Xây dựng hệ thống thực hành một số công cụ đảm bảo ATTT dựa trên mô phỏng thi CTF

Đồ án tốt nghiệp Đại học Chương 2: Phân tích thiết kế hệ thốngCục An toàn thông tin nhận định: Phần lớn tới 80% nguyên nhân lộ lọtthông tin cá nhân là xuất phát từ chính sự bất cần của n

Trang 1

Đề tài: “ Xây dựng hệ thống thực hành một số công

cụ đảm bảo ATTT dựa trên mô phỏng thi CTF ”

Giang viên hướng dẫn: — TS Ngô Quốc Dũng

Sinh viên thực hiện: Vũ Thanh Xuân

MSSV: B17DCAT217 Lớp: D17CQATO01-B

Hệ: Đại học chính quy

HÀ NỘI - 2021

Trang 2

BỘ THÔNG TIN VÀ TRUYÈN THÔNG HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG

DO ÁN

TÓT NGHIỆP ĐẠI HỌC

Đề tài: “Xây dựng hệ thống thực hành một số công cụ đảm bảo ATTT

dựa trên mô phỏng thi CTF”

Giảng viên hướng dẫn: TS Ngô Quốc Dũng Sinh viên thực hiện: Vũ Thanh Xuân

MSSV: B17DCAT217

Lớp: DI7CQAT0I-B

Hệ: Đại học chính quy

Trang 4

Đồ án tốt nghiệp Đại học

NHAN XÉT

(Của giảng viên hướng dẫn)

Hà Nội, 12/2021

Giảng viên hướng dẫn

SV Vũ Thanh Xuân — D17CQATO1-B

Trang 5

Đồ án tốt nghiệp Đại học Lời cảm ơn

LOI CAM ON

Em xin chân thành cam on Khoa Công nghệ Thông tin 1, Học viện Công nghệ Buu

chính Viễn thông đã tạo điều kiện tốt cho em thực hiện đề tài này.

Em xin chân thành cảm ơn Thầy Ngô Quốc Dũng, là người đã tận tình hướng dẫn em, giúp em giải quyết các vấn đề, chỉ bảo em trong suốt thời gian thực hiện đề tài.

Em cũng xin gửi lời cảm ơn sâu sắc đến quý Thầy Cô trong Khoa Công nghệ Thông tin

1 đã tận tình giảng dạy, trang bị cho em những kiến thức quí báu trong những năm học vừa qua.

Em xin gửi lòng biết ơn sâu sắc đến Bồ, Mẹ, các anh chi và bạn bé đã ủng hộ, giúp đỡ

và động viên em trong những lúc khó khăn cũng như trong suốt thời gian học tập và nghiên

cứu.

Mặc dù em đã cố gắng hoàn thành luận văn trong phạm vi và khả năng cho phép, nhưng chắc chắn sẽ không tránh khỏi những thiếu sót, kính mong sự cảm thông và tận tình chỉ bảo của

quý Thầy Cô và các bạn.

Sinh viên thực hiện

Vũ Thanh Xuân

Trang 6

Đồ án tốt nghiệp Đại học Danh mục các ký hiệu và chữ viết tắ

MỤC LỤC

DANH MỤC CAC KI HIỆU VA CHỮ VIET TAT v

DANH MỤC CAC BẢNG -cccssccexesserrreessrrrreesseeeee Vi DANH MỤC CÁC HINH VE s- 5° csecsecssessesee vii MỞ DAU wnssssssssssssssssscssssssssecssssssssssesssssssssesssssessscssssssssssesssssssssssssssseesee 9 CHƯƠNG 1: TONG QUAN BÀI TOÁN -<- 10 1 Thực trang an toàn thông tin hiện nay o5 <5 55s s55 s5 se 10 LD TNUC tr ng an 10

1.2 Các hậu quả và nguyên nhân của việc mat An toàn thông tin 10

J“C 7), e 12

2 Dat VAM GE nh 13

2.1 Các mô hình trong và NGOAI HLƯỚCC << << S991 1 911 99196 13 2.2 DAMN Sidi nan nh ố.ố.ốỐốỐố.ỐỐố.Ố 15

2.3 Giới thiệu NE tÏLỖNigg 5Ÿ 5e SSe + SEEEESEESEkeEkEEErsEksrkreererrerrsre 16 CHU ONG 2: PHAN TÍCH THIET KE HE THÓNG 18

2.1 Mô ta nhiệm vu của các tác nhân sử dụng hệ thống 18

2.2 Xác định yêu cầu hệ thống - 2-5 5° s2 ssssessessessesssessessesse 18

2.2.1 Yêu cầu CHIC NAN - 5-2 2 ©5< se SeSeEEsEEsEketeteExsrketerrerrsresre 18

2.1.2 Yêu cầu phi chức HĂIg - +2 ©cs©ceceeteeEesceseesreerrerrsrrsrrsree 20 2.3 Sơ đồ luồng nghiệp vụ hệ thỐngg << cscscsecsesesserseseeserserseree 20

2.4 Xác định và mô tả các ca SỬ UNG o- 55-555 5 9s s5 55959 958 28

2.5 Biểu đồ ca sử dụng tổng quátt ¿2-5 << se se =sessessesesersesse 30

2.6 Kịch bản cho các Ca SỬ (ỤNg do 5< 5 S5 S9 91 59 99969 5595599 58 30

Bảng 2.1: Đăng ký thành viên hệ thỐng, - 5c ©cs©csccsccsecsecse 30

Bảng 2.2: Đăng nhập hệ thỖngg -e-cs- se csscssceseeerrerrerrerreeree 31

Bang 2.3: Admin thêm mot Dai AD o5 5c < S01 93 1 11993 se 32 Bang 2.4: Admin chính sửa Đài lab os- << << s31 1 911996 33 Bang 2.5: Admin xóa bài ÏP Go << < 99.0110 11885518856 110884 56 34

