ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DỊ QT LỖ HỔNG TRONG CÁC HỆ THỐNG THƠNG TIN LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DỊ QT LỖ HỔNG TRONG CÁC HỆ THỐNG THƠNG TIN Ngành: Công nghệ thông tin Chuyên ngành: Quản lý hệ thống thông tin Mã số : 8480205.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN NGỌC HÓA Hà Nội - Lời cảm LỜI CẢM ƠN Qua trình nghiên cứu rèn luyện Trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội, với hướng dẫn, giảng dạy tận tụy Giáo sư, Tiến sĩ tạo điều kiện cho tác giá hồn thành chương trình học tập Luận văn tốt nghiệp Bằng tất lịng kính trọng biết ơn, tác giả xin gửi lời cảm ơn đến Ban Giám hiệu, khoa, phòng thầy nhiệt tình giúp đỡ Đặc biệt, tác giả xin gửi lời cảm ơn đến Thầy hướng dẫn PGS.TS Nguyễn Ngọc Hóa nhiệt tình giúp đỡ tơi q trình học tập nghiên cứu, để tơi hồn thành tốt luận văn Mặc dù cố gắng để hoàn thành luận văn, với điều kiện thời gian trình độ cịn hạn chế nên khơng tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp thầy, bạn để hồn thành tốt luận văn Tơi xin chân thành cảm ơn! Hà Nội, tháng 10 năm 2021 Học viên Nguyễn Việt Dũng Lời cam LỜI CAM ĐOAN Tôi xin cam đoan luận văn tốt nghiệp “Nghiên cứu phát triển giải pháp dò quét lỗ hổng hệ thống thơng tin” cơng trình nghiên cứu thực của thân, xây dựng thực sở khảo sát, nghiên cứu tình hình thực tiễn hướng dẫn khoa học PGS.TS Nguyễn Ngọc Hóa Những tham chiếu từ nghiên cứu liên quan nêu rõ tài liệu tham khảo Các kết số liệu trình bày luận văn hồn tồn trung thực Nếu sai tơi xin chịu hoàn toàn trách nhiệm chịu kỷ luật khoa nhà trường đề Hà Nội, tháng 10 năm 2021 Học viên Nguyễn Việt Dũng Mục MỤC LỤC LỜI CẢM ƠN II LỜI CAM ĐOAN II DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT IV DANH MỤC BẢNG BIỂU .V DANH MỤC HÌNH VẼ VI MỞ ĐẦU CHƯƠNG 1: QUY TRÌNH QUẢN LÝ RỦI RO VÀ PHƯƠNG PHÁP ĐÁNH GIÁ ATTT HỆ THỐNG 1.1 Quy trình đánh giá rủi ro 1.1.1 Tổng quan đánh giá rủi ro .3 1.1.2 Quy trình đánh giá rủi ro ATTT 1.1.3 Quy trình quản lý rủi ro an tồn thơng tin 1.1.3.1 Thiết lập ngữ cảnh 1.1.3.2 Đánh giá rủi ro 1.2 Đánh giá rủi ro hệ thống thông tin .6 1.2.1 Tại phải đánh giá rủi ro lỗ hổng bảo mật 1.2.1.1 Xác đinh mức độ an ninh hệ thống 1.2.1.2 Phòng ngừa, giảm thiểu rủi ro tương lai 1.2.2 Phương pháp tiếp cận 1.2.3 Khó khăn đánh giá rủi ro 1.2.4 Các tiêu chí quản lý rủi ro 1.2.4.1 Tiêu chí ước lượng 1.2.4.2 Tiêu chí tác động 1.2.4.3 Tiêu chí chấp nhận rủi ro 1.2.5 Quy trình thực đánh giá rủi ro 10 1.2.5.1 Phương pháp đánh giá 10 1.2.5.2 Quy trình thực đánh giá 11 1.3 Tổng kết chương 13 CHƯƠNG 2: GIẢI PHÁP DÒ QUÉT LỖ HỖNG BẢO MẬT 14 2.1 Bài toán đặt 14 2.2 Phương pháp giải toán 14 Mục 2.2.1 Hướng cho toán .14 2.2.2 Xây dựng phần mềm dò quét lỗ hổng .15 2.3 Kỹ thuật