Nghiên cứu và triển khai bảo mật hệ thống Elearning cho Trường Đại học Điện lực

Lê Hoàn – người đã trực tiếp hướng dẫn và định hướng giúp em có thể nhanh chóng tiếp cận, nắm bắt kiến thức và hoàn thành đề tài “Nghiên cứu và triển khai bảo mật hệ thống E-learning cho

Nền kinh tế thế giới đang bước vào giai đoạn kinh tế tri thức Vì vậy, việc nâng cao hiệu quả chất lượng giáo dục, đào tạo sẽ là nhân tố quyết định sự tồn tại và phát triển của mỗi quốc gia, công ty, gia đình và cá nhân Hơn nữa, việc học tập không chỉ

bó gọn trong việc học phổ thông, học đại học mà là học suốt đời E-learning chính là một giải pháp hữu hiệu giải quyết vấn đề này

Cùng với sự phát triển mạnh mẽ của hệ thống E-learning thì vấn đề bảo vệ an toàn và toàn vẹn dữ liệu cho hệ thống này cũng được ra đời và chú trọng phát triển Điều này dẫn đến nhu cầu lớn về xây dựng bảo mật cho hệ thống E-learning Xây dựng bảo mật cho hệ thống E-learning hiện đang phát triển và có tiềm năng để đáp ứng nhu cầu giảng dạy và học tập của mọi người

Hiện nay Trường Đại học Điện lực cũng đã đưa hình thức học tập E-learning vào trong giảng dạy Bắt đầu từ năm 2012 với 1 môn đến nay đã có 5 môn được đưa vào giảng dạy trên hệ thống E-learning và sẽ còn tiếp tục phát triển trong một vài năm tới Khi hệ thống phát triển càng lớn thì vấn đề bảo mật càng được chú trọng trong các vấn

đề phát triển hàng đầu của hệ thống E-learning

Với đề tài này em xin được trình bày về một số hình thức tấn công và các yêu cầu bảo mật cho hệ thống E-learning, từ đó đưa ra một số phương pháp bảo vệ và nâng cao chất lượng hệ thống, đảm bảo duy trì hệ thống hoạt động liên tục và ổn định

Tên đề tài: “Nghiên cứu và triển khai bảo mật hệ thống E-learning cho Trường Đại học Điện lực”.

Chương 1: Giới thiệu tổng quan về hệ thống E-learning.

Chương 2: Các vấn đề bảo mật cho hệ thống E-learning

Chương 3: Các vấn đề bảo mật cho Moodle

Chương 4: Triển khai mô hình bảo mật hệ thống E-learning cho Trường Đại học Điện lực

Trong quá trình thực tập này, em luôn nhận được sự hướng dẫn, chỉ bảo tận tình của ThS Lê Hoàn – người đã trực tiếp hướng dẫn và định hướng giúp em có thể nhanh chóng tiếp cận, nắm bắt kiến thức và hoàn thành đề tài “Nghiên cứu và triển khai bảo mật hệ thống E-learning cho Trường Đại học Điện lực”.

Em xin gửi lời cảm ơn tới khoa Công Nghệ Thông Tin - Trường Đại học Điện lực đã tạo điều kiện thuận lợi cho em trong suốt quá trình học tập tại trường

Em xin gửi lời cảm ơn tới toàn thể thầy cô giáo trong khoa Công Nghệ Thông Tin - Trường Đại học Điện lực đã tận tình giảng dạy và truyền đạt cho em những kiến thức, kinh nghiệm quý báu trong suốt những năm học vừa qua

Xin cảm ơn những bạn bè trong tập thể lớp D4-CNTT cùng những người bạn trong khoa Công Nghệ Thông Tin đã chung vai sát cánh bên em vượt qua những khó khăn, thử thách của quãng đời sinh viên, cùng nhau vững bước trên con đường học tập đầy gian nan, vất vả

Cuối cùng em xin gửi lời cảm ơn tới bố mẹ, gia đình của em, những người luôn miệt mài chăm lo, an ủi, động viên em những lúc khó khăn và luôn giành cho em những tình cảm đặc biệt nhất

Em xin chân thành cảm ơn !

Hà nội, ngày 24 tháng 12 năm 2013

Sinh viên thực hiện

Trần Văn Hải

LỜI MỞ ĐẦU

Trang

LỜI MỞ ĐẦU 1

LỜI CẢM ƠN 3

MỤC LỤC 4

DANH MỤC HÌNH ẢNH 8

DANH MỤC BẢNG BIỂU 10

DANH MỤC TỪ VIẾT TẮT 11

CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ HỆ THỐNG ELEARNING 1

CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ HỆ THỐNG ELEARNING 1

1.1 Tổng quan về E-learning 1

Hình 1.1: Sự phát triển của truyền thông 1

Hình 1.2: Mô hình hệ thống E-learning 2

1.2 Lựa chọn công nghệ áp dụng vào E-learning 5

1.3 Kết luận chương 1 9

CHƯƠNG 2: CÁC VẤN ĐỀ BẢO MẬT CHO HỆ THỐNG E-LEARNING 10

CHƯƠNG 2: CÁC VẤN ĐỀ BẢO MẬT CHO HỆ THỐNG E-LEARNING 10

1.4 Các yêu cầu bảo mật đối với hệ thống E-Learning.[3] 10

1.5 Các kiểu tấn công đối với hệ thống Elearning 11

Hình 2.1: Môi trường E-learning 12

Kẻ tấn công: Trong thực tế, rất khó để trả lời ai là kẻ có khả năng tấn công hệ thống e-learning và khả năng của họ có được Kẻ tấn công có thể có nhiều dạng khác nhau Một số trong số họ có thể tấn công được Những người khác có thể là không đủ năng lực để sử dụng hợp pháp hệ thống Kẻ tấn công có hành động cố ý được chia thành nhiều loại: hacker, cracker 12 Tài nguyên: Một tài nguyên có thể là bất kỳ yếu tố nào của hệ thống e-learning cung cấp các chức năng quan trọng Bất kỳ mối đe dọa có thể được xác định một phần là các tài sản mà kẻ tấn công muốn có được khi truy cập vào Tất nhiên mục

vệ chúng Tuy nhiên, để bảo vệ tài nguyên trước hết phải xác định chúng Đối với các hệ thống e-learning nói chung, các tài nguyên sau đây có thể là mục tiêu của

kẻ tấn công: 13

1.6 Phương pháp tiếp cận mẫu mối đe dọa AICA cho hệ thống E-learning 16

1.7 Tấn công từ chối dịch vụ - DDos 18

Hình 2.2: Tấn công ddos 18

1.8 Kết luận chương 2 20

CHƯƠNG 3: CÁC VẤN ĐỀ BẢO MẬT CHO MOODLE 21

CHƯƠNG 3: CÁC VẤN ĐỀ BẢO MẬT CHO MOODLE 21

1.9 Các cơ chế bảo mật hiện tại của moodle 21

Moodle đưa ra các quy định về bảo vệ tài khoản trên hệ thống: 21

Các bài giảng đều được đóng gói dưới dạng chuẩn SCORM làm cho tất cả các nội dung phù hợp với một mức độ kỹ thuật nào đó để xử lý tốt hơn Chuẩn đóng gói giúp cho nội dung của các bài học, môn học … không phụ thuộc vào hệ thống quản trị nội dung học tập 21

1.10 Công nghệ Clustering [6] 22

Hình 3.1: Giới thiệu clustering 22

Hình 3.2: Hệ thống cluster có 2 ứng dụng hoạt động song song trên mỗi node .24 Hình 3.3: Hai hệ thống cluster độc lập chứa 2 ứng dụng khác nhau 25

Hình 3.4: Hai node Active được dự phòng bởi node Passive 25

1.11 Sử dụng công nghệ Load balancing dựa trên HAProxy và Keepalived 27

Web server 27

Database Server 27

Proxy server (Load Balancing) 27

Hình 3.5: Mô hình giải pháp sẵn sàng cao và cân bằng tải cho website 28

Hình 3.6: Mô hình 1 server – load balancing 30

Hình 3.7: Mô hình 2 server – load balancing 31

Cài epel : 33

Cấu hình haproxy : sửa nội dung file 34

Hình 3.8: Sửa file cấu hình HAProxy 34

Hình 3.9: Cài đặt Keepalived 35

Hình 3.10: Cài đặt HAProxy 35

1.12 Đồng bộ dữ liệu giữa hai Server 35

Hình 3.11: Dữ liệu cần đồng bộ 36

Hình 3.12: Đăng nhập bằng tài khoản root 37

Hình 3.13: Tạo thêm user đăng nhập 37

Hình 3.14: Kiểm tra thời điểm bắt đầu của slave 37

Hình 3.15: Sửa nội dung file my.cnf trên server2 38

Trong đó: 39

1.13 Bảo mật thông qua file cấu hình csf 40

1.14 Cài đặt Mod Security 43

Hình 3.16: Mô hình tổng quan của ModSecurity 43

Hình 3.17: Quá trình xử lý các request của Apache và ModSecurity 44

1.15 Kết luận chương 3 45

CHƯƠNG 4: TRIỂN KHAI MÔ HÌNH BẢO MẬT HỆ THỐNG ELEARNING CHO TRƯỜNG ĐẠI HỌC ĐIỆN LỰC 46

CHƯƠNG 4: TRIỂN KHAI MÔ HÌNH BẢO MẬT HỆ THỐNG ELEARNING CHO TRƯỜNG ĐẠI HỌC ĐIỆN LỰC 46

1.16 Khái quát về Trường Đại học Điện lực 46

1.17 Các yêu cầu về cơ sở hạ tầng 46

Các yêu cầu đối với Moodle như sau: 48

1.18 Kết quả thực nghiệm 48

Hình 4.1: Hệ thống khi ổn định 48

Hình 4.2: Hệ thống khi bị tấn công 48

Hình 4.3: Cài đặt HAProxy và Keepalived 49

Hình 4.5: Khi server thứ nhất gặp sự cố 50

Hình 4.6: Khi server thứ hai gặp sự cố 50

Hình 4.7: Cơ sở dữ liệu trên server thứ nhất 51

Hình 4.8: Cơ sở dữ liệu trên server thứ hai 51

Hình 4.9: Tạo thêm cơ sở dữ liệu trên server thứ nhất 52

Hình 4.10: Xóa bảng trên server thứ 2 52

Hình 4.11: Cập nhật lại cơ sở dữ liệu trên server thứ nhất 53

Hình 4.12: Nội dung website trên server thứ nhất 53

Hình 4.13: Nội dung website trên server thứ nhất 2 53

Hình 4.14: Các file – tệp trên 2 server khi đã đồng bộ 54

Hình 4.15: Thay đổi nội dung website trên server thứ nhất 54

Hình 4.16: Nội dung website trên server thứ 2 bị thay đổi 55

1.19 Kết luận chương 4 55

KẾT LUẬN 56

KẾT LUẬN 56

TÀI LIỆU THAM KHẢO 57

TÀI LIỆU THAM KHẢO 57

Hình 1.1:Sự phát triển của truyền thông 1

Hình 1.2:Mô hình hệ thống E-learning 2

Hình 2.1:Môi trường E-learning 12

Hình 2.2:Tấn công ddos 18

Hình 3.1:Giới thiệu clustering 22

Hình 3.2:Hệ thống cluster có 2 ứng dụng hoạt động song song trên mỗi node 24

Hình 3.3:Hai hệ thống cluster độc lập chứa 2 ứng dụng khác nhau 25

Hình 3.4:Hai node Active được dự phòng bởi node Passive 25

Hình 3.5:Mô hình giải pháp sẵn sàng cao và cân bằng tải cho website 28

Hình 3.6:Mô hình 1 server – load balancing 30

Hình 3.7:Mô hình 2 server – load balancing 31

Hình 3.8:Sửa file cấu hình HAProxy 34

Hình 3.9:Cài đặt Keepalived 35

Hình 3.10:Cài đặt HAProxy 35

Hình 3.11:Dữ liệu cần đồng bộ 36

Hình 3.12:Đăng nhập bằng tài khoản root 37

Hình 3.13:Tạo thêm user đăng nhập 37

Hình 3.14:Kiểm tra thời điểm bắt đầu của slave 37

Hình 3.15:Sửa nội dung file my.cnf trên server2 38

Hình 3.16:Mô hình tổng quan của ModSecurity 43

Hình 3.17:Quá trình xử lý các request của Apache và ModSecurity 44

Hình 4.1:Hệ thống khi ổn định 48

Hình 4.2:Hệ thống khi bị tấn công 48

Hình 4.3:Cài đặt HAProxy và Keepalived 49

Hình 4.4:Khi 2 server cùng hoạt động bình thường 49

Hình 4.5:Khi server thứ nhất gặp sự cố 50

Hình 4.7:Cơ sở dữ liệu trên server thứ nhất 51

Hình 4.8:Cơ sở dữ liệu trên server thứ hai 51

Hình 4.9:Tạo thêm cơ sở dữ liệu trên server thứ nhất 52

Hình 4.10:Xóa bảng trên server thứ 2 52

Hình 4.11:Cập nhật lại cơ sở dữ liệu trên server thứ nhất 53

Hình 4.12:Nội dung website trên server thứ nhất 53

Hình 4.13:Nội dung website trên server thứ nhất 2 53

Hình 4.14:Các file – tệp trên 2 server khi đã đồng bộ 54

Hình 4.15:Thay đổi nội dung website trên server thứ nhất 54

Hình 4.16:Nội dung website trên server thứ 2 bị thay đổi 55

1.1.1.1.1.1.Các trường Đại học trên thế giới đang áp dụng E-learning vào trong giảng dạy 3

