Thậm chí khi sử dụng các công nghệ và biện pháp bảo mật tiên tiến, nếu người sử dụng không được giáo dục về an ninh thông tin hoặc không tuân thủ cácquy tắc an toàn, hệ thống van có thé
Trang 15C VIỆN CÔNG NGHỆ BƯU CHÍNH VIENTO
KHOA AN TOÀN THÔNG TIN
ĐỎ ÁN TÓT NGHIỆP
VE AN TOAN THONG TIN
Giang vién huéng dan: Th.S Ninh Thi Thu Trang Sinh vién thuc hién: Nguyễn Tuấn Thanh
Mã sinh viên: B19DCA T179
D19CQAT03-B
2019 - 2024
Dai hoc chinh quy
Hà Nội, 01-2024
Trang 2Do án tot nghiệp Lời cảm ơn
LOI CAM DOAN
Em xin cam đoan rằng đồ án tốt nghiệp “Xây dung web học và thực hành về antoàn thông tin” là công trình nghiên cứu của ban thân mình Những phan có sử dung
tài liệu tham khảo đều được liệt kê và nêu rõ tại phần tài liệu tham khảo Đồng thời
những kết quả trình bay trong đồ án đều mang tính trung thực, không sao chép hay
đạo nhái.
Nêu như có bât kỳ sự gian dôi nào, em xin chịu hoàn toàn trách nhiệm và chịu
tât cả các hình thức kỷ luật của khoa cũng như của nhà trường đê ra.
Hà Nội, tháng 1 năm 2024
Sinh viên thực hiện
Nguyễn Tuấn Thành
Trang 3Do án tot nghiệp Lời cảm ơn
LỜI CẢM ƠN
Đồ án tốt nghiệp là một trong những thành quả quan trọng của sinh viên trong
nhiều năm học tập tại giảng đường đại học Trong suốt thời thực hiện làm đồ án, em
đã nhận được nhiều sự quan tâm, giúp đỡ của thầy cô và bạn bè
Em xin cảm ơn chân thành đến các thầy cô khoa An toàn thông tin cùng khoa
Công nghệ thông tin I— Học Viện Công Nghệ Bưu Chính Viễn Thông đã truyền đạt
kiến thức, kỹ năng để em có thê thực hiện đồ án tốt nghiệp và hỗ trợ cho công việc sau
này một cách hiệu quả.
Đề hoàn thành dé án nay, em xin chân thành cảm ơn Cô ThS Ninh Thị ThuTrang là người đã tận tình hướng dẫn, giúp đỡ em trong suốt quả trình thực hiện làm
đồ án Tuy thời gian thực hiện đồ án tốt nghiệp không quá dài nhưng cô đã truyền đạt
cho em nhiều kiến thức cũng như cách triển khai van đề một cách hiệu quả và hợp ly
dé có thé có được đồ án tốt nghiệp hoàn chỉnh nhất
Đồ án tốt nghiệp với dé tài “Xây dựng web học và thực hành về an toàn thông
tin” là kết quả nghiên cứu, tìm hiểu và vận dụng kiến thức của bản thân em trong suốtthời gian vừa qua tại Học viện Trong quá trình thực đề tài này, mặc dù rất cố gắng và
nỗ lực dé có thé hoàn thành đồ án một cách tốt nhất nhưng do mặt hạn chế về kiếnthức nên cũng không thê tránh khỏi được những thiếu sót Em rất mong nhận được sựchỉ bao, đóng góp ý kiến quý báu của các thầy cô và các bạn dé em có thé bổ sungthêm kiến thức của mình trong lĩnh vực này ngày càng hoàn thiện hơn
Lời cuôi cùng, em xin chúc tât cả các thây cô trong Ban Lãnh đạo Học viện,
các thây cô khoa An toàn thông tin có sức khỏe đôi dào, luôn hạnh phúc, thành công
trong công việc và trong cuộc sông Em xin chân thành cảm ơn!
Hà Nội, tháng 1 năm 2024
Sinh viên thực hiện
Nguyễn Tuấn Thành
Trang 4Do án tot nghiệp Lời cảm ơn
DANH MỤC TU VIET TẮTT :-2+222+2E++22E%2222112221122112211127111 2E tre, viii
MO DAU Wee sesessssessssessssseessscessseccsnsccsnsccsnscesssccasseessnsecsnsccssseesnusessnesesnecsuessueesneeneeeneeeneeens |
CHƯƠNG 1: GIỚI THIỆU TONG QUAN 2 2252+52+E£+E££E+£EtEEeEEeEEerkrrrree 2
1.1 Thực trạng an toàn thông tin hiện nayy 5 1321112 Shin keg 2
LLL TIC tn an he 2
1.1.2 Nguyên nhân và hậu quả của việc mất an toàn thông tin -: 3
1.1.3 Một số loại tan công và lỗ hồng bảo mật pho biến hiện nay - 41.1.4 Giải pháp đỀ XuấT 5c 5S ST EEEEEEE11E11112112111111 01111111111 1e 111.2 Khao sát các mô hình học tập về an toàn thông tin -+sss+ccss+sserss 12
1.2.1 Các mô hình học tập về an toàn thông tin hiện nay -5- 2555552 12
I5 n6 nan n 13
1.3 Giới thiệu hệ thống PTIT Learning InfoSec - c2 2 e£++E+£Ez£+zEe£xzxez 131.3.1 Đối tượng sử dỤHg 5:55: ©5c St St SE E21 2121121121211 rrei 13
1.3.2 Phương pháp NOC lẬP cà Tnhh HH HH HH re 14 1.3.3 Mục đích y nghĩa Của W€PSÏÍ€ ác St SH vu 15
Kết luận chương ¿5-52 St 1E 121121511211 112112111211 1101121111111 01111 011111 1 re 15CHƯƠNG 2: PHÂN TÍCH THIẾT KẺ HỆ THÔNG HỌC TẬP VÀ THỰC HÀNH
AN TOÁN THONG TIN PTIT LEARNING TNFOSEC -.cẶcSScss<css 16
2.1 Mô tả nhiệm vụ của các tác nhân sử dụng hệ thống -2- 2 +cz+ss+2 l6
2.2 Xác định yêu cầu hệ thống ¿2-2-1 S19 EEE12E12E1211211211217171 1111 ce 17
2.2.1 YEU COU ChUC NANG nan nao 172.2.2 Yéu Ề 0120147031., 088NNr Ố 18
2.3 Sơ đỒ các USC CASE ceeccesessessessessessessessessessessessessssscssssecsessessessessesessisesesssaseaeees 192.3.1 Use Cas€ tO g7 Nhang 192.3.2 Use case chỉ t66tececcccccccccssessscsvsvsvecesesesvsvsvsseceseseavsvsvsessseseavavavsvesasscssseseseeees 20
Trang 5Do án tot nghiệp Lời cảm ơn
2.4 Xây dựng biểu đồ lớp ¿5s SE E9E1212151121112111111211111111 111.11 ce 342.5 Lược đồ cơ sở dit liỆU - ¿+ +S+E9EE9EEEEEEE1EE1221221211212121217121711 1.0 35
Kết luận chương - + + SESE2EE2E12E12E121121717171111111211211211111 1111111 re 41CHUONG 3: CAI DAT, THU NGHIEM TRANG WEB HOC VA THUC HANH AN
TOAN THONG TIN PTIT LEARNING INFOSEC ::csscssessessessessesscsesscsesessseeesees 42
3.1 Tổng quan về mô hình xây dung cceccccecccccccscsscsesscssesesscsesessesesscseesessesesseseees 423.2 Thư viện, công nghệ và công cụ sử dụng trong quá trình phát triên 42
m2, 2 nan 43
Z2 8h he aa 44 U27 hẽa 44
3.3 Kết quả cài đặt thử nghiệm - 2 + ©s St 1E 2E 18112111 1111111 1111111111 te 46
EU 9/4 an 46
3.3.2 Các chức năng Cho qđÌHÌHH các + tk tk kg kg vn ky 47 3.3.3 Các chức năng cho người đÙng cty 56
3.3.4 Mô tả các API đã phát tigneccccececcecececcesessescssessssesessessessssesessessessssesssesseees 64Kết luận chương - 52 SE 1E 1215E1E112111211111111111111 111.1111110 11 1 re 71
KẾT LUẬN - ¿22-52 5222222192121122127112112112111121121121111121121111211 2111 ee 72
TÀI LIEU THAM KHẢO 2-2 ©5¿22222E£EEE2E22E1E21211221221211221221711211221 2 xe, 73PHU LUC 1 BIEU ĐỎ TUẦN TỰ CHO MỘT SO USE CASE -¿-2 5s css52 74
Trang 6Đô an tot nghiép Loi cam on
DANH MỤC HÌNH ANH
Hình 1 1: Số máy tính Việt Nam bị nhiễm 5 dòng mã độc phô biến năm 2022 4Hình 1 2: Tan công SQL Injection 2-2-2 2 £+S£+E2E£EE£EEEEEEEEEEEEEEEEEEEEErkrkrrrrres 6Hình 1 3: Tan công Phishing - 2c sSE9SE9EE£EE2E12E12E12E12171717111111121E 11 y0 9
Hình 2 1: Use case tổng quan - 2-52 t2 E2EEEEEEEEE1E1121121121121121111 1.111 1x xe 19
Hình 2 2: Use case admin thêm mới thử thách CTTF - + 5 + s*£+esesseeesse 20 Hình 2 3: Use case admin chỉnh sửa thử thách CTE 5-5 2+ *++sxsevseerreesss 21 Hình 2 4: Use case admin xóa thử thách CTTE - - 2 2+ + +32 EESEErkerrrrresrexre 23
Hình 2 5: Use case thống kê thử thách CTF 2 2 2+E++E++E££E£EE£EEeEE+EeErxzreree 24Hình 2 6: Usecase xem bài học chi tiẾt - ¿+ sSt+E9EEEE+ESEEEEESEEESESEEESEeErxskrkrrses 26Hình 2 7: Use case làm bài trắc nghiệm 2: 2 êE£EE2EE2EE2EE2E2EEE2EEEEEEeErrke 27
Hình 2 8: Use case làm bài thực hành + 2223 S 322222111 E** +35 555552 xx 29 Hình 2 9: Use case làm thử thách CTTE - . - 2.11121111121111 1 11g11 ng khe 30
Hình 2 10: Use case xem bảng xếp hạng làm thử thách CTF - =2 +s+sec+2 32
Hình 2 11: Use case xem lịch sử làm bài - 25 5 222111612222 £ezzeeereeszxs 33
Hình 2 12: Biểu đồ lớp ¿- ¿5c s2 EEEEEE15112112112112112112112111111 11111 1 r0 34Hình 2 23: Lược đồ cơ sở dữ liệu -¿:52++222xttt2EErttEEttrrrtrrrrrtrrrrrrrrrrrre 35
Hình 3 1: Mô hình tông quan của hệ thống -©sc+SeSE£EE£EEEE2EeEEzEeEerxzEeree 42
Hình 3 2: Logo của Spring Fram€WOFK - - - c 3 132118191119 11 1111111181111 xEe 43 Hinh 3 00 ui 8c on e- 44 Hình 3 4: Logo của MySQLL -. c1 c0 1211122111211 11211111110 111011101118 11 0111811 key 45 Hình 3 5: Giao diện đăng nhập - - 2 2 22201121111 1111111111111 1811111118111 re 46 Hình 3 6: Giao diện đăng ký tài khoản - -. c2 2211121133115, 46 Hình 3 7: Giao diện quan lý danh mục bài học 5 + 33+ xssseeressesrs 47 Hình 3 8: Giao diện quản lý bài học - - c2 132111211111 11811151 118111851111 811 xe, 47 Hình 3 9: Giao diện chỉnh sửa bài học - 5c c2 2222111111111 £E555555555555 555 48
