ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ********* VŨ THU UYÊN NGHIÊNCỨU GIẢI PHÁPĐÁNHGIÁHỆTHỐNGANTOÀNTHÔNGTIN LUẬN VĂN THẠC SĨ Hà Nội – 2011 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ********* VŨ THU UYÊN NGHIÊN CỨUGIẢIPHÁP ĐÁNH GIÁHỆTHỐNGANTOÀNTHÔNGTIN Ngành: Công nghệ thôngtin Chuyên ngành: Công Nghệ Phần Mềm LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PSG.TS Nguyễn Hữu Ngự Hà Nội – 2011 1 MỤC LỤC MỤC LỤC HÌNH 3 MỤC LỤC BẢNG 5 DANH MỤC TÊN VIẾT TẮT 6 MỞ ĐẦU 7 I. Lý do chọn đề tài 7 II. Lịch sử vấn đề 7 III. Mục đích, nhiệm vụ nghiêncứu 8 IV. Phương phápnghiêncứu 8 CHƯƠNG 1: TỔNG QUAN 9 1.1. Tổng quan về hệthốngthôngtin 9 1.1.1. Khái niệm 9 1.1.2. Các thành phần của hệthốngthôngtin 9 1.1.3. Các điểm yếu trong hệthốngthôngtin 9 1.2. Các vấn đề chung antoànthôngtin 13 1.2.1. Antoànthôngtin là gì? 13 1.2.2. Các yêu cầu antoànthôngtin 13 1.2.3. Các phương pháp bảo vệ antoànthôngtin 14 1.2.4. Một số giảipháp khắc phục điểm yếu 14 1.3. Giới thiệu về các tiêu chuẩn đánhgiáhệthốngantoànthôngtin 16 1.3.1. Chuẩn antoànthôngtin 16 1.3.2. Các tiêu chuẩn đánhgiáantoànthôngtin 17 CHƯƠNG 2: ĐỀ XUẤT GIẢIPHÁPĐÁNHGIÁHỆTHỐNGANTOÀNTHÔNGTIN 26 2.1. Tiêu chuẩn chung Common Criteria - CC 26 2.1.1. Khái niệm và mô hình chung của CC 26 2.1.2. Những yêu cầu chức năng antoàn SFR. 36 2.1.3. Những yêu cầu đảm bảo antoàn SAR 42 2.1.4. Những mức đảm bảo đánhgiá (EALs) 47 2.1.5. Nội dung chuẩn của PP 49 2.1.6. Lớp đảm bảo đánhgiá Hồ sơ bảo vệ APE và yêu cầu của EAL4 53 2 2.2. Phương pháp luận cho đánhgiáantoàn - CEM 57 2.2.1. Mối quan hệ CEM và CC 57 2.2.2. Sơ đồ tổng quát cho đánhgiá 58 2.2.3. CEM hướng dẫn đánhgiá lớp đảm bảo APE 60 CHƯƠNG 3: ỨNG DỤNG GIẢIPHÁPĐÁNHGIÁHỆTHỐNGANTOÀNTHÔNGTIN 72 3.1. Áp dụng CC đánhgiá thiết bị FIREWALL/VPN của NOKIA sử dụng giảipháp CHECKPOINT VPN-1/FIREWALL-1 72 3.1.1. Khái quát chung về FireWall/VPN Nokia 72 3.1.2. Áp dụng CC vào đánhgiá thiết bị Firewall/VPN của Nokia 76 3.2. Đánhgiáhệthốngantoànthông qua các điểm yếu 124 KẾT LUẬN 131 TÀI LIỆU THAM KHẢO 132 Nghiên cứugiảipháp đánh giáhệthốngantoànthôngtin Học viên: Vũ Thu Uyên Đơn vị công tác: khoa Công nghệ thôngtin – Trường ĐH Kinh tế - Kỹ thuật Công nghiệp. email: vtuyen.uneti@moet.edu.vn Giáo viên hướng dẫn: PGS.TS Nguyễn Hữu Ngự Đơn vị công tác: Đại học KHTN – Đại học Quốc gia Email: Từ khóa – CC, CEM, TOE, SPATCNTT I. GIỚI THIỆU BÀI TOÁN A. Nhu cầu áp dụng CNTT vào đời sống là rất rộng rãi, cần thiết và quan trọng. B. Do càng ngày càng xuất hiện nhiều các điểm yếu, các lỗ hổng trong hệ thống, vì vậy việc đảm bảo antoànhệthốngthôngtin là yêu cầu hàng đầu đối với các tổ chức. C. Việc đánhgiá và cấp chứng chỉ antoàn cho hệthống đã được nghiêncứu trên thế giới từ lâu. Tuy nhiên tại Việt Nam vấn đề này tuy đã được chú ý đến nhưng vẫn còn khá mới mẻ. II. NỘI DUNG LUẬN VĂN A. Tổng quan về antoànthôngtin B. Tiêu chuẩn chung – CC C. Phương pháp luận cho đánhgiáantoàn – CEM D. ỨNG DỤNG 1. Áp dụng CC và CEM đánhgiá một sản phẩm Antoàn CNTT. 2. Đánhgiáhệthốngantoànthông qua các điểm yếu. III. KẾT LUẬN Luận văn đã đạt được một số kết quả sau: Nghiêncứu được các tiêu chuẩn để đánhgiáhệthốngantoàn theo