2.1.1.1.1.1.Bảng tóm tắt các khía cạnh AICA và các cuộc tấn công độc lập 17

API Application programming

Telephone

CSF Config Server Security

DDos Distributed Denial of

Scalability

Reliability-Availability-DHCP Dynamic Host Configuration

HTML Hyper Text Markup

Secure Environment

IBM International Business

ISO International Organization

WebSocket Application Messaging Protocol

LCMS Liquid chromatography–

eXtensible Markup Language

LFD Laboratory for Fluorescence

LMS Learning management

MBA Master of Business

Administration

CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ HỆ THỐNG ELEARNING

1.1 Tổng quan về E-learning

1.1.1 Giới thiệu

Trong xã hội toàn cầu hóa ngày nay, học tập là việc cần làm trong suốt cuộc đời không chỉ để đứng vững trong thị trường việc làm đầy cạnh tranh mà còn giúp nâng cao kiến thức văn hóa và xã hội của mỗi người Chúng ta cần học những kỹ năng mới, đồng thời bồi dưỡng nâng cao những kỹ năng sẵn có và tìm ra những cách thức mới và nhanh hơn để học những kỹ năng này

Nền kinh tế thế giới đang bước vào giai đoạn kinh tế tri thức Vì vậy, việc nâng cao hiệu quả chất lượng giáo dục, đào tạo sẽ là nhân tố sống còn quyết định sự tồn tại

và phát triển của mỗi quốc gia, công ty, gia đình và cá nhân Hơn nữa, việc học tập không chỉ bó gọn trong việc học phổ thông, học đại học mà là học suốt đời E-learning chính là một giải pháp hữu hiệu giải quyết vấn đề này

E-Learning (viết tắt của Electronic Learning), E-learning là một thuật ngữ dùng

để mô tả việc học tập và đào tạo dựa trên công nghệ thông tin và truyền thông [1]

Hình 1.1: Sự phát triển của truyền thông

E-learning là một thuật ngữ thu hút được sự quan tâm, chú ý của rất nhiều người hiện nay Tuy nhiên, mỗi người hiểu theo một cách khác nhau và dùng trong các ngữ cảnh khác nhau Do đó, chúng ta sẽ tìm hiểu các khía cạnh khác nhau của E-learning Điều này sẽ đặc biệt có ích cho những người mới tham gia tìm hiểu lĩnh vực này

E-learning là một phương pháp hiệu quả và khả thi, tận dụng tiến bộ của phương tiện điện tử, internet để truyền tải các kiến thức và kĩ năng đễn những người học là cá nhân và tổ chức ở bất kì nơi nào trên thế giới tại bất kì thời điểm nào Với các công cụ đào tạo truyền thông phong phú, cộng đồng người học online và các buổi thảo luận trực tuyến, E-learning giúp mọi người mở rộng cơ hội tiếp cận với các khóa học và đào tạo nhưng lại giúp giảm chi phí.

Mô hình hệ thống E-learning: bao gồm 3 phần chính

Hình 1.2: Mô hình hệ thống E-learning

- Hạ tầng truyền thông và mạng: Bao gồm các thiết bị đầu cuối người dùng (học viên), thiết bị tại các cơ sở cung cấp dịch vụ, mạng truyền thông,

- Hạ tầng phần mềm: Các phần mềm LMS, LCMS, Authoring Tools (Aurthorware, Toolbook, )

- Nội dung đào tạo (hạ tầng thông tin): Phần quan trọng của E-learning là nội dung các khoá học, các chương trình đào tạo, các courseware

1.1.2 Hiện trạng phát triển và sử dụng E-Learning trên thế giới

E-Learning, hình thức học trực tuyến rất phổ biến ở các nước có nền công nghệ phát triển, với nhiều môn học cũng như trung tâm đào tạo; tại Mỹ: Khoảng 80% trường ĐH sử dụng phương pháp đào tạo trực tuyến, có khoảng 35% các chứng chỉ trực tuyến được chính thức công nhận; tại Singapore: Khoảng 87% trường Đại học sử dụng phương pháp đào tạo trực tuyến; tính đến năm 2005, tại Hàn Quốc đã có 9 trường Đại học trực tuyến trên mạng

Hiện nay có nhiều công ty lớn đầu tư vào eLearning, nổi bật là các công ty như SAP, Click2Learn, Docent, Saba, IBM, Oracle, NTT, NEC Năm 2002, thị trường này

đã đạt 13,5 tỷ USD, năm 2006, eLearning đạt tới 100 tỷ USD Người ta dự tính, đến năm 2010 eLearning trên toàn cầu đạt 500 tỷ USD Ở các nước công nghiệp phát triển, điển hình là Mỹ, lĩnh vực này đang phát triển rất nhanh Thị trường eLearning ở Mỹ đã đạt 10,3 tỷ USD vào năm 2002 và đạt 83,1 tỷ USD vào năm 2006 Tại châu Á, thị trường này tăng trưởng 25% mỗi năm (đạt 6,2 tỷ USD) [2]

1.1.1.1.1.1 Các trường Đại học trên thế giới đang áp dụng E-learning vào trong

giảng dạy

1.1.3 Hiện trạng phát triển và sử dụng E-Learning tại Việt Nam

Các nhà lãnh đạo cấp cao của Việt Nam khẳng định rằng, giáo dục là một trong những ngành được ưu tiên cao nhất và được hưởng các nguồn đầu tư cao nhất nhằm

nâng cao chất lượng giáo dục trong những năm tới Với nỗ lực này, Việt Nam đã quyết định kết hợp công nghệ thông tin vào tất cả mọi cấp độ giáo dục nhằm đổi mới chất lượng học tập trong tất cả các môn học và trang bị cho lớp trẻ đầy đủ các công cụ và

kỹ năng cho kỷ nguyên thông tin

Học trực tuyến (eLearning) là phương pháp học có chi phí thấp, khả năng đem lại

cơ hội học tập bình đẳng cho tất cả mọi người ở bất kỳ địa điểm nào Chi phí sinh hoạt tại các khu vực thành thị nhỏ thấp hơn nhiều so với tại các thành phố lớn như Hà Nội hoặc Thành phố Hồ Chí Minh và giải pháp đào tạo trực tuyến là một giải pháp hữu hiệu để phổ cập giáo dục cho các vùng như vậy Vậy, giải pháp đào tạo trực tuyến (eLearning) có thể xoá bỏ khoảng cách giữa những người dân sống tại thành phố lớn với những người dân sống tại những vùng khó khăn về điều kiện kinh tế và xã hội về quyền được học tập Tuy nhiên, ở Việt Nam, hình thức đào tạo này còn khá mới lạ đối với mọi người và cũng chỉ tồn tại ở hai lĩnh vực đó là tiếng Anh và Tin học

Trong thời gian từ năm 2006, eLearning đã có nhiều khởi sắc, một phần là được

sự quan tâm của chính phủ, một phần là sự nỗ lực của các doanh nghiệp CNTT nghiên cứu Elearning để đẩy mạnh nền giáo dục nước nhà Điển hình năm 2007, trong cuộc thi danh giá của ngành CNTT – “Nhân tài đất Việt” do Bộ Giáo dục và Đào tạo, Bộ Khoa học và Công nghệ, Bộ Thông tin và Truyền thông đồng tổ chức đã trao tặng giải Nhất cho giải pháp về Elearning

Với giải pháp này, đã triển khai thành công cho một số Bộ, Ngành, Tổng công ty lớn và các trường Đại học

Các trường Đại học trong nước đang áp dụng E-learning vào giảng dạy:

- Khoa Công nghệ Thông tin & Truyền thông - Đại học Cần Thơ

- Khoa quản trị kinh doanh - Đại học Đà Nẵng

- Khoa CNTT- Đại Học Khoa Học Tự Nhiên - Đại học quốc gia TPHCM

- Đại học Mở Bán công TPHCM

- Viện Khoa học và Công nghệ - Phân viện TPHCM

- Ho Chi Minh International School

- Trung tâm Đào tạo Từ xa - Đại học Hà Nội

- Trung tâm Tin học - Bộ GD & DT

- Khoa Trung Quốc - Đại học Hà Nội

- Đại học Công Nghệ - Đại học quốc gia Hà Nội.

