đảm bảo an tồn hệ thống thơng tin, nguy an tồn thơng tin Các vấn đề sở liệu, hệ thống quản lý sở liệu nội dung nghiên cứu Chương II CHƯƠNG II CƠ SỞ DỮ LIỆU, HỆ THỐNG QUẢN LÝ CƠ SỞ DỮ LIỆU, ỨNG DỤNG WEB Tổng quan Cơ sở liệu 2.6 Kiến trúc ba lược đồ liệu độc lập 2.6.1 Kiến trúc ba lược đồ Hình 2.1: Kiến trúc ba lược đồ Trong kiến trúc này, ba mức độ xác định lược đồ gồm: Mức nội (Internal Level) có giản đồ bên trong, mơ tả cấu trúc lưu trữ sở liệu Lược đồ nội sử dụng mơ hình liệu vật lý mô tả chi tiết đầy đủ lưu trữ liệu đường dẫn truy cập cho kho liệu Mức khái niệm (Conceptual Level) có lược đồ khái niệm, mơ tả cấu trúc toàn sở liệu cho cộng đồng người dùng Lược đồ khái niệm ẩn chi tiết cấu trúc lưu trữ vật lý tập trung vào việc mô tả thực thể, kiểu liệu, mối quan hệ, hoạt động người dùng ràng buộc Thơng thường, đại diện mơ hình liệu sử dụng để mô tả lược đồ khái niệm hệ thống sở liệu thực Lược đồ khái niệm triển khai thường dựa thiết kế lược đồ khái niệm mơ hình liệu mức cao Mức độ bên (External Level) chế độ xem bao gồm số lược đồ bên người dùng lượt xem Mỗi lược đồ bên ngồi mơ tả phần sở liệu mà nhóm người dùng quan tâm đến ẩn phần lại sở liệu khỏi nhóm người dùng Như cấp trước, giản đồ bên ngồi thường triển khai sử dụng mơ hình liệu đại diện, dựa thiết kế lược đồ mơ hình liệu khái niệm mức cao 2.6.2 Độc lập liệu Kiến trúc ba lược đồ sử dụng để giải thích thêm khái niệm tính độc lập liệu, định nghĩa khả thay đổi lược đồ cấp hệ thống sở liệu mà không cần phải thay đổi lược đồ cấp cao mức độ Có thể xác định hai loại độc lập liệu:  Độc lập liệu logic khả thay đổi lược đồ mà không cần phải thay đổi lược đồ chương trình ứng dụng bên ngồi  Tính độc lập liệu vật lý khả thay đổi lược đồ bên mà không cần phải thay đổi lược đồ khái niệm 2.7 Kiến trúc tập trung Kiến trúc Máy khách/Máy chủ cho DBMS 2.7.1 Kiến trúc DBMSs tập trung Các kiến trúc dành cho DBMS tuân theo xu hướng tương tự kiến trúc dành cho kiến trúc hệ thống máy tính thơng thường Các kiến trúc cũ sử dụng máy tính lớn để cung cấp xử lý cho tất chức hệ thống, bao gồm ứng dụng người dùng chương trình giao diện người dùng, tất chức DBMS Các lý hệ thống cũ hơn, hầu hết người dùng truy cập vào DBMS thông qua thiết bị đầu cuối máy tính cung cấp khả hiển thị Do đó, tất q trình xử lý thực từ xa phần bên hệ thống DBMS thông tin hiển thị, điều khiển gửi từ máy tính đến thiết bị đầu cuối hiển thị, kết nối với máy tính trung tâm thơng qua nhiều mạng thông tin liên lạc 2.7.2 Kiến trúc máy khách/máy chủ Kiến trúc máy khách/máy chủ phát triển để giải vấn đề với môi trường máy tính số lượng lớn PC, máy trạm, máy chủ tệp, máy in, máy chủ sở liệu, máy chủ Web, máy chủ e-mail phần mềm khác thiết bị kết nối qua mạng Hình 2.3: Kiến trúc máy khách / máy chủ Khái niệm kiến trúc máy khách/máy chủ giả định khuôn khổ bao gồm nhiều PC/máy trạm thiết bị di động số lượng nhỏ máy chủ, kết nối qua mạng không dây mạng LAN loại mạng máy tính Máy khách khuôn khổ thường máy người dùng cung cấp khả giao diện người dùng xử lý cục Hai loại kiến trúc DBMS tạo sở khn khổ máy khách/máy chủ: hai tầng ba tầng 2.7.3 Kiến trúc máy khách/máy chủ hai tầng dành cho DBMS Trong hệ quản trị sở liệu quan hệ (RDBMS), nhiều hệ thống bắt đầu hệ thống tập trung, thành phần hệ thống lần chuyển đến phía khách hàng giao diện người dùng chương trình ứng dụng Ở kiến trúc vậy, máy chủ thường gọi máy chủ truy vấn giao dịch cung cấp hai chức Các kiến trúc mô tả gọi kiến trúc hai tầng phần mềm thành phần phân phối hai hệ thống: máy khách máy chủ Những lợi kiến trúc đơn giản khả tương thích liền mạch với hệ thống 2.7.4 Kiến trúc ba tầng n tầng cho ứng dụng web Nhiều ứng dụng Web sử dụng kiến trúc gọi kiến trúc ba tầng, mà thêm lớp trung gian máy khách máy chủ sở liệu, minh họa Hình 2.5 (a) Hình 2.5: Kiến trúc ba tầng logic máy khách/máy chủ Tầng trung gian tầng gọi máy chủ ứng dụng máy chủ web, tùy thuộc vào ứng