phân tích, đánh giá rủi ro ATTT 17 2.3.1 Phương pháp đánh giá rủi ro OWASP 17 2.3.2 Phương pháp chấm điểm lỗ hổng bảo mật CVSS 22 2.3.2.1 Giới thiệu 22 2.3.2.2 Đánh giá mức độ nghiêm trọng 24 2.3.2.3 Chuỗi Vector .25 2.3.2.4 Thuật tốn tính CVSS v3.1 .26 2.4 Một số kỹ thuật dị qt lỗ hổng hệ thống thơng tin 29 2.4.1 Kỹ thuật dò quét mạng 30 2.4.2 Dò quét lỗ hổng bảo mật 31 2.5 Đánh giá lựa chọn công nghệ xây dựng cơng cụ dị qt 34 2.5.1 OpenVAS 34 2.5.2 Metasploit Framework .35 2.5.3 Nessus 36 2.5.4 Lựa chọn giải pháp 37 2.6 Tổng kết chương 38 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG ĐÁNH GIÁ, DÒ QUYÉT LỖ HỔNG .39 3.1 Xây dựng hệ thống .39 3.1.1 Môi trường phát triển .39 3.1.2 Cài đặt thư viện tảng 39 3.2 Xây dựng mô-đun với thư viện tảng hệ thống .44 3.2.1 Mô-đun phát nguy cơ, lỗ hổng dựa CSDL mẫu thử 44 3.2.2 Mô-đun dò quét lỗ hổng hệ thống CNTT 46 3.3 Xây dựng mô-đun quản lý tác vụ xác định rủi ro .47 3.4 Kết luận chương 56 CHƯƠNG 4: THỰC NGHIỆM VÀ ĐÁNH GIÁ 57 4.1 Thực nghiệm rà quét lỗ hổng bảo mật 57 4.1.1 Môi trường thực nghiệm .57 4.1.2 Thông tin chung hệ thống 57 4.2 Kiểm thử đánh giá rủi ro ATTT hệ thống 59 4.2.1 Danh mục hệ thống tham gia kiểm thử .59 4.2.2 Kịch thử nghiệm đánh giá rủi ro máy chủ Web vnptsmartads.vn 61 4.2.3 Kịch thử nghiệm đánh giá máy chủ Web dịch vụ smartcloud.vn 64 4.3 Thử nghiệm so sánh, đánh giá kết so với Nessus 67 Mục 4.4 Kết luận chương 67 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 68 TÀI LIỆU THAM KHẢO .69 Danh mục ký hiệu chữ viết DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Kí hiệu Giải thích Tiếng Anh ATTT CVE An tồn thơng tin Common Vulnerabilities and Exposures Các lỗ hổng bảo mật thông dụng CNTT CVSS Tiếng Việt Công nghệ thông tin Common Vulnerability Scoring System Framework Hệ thống chấm điểm lỗ hổng bảo mật phổ biến Khung phát triển ứng dụng GVM Greenbone Vulnerability Management Trình quản lý lỗ hổng Greenbone ISO International Organization for Standardization Tổ chức Quốc tế Tiêu chuẩn hóa NIST National Institute of Standards and Technology Viện Tiêu chuẩn Công nghệ Quốc gia NVT Network vulnerability test Tệp mẫu dò quét lỗ hổng NASL Nessus Attack Scripting Language Ngôn ngữ công dạng kịch Nessus OpenVAS Open Vulnerability Assessment Scanner Hệ thống quét đánh giá lỗ hổng mở OSP Open scanner protocol Giao thức dò quét mở OWASP Open Web Application Security Project Dự án an toàn ứng dụng Web mở Danh mục bảng DANH MỤC BẢNG BIỂU Bảng 1.1 - Bảng tổng hợp nhiệm vụ đánh giá rủi ro 13 Bảng 2.1 - Xác định mức độ nghiêm trọng rủi ro 21 Bảng 2.2 - Xác định khả xảy .22 Bảng 2.3 - Xác định tác động 22 Bảng 2.4 - Xác định mức độ nghiêm trọng 22 Bảng 2.5 - Thang đánh giá mức độ nghiêm trọng 25 Bảng 2.6 - Các vectơ Cơ sở, Tạm thời Môi trường .26 Bảng 2.7 - Giá trị số liệu 29 Bảng 3.1 - Bảng ca sử dụng mô-đun quản lý tác vụ 49 Bảng 3.2 - Lược đồ sở liệu .51 Bảng 3.3 - Ca sử dụng Tạo tác vụ xác định rủi ro 52 Bảng 3.4 - Ca sử dụng hiển thị danh sách tác vụ dò quét xác định rủi ro 53 Bảng 3.5 - Ca sử dụng Cập nhật tác vụ dò quét xác định rủi ro .53 Bảng 3.6 - Ca sử dụng Xóa tác vụ dò quét rủi ro .54 Bảng 3.7 - Ca sử dụng Khởi động tiến trình dị qt rủi ro hệ thống .55 Bảng 3.8 - Ca sử dụng Tạm dừng tiến trình dị qt rủi ro hệ thống 55 Bảng 3.9 - Ca sử dụng Kết thúc tiến trình dị qt rủi ro hệ thống 56 Bảng 4.1 - Tổng hợp kết so sánh đánh giá rủi ro ATTT Nessus vScanner 67 Danh mục hình DANH MỤC HÌNH VẼ Hình 1.1 - Sơ đồ thể quy trình quản lý rủi ro .4 Hình 1.2 - Các bước đánh giá rủi ro Hình 1.3 - Phương pháp tiếp cận theo cấp độ quản lý rủi ro Hình 2.1 - Mơ hình đề xuất triển khai hệ thống đánh giá, quản lý rủi ro ATTT 15 Hình 2.2 - Mơ hình kiến trúc tổng thể hệ thống đánh giá, quản lý rủi ro ATTT 16 Hình 2.3- Kiến trúc HostScanner .17 Hình 2.4- Các nhóm số liệu CVSS 23 Hình 2.5- Các số liệu phương trình CVSS 24 Hình 2.6- Các bước kỹ thuật thực dò quét lỗ hổng bảo mật .30 Hình 2.7- Phần mềm Zenmap sử dụng cơng cụ Nmap để dị qt mạng 31 Hình 2.8- Kiến trúc OpenVAS 35 Hình 2.9- Minh hoạ kết dò quét sử dụng Metaspoit Nexpose 36 Hình 3.1 - Cài đặt Python 42 Hình 3.2 - Cài đặt pip3 .42 Hình 3.3 - Cài đặt thư viện tảng 42 Hình 3.4 - Cài đặt ospd_scanner .43 Hình 3.5 - Cài đặt ospd-ikeprobe .44 Hình 3.6 - Minh hoạ số mẫu thử lỗ hổng OpenVAS 45 Hình 3.7 - Kết thi hành mẫu dò quét NVTs 47 Hình 3.8 - Biểu đồ minh hoạ chức quản lý tác vụ .50 Hình 3.9 – chức quản lý danh mục dò quét rủi ro .51 Hình 3.10 - Các chức Quản lý tác vụ dò quét xác định rủi ro ATTT 54 Hình 4.1 - Màn hình thống kê liệu NVTs, CVEs 57 Hình 4.2 - Chi tiết mẫu thử lỗ hổng NVTs 58 Hình 4.3 - Danh mục chi tiết tập lỗ hổng CVEs 58 Hình 4.4 - Màn hình thống kê lỗ hổng phát 58 Hình 4.5 - Danh mục hệ thống tham gia kiểm thử 59 Hình 4.6 - Khởi tạo hệ thống đánh giá .60 Hình 4.7 - Khởi tạo tác vụ dị qt lỗ hổng 60 ... TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VIỆT DŨNG NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DỊ QT LỖ HỔNG TRONG CÁC HỆ THỐNG THƠNG TIN Ngành: Công nghệ thông tin Chuyên ngành: Quản lý hệ thống thông tin Mã số : 8480205.01... đoan luận văn tốt nghiệp ? ?Nghiên cứu phát triển giải pháp dò quét lỗ hổng hệ thống thơng tin? ?? cơng trình nghiên cứu thực của thân, xây dựng thực sở khảo sát, nghiên cứu tình hình thực tiễn hướng... giải pháp đánh giá, dò quét lỗ hổng ATTT hệ thống Từ đặt giải pháp xây dựng phần mềm với chức dò quét từ xa lỗ hổng dẫn đến rủi ro ATTT Mô tả khung kiến trúc tổng thể giải pháp chi tiết thành