Nghiên ứu, phát triển hệ thống bảo mật csdl cho tổng cục thuế

421.4 Ki m tra tr ng thái cểạủa ứng dụng đã deploy trên server sử ụ d ng remote Integration №de trên IBM Integration Toolkit .... 441.5 Ki m tra tr ng thái cểạủa ứng dụng đã deploy trên

DƯƠNG TIẾ N ĐẠ T

CHO T NG C C THU Ổ Ụ Ế

LUẬN VĂN THẠC SỸ

Chuyên ngà : Mnh ẠNG MÁY TÍNH VÀ TRUY N THÔNG D Ề Ữ LIỆU

TS PHẠ M ĐĂNG HẢI

LỜI CAM ĐOAN

Tên tôi là: Dương Tiến Đạt

H c viên l p Cao h c Truy n thông và m ng máy tính 2016A - ọ ớ ọ ề ạ Trường Đại

L I CỜ ẢM ƠN

Trước tiên em xin được g i l i cử ờ ảm ơn tới Ban Giám Hiệu Trường Đại

h c Bách Khoa Hà N i ọ ộ đã tạo điều kiện cho em được làm luận văn ố t t nghi p này ệSau th i gian nghiên c u và làm vi c mi t mài, ờ ứ ệ ệ luận văn ố t t nghi p cệ ủa em đến nay

cơ bản đã hoàn thành Có được thành qu ả đó, ngoài sự ố ắ c g ng n l c c a b n thân ỗ ự ủ ảcòn ph i k n s ả ể đế ự giúp đỡ ấ ớ ừ r t l n t thầy giáo TS Phạm Đăng Hả , người đã trực itiếp hướng d n, ch b o t n tình và cung c p tài li u, ki n thẫ ỉ ả ậ ấ ệ ế ức cũng như kinh

bày t lòng biỏ ết ơn sâu sắc tới thầy, kính chúc th y luôn m nh kho và công tác tầ ạ ẻ ốt

Em xin chân thành cảm ơn các thầy cô c a ủ Viện Công ngh thông tin và ệTruy n thông ề đã hế ứt s c nhi t tình truy n th cho chúng em không ch nh ng kiệ ề ụ ỉ ữ ến thức chuyên môn mà c nh ng kinh nghiả ữ ệm quý báu Em cũng xin cảm ơn Ban Lãnh Đạ , các đồo ng nghi p c c Công ngh thông tin T ng c c Thu ệ ụ ệ – ổ ụ ế đã tạo điều

ki n và tệ ận tình giúp đỡ em trong vi c tìm hi u, ti p c n các ki n thệ ể ế ậ ế ức

Cuối cùng em xin g i l i cử ờ ảm ơn chân thành tới gia đình và bạn bè Chính

động l c và s khích l hoàn thành luự ự ệ để ận văn này

Trong quá trình th c hiự ện đề tài, mặc dù đã cố ắ g ng, tuy nhiên vì th i gian có ờ

hạn và trình độ còn h n ch nên luạ ế ận văn không tránh khỏi nh ng thi u sót Em ữ ếkính mong nhận được các góp ý c a Hủ ội đồng Khoa h c và các bọ ạn để đề tài được hoàn thiện hơn

cấp, các đơn vị bên ngoài

TPR

Ứng d ng Phân tích thông tin r i ro ph c v công tác thanh tra ụ ủ ụ ụthuế

TPH Ứng d ng tụ ập trung Cơ sở ữ ệ d li u v ề ngườ ội n p thu ế

DKTPNN Đăng ký thuế phi nông nghi p ệ

PROD Giai đoạn th c thi s n ph m (tri n khai ch y thự ả ẩ ể ạ ật)

T-VAN H ệthống các nhà T-VAN

TĐTT_KBNN H ệthống Trao đổi thông tin Kho bạc nhà nước

BCA H ệthống Bộ công An

TĐTT_TNMT H ệthống Trao đổi thông tin Tài nguyên môi trường

TTR Ứng d ng theo dõi k t qu thanh tra, ki m tra thu cụ ế ả ể ế ấp C c ụ

NTK H ệthống n p t khai mã vộ ờ ạch

DANH MỤC CÁC B NG VÀ HÌNH V Ả Ẽ

Trang

MỤC LỤC

LỜI CAM ĐOAN 1

DANH MỤC CÁC KÝ HI U, CÁC CH Ệ ỮVIẾT T TẮ 3

DANH MỤC CÁC B NG VÀ HÌNH VẼ 5Ả M c L cụ ụ 6

L I M Ờ Ở ĐẦU 8

CHƯƠNG 1: GIỚI THI U 10Ệ 1 T ng quan v an ninh m ng hi n nayổ ề ạ ệ 10

2 Các phương pháp tấn công và cách phòng tránh[5] [6][7] 13

2.1 Mã độ c 14

2.2 L i d ợ ụng các điể m y u trong giao th c giao ti p CSDL ế ứ ế 14

2.3 L i d ợ ụng điể m y u các n n t ế ề ả ng 15

2.4 L m d ng quy n h n ạ ụ ề ạ 15

2.5 S thi u h t các chuyên gia an ninh và h n ch ự ế ụ ạ ế trong đào tạo 16

2.6 T n công vào y u t ấ ế ố con ngườ i 16

2.7 T n công SQL Injection ấ 16

2.8 L i d ng d u v t ki m toán y u ợ ụ ấ ế ể ế 18

2.9 T n công t ấ ừ chối d ch v ị ụ 19

2.10 L i d ng s ợ ụ ự sơ hở ủ c a d li u d phòng 20 ữ ệ ự 3 Phương pháp bảo mật CSDL t i T ng c c thuạ ổ ụ ế 20

3 1 Khái niệm v c tích h ề trụ ợ p 21

3 2 Cơ chế ho ạt độ ng 22

4 K t nế luậ 23

CHƯƠNG 2 : MÔ HÌNH THIẾT K Ế VÀ CÀI ĐẶT H TH NG 24Ệ Ố 1 Mô hình thi t kế ế ệ h th ng 24ố 1.1Mô hình Logic 24

1.2 Thi t b h t ng ph n c ế ị ạ ầ ầ ứng 25

1.3 Thi t k t ng th ế ế ổ ể ị d ch v ph n m m trên tr c tích h ụ ầ ề ụ ợp 26

1.5 Đặ ả c t mô hình ki n trúc tr c trong ế ụ 29

1.6 Đặ ả c t Mô hình logic tr c ngoài ụ 33

1.7 Đặ ả c t mô hình ki n trúc tr c ngoài ế ụ 34

2 Mô hình cài đặt h th ng 37ệ ố 2.1 Mô hình cài đặt 38

3 K t lu nế ậ 39

CHƯƠNG 3 : VẬN HÀNH VÀ ĐÁNH GIÁ HỆ TH NG 40Ố 1 Vận hành và đánh giá hệ ố th ng 40

1.1 V n hành Message Queue tr c Internal ESB ậ ụ 40

1.2 Kiểm tra và đọc các file ghi l i x y ra trong quá trình truy n nh ỗ ả ề ậ n giữ a các ng d ng trên Queue tr c trong ứ ụ ụ 41

1.3 V n hành kênh truy n nh n c a các ậ ề ậ ủ ứ ng d ng c hai phân vùng ụ ở ả Internal ESB 42

1.4 Ki m tra tr ng thái c ể ạ ủa ứ ng d ụng đã deploy trên server sử ụ d ng remote Integration №de trên IBM Integration Toolkit 44

1.5 Ki m tra tr ng thái c ể ạ ủ a ứ ng d ụng đã deploy trên server sử ụ d ng remote Integration №de trên IBM Integration Toolkit 44