Hình 3 10: Giao điện thống kê tong quan bài học -¿- 2+ + 2z2x2E£EeEvrxzxe2 48
Hình 3 11: Giao diện thống kê theo người đùng 2-2 2 s+EeE+E+EeExzEerrxeree 49
Hình 3 12: Giao diện lịch sử xem bài học chi tiết của người dùng - -‹-49
Hình 3 13: Giao diện quản lý bài thực hành - c5 2 3222 **2EE+svxeeeesseeeesrs 50 Hình 3 14: Giao diện quản lý thử thách CTE - (2c 2213322111122 1511 EexxxxE 50
Hình 3 15: Giao diện thống kê tổng quan thử thách CTF 2- ¿+s+cz+£+£z£z+s+2 51Hình 3 16: Giao diện thống kê thử thách CTF theo người đùng - 51Hình 3 17: Giao diện chi tiết lich sử làm bài của người dùng - - sec 52Hình 3 18: Giao diện thống kê thử thách CTF theo dạng bài 2-2- =zs+ 52Hình 3 19: Giao diện thống kê theo thử thách CTTF ¿+ 2 2 ++E++Ez£+zEzzxzxe2 53
Hình 3 20: Giao diện quan lý danh mục câu hỏi - 5S S +2 +sseeressekee 53
Hình 3 21: Giao điện quan lý bài trắc nghiệm 2: 2 52 EeEE+E+E£E2EeErsrxrxe2 54Hình 3 22: Giao điện thong kê bai trắc nghiệm 2: ©2252 x+2E+2E+2Ezxezxzez 54
Trang 7Do án tot nghiệp Lời cảm ơn
Giao diện thống kê bài trắc nghiệm theo người dùng eee 55
Giao diện quan lý người dùng - c1 21 1121112211111 11158111 55
0112880: ad 56
Giao diện bài học chỉ tiẾ -cs:-55sc2c2xtEExtttExtttrrrrtrtrrrrrrrrrrrrrrree 56
Giao diện bài thực hành - - c5 2111122221111 111521 11115851111, 57
Giao diện hướng dẫn bài thực hành 22 S2 +s+E+£zEzEeEzxeeerseee 57
Giao diện làm bài thực hành - - - - <5 5522222211333 *+22EEEEE+sseeeekeeeeeeees 58
Giao diện chính bài trắc nghiỆm - c1 2c 3211121112 1158111811511 xxe+ 59Giao diện làm bài trắc nghiệm 2- 2 5 ©522222£++£E2E2Eerxrrxezree 59Giao diện kết quả làm bài trắc nghiệm - 2-2-5 2 22322 £EzEzzxzxe2 60
Giao diện chính thử thách CTTE - 5 Ăc 332222211333 ve sesez 61 Giao diện làm thử thách CTE - 2 5< +21 *+*EE+EESEEEEsEkEEssirrsrereree 62 Giao diện chính xem lịch SỬ +5 22 E 233322221 +2 E.EEkereeeeeeeeeees 62
Giao diện xem bảng xếp hạng 5 người điểm cao nhất 5 63Giao diện bảng xếp hạng 2-5252 21‡EEE12E12E221121121711121 111 cEee 63
API xác thực người dùng .- «càng HH ngư Hiệp 64 API thông tin người dùng 5 cv ng ng nhiệt 64
API kết quả làm bài trắc nghiệm -.2- 2-5555 S+2S22E£+2E2Erzxszve2 65API bài trắc nghiệm 2-52 ¿2S SE E2E12E121121121121171E11 21111 xe 65API câu hỏi trắc nghiệm -.- 2 225 2S22EE£EE2EE2EE22E2E22223 2x2 zxee 66
API lịch sử học bai học lý thuyét c.cccccccccssessessessesseseesesssstssestesteseeeeees 69
API lịch sử làm bài thực hành - óc cv nghi 69
API bảng xếp hạng làm thử thách CTE ¿ 2 2+5 >x+2++E+zxzzzzxee 69
API thống kê 2-52-5252 St E9EEEEEE21EE15212212112117111112111111 111 1x xe 70
Trang 8Đồ án tốt nghiệp Danh mục hình ảnh
DANH MỤC BANG BIEU
Bảng 2 1: Kịch bản thêm mới thử thách CÏTIE óc 13239 E£3EEvsseesreereeree 20 Bảng 2 2: Kịch bản chỉnh sửa thử thách CTTE -.- c x1 ng ngư 21 Bang 2 3: Kịch bản xóa thử thách CTIE 5c + + x22 k2 2312111 kg ri nrhg 23
Bảng 2 4: Kịch bản thong kê thử thách CTE - 2-2: ©22+2++2E2E2Et£EeEzEzxerxzei 24Bảng 2 5: Kịch bản học bài học lý thuyẾt 2-52 522S22E2E2EeEEEEEEEEeEkerkerrerree 26Bảng 2 6: Kịch bản làm bai trắc nghiệm - 2-2: ©5252‡2E2E22E£EE2E2EEEE2Ezxrrrzer 27
Bang 2 7: Kịch bản làm bài thực hành 5-2 2221132111355 1155511151 1.EeEkree 29 Bang 2 8: Kịch ban làm thử thách CÏTIE - 111991 9111 1 31 11 91 vn rưy 30
Bảng 2 9: Kịch ban xem bảng xếp hạng làm thử thách CTE - 2-52 s=z+s+ 32Bảng 2 10: Kịch bản xem lịch sử làm bài trắc nghiệm 2-52 22552252 >x2 33
Bảng 2 11: Mô tả các bảng trong cơ sở đữ liỆu .- 2- S3 S*+ vsseeerresresee 35
Bảng 2 12: Mô tả các bang tbl_ Thanh Vien - 2- 3S t1 3+ rrirssrrirrresekre 36
Bang 2 13: Mô tả các bang tbl BaIHoc - - - c3 13112 1 krrrekirrrrerree 36
Bảng 2 14: Mô tả các bang tbl DanhÌMụuc 2c 2c 332 ** 2 E+EEErrrrsrrerrrrreeres 37 Bảng 2 15: Mô tả các bảng tbl_DanhMuc_ BaiHoc - - 25535 *+++ssvex+ssess2 37 Bang 2 16: Mô tả các bảng tbl_LichSuHocLyThuyet -.- 5-2552 38 Bảng 2 17: Mô tả các bang tbl_ BarThucHanh - - 5 2 22c * +2 ‡+svxeereeersesrs 38 Bang 2 18: Mô tả các bảng tbl_LichSuLamBaiThucHanh 55+ s++5<5 +2 38 Bảng 2 19: Mô tả các bang tbl BarIracNghiem 5 5 123322 2+ssvressesee 39
Bảng 2 20: Mô tả các bang tbl Cau HOI - 5c c1 33211333222 E*EErrrrrrressexrs 39 Bang 2 21: Mô tả các bang tbl KetQuaLamBarTracNghiem - 55 +5: 39
Bảng 2 22: Mô tả các bảng tbl_ ThuThachCTTE c2 3233 vvxsseeerressesee 40
Bảng 2 23: Mô tả các bang tbl_LichSuNopThuThachC TE - 5555255 ss+++<sss2 41
Bang 2 24: Mô tả các bang tbl KetQuaLamThuThachCTT + 5-5 +s++++ssss2 41
Nguyễn Tuan Thành — D19CQAT03-B Vv
Trang 9Đồ án tốt nghiệ Danh mục từ viết tắt
DANH MỤC TU VIET TAT
VIET TAT TIENG ANH TIENG VIET
Al Artificial Intelligence Tri tué nhan tao
Application Giao diện lập trình ứng dụng
Programming Interface
CTF Capture The Flag Bat co
DDoS Distributed Denial of Tan công từ chối dich vụ phân tan
Service
DoS Denial of Service Tan công từ chối dich vu
EJB Enterprise JavaBean Một kiến trúc phát triển ứng dụng Java
IP Internet Protocol Giao thức internet
Java Virtual Machine Máy ảo Java
Message Digest Giải thuật Tiêu hóa tin 5
Secure Sockets Layer | Giao thức bảo mật mã hóa thông tin truyền tải
Nguyễn Tuân Thành — D19CQAT03-B ix
Trang 10Đồ án tốt nghiệ Danh mục từ viết tắt
qua mạng
Forgery
TLS Transport Layer Bảo mật lớp vận chuyền
Security
UI User Interface Giao diện người dùng
Nguyễn Tuân Thành — D19CQAT03-B ix
Trang 11Đồ án tốt nghiệp Mở đầu
MỞ DAU
Trong thời đại kỹ thuật số hiện nay, an toàn thông tin đã trở thành một vấn đề
vô cùng quan trọng và đáng lo ngại Với sự tiến bộ nhanh chóng của công nghệ thôngtin và mạng internet, các cuộc tấn công và các mối đe dọa an ninh mạng đang gia tăngmột cách đáng kể Từ việc xâm nhập thông tin cá nhân cho đến các cuộc tan công
mạng phức tạp và tinh vi, không có cá nhân hay tổ chức nào có thê tránh khỏi nhữngnguy hiểm này Yếu tố con người là một khía cạnh quan trọng trong việc đảm bảo antoàn thông tin Thậm chí khi sử dụng các công nghệ và biện pháp bảo mật tiên tiến,
nếu người sử dụng không được giáo dục về an ninh thông tin hoặc không tuân thủ cácquy tắc an toàn, hệ thống van có thé bị tan công và thông tin quan trọng bị rò ri
Vì vậy, việc giáo dục người dùng về an toàn thông tin đóng vai trò cực kỳ quantrọng trong việc đảm bảo an toàn thông tin và bảo vệ chính mình trước các mối đedọa Việc giáo dục và tăng cường nhận thức an toàn thông tin cho người dùng có thểgiúp họ nhận ra các nguy cơ tiềm an và áp dụng các biện pháp bảo vệ phù hợp Vớitầm quan trọng trong việc nâng cao hiểu biết của người dùng về an toàn thông tin, đây
là lý do dé tài “Xây dựng web học và thực hành về an toàn thông tin” được tiến hànhtìm hiểu và phát triển PTIT Learning InfoSec là kết quả của đề tài “Xây dựng webhọc và thực hành về an toàn thông tin”, cung cấp một mô hình học tập đặc biệt, đượcthiết kế để kết hợp giữa các bài học lý thuyết, ôn tập kiến thức qua những câu hỏi trắcnghiệm và làm các bài thực hành về an toàn thông tin Đồ án được đặt ra với mục tiêutạo ra một môi trường học tập đa dạng nhằm đảm bảo người dùng có thé tiếp cận kiếnthức về an toàn thông tin một cách toàn diện và áp dụng chúng vào thực tế
Đồ án được xây dựng gồm 3 chương:
Chương 1: Giới thiệu tong quan
Chương 2: Phân tích thiết kế hệ thống học tập và thực hành an toàn
thông tin PTIT Learning InfoSec.