- Khoa quản trị và du lịch - Đại học Hà Nội

1.1.4 Lợi ích của đào tạo trực tuyến

Đào tạo mọi lúc mọi nơi: Truyền đạt kiến thức theo yêu cầu, thông tin đáp ứng

nhanh chóng Học viên có thể truy cập các khoá học bất kỳ nơi đâu như văn phòng làm việc, tại nhà, tại những điểm Internet công cộng, 24 giờ một ngày, 7 ngày trong tuần Đào tạo bất cứ lúc nào bất cứ nơi đâu họ muốn

Tiết kiệm chi phí: Giúp giảm khoảng 60% chi phí bao gồm chi phí đi lại và chi

phí tổ chức địa điểm Học viên chỉ tốn chi phí trong việc đăng kí khoá học và có thể đăng kí bao nhiêu khoá học mà họ cần

Tiết kiệm thời gian: giúp giảm thời gian đào tạo từ 20-40% so với phương pháp

giảng dạy truyền thống do rút giảm sự phân tán và thời gian đi lại

Uyển chuyển và linh động: Học viên có thể chọn lựa những khoá học có sự chỉ

dẫn của giảng viên trực tuyến hoặc khoá học tự tương tác (Interactive Self-pace Course), tự điều chỉnh tốc độ học theo khả năng và có thể nâng cao kiến thức thông qua những thư viện trực tuyến

Tối ưu: Nội dung truyền tải nhất quán Các tổ chức có thể đồng thời cung cấp

nhiều ngành học, khóa học cũng như cấp độ học khác nhau giúp học viên dễ dàng lựa chọn

Hệ thống hóa: E-learning dễ dàng tạo và cho phép học viên tham gia học, dễ

dàng theo dõi tiến độ học tập, và kết quả học tập của học viên

Với khả năng tạo những bài đánh giá, người quản lí dễ dàng biết được nhân viên nào đã tham gia học, khi nào họ hoàn tất khoá học, làm thế nào họ thực hiện và mức

nối mạng, không có giao tiếp với thế giới bên ngoài Thuật ngữ này được hiểu đồng nhất với thuật ngữ CD-ROM Based Training.

Đào tạo dựa trên web (WBT - Web-Based Training): là hình thức đào tạo sử dụng công nghệ web Nội dung học, các thông tin quản lý khoá học, thông tin về người học được lưu trữ trên máy chủ và người dùng có thể dễ dàng truy nhập thông qua trình duyệt Web Người học có thể giao tiếp với nhau và với giáo viên, sử dụng các chức năng trao đổi trực tiếp, diễn đàn, e-mail thậm chí có thể nghe được giọng nói và nhìn thấy hình ảnh của người giao tiếp với mình

Đào tạo trực tuyến (Online Learning/Training): là hình thức đào tạo có sử dụng kết nối mạng để thực hiện việc học: lấy tài liệu học, giao tiếp giữa người học với nhau

và với giáo viên

Đào tạo từ xa (Distance Learning): Thuật ngữ này nói đến hình thức đào tạo trong đó người dạy và người học không ở cùng một chỗ, thậm chí không cùng một thời điểm Ví dụ như việc đào tạo sử dụng công nghệ hội thảo cầu truyền hình hoặc công nghệ web

1.2.2 Giải pháp Vlearning

Moodle (viết tắt của Modular Object-Oriented Dynamic Learning Environment) được sáng lập năm 1999 bởi Martin Dougiamas, người tiếp tục điều hành và phát triển chính của dự án Do không hài lòng với hệ thống LMS/LCMS thương mại WebCT trong trường học Curtin của Úc, Martin đã quyết tâm xây dựng một hệ thống LMS mã nguồn mở hướng tới giáo dục và người dùng hơn Từ đó đến nay Moodle có sự phát triển vượt bậc và thu hút được sự quan tâm của hầu hết các quốc gia trên thế giới và ngay cả những công ty bán LMS/LCMS thương mại lớn nhất như BlackCT (BlackBoard + WebCT) cũng có các chiến lược riêng để cạnh tranh với Moodle

Moodle hiện là phần mềm được sử dụng rộng rãi, moodle rất đáng tin cậy, có trên 10 000 site (thống kê tại moodle.org) trên thế giới đã dùng Moodle tại 160 quốc gia và đã được dịch ra 75 ngôn ngữ khác nhau Theo thống kê của moodle hiện tại có 68.637 trang web đã đăng ký và 67.236.883 người dùng trong 7.203.812 khóa học (tính đến tháng 12 năm 2013)

Moodle phát triển dựa trên PHP (Ngôn ngữ được dùng bởi các công ty Web lớn như Yahoo, Flickr, Baidu, Digg, CNET) có thể mở rộng từ một lớp học nhỏ đến các trường đại học lớn trên 50.000 sinh viên (ví dụ đại học Open PolyTechnique của Newzealand hoặc sắp tới đây là đại học mở Anh - Open University of UK, trường đại học cung cấp đào tạo từ xa lớn nhất châu Âu, và đại học mở Canada, Athabasca

University) Có thể dùng Moodle với các database mã nguồn mở như MySQL hoặc PostgreSQL [hvaonline.org]

Có rất nhiều trường đại học danh tiếng trên thế giới họ đã dùng BlackBoard hoặc WebCT Sau khi moodle ra đời thì lại chuyển sang dùng moodle Tại sao vậy ?

 Một số tổ chức - cá nhận Việt Nam sử dụng moodle:

1/ Singapore International School: http://www.sisvietnam.com/moodle/

2/ Khoa Nhật - Đại học Hà Nội: http://web.hufs.edu.vn/jp/

3/ Đại học Kinh tế - Đà Nẵng: http://elearning.due.edu.vn/

4/ Khoa Nga - Đại học Hà Nội: http://web.hanu.vn/ru/

5/ Khoa Công nghệ thông tin - Đại học Sư phạm TPHCM: http://it-hcmute dyndns.org/

6/ Đại học Công Nghệ - Đại học quốc gia Hà Nội: http://www.coltech.vnu.edu vn/courses/

7/ Cổng bồi dưỡng giáo viên kỹ thuật: http://bdspkt.net/

8/ Khoa quản trị và du lịch - Đại học Hà Nội: http://web.hufs.edu.vn/fmt/

9/ Khoa Pháp - Đại học Hà Nội: http://web.hanu.edu.vn/fr/

10/ Viện Đại học Mở Hà Nội: http://dhm.edu.vn/

11/ Đại học Xây Dựng Hà Nội: http://www.uce-hn.edu.vn/moodle/

12/ Trường cao đẳng Đông Á: http://www.dayhoctructuyen.com/

13/ Hóa học phổ thông: http://www.hoahocphothong.com/moodle/

14/ Trung tâm Đào tạo Từ xa - Đại học Hà Nội: http://web.hufs.edu.vn/dec/ index.php