1.6 V n hành IBM MQ Appliance ậ 46

1.7 Ki m tra s ể ố lượng các gói tin c a các ng d ng còn t ủ ứ ụ ồn đọ ng trên h ệ thố ng ESB 51

1.8 Ki m tra kênh truy n nh n c a các ể ề ậ ủ ứ ng d ng c hai phân vùng ụ ở ả Internal ESB và External ESB 52

1.9 V n hành IBM Datapower ậ 55

2 K t lu n ế ậ 64

K T LU N CHUNGẾ Ậ 66

TÀI LI U THAM KH OỆ Ả 68

LỜI MỞ ĐẦU Thông tin luôn là tài s n vô giá nh t ả ấ trong lĩnh vực tài chính, thu và c n ế ẩ

phải được b o v b ng m i giá Tuy nhiên v i s phát triả ệ ằ ọ ớ ự ển vượ ật b c c a công ngh ủ ệcũng như những đòi hỏi ngày càng g t gao c a cắ ủ ủa môi trường, ngành thu c ntinh ế ầ

gi m các th t c hành chính ả ủ ụ cho nên để theo kịp xu hướng các nước phát tri n vi c ể ệ

n p thu và làm các th t c v ộ ế ủ ụ ềthuế qua m ng internet chính vì v y tác gi ạ ậ ả đưa ra ý tưởng xây d ng luự ận văn “Nghiên c u, phát tri n h ứ ể ệthống b o m t CSDL cho T ng ả ậ ổ

c c thu ụ ế “ nhằm mục đích tìm hiểu rõ hơn về an ninh mạng qua đó tìm hi u và làm ểchủ ệ ố h th ng b o mả ật CSDL qua đó có thể tùy bi n h th ng khi c n thi t ế ệ ố ầ ế

Hiện nay T ng c c thu s d ng các h qu n tr ổ ụ ế ử ụ ệ ả ị cơ sở ữ ệu ( CSDL) để d lilưu trữ ậ t p trung các thông tin của ngườ ội n p thu H th ng này s ế ệ ố ẽ là tiêu điểm t n ấcông c a nh ng k x u nhủ ữ ẻ ấ ằm đánh cắp thông tin Các cu c t n công s làm h ộ ấ ẽ ệ

thống b ị hư hại, hoạt động không ổn định, m t mát d ệấ ữ li u làm cho các hoạt động

n p thu b ộ ế ị đình trệ Nghiêm trọng hơn, các thông tin của ngườ ội n p thu b t l ế ịtiế ộ

và đem bán cho các đối th c nh tranh c a doanh nghi p Có th nói là thi t h i c a ủ ạ ủ ệ ể ệ ạ ủ

vi c rò r thông tin là vô cùng n ng n ệ ỉ ặ ề Đó sẽ là đòn chí mạng gây m t uy tín c u ấ ảnhà nước đố ới ngườ ội v i n p thu Vì v y v n đ b o m t h th ng CSDL là vô cùng ế ậ ấ ề ả ậ ệ ố

c p bách và c n thi t cho t t c mấ ầ ế ấ ả ọi người nh t là vấ ới cơ quan thuế đạ i di n cho nhà ệnước

V i mớ ục đích nghiên cứu, tìm hi u v h ể ề ệ thống tr c tích hụ ợp ủc a T ng cổ ục thuế, các kiến thức cơ bản v tề ấn công cũng như phòng tránh bảo m t T ậ ừ đó làm chủ được công ngh , thi t kệ ế ế, cài đặt và v n hành h th ng ậ ệ ố Đề tài s ẽ được tác gi ảchia thành 3 chương:

Chương 1: ớGi i thi u ệ

Trong chương này, ận văn ẽlu s trình bày t ng quan v an ninh mang,các ổ ềphương pháp tấn công phòng tránh cơ bản c a h thủ ệ ống cơ sở ữ ệ d li u, gi i thi u v ớ ệ ề

Chương 2: Thi t k ế ế và cài đặt h th ng tr c tích h p ệ ố ụ ợ

Trong chương này tác gi s gi i thi u và t p trung nghiên c u, trình bày ả ẽ ớ ệ ậ ứthiế ết k , các thi t b ph n cế ị ầ ứng và cách cài đặt h ệ ốth ng tr c tích h p c a T ng c c ụ ợ ủ ổ ụthuế

Chương 3: ậV n hành và đánh giá hệ th ng ố

Trong chương này, trên cơ sở nghiên c u v h th ng tr c tích h p và các ứ ệ ệ ố ụ ợ

k t qu tìm hi u, nghiên c u cế ả ể ứ ủa Chương và Chương 1 2 và xu t phát t ấ ừnhững ý tưởng th c t , tác gi s trình bày cách v n hành m t h th ng tr c tích h pự ế ả ẽ ậ ộ ệ ố ụ ợ và đưa

- Cài đặt, ận v hành và đánh giá hệthống sau khi đã nghiên cứu

CHƯƠNG 1: GI I THI U Ớ Ệ

1 T ng quan v an ninh m ng hi n nay ổ ề ạ ệ

Vấn đề ả b o m t an toàn thông tin t i Vi t Nam ngày càng di n bi n ph c t p ậ ạ ệ ễ ế ứ ạ

và nguy hi m Các cu c t n công m ng có quy mô, mể ộ ấ ạ ức độ ph c tứ ạp và được chuẩn

b m t cách k ị ộ ỹ lưỡng Trong đó, các mục tiêu tấn công đang dần chuyển dịch t các ừ

m c tiêu cá nhân, sang các m c tiêu là các tụ ụ ập đoàn kinh tế lớn hay nghiêm tr ng ọ

các thông tin của khách hàng và nhi u d li u bí m t khác ề ữ ệ ậ

Theo th ng kê c a BKAV[1] và các t p chí an toàn thông tin [2] thì trong ố ủ ạ 3 năm trở ại đây ẫn đầ l d u là các m i hi m h a tố ể ọ ấn công liên quan đến mã độc l i ợ

dụng các điểm yếu trong giao th c giao tiứ ếp cơ sở ữ ệ Năm 2017, thiệ ạ d li u t h i do virus máy tính gây ra đố ới người v i dùng Việt Nam đã lên tới 12.300 t ỷ đồng, tương đương 540 triệu USD, vượt xa m c 10.400 t ng cố ỷ đồ ủa năm ngoái Kết qu này ả

thực hi n vào tháng 12/2017 M c thi t h i t i Việ ứ ệ ạ ạ ệt nam đã đạt k l c trong nhi u ỷ ụ ềnăm trở ại đây Ở l các n n kinh t kh ng l ề ế ổ ồ như Mỹ, Trung Qu c, Nh t B n và ố ậ ả

Đức, t i ph m m ng gây ra t ng thi t h i lên t i 200 t USD mộ ạ ạ ổ ệ ạ ớ ỷ ỗi năm Bức tranh toàn c nh v an ninh m ng t i Viả ề ạ ạ ệt Nam trong năm qua còn có các điểm nóng: gia tăng tấn công trên thi t b IoT, các công ngh sinh tr c h c m i nh t liên t c b qua ế ị ệ ắ ọ ớ ấ ụ ị

m t, bùng n ặ ổtin tức gi mả ạo, mã độc đào tiền ảo

Dưới đây là các vụ ấ t n công m ng nghiêm tr ng trên th gi i và Vi t nam ạ ọ ế ớ ệtrong năm 2017 theo báo CMC [2] và viettimes[3] v viề ệc sử ụng mã độc: d

Mã độc randomeware tấn công vào lĩnh vực y t : ế

M t cu c tộ ộ ấn công mã độc t ng ti n (ransomware) vào B nh vi n ố ề ệ ệ

khỏe, nhưng vào năm 2017, nó biến thành cơn ác mộng th c s Các b nh vi n b ự ự ệ ệ ị

t n công khi n cho toàn b kấ ế ộ ết nối m ng b phong t ạ ị ỏa

Cuộ ấc t n công của mã độc WannaCry đã lan rộng như vụ cháy r ng, vô hi u ừ ệhóa m t ph n ba d ch v y t qu c gia (NHS) Anh Tiộ ầ ị ụ ế ố ở ếp đó là những mã độc khác như Petya/ NotPetya đã tấn công liên ti p vào các b nh vi n M vào tháng 6 ế ệ ệ ỹ

S ựthiếu an toàn c a thi t b tim mủ ế ị ạch đã bị phơi bày là cực k kh ng khi p, ỳ ủ ế

đặc bi t vệ ới trường h p nhà s n xu t thi t b y t ợ ả ấ ế ị ế St Jude Medical (nay đổi tên là

trong dư luận khi để ộ l nh ng sai sót c a thi t b tim mữ ủ ế ị ạch FDA đã thông báo cho công chúng về ệ vi c thu h i tựồ nguy n 465.000 máy t o nh p c a St Jude Medical ệ ạ ị ủTrong khi đó, các hacker mũ trắng đã cùng nhau tổ ch c H i ngh thư ng ứ ộ ị ợđỉnh Cyber Med Summit đầu tiên - v i m c tiêu cung c p nh ng ki n th c v an ớ ụ ấ ữ ế ứ ềninh m ng cho các chuyên gia y tạ ế Đây được xem là m t tin t t lành trong tình ộ ốhình y t ế đang gặp vấn đề ả b o m t nghiêm tr ng ậ ọ