Bảng 2.6: Kịch bản Tìm kiếm bài Lab theo tÊH -5-5< 5< sccscsses 35

ii

Trang 7

Bang 2.7: Phân loại bai Lab theo danh mục phân loại - - 35

Bang 2.8: Kịch bản Xem hướng dẫn bài Lab - 5-5 5< secsess+s 36 Bảng 2.9: Làm DAI LAD o5 << 5 << s9 0.9 01 11086188 1 196 37 Bang 2.10: Admin thêm mt lodi Dai Ï(4Ù, o5 << 55s sx vs se 36 Bang 2.11: Admin chỉnh sửa loqi BGI 1AD << 55s sss + ssssses 39 Bảng 2.12: Admin xóa loại Đài Ï(4P, << 5< < s1 v3 1999958985195 26 40 Bang 2.13: Thong kê tài khoản học viÊn 2 2 ©cs©csecsccsecsecse 40 Bảng 2.14: Thống kê lịch sử làm bài -e- 5< s2 ©sscssceeersrrsersecee 4I 2.6 Xây dựng biểu đồ lớp eo s- << se se sessesseseEseEsesseseesersersesse 42 2.7 Xây dựng lược đồ tuần tự -. -s- s5 s< se sssssessessessersersersersee 43 - Biểu đồ tuần tự cho chức năng Học viên đăng ký tài khoản 43

- Biểu đồ tuân tự cho chức năng Người dùng đăng nhập hệ thống 44

- Biểu đồ tuần tự cho chức năng Admin thêm mới bài lab 45

- Biểu dé tuần tự cho chức năng Admin chỉnh sửa bài lab 46

- Biểu đồ tuần tự cho chức năng Admin xóa bài lab - 47

- Biểu đồ tuân tự cho chức năng Admin thêm mới loại bài lab 48

- Biểu đồ tuân tự cho chức năng Admin chỉnh sửa loại bài lab 49

- Biểu dé tuần tự cho chức năng Admin xóa loại bài lab 50

- Biểu đồ tuần tự cho chức năng Học viên làm bài lab Sl - Biểu dé tuần tw cho chức năng Học viên xem hướng dẫn bài lab 52

- Biểu dé tuần tự cho chức năng Học viên thống kê danh sách bai lab đã 56

CHƯƠNG 3: XÂY DUNG TRIEM KHAI, THÍ DIEM, DANH GIÁ _— 58

3.1 Cầu trÚC W€ÌDSÏÉC << < sư vs eøecseseeseseesese 58

Trang 8

3.2 Môi trường cài đặt và các công cụ sử dụng s«s««essses« 58

3.2.1 React IS FTT1TILCWĐOIFÌK 5 <5 << Hi HH ng 58 3.2.2 NOdCTS Framework - 5 <5 << nọ Hi in ng 59

3.2.3 MONGODB| esscccsssssscssssssncssssnsncessnsanessssacscesssaacesssnsesessssnessessesensesssenees 60

3.3 Kiến trúc tổng quan của hệ thống -s ° 5c se sessesesessesse 61

3.4 Thiết kế cơ sở dữ liệu << << se ©ssssEssEssessesserserserserserssee 62

3.5 Giao diện một số chứng năng hệ thống 2-5 s2 s2 sss<es 63

- Giao diện học viên thực hiện bài lab của học VIÊN << «<< «« 63

- Giao diện học viên thực hành chỉ tiết bài lad -s-cs-cs<cse<s 63

- Giao điện Admin thêm mi bai lab s5 5< < << Y1 Ý xe 64

- Giao điện Admin quản lý loại darth HIỊC 5< 5< <5<< s=ss=ss£esee 64

- Giao diện Admin thong kê tài khoản học viÊP -s s-cs< se + 65

- Giao điện Người dùng đăng ký tài KNOG <5 << «<< se 65

3.6 Kt WAN 2 68Các kết quad dat AQ Cosescsccsssesssesessessesssssssssessessessssssssssssssssssessesscsssssssssssseeees 68Hạn CRE ON ti cesessessessssssssssesssssessessssssssssesssssssssssssssssssssssssssssssssssesssssssessessees 68

Dinh HHưỚH twONG Ï(Ì c << << 5 << 9 c0 0 0, 68

iv

Trang 9

DANH MỤC CÁC KI HIỆU VA CHỮ VIET TAT

Chữ viết tắt Nghĩa tiếng Việt

CTF (Capture The Flag) Cướp cờ

ATTT An toàn thông tin

CSDL Cơ sở dữ liệu

Trang 10

Đồ án tốt nghiệp Đại học Danh mục các bảng, hình vẽ

DANH MỤC CAC BANG

Bang 2.7: Kịch bản Tìm kiếm bài Lab theo tên - 5-5552 35

Bảng 2.8: Phân loại bài Lab theo danh mục phân loại 35

Bang 25100862008 37 Bảng 2.11: Admin thêm mới loại bài lab s5 55s s++s+++s+++ 38 Bang 2.12: Admin chỉnh sửa loại bài lab - - 55555 £<£+sc<sx 39 Bảng 2.13: Admin xóa loại bài laÖ - -.s- «+ + + +svkveseesseesseeese 40

Bảng 2.14: Thống kê tài khoản học vIÊn 5-5 +<**++skssseeesee 40

Bang 2.15: Thống kê lịch sử làm bài 2-22© 2252 +2 £+£x+rxerxezed 41

vi

Trang 11

DANH MỤC CÁC HÌNH VE

Hình 1.1 Nội dung khoá học an toàn thông tin trực tuyến của Udemy 15

Hình 1.2 Giới thiệu CTT - 2-22 ©x+EE+EE£EEtEEEEEEEEEerkrrrkrrkrerrees l6 Hình 2.1 Sơ đồ luồng nghiệp vụ admin quản lý danh mục phân loại 2 l Hình 2.2 Sơ đồ luồng nghiệp vụ admin thống kê tài khoản học viên 22

Hình 2.3 Sơ đồ luồng nghiệp vụ admin thống kê tài khoản học viên 23

Hình 2.4 Sơ đồ luồng nghiệp vụ học viên thực hiện bài lab 24

Hình 2.5 Sơ đồ luồng nghiệp vụ học viên thực hiện bai lab 25

Hình 2.6 Sơ đồ luồng nghiệp vụ học viên đăng ký tài khoản 26

Hình 2.7 Sơ đồ luồng nghiệp vụ người dùng đăng nhập hệ thống 27

Hình 2.7 Biểu đồ ca tổng quát hệ thống - 2 2 5 s+cxzxecez 30 Hình 2.8 Biểu đồ lớp hệ thống -2- 2-2 2 E+E£+E££E£2EE2EE+EEerxerrered 42 Hình 2.9: Biéu đồ tuần tự cho chức năng Học viên đăng ký tài khoản 43