dụng Máy chủ đóng vai trị trung gian chạy chương trình ứng dụng lưu trữ (thủ tục ràng buộc) sử dụng để truy cập liệu từ máy chủ sở liệu Máy khách chứa giao diện người dùng trình duyệt Web Máy chủ trung gian chấp nhận yêu cầu từ máy khách, xử lý yêu cầu gửi truy vấn sở liệu lệnh tới máy chủ sở liệu, sau hoạt động đường dẫn để chuyển (một phần) liệu xử lý từ máy chủ sở liệu đến máy khách, xử lý thêm lọc để hiển thị cho người dùng Có thể chia lớp người dùng liệu lưu trữ thêm vào thành phần tốt hơn, tăng lên kiến trúc n-tier, n bốn năm bậc Điển hình lớp logic chia thành nhiều lớp Bên cạnh việc phân phối liệu toàn mạng, ứng dụng n-tier có lợi mà ứng dụng bậc chạy tảng xử lý hệ điều hành thích hợp xử lý độc lập 2.8 Phân loại Cơ sở liệu 2.8.1 Phân loại theo loại liệu  Cơ sở liệu có cấu trúc (structured database)  Cơ sở liệu phi cấu trúc (unstructured database)  Cơ sở liệu bán cấu trúc (semi-structured database) 2.8.2 Phân loại theo hình thức lưu trữ, mơ hình tổ chức  Cơ sở liệu dạng tệp (file database)  Cơ sở liệu quan hệ (relational database)  Cơ sở liệu phân cấp (herachical database) 2.8.3 Phân loại theo mơ hình triển khai  Cơ sở liệu tập trung (centralized database)  Cơ sở liệu phân tán (distributed database)  Cơ sở liệu tập trung có Hệ thống quản lý sở liệu 3.1 Nền tảng phát triển hệ thống Đối với công nghệ nền, phần lớn chuyên gia xây dựng hệ thống lựa chọn ngơn ngữ lập trình Java Oracle, Net Microsoft, ObjectiveC Apple, PHP cộng đồng mã nguồn mở Apache Đối với hệ quản trị sở liệu lựa chọn phần lớn Oracle Oracle, SQL Server Microsoft, SQL Lite Apple, MySQL cộng đồng mã nguồn mở Apache 3.1.1 Công nghệ Microsoft NET Microsoft NET gồm phần chính: Framework Integrated Development Environment(IDE) Framework cung cấp cần thiết bản, chữ Framework có nghĩa khung hay khung cảnh ta dùng hạ tầng sở theo qui ước định để cơng việc trơi chảy IDE cung cấp môi trường giúp triển khai dễ dàng, nhanh chóng ứng dụng dựa tảng NET 3.1.2 Công nghệ Java Hiện nay, công nghệ Java chia làm ba phận: J2SE Gồm đặc tả, công cụ, API nhân Java giúp phát triển ứng dụng desktop định nghĩa phần thuộc nhân Java J2EE gồm đặc tả, công cụ, API mở rộng J2SE để phát triển ứng dụng qui mơ xí nghiệp, chủ yếu để chạy máy chủ (server) Bộ phận hay nhắc đến công nghệ công nghệ Servlet/JSP: sử dụng Java để làm ứng dụng web J2ME gồm đặc tả, công cụ, API mở rộng để phát triển ứng dụng Java chạy điện thoại di động, thẻ thông minh, thiết bị điện tử cầm tay, robot ứng dụng điện tử khác Java trải qua bước phát triển quan trọng: Java 1.0 gắn liền với JDK đầu tiên, Java gắn với JDK 1.2 Java gắn với J2SDK 3.2 Một số hệ quản trị sở liệu  MYSQL, POSTGRESQL  Microsoft SQL Server 11 CHƯƠNG III: ĐỀ XUẤT GIẢI PHÁP AN TỒN HỆ THỐNG THƠNG TIN TẠI TRUNG TÂM LƯU TRỮ CSDL ADN Giới thiệu chung 4.3 Tổng quan Trung tâm Thực Đề án xác định hài cốt liệt sĩ cịn thiếu thơng tin, đẩy mạnh ứng dụng công nghệ thông tin hoạt động tìm kiếm, quy tập, xác định hài cốt liệt sĩ cịn thiếu thơng tin, năm 2015, Cục Người có công phối hợp với đơn vị liên quan triển khai nghiên cứu, xây dựng Dự án: Trung tâm lưu trữ Cơ sở liệu ADN thuộc Đề án xác định hài cốt liệt sĩ thông tin gồm giai đoạn: Giai đoạn (2015-2019): Xây dựng phần mềm quản lý sở liệu ADN liệt sĩ nhằm quản lý thông tin trung tâm xét nghiệm, thu thập, cập nhật, lưu trữ quản lý liệu ADN hài cốt liệt sĩ, thân nhân liệt sĩ thông suốt từ Cục Người có cơng đến Trung tâm xét nghiệm ADN giao nhiệm vụ Đầu tư hệ thống hạ tầng phần cứng phục vụ lưu trữ, tra cứu, phân tích, so sánh, đối khớp liệu ADN Giai đoạn (2020-2025): Hoàn thiện hệ thống liệu, nghiên cứu tích hợp, đồng hai hệ thống phần mềm quản lý sở liệu ADN phần mềm Cơ sở liệu liệt sĩ, thân nhân liệt sĩ, mộ liệt sĩ nghĩa trang liệt sĩ để hoàn thiện hệ thống sở liệu liệt sĩ, tích hợp liệu nhằm đẩy nhanh tiến độ cơng tác xác định hài cốt liệt sĩ cịn thiếu thông tin 4.4 Sơ đồ hệ thống Cấu