Vào ngày 12/5, hơn 150 quốc gia đã bị đánh tráo dữ ệ li u b i m t v lở ộ ụ ừa đảo

kh ng l có tên là WannaCry cu c t n công này có ngu n g c t m t l h ng tri n ổ ồ ộ ấ ồ ố ừ ộ ỗ ổ ểkhai mã l nh t ệ ừ xa (trong Windows XP lên Windows Server 2012) được g i là ọ

"EternalBlue" Tương tự các ransomware khác, WannaCry hoạt động b ng cách mã ằhóa h u h t các t p tin trên máy tính cầ ế ậ ủa người dùng Mã độc WannaCry yêu c u ầ

n n nhân tr 300 USD thông qua tiạ ả ền ảo Bitcoin n u mu n gi i mã S n này s ế ố ả ốtiề ẽtăng gấp đôi sau ba ngày, nếu người dùng không thanh toán k t cể ừ ảnh báo đầu tiên

D u s b xóa sau 7 ngày n u yêu c u cữ liệ ẽ ị ế ầ ủa hacker không được đáp ứng.Nh ng ữngườ ậi c p nh t ngay lên phiên b n Windows m i nh t s không b ậ ả ớ ấ ẽ ị ảnh hưởng b i ở

mã độc WannaCry

Sau WannaCry m t tháng, mộ ột mã độc tên NotPetya cũng đã tấn công cơ quan thu ếUkrain, hãng tàu thủy Hà Lan Maersk và công ty d u khí Nga Rosneft ầTrong th i gian gờ ần đây, Mỹ và mộ ốt s quốc gia khác đã công bố cho r ng ằ

mã độc này có liên quan t i Tri u Tiên ớ ề

Mã độc tấn công vào h th ng Sân bay : ệ ố

Vào ngày 29/7/2016 hai sân bay l n nh t Viớ ấ ệt nam đã bị ấ t n công khi n các ếmàn hình hi n th thông tin chuy n bay t i Nể ị ế ạ ội Bài, Tân Sơn Nhấ ị thay đổt b i, xuất

hiện các thông tin kích động, xúc ph m Vi t Nam và Philippines, xuyên t c các nạ ệ ạ ội dung v ềBiển Đông Sau khi nhận được m u do c ng hàng không N i Bài cung c p, ẫ ả ộ ấcác chuyên gia c a Công ty C ph n An ninh An toàn thông tin CMC (CMC ủ ổ ầ

khi b lây nhiị ễm, máy tính dính mã độc có th ể thay đổi hình nh hi n th trên màn ả ể ịhình chính

c trên, nhi u t p d u trên máy tính b mã hóa không th

khôi phục được n u không có mã khóa bí m t do tin t c s h u ế ậ ặ ở ữ Cơ chế ủ c a nó

đưa ra bất k yêu c u nào v ti n chuỳ ầ ề ề ộc hay điều kiện để ở m khóa, nên có th cho ể

rằng đây thuần túy là một phương thức phá ho ại

Theo người đứng đầu b ph n b o mộ ậ ả ật CMC, mã độc trên có cơ chế ự t lây lan Đáng chú ý, sau khi lây nhi m sang ch m i, mễ ỗ ớ ẫu mã độ ạc t i ch m i t bi n ỗ ớ ự ế

đổi mình thành m t bi n th "có v ộ ế ể ẻ khác" nhưng lõi và hành vi vẫn như cũ Điều này nh m ngằ ụy trang, làm khó cho quá trình điều tra và mang tính chất đối phó cao Các m u còn lẫ ại ở chỗ khác s khó b nh n dẽ ị ậ ạng hơn, muốn tìm ra bu c ph i thộ ả ực

hi n vi c phân tích, m t nhi u thệ ệ ấ ề ời gian."Đây mới ch là m t trong nhi u m u mã ỉ ộ ề ẫ

độc phát hiện được sau v h th ng thông tin sân bay N i Bài b t n công" ụ ệ ố ộ ị ấ Mã độc này chưa từng xu t hi n t i Vi t Nam hay trên th giấ ệ ạ ệ ế ới và đây có thể là lý do các chương trình diệt virus ph thông không phát hiổ ện được

Trước đó khi phân tích mộ ốt s mẫu mã độc sau v t n công h th ng c a ụ ấ ệ ố ủ

phát hi n m t s d u hiệ ộ ố ấ ệu mã độc ng ủ đông trong hệ thống m ng Internet Viạ ệt Nam Đơn vị này đề ngh các c p liên quan kh n c p ch n k t nị ấ ẩ ấ ặ ế ối đến ba địa ch ỉ

chi ti t) Trong s ế ố này có mã độc trong file th c thi diskperf.exe mà CMC InfoSec ự

đề ậ c p trên Ngoài vi c xóa th ệ ủ công như hướng d n t VNCERT, ph n mềẫ ừ ầ m di t ệvirus m i nhớ ất do CMC phát hành đã được c p nhậ ật để ệ di t loại mã độc này Đáng chú ý, chúng có ý định kh ng ch , vô hi u hóa hoàn toàn d li u h th ng ố ế ệ ữ ệ ệ ố

Bảng dưới đây đưa ra mười hi m hể ọa hàng đầu hiện nay đồng thời đưa ra các th t x p hứ ự ế ạng để chúng ta có th ể nhìn rõ được s khác bi t c a các m i nguy ự ệ ủ ốnày

B ng 1.1 Danh sách các d ng t n công ph biả ạ ấ ổ ến năm 2017

2 Lợi dụng các điểm y u trong giao thế ức giao tiếp cơ sở ữ liệ d u

(Database Communication Protocol Vulerabilities)

5 S ựthiếu h t các chuyên gia an ninh và h n ch ụ ạ ế trong đào tạo

(Limited Security Expertise and Education)

10 Lợi dụng s ự sơ hở ủ c a d u d phòng (Backup Data Exposure) ữliệ ự

D a trên danh sách các d ng t n công ph bi n ự ạ ấ ổ ế năm 2017 đã nêu trong phần

1, các t ổ chức có th ể đưa ra những gi i pháp th c t ả ự ế hơn để ả b o v h ệ ệ thống của mình Sau đây, chúng ta sẽ tìm hi u v các d ng tể ề ạ ấn công này và đưa ra cách phòng tránh

2.1 Mã độ c

Mã độc hay “Malicious software” là một lo i ph n mạ ầ ềm đượ ạc t o ra và chèn vào h ệthống m t cách bí m t v i mộ ậ ớ ục đích thâm nhập, phá ho i h ạ ệ thống ho c lặ ấy

c p thông tiắ n, làm gián đoạn, t n h i t i tính bí m t, tính toàn v n và tính s n sàng ổ ạ ớ ậ ẹ ẵ

c a máy tính nủ ạn nhân Mã độc được phân thành nhi u lo i tùy theo chề ạ ức năng, cách thức lây nhi m, phá ho i: virus, worm, trojan, rootkit ễ ạ …

Nguy cơ này có th ể ngăn chặn b ng m t s cách ph biằ ộ ố ổ ến sau như:

 Tăng cường chính sách như cấm g i ho c nh nử ặ ậ thư điệ ử có đuôi tện t p tin là exe

 H n ch cung c p quyạ ế ấ ền cho người sử ụ d ng

 S d ng các ph n m m di t virut cử ụ ầ ề ệ ủa các đơn vị uy tín, thường xuyên

c p nh ph n m m, b n vá, cho h ậ ật ầ ề ả ệ điều hành

 Không sử ụ d ng các ph n m m b khóa, không b n quy n ầ ề ẻ ả ề …

Các nhà cung c p h ấ ệ thống cơ sở ữ d u ngày càng phát hi n ra m t s liệ ệ ộ ốlượng l n ớ các h ng gây m t toàn trong các giao thlỗ ổ ấ an ức giao tiếp cơ sở ữ ệ d li u

Ví d trong giao th c trong IBM DB2 ụ ứ thì có 4 trên 7 điểm yếu đã được xác định và

s a chử ữa, Oracle cũng xác định được 23 điểm yếu cơ sở ữ d liệu liên quan đến giao

SQL Server để gây ra t n công t ch i d ch v Ngoài ra, các hoấ ừ ố ị ụ ạt động c a giao ủthức không h ề được lưu lại trong các v t kiế ểm toán cho nên càng gây khó khăn cho

việc phát hiệ ỗn l i và phát hi n các t n công ệ ấ

Có th gi i quy t t n công này b ng công ngh phê duy t giao thể ả ế ấ ằ ệ ệ ức Công ngh này s ệ ẽ phân tích lưu lượng cơ sở ữ d liệu cơ bản và so sánh nó với lưu lượng thông thường Trong trường hợp lưu lượng hi n t i không phù h p vệ ạ ợ ới lưu lượng cơ

s d ở ữ liệu như mong đợi thì h ệ thống s phát ra c nh báo, th m chí là ch n luôn ẽ ả ậ ặ