Hình 2.10: Biéu đồ tuần tự cho chức năng Người dùng đăng nhập hệ thống ¬ 44 Hình 2.11: Biéu đồ tuần tự cho chức năng Admin thêm mới bài lab 45

Hình 2.12: Biểu đồ tuần tự cho chức năng Admin chỉnh sửa bài lab 46

Hình 2.13: Biểu đồ tuần tự cho chức năng Admin xóa bài lab 41

Hình 2.14: Biểu đồ tuần tự cho chức năng Admin thêm mới loại bài lab 48 Hình 2.15: Biểu đồ tuần tự cho chức năng Admin chỉnh sửa loại bài lab 49 Hình 2.16: Biểu đồ tuần tự cho chức năng Admin xóa loại bai lab 50

Hình 2.17: Biểu đồ tuần tự cho chức năng Học viên làm bài lab 51

Hình 2.18: Biểu đồ tuần tự cho chức năng Học viên xem hướng dan bai lab Hình 2.19: Biểu đồ tuần tự cho chức năng Học viên thống kê danh sách bài lab đã làïm Ă S21 111 12211 ng ng ng ren 53 Hình 2.20: Biéu đồ tuần tự cho chức năng Người dùng tìm kiếm bai lab theo tên bài lab s- s22 19211221122112112112112112T1.T1 11.11 1.11 erre 54 Hình 2.21: Biéu đồ tuần tự cho chức năng Người dùng phân loại bài lab theo 5180/2175 a 55

Trang 12

Hình 2.22: Biéu đồ tuần tự cho chức năng Admin thống kê tài khoản học

0 — À 56 Hình 3.1 Mô hình websI(e - -ó- «6s vn ng nh rưệt 5

Hình 3.2: Logo của ReactsS - c vn ng ng grr 59 Hình 3.3: Cách thức hoạt động của NÑode]S -. -+++-s+++s+s+ 60

Hình 3.4: Logo của MongolIDlB, -c + sgk ngư, 61

Hình 3.5: Kiến trúc tổng quan của hệ thống 61Hình 3.6: Lược đồ co sở dữ liệu của hệ thống -: : 62

Hình 3.7 Giao diện thực hiện bài lab của học viÊn -‹5s5 63

Hình 3.8 Giao diện học viên thực hành chi tiết làm bài lab 63

Hình 3.9 Giao diện Admin thêm mới bài lab - 5-5 55+ ++<£+s+ 64 Hình 3.10 Giao diện Admin quan lý danh mục - « «5s «+ 64

Hình 3.11 Giao diện Admin thống kê tài khoản học viên 65Hình 3.12 Giao diện Admin thống kê tài khoản học viên 65

Hình 3.13 Giao diện xem hướng dẫn bài lab -:- ¿55555552 ó6

Hình 3.14 Giao diện làm chỉ tiết bài lab - 2 2 scs+cs+zxerxered 67

viii

Trang 13

Đồ án tốt nghiệp Đại học Chương 2: Phân tích thiết kế hệ thống

MỞ DAU

Trong những năm gần đây, đặc biệt là trong thời kì COVID như hiện nay,

xu hướng làm việc, học tập trực tuyến từ xa trở nên rất phố biển Chi cần mộtchiếc laptop hay một chiếc điện thoại là một người có thể kết nối dé làm việc, traođôi ở bat ki nơi đâu Tuy nhiên đi kèm với đó là sự đe dọa đảm bảo an toàn thông

tin xuất hiện nhiều biến thé virus mới, tội phạm mạng sẽ chuyên nghiệp hon, tinh

vi hơn, mạng xã hội trở thành dich ngắm của hacker, các vụ việc đánh cắp thông

tin đữ liệu về người dùng sẽ phức tạp hơn Con người — khâu yêu nhất trong toàn

bộ quá trình đảm bảo an toàn thông tin Hầu như phần lớn các phương thức tấncông được hacker sử dụng là khai thác các điểm yếu của hệ thống thông tin và đa

phần các điểm yếu đó rất tiếc lại do con người tạo ra Việc nhận thức kém và

không tuân thủ các chính sách về ATTT là nguyên nhân chính gây ra tình trạng

chương dưới đây:

Chương 1: Tổng quan bài toán

Trình bày tổng quan về bài toán, tình hình ATTT hiện nay, giới thiệu tổngquan hệ thống

Chương 2: Phân tích thiết kế hệ thống

Chương này sẽ nói vê kiên trúc của hệ thông, kêt quả của quá trình phân

tích thiệt kê hệ thông, các biêu đô usecase, kịch bản, biêu đô tuân tự và kiên trúc

cơ sở dit liệu của toàn bộ hệ thống

Chương 3: Xây dựng triển khai, đánh giá thí điểm

Trinh bày cách thức xây dựng và cai đặt hệ thống, giao diện của hệ thống,

đánh giá hệ thống qua quá trình thử nghiệm thực tế

Trang 14

CHƯƠNG 1: TỎNG QUAN BÀI TOÁN

1 Thực trạng an toàn thông tin hiện nay

1.1 Thực trạng

Hiện nay, với sự phát triển nhanh chóng của các lĩnh vực công nghệ, xuấthiện nhiều cuộc tan công mạng, các nguy cơ gây mat An toàn thông tin xảy ra vớitần xuất nhiều hơn, nghiêm trọng hơn Bên cạnh đó các doanh nghiệp trên thế giớinói chung và Việt Nam nói riêng đang phát triển đa dạng các ngành nghề lĩnh vực.Mỗi ngành nghé lĩnh vực đòi hỏi thông tin trong đó cần phải được bảo mật, xác

thực và toàn vẹn, vừa giúp cho doanh nghiệp đó phát triển, thông tin được bảo vệ,hạn chế tan công, vừa giúp cho doanh nghiệp đó có được hình ảnh uy tin cũngnhư được các bên đối tác đánh giá và tin tưởng khi hợp tác Tuy vậy, tình hình an

toàn thông tin (ATTT) tại Việt Nam và thế giới ngày càng diễn biến phức tạp,tăng mạnh về quy mô, số lượng, mức độ tinh vi va tính chuyên nghiệp của các

cuộc tan công, nhất là tan công mạng vào hệ thống thông tin các doanh nghiệplớn Van đề An toàn thông tin lại càng quan trọng và là nhu cau cấp thiết đối với

doanh nghiệp nói chung và đặc biệt là các doanh nghiệp hoạt động trong lĩnh vực

Công nghệ thông tin, làm thé nào dé giúp các doanh nghiệp đặc biệt là các doanh

nghiệp Công nghệ thông tin thực hiện được điều đó

Thống kê của Trung tâm Giám sát an toàn không gian mạng quốc gia

(NCSC, thuộc Cục An toàn thông tin) cho thấy trong tháng 6/2021 đã có 718 cuộc

tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam và lũy kế

trong 6 tháng đầu năm, Việt Nam đã hứng chịu tổng số 2.915 sự có tan công mạng,tăng gan 898 cuộc so với cùng kỳ năm 2020 Đặc biệt, trong tình hình dai dịch