Chương 3: Cài đặt, thử nghiệm trang web học và thực hành an toàn
thông tin PTIT Learning InfoSec.
Nguyễn Tuan Thành — D19CQAT03-B 1
Trang 12Đồ án tốt nghiệp Chương 1
CHUONG 1: GIỚI THIỆU TONG QUAN
Chương 1 tập trung vào van dé an toàn thông tin trong môi trường kỹ thuật số,
đánh giá thực trạng an toàn thông tin, xác định nguyên nhân và hậu quả của việc mat
an toàn thông tin, tim hiểu một số loại tấn công pho biến và một số giải pháp dé nâng
cao việc bao dam an toàn thông tin Bên cạnh đó, trong chương này cũng giới thiệu
tổng quát chung về hệ thong xây dựng
1.1 Thực trạng an toàn thông tin hiện nay
1.1.1 Thực trạng
Với xu hướng chuyên đổi số trong các lĩnh vực, tình trạng an toàn thông tinđang trở thành một van đề cực kỳ quan trọng và phức tạp trong thé giới số hiện nay
Với sự thay đôi, phát triển nhanh chóng về công nghệ thông tin và mang internet, các
mối đe doa an ninh mạng và vi phạm thông tin đã trở nên ngày càng phổ biến và tinh
vi hơn Một trong những mối đe dọa chính đối với an toàn thông tin là các cuộc tấncông mang Các hacker và kẻ tấn công mạng ngày càng tinh vi, sử dụng các phương
pháp và công cụ tiên tiến để xâm nhập và tấn công hệ thống mạng Các cuộc tan công
mạng có thê gây ra các tôn thất về thất thoát thông tin, mất cắp dữ liệu hoặc gây ảnhhưởng đến hoạt động của t6 chức hay cá nhân Nguy cơ này không chỉ ảnh hưởng đếncác tô chức kinh doanh, ngân hàng và chính phủ, mà còn ảnh hưởng đến cả cá nhân
thông qua việc mat cắp thông tin cá nhân và vi phạm quyền riêng tư
Trong tháng 6 vừa qua, Trung tâm Giám sát an toàn không gian mạng quốc giathuộc Cục An toàn thông tin, Bộ TT&TT đã ghi nhận, cảnh báo và hướng dẫn xử lý1.723 cuộc tan công mạng gay ra sự cố vào các hệ thống thông tin tại Việt Nam, tăng
gần 2,5 lần so với tháng 5/2023, tăng 46,3% so với cùng kỳ tháng 6 năm ngoái [1]
Ngoài ra, trong nửa đầu năm 2023 còn ghi nhận tình trạng các website của cơquan nhà nước có tên miền gov.vn và một số tổ chức giáo duc có tên miền edu.vn bịhacker tấn công, xâm nhập, chèn mã quảng cáo cờ bạc, cá độ với SỐ lượng lên tới gần
400 website [2].
Một số người dùng vẫn chưa có hiểu biết đầy đủ về các rủi ro liên quan đến an
toàn thông tin, họ có thê không nhận ra các nguy cơ lừa đảo trực tuyến Đồng thời, với
sự phát triển của trí tuệ nhân tạo (AI) và các công nghệ mới khác cũng mở ra cácthách thức và rủi ro mới cho an toàn thông tin Deepfake là một mối đe dọa đối với sựNguyễn Tuan Thành — D19CQAT03-B 11
Trang 13Đồ án tốt nghiệp Chương 1
chính xác và tin cậy của video và hình ảnh Các đối tượng sử dụng công nghệ trí tuệ
nhân tạo (AI) dé tạo ra những video hoặc hình anh giả, sao chép chân dung dé tạo ra
các đoạn video giả người thân, bạn bẻ dé thực hiện các cuộc gọi lừa đảo trực tuyến.
Phần lớn hình thức lừa đảo trực tuyến này nhắm tới việc lừa đảo tài chính
1.1.2 Nguyên nhân và hậu quả của việc mat an toàn thông tin
Có nhiều nguyên nhân dẫn đến việc mất an toàn thông cho thông tin và hệ
thống thông tin bao gồm: nhận thức về an toàn thông tin của người dùng con chưa tốt,thiếu cập nhật phần mềm và hệ điều hành, lừa đảo và xâm phạm quyền riêng tư, sự lâylan của phần mềm độc hại và mã độc, thiếu sự quản lý và bảo vệ dữ liệu, ngày càngnhiều các hình thức tấn công, xâm nhập hay những điểm yếu mới xuất hiện, Nhưngtrong các nguyên nhân trên thì việc nhận thực về mức độ quan trọng trong bảo đảm antoàn thông tin của người dùng là một van dé đáng lo nhất
Phan lớn nguyên nhân gây lộ lọt các thông tin cá nhân là xuất phát từ chính sựbất cần của người dùng Một số người dùng chưa hiểu biết đầy đủ về các rủi ro liênquan đến an toàn thông tin, không nhận ra các nguy cơ như lừa đảo trực tuyến, viphạm quyền riêng tư hoặc có sự tấn công từ hacker Ngoài ra, việc sử dụng các phan
mềm không có bản quyên, không có thói quen cập nhật các bản vá, sử dụng mật khâu
đơn giản dé lưu tài khoản, chia sẻ các thông tin cá nhân công khai trên mạng xã hdi cũng gây ra rủi ro cho việc đảm bảo an toàn thông tin Nếu người dùng không nâng
cao nhận thức cho việc đảm bảo an toàn thông tin thì đây được coi là cơ hội thuận lợi
để những đối tượng xấu thu thập các thông tin, dữ liệu của người dùng với mục đích
trục lợi.
Việc mat an toàn thông tin có thể gây ra nhiều hậu quả và tác động tiêu cực cóthé ké đến như:
e Rui ro về quyền riêng tư: Khi thông tin cá nhân hoặc dữ liệu quan
trọng bị xâm phạm, cá nhân hoặc t6 chức có thé mất quyên riêng tư.Thông tin nhạy cảm, như thông tin tài chính, thông tin y tế, hoặc thôngtin cá nhân, có thé rơi vào tay những kẻ xấu, dẫn đến việc lợi dụng, gianlận, hoặc vi phạm quyền riêng tư
e Mat mát tài sản: Việc mat an toàn thông tin có thé dan đến mat mát các
tài sản Ví dụ khi tin tặc có thé đánh cắp thông tin tài khoản ngân hànghoặc thông tin thẻ tín dụng, gây thiệt hại cho cá nhân hoặc tổ chức.Ngoài ra, việc mat an toàn thông tin cũng có thé dẫn đến mat dir liệuquan trọng hoặc tài nguyên kỹ thuật só
e Thiệt hại về danh tiếng: Khi một tổ chức hoặc cá nhân trở thành nạn
nhân của một cuộc tấn công mạng hoặc việc mất an toàn thông tin, danh
tiếng của họ có thể bị ảnh hưởng nghiêm trọng Sự mất an toàn thông tin
có thé làm mất lòng tin của khách hàng, đối tác, và công chúng, gây tonhại đáng kể đến hình ảnh và uy tin của tổ chức hoặc cá nhân
Nguyễn Tuan Thành — D19CQAT03-B 12
Trang 14Đồ án tốt nghiệp Chương 1
e Gây gián đoạn, giảm hiệu suất: Một cuộc tan công mang hoặc việc mat
an toàn thông tin có thê gây gián đoạn và ảnh hưởng đến năng suất làmviệc của cá nhân hoặc tô chức Nếu hệ thống hoặc đữ liệu công việc bị têliệt hoặc mat đi, các công việc không thể tiếp tục hoạt động một cáchbình thường, dẫn đến mat việc làm hoặc phải tốn nhiều thời gian vàcông sức dé khôi phục lại hệ thống
Theo kết quả đánh giá tổng kết an ninh mạng năm 2022 của tập đoàn côngnghệ BKAV, thiệt hai do virus máy tinh gây ra đối với người dùng Việt Nam ở mức21,2 nghìn tỷ (tương đương 883 triệu USD) Trên phạm vi toàn cầu, tội phạm mạnggây thiệt hại lên tới hơn 1.000 tỷ USD mỗi năm, tương đương 1,18% GDP toàn cầu
Mức thiệt hại 883 triệu USD (tương đương 0,24% GDP của Việt Nam) thuộc nhóm
thấp so với thế giới Cùng với đó, Việt Nam tăng 25 bậc về chỉ số an toàn an ninhmang GCI, cho thấy nỗ lực của Chính phủ và giới an ninh mang trong nước [3]
Hình 1 1: Số máy tính Việt Nam bị nhiễm 5 dòng mã độc pho biến năm 2022
1.1.3 Một số loại tan công và lỗ hỗng bảo mật phổ biễn hiện nay
1.1.3.1 Phá vỡ kiểm soát truy cập (Broken access control)
Broken access control (phá vỡ kiểm soát truy cập) là lỗ hồng bảo mật xảy ra
khi hệ thống không kiểm soát quyền truy cập đúng cách, cho phép người dùng không
có quyên truy cập vào các tài liệu, chức năng hoặc thông tin nhạy cảm
Khi hệ thống không thiết lập và kiểm soát các chính sách quyền truy cập mộtcách chặt chẽ, kẻ tấn công có thể lợi dụng lỗ hồng này để truy cập vào các đữ liệu
hoặc chức năng không được phép Vi dụ, người dùng có thé truy cập vào dit liệu cá
Nguyễn Tuan Thành — D19CQAT03-B 13
Trang 15Đồ án tốt nghiệp Chương 1
nhân của người khác, thay đôi thông tin, thực hiện các thao tác không được phép, hoặc
thậm chí kiểm soát toàn bộ hệ thống
Một số nguyên nhân dẫn có thé kể đến như:
¢ Quản lý phiên không an toàn: Khi hệ thống không quan lý phiên người
dùng một cách chính xác, kẻ tan công có thể chiếm quyền điều khiển
phiên của người dùng và truy cập vào các tài nguyên không cho phép.