2.3 L ợ i dụ ng đi ể m y u các n n t ế ề ả ng

Hiện nay r t nhi u doanh nghiấ ề ệp và các cơ quan nhà nước v n s d ng các ẫ ử ụ

h ệ điều hành cũ như ( Window XP, Window Server 2000,2003 và các điểm yếu trong các d ch v này không dc c p nhị ụ ậ ật vá nhưng lỗ ổ h ng b o mả ật các hacker thường nh m vào các hệ ống này đế ấắ th t n công chi m quy n qu n tr h th ng nh m ế ề ả ị ệ ố ắtrục lơi

Để ả b o v ệ các tài nguyên cơ sở ữ ệ d li u tránh kh i các t n công n n t ng, c n ỏ ấ ề ả ầ

ph i k t h p gi a vi c c p nh t (các b n vá) ph n mả ế ợ ữ ệ ậ ậ ả ầ ềm thường xuyên và s d ng h ử ụ ệ

thống b o m t m i nh t do các nhà cung cả ậ ớ ấ ấp đưa ra Tuy nhiên do vấn đề ếti t kiệm chi phí nên không nhiều doanh nghiệp, cơ quan nhà nước có th ể làm được điều này

Khi người dùng được trao quá nhi u quy n qu n tr ề ề ả ị vượt quá yêu c u công ầ

vi c c a h , thì nhệ ủ ọ ững đặc quy n này có th b l m d ng cho mề ể ị ạ ụ ục đích xấu Ví d ụ

một nhân viên chăm sóc sức kh e, nhân viên này có quy n xem các b n ghi liên ỏ ề ảquan đến ch m t b nh nhân trong ỉ ộ ệ cơ sở ữ ệ d li u qua m t ng d ng Web.Tuy nhiên, ộ ứ ụthường c u trúc c a ng d ng Web s h n ch ấ ủ ứ ụ ẽ ạ ế không cho phép người dùng được xem nhi u b n ghi v l ch s khám ch a bề ả ề ị ử ữ ệnh liên quan đến nhi u b nh nhân mề ệ ột cách đồng thời.Khi đó, nhân viên này có thể ỏ b qua h n ch c a ng dạ ế ủ ứ ụng Web đó

b ng cách k t n i tằ ế ố ới cơ sở ữ d u b ng mliệ ằ ột ứng d ng khác, ch ng h n MS-Exel ụ ẳ ạ

S d ng MS-Exel vử ụ ới đăng nhập h p l c a mình, anh ta có th lợ ệ ủ ể ấy ra và lưu lạ ấi t t

c các b n ghi v các bả ả ề ệnh nhân trong cơ sở ữ d u ho mliệ ặc ột người ph ụ trách cơ sở

d u cữ liệ ủa trường đạ ọi h c v i công viớ ệc là thay đổi các thông tin liên l c c a sinh ạ ủviên, người này có th l m d ng quy n c p nhể ạ ụ ề ậ ật cơ sở ữ ệ d li u của mình để ửa đổ s i điểm c a sinh viên (trái phép) ủ

Có th ể đơn giản là do nh ng qu n tr ữ ả ị viên cơ ở ữs d u vì b n r n v i công liệ ậ ộ ớ

vi c qu n tr cệ ả ị ủa mình nên không định nghĩa và cập nhật cơ chế ki m soát quyể ền truy nh p cho mậ ỗi người dùng K t qu là m t s ế ả ộ ố lượng lớn người dùng được gán các đặc quy n truy nh p mề ậ ặc định vượt xa so v i yêu c u công vi c của họ ớ ầ ệ

Chúng ta có th ể ngăn chặn vi c l m d ng quyệ ạ ụ ền vượt m c b ng ki m soát ứ ằ ểtruy nh p m c truy v n S dậ ứ ấ ử ụng cơ chếkiểm soát truy nh p m c truy v n (Query-ậ ứ ấlevel) s h n ch ẽ ạ ế các đặc quyền cơ sở ữ d u b ng nh ng toán t SQL (SELECT, liệ ằ ữ ửUPDATE,…) và dữ ệu đượ li c yêu c u m t cách t i thi u ầ ộ ố ể

Những ngu n nhân l c v chuyên gia an ninh trong t ch c hiồ ự ề ổ ứ ện nay chưa đáp ứng k p v i s ị ớ ự tăng nhanh của công ngh Các t chệ ổ ức không được trang b y ị đầ

đủ nh ng giữ ải pháp an toàn để đố i phó v i nh ng s c và vi phớ ữ ự ố ạm an ninh thường xuyên xảy ra Đó là do thiếu năng lực chuyên môn c n thiầ ết đểthực hi n các kiệ ểm soát an toàn, các chính sách bảo m t và vấn đề đào tạậ o

Để ả c i thi n vệ ấn đề này chúng ta cần tăng chất lượng tại các cơ sở đào tạo công ngh thông tin, an ninh mệ ạng đảm bảo khi các sinh viên ra trường n m chắ ắc được ki n th c, chuyên môn nghi p v Các doanh nghi p lên liên k t v i các ế ứ ệ ụ ệ ế ớtrường đại học để có th có mể ột chương trình phù với với các yêu c u th c t ầ ự ế

K t n công có th liên l c v i mẻ ấ ể ạ ớ ột người qu n tr h ả ị ệthống mua chu c hoộ ặc

gi làm mả ột ngườ ử ụng đểi s d yêu cầu thay đổi m t khậ ẩu, thay đổi quy n truy nhề ập

của mình đố ớ ệi v i h thống, ho c thặ ậm chí thay đổi m t s c u hình c a h ộ ố ấ ủ ệthống đểthực hiện các phương pháp tấn công khác

V i ki u t n công này không m t thi t b nào có th ớ ể ấ ộ ế ị ể ngăn chặn m t cách hộ ữu

hi u, và ch có m t cách giáo dệ ỉ ộ ục ngườ ử ụi s d ng m ng n i b v ạ ộ ộ ềnhững yêu c u bầ ảo

mật để đề cao c nh giác v i nh ng hiả ớ ữ ện tượng đáng nghi Nói chung yếu t con ốngười là một điểm y u trong b t k m t h th ng b o v nào, và ch có s giáo d c ế ấ ỳ ộ ệ ố ả ệ ỉ ự ụ

c ng v i tinh th n h p tác t ộ ớ ầ ợ ừ phía ngườ ử ụi s d ng có th ể nâng cao được độ an toàn

của hệ thống b o v ả ệ

Khi tri n khai các ng dể ứ ụng web trên Internet, thông thường việc đảm b o an ảtoàn thông tin cho 1 trang web thường được chú tr ng t p trung vào các vọ ậ ấn đề như

chọn h ệ điều hành, h qu n tr ệ ả ị cơ sở ữ ệ d li u, webserver s ạy ứẽ ch ng d ng, mà ụkhông nh n thậ ức được b n thân ng d ng chả ứ ụ ạy trên đó cũng tiềm ẩn các l h ng ỗ ổ

b o mả ật Một trong s ốcác lỗ ổng này đó là SQL injection h

SQL Injection là m t trong nh ng kiộ ữ ểu hack web đang dần tr nên ph biở ổ ến

cho ứng d ng web x lí, b n có th login mà không c n username và password, ụ ử ạ ể ầremote execution, dump data và l y root c a SQL server Công c ấ ủ ụ dùng để ấ t n công

là m t trình duy t web bộ ệ ất kì, chẳng hạn như Internet Explorer, Netscape, Lynx,

Có 3 d ng tạ ấn công SQL Injection thông thường là: vượt qua ki m tra lúc ểđăng nhập (authorization bypass), s d ng câu l n SELECT, s d ng câu l nh ử ụ ệ ử ụ ệINSERT