15/ Công ty điện lực 2: http://e-learning.pc2.com.vn/

16/ EDO - Đại học Hà Nội: http://web.hufs.edu.vn/edo

17/ Trung tâm Tin học - Bộ GD & DT: http://moodle.org/course/view.php?id=45 18/ Khoa Trung Quốc - Đại học Hà Nội: http://dinhlugiang.com/vietnamese/ 19/ Khoa Công nghệ Thông tin & Truyền thông - Đại học Cần Thơ: http://elcit ctu.edu.vn/

20/ Khoa quản trị kinh doanh - Đại học Đà Nẵng: http://www.dbavn.com/ elearning/

21/ Đại học Mở Bán công TPHCM: http://elearning.ou.edu.vn/

22/ Viện Khoa học và Công nghệ - Phân viện TPHCM: hcm.ac.vn/

http://elearning.ioit-Vlearning được phát triển trên nền hệ thống Moodle và được tích hợp đầy đủ các tính năng của Moodle đã được cộng đồng phát triển Tuy nhiên, sản phẩm Vlearning phát triển dựa trên các yêu cầu thực tế nhằm phù hợp với môi trương phát triển giáo dục tại Việt Nam Vlearning nổi bật là thiết kế hướng tới giáo dục, dành cho những người làm trong lĩnh vực giáo dục Vlearning thực chất là gói phần mềm thiết kế để giúp đỡ các nhà giáo dục tạo các khóa học trực tuyến có chất lượng Hệ thống học trực tuyến đôi khi còn được gọi là hệ thống quản lý học tập (LMS), hệ thống quản lý khoá học (CMS), môi trường học tập ảo (VLE), giáo dục bằng phương pháp giao tiếp qua máy tính, hoặc chỉ đơn giản là giáo dục trực tuyến

Một bước quan trọng mà mỗi tổ chức muốn triển khai e-Learning cần thực hiện trước khi lựa chọn giải pháp là việc xác định được nhu cầu của tất cả các đối tượng tham gia quá trình học tập, từ học viên, giảng viên cho đến các chuyên viên quản lý đào tạo, chuyên viên xây dựng chương trình Dựa vào những nhu cầu này, và tùy theo khả năng tài chính, mô hình kinh doanh của từng đơn vị mà họ sẽ có những lựa chọn giải pháp hợp lý cho mình Xây dựng hệ thống dựa trên phần mềm nguồn mở Đây là một giải pháp khá tối ưu, giúp các đơn vị triển khai có hiệu quả và phù hợp với yêu cầu đặc thù cho từng nội dung đào tạo mà vẫn dễ dàng phát triển, nâng cấp hệ thống trong tương lai

Cũng giống như e-Learning, xu hướng sử dụng và phát triển phần mềm nguồn

mở OSS (Open Source Software) đang phát triển mạnh mẽ trong những năm gần đây Phần mềm nguồn mở nói một cách nôm na là những phần mềm được phân phối một cách tự do kèm theo mã nguồn và người sử dụng được phép sửa đổi những mã nguồn

đó theo mục đích cá nhân của mình mà không cần hỏi ý kiến tác giả của nó Trong khi

đó đa số phần mềm thương mại không bán kèm theo mã nguồn Khái niệm mã nguồn

ở đây có thể hiểu là nguyên bản những gì mà người lập trình viên viết ra để cho phần mềm có thể hoạt động Mã nguồn có dạng văn bản (text) và được dịch ra ngôn ngữ máy dạng nhị phân (chỉ có 0 và 1) bằng các phần mềm biên dịch Thông thường, nếu không có mã nguồn thì người ta sẽ không thể chỉnh sửa, thay đổi các tính năng của phần mềm đó Đã có rất nhiều dự án phần mềm nguồn mở thành công, từ hệ điều hành

(GNU/Linux, FreeBSD), ứng dụng Internet (Apache, Mozilla, BIND, sendmail), ngôn ngữ lập trình (GNU C/C++, Perl, Python, PHP), hệ quản trị cơ sở dữ liệu (PostgreSQL, MySQL) ứng dụng văn phòng (OpenOffice) v.v

1.3 Kết luận chương 1

Trong chương này đã nêu lên được hiện trạng về nhu cầu học tập của con người Lợi ích của việc học trực tuyến và các giải pháp để xây dựng hệ thống học trực tuyến

CHƯƠNG 2: CÁC VẤN ĐỀ BẢO MẬT CHO HỆ THỐNG E-LEARNING

1.4 Các yêu cầu bảo mật đối với hệ thống E-Learning.[3]

1.4.1 Các yêu cầu bảo mật cơ bản.

Để xác định người dùng hệ thống, yêu cầu phải có tài khoản (hay account) để xác định quyền hạn của thành viên tham gia Cơ chế này ngăn chặn những kẻ tấn công truy cập tài khoản của người dùng khác, xem thông tin nhạy cảm hoặc để thực hiện các hoạt động trái phép Ngoài ra, khi đã có tài khoản người sử dụng nên thay đổi mật khẩu của mình

 Một số phương pháp để bảo vệ tài khoản:

+ Yêu cầu tái xác nhận trong khoảng thời gian quy định

+ Thiết lập mật khẩu với độ bảo mật cao (bao gồm cả một số chữ in hoa, ít nhất

là một chữ số, một số ký tự đặc biệt, vv )

+ Kiểm soát truy cập dựa trên quyền hạn của tài khoản

Người dùng sẽ được cấp tất cả các quyền cần thiết để tham gia vào hệ thống Bằng cách này người dùng sẽ chỉ được hoạt động trong hệ thống với quyền hạn của mình

Mô hình quản lý dựa vào tài khoản là một phương pháp hạn chế các truy cập trái phép vào hệ thống, nó cho phép các nhóm xác định, người dùng trong cùng nhóm hoặc thậm chí khác nhóm Mô hình này cho phép điều khiển linh hoạt và chặt chẽ quyền lợi của mỗi người dùng Quyền truy cập các hoạt động nhất định được dựa vào một số vai trò cụ thể (quản trị viên, biên tập viên, giảng viên, sinh viên, người sử dụng đã đăng

ký, người sử dụng không đăng ký, vv) Nhân viên (hoặc người sử dụng hệ thống khác) được giao nhiệm vụ có vai trò đặc biệt để thực hiện các chức năng cụ thể trên hệ thống

Hệ thống elearning có thể có một số lượng lớn người truy cập như khách vãng lai, sinh viên, giảng viên hay quản trị viên Điều này yêu cầu mức độ cao hơn bảo mật

Nó là cần thiết để phân định chặt chẽ giữa người dùng đăng kí và nhóm người dùng Bằng cách này người dùng chỉ được truy nhập và xem thông tin liên quan trực tiếp đến bản thân

Ngoài ra các thông tin như câu hỏi thi, bài kiểm tra, các kết quả đúng/sai của sinh viên đều phải được lưu trữ để không thể sửa đổi được Giả sử có 1 giáo viên xóa kết quả thi của sinh viên thì sẽ phải làm như thế nào ? Trong trường hợp này chúng ta có

thể tìm được người đã xóa bằng cách sử dụng 1 file nhật ký Hơn nữa các thông tin đăng nhập phải đáng tin cậy và bảo mật.