e _ Thiết lập quyên truy cập không chính xác: Khi quản trị viên không thiết
lập đúng các quyền truy cập cho từng người dùng hoặc nhóm người
dùng.
© Thiếu kiểm tra phân quyền: Nếu không có kiểm tra phân quyền một
cách đầy đủ và chính xác, kẻ tan công có thé tìm ra các cách dé vượt quahạn chế đặc quyền và truy cập đến các tài nguyên không được cho phép.Broken access control có thé gây ra các hậu quả nghiệm trong, bao gồm bị lộ cácthông tin nhạy cảm, mat mát dir liệu, Dé ngăn chặn lỗ hồng này, các ứng dung can
thiết lập và thực hiện chính sách kiểm soát truy cập chặt chẽ và kiểm tra đúng các yêucầu truy cập của người dùng
1.1.3.2 Lỗi mật mã (Cryptographic failures)
Cryptographic failures (lỗi mật mã) là các lỗ hồng và vấn đề liên quan đến việc
sử dụng mật mã hoặc các thuật toán mã hóa trong hệ thống bảo mật Khi mật mã
không được triển khai đúng cách, nó có thé dẫn đến việc bị tan công và thông tin bao
mật sẽ bị rò rỉ ra ngoài.
Một số nguyên nhân có thé kê đến bao gồm:
e Str dụng các thuật toán mã hóa yếu: Khi sử dụng thuật toán mật mã
yếu, kẻ tan công có thé giải mã hoặc tan công trực tiếp vào hệ thống
Vi dụ, sử dụng thuật toán mã hóa đã bị phá vỡ như MDS hoặc
SHA-1 có thé dẫn đến việc tấn công dò brute force hoặc xung đột
(collision).
¢ Quan lý khóa không an toàn: Việc quản lý khóa mật mã không an
toàn dẫn đến kẻ tan công có thé thu thập khóa hoặc tấn công vào quátrình trao đổi khóa Vi du, sử dụng khóa mặc định, khóa dễ đoánhoặc quản lý khóa không an toàn có thê gây ra lỗ hong mật mã
° Lỗi thiết kế mật mã: Day là các lỗi xuất hiện trong thiết kế của thuật
toán mật mã, làm cho nó dễ bị tắn công hoặc không đáng tin cậy Ví
dụ, một thuật toán mã hóa có thể có một lỗ hồng toán học nghiêmtrọng, làm cho quá trình giải mã dé dàng hơn dự kiến
Các lỗi mật mã có thé có hậu quả nghiêm trọng, bao gồm việc tiết lộ thông tin nhạycảm, mat cân bang bao mật và mat tin cậy trong hệ thống mật mã hóa Dé giảm thiêucác rủi ro này, việc đánh giá, sửa chữa và kiểm tra kỹ lưỡng các hệ thông mật mã hóa
là rất quan trọng
Nguyễn Tuan Thành — D19CQAT03-B 14
Trang 16Đồ án tốt nghiệp Chương 1
1.1.3.3 Tan công cơ sở dit liệu (SOL injection)
SQL injection là dang chèn mã phô biến, tin tặc sẽ thực hiện chèn các câu truyvan SQL vào các trường trong cơ sở đữ liệu của một ứng dụng web Lỗ hồng này
thường xảy ra ở các ứng dụng web sử dụng câu lệnh SQL động (mã SQL gốc kết hợp
với đữ liệu đầu vào để tạo thành câu truy vấn đến cơ sở đữ liệu) và không kiểm đữ
liệu đầu vào từ phía người dùng Khi các câu lệnh này được thực hiện, tin tặc có thể
vượt qua khâu xác thực, truy vấn đến các dữ liệu nhạy cảm, thêm, chỉnh sửa hoặc xóa
dữ liệu, Nguy hiểm hơn là việc hacker có thé chiếm quyền điều khiển thông qua
việc thực hiện các câu truy vấn đề chỉnh sửa các đặc quyền trên hệ thống.
£Œ >
usemame e-mail password
| |
Hình 1 2: Tan công SOL Injection
1.1.3.4 Thiết kế không an toàn (Insecure design)
Thiết kế không an toàn đề cập đến việc thiết kế hệ thống, ứng dụng mà có các
lỗ hồng, lỗi hoặc thiếu sót trong van dé bảo đảm an toàn thông tin Thiết kế không an
toàn có thé làm cho hệ thống trở nên dé dang bị tan công hoặc không đáng tin cậy, gây
ra các van đề về bảo mật và quyền riêng tư
Một số ví dụ về thiết kế không an toàn bao gồm:
e Thiết kế hệ thông không đáng tin cậy: Một hệ thống không an toàn
có thê không đáng tin cậy trong việc bảo vệ dữ liệu và ngăn chặntruy cập trái phép Các lỗ hồng trong thiết kế hệ thống có thé chophép kẻ tấn công xâm nhập vào hệ thống, truy cập thông tin nhạycảm hoặc thực hiện các hành động không ủy quyên
e _ Thiếu kiểm soát truy cập: Một thiết kế không an toàn có thê thiếu các
biện pháp kiểm soát truy cập hiệu quả Điều này có thé dẫn đến việc
kẻ tan công có thé truy cập vào tài nguyên hoặc chức năng ma không
có quyền sử dụng, gây ra rủi ro bảo mật
e Thiếu phân tách đặc quyền: Một hệ thống không an toàn có thé
không áp dụng chính sách phân tách đặc quyền một cách đúng đắn.Điều này có thể dẫn đến việc một người dùng hoặc ứng dụng cóNguyễn Tuan Thành — D19CQAT03-B 15
Trang 17Đồ án tốt nghiệp Chương 1
quyền truy cập và kiểm soát không cần thiết đến các tài nguyên hoặc
chức năng quan trọng khác.
e Thiếu xác thực và xác thực: Một thiết kế không an toan có thể không
áp dụng đủ các biện pháp xác thực và xác thực, cho phép kẻ tan công
giả mạo danh tính hoặc truy cập vào tài nguyên không đúng.
Thiết kế không an toàn có thê dẫn đến các hậu quả nghiêm trọng, bao gồm việctiết lộ thông tin nhạy cảm, mất cân băng bảo mật và gây thiệt hại cho hệ thong hoặcngười dùng Dé giảm thiểu rủi ro này, việc áp dụng các nguyên tắc thiết kế an toàn vàkiểm tra bảo mật là rất quan trọng trong quá trình phát triển các hệ thống và ứng dụng
1.1.3.5 Cau hình bảo mật không đúng (Security misconfiguration)
Security misconfiguration dé cập đến việc cau hình hệ thống, ứng dụng và môitrường máy chủ một cách không an toàn Điều này có thể tạo ra các lỗ hồng bảo mật
và làm hệ thống dễ bị tắn công
Cấu hình bảo mật không đúng có thé bao gồm các van đề sau:
se Mặc định cấu hình không an toàn: Hệ thống hoặc ứng dụng được cai đặt
với các cầu hình mặc định không an toàn, có thé dé lại các công mở, khảnăng truy cập không đúng hoặc các thiết lập không an toàn khác Điều
này tạo điều kiện thuận lợi cho kẻ tấn công khai thác các lỗ hồng này
e Thiếu hoặc sai cấu hình bảo mật: Cấu hình bảo mật không đúng hoặc
thiếu có thể làm cho hệ thống trở nên dễ bị tấn công Ví dụ, không áp
dụng các biện pháp bảo vệ SSL/TLS đúng cách, không cấu hình đúng
quyền truy cập các tài liệu hay ứng dụng, hoặc không thiết lập các mức
độ bảo mật phù hợp.
¢ Quản lý cấu hình không an toàn: Việc quản lý cấu hình không an toàn,
bao gồm việc sử dụng mật khẩu yếu, sử dụng tài khoản mặc định không
thay đổi, chia sẻ thông tin đăng nhập hoặc không quản lý cập nhật cấuhình đúng cách, có thể tiềm ân rủi ro bảo mật
1.1.3.6 Các thành phan dễ bị ton thương và lỗi thời (Vulnerable and outdated
components)
Vulnerable and outdated components là các thành phan trong phan mềm, ứngdụng hoặc hệ thong mà có lỗ hồng bảo mật hoặc đã lỗi thời, không còn nhận bản vábảo mật mới nhất từ nhà cung cấp Điều này tạo ra một mối nguy hại đối với bảo mậtcủa hệ thông và tăng nguy cơ bị tan công
Các thành phần dễ bị tốn thương bao gồm các thư viện, framework, module,plugin hoặc bất kỳ phần mềm bên thứ ba nào được sử dụng trong quá trình phát triển.Những thành phần này thường được tích hợp vào phần mềm chính để cung cấp cácchức năng, giảm thời gian và công sức phát triển Tuy nhiên, nếu các thành phần này
Nguyễn Tuan Thành — D19CQAT03-B 16
Trang 181.1.3.7 Các lỗi theo dõi và ghi nhật ký bảo mật (Security logging and monitoring
failures)
Là lỗi phổ biến trong các ứng dung web, đặc biệt là khi các ứng dụng đượctriển khai trên môi trường product, xảy ra trong quá trình thu thập, lưu trữ, xử lý vàgiám sát thông tin liên quan đến bảo mật hệ thống và hoạt động của nó Khi xảy ra lỗitrong quá trình này, nó có thé gây ra các hậu quả nghiêm trong cho khả năng phát
hiện, phản ứng và ngăn chặn các hoạt động xâm nhập hoặc các sự kiện bat thuong
trong môi trường bao mật.