SQL injection khai thác nh ng b t c n c a các l p trình viên phát tri n ng ữ ấ ẩ ủ ậ ể ứ

d ng web khi x lí các d u nhụ ử ữliệ ập vào để xây d ng câu l nh SQL Tác h i t lự ệ ạ ừ ỗi SQL injection tùy thuộc vào môi trường và cách c u hình h ấ ệthống N u ng d ng ế ứ ụ

s d ng quy n dbo (quy n cử ụ ề ề ủa ngườ ở ữu cơ sở ữi s h d u - owner) khi thao tác d liệ ữ

liệu, nó có th xóa toàn b các b ng d li u, t o các b ng d ệể ộ ả ữ ệ ạ ả ữ li u mới, … Nế ứu ng

d ng s d ng quy n sa (quy n qu n tr h ụ ử ụ ề ề ả ị ệthống), nó có th ể điều khi n toàn b h ể ộ ệ

qu n tr ả ị cơ sở ữ d u và v i quy n h n r ng lliệ ớ ề ạ ộ ớn như vậy nó có th t o ra các tài ể ạkhoản người dùng b t hấ ợp pháp để điều khi n h ể ệthống của bạn

L i SQL injection khai thác nh ng b t c n c a các l p trình viên phát tri n ỗ ữ ấ ẩ ủ ậ ể

ứng d ng web khi x lí các d li u nhụ ử ữ ệ ập vào để xây d ng câu l nh SQL Tác h i t ự ệ ạ ừ

l i SQL injection tùy thuỗ ộc vào môi trường và cách c u hình h ấ ệ thống N u ng ế ứ

d ng s d ng quy n dbo (quy n cụ ử ụ ề ề ủa ngườ ở ữu cơ sở ữi s h d u - owner) khi thao liệtác d u, nó có th xóa toàn b các b ng d u, t o các b ng d u mữ liệ ể ộ ả ữ liệ ạ ả ữ liệ ới, …

N u ng d ng s d ng quy n sa (quy n qu n tr h ế ứ ụ ử ụ ề ề ả ị ệ thống), nó có th ể điều khi n ể

toàn b h ộ ệquản tr ị cơ sở ữ ệ d li u và v i quy n h n r ng lớ ề ạ ộ ớn như vậy nó có th t o ra ể ạcác tài khoản người dùng b t hợp pháp để điềấ u khi n h th ng cể ệ ố ủa bạn

Trong h u h t trình duy t, nh ng kí t ầ ế ệ ữ ự nên được mã hoá trên địa ch ỉ URL trước khi đượ ử ục s d ng Vi c t n công theo SQL Injection d a vào nh ng câu thông ệ ấ ự ữbáo lỗi do đó việc phòng ch ng hay nh t v n là không cho hi n th nh ng thông ố ấ ẫ ể ị ữđiệp lỗi cho người dùng b ng cách thay th nh ng l i thông báo b ng 1 trang do ằ ế ữ ỗ ằngười phát tri n thi t k m i khi l i x y ra trên ng d ng ể ế ế ỗ ỗ ả ứ ụ

Kiểm tra kĩ giá t ịr nh p vào cậ ủa người dùng, thay th nh ng kí t ế ữ ự như „ ; v v Hãy lo i b các kí t ạ ỏ ự meta như “',",/, ,;“ và các kí tự extend như NULL, CR, \

LF, trong các string nhận được từ:

 D u nhữliệ ập do người dùng đệ trình

 Các tham s t ố ừURL

 Các giá tr t cookie ị ừ

 Đố ới v i các giá tr numeric, hãy chuyị ển nó sang integer trước khi th c ự

một số integer

 Dùng thuật toán để mã hóa d li u ữ ệ

Đố ớ ấ ỳi v i b t k hoạt động nào liên quan đến cơ sở ữ ệ d li u, c n thi t ph i ghi ầ ế ả

l i m t cách t ng t t c các giao dạ ộ ự độ ấ ả ịch cơ sở ữ d u nh y c m và/ho c các giao liệ ạ ả ặ

d ch bị ất thường Khi chính sách kiểm toán cơ sở ữ d u yliệ ếu s dẽ ẫn đến nh ng r i ữ ủ

ro nghiêm trọng cho t ch c với nhiềổ ứ u m c đ khác nhau ứ ộ

Các cơ chế ể ki m toán là tuy n hàng rào b o v ế ả ệ cơ sở ữ ệ d li u cu i cùng N u ố ế

k t n công có th phá v ẻ ấ ể ỡ các hàng rào khác thì cơ chế ể ki m toán d u v n có th ữliệ ẫ ểxác định s t n t i c a m t xâm nh p sau nhự ồ ạ ủ ộ ậ ững hành động c a k tủ ẻ ấn công trước

đó Những v t kiế ểm toán thu được ti p t c có th ế ụ ể dùng để xác định người dùng nào

vừa thực hiện các hành động này, đồng th i qua v t ki m toán có th ờ ế ể ểthực hiện phục

hồi lại hệ thống

Cơ chế ể ki m toán yếu đồng nghĩa với vi c h th ng không th ghi lệ ệ ố ể ại đầy đủ

những hành động của người dùng, dẫn đến vi c không th phát hiệ ể ện và ngăn chặn

k p th i nhị ờ ững hành động t n công cấ ủa người dùng ho c mặ ột nhóm người dùng Do

v y, kiậ ểm toán là cơ chế quan tr ng mà m i h ọ ọ ệthống c n có và c n thi t phầ ầ ế ải có cơ chế ể ki m toán mạnh đảm bảo an toàn thông tin hay an toàn cơ sở ữ ệ d li u cho m i h ọ ệthống

2.9 T n công t ấ ừ chối dị ch v ụ

T n công t ấ ừ chố ịi d ch v (DoS) là m t lo i tụ ộ ạ ấn công trong đó các truy nhập

của người dùng h p pháp vào các ng d ng m ng hay vào d u s b t ợ ứ ụ ạ ữliệ ẽ ị ừ chối Ví

d , t n công D0S có th dụ ấ ể ựa trên điểm y u n n tế ề ảng cơ sở ữ d liệu để phá h y mủ ột máy ch Ngoài ra còn có m t s k thu t DoS ph biủ ộ ố ỹ ậ ổ ến khác như: sửa đổ ữi d u, liệlàm l t m ng (network flooding), và làm quá t i tài nguyên máy ch ụ ạ ả ủ (bộ nhớ, CPU,…) Trong đó, làm quá tải tài nguyên là m t k thu t ph bi n trong môi ộ ỹ ậ ổ ếtrường cơ sở ữ ệ d li u

T n công t ấ ừ chố ịi d ch v ụ phân tán (DDoS) đã ngày càng trở thành m t mộ ối

đe dọ ớn đố ớ ựa l i v i s tin c y c a m ng internet Là các cu c t n công s d ng nhi u ậ ủ ạ ộ ấ ử ụ ềcách th c t ứ ổ chức và th c hi n khác nhau, t vi c dùng ch m t máy t i vi c thu ự ệ ừ ệ ỉ ộ ớ ệthập các máy agent dưới quy n v i s lưề ớ ố ợng lên đến hàng ch c ngàn máy ph c v ụ ụ ụ

t n công, mấ ục đích của các cu c t n công là làm tê li t các ng d ng, máy ch , toàn ộ ấ ệ ứ ụ ủ

b mộ ạng lưới, hoặc làm gián đoạn k t n i cế ố ủa người dùng h p pháp t i Website ợ ớđích Một nghiên c u tứ ại UCSD đã chỉ ra r ng ngay t u th p niên này các cu c ằ ừ đầ ậ ộ

t n công t ấ ừ chố ịi d ch v ụ đã diễn ra v i m t t l lên t i 4000 cu c t n công mớ ộ ỷ ệ ớ ộ ấ ỗi tuần T ừ đó đã dẫn đến m t lo t các nghiên c u nh m hiộ ạ ứ ằ ểu rõ hơn về các cơ chế ấ t n công, để đưa tới các cách th c giúp có thểứ phòng ch ng ố ảnh hưởng tiêu c c của nó ự

Do tính ch t nghiêm tr ng c a t n công DDoS, nhi u gi i pháp phòng ch ng ấ ọ ủ ấ ề ả ố

đã được nghiên cứu và đề xu t trong nhấ ững năm qua Tuy nhiên, cho đến hi n nay ệ

gần như chưa có giải pháp nào có kh ả năng phòng chống DDoS m t cách toàn di n ộ ệ

và hi u qu do tính ch t ph c t p, quy mô l n và tính phân tán r t cao c a t n công ệ ả ấ ứ ạ ớ ấ ủ ấDDoS Thông thường, khi phát hi n t n công DDoS, vi c có th th c hiệ ấ ệ ể ự ện đượ ốc t t

nh t là ng t h ấ ắ ệthống n n nhân kh i t t c các tài nguyên do mạ ỏ ấ ả ọi hành động ph n ả