trúc Trung tâm lưu trữ CSDL ADN gồm hai phần: Hạ tầng phần cứng (Bao gồm hệ thống máy chủ, thiết bị lưu trữ, hạ tầng kết nối, hệ thống thiết bị an tồn ) đặt Trung tâm thơng tin , sở sử dụng thiết bị công nghệ có sẵn Trung tâm thơng tin hệ thống an toàn bảo mật, hệ thống mạng Sử dụng công nghệ máy chủ phiến để tiết kiệm khôg gia đặt thiết bị, sử dụng công nghệ ảo hóa hệ thống máy chủ Hệ thống phần mềm: sử dụng trung tâm hệ thống phần mềm mang tính nội bộ, đặc thù, đặc trưng riêng, có khả so sánh đối chiếu Hệ thống có có khả tổ chức lưu trữ khai thác sở liệu lớn, đáp ứng yêu cầu khai thác, truy vấn thời gian cho phép Hệ thống quản lý dung lượng tối ưu kho liệu Tự động xóa bỏ liệu dư thừa theo định kỳ Ngồi ra, hệ thống có tính mở, cho phép nâng cấp, mở rộng dễ dàng, hỗ trợ chuẩn liệu phổ biến JSON, XML việc tạo điều kiện thuận việc thực giai đoạn dự án 12 Khảo sát trạng Trung tâm lưu trữ CSDL ADN 5.1 Khảo sát hệ thống hạ tầng kết nối 5.1.1 Hệ thống hạ tầng kết nối Trung tâm thông tin Hệ thống hạ tầng kết nối, xử lý, lưu trữ Trung tâm lưu trữ CSDL ADN đặt vận hành Trung tâm Thông tin, Bộ Lao động – Thương binh Xã hội Hệ thống máy chủ Tung tâm thông tin đặt tập trung quan Bộ, hoạt động tốt, có đầy đủ thiết bị bảo đảm an tồn thơng tin Trung tâm có hệ thống phịng ngừa cố ý muốn hệ thống lưu điện, chống sét Về hệ thống máy chủ, Trung tâm thông tin trang bị hệ thống máy chủ ảo hóa, máy chủ vật lý, hệ thống lưu trữ liệu (SAN) hệ thống lưu, phục hồi liệu Về hệ thống bảo mật, Trung tâm thông tin trang bị hệ thống thiết bị tường lửa, hệ thống thiết bị phịng chống SPAM, virus, hệ thống phịng chống cơng IPS/IDS, bảo vệ máy chủ cho dịch vụ thư điện tử Bộ, bảo vệ hệ thống khỏi phương thức cơng IPS/IDS từ bên ngồi bên cho hệ thống mạng Bộ Hệ thống VPN tạo kênh bảo mật, mã hóa cho kết nối từ đơn vị trực thuộc Bộ kết nối với Trung tâm liệu Ngồi ra, cịn có hệ thống cân tải với chức cân tải ứng dụng, nhằm giảm tải số lượng truy cập đến máy chủ, đảm bảo máy chủ hoạt động ổn định liên tục 5.1.2 Mơ hình kiến trúc hạ tầng kết nối hệ thống Trung tâm lưu trữ ADN Hệ thống hạ tầng kĩ thuật sử dụng bao gồm máy chủ, thiết bị lưu trữ thiết bị hỗ trợ khác Hệ thống mạng bảo mật sử dụng chung hạ tầng Trung tâm thông tin để đảm bảo đồng với kiến trúc an tồn thơng tin, kiến trúc chung Bộ Lao động – Thương Binh Xã hội Hình 3.4: Mơ hình kết nối hệ thống Hệ thống máy chủ sử dụng máy chủ phiến phục vụ ảo hóa chạy ứng dụng, 02 máy chủ phiến phục vụ sở liệu, 01 máy chủ quản trị lưu, dự phòng Hệ thống lưu trữ SAN Storage với 02 Controllers chạy chế độ Active/Active dự phòng lẫn co mang lại khả sẵn sàng, dự phòng cao kết hợp với dung lượng lưu trữ lớn, hiệu cao Hệ thống Backup qua môi trường SAN FC, thiết bị Tape Backup kết nối vào SAN Các máy chủ cần backup kết nối đến mạng SAN để kết nối với máy chủ 13 điều khiể Backup Phần mềm điều khiển lưu cài đặt lên 01 server backup để quản lý máy chủ cần lưu liệu Máy chủ điều khiển backup điều khiển việc backup liệu quan SAN đặt lịch cho việc backup Việc backup liệu dạng Incremental hàng ngày Backup full toàn liệu vào cuối tuần Dữ liệu sau ưu chuyển vào Tape cất vào kho bảo quản phịng cố Restore lại liệu đảm bảo liệu hệ thống an toàn 5.2 Khảo sát Hệ thống phần mềm quản lý sở liệu Trung tâm lưu trữ CSDL ADN 5.2.1 Về hệ thống kiến trúc ứng dụng Bộ LĐTBXH Trong cấu trúc phần mềm ứng dụng thuộc Bộ Lao động – Thương binh Xã hội phân chia thành miền chính: Miền ứng dụng hành chính, miền ứng dụng xã hội miền ứng dụng dịch vụ công Hệ thống phần mềm quản lý CSDL ADN liệt sĩ thân nhân mà Trung tâm lưu trữ ADN quản lý vận hành trực thuộc hệ thống ứng dụng chuyên ngành xã hội phục vụ công tác xác định hài cốt liệt sĩ cịn thiếu thơng tin Về mặt liệu, dựa chức quản lý nhà nước chuyên ngành, liệu phân chia thành bốn miền: miền liệu báo cáo, miền liệu chuyên môn xã hội, miền liệu quản trị nội miền liệu dùng chung Đối với