Khi hệ thống không ghi lại đầy đủ các hoạt động và sự kiện trong ứng dụng, thìkhi xảy ra sự cô hoặc tấn công, việc đánh giá và xác định nguyên nhân sẽ trở nên khókhăn hơn Nếu không có các cơ chế giám sát và báo động thích hợp, các hoạt động
độc hại có thê được thực hiện trong ứng dụng mà không bị phát hiện
Việc giám sát và ghi log cảnh báo sẽ góp phần giúp hệ thống phan ứng, ứngphó kịp thời với các loại khai thác tan công đã biết và giúp ghi lại nhật ký dé phân tíchsau này đổi với những loại tan công, lỗ hong zeroday
1.1.3.8 Giả mạo yêu cau máy chủ (SSRF - Server side request forgecy)
SSRF là viết tắt của Server-side request forgery, đây là một lỗ hồng bảo mật phổ biến
trong các ứng dung web SSRF cho phép kẻ tan công tạo ra các yêu cầu từ phía may
chủ đến các nguồn tài nguyên khác trong mạng nội bộ hoặc trên internet
Khi một ứng dụng web không kiểm tra và kiểm soát đầy đủ các yêu cầu gửi từ máy
chủ, kẻ tan công có thé sử dụng SSRF dé thực hiện các hoạt động không mong muốn
hoặc xâm nhập vào các hệ thống khác trong mạng nội bộ Các hệ thong mục tiêu có
thé bao gồm các dịch vụ web nội bộ, cơ sở dữ liệu, hệ thống quản lý nội dung hoặc
các máy chủ khác trên Internet.
Cách thức hoạt động của SSRF thường là kẻ tan công chèn một url hoặc một yêu cầuHTTP vào ứng dụng web mục tiêu Ứng dụng web sẽ tiếp tục gửi yêu cầu đó đếnnguồn tài nguyên chỉ định, và kết quả hoặc phản hồi từ nguồn tài nguyên nay sẽ được
trả về cho ứng dụng web và có thé được sử dụng dé tan công hoặc thu thập thông tin
bí mật.
SSRF có thể gây ra những hậu quả nghiêm trọng như:
Nguyễn Tuan Thành — D19CQAT03-B 17
Trang 19Đồ án tốt nghiệp Chương 1
e Truy cập trái phép vào các hệ thống nội bộ trong mạng và lay thông tin nhạy
cảm.
e Tấn công vào các dịch vụ web nội bộ hoặc máy chủ khác trên Internet
e Str dụng SSRF làm một bước đệm cho các tan công khác như RCE (Remote
Code Execution) hoặc DDoS (Distributed Denial of Service).
e Gay mat truy cập hoặc lỗi trang web và ứng dụng
1.1.3.9 Tan công giả mao (Phishing attack)
Hình 1 3: Tan công Phishing
Phương thức tấn công này thường được tin tặc thực hiện thông qua email hoặctin nhắn gửi đến cho người dùng Nội dung các email hay tin nhắn này thường đượcgiả mao rất giống một đơn vi/t6 chức uy tín Nếu người dùng không cần thận kiểm tra
kỹ các nội dung trong email hay tin nhắn mà tin tưởng đây là email gửi từ một nguồntin cậy, cung cấp các thông tin như trong nội dung email hay tin nhắn gửi đến, tin tặc
sẽ có được thông tin ngay lập tức.
Nguyễn Tuan Thành — D19CQAT03-B 18
Trang 20Đồ án tốt nghiệp Chương 1
1.1.3.10 Tén công tw chối dich vụ
Dos (Denial of Service) là cách tấn công nhằm can trở người dùng hợp pháp
truy cập và sử dụng dich vụ Đây là hình thức tan công phổ biến, được khá nhiều kẻ
tấn công sử dụng hiện nay Dé thực hiện tan công từ chối dịch vụ, tin tặc sẽ tạo ra một
lượng lớn truy cập đến máy tính của mục tiêu khiến cho server không thể đáp ứng
được các yêu cầu sử dụng các dịch vụ từ phía người dùng
DDoS (Distributed Denial of Service) là tan công từ chối dịch vụ phân tán, đây
được coi là kiểu tấn công được nâng cấp từ DoS vì nó rất khó dé ngăn chặn DDoS
thường được thực hiện băng cách lợi dụng hàng triệu các máy tính khác dé đồng loạigửi một lượng lớn yêu cầu truy cập đến máy chủ, từ đó khiến máy chủ cạn kiệt tàinguyên và băng thông Do được phân tán thành nhiều máy tính, nhiều điểm truy cập
từ các IP khác nhau nên rất khó dé truy vết được
1.1.3.11 Tấn công phi kỹ thuật (Social engineering)
Social engineering (hay tấn công phi kỹ thuật) là hình thức tấn công mà đốitượng không khai thác vào các lỗ hồng bảo mật từ hệ thống, các thiết bị, mà kẻ tấncông tác động trực tiếp đến yếu tố con người (sử dụng kỹ thuật xã hội) nhằm đánh cắpđược thông tin, dữ liệu của người dùng Chúng có thể mạo danh là nhân viên kỹ thuật,quan trị hệ thống,nhân viên ngân hàng, công an, và yêu cầu nạn nhân cung cấpthông tin như yêu cầu thay đổi mật khẩu, thay đổi quyên truy nhập với một hệ thống,chuyền tiền,
Với kiểu tấn công này thì không có một công cụ bảo vệ nao có thé ngăn chặnmột cách hiệu quả băng việc giáo dục cho người sử dụng, người dùng cuối về nhữngyêu cầu bảo mật đề có thê cảnh giác với những hiện tượng đáng nghi
Tan công Social engineering có thé da dạng và thay đổi theo thời gian, do đóviệc giáo dục cho người dùng cần một quá trình liên tục Yếu tố con người là mộtđiểm yếu trong bất kỳ hệ thống nào, vì thế cần tăng cường nhận thức, cung cấp kiếnthức cho người dùng cộng với tinh thần hợp tác từ phía người sử dụng sẽ có thể nâng
cao được sự an toàn cho hệ thống.
1.1.3.12 Broken authentication
Đây là lỗ hồng bảo mật xảy ra khi các thu tục cho việc xác thực và quản lýphiên không an toàn dẫn đến việc tin tặc có thé lay được quyền truy cập vào các taikhoản của người dùng hoặc thậm chí lấy được quyền quản trị của hệ thống Hậu quả
có thê xảy ra như hacker có thê truy cập vào tài khoản của một người dùng hoặc tải
khoản quản trị của hệ thống, thực hiện các thao tác khác tùy thuộc vào đặc quyền tài
khoản hacker lay được dé gây ra nguy hiểm cho hệ thống
Các nguyên nhân phô biến:
e Sử dụng mật khẩu yếu, dé đoán
e Mật khâu không được mã hóa hoặc dễ bị giải mã trong khi lưu trữ.
Nguyễn Tuan Thành — D19CQAT03-B 19
Trang 21Đồ án tốt nghiệp Chương 1
e Thông báo lỗi xác thực quá chỉ tiết (vi du báo lỗi không đúng mật khâu
nhưng tên người dùng thì đã đúng).
Không sử dụng SSL để mã hóa trên đường truyền
Sử dụng các session ID dễ đoán, có thời gian sống lâu hoặc xác thựcphiên yếu
e Không kết thúc phiên đăng nhập day đủ khi người dùng đăng xuất.
1.1.4 Giải pháp đề xuất
Trong bối cảnh môi trường kỹ thuật số ngày càng phức tạp và tiềm ân nhiều rủi
ro, đảm bảo an toàn thông tin trở thành một van dé cap bách Đề dat được điều này,cần thiết phải tìm ra những giải pháp thích hợp Điều này đòi hỏi sự kết hợp giữanhiều mục tiêu và phương pháp khác nhau, trong đó chính sách, các biện pháp kỹ
thuật và giáo dục đóng vai trò quan trọng.
1.1.4.1 Chính sách
Cần ban hành các cơ chế, chính sách và các thông tư để đảm bảo an toàn thôngtin trong các lĩnh vực khoa học công nghệ nhằm phòng chống tội phạm sử dụng côngnghệ cao Cần ban hành các quy định về luật bảo vệ đữ liệu cá nhân, quy định bảo vệanh ninh mạng, không gian số, Thực hiện hiệu quả các văn bản pháp luật, các nghịđịnh, thông tư của Thủ Tướng Chính Phủ về đảm bảo an ninh thông tin, an ninh mạngnhư: Luật An Ninh Mạng số 24/2018/QHH14; Quyết định số 964/QĐ-TTg của ThủTướng Chính Phủ phê duyệt chiến lược an toàn, an ninh mạng quốc gia, chủ động ứngphó với các thách thức từ không gian mạng đến năm 2025, tam nhìn 2030,
1.1.4.2 Kỹ thuật
Các biện giải pháp về kỹ thuật:
e Thường xuyên rà quét, phát hiện, khắc phục các khiếm khuyết, các lỗ
hồng bảo mật trên toàn hệ thống
e Mã hóa các dữ liệu, sử dụng kênh truyền an toàn trong quá trình trao đổi
thông tin.
e Đảm bảo an toàn thông tin các cơ sở hạ tang mạng như sử dụng tường
lửa (Firewall), hệ thống phát hiện xâm nhập (IDS), phòng chống tấncông từ chối dich vụ (DDoS)
e Thường xuyên kiểm tra và giám sát hệ thống dé phát hiện các hoạt động
bất thường và xâm nhập Các công cụ giám sát mạng, nhật ký hệ thống,
và phân tích sự cố có thé được sử dụng để theo dõi và phát hiện sự xâm
nhập và các hành vi đáng ngờ khác.
e Tuân thủ quy trình sao lưu và khôi phục giúp giảm thiêu trường hợp mat
dữ liệu, đảm bảo sự liên tục, tính khả dụng của hoạt động hệ thống.