ứng l i tạ ấn công đều cần đến các tài nguyên trong khi các tài nguyên này đã bị ấ t n công DDoS làm cho c n ki t Sau khi h ạ ệ ệ thống nạn nhân được ng t kh i các tài ắ ỏnguyên, vi c truy tìm58 ngu n g c và nh n d ng t n công có th ệ ồ ố ậ ạ ấ ể được ti n hành ếNhiều bi n pháp phòng ch ng tệ ố ấn công DDoS đã được nghiên c u trong nhứ ững năm

gần đây Tựu chung có th chia các bi n pháp phòng ch ng t n công DDoS thành 3 ể ệ ố ấ

d ng theo 3 tiêu chí chính: D a trên v trí tri n khai, D a trên giao th c mạ ự ị ể ự ứ ạng và

Dựa trên thời điểm hành động

Chúng ta th y rấ ằng, trong công tác sao lưu, dự phòng cơ sở ữ d u, hay các liệmôi trường test t i các h th ng l nạ ệ ố ớ , người th c hiự ện thường ch quan không b o ủ ả

v và quệ ản lý các phương tiện lưu trữ cơ sở ữ d u d phòng mliệ ự ột cách đầy đủ Kết

qu ảlà, có rất nhiều tài liệu sao lưu cơ sở ữ d liệu và các đĩa cứng c a nhi u h ủ ề ệthống

b ị đánh cắp phát tán ra bên ngoài

Để ngăn chặ sơ hở ữ ện d li u d phòng T t c các bự ấ ả ản sao cơ sở ữ ệ d li u hay

mội trường test đào tạo nhân viên c n phầ ải được qu n lý c n th n n u ,n u c n thiả ẩ ậ ế ế ầ ết

phải được mã hóa

3 Phương pháp bảo m t CSDL t i T ng c c thu ậ ạ ổ ụ ế

Hiện nay, T ng c c thu ổ ụ ế đang dần áp d ng h th ng công ngh thông tin cho ụ ệ ố ệ

m i hoọ ạt động c a ngành thu , vủ ế ấn đề ả b o mật và an toàn thông tin theo đó mang tính s ng còn Chính vì v y t ng c c thu ố ậ ổ ụ ế đã xây dựng h th ng an ninh b o m t ệ ố ả ậ

v i các công ngh m i nh t, nh m tránh m i s c v an toàn thông tin có th gây ớ ệ ớ ấ ằ ọ ự ố ề ểthiệ ạ ặt h i n ng n v m t tài chính và uy tín cề ề ặ ủa cơ quan nhà nước Trong đó có hệ

thống tr c tích h p là m t cách nhìn m i v vi c tích h p các ng d ng, s phụ ợ ộ ớ ề ệ ợ ứ ụ ự ối

thuế nói chung và ngân hàng nói riêng qua đó có thể ả gi m thiểu đượ ủc r i ro khi b ị

t n công bấ ằng mã độc hay vi c các hacker l i dệ ợ ụng các điểm y u trong giao thế ức

3 1 Khái niệ m v c tích h p ề trụ ợ

Trục tích h p ESB (Enterprise Service Bus) ợ là xương sống c a ngành thu , ủ ế

h ệ thống có nhi m v nh tuy n các giao d ch nh n t ng d ng và chuyệ ụ đị ế ị ậ ừ ứ ụ ển đến

ứng dụng khác như ( giấy n p ti n, ch ng t quy t toán thuộ ề ứ ừ ế ế… tương ứng qua đó ),

làm tăng tính bảo mật của dữ ệu khi đi chúng đi qua rấli t nhi u l p xác th c ề ớ ự

Đây là xu hướng công ngh c a các t ch c tài chính trên th gi i và m t ệ ủ ổ ứ ế ớ ộ

n n t ng công ngh hoàn toàn mề ả ệ ới trong lĩnh vực công ngh cệ ủa cơ quan thuế ạ t i Việt Nam V i công ngh m i ESB giúp cho vi c phân ph i thông tin trong toàn b ớ ệ ớ ệ ố ộ

t ổchức m t cách nhanh chóng và d dàng, gi m thi u s ph ộ ễ ả ể ự ụ thuộ ẫc l n nhau giữa các hệ ố th ng riêng l trong cùng m t tổẻ ộ chức

Trong h ệ thống ESB thay vì tương tác trực ti p, các bên tham gia vào mế ột tương tác d ch v s giao ti p thông qua m t kênh (bus) hay còn g i là m t tr c tích ị ụ ẽ ế ộ ọ ộ ụ

h p ESB - ợ cơ sở ạ ầ h t ng có tính quyết định trong vi c liên k t các ng d ng l i vệ ế ứ ụ ạ ới nhau Những bên tham gia không c n ph i chia s cùng m t giao th c giao ti p hay ầ ả ẻ ộ ứ ế

dạng tương tác Các ng d ng k t n i v i nhau thông qua các kênh ứ ụ ế ố ớ ảo đáng tin cậy,

an toàn và d qu n lý D ễ ả ữ liệu được chuyển đổi có th ể được tương tác với tr c bus ụ

và quy trình tương tác có thể được th c thi m t cách có ki m soát ự ộ ể

Các đặc tính c a m t h th ng n n t ng tích h p ESB: ủ ộ ệ ố ề ả ợ

 Phân tán –loại bỏ nh ng ràng buữ ộc về triển khai h ệthống

 Dựa trên việc trao đổi thông điệp (message) – tăng sựliên kế ết y u

 D a trên các chu n m không b ph ự ẩ ở – để ị ụthuộc vào m t công ty nào ộ

và khuy n khích các thành ph n khác nhau tham gia xây dế ầ ựng

 Ổn định th a mãn nh ng yêu c u v th c thi nghi p v – để ỏ ữ ầ ề ự ệ ụ

Ưu điểm c a h th ng tr c tích h p: ủ ệ ố ụ ợ

 Truy n t i thông tin cho toàn b i tác m t cách nhanh chóng và d ề ả ộ đố ộ ễ

Gói tin khi gử ếi đ n tr c tích h p s ụ ợ ẽ theo cơ chếsau :

Ứng d ng ngu n khi gụ ồ ửi gói tin đến s ẽ vào qua Queue in, sau đó trục tích

h p s t ng l y nh ng gói tin t i chi c hợ ẽ ự độ ấ ữ ạ ế ộp này để n hành x lý và s y sang tiế ử ẽ đẩ

Queue out và ng d ng s k t nứ ụ ẽ ế ối đến chi c hế ộp này để ấ l y gói tin về Tương tự như

thế ở chi u ứề ng dụng đích

Hình 1.1 Minh họa cơ chế ho t đ ng c a trụạ ộ ủ c tích h p ợ

 Queue in: có th hiể ểu như một chi c h p ch a nh ng gói tin cế ộ ứ ữ ủa ứng

dụng đích gử ếi đ n

 Queue out: tương tự như trên nhưng đây là hộp ch a nh ng gói tin ứ ữ

Ví d khi có b t n công bụ ị ấ ằng mã độc tr c tích h p không nh n b t kì mụ ợ ậ ấ ột

định d ng d li u nào khác ngoài nh d ng file XML và các truy v n d ng XML, ạ ữ ệ đị ạ ấ ạ

có cơ chế lưu lại các giao dịch để ự th c hi n truy vệ ết, nhưng hầu h t các giao d ch ế ị

đều b lư c b ph n n i dung (Body) và ch gi l i phị ợ ỏ ầ ộ ỉ ữ ạ ần tiêu đề (Header) nơi chứa thông tin ng d ng gứ ụ ửi, ứng d ng nh n, ngày g i, lo i d ụ ậ ử ạ ữ liệu… Chỉ lưu lại ph n ầ

n i dung khi lo i giao dộ ạ ịch đó thự ự ầc s c n thiết Ứng d ng bu c phụ ộ ải kế ố ớ ục t n i t i trtích hợp để ử g i và nh n các giao dậ ịch tương ứng Tr c tích h p không g i tr c tiụ ợ ử ự ếp

tới hệ thống của ứng d ng nh n, chính vi v y viụ ậ ậ ệc dính mã độc sẽ ực kỳ c khó Điều ki n cệ ần để ứ ng d ng có th k t n i v i tr c tích h p : ụ ể ế ố ớ ụ ợ

 Ứng d ng c n k t n i thành công t i h th ng m ng c a T ng c c ụ ầ ế ố ớ ệ ố ạ ủ ổ ụthuế