liệu Trung tâm phân vào nhóm miền liệu chun mơn xã hội hệ thống mơ hình liệu Bộ 5.2.2 Công nghệ phát triển hệ thống phần mềm Hệ thống phần mềm quản lý CSDL ADN xây dựng dựa hai loại cơng nghệ Cơng nghệ quản trị sở liệu với mục tiêu cung cấp cách thức lưu trữ, truy vấn liệu, đảm bảo tính toàn vẹn, khả lưu trữ lượng liệu lớn, đồng thời cung cấp tính truy vấn, tìm kiếm liệu nhanh chóng hiệu Cơng nghệ phát triển phần mềm với mục tiêu cung cấp công cụ làm việc với hệ quản trị CSDL, lưu trữ, xử lý liệu, phần mềm có giao diện thân thiện, dễ sử dụng giúp người dùng xử lý công việc liên quan đến Trung tâm lưu trữ sở liệu ADN Dự công nghệ nay, hệ thống phát triển với công nghệ sau:  Hệ điều hành Window Server  Hệ quản trị CSDL MSSQL Server  Công nghệ xây dựng phần mềm : NetFramework 5.2.2.1 Hệ quản trị sở liệu Hệ quản trị CSDL Trung tâm lưu trữ CSDL ADN sử dụng Microsoft SQL Server 2016 Hệ quản trị có số tính ưu điểm như: Hỗ trợ thuật tốn mã hóa nhất, an tồn (AES256, SHA256, SHA512); Cải tiến tính giám sát truy cập, giúp người dùng tự tạo kịch giám sát thông qua điều kiện định nghĩa trước; Hệ thống quản lý tài khoản tổ chức theo hướng Server Roles, giúp 14 quản lý tài khoản cách khoa học, linh hoạt; Hỗ trợ đồng (Primary) dự phịng (Backup); Tối ưu không gian lưu trữ, tăng tốc độ truy xuất ổ cứng từ tăng tốc độ truy vấn liệu 5.2.2.2 Hệ điều hành Hệ điều hành sử dụng CSDL Microsoft Window Server 2016 Ưu điểm phiên này: bảo vệ hệ điều hành, tăng cường an ninh mạng, chống Data deduplication – trùng lặp liệu, tối ưu hiệu phần cứng, định dạng file Re-FS thay cho NTFS hỗ trợ file thư mục có kích thước lớn, tối ưu hiệu ổ cứng, công nghệ Storage Pools Storage Spaces giúp tối ưu không gian lưu trữ liệu 5.2.2.3 Về lập trình ứng dụng Hệ thống sử dụng cơng nghệ lập trình ứng dụng tảng NetFramework 4.5, ngôn ngữ sử dụng C#, kiến trúc sử dụng kiến trúc hướng đối tượng OOP hướng dịch vụ SOA dựa tảng cơng nghệ lõi 5.2.3 Kiến trúc hệ thống Hình 3.7: Mơ hình kiến trúc lớp hệ thống Kiến trúc ứng dụng lớp sử dụng chủ yếu cho ứng dụng dựa môi trường Internet Mơ hình kiến trúc ứng dụng lớp, bao gồm lớp người dùng (Client), lớp xử lý nghiệp vụ (WebServer) lớp CSDL (DataBase), chế hoạt động mô hình mơ tả sau: 5.3 Giao diện nguyên lý vận hành hệ thống quản lý CSDL ADN liệt sĩ 5.3.1 Giao diện hệ thống Dựa cơng nghệ trình bày phần trên, hệ thống phần mềm quản lý ADN liệt sĩ xây dựng phát triển công nghệ ứng dụng web, với đường dẫn đăng nhập hệ thống: www.dlls.nguoicocong.gov.vn Giao diện đăng nhập hệ thống gồm thông tin đăng nhập mật Giao diện hệ thống bao gồm mục chức năng: quản trị hệ thống, quản trị danh mục, chức phi ADN , chức ADN Hiện hệ thống hoàn chỉnh chức 15 ADN bao gồm có liệu mẫu sinh phẩm, yêu cầu giám định ADN, Kết phân tích ADN (thơng tin mẫu xét nghiệm, kết chờ xét nghiệm, kết chờ tiếp nhận, kết tiếp nhận, kết trùng lặp) Đối với chức phi ADN, hoàn thiện giai đoạn tích hợp hai sở liệu sở liệu liệt sĩ sở liệu ADN liệt sĩ 5.3.2 Sơ đồ tổng thể hệ thống Nguyên lý hệ thống: Các mẫu sinh phẩm sau quy tập Cục Người có cơng chuyển cho đơn vị xét nghiệm, thông tin mẫu sinh phẩm quản lý Cục Sau đó, Cục đề nghị trung tâm xét nghiệm thực việc giải trình tự Các trung tâm xét nghiệm sau nhận mẫu sinh phẩm từ Cục Người có cơng, thực việc giải trình tự phân tích liệu gen, xác định liệu điểm đột biến Dữ liệu gửi trở lại Cục Người có cơng thơng qua mạng WAN/VPN tới máy chủ ứng dụng Các chương trình chạy máy chủ ứng dụng kiểm tra tính xác thực, tồn vẹn, hợp lệ liệu Nếu thỏa mãn điều kiện, lưu trữ liệu vào ngân hàng gen Nhân viên vận hành sử dụng chức phần mềm thực truy vấn, khớp nối liệu xác định danh tính liệt sĩ Sau xác định kết quả, kết xuất thông tin thân nhân, gửi thông báo kết xác định danh tính liệt sĩ tới gia đình thân Hệ thống phần mềm thành hệ thống nhỏ dựa theo nguyên tắc phân tầng, module thiết kế dành cho tác nhân mục đích khác nhau, có