Nguyễn Tuan Thành — D19CQAT03-B 20
Trang 22Đồ án tốt nghiệp Chương 1
Đồng thời, nó cũng giúp tuân thủ các quy định liên quan đến bảo vệ ditliệu và giảm thiểu rủi ro, thiệt hại có thé xảy ra trong trường hợp sự có
e Tô chức diễn tập bảo đảm an toàn thông tin, an ninh mang và ứng cứu
sự cô hăng năm
1.1.4.3 Giáo dục
Nâng cao nhận thức bảo vệ an toàn thông tin cho mọi người Tổ chức cácchương trình giáo dục, dao tạo định kỳ cho nhân viên về an toàn thông tin Dua ra cácchính sách và quy trình bảo mật thông tin một cách rõ ràng và chỉ tiết, đảm bảo mọingười trong cơ quan, tô chức đều hiểu và tuân thủ các quy định Thường xuyên kiểmtra và đánh giá nhận thức về việc đảm bảo nhận thức đầy đủ về các nguy cơ an ninhthông tin, các loại tan công nhắm vào hành vi con người như Social engineering Tao
môi trường làm việc an toàn, sử dụng công cụ và công nghệ bảo mật, xây dựng văn
hóa an toàn thông tin cho tổ chức, khuyến khích nhân viên tham gia, chia sẻ các van
đề về việc bảo vệ an toàn thông tin một cách chủ động,
1.2 Khảo sát các mô hình học tập về an toàn thông tin
Hiện nay, việc đảm bảo an toàn thông tin trong môi trường kỹ thuật số trở nênngày càng quan trọng do sự phát triển nhanh chong của công nghệ thông tin và sự giatăng của các mối đe dọa an ninh thông tin Có một số hình thức, mô hình đào tạo về antoàn thông tin để nâng cao kiến thức, kỹ năng cơ bản cho người dùng Một số hình
thức đào tạo sẽ được trình bày dưới đây.
1.2.1 Các mô hình học tập về an toàn thông tin hiện nay
Khóa học dao tạo an toàn thông tin cho người dùng của Vina Aspire
Vina Aspire cung cấp khóa học đảo tạo an toàn thông tin cho người dùng.Khóa học cung cấp các kiến thức và kỹ năng cơ bản để người dùng truy cập internet,
duyệt web, mail, công cụ diệt virus một cách an toàn va bảo mật ngoài ra trang bi kiến
thức dé người dùng có khả năng hiểu, nắm bắt và vận dụng các khuyến cáo của cộngđồng trên mạng internet về an ninh thông tin với thời lượng 1 ngày (~8 gid) [4]
Sau khi hoàn tất khóa học, học viên có khả năng:
e Nhận biết các nguy cơ và điểm yếu mà hacker có thé lợi dụng để trục lợi
qua đó, người dùng có thể tự bảo vệ mình và chủ động phòng tránh
e Hiểu rõ các khái niệm an toàn thông tin như bảo mật, lỗ hồng, tấn công
mạng.
e Nâng cao kỹ năng tự bảo vệ máy tính va dit liệu trước các mối hiểm hoạ
về an toàn thông tin khi sử dụng Internet, các thiết bị lưu trữ ngoài
e Có kiến thức cơ bản về bảo mật thông tin khi sử dụng máy tính: virus,
worm, backdoor, malware, và các loại mã độc khác.
Nội dung khóa học:
Nguyễn Tuan Thành — D19CQAT03-B 21
Trang 23Đồ án tốt nghiệp Chương 1
Những kiến thức cơ bản về an toàn thông tin
An toàn khi sử dụng máy tính cá nhân.
An toàn khi sử dụng thiết bị di động
An toàn khi sử dụng mạng không dây.
An toàn khi sử dụng email.
An toàn khi sử dụng mạng xã hội.
An toàn khi duyệt web và thực hiện các giao dịch trực tuyến.
Phòng tránh các cuộc tấn công dựa vào việc lừa đảo
Khóa học nguyên tắc cơ bản về quản lý an toàn thông tin cho người không chuyên
về công nghệ - Udemy
Udemy là một nền tang day học trực tuyến cung cấp các khóa học đa dạng các
lĩnh vực như lập trình, an toàn thông tin, thiết kế, Nền tảng này đã có hơn 150.000
khóa học và là một trong những nền tang học trực tuyến phô biến nhất hiện nay
Khóa hoc Information Security Management Fundamentals for Non-Techies
(Nguyên tắc cơ ban về quan ly an toàn thông tin cho người không chuyên về côngnghệ) của đồng tác gia Alton Hardin và Alton Teaches LLC với hơn 46 nghìn học sinhtham gia và được đánh giá 4.6/5 với gần 14 nghìn lượt đánh giá
Với độ dài khoảng 12.5 giờ, khóa học cung cấp các kiến thức cơ bản về an toànthông tin, những nguyên tắc cốt lõi về an ninh mạng cần thiết Các nội dung chính vềkhóa học: Nguyên tắc cốt lõi của an toàn thông tin, quản lý rủi ro, kiếm soát truy cập,
kiểm toán công nghệ thông tin (IT Auditing), các mối đe dọa phân mềm độc hại, an
toàn mạng, đánh giá và kiểm thử an toàn, mã hóa, ứng phó sự cố, khắc phục sự cố và
duy trì hoạt động [5]
1.2.2 Đánh giá
Hiện nay có nhiều khóa học đào tạo nhằm nâng cao nhận thức về an toàn thông
tin cho người dùng Tuy nhiên, đa số các khóa học được thực hiện chỉ chú trọng đếnviệc đào tạo các kiến thức về lý thuyết thông qua các tài liệu, slide Điều này khiếnviệc học tập, tiếp thu các kiến thức khá nhàm chán cũng như khó áp dụng các kiếnhức đã học vào làm việc thực tế đo không có việc thực hành trong quá trình học
Vì vậy, việc xây dựng một mô hình đào tạo dé nâng cao nhận thức an toànhông tin cho người dùng bằng phương pháp kết hợp giữa các bài học lý thuyết, ôn tậplại kiến thức thông qua những câu hỏi trắc nghiệm và làm đa dạng các bài thực hành
là mô hình có thé đưa các kiến thức an toàn thông tin có thé rất khô khan, nhiều tính
học thuật trở nên dễ tiếp cận hơn cho người dùng
Nguyễn Tuan Thành — D19CQAT03-B 22
Trang 24Đồ án tốt nghiệp Chương 1
1.3 Giới thiệu hệ thống PTIT Learning InfoSec
PTIT Learning InfoSec là một website học tập về các kiến thức an toàn thôngtin kết hợp giữa các bài học lý thuyết, ôn tập các kiến thức đã học thông qua các câuhỏi trắc nghiệm và các bài thực hành
1.3.1 Đối tượng sử dụng
Đây là một website hướng tới người dùng quan tâm đến an toàn thông tin vàmuốn nắm vững kiến thức cơ bản và thực hành trong lĩnh vực này Dưới đây là một số
đối tượng người dùng mà website này có thé hướng tới:
® - Người mới bắt đầu: Đối với những người mới bat đầu quan tâm đến an toàn
thông tin, website này có thể cung cấp một nền tảng để họ hiểu về các khái
niệm cơ bản, nguyên tắc và biện pháp bảo mật thông tin Nó cung cấp các
tài liệu giáo trình đễ hiểu, hướng dẫn và tài liệu tham khảo để người dùng
có thể tự học và nắm vững kiến thức căn bản
e Sinh viên và học sinh: Sinh viên và học sinh quan tâm đến lĩnh vực an toàn
thông tin có thé sử dụng website này dé tìm hiểu và nâng cao kiến thức của
mình Nó cung cấp tài liệu lý thuyết và các bài tập để họ áp dụng kiến thức
trong thực tế
¢ Người quan tâm đến bảo mật thông tin cá nhân: Với sự gia tăng của việc lộ
thông tin cá nhân và các vụ vi phạm di liệu, người dùng thông thường có
thé quan tâm đến bảo mật thông tin cá nhân của mình Website này có thécung cấp hướng dẫn, công cụ và tài liệu về cách bảo vệ thông tin cá nhân
trực tuyến, nhận diện các mối đe dọa và áp dụng các biện pháp bảo mật cơ
bản.
1.3.2 Phương pháp học tập
Các bài học lý thuyết sẽ cung cấp cho người dùng các kiến thức nền tảng, cobản về an toàn thông tin gồm các khái niệm, nguyên tắc và phương pháp bảo vệ hệthong thông tin Thông qua các bài học, người dùng có thé hiểu các nguyên tắc và quytrình an toàn thông tin như nguyên tắc CIA (Bí mật, Toàn ven, San sang), Nắm vữngkiến thức về mối đe dọa và các loại tấn công, cũng như cách áp dụng các công nghệ
và phương pháp dé đảm bảo an toàn thông tin
Sau khi người dùng đã tiếp thu kiến thức về lý thuyết, các bài trắc nghiệm sẽđược sử dụng để ôn tập và kiểm tra lại hiểu biết của người dùng Các câu hỏi trắcnghiệm có thể bao gồm định nghĩa, nguyên tắc, thuật ngữ và kịch bản liên thực tế liênquan đến an toàn thông tin Qua các bài trắc nghiệm, người dùng có thé đánh giá mức
độ hiểu biết và năm vững kiến thức của mình về các bài học lý thuyết mình đã học,xác định được những phần kiến thức chưa nắm rõ Tăng cường khả năng áp dụng kiếnthức thông qua những câu hỏi trắc nghiệm đi kèm với các tình huống thực tế
Nguyễn Tuan Thành — D19CQAT03-B 23
Trang 25Đồ án tốt nghiệp Chương 1
Ngoài ra, bài thực hành cũng đóng một vai trò quan trọng trong việc nắm vữngkiến thức và phát triển kỹ năng thực tế về an toàn thông tin Các bài thực hành có thểbao gồm giả lập môi trường thực tế, các kịch bản tấn công, phân tích lỗ hồng bảo mật.Qua việc thực hiện các bài thực hành, người dùng có thể áp dụng kiến thức đã học vàocác tình huống thực tế và rèn luyện kỹ năng giải quyết vấn đề Các bài học được xây
dựng dưới dạng:
e Các bài thực hành CTF: CTF viết tắt là Capture The Flag - là một dạng
các bài thực hành khác nhau được phân thành nhiều chủ đề liên quanđến an toàn thông tin Các bai thực hành được chia thành các chủ đềkhác nhau như: web, forensic, crypto, binary, Trong mỗi chủ dé sẽ cónhiều bài thi theo mức độ, tương ứng với các mức điểm tăng dần theo độkhó Người dùng sẽ sử dụng các kiến thức, hiểu biết của mình dé tìm cờ
được giấu trong mỗi bài thực hành
e Các bài thực hành mô phỏng các lỗ hong ứng dụng: Với dang bai thực
hành này, người dùng xem hướng dẫn và thực hiện tan công vào lỗ hong
ứng dụng được mô phỏng cho trước Thông qua các bài thực hành nay,
người dùng sẽ hiểu hơn được các phương thức mà tin tặc thực hiện khi
tấn công, khai thác vào một hệ thống, ứng dụng bị lỗi thông qua các lỗhồng bảo mật
1.3.3 Mục đích ý nghĩa của website
Mục đích và ý nghĩa của website này là cung cấp một nguồn tài nguyên về an toànthông tin để giúp người dùng năm vững kiến thức và kỹ năng trong lĩnh vực này Dướiđây là một số mục đích cụ thê và ý nghĩa của website:
se Giáo dục và tăng cường kiến thức: Website cung cấp các bài học lý thuyết và
thực hành để người dùng có thê học tập và nâng cao kiến thức về an toàn thôngtin Điều này giúp người dùng hiểu rõ hơn về các nguy cơ và biện pháp bảo vệthông tin, từ đó tăng cường khả năng phòng ngừa và phát hiện các vấn đề bảo
mật.