Covid-19 diễn biến phức tạp, các tổ chức, cá nhân tội phạm mạng càng tăng cường

lợi dụng nhu cầu sử dụng mạng Internet của người dùng cũng như sự quan tâm

của người dân tới thông tin tình hình dịch bệnh COVID-19 dé tan công Phishing

và Malware vào các hệ thống, nhằm lừa đảo, phá hoại và đánh cắp thông tin trái

phép, đe dọa an toàn thông tin với các tổ chức, cá nhân [1]

1.2 Các hậu quả và nguyên nhân của việc mắt An toàn thông tin

Trang 15

cạnh đó, hình ảnh của doanh nghiệp bị giảm sút rất nhiều Khách hàng và đối tác

sẽ hoàn toàn mat lòng tin và không muốn hop tác cùng doanh nghiệp nữa

Tội phạm và vi phạm pháp luật trong lĩnh vực thông tin diễn biến phức tạp,

gia tăng về số vụ, thủ đoạn tỉnh vi, gây thiệt hại nghiêm trọng về nhiều mặt Các

hành vi phá hoại cơ sở hạ tầng thông tin; gây mắt an toàn, hoạt động bình thường,

vững mạnh của mạng máy tính, mạng viễn thông, phương tiện điện tử của các cơ

quan, tô chức, cá nhân và hệ thống thông tin vô tuyến dién, đã và đang gây ra

những thiệt hại lớn về kinh tế, xâm hại trực tiếp đến quyền, lợi ích hợp pháp của

các cơ quan, tô chức và cá nhân Theo kết quả đánh giá an ninh mạng do Tập đoàn

công nghệ Bkav thực hiện, trong năm 2019, chỉ tính riêng thiệt hại do virus máy

tính gây ra đối với người dùng Việt Nam đã lên tới 20.892 tỷ đồng (tương đương

902 triệu USD), hơn 1,8 triệu máy tính bi mất dữ liệu do sự lan tràn của các loại

mã độc mã hóa dữ liệu tống tiền (ransomware), trong đó có nhiều máy chủ chứa

dữ liệu

Thực tế nêu trên đã làm xuất hiện nhiều nguy cơ đe đọa đến an ninh thôngtin của Việt Nam ở cả bên trong và bên ngoài Ở trong nước, trước hết là nguy cơtụt hậu về công nghệ, lệ thuộc vào công nghệ của nước ngoài, nhất là hệ thống

mạng lõi; phần mềm hệ thống, dịch vụ thông tin của nước ngoài (nhất là dịch vụ

mạng xã hội) dẫn tới mat chủ quyền nội dung số, tài nguyên thông tin về các công

ty công nghệ nước ngoài ngày càng nghiêm trọng hơn; các đối tượng cơ hội, chốngđối chính trị trong nước, triệt dé sử dụng mạng xã hội tán phát thông tin giả, thôngtin xấu, độc nhằm gây rối nội bộ, kích động biéu tình, bạo loạn

1.2.2 Nguyên nhân

Các van dé khó khăn gặp phải trong việc bảo đảm ATTT cho thông tin và

hệ thống thông tin bao gồm: Con người chưa nhận thức đầy đủ về ATTT, việcnâng cao nhận thức cho người sử dụng về bảo mật máy tính, việc xác định chínhxác mức độ ưu tiên của ATTT trong tương quan chung với các van đề khác của

tổ chức, sự cần thiết của việc áp dụng nguyên tắc quản lý nguy cơ (Risk

Management principles), việc cập nhật kịp thời những cách thức tấn công haynhững những điểm yếu mới xuất hiện; Việc phản ứng nhanh và chính xác khi xảy

ra những vụ tấn công máy tính, việc quản lý chặt chẽ cấu hình hệ thống mạng(Configuration Management) và đặc biệt là nhận thức an ninh mạng chưa tốt

Trang 16

Cục An toàn thông tin nhận định: Phần lớn (tới 80%) nguyên nhân lộ lọtthông tin cá nhân là xuất phát từ chính sự bất cần của người dùng Nguyên nhânchủ yếu do thói quen sử dụng phần mềm không có bản quyền của người dùng

Bên cạnh đó, việc không cập nhật các bản vá mới nhất của hệ điều hành hoặc trình

duyệt cũng là nguy cơ gây mat an toàn thông tin Nguyên nhân của tình trạng trên

là do việc xuất hiện tràn lan các phần mềm thương mại được bẻ khoá, cung cấp

công khai trên Internet.

Đây là những cơ hội thuận lợi để đối tượng xấu thu thập thông tin, dữ liệu

cá nhân nhằm mục đích trục lợi Theo đó 20% nguyên nhân còn lại từ nhà cungcấp dịch vụ thường rơi vào các trường hợp như: Lỗ hồng trên các hệ thống, ứng

dung của đơn vi cung cấp dịch vụ (bao gom ca hé thong của các cơ sở giáo dục);

lỗ hồng trong chính sách bảo mật thông tin khách hàng của đơn vị cung cấp dịch

vụ, trong đó có những doanh nghiệp chủ ý đưa thông tin khách hàng cho bên thứ ba.