 Ứng d ng cụ ần được c u hình 01 queue in, 01 queue out và 01 channel ấ(kênh kết n i) trên hố ệ ố th ng Tr c tụ ích hợp

4.Kết luận

Trong chương 1, tác giả đã đề ập đế c n m t s vộ ố ấn đề cơ bản của đề tài như sau:

 T ng quan v vổ ề ấn đề ả b o m t an ninh mậ ạng

 Một số phương pháp tấn công và phòng tránh cho hệ thống b o m ả ật

 Giới thi u v h th ng tr c tích h p c a t ng c c Thu ệ ề ệ ố ụ ợ ủ ổ ụ ế như khái niệm, cơ chế ho t đạ ộng…

Đây là những ki n thế ức cơ sở ban đầu làm n n t ng cho các n i dung nghiên ề ả ộ

c u và tri n khai h ứ ể ệthống ở các chương sau

CHƯƠNG 2 : MÔ HÌNH THIẾT K Ế VÀ CÀI ĐẶT H TH NG Ệ Ố

HA group

ESB Database

IDG Active

IBM Websphere MQ 8 Active-Stanby Multi-instance

IBM Integration Bus 10 Active- Active 1515

Weblogic GSTH(JavaWeb)

otherdb1-scan

Ttdl-Ứng dụng trong ngành vùng Internal ™S

Ip : 10 64.116.101

Ip : 10 .116.105 64

Ip : 10 .116.104 64

Ứng dụng trong ngành vùng External MQHTTPHTTPS

HTTP HTTPS MQ

VÙNG ĐỐI TÁC VÙNG NỘI BỘ

VÙNG OTHER DB

MQ

SapAdapter HTTP

IP LB : 10 64.85.xxx MQ01 : 10 64.85.xxx MQ02 : 10 64 .xxx 85 IIB01 10 : 64.85.xxx : IIB02 10 64 85.xxx

VIP : 10 64.116.106 VIP : 10 64.116.103

V i mô hình thi t k ớ ế ế như trên đối v i tr c tích hớ ụ ợp vùng đối tác

(EXTERNAL ESB) 2 thi t b ế ị Datapower sẽ được c u hình Active Active, Self ấ

Loadbalancer Hai thiế ịt b MQ Appliance c u hình Active Standby, d liấ ữ ệu đượ ực t

1 phần data shared chứa file data, log, config của Queue manager

- Trục ngoài và tr c trong k t n i v i nhau thông qua MQ, tr c ngoài g i vào ụ ế ố ớ ụ ử

1717, các thiết bị được cấu hình ip như trên hình.

- Ngoài ra còn 1 h ệthống giám sát tích h p là ng dợ ứ ụng web application được phát triển trên n n Java web ch y runtime trên weblogic tr ề ạ ỏ vào database lưu log c a h ủ ệ thống tr c giúp tra c u giao d ch, thêm, s a, xóa ng d ng tích ụ ứ ị ử ứ ụ

h p v i tr ợ ớ ục

H ệthống tr c tích hụ ợp được trang bị 2 IBM DataPower Gateway, 2 IBM MQ Appliance M2001A và IBM PureApplication W3700-40

đã đượ ối ưu tích hợc t p v i h th ng Có khoớ ệ ố ảng hơn 200 patterns đượ ối ưu hóa c t

b i các nhà cung cở ấp độc l p ph n m m (ISV) và IBM Business Partners, ậ ầ ề các

trữ các s n ph m đư c xây d ng cho PureSystems ả ẩ ợ ự

V i h ớ ệ thống PureApplication, khách hàng có th t o ra các m u riêng cể ạ ẫ ủa

h v các software, middleware, and virtual resources ọ ề

IBM PureApplication System có các ưu điểm:

- Linh ho t: V i vi c t ng các công viạ ớ ệ ự độ ệc như cài đặt h ệ điều hành, c u ấhình middleware, phát tri n các ng d ng, PureApplication System làm gi m thể ứ ụ ả ời gian và chi phí c n thiầ ế ểt đ qu n lý h ả ệthống

- Hiệu qu : Nh ả ờ các tính năng tích hợp s n trên PureApplication, khách hàng ẵ

có th tể ối ưu hóa các chu trình nghiệp v quan tr ng và b o toàn các tài nguyên có ụ ọ ảgiá tr ị để đạt được k t qu cao nh t cho vi c ti t kiế ả ấ ệ ế ệm năng lượ, hoạt động b o trì ả

và khắc phục nhanh sự ố c

thể qu n lý toàn b h ốả ộ ệ th ng (server, storage, application) thông qua một giao điện

qu n tr duy nh ả ị ất

- Khả năng tùy biến: b ng viằ ệc định nghĩ các parameters và policies, người

qu n tr có th s dả ị ể ử ụng tính năng của PureApplication System để m r ng quy mô ở ộ

của các ứng d ng tùy theo tụ ải của hệ thống

- Độ tin c y: PureApplication System cung c p n n t ng h tậ ấ ề ả ạ ầng đáng tin cậy cho các ứng d ng, h th ng t ng x lý đ ụ ệ ố ự độ ử ể xác định các nguyên nhân gây l i ỗ

1.3 Thi ế t kế ổ t ng th d ch v ph ể ị ụ ầ n mề m trên tr c tích h p ụ ợ

Các ng d ng c a T ng c c th ứ ụ ủ ổ ụ ế như báo cáo tài chính(BCTC), ứng d ng cụ ủa ngân hàng thương mại(NHTM) đều được k t n i vào tr c tích hế ố ụ ợp qua đó hỗ ợ tr cácyêu cầu như là bảo m t, ph i h p gi a các b ph n và giao d ch Nh ng yêu c u cậ ố ợ ữ ộ ậ ị ữ ầ ần

ph i có trong vi c tích hả ệ ợp nhưng lại không t n t i s n trong kiồ ạ ẵ ến trúc hướng dịch

v ụ

M t trong nh ng yêu c u chính c a ESB là gi m tính li n k t c a các thành ộ ữ ầ ủ ả ế ế ủ

ph n tham gia, vi c tích h p dầ ệ ợ ựa trên hướng d ch v là mị ụ ột mức độ ủ c a tính n ổ

định và b o m t trong các h th ng doanh nghiả ậ ệ ố ệp Hơn thế ữ n a m t trong nh ng ộ ữyêu c u m i c a các h ầ ớ ủ ệthống ESB là không ch là gi m tính liên k t trong ki n trúc ỉ ả ế ếhướng d ch v mà còn cung c p n n t ng cho kiị ụ ấ ề ả ến trúc điều khi n theo s ki n ể ự ệ

Dựa trên sơ đồthiết kế ổ t ng th h ể ệthống tr c tích h p tác gi s phân tích ụ ợ ả ẽ

dựa theo sơ đ dướ đâyồ i hình 2.2 :

WS

MQ№de02 (Standby)

Datapower Gateway Active-Active

MQ№de01 (Active)

T2B

WS/MQ

WebHD Intra

MQ

WebHD Inter

 External ESB: Đặ ạt t i vùng m ng DMZ làm nhi m v k t n i các ng d ng ạ ệ ụ ế ố ứ ụ

n m trong vùng này c a TCT và các ng d ng cằ ủ ứ ụ ủa các đối tác như các nhà cung cấp d ch v thu -ị ụ ế(T VAN) và các ngân hàng

 Internal ESB: Đặ ạt t i vùng m ng trong (internal zone), làm nhi m v k t n i ạ ệ ụ ế ốcác ứng d ng n m trong vùng này c a TCT ụ ằ ủ

 Services 2: Services 2 là ng d ng ứ ụ được phát triển để truy n nh n d u ề ậ ữ liệ

TPR, BCTC) v i chớ ức năng lấy message trên queue đẩy vào database của

ứng dụng và ngượ ại đọc l c d li u trên database c a ng dữ ệ ủ ứ ụng và đẩy vào queue để ụ tr c x ửlý

 LDAP: M t s ng d ng tác nghi p c a TCT s k t n i tr c ti p t i LDAP ộ ố ứ ụ ệ ủ ẽ ế ố ự ế ớthông qua tính năng của Application Server (Oracle WebLogic Server, IBM Websphere Application Server, …)

1.4 Chi tiết thiế ế trụ t k c trong

Trục tích h p vùng n i b c a T ng c c thu ợ ộ ộ ủ ổ ụ ế được tri n khai trên h th ng ể ệ ốPureApplication c a IBM, s d ng Message Queue Partern Application và IBM ủ ử ụIntegration Bus Partern Application Các ng d ng trong ngành thu ứ ụ ế như hệ thống