cơng nghệ xây dựng khác cài đặt tầng mạng khác nhau, gồm có: Module đồng liệu phân tích Module Quản lý thông tin trung tâm cung cấp liệu nguồn gen Module Tiếp nhận, xử lý liệu nguồn gen Module khai thác liệu nguồn gen 5.3.3 Tổ chức quản trị liệu hệ thống  Dữ liệu ADN Trong hệ thống Trung tâm lưu trữ ADN sử dụng 02 loại liệu ADN, để phân biệt đặt tên sau:  Dữ liệu ADN gốc: Gồm file liệu hệ thống máy giải trình tự đưa ra, theo chuẩn liệu quốc tế (*.ab1, …)  Dữ liệu ADN thứ cấp: Là liệu chuyên viên phân tích ADN sử dụng phần mềm chuyên dụng (Nêu số phần mềm, ví dụ: sử dụng phần mềm miễn phí) phân tích từ file liệu gốc so sánh với trình tự chuẩn đưa trình tự dạng ATGC, ví dụ file: txt… số hóa theo chuẩn quốc tế để đưa 16 03 nguồn thơng tin liệu ADN sử dụng giám định nhận dạng hài cốt liệt sĩ ADN ty thể (mtDNA), STRs (Short Tandem Repeats) bao gồm Y-STRs STRs nhiễm sắc thể thường điểm đa hình nucleotide SNP (Single Nucleotide Polymorphism) Dù sử dụng hệ thống phương pháp phân tích mục tiêu cuối giải mã nguồn thông tin liệu Mỗi nguồn thông tin liệu có hệ qui chiếu chuẩn:  Với mtDNA trình tự chuẩn hệ gen ti thể người rCRS (revised Cambridge Reference Sequence)  Với STRs hệ locus gen định qui định, phổ biến hệ CODIS (Combined DNA Index System)  Với SNP điểm đa hình nucleotide rõ vị trí so với trình tự chuẩn Trong hệ thống Trung tâm lưu trữ sở liệu ADN, liệu qui chiếu với liệu chuẩn để so sánh khớp nối cách thống toàn hệ thống, đảm bảo tương thích với liệu từ trung tâm nguồn gen sử dụng hệ máy tiêu chuẩn khác  Dữ liệu phi ADN Các liệu ngồi ADN gồm thơng tin về: Thơng tin hành (Tên, tuổi, q qn, giới tính, …); Thơng tin thân nhân (Quan hệ với thân nhân); Thơng tin đặc điểm hình thái học (Chiều cao, dấu vết đặc biệt); Thông tin hi sinh (Chiến trường hi sinh, nguyên nhân hi sinh, đơn vị chiến đấu hi sinh); Thông tin quy tập (Dấu hiệu đặc trưng nơi chôn cất quy tập)  Độ mở, tích hợp phát triển hệ thống phần mềm Hiện tại, Cục Người có cơng thực triển khai 01 dự án có liên quan đến thông tin liệt sỹ Hệ thống sử dụng cơng nghệ với trung tâm liệu ADN, có hỗ trợ chuẩn liệu tiêu chuẩn XML, JSON Đây chuẩn liệu tiên tiến, đại giới đáp ứng tốt nhu cầu trao đổi liệu 5.4 Đánh giá 5.4.1 Về mặt hạ tầng kĩ thuật phần cứng Hạ tầng thiết bị phần cứng Trung tâm lưu trữ CSDL ADN với hệ thống máy chủ, hệ thống lưu trữ, lưu, sử dụng kết hợp, đồng với hệ thống hạ tầng mạng, hệ thống bảo mật Trung tâm thông tin Bộ đáp ứng đầy đủ, lưu liệu, đảm bảo an toàn bảo mật với hệ thống chung Bộ Hệ thống mạng đơn vị đầu tư trang thiết bị bảo mật, máy tính trang bị phần mềm diệt virus quyền 5.4.2 Về hệ thống phần mềm quản lý CSDL ADN Hệ thống áp dụng công cụ phát triển phù hợp, tối ưu với Hệ điều hành Window Server, Hệ quản trị CSDL MSSQL Server, Công nghệ xây dựng phần mềm : 17 NetFramework Hệ thống phần mềm xây dựng với tảng ứng dụng web, có nhiều ưu điểm so với hệ thống truyền thống, có số hạn chế vấn đề an tồn thơng tin :  Tuy áp dụng sử dụng rộng rãi công nghệ bảo mật SSL quy trình an tồn điểm yếu hay lỗ hổng ứng dụng web đa phần bắt nguồn từ việc lập trình viên code khơng phương pháp quy trình phát triển ứng dụng khơng an tồn Điều hồn tồn dẫn đến lỗi liên quan đến SQL Injection, tội phạm mạng lợi dụng lỗ hổng việc kiểm tra liệu đầu vào thông báo lỗi hệ quản trị sở liệu trả để inject (tiêm vào) thực thi câu lệnh SQL bất hợp pháp hay Cross Site Scripting cho phép kẻ xấu chèn đoạn script độc hại  Tin tặc tìm thấy lỗ hổng ứng dụng web firewall khơng cịn thích hợp việc ngăn chặn tin tặc  Chưa có cơng cụ để đánh giá, kiểm tra cập nhật phần mềm an toàn hay chưa  Ngoài ra, nghiệm thu Dự án phần mềm nói chung Dự án phần mềm Trung tâm lưu trữ CSDL ADN nói riêng, chủ yếu nghiệm thu chức hệ thống, chưa có cơng cụ để đơn vị vận hành kiểm tra mức độ an toàn thông tin ứng dụng web Đề xuất giải pháp an tồn hệ thống thơng tin Trung tâm lưu trữ CSDL ADN 6.1 