chuẩn quốc tế là ISO 27001, CC, CEM. Đề xuất giảipháp để đánhgiá các thành phần trong hệ thống, cụ thể là đánhgiá các sản phẩm ATCNTT bằng cách sử dụng CC và CEM, từ đó có thể áp dụng vào các hệthống thực tế. Đưa ra cách áp dụng CC và CEM đánhgiá một sản phẩm cụ thể. Các giảipháp để đảm bảo antoàn cho hệthống khác nằm ngoài những đánhgiá dựa vào tiêu chuẩn ở trên là sử dụng công cụ sniffer để phát hiện điểm yếu của hệ thống. Hướng nghiêncứu tiếp theo Mở rộng việc đánhgiá một số sản phẩm ATCNTT như: Firewall, cổng thôngtin điện tử, email, CSDL, Đánhgiá module mật mã. Mở rộng phát triển việc kiểm soát: Lỗ hổng, nguy cơ mất ANTT, các điểm yếu của hệthống TÀI LIỆU THAM KHẢO [1]. PGS.TS Trịnh Nhật Tiến (2008), An toàn và antoàn thông tin, Nhà xuất bản Quốc gia. [2]. Andrew Hay, Peter Giannoulis, Keli Hay (2009), Nokia Firewall, VPN, and IPSO Configuration Guide. [3]. William Stallings (1998), Cryptography anh Network Security: Principles and Practice, Second Edition, Prentice Hall, Upper Saddle River, New Jersey 07458. [4]. http://www.commoncriteriaportal.org [5]. http:/www.niap-ccevs.org [6]. http://www.checkpoint.com/nokia The study measures the evaluation to information safety systems Student name: VU THU UYEN Affiliation:Information Technology Department, University of Economic and Technical Industries email vuyen.uneti@moet.edu.vn Professor name: Prof/Dr. Nguyen Huu Ngu Affiliation: VNU University of Science Email: Keywords – CC. CEM, TOE, SPATCNTT I. INTRODUCE ABOUT PROBLEM A. Overview of information security. B. The general problem of information security. C. Introduction of standard assessment information safety system II. CONTENT OF THE THESIS A. Overview of information security B. Common Criteria – CC C. Common Methodology for Information Security Evaluation - CEM D. APPLICATIONS 1. Apply CC evaluated IT products. 2. Evaluation Safety system through vulnerabilities. III. CONCLUSION • Look at the criteria for assessing the safety system according to international standards as ISO 27001, CC, CEM. • Propose measures to evaluate the components in the system, namely the evaluation of IT products using CC and CEM, which can be applied to real systems. • Make the application of CC and CEM evaluate a particular product. • Measures to ensure the safety of the system beyond the standard assessment based on the use of sniffer tool to detect weaknesses of the system. Directions for further research: Expanding the assessment of certain information safety products as: Firewall, e- portal, email, database, code assessment module. Extended control development: vulnerability risk of loss of information security, the system’s weaknesses REFERENCES [1]. PGS.TS Trịnh Nhật Tiến (2008), An toàn và antoàn thông tin, Nhà xuất bản Quốc gia. [2]. Andrew Hay, Peter Giannoulis, Keli Hay (2009), Nokia Firewall, VPN, and IPSO Configuration Guide. [3]. William Stallings (1998), Cryptography anh Network Security: Principles and Practice, Second Edition, Prentice Hall, Upper Saddle River, New Jersey 07458. [4]. http://www.commoncriteriaportal.org [5]. http:/www.niap-ccevs.org [6]. http://www.checkpoint.com/nokia