1.4.2 Bảo mật trong học trực tuyến Elearning

Có rất nhiều nguồn hệ thống mở e-learning có thể được cài đặt dễ dàng và có một cộng đồng lớn người sử dụng và các nhà phát triển Một trong số đó là Moodle chủ yếu thường được sử dụng

Moodle có một tính năng quản lý khóa học mạnh mẽ bao gồm việc tạo ra những bài học, bài tập, bài kiểm tra, tài liệu và nhiều hơn nữa Có những mô-đun khác nhau giúp học sinh và giáo viên tương tác với nhau như chat, diễn đàn, khảo sát, hội thảo Các cảnh báo bảo mật đầu tiên có liên quan đến việc cài đặt nền tảng này, ví dụ như một máy chủ WAMP (Windows, Apache, MySQL và PHP) Moodle sẽ tự động tạo ra thư mục moodledata (trong thư mục này Moodle sẽ lưu trữ các tập tin tải lên của người dùng, chẳng hạn như tài liệu khóa học và hình ảnh người sử dụng) nhưng nếu thất bại thì thư mục này sẽ được tạo ra bởi người quản trị Từ các tài liệu, chúng tôi đã được cảnh báo để tạo ra thư mục này bên ngoài thư mục gốc của trang web Vì vậy, thư mục này cần được bảo vệ khỏi những truy cập trực tiếp từ trang web, không ai có thể giả danh bất kỳ người dùng trang web nào của Moodle (bao gồm cả người sử dụng quản trị), và tất cả các tài liệu học tập có thể được cung cấp cho các trang web nói chung Biện pháp phòng ngừa này có thể là một thực hành bảo mật tốt cho tất cả các nền tảng e-learning

1.5 Các kiểu tấn công đối với hệ thống Elearning

Trong một môi trường học tập điện tử giữa các giảng viên, học viên và dữ liệu có thể nằm tại các vị trí địa lý khác nhau và được kết nối thông qua Internet Các đánh giá của người học cũng được thực hiện thông qua Internet Điều này góp phần vào những rủi ro bảo mật thông tin rất lớn

Hình 2.1: Môi trường E-learning

 Các phương pháp xâm nhập từ bên ngoài vào hệ thống như:

+ XSS

+ Cài mã độc trực tiếp vào cơ sở dữ liệu trong các trang web

+ Thâm nhập vào hệ thống từ xa sử dụng một virus thông qua tập tin ẩn

+ Thâm nhập vào cơ sở dữ liệu qua địa chỉ trang web

+ Thực hiện các tìm kiếm khác nhau sử dụng công cụ tìm kiếm để lấy thông tin

cá nhân như mật khẩu, tên người dùng

+ Lấy cắp mật khẩu sử dụng hệ thống giải mã

+ Các chỉ mục web của trang web không nên tiết lộ những tính năng bảo mật như tập lệnh hoặc địa chỉ kết nối cơ sở dữ liệu

+ Dự đoán ID session của trang web

+ Tràn bộ đệm

+ Tấn công phá vỡ ngăn xếp

 Các mẫu đe dọa đến các quá trình trong hệ thống e-Learning: [4]

 Kẻ tấn công: Trong thực tế, rất khó để trả lời ai là kẻ có khả năng tấn công

hệ thống e-learning và khả năng của họ có được Kẻ tấn công có thể có nhiều dạng khác nhau Một số trong số họ có thể tấn công được Những người khác có thể là

không đủ năng lực để sử dụng hợp pháp hệ thống Kẻ tấn công có hành động cố ý được chia thành nhiều loại: hacker, cracker

 Tài nguyên: Một tài nguyên có thể là bất kỳ yếu tố nào của hệ thống

e-learning cung cấp các chức năng quan trọng Bất kỳ mối đe dọa có thể được xác định một phần là các tài sản mà kẻ tấn công muốn có được khi truy cập vào Tất nhiên mục tiêu của các giải pháp bảo vệ không phải là để loại bỏ các tài nguyên mà là để bảo vệ chúng Tuy nhiên, để bảo vệ tài nguyên trước hết phải xác định chúng Đối với các hệ thống e-learning nói chung, các tài nguyên sau đây có thể là mục tiêu của kẻ tấn công:

+ Nội dung học tập;

+ Nội dung chính bằng mật mã;

+ Dữ liệu cá nhân của người dùng;

+ Tin nhắn giữa người dùng với nhau;

+ Dữ liệu nhóm thành viên khác nhau;

+ Băng thông mạng;

+ Tin toàn vẹn;

+ Tin sẵn có

1.5.1 Cross – Site Scripting ( XSS)

XSS là một trong những cuộc tấn công lớp ứng dụng web phổ biến nhất XSS là một kiểu khai thác lỗ hổng an ninh mạng mà ở đó cho phép kẻ tấn công chèn mã độc vào website Mã này có thể chứa JavaScrip hay chỉ là HTML nằm trên máy chủ web server hoặc được chèn vào khi người dùng duyệt đến một trang web Khi đoạn mã được kích hoạt, kẻ tấn công có thể chiếm quyền sử dụng các trang web của bên thứ 3 hoặc sử dụng tài nguyên của máy chủ Các cuộc tấn công XSS thường chèn mã JavaScrip vào một dịch vụ web độc hại thực hiện trên trình duyệt web của người dùng.Bằng việc khai thác lỗ hổng XSS, kẻ tấn công có thể xây dựng một cuộc tấn công Kỹ thuật này thường được sử dụng bở những kẻ tấn công với mục đích là tiêm đoạn mã JavaScrip, VBScrip, ActiveS, HTML hoặc Flash được thực hiện trên hệ thống của nạn nhân Khi một cuộc tấn công được kích hoạt, tất cả mọi thứ từ lấy tài khoản đổi các thiết lập của người sử dụng,lấy cookie hoặc quảng cáo có thể sai lệch.Hầu hết các tác hại tiềm ẩn của kĩ thuật này đã được biết đến nhưng chúng ta mới chỉ khắc phục được một phần của nó Một cuộc tấn công XSS có thể gây ra những rủi

ro sau:

+ Đánh cắp thông tin người sử dụng: chẳng hạn như hacker thêm JavaScrip để ăn cắp cookie, mật khẩu hoặc thông tin người dùng.