Giới thiệu chung Trên sở kết đánh giá khảo sát, luận văn đề xuất ứng dụng giải pháp Zed Attack Proxy (ZAP) để kiểm tra, phát lỗi bảo mật hệ thống phần mềm ứng dụng web Trung tâm lưu trữ CSDL ADN, đảm bảo an toàn hệ thống thông tin Trung tâm 6.2 Giải pháp Zed Attack Proxy (ZAP) 6.2.1 Tổng quan Zed Attack Proxy (ZAP) công cụ kiểm tra thâm nhập mã nguồn mở miễn phí trì bảo trợ Dự án Bảo mật Ứng dụng Web Mở (OWASP) ZAP thiết kế đặc biệt để thử nghiệm ứng dụng web vừa linh hoạt vừa mở rộng ZAP cung cấp chức cho loạt cấp độ kỹ - từ nhà phát triển đến người kiểm tra kiểm tra bảo mật, cho chuyên gia kiểm tra bảo mật ZAP có phiên cho hệ điều hành Docker, bạn khơng bị ràng buộc với hệ điều hành Nguyên tắc hoạt động: 18 Hình 3.11 : Nguyên tắc hoạt động ZAP ZAP tạo cơng cách chạy trình duyệt ZAP URL Trong trình này, ZAP sử dụng trình thu thập thơng tin để thu thập thơng tin ứng dụng mục tiêu, quét tất trang có sẵn, sau chạy trình qt hoạt động Máy qt hoạt động xác định xác lỗ hổng cách sử dụng phương pháp công biết vào mục tiêu mà nhận từ q trình qt Cảnh báo đưa lỗ hổng tiềm ẩn phát gắn cờ từ cao xuống thấp dựa mức độ rủi ro 6.2.2 Ưu điểm ZAP  ZAP set up nhanh chóng, dễ dàng  Hỗ trợ nhiều tảng Windows, Linux, MacOS, Cross platform package  Nó khơng u cầu bạn có nhiều kiến thức Kiểm thử bảo mật  Kiểm thử thực cách tự động, bạn thực kiểm thử manual khác lúc  Liệt kê tất lỗ hỏng mà ZAP quét từ ứng dụng bạn  Cung cấp giải pháp cho deverloper ngăn chặn lỗi bảo mật  Quét tất trang and highlight vùng bị ảnh hưởng lỗ hỏng bảo mật  Cung cấp thông tin cho báo cáo chi tiết Mô thử nghiệm giải pháp 7.1 Kịch mô Sử dụng ứng dụng ZAP phiên 2.11.1, sử dụng spider truyền thống để thu thập thơng tin URL, sau sử dụng trình quét ứng dụng xác định lỗ hổng cách sử dụng phương pháp công mặc định vào mục tiêu mà nhận từ trình quét Sau kết thúc trình quét, cảnh báo lỗ hổng tiềm ẩn ứng dụng web phát xếp từ cao xuống thấp dựa mức độ rủi ro an ninh Việc mô thực hai tảng ứng dụng web: 19  Phần mềm nội : csdl.lietsi.vn (Có kết cấu, cơng nghệ phát triển hệ thống tương đồng với hệ thống phần mềm quản lý liệu ADN Trung tâm lưu trữ CSDL ADN) Trong giai đoạn dự án, tích hợp csdl.lietsi.vn dlls.nguoicocong.gov.vn thành để nâng cao hiệu công tác quản lý điều hành, truy xuất, khớp nối thông tin hồ sơ  Website: tutorialsninja.com (Trang web tạo dựng để demo, giao diện tương đồng với số cổng thông tin điện tử nay) 7.2 Các bước thực Bước : Khởi tạo ZAP, tạo ZAP Spider Bước : Thiết lập thông số ZAP (Address Port) sử dụng trình duyệt ứng dụng Mozilla Firefox Nếu sử dụng trình duyệt Google Chrome, cài đặt thêm add–on Switchy Omega với mục đích hỗ trợ bật/tắt chuyển đổi proxy Bước 3: Truy cập ứng dụng web để thực trình kiểm tra lỗ hổng bảo mật Bước : Thực trình, sử dụng spider truyền thống để thu thập thông tin, sau trình qt ứng dụng xác định lỗ hổng cách sử dụng phương pháp cơng vào mục tiêu mà nhận từ trình quét Bước : Nhận kết cảnh báo lỗ hổng 7.3 Kết mô thử nghiệm 7.3.1 Đánh giá kết kiểm tra lỗ hổng hệ thống phần mềm quản lý csdl.lietsi.vn Tổng số lỗ hổng phát : 11, : Cảnh báo mức cao (High Priority Alerts) Cảnh báo mức trung bình (Medium Priority Alerts) Cảnh báo mức thấp (Low Priority Alerts) Cảnh báo mức thấp (Informational Priority Alerts) Bảng 3.1 : Kết kiểm tra lỗ hổng bảo mật hệ thống csdl.lietsi.vn Ba lỗi cảnh báo mức trung bình gồm : Lỗ hổng khơng có phịng chống công CSRF (Cross-site Request Forgery) - kĩ thuật công giả mạo Lỗ hổng thiếu nội dung chống công clickjacking Lỗ hổng thư viện jquery phiên 1.9.1 sử dụng có lỗ hổng Đề xuất giải pháp hạn chế, khắc phục lỗi:  Đối với lỗ hổng khơng có phịng chống cơng CSRF (Cross-site Request Forgery) - kĩ thuật công giả mạo:  Đối với người quản trị viên người sử dụng hệ thống : 20  Đăng xuất khỏi tài khoản sau lần sử dụng  Hạn chế click vào đường link nhận qua đường thư điện tư, mạng xã hội…  Đăng xuất không