1.3 Giải pháp

1.3.1 Giải pháp về cơ chế, pháp lý

Cần tiếp tục ban hành các chính sách, biện pháp cụ thé đảm bảo an ninh trật

tự trong phát triển các lĩnh vực khoa học - công nghệ nhằm phòng, chống tội phạm

sử dụng công nghệ cao, trong đó có Nghị định quy định chi tiết một số điều của

Luật An ninh mạng Triển khai thực hiện có hiệu quả các văn bản pháp luật ban

hành của Thủ tướng Chính phủ như: Quyết định số 623/ QD-TTg, ngày 14/4/2016

về Chiến lược quốc gia phòng, chống tội phạm giai đoạn 2016 - 2025; Chỉ thị số

14/CT-TTg ngày 07/6/2019 về việc tăng cường bảo đảm an toàn, an ninh mang

nhằm cải thiện chỉ số xếp hạng của Việt Nam

1.3.2 Giải pháp về nâng cao nhận thức

Van dé quan trọng nhất vẫn là về nhận thức, đặc biệt là từ người đứng dau,chủ quản hệ thống thông tin Từ nhận thức được nâng cao, các yếu tố, tiêu chí về

an toàn thông tin mới được quan tâm Cần nhận thức rằng việc đầu tư cho các giải

pháp phòng chống sẽ tốt hơn nhiều so với việc giải quyết, xử lý sự cố an toàn

thông tin sau khi đã xảy ra.

Giải pháp về con người, cần nâng cao nhận thức cho mọi người về ATTT,

đào tạo, huấn luyện đội ngũ chuyên trách, thiết lập các buổi truyên tuyên, diễn tập

thực hành, tổ chức các khóa học Dé bảo dam ATTT góp phan phát triển công

12

Trang 17

nghệ thông tin cần phải triển khai quyết liệt, thực hiện đồng bộ nhiều giải pháp,cần nâng cao nhận thức về bảo đảm an ninh thông tin, đây là nhiệm vụ hết sứcquan trọng và cân thiết Tăng cường giáo dục, bồi đưỡng, nâng cao ý thức củangười dùng; chú trọng tuyên truyền, phô biến cho mọi người về các nguy cơ, yêu

tố đe dọa ATTT Từ đó, nâng cao ý thức sử dụng các dịch vụ thông tin, nhất lànguồn từ nước ngoài; nâng cao khả năng nhận biết, tiếp nhận thông tin, khả năng

tự vệ, “miễn dịch” trước những thông tin độc hại.

1.3.3 Giải pháp về kỹ thuật

Thường xuyên rà soát, phát hiện, khắc phục “lỗ héng” bảo mật trên toàn hệthống, bổ sung thiết bị, phần mềm chuyên dụng có khả năng kiểm tra, kiểm soát

an ninh, ATTT trên môi trường mạng viễn thông, internet, tần số vô tuyến điện

Triển khai thực hiện các giải pháp kỹ thuật chuyên biệt nhằm kiểm tra, phát hiệncác nguy co gây mat an ninh thông tin Hang năm, tổ chức diễn tập về phòng,

chống tan công mạng cấp quốc gia với sự tham gia của cơ quan chính phủ, cáctập đoàn kinh tế trọng yếu, những doanh nghiệp cung cấp dịch vụ viễn thông vàcác cơ quan, tô chức có liên quan, bảo đảm xử lý kịp thời các nguy cơ đe dọa gâymat ATTT

2 Dat van dé

Với tình hình phức tạp vê an toàn thông tin như vay, đã có một sô cơ sở trong và ngoài nước đưa ra các mô hình dao tạo nhăm nâng cao kiên thức co bản

về an toàn thông tin Một số mô hình đào tạo được trình bày dưới đây

2.1 Các mô hình trong và ngoài nước

2.1.1 Mô hình khoa dao tạo An toàn thông tin cho người dùng cua SmartPro

Trung tâm đào tạo SmartPro đã đưa ra thị trường một mô hình khoá học có tên “An toàn thông tin cho người dùng” với thời lượng 8 giờ học tập Khóa học

cung cấp cho học viên các kiến thức và kỹ năng cơ ban dé người dùng truy cập

Internet, duyệt Web, Mail, công cụ diệt virus một cách an toàn va bảo mật ngoài

ra trang bị kiến thức để người dùng có khả năng hiểu, nắm bat và vận dụng các

khuyến cáo của cộng đồng trên mang Internet về an ninh thông tin [2]

Mục tiêu của khoá học sẽ giúp các học viên sau khi hoàn tât khóa học, học viên có khả năng:

Trang 18

- Nhan biệt các nguy co và diém yêu mà hacker có thê lợi dung đê trục

lợi qua đó, người dùng có thê tự bảo vệ mình và chủ động phòng tránh.

- Hiéu rõ các khái niệm an toan thông tin như bảo mật, lỗ hông, tân công

mạng.

- Nang cao kỹ năng tự bảo vệ máy tính và dữ liệu trước các môi hiêm hoa

về an toàn thông tin khi sử dụng internet, các thiết bị lưu trữ ngoài

- C6 kiến thức cơ bản về bảo mật thông tin khi sử dụng máy tính: virus,

worm, backdoor, mailware, và các loại mã độc khác.

Nội dung khoá học được thực hiện hướng đến bao gồm:

- Những kiến thức cơ bản về ATTT

- An toàn khi sử dụng máy tính cá nhân, các thiết bi di động

- An toàn khi sử dụng mạng không dây

- An toàn khi sử dụng Email

- An toàn khi sử dụng mạng xã hội

- An toàn khi duyệt web và thực hiện các giao dịch trực tuyến

- Phòng tránh các cuộc tấn công dựa vào việc lừa dao (Social engineering)

Sau khi hoàn tất khóa học, học viên sẽ được cấp chứng nhận hoàn tất khóa

học theo quy định của SmartPro.

2.1.3 Khoá học Đào tạo nhận thức về bảo mật — an toàn thông tin của Udemy

Udemy là website học trực tuyến có hơn 20 triệu người dùng trên toàn thế

giới, và hiện tại Udemy được coi là nền tang học trực tuyến lớn nhất thé giới

Nhằm đáp ứng nhu cầu về đào tạo kiến thức cơ bản về an toàn thông tincho người dùng, Udemy đã cho ra mắt khoá học Đào tạo nhận thức về bảo mật —

an toàn thông tin Khóa học kéo dài khoảng 2 gid này cung cấp giải thích rõ ràng,

không mang tính kỹ thuật về An ninh thông tin và An ninh mạng

Khóa học này cung cấp các giải pháp có thể được sử dụng trong việc triển

khai Hệ thống quản lý an toàn thông tin, nó cũng cung cấp hướng dẫn về cách bảo

vệ người dùng khỏi các mối đe dọa mạng Khóa học sẽ giúp học viên hiểu biết

hoàn hảo về An toàn thông tin thông qua các ví dụ thực tế và câu hỏi trong cuộc

sông.