+ Tạo ra những thông tin sai lệch

+ Tạo các cuộc tấn công lừa đảo

+ Chiếm quyền sử dụng của người dùng: chẳng hạn như thêm mã JavaScrip để chuyến hướng người dùng

+ Đoạn mã độc hại có thể làm cho website của bạn có thể không truy cập được cũng như có thể làm cho trình duyệt lỗi hoặc trở nên khong thể hoạt động

+ Thông qua đoạn mã kẻ tấn công có thể theo dõi lịch sử truy cập các trang web, theo dõi thông tin và truy cập dữ liệu cá nhân của người dùng

 Để ngăn chặn một cuộc tấn công như vậy, một nhà thiết kế nền tảng learning có thể thực hiện các công việc sau:

e-+ Đảm bảo rằng các trang trong trang web sử dụng đầu vào trả lại chỉ sau khi xác nhận chúng không có bất kỳ mã độc hại nào

+ Do trang web không hoàn toàn tin tưởng sử dụng HTTPS (Secure Sockets Layer) khi nói đến XSS

HTTPS đảm bảo kết nối an toàn, nhưng xử lý các dữ liệu nhập vào bởi người dùng là bên trong ứng dụng Nếu ứng dụng có lỗ hổng XSS, kẻ tấn công có thể gửi một kịch bản độc hại mà vẫn có thể thực hiện các ứng dụng, dẫn đến sự xâm nhập XSS

+ Chuyển đổi tất cả các ký tự không phải chữ số để html tồn tại ký tự trước khi hiển thị cho người dùng nhập vào trong công cụ tìm kiếm và các diễn đàn

+ Sử dụng công cụ kiểm tra một cách rộng rãi trong giai đoạn thiết kế để loại bỏ các lỗ hổng XSS như trong ứng dụng e-learning trước khi nó đi vào sử dụng

 Một số phương pháp tấn công và khắc phục lỗi XSS

+ Cross site scripting lỗ hổng trong thư viện YUI: Tập tin flash phân phối với các thư viện YUI có thể đã cho phép các cuộc tấn công cross-site scripting Đây là bổ sung cho MSA-13-0025 Giải pháp là loại bỏ tất cả các file SWF trong thư mục lib / yui.+ Cross site scripting trong đề thi: JavaScript trong câu hỏi câu trả lời đã được thực hiện trên các trang kết quả Quiz Để khắc phục lỗi này cần vô hiệu hóa các loại câu hỏi dựa trên văn bản

+ Cross site scripting trong tin nhắn: JavaScript trong các tin nhắn đã được thực hiện trên một số trang Giải quyết bằng cách vô hiệu hóa các thông báo.

1.5.2 Thay đổi cơ sở dữ liệu

Thay đổi dữ liệu SQL là một loại tấn công tương đối đơn giản, và có thể tránh được bằng cách tuân thủ nghiêm ngặt một số cách mã hóa cơ bản Sử dụng phương pháp này, một hacker có thể vượt qua đầu vào của ứng dụng với hy vọng truy cập trái phép vào cơ sở dữ liệu Hacker nhập truy vấn SQL vào các ứng dụng web để thực thi một hành động mong muốn sau đó có thể là một truy vấn độc hại Truy vấn như vậy có thể dẫn đến truy cập dữ liệu trái phép, bỏ qua xác thực, hoặc đóng cơ sở dữ liệu ngay

cả khi nó nằm trên cùng một web server hoặc trên một máy chủ riêng biệt Kẻ tấn công

là luôn luôn quan sát để khai thác lỗ hổng trong các trang web và các ứng dụng web để lừa người dùng Internet bất cẩn Thiếu xác nhận đầu vào thích hợp là một trong những nguyên nhân chính cho hàng loạt các cuộc tấn công thay đổi dữ liệu SQL

Phương pháp phổ biến nhất để ngăn ngừa loại này lỗ hổng là:

+ Kiểm tra đầu vào của người dùng

Các nhà phát triển phải đánh giá lỗ hổng bảo mật trong các ứng dụng web và hạn chế để tránh những kẻ tấn công khai thác Các chuyên gia có trình độ trong lĩnh vực khoa học máy tính và lập trình bảo mật có thể giúp trong việc xác định và giảm thiểu các lỗi lập trình Tất cả các yếu tố đầu vào phải được xác nhận Giới hạn này phải được thực thi theo loại hình và quy mô của dữ liệu nhập vào Đầu vào chứa các ký tự bình luận, trình tự thoát ra và dữ liệu nhị phân phải bị từ chối hoặc hạn chế Sử dụng các truy vấn tham số và nhiều lớp xác nhận có thể trợ giúp trong việc ngăn chặn tấn công thay đổi dữ liệu SQL Tường lửa ứng dụng web và máy quét ứng dụng web có thể giúp quản trị viên trang web trong việc tìm hiểu các lỗ hổng của website

Ví dụ: Thay đôi SQL trong trình điều khiển của Moodle SQL Server: Ký tự trống được cho phép trong chuỗi truy vấn, khiến các lệnh sql kết thúc và lỗi

1.5.3 Lỗi tràn bộ đệm

Lỗi tràn bộ đệm là các lỗ hổng của ứng dụng web có thể xảy ra khi một chương trình vượt qua giới hạn của một bộ đệm Khi điều này xảy ra, đoạn tiếp theo của bộ nhớ bị ghi đè và hỏng bộ nhớ, nó cho phép kẻ tấn công có để chèn hướng dẫn tùy ý trên máy chủ Web hoặc làm lỗi hệ thống

Để giảm bớt nguy cơ này, một nhà phát triển website phải:

+ Xác định lỗi tràn bộ đệm trong quá trình thử nghiệm bằng cách nhập các giá trị đầu vào lớn dần lên, phần đầu và các bộ nhớ tạm

+ Ngăn chặn chèn mã độc từ các nguồn chưa được kiểm định;

+ Xác nhận chiều dài đầu vào

Một cách khác mà tràn bộ đệm gây ra về vấn đề an ninh là thông qua tấn công phá vỡ ngăn xếp Thông thường, những kẻ tấn công khai thác lỗi tràn bộ đệm để có được một phiên tương tác trên máy tính Nếu chương trình đang được khai thác chạy với một mức độ đặc quyền cao (ví dụ như là người chủ hoặc quản trị viên), sau đó những kẻ tấn công được đặc quyền với phiên tương tác (Gary & John, 2000)

1.5.4 Tấn công phá vỡ ngăn xếp [5]

Tấn công phá vỡ ngăn xếp nhằm vào một lỗi lập trình cụ thể: sử dụng sự bất cẩn của bộ đệm, dữ liệu được phân bố trong thời gian chạy ngăn xếp của chương trình, cụ thể là các biến địa phương và tham số hàm Tấn công phá vỡ ngăn xếp là vấn đề nghiêm trọng, kể từ khi một dịch vụ nếu không vô hại (chẳng hạn như một máy chủ web hoặc máy chủ FTP) có thể được tạo nên để thực hiện các lệnh tùy ý Ý tưởng khá đơn giản: chèn một số mã tấn công (ví dụ, mã gọi một shell) ở đâu đó và ghi đè lên các ngăn xếp mà kiểm soát được thông qua với mã tấn công

Để tránh vấn đề này, các lập trình viên phải:

+ Sử dụng một ngôn ngữ hoặc trình biên dịch mà thực hiện tự động kiểm tra giới hạn

+ Sử dụng một thư viện trừu tượng để trừu tượng hóa đi các rủi ro API;

+ Sử dụng công nghệ để bảo vệ các chương trình chống lại các cuộc tấn công

1.6 Phương pháp tiếp cận mẫu mối đe dọa AICA cho hệ thống E-learning

Bốn khía cạnh bảo mật lớn trong bất kỳ hệ thống máy tính: tính sẵn sàng, tính toàn vẹn, tính bảo mật và xác thực (AICA) được biết đến và chấp nhận rộng rãi Mỗi

cuộc tấn công có thể ảnh hưởng đến ít nhất là một khía cạnh của mô hình AICA (và thỉnh thoảng nhiều hơn), tất cả các mối đe dọa có thể được bao phủ bởi phương pháp này Bảng 2.1 hiển thị một bản tóm tắt các khía cạnh AICA và các cuộc tấn công độc lập việc thực hiện hệ thống e-learning cụ thể.