lưu mật trình duyệt  Về phía nhà phát triển ứng dụng, hệ thống :  Sử dụng captcha, thông báo để nhận biết đối tượng truy cập, thao tác hệ thống người hay không  Sử dụng mã csrf thay đổi liên tục phiên làm việc, thay đổi thông tin gửi kèm thông tin mã Nếu mã cấp mã gửi lên ko trùng loại bỏ yêu cầu  Để trang quản trị subdomain riêng để chúng không dùng chung cookies với front end sản phẩm  Đối với lỗ hổng thiếu nội dung chống công clickjacking:  Sử dụng mã phòng thủ giao diện người sử dụng để đảm bảo khung cửa sổ cấp cao  Sử dụng X-Frame-Options HTTP header để biểu thị có khơng cho phép trình duyệt render thẻ , ,  Đối với lỗ hổng thư viện jquery phiên 1.9.1 sử dụng có lỗ hổng  Nâng cấp lên phiên 3.5.1 thông qua mở file functions.php sử dụng đoạn code sau: //Install jQuery 3.5.1 - jQuery CDN function vts_custom_jquery() { wp_deregister_script('jquery'); wp_register_script('jquery', ("https://vutruso.com/wpcontent/themes/vutrus/js/jquery.min.js"), false); wp_enqueue_script('jquery'); } add_action('wp_enqueue_scripts', 'vts_custom_jquery'); 7.3.2 Kết kiểm tra lỗ hổng website: tutorialsninja.com Tổng số lỗ hổng phát : 21, : Cảnh báo mức cao (High Priority Alerts) Cảnh báo mức trung bình (Medium Priority Alerts) Cảnh báo mức thấp (Low Priority Alerts) Cảnh báo khuyến nghị (Informational Priority Alerts) 21 Bảng 3.2 : Kết kiểm tra lỗ hổng bảo mật website: tutorialsninja.com Bốn lỗi cảnh báo mức cao gồm : Lỗ hổng Cross Site Scripting (XSS-Reflected) Lỗ hổng chuyển hướng bên (External Redirect) Lỗ hổng Path Traversal Lỗ hổng RFI (Remote file inclusion) Đề xuất giải pháp hạn chế, khắc phục:  Đối với lỗ hổng Cross Site Scripting (XSS-Reflected):  Xác thực đầu vào: liệu đầu vào người dùng cần xác thực xác, làm sở để đảm bảo tính bảo mật hệ thống  Lọc đầu vào người dùng Ý tưởng lọc tìm kiếm từ khóa nguy hiểm mục nhập người dùng xóa chúng thay chúng chuỗi trống  Đối với lỗ hổng chuyển hướng bên (External Redirect)  Cần có danh sách tĩnh vị trí hợp lệ để chuyển hướng  Whitelist tham số người dùng xác định (tương đối phức tạp)  Đối với lỗ hổng Path Traversal  Xác thực đầu vào người dùng trước xử lý  Sử dụng whitelist cho giá trị cho phép  Tên file kí tự số,chữ khơng nên chứa ký tự đặc biệt  Đối với lỗ hổng RFI (Remote file inclusion)  Sử dụng tường lửa ứng dụng web (WAF) giám sát đầu vào người dùng lọc yêu cầu độc hại 7.4 Đánh giá kết mô Dựa kết mơ phỏng, ta thấy Zed Attack Proxy số lỗ hổng bảo mật hệ thống phần mềm quản lý sở liệu liệt sĩ website giả lập, đồng thời phân tích, cung cấp số thơng tin liên quan đến lỗ hổng Dựa sở đó, quản trị viên nắm bắt vấn đề trao đổi với đơn vị phát triển hệ thống để có phương án khắc phục lỗ hổng để đảm bảo an tồn hệ thống thơng tin Đồng thời, cơng cụ giúp quản trị viên kiểm tra lỗ hổng bảo mật tích hợp hai sở liệu trình bày trước hệ thống đưa vào hoạt động Kết luận chương 22 Tại chương 3, luận văn khảo sát thực tế hệ thống hạ tầng hệ thống phần mềm quản lý sở liệu Trung tâm lưu trữ Cơ sở liệu ADN Trên sở kết khảo sát, luận văn đề xuất ứng dụng công cụ Zed Attack Proxy việc phát lỗ hổng bảo mật ứng dụng web Trung tâm lưu trữ CSDL ADN Công cụ giúp người quản trị hệ thống nắm bắt lỗ hổng bảo mật ứng dụng web Trung tâm sau lần nâng cấp, bảo trì Ngoài ra, luận văn tiến hành đánh giá thử nghiệm ứng dụng hệ thống quản trị liệu csdl.lietsi.vn (ứng dụng có cơng nghệ phát triển tương đồng với phần mềm quản lý csdl ADN) thử nghiệm website mô Kết ứng dụng phát hiện, đưa cảnh bảo số lỗ hổng bảo mật hai ứng dụng web Đây giúp đơn vị quản lý nhận biết lỗ hổng tại, đưa giải pháp để đảm bảo an toàn hệ thống thơng tin nói chung hệ thống thơng tin Trung tâm lưu trữ CSDL ADN nói riêng để đảm bảo hệ thống thông tin vận hành cách an tồn, thơng suốt 23 KẾT LUẬN Các kết đạt Trên sở mục tiêu nghiên cứu vấn đề án tồn bảo mật thơng tin đề xuất giải pháp an tồn hệ thống thơng tin Trung tâm lưu trữ Cơ sở liệu ADN