©_ Phát triển kỹ năng: Website cung cấp các bài thực hành mô phỏng lỗ hồng ứng
dụng và các bài thử thách CTF, giúp người dùng áp dụng kiến thức vào thực tế
và phát triển kỹ năng bảo mật Việc thực hành như vậy giúp người dùng làm
quen với các kỹ thuật tắn công và bảo vệ, từ đó nâng cao khả năng phòng ngừa
và giải quyết sự có bảo mật
e _ Xây dựng nhận thức về an toàn thông tin: Website có thé giúp người dùng nhận
biết và hiểu về tầm quan trọng của an toàn thông tin trong cuộc sống cá nhân
và trong doanh nghiệp Việc nắm vững kiến thức về an toàn thông tin giúp
người dùng trở thành người dùng thông minh và có khả năng bảo vệ thông tin
cá nhân và tô chức khỏi các mối đe dọa trực tuyến.
Nguyễn Tuan Thành — D19CQAT03-B 24
Trang 26Đồ án tốt nghiệp Chương 1
® Tao ra cộng đồng học tập và chia sẻ kiến thức: Website có thể tạo ra một cộng
đồng trực tuyến, nơi người dùng có thê giao lưu, thảo luận và chia sẻ kiến thức
về an toàn thông tin Việc tương tác với nhau giúp người dùng mở rộng mạng
lưới chuyên gia và chia sẻ kinh nghiệm, từ đó tạo ra một môi trường học tập tích cực.
Kết luận chương
Chương | đã trình bày về thực trạng an toàn thông tin, nguyên nhân va hậu qua
của việc mất an toàn thông tin, một số loại tan công phổ biến, giải pháp đưa ra và
khảo sát mô hình học tập về an toàn thông tin Chương 1 cũng giới thiệu tổng quan về
hệ thống PTIT Learning InfoSec Chương tiếp theo sẽ trình bày về phân tích thiết kếcho hệ thống PTIT Learning InfoSec
CHUONG 2: PHAN TÍCH THIẾT KE HỆ THONG HỌC TẬP VÀ THỰC
HÀNH AN TOÀN THÔNG TIN PTIT LEARNING INFOSEC
Chương này sẽ thực hiện phân tích thiết kế cho PTIT Learning InfoSec Do số lượnguse case sử dụng nhiều nên chương 2 sẽ tập trung phân tích vào các chức năng nổi
bật cua hệ thống.
2.1 Mô tả nhiệm vụ của các tác nhân sử dụng hệ thống
Khái niệm: tác nhân (actor) là một người hay một đối tượng giữ vai trò nào đó
trong nghiệp vụ Một tác nhân cũng có thể là các hệ thống máy tính hay một hệ phần
mềm riêng biệt có vai trò nào đó trong hoạt động của hệ thống
Admin: là người quan trị hệ thống, có vai trò quan lý va theo dõi hoạt động của
hệ thống Các chức năng của quản trị viên như sau:
Quản lý danh mục câu hỏi.
Quản lý bài trắc nghiệm
e Thống kê bài trắc nghiệm
Người dùng: là người dùng cuối của hệ thống, có thể thực hiện các chức năng
sau:
Nguyễn Tuan Thành — D19CQAT03-B 25
Trang 27Đồ án tốt nghiệp Chương 1
e Đăng ký tài khoản.
e Xem danh sách các bài học.
e Tìm kiếm theo tên các bài học, xem chi tiết các bài học.
e Xem danh sách các bai thực hành, xem chi tiết các bài thực hành, xem
lịch sử làm bài thực hành.
e Xem danh sách các bài trắc nghiệm, xem lịch sử làm các bài trắc nghiệm
đã làm.
e Làm bài trắc nghiệm, xem lại kết quả sau khi nộp bài.
e Xem danh danh các thử thách CTF.
e Theo dõi tiến độ làm bài theo từng danh mục, theo tổng số bai.
e Xem lịch sử làm thử thách CTF gần nhất
e Lọc và tìm kiếm theo tên, theo mức độ va theo danh mục.
e Xem chỉ tiết và thực hiện các thử thách CTF
Thống kê theo thử thách CTF:
Admin xem danh sách thống kê theo thử thách CTF hiển thi dưới dạng bảng
gồm các thông tin như tên thử thách CTF, mức độ, danh mục, tông số bài làm đúng,
tổng số bài làm sai, tổng số lần nộp bài và xem chỉ tiết lịch sử người dùng làm theo từng bài Xem lịch sử nộp bài của tất cả các người dùng.
Xem bài học:
Người dùng xem danh sách các bài học dưới dang danh sách hiển thị Ngườidùng có thé tìm kiếm theo tên bài học Xem lịch sử các bài học đã xem gần đây.Người dùng có thé xem chỉ tiết nội dung của từng bài học
Thực hiện bài thực hành:
Người dùng xem danh sách bài thực hành Người dùng có thé tìm kiếm bai
thực hành theo tên Xem chỉ tiết nội dung, hướng dẫn bài thực hành muốn làm và thực
hiện làm thực hành.
Làm bài trắc nghiệm:
Người dùng xem danh sách bài trắc nghiệm được hiền thị dưới dang danh sách.Người dùng có thé tìm kiếm các bài trắc nghiệm theo tên Lam bài trắc nghiệm, sauNguyễn Tuan Thành — D19CQAT03-B 26
Trang 28Đồ án tốt nghiệp Chương 1
khi thực hiện xong có thé xem lại kết qua bai làm, có thé chọn làm lại bài trắc nghiệmhoặc trở lại về trang chủ
Lam các thứ thách CTF:
Người dùng xem danh sách các bai thử thách CTF được hiển thị dưới dạng
danh sách Người dùng có thé tìm kiếm bài thử thách theo tên, lọc theo mức độ và lọc
theo danh mục Xem chỉ tiết bài thử thách CTF và sau đó thực hiện nộp đáp án (flag)
Người dùng cũng có thé theo dõi tiến độ làm bài theo từng dạng bài
Xem lịch sử làm bài:
Người dùng xem danh sách lịch sử làm bài thực hành dưới dạng bảng gồm các
thông tin như tên bài thực hành, thời gian làm bài Trên cùng giao diện xem lịch sử,
người dùng có thé chọn xem lịch sử làm thử thách CTF gồm các thông tin như tên thửthách, đáp án, trạng thái, thời gian nộp và xem giao diện lịch sử làm bai trắc nghiệmgồm các thông tin như tên bài trắc nghiệm, số câu đúng, số câu sai, thời gian hoànthành, kết quả và thời gian làm bài
Xem danh sách bảng xếp hang thử thách CTF:
Người dùng xem bảng xếp hạng top 5 người đạt điểm cao nhất dưới dạng biêu
đồ cột và danh sách xếp hạng tất cả người dùng dưới dạng bảng gồm các thông tin
như họ tên, mã sinh viên, tổng điểm, tổng số bài đã thử, tổng số bài làm đúng và tổng
số lần nộp bài
2.2.2 Yêu cầu phi chức năng
Giao diện:
Giao điện được thiết kế đơn giản, rõ ràng và dé sử dụng Dam bảo hệ thống dé
sử dụng, thân thiện và đáp ứng nhu cầu của người dùng
Hiệu năng:
Yêu cầu về hiệu năng xác định các tiêu chí về tốc độ, thời gian đáp ứng và tải
trong mà hệ thống cần đáp ứng Thời gian chuyên qua các trang, giao diện không qua
lâu, dữ liệu được lưu trong cơ sở dữ liệu được cập nhật theo thời gian thực.
Bảo mật:
Yêu cầu về bảo mật đặt ra các yêu cầu về quyên truy cập, xác thực, mã hóa và
kiểm soát dữ liệu Dữ liệu quan trọng như mật khẩu người dùng sẽ được lưu dưới
dạng mã hóa Phân quyền cho người dùng
Trang 29Đô án tôt nghiệ Chương |
2.3 Sơ đồ các use case
2.3.1 Use case tong quan
ding xử admin
Thẳng lô tắt nhiệm
Thôn kê tử thach CTF
Hình 2 1: Use case tổng quan
Nguyễn Tuan Thành — D19CQAT03-B 28
Trang 30Đô án tôt nghiệ Chương |
2.3.2 Use case chỉ tiết
— CC >
Hình 2 2: Use case admin thêm moi thử thách CTF
Use Case
Tac nhan
Tién diéu kién
Bang 2 1: Kịch ban thêm mới thử thách CTF Thêm mới thử thách CTF
Admin
Admin đăng nhập thành công vào hệ thống
Hậu điêu kiện
Luông sự kiện
chính
Admin thêm mới thử thách CTF thành công
1 Sau khi đăng nhập thành công, từ giao diện chính admin chọn quản lý thử thách CTF.
2 Hệ thống hiển thị danh sách các bai thử thách CTF, nút “Thêm
mới” và phan lọc và tìm kiêm thử thách CTF.