14

SV Vũ Thanh Xuân - DI7CQAT01-B

Trang 19

Discretionary Access Control (DAC)

The owner of the data object is allowed to define who can and

who cannot access the data

cess Control (DAC)

o —_—> Mì Specifies users/groups who can access

Hình 1.1 Nội dung khoá học an toàn thông tin trực tuyến của UdemyCác đối tượng học viên mà khoá học của Udemy hướng đến bao gồm [3]:

- Quan lý doanh nghiệp & cntt cần được đào tao nâng cao nhận thức về bảo

mật thông tin.

- Nhân viên / người dùng cuôi cân sử dụng an toàn máy tính và Internet đê

thực hiện công việc của họ.

- Bât cứ ai muôn tìm hiêu kiên thức cơ bản về bảo mật thông tin và an ninh

mạng, đang tìm kiếm một khóa học nhận thức cơ bản về bảo mật thông tin

- Khóa học này không dành cho những người đang tìm kiếm kiến thức nâng

cao / kỹ thuật / vận hành

2.2 Đánh giá

Có thể thấy hiện nay trên thị trường đã có nhiều cơ quan, tổ chức, doanhnghiệp tô chức các khoá học đào tạo nhằm nâng cao nhận thức về an toàn thông

tin cho cán bộ, nhân viên.

Tuy nhiên, đa số các khoá học đào tạo được thực hiện chỉ chú trọng đếnviệc dao tạo các kiến thức về lý thuyết thông qua tài liệu học tập Điều này khiếnviệc tiếp thu kiến thức bị hạn chế cũng như không tiếp cận được các tình huốngthực tế trong công việc và đời sống hàng ngày Một số mô hình đào tạo đã áp dụng

kịch bản tình huống thực tế trong đảo tạo thông qua các bài lab Tuy nhiên, các

bài lab này còn rât hạn chê vê sô lượng.

Trang 20

Từ các vấn đề nêu trên có thê thấy, em đã xây dựng một mô hình đào tạo

nâng cao nhận thức an toàn thông tin cho người dùng cuối với các yêu cầu cơ bản

như: đa dang bài thực hành đào tạo an toàn thông tin, kịch bản tan công cần miêu

tả các tình huống gần với thực tế đời sống công việc, setup dé dàng, không tốn tài

nguyên và dễ dàng sử dụng

2.3 Giới thiệu hệ thống

CTF là viết tắt của Capture the Flag nghĩa là cướp cờ, là tập hợp một loạtcác các bài thi khác nhau được phân ra thành nhiều chủ đề khác nhau liên quanđến an toàn thông tin Trong các bài thi có chứa Flag, tìm và submit flag lên hệthống sẽ được điểm Người chơi có thé lập nhóm va chơi theo nhóm hoặc tham

gia với tư cách cá nhân tùy quy định của từng giải CTF.

CTF người chơi không chỉ phải nhuần nhuyễn các kỹ năng phát hiện và

khai thác lỗ hồng bảo mật, mà còn phải thật sự lành nghề trong việc bảo vệ sự antoàn và duy trì tính liên tục của hệ thông mạng trước các dot tan công dồn dập từbên ngoài Có thé thay qua một số lợi ích, tác dụng khi tham gia hệ thống:

- Được học hỏi các kiến thức cần thiết, cập nhật về securIty và hacking

- Đưa những kiến thức chúng ta được học lý thuyết (ở trường, sách vở, báochí, hội thảo ) ra với thực tế để hiểu đúng bản chất của vấn đề như: (hiểu cách

16

SV Vũ Thanh Xuân - DI7CQAT01-B

Trang 21

thức reverse engineering một phần mềm, tại sao các phần mềm có thé bị crack;tại sao có thé xâm nhập vào một máy tính; các kỹ thuật khai thác ứng dụng web;Mật mã — mã hóa được áp dụng như thé nào trong thực tế; forensic — điều tra phần

tích truy dấu vết được thực hiện như thế nao )

- Các bài CTF đòi hỏi người chơi cần có rất nhiều kiến thức sâu về không

chỉ security mà còn kỹ năng lập trình, mạng, nên đây là cơ hội giúp chúng ta củng cô, nâng cao các kỹ năng đang có va bô sung các kỹ năng mới.

- Các cuộc thi CTF thường cập nhật các thông tin về lỗ hổng bảo mật, các

kỹ thuật mới trong hacking va security Tham gia làm các bài thi là cách giúp

chúng ta nắm được các van đề đó một cách cụ thé, đúng bản chat

- Qua mỗi lần làm CTF người chơi có thé biết được các kiến thức mìnhđang còn thiếu, cần bé sung học hỏi thêm

- Rèn luyện tính sáng tạo, tăng cường khả năng tư duy, giải quyết vấn đề

Hệ thống được mô phỏng dựa trên hình thức CTF gồm nhiều bài lab ở các lĩnh

vực và mức độ khác nhau Người dùng chính của hệ thống được chia thành 2

nhóm vai trò chính: Admin và Học viên

e Admin có vai trò quan lý nội dung hệ thống bài lab, quản lý danh mục phân

loại bài lab, xem thống kê tài khoản học viên, xem chỉ tiết các nội dung học

viên đã thực hiện

e Học viên: xem danh sách các bài lab, thực hiện bai lab theo hướng dan chi

tiết của Admin, xem thống kê bài làm của mình đã thực hiện

Trang 22

CHƯƠNG 2: PHAN TÍCH THIET KE HE THONG

2.1 Mô tả nhiệm vu của các tác nhân sử dung hệ thống

Một tác nhân (actor) là một người hay một đối tượng giữ vai trò nào đótrong nghiệp vụ như một bộ phận hay một hệ phần mềm riêng biệt