trực thuộc Cục Người có cơng, luận văn đạt số kết sau:  Nghiên cứu tổng quan an tồn, bảo mật thơng tin, hệ thống thơng tin, mức độ an tồn bảo mật thông tin, số yêu cầu cho việc đảm bảo an tồn hệ thống thơng tin  Nghiên cứu kiến trúc sở liệu, phân loại sở liệu, tảng phát triển hệ thống quản lý sở liệu, công nghệ ứng dụng web nguy an toàn, an ninh ứng dụng web  Kháo sát trạng hạ tầng kĩ thuật hệ thống quản lý sở liệu Trung tâm lưu trữ CSDL ADN trực thuộc Cục Người có cơng  Đề xuất giải pháp, thử nghiệm đánh giá giải pháp phát lỗ hổng bảo mật hệ thống quản lý sở liệu ADN tảng ứng dụng web trực thuộc Trung tâm lưu trữ CSDL ADN Hướng nghiên cứu  Nghiên cứu giải pháp cơng nghệ, thuật tốn mã hóa để đảm bảo an tồn, bảo mật hệ thống thông tin, hệ thống quản lý sở liệu  Nghiên cứu ứng dụng công nghệ sinh trắc học, công nghệ để nhận dạng, giám sát đầu vào người sử dụng trình đăng nhập, tác nnghiệp hệ thống quản lý sở liệu  Nghiên cứu số công cụ quét lỗ hổng bảo mật hệ thống quản lý sở liệu 24 DANH MỤC TÀI LIỆU THAM KHẢO TÀI LIỆU TIẾNG VIỆT [1] Bộ Thông tin Truyền thông, Báo cáo việc tham khảo kinh nghiệm nước khu vực giới quản lý an tồn thơng tin, 36 trang [2] Bộ Thơng tin Truyền thông, Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 việc Quy định chi tiết hướng dẫn số điều Nghị định 85/2016/NĐ-CP ngày 01/7/2016 Chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ, 26 trang [3] Chính phủ, Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 bảo đảm an toàn hệ thống thông tin theo cấp độ, 26 trang [4] Quốc hội khóa XIII kì họp thứ 10, Luật An tồn thơng tin mạng ngày 19/11/2015, 29 trang [5] TS.Hoàng Xuân Dậu, Nguyễn Thị Thanh Thủy (2016), Bài giảng Cơ sở an tồn thơng tin, Học viện Cơng nghệ Bưu - Viễn thông, NXB Thông tin Truyền thông, trang 11-69 [6] Sở Bưu Viễn thơng Hà Nội (2005), Giáo trình “Cơ sở liệu Phần 1”, Nhà xuất Hà Nội, 48 trang [7] Viện Kiểm sát nhân dân tỉnh Bình Định (2020), Bài giảng “An ninh mạng cơng tác phịng chống lọt, lộ thơng tin, 35 trang TÀI LIỆU TIẾNG ANH [8] Bruce Schneier (1996), Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd edition, Wiley [9] Matt Bishop (2004), Introduction to Computer Security, Addison-Wesley [10] Mike McGrath (2022), C# Programming in easy steps: Modern coding with C# 10 and NET Updated for Visual Studio 2022, 3rd edition, In Easy Steps Limited [11] Ramez Elmasri, Shamkant B Navathe (2016), Fundamentals of Database Systems, 7th edition, Pearson [12] Ravi S Sandhu and Sushil Jajodia (1993), Data and Database Security and Controls, Handbook of Information Security Management, Auerbach Publishers, trang 481-499 [13] William Stallings (2005), Cryptography and Network Security Principles and Practices, Prentice Hall TÀI LIỆU TỪ INTERNET [14]https://aita.gov.vn/tong-quan-ve-khai-niem-co-so-du-lieu-phan-loai-co-so-du-lieu-vathao-luan-ve-co-so-du-lieu-trong-co-quan-nha-nuoc-phan-1 25 [15] https://cystack.net/vi/blog/tinh-hinh-an-ninh-mang [16] https://data.worldbank.org/indicator/NY.GDP.MKTP.CD [17] https://docs.broadcom.com/doc/istr-24-2019-en [18] http://m.antoanthongtin.vn/an-toan-thong-tin/tinh-hinh-an-ninh-mang-cua-viet-nam-vathe-gioi-trong-quy-i2021-107145 [19]https://www.tuyengiao.vn/khoa-giao/khoa-hoc/su-co-an-ninh-mang-co-the-gay-thiethai1-745-ngan-ty-usd-115300 ... 2: Cơ sở liệu, hệ thống quản lý sở liệu, công nghệ ứng dụng web Chương 3: Đề xuất giải pháp an tồn hệ thống thơng tin Trung tâm lưu trữ Cơ sở liệu ADN CHƯƠNG CƠ SỞ LÝ THUYẾT VỀ AN TOÀN, BẢO MẬT... Trên sở mục tiêu nghiên cứu vấn đề án tồn bảo mật thơng tin đề xuất giải pháp an tồn hệ thống thơng tin Trung tâm lưu trữ Cơ sở liệu ADN trực thuộc Cục Người có cơng, luận văn đạt số kết sau:  Nghiên. .. mật thơng tin ứng dụng web Trên sở nội dung nghiên cứu chương II, luận văn đề xuất giải pháp an toàn bảo mật hệ thống thông tin Trung tâm lưu trữ Cơ sở liệu ADN trực thuộc Cục Người có cơng quản