3 Admin ấn vào nút “Thêm mới” để hiển thị form thêm mới
Form thêm mới bao gồm:
Ô input để tải file
4 Admin điền đầy đủ thông tin thử thách CTF mới và ấn vào nútNguyễn Tuan Thành — D19CQAT03-B 29
Trang 31Đồ án tốt nghiệp Chương 1
“Thêm mới”.
5 Hệ thống lưu thông tin và lưu vào cơ sở đữ liệu
6 Hệ thống hiển thị lưu thông tin thử thách CTF thành công và
hiển thị thông thông tin danh sách các thử thách CTF (bao gồm
thử thách CTF đã thêm mới) có trong cơ sở dit liệu.
2.3.2.2 Use case chỉnh sửa thứ thách CTF
Use case Chỉnh sửa thử thách CTF
Admin đăng nhập thành công Admin chỉnh sửa thông tin thử thách CTF thành công.
Sự kiện chính 1 Sau khi đăng nhập thành công, từ giao diện quản ly admin
chọn quan lý thử thách CTF.
2 Hệ thống hiển thị danh sách các bài thử thách CTF, nútNguyễn Tuan Thành — D19CQAT03-B 30
Trang 32Đồ án tốt nghiệp Chương 1
“Thêm mới” và phần lọc và tìm kiếm thử thách CTE
3 Admin nhập thông tin tìm kiếm và lọc thử thách CTE
4 Hệ thống hiền thị thử thách CTF đã tìm kiếm từ các thông tin
8 Hệ thống kiểm tra thông tin và lưu vào co sở dữ liệu
9 Hệ thống thông báo cập nhật thông tin thử thách CTF thành
công và hiên thị thông tin thử thách CTF có trong cơ sở dữ liệu.
Ngoại lệ 4 Hệ thống không tìm thấy thử thách CTF phù hợp với các
thông tin dau vào.
4.1 Hệ thống hiển thị “Không có dữ liệu”
4.2 Admin nhập lại thông tin tìm kiếm khác và lọc
Trang 33Đô án tôt nghiệ Chương |
2.3.2.3 Use case xóa thứ thách CTF
Admin Tiên điêu kiện
Hậu điêu kiện
Sự kiện chính
Admin đăng nhập thành công
Admin xóa thử thách CTF thành công
1 Sau khi đăng nhập thành công, từ giao diện quản lý admin chọn
quan ly thử thách CTF.
2 Hệ thống hiền thị danh sách các bài thử thách CTF, nút “Thêm
mới” và phân lọc và tìm kiêm thử thách CTE.
3 Admin nhập thông tin tìm kiếm và lọc thử thách CTF
4 Hệ thống hiền thị thử thách CTF đã tìm kiếm từ các thông tin
dau vào.
5 Admin chọn thử thách CTF và nhấn nút “Xóa” trên bài thử
thách CTF muôn xóa.
6 Hệ thống kiểm tra thông tin và xóa khỏi cơ sở dit liệu
7 Hệ thống thông báo xóa thành công và hién thị danh sách các
thử thách CTF có trong cơ sở dtr liệu.
Nguyễn Tuan Thành — D19CQAT03-B 32
Trang 34Đồ án tốt nghiệp Chương 1
Ngoại lệ 4 Hệ thống không tìm thấy thử thách CTF phù hợp với các thông
tin dau vào.
4.1 Hệ thống hiển thị “Không có dữ liệu”
4.2 Admin nhập lại thông tin tìm kiếm khác và lọc
4.3 Hệ thống hiển thị thử thách CTF đã tìm kiếm từ các
thông tin đâu vảo.
2.3.2.4 Use case thống kê thử thách CTF
<<Extend>>
| <<Extend=>
Bang 2 4: Kịch bản thong kê thử thách CTF
Use case Thống kê theo thử thách CTF
Tác nhân Admin
Tiền điều kiện Admin đăng nhập thành công
Hậu điều kiện Admin xem được thống kê theo thử thách CTF
Sự kiện chính 1 Sau khi đăng nhập thành công, từ giao diện quản lý admin
chọn thông kê thử thách CTF.
Nguyễn Tuan Thành — D19CQAT03-B 33
Trang 35Đồ án tốt nghiệp Chương 1
2 Hệ thống hiển thị giao diện thống kê thử thách CTF
3 Admin kéo đến giao diện thống kê theo thử thách CTF
4 Hệ thống hiển thị thống kê theo thử thách CTF dưới dangbảng bao gồm các thông tin
e Tên thử thách CTF
Mức độ Danh mục
Tổng số bài làm đúng
Tổng số bài làm saiTổng số lần nộp bài
5 Admin nhập tên thử thách CTF va ấn lọc
6 Hệ thống hiên thị thử thách CTF đã tìm kiếm từ các thông
tin đầu vảo.
7 Admin xem chỉ tiết lịch sử làm bài theo thử thách CTE
8 Hệ thống hiền thị thông tin chỉ tiết lich sử làm bài theo thử
thách CTF cụ thê dưới dang bảng Các trường thông tin bao
gồm:
e Mã sinh viên
e Họ tên.
e Trạng thái.
e Thời gian nộp bài.
Ngoại lệ 5 Hệ thống không tìm thấy thông tin thử thách CTF phù hợp
với thông tin đầu vào
5.1 Hệ thống hién thị “Không có dữ liệu”
5.2 Admin nhập lại tên thử thách CTF.
5.3 Hệ thong hiền thị thử thách CTF đã tìm kiếm từ các
thông tin dau vào.
Nguyễn Tuan Thành — D19CQAT03-B 34
Trang 36Đồ án tốt nghiệ Chương ]2.3.2.5 Use case học bài hoc lý thuyết
'
'
Hinh 2 6: Usecase xem bai hoc chi tiétBang 2 5: Kịch ban học bài hoc lý thuyết
Use case Hoc bai hoc ly thuyét
Tac nhan Nguoi dung
Tién diéu kién Người dùng đăng nhập thành công
Hậu điều kiện Người dùng xem bài học chỉ tiết thành công
Sự kiện chính 1 Người dùng đăng nhập thành công và truy cập vao trang bai
học.
2 Hệ thống hiền thị danh sách bài học, lich sử các bài học gần
đây và thanh tìm kiêm bài học.
3 Người nhập thông tin tên bài học và ấn tìm kiếm
4 Hệ thống hién thi các bài học chứa từ khóa mà người dùng
nhập vảo.
5 Người dùng ân vào bai học cân học đê xem chi tiệt nội dùng
6 Hệ thống hién thị nội dung chỉ tiết bai học cho người dùng
4 Hệ thống không tìm thấy bài học nào phù hợp với từ khóaNguyễn Tuan Thành — D19CQAT03-B 35
Trang 37Đồ án tốt nghiệp Chương 1
mà người dùng nhập vảo.
4.1 Hệ thống hiển thị “Khéng có dữ liệu”
4.2 Người dùng nhập lại tên bài học dé tìm kiếm
4.3 Hệ thống hiển thị tên bài học chứa từ khóa mà người
Tiền điều kiện | Người dùng đăng nhập thành công
Hậu điều kiện | Người dùng làm bài trắc nghiệm thành công
Sự kiện chính 1 Sau khi đăng nhập thành công, người dùng chọn chức năng bài
trăc nghiệm.
2 Hệ thống hién thị danh sách các bài trắc nghiệm và thanh tìmNguyễn Tuan Thành — D19CQAT03-B 36
Trang 38Đồ án tốt nghiệp Chương 1
kiếm bài trắc nghiệm
3 Người dùng nhập thông tin tên bài trắc nghiệm và ấn tìm kiếm
4 Hệ thống hiển thị các bài trắc nghiệm chứa từ khóa mà người
dùng nhập vao.
5 Người dùng ấn vào bài trắc nghiệm cần làm đề thực hiện
6 Hệ thống hién thị câu hỏi trắc nghiệm cho người dùng
7 Người dùng thực hiện làm các câu hỏi trắc nghiệm cho đến khi
kêt thúc.
8 Sau khi người dùng hoàn thành bài trắc nghiệm, hệ thống lưu
kêt quả đã làm bai của người dùng vào cơ sở dữ liệu.
9 Hệ thống thông báo hoàn thành bai trắc nghiệm và hién thị kếtquả làm bài của người dùng bao gồm:
e Điểm
Thời gian
Số câu đúng
Số câu sai
Danh sách các câu hỏi bao gồm:
o Nếu câu trả lời đúng hiển đáp án đúng.
o Nếu câu trả lời sai hiển thị đáp án người dùng chọn
và đáp án đúng
10 Người dùng ấn vào nút trở về
11 Hệ thống hién thị giao diện danh sách các bài trắc nghiệm
Ngoại lệ 4 Hệ thống không tìm thấy bài trắc nghiệm nào phù hợp với từ
khóa mà người dùng nhập vào.
4.1 Hệ thống hiền thị “Không có dit liệu”
4.2 Người dùng nhập lại tên bài trắc nghiệm dé tìm kiếm
4.3 Hệ thống hiển thị bài trắc nghiệm chứa từ khóa mà
người dùng nhập vào.
8 Người dùng ấn nút “Làm lại” dé thực hiện làm lại
8.1 Hệ thống hiển thị giao diện câu hỏi trắc nghiệm
8.2 Người dùng thực hiện làm bài trắc nghiệm
Nguyễn Tuan Thành — D19CQAT03-B 37
Trang 39Đô án tôt nghiệ Chương |
2.3.2.7 Use case làm bài thực hành
<<Include>>
Người Dùng
Use case
Tac nhan
Tiên điêu kiện
Hậu điêu kiện
+ <<Include>>
h | <<Extend>>
1
Hinh 2 8: Use case lam bai thuc hanh
Bang 2 7: Kich ban lam bai thuc hanh Lam bai thuc hanh
5 Người dùng chọn bài thực hành cần làm dé thực hiện
6 Hệ thống hiển thị chi tiết bài thực hành bao gồm các thông
Trang 40Đồ án tốt nghiệp Chương 1
e Hướng dan làm bai thực hành.
7 Người dùng ấn nút làm bài thực hành
8 Hệ thống hiên thị bài thực hành cho người dùng
Ngoại lệ 4 Hệ thống không tìm thấy bài thực hành phù hợp với các
thông tin dau vào.
4.1 Hệ thống hiển thị “Không có dit liệu”
4.2 Người dùng nhập lại tên bài thực hành dé tìm kiếm
Nguyễn Tuan Thành — D19CQAT03-B 39