2.1.1.1.1.1 Bảng tóm tắt các khía cạnh AICA và các cuộc tấn công độc lập

Tính sẵn sàng Tính toàn vẹn Tính bảo mật Xác thực

Từ chối dịch vụ Tấn công mã độc

hại

Nghe trộm các cuộc thảo luận nhóm

Tấn công sử dụng sức mạnh

Nút tấn công Thâm nhập tin nhắn Nhóm phân tích lưu

lượng truy cập phiên Từ điển tấn côngLiên kết tấn công Sửa đổi lưu lượng Nhóm công khai

Định tuyến nhầm lưu lượng

Tấn công người ở giữa

Tấn công giả mạo

Tấn công chiếm quyền phiên điều khiển

Tấn công tràn bộ đệm

Tấn công không thoái thác

1.7 Tấn công từ chối dịch vụ - DDos

Hình 2.2: Tấn công ddos

Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết tắt của Denial of Service) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt của Distributed Denial of Service) là nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự

cố gắng ác ý của một người hay nhiều người để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống Thủ phạm tấn công từ chối dịch vụ thường nhắm vào các trang mạng hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers

1.7.1 Nhận diện

US-CERT xác định dấu hiệu của một vụ tấn cống từ chối dịch vụ gồm có:

+ Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website

+ Không thể dùng một website cụ thể

+ Không thể truy cập bất kỳ website nào.

+ Tăng lượng thư rác nhận được

Không phải tất các các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của một hoạt động nguy hại, tất yếu của tấn công DoS Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công Ví dụ băng thông của router giữa Internet và LAN có thể bị tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn là toàn thể mạng

1.7.2 Các phương thức tấn công

Tấn công từ chối dịch vụ là một loại hình tấn công nhằm ngăn chặn những người dùng hợp lệ được sử dụng một dịch vụ nào đó Các cuộc tấn công có thể được thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm là tấn công vào các thiết bị định tuyến, web, thư điện tử và hệ thống DNS

 Tấn công từ chối dịch vụ có thể được thực hiện theo một số cách nhất định Có năm kiểu tấn công cơ bản sau đây:

+ Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng hoặc thời gian xử lý

+ Phá vỡ các thông tin cấu hình như thông tin định tuyến

+ Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP

+ Những lỗi gọi tức thì trong mã code của máy tính

+ Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạng thái hoạt động không ổn định hoặc bị đơ

+ Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn tài nguyên hoặc bị thất bại

+ Gây sự cố hệ thống

+ Tấn công từ chối dịch vụ iFrame: trong một trang HTML có thể gọi đến một trang web nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến khi băng thông của trang web đó bị quá hạn.

1.8 Kết luận chương 2

Chương này trình bày được các yêu cầu cơ bản về bảo mật, một số hình thức tấn công điển hình mà hacker thường dùng để tấn công hệ thống và lỗ hổng bảo mật các website hay gặp phải

CHƯƠNG 3: CÁC VẤN ĐỀ BẢO MẬT CHO MOODLE

1.9 Các cơ chế bảo mật hiện tại của moodle

 Moodle đưa ra các quy định về bảo vệ tài khoản trên hệ thống:

+ Thiết lập mật khẩu với độ bảo mật cao (bao gồm cả một số chữ in hoa, ít nhất

Mô hình quản lý dựa vào tài khoản là một phương pháp hạn chế các truy cập trái phép vào hệ thống, nó cho phép các nhóm xác định, người dùng trong cùng nhóm hoặc thậm chí khác nhóm Mô hình này cho phép điều khiển linh hoạt và chặt chẽ quyền lợi của mỗi người dùng Quyền truy cập các hoạt động nhất định được dựa vào một số vai trò cụ thể (quản trị viên, biên tập viên, giảng viên, sinh viên, người sử dụng

đã đăng ký, người sử dụng không đăng ký, vv) Nhân viên (hoặc người sử dụng hệ thống khác) được giao nhiệm vụ có vai trò đặc biệt để thực hiện các chức năng cụ thể trên hệ thống

Hệ thống elearning có thể có một số lượng lớn người truy cập như khách vãng lai, sinh viên, giảng viên hay quản trị viên Điều này yêu cầu mức độ cao hơn bảo mật

Nó là cần thiết để phân định chặt chẽ giữa người dùng đăng kí và nhóm người dùng Bằng cách này người dùng chỉ được truy nhập và xem thông tin liên quan trực tiếp đến bản thân

 Các bài giảng đều được đóng gói dưới dạng chuẩn SCORM làm cho tất cả các nội dung phù hợp với một mức độ kỹ thuật nào đó để xử lý tốt hơn Chuẩn đóng gói giúp cho nội dung của các bài học, môn học … không phụ thuộc vào hệ thống quản trị nội dung học tập

SCORM chia công nghệ của việc học tập eLearning thành các component chức năng Một “asset” là tên gọi tượng trưng cho phương tiện truyền thông (media) như văn bản (text), hình ảnh (image), âm thanh (sound), hoặc bất kỳ một mẫu dữ liệu của một trang web client nào mà có thể phân phát Hầu hết các dạng cơ bản của nội dung

là một “asset” Asset bao gồm những tập tin như doc, wav, jpeg, fla, mov, gif, avi,

và, htm

1.10 Công nghệ Clustering [6]

Các máy chủ là trái tim của của mạng máy tính, nếu máy chủ mạng hỏng, hoạt động của hệ thống sẽ bị ngưng trệ Điều đáng tiếc là dù các hãng sản xuất đã cố gắng làm mọi cách để nâng cao chất lượng của thiết bị, nhưng những hỏng hóc đối với các thiết bị mạng nói chung và các máy chủ nói riêng là điều không thể tránh khỏi Do vậy, vấn đề đặt ra là cần có một giải pháp để đảm bảo cho hệ thống vẫn hoạt động tốt ngay cả khi có sự cố xảy ra đối với máy chủ mạng, và công nghệ clustering là câu trả lời cho vấn đề này

Hình 3.1: Giới thiệu clustering.

1.10.1 Giới thiệu

Clustering là một kiến trúc nhằm đảm bảo nâng cao khả năng sẵn sàng cho các

hệ thống mạng máy tính Clustering cho phép sử dụng nhiều máy chủ kết hợp với nhau tạo thành một cụm có khả năng chịu đựng hay chấp nhận sai sót (fault-tolerant) nhằm nâng cao độ sẵn sàng của hệ thống mạng Cluster là một hệ thống