- Admin: là người quan trị viên hệ thống, người quản lý và theo dõi hoạt

động của hệ thống Quản trị viên phải bắt buộc có tài khoản đăng nhập thành công

vào hệ thống:

e Quản lý các bài lab thực hành: thêm mới, chỉnh sửa, xóa bai lab

e Thông kê tài khoản học viên: admin có thê xem được thông kê từng

tài khoản của học viên, check xem học viên đã submit bao nhiêu bài

và có thể check được log mỗi bài

e Quản lý danh mục phân loại các bài thực hành: thêm mới, chỉnh sửa

và xóa

- Học viên: là người dùng cuối hệ thông, có thé thực hiện thao tác các chức

năng sau:

e Dang ký thành viên hệ thong

e Xem danh sách các bai lab

e Tìm kiếm các bai lab theo tên, theo phân loại bài lab

e Xem hướng dan chỉ tiết, yêu cầu và thực hiện các bài lab

e Xem log các bai lab đã thực hiện

e Xem trạng thái các bai lab

e Thống kê các bài lab đã làm, xem chỉ tiết log 1 bai lab (thời gian thực

hiện, cờ)

2.2 Xác định yêu cầu hệ thống

2.2.1 Yêu cầu chức năng

- Đăng ký tài khoản:

Người dùng thực hiện điền đầy đủ form đăng ký và thực hiện click đăng

ký, hệ thong sẽ kiểm tra validate thông tin, nếu đúng sẽ hién thị yêu cầu xác nhận

18

Trang 23

kích hoạt email, nếu sai sẽ hiển thị thông báo sai và người dùng thực hiện điền lại

thông tin

- Đăng nhập hệ thống:

Admin: đăng nhập vào hệ thống với tài khoản có săn Hệ thống sẽ kiểm tra

thông tin đăng nhập, nêu đúng sẽ hiển thị giao diện danh sách Lab ảo ATTT, nếu

sai sẽ hiển thị thông báo “Tên tài khoản hoặc mật khẩu chưa chính xác"

Học viên: sau khi kích hoạt thành công học viên sử dụng email va mật khẩuminh đã đăng ký dé đăng nhập vào hệ thống Hệ thống sẽ kiểm tra thông tin đăng

nhập, nếu đúng sẽ hiển thị giao diện danh sách Lab ảo ATTT, nếu sai sẽ hiển thi

thông báo “Tên tài khoản hoặc mật khẩu chưa chính xác"

- Quan lý Lab ao ATTT:

Admin xem danh sách các bai lab dui dang Listview Admin có thé thêm

mới, chỉnh sửa thông tin hoặc xóa một bài lab bất kỳ

- Quản lý thống kê danh mục loại bài lab:

Admin xem danh sách danh mục các loại bài lab dưới dạng bảng, thêm mới,

chỉnh sửa thông tin, xóa loại bài lab bất kỳ

- Thống kê tài khoản:

Admin xem danh sách thống kê tài khoản học viên dưới dạng table Admin

có thé xem được chỉ tiết các bài lab đã làm của học viên bat kỳ và xem được chitiết lịch sử bài lab sinh viên đã làm

- Thực hành Lab:

Học viên có thé xem danh sách các bài lab dưới dạng Listview Học viên

có thê xem hướng dẫn chỉ tiết 1 bài lab, có thể xem chỉ tiết yêu cầu, hình ảnh minh

họa, mô tả bai lab, lịch sử bài lab đó va sau đó thực hiện submit flag.

- Thống kê lịch sử làm bài:

Học viên xem được lịch sử các bài lab mình đã submit và có thể xem đượcchỉ tiết log lịch sử làm bài của 1 bài lab bat kỳ đã làm

Trang 24

- Tìm kiếm bài lab theo tên, phân loại bài lab theo loại:

Người dùng (Admin + Học viên) có thé tìm kiếm bai lab theo tên và phân

loại bài lab theo danh mục bài lab ở mục Quản lý lab ảo A TT đối với admin

hoặc thực hành lab đối với học viên

2.1.2 Yêu cầu phi chức năng

- Giao diện:

Giao diện hiện đại, thân thiện với người dùng, màu sắc hài hòa, dé nhìn,chữ hiển thị to, rõ ràng

- Hiệu năng:

Cơ sở dữ liệu phải được cập nhật theo thời gian thực Tốc độ truy cập vào

hệ thống, tốc độ chuyền dời giữa các trang không được quá chậm

- Bảo mật:

Mật khâu người dùng phải được mã hóa trong CSDL Phân quyền người sử

dụng Dữ liệu lưu trong CSDL phải chính xác, không bị sai lệnh, mat mát CSDLflag các bài lab được băm dé đảm bao tính bí mật, toàn ven của CSDL bài lab

- Tính khả dụng:

Hệ thong phải hoạt động ôn định trên các loại thiết bị khác nhau như máy

tính, điện thoại thông minh.

2.3 Sơ đồ luồng nghiệp vụ hệ thống

Sau khi khảo sát thực trạng và nghiên cứu tài liệu, đề thể hiện các nghiệp

vụ từ quá trình đăng ký, đăng nhập, thực hiện các bài lab và các tác vụ trong quá

trình quản lý hệ thông em đã vẽ được các sơ đô luông sau:

20

Trang 25

- Sơ đồ luồng nghiệp vụ admin quản lý danh mục phân loại

Trang 26

- Sơ đồ luéng nghiệp vụ admin thông kê tài khoản học viên

Trang 27

- Sơ đồ luéng nghiệp vụ admin thông kê tài khoản học viên

Trang 28

- Sơ do luong nghiệp vụ học viên thực hiện bài lab

Học viên

24

Trang 29

- So đồ luéng nghiệp vụ học viên thông kê bài lab đã làm

Hình 2.5 Sơ đô luông nghiệp vụ học viên thực hiện bài lab

Trang 30

- So dé luéng nghiệp vụ học viên đăng ký tài khoản

Trang 31

- So dé luông nghiệp vụ người dùng đăng nhập hệ thống

Trang 32

Kiểm tra thông tin đăng ký

Ghi nhận thông tin đăng ký Gửi email kích hoạt

Xác nhận kích hoạt

Đăng nhập Thực hiện đăng nhập tài khoản vào hệ thông

Hệ thông kiêm tra thông tin

Hệ thông thông báo Thêm mới bai lab Nhập tên bài lab

Chọn ảnh minh họa bài lab

Nhập mô tả bài lab Nhập hướng dẫn bài lab Chọn loại bài lab

Nhập cờ bài lab Chọn Thêm mới

Hệ thống kiểm tra thông tin

Hệ thống ghi nhận bản ghi mới

Hệ thống làm mới dit liệu

Chỉnh sửa bài lab Chọn bài lab cân chỉnh sửa

Nhập thông tin cần chỉnh sửa

Hệ thống cập nhật thông tin mới

Hệ thống làm mới dữ liệu

Xóa bài lab Chọn bài lab cần xóa

Hệ thống hién thị yêu cầu xác nhận xóa

Chọn xác nhận xóa

Hệ thống ghi nhận xóa

Xem hướng dẫn bài lab Chọn bài lab muốn xem

Chọn nút “Hướng dân”