™S (Transportation Management System) đều đước k t nế ối đến tr c trong qua ụkênh riêng qua đó cung cấp các d li u c a ngành thu ữ ệ ủ ế cho các đơn vị bên ngoài như tra cứu thông tin m t cách thuộ ận lơi và nhanh chóng

Mô hình thiết kế logic tr c trong đư c minh h a theo hình 2.3 ụ ợ ọ

GDT Internal ESB

MQINT01 Active MQ Pattern

ESB T.QMGR IN

GPFS Client

MQINT02 Standby MQ Pattern

ESB T.QMGR IN

GPFS Client

IBM GPFS

IIBINT01 Active IIB Pattern Active IIB PatternIIBINT02

Multi-Instance Receiver Channel

Sender Channel

Oracle RAC

ttdl-esbMON01 ttdl-esbMON02

GSTH WebApp

Load Balancer

WS

Ứng dụng trong ngành vùng nội bộ HTTP

Trục tích hợp vùng trong g m hai thành ph n chính: ồ ầ

 IBM Integration Bus version 10: cài đặt trên hai server AIX hoạt động active/active Với nh ng d ch v qua HTTP, ng d ng n i b ngành thu s ữ ị ụ ứ ụ ộ ộ ế ẽtruy cập qua địa chỉ Load Balancer để ết nối đế k n dịch vụ ủa trụ c c

 IBM Message Queue version 8: cài đặt trên hai server AIX hoạt động active/standby sử ụ d ng GPFS Service của IBM PureApp để ế ối đế k t n n vùng chia sẻ file lưu dữ ệ li u MQ data, MQ log

1.5 Đặc tả mô hình kiến trúc trục trong

Mô hình thiết kế ế ki n trúc trục trong được minh h a theo hình 2.4 ọ

Internal ESB (PureApplication)

MQ

DKT2009 MQ

DKTPNN MQ Giám sát

TTR MQ

LPTB

MQ

BCTC MQ

QLAC MQ

(Standby)

IIBNode01 (Active)

IIBNode02 (Active)

MQ№de01 (Active)

QLTD MQ

EXTERNAL ESB

Services 2

Hình 2.4: Mô hình kiến trúc trục trongTrục tích h p vùng n i b : Phục vụ trao đổợ ộ ộ i các ng d ng trong n i b ngành ứ ụ ộ ộthuế và x các yêu cầu được gử ớ ừứlý i t i t Tr c tích h p vùng ngoài ụ ợ

 Đặ ạt t i vùng m ng trong (internal zone), làm nhi m v k t n i các ng d ng ạ ệ ụ ế ố ứ ụ

n m trong vùng này c a TCT ằ ủ

 Các h ệthống ng d ng tri n khai phân tán t i c p C c Thu (BCTC, QLAC, ứ ụ ể ạ ấ ụ ếTTR, LPTB) s ẽ trao đổi thông tin v i các ng d ng t p trung t i TCT ớ ứ ụ ậ ạ

 Toàn b ộ thông tin trao đổi gi a các ng d ng tữ ứ ụ ại vùng này được th c hiự ện

b ng 29 ằ luồng x ửlý :

Luồng này là lu ng x lý chính c a h th ng Tr c ồ ử ủ ệ ố ụtích hợp, có rất nhiều thao tác chính nhất về ử x lý gói tin được th c hi n ự ệ ở đây VD: Kiểm tra định

STT Tên luồng x ửlý Mô tả

database hay không, gử ếi đ n m t hay nhi u ng ộ ề ứ

Luồng này có chức năng đón những gói tin t h ừ ệthống IHTKK sau đó gử ến đầ ứi đ u ng d ng nh n ụ ậtương ứng

Luồng này có chức năng đón những gói tin t h ừ ệthống TMS sau đó gửi đến đầ ứu ng d ng nh n ụ ậtương ứng

4 ™SOutFlow Luồd ng và gụ ng này có chử ếi đ n h ức năng đón nhữệthống ™S ng gói tin t ng ừ ứ

5 ™STphFlow Luồthống TMS sau đó gử ớng này có chức năng đón nhữi t i h thệ ống TPH ng gói tin t h ừ ệ

8 ™SNghiavuthue Luồv ụthuế cho các ứng này có chức năng cung cấp thông tin Nghĩa ng dụng tương ứng (ETAX)

9 ™SSaokegiaodich Luồkê giao d ch cho các ng dng này có chị ức năng cung cấứ ụng tương ứp thông tin Sao ng (ETAX)

10 ™SThongtintokhai Luồkhai cho các ng dng này có chứ ức năng cung cấụng tương ứng(ETAX) p thông tin T ờ

11 MutildestFlow Luồđịnh tuy n g i đ n nhi u ng d ng nh n cùng lúc ng này ch u trách nhiêm g i các gói tin đư c ế ử ếị ề ứ ửụ ậ ợ

12 IHTKKMutilDestFlow

Luồng này ch u trách nhiêm g i các gói tin đư c ị ử ợ

ứng dụng IHTKK định tuy n g i đ n nhi u ng ế ử ế ề ứ

d ng nh n cùng lúc ụ ậ

STT Tên luồng x ửlý Mô tả

18 LogReplyFlow

Luồng này có chức năng lưu thông tin gói tin ph n ả

hồi từ ứ ng d ng nh n v ụ ậ ềcho ứng d ng g i vào ụ ửdatabase c a h ủ ệthống Trục tích hợp

19 LogSenderFlow

Luồng này có chức năng lưu thông tin gói tin được g i đ n h th ng Tr c tích h p thành công ử ế ệ ố ụ ợvào database của hệ thống Tr c tích h p ụ ợ

20 RetryLogReceiverFlow

Khi các gói tin được x lý và g i đử ử ến đầ ứu ng

d ng nhụ ận thành công, nhưng hệthống không th ểghi l i thông tin do m t kạ ấ ết nối với Database Các gói tin đó sẽ ự động đượ t c đẩy đến lu ng x lý ồ ửnày và s ghi l i thông tin khi k t nẽ ạ ế ối với Database được khôi ph c ụ

21 RetryLogReplyFlow

Khi các gói tin phản h i của ồ ứng d ng g i đưụ ử ợc

x ửlý và gửi cho đầu ng d ng nh n thành công, ứ ụ ậnhưng hệ ố th ng không th ghi l i thông tin do m t ể ạ ấ

kết nối với Database Các gói tin đó s ự độẽ t ng

STT Tên luồng x ửlý Mô tả

tin khi kế ốt n i với Database được khôi ph c ụ

22 RetryLogSenderFlow

Khi các gói tin được g i đ n h th ng Tr c tích ử ế ệ ố ụ

hợp thành công, nhưng hệthống không th ghi lể ại thông tin do m t k t n i vấ ế ố ới Database Các gói tin

đó sẽ ự độ g đượ t n c đẩy đến lu ng x lý này và s ồ ử ẽghi l i thông tin khi k t nạ ế ối với Database được khôi ph ục

23 GIPFlow

Luồng này có chức năng tự độ ng l y các gói tin ấ

gử ếi đ n h ệthống GIP và lưu vào database của h ệthống GIP

24 GIPJobFlow

Luồng này có chức năng tự độ ng k t n i đ n ế ố ếdatabase c a GIP và l y các gói tin t ủ ấ ừ GIP để ửi gđến đầ ứu ng d ng nhụ ận tương ứng

25 JobGIPCtu

Luồng này có chức năng tự độ ng k t n i đ n ế ố ếdatabase c a GIP và l y các gói tin Ch ng t t ủ ấ ứ ừ ừGIP để ử ến đầ ứ g i đ u ng d ng nhụ ận đương ứng

26 CBTVerifyWsFlow

Luồng này có chức năng nhận nh ng truy v n về ữ ấthông tin Cán bộ thu và tr v k t qu ế ả ề ế ả tương ứng (NTĐT)

27 TTDKThueFlow Luồkí thu cho các ng dng này có chế ứức năng cung cấp thông tin Đăng ụng tương ứng (ICS)

28 TThaiMasothueFlow

Luồng này có chức năng cung cấp thông tin Tr ng ạthái Mã s thuố ế cho các ng dứ ụng tương ứng (ICS)

29 SoThueFlow Luồthuếng này có ch cho các ng dứ ức năng cung cấụng tương ứng p thông tin S ổ

1.6 Đặc tả Mô hình logic trục ngoài

Mô hình chi tiết đặ ảc t trục ngoài c a t ng c c thu ủ ổ ụ ế được mô t b ng hình ả ằminh hoa 2.5