Hiên thi chi tiét hướng dan

Thực hành làm bai lab Chọn bài lab thực hành

Chọn nút “Làm bài”

Hệ thống hiển thị chi tiết gồm: Anh minh họa,

Mô tả, nút xem hướng dẫn, ô nhập flag và nút

Sumbit Nhập flag Chon submit

Hệ thống ghi nhận kiểm tra kết qua

Hệ thống hiền thi thông báo

Chọn tìm kiêm

Hệ thông ghi nhận tìm kiêm

28

Trang 33

Hệ thong hiên thị kết quả tìm kiếm

Phân loại bài lab theo từng

loại

Chọn loại bài lab muôn phân loại theo

Hệ thông ghi nhận phân loại

Hệ thông hiên thị kêt quả tìm kiêm

10 Thêm mới loại bài lab Nhập tên loại bài lab

Chọn click Thêm mới

Hệ thống ghi nhận thêm mới

Hệ thống cập nhật làm mới dữ liệu

11 Chỉnh sửa loại bai lab Chọn loại bài lab cân chỉnh sửa

Nhập thông tin cần chỉnh sửa

Hệ thống kiểm tra thông tin chỉnh sửa

Hệ thống ghi nhận chỉnh sửa

Hệ thống cập nhật làm mới dữ liệu

12 Xóa loại bài lab Chọn loại bai lab can xóa

Hệ thống hiển thị yêu cầu xác nhận xóa

Hệ thông hién thị danh sách tài khoản học viên

Chọn xem chỉ tiết lịch sử làm bài của học viên

Hệ thống hiển thị danh sách các bài lab đã làm

của học viên Chọn xem lịch sử log 1 bai lab của sinh viên

Hệ thống hiên thị danh sách log bài lab

viên Chọn xem lịch su log của 1| bài

Hệ thống hiển thị danh sách log bài lab

Trang 34

Tiên điêu kiện Khách hàng truy cập vào hệ thống

Đảm bảo tối thiểu Hệ thong cho phép người dùng đăng ký lại

Đảm bảo thành công | Đăng ký hệ thông thành công

Kích hoạt Người dùng chon chức năng đăng ký trên giao diện trang

chủ

Chuỗi sự kiện chính:

1 Người dùng chọn chức năng đăng ký trên giao diện trang chủ của hệ thống

2 Hệ thống chuyền sang giao diện trang đăng ký với form đăng ký

Trang 35

5 Nhập email, đơn vi công tác

4 Hệ thống kiêm tra thông tin email đăng ký

5 Hệ thống thông báo kết quả đăng ký thành công và lưu thông tin khách

hàng vào cơ

Ngoại lệ:

5.1: Người dùng bỏ trống tên đăng nhập hoặc mật khâu

5.1.1: Hệ thống thông báo lỗi và yêu cầu nhập đầy đủ thông tin

5.2: Người dùng nhập tên đăng nhập và mật khâu sai

5.2.1: Hệ thống thông báo lỗi và yêu cầu nhập lại

5.3: Người dùng đăng nhập tài khoản không tồn tại

5.3.1: Hệ thống thông báo lỗi và yêu cầu đăng ký

Bảng 2.3: Đăng nhập hệ thong

Tên ca sử dụng Đăng nhập hệ thông

Tác nhân chính Admin, Học viên

Tiên điêu kiện Người dùng đã có tài khoản

Đảm bảo tối thiểu Hệ thống cho phép người dùng đăng nhập lại

Đảm bảo thành công | Cho phép người dùng đăng nhập hệ thông thành công

Kích hoạt Người dùng vào link hệ thống

1 Người dùng vào link website

Hệ thong hién thi man dang nhap

Người dùng nhập tài khoản gồm email vài mật khâu

Người dùng click nút đăng nhập

Hệ thông kiêm tra email và mật khâu

tên người dùng trên phần header của trang chủ

Ngoại lệ:

Trang 36

5.1: Người dùng bỏ trông tên đăng nhập hoặc mật khẩu

5.1.1: Hệ thống thông báo lỗi và yêu cầu nhập đầy đủ thông tin

5.2: Người dùng nhập tên đăng nhập và mật khâu sai

5.2.1: Hệ thống thông báo lỗi và yêu cầu nhập lại

5.3: Người dùng đăng nhập tài khoản không tôn tại

5.3.1: Hệ thống thông báo lỗi và yêu cầu đăng ký

Bảng 2.4: Admin thêm mới bài lab

Tên ca sử dụng Admin thêm mới bài lab

Tac nhân chính Admin

Tiên điêu kiện Người dùng đã đăng nhập thành công vào hệ thông

Đảm bảo tôi thiêu | Hệ thông cho phép người dùng thêm mới bài lab lại

Đảm bảo thành công | Cho phép người dùng thêm mới bài lab hệ thống thành

công Kích hoạt Người dùng chọn chức năng Quản lý bài lab

1 Người dùng đăng nhập thành công vào hệ thống, chọn “Quản lý bài

Lab’ ở cột menu

2 Hệ thống danh sách các bai lab dưới dang Listview, nút ‘Thém mới”

và cột tìm kiếm phân loại bài lab

3 Người dùng click nút “Thêm mới” kích hoạt hiển thị form thêm mới

Form thêm mới gồm:

e Ô input nhập tên bài lab

¢ Ô upload ảnh minh họa

e O input textaera nhập mô ta

e Ô select lựa chọn loại bai lab

e Onhap flag

e Button Thêm mới

4 Người điền đầy đủ thông tin, click nút “Thêm mới”

32

Tiêu đề	Xây Dựng Hệ Thống Thực Hành Một Số Công Cụ Đảm Bảo Attt Dựa Trên Mô Phỏng Thi Ctf
Tác giả	Vũ Thanh Xuân
Người hướng dẫn	TS. Ngô Quốc Dũng
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Chuyên ngành	Công nghệ thông tin
Thể loại	Đồ án tốt nghiệp
Năm xuất bản	2021
Thành phố	Hà Nội

Định dạng
Số trang	73
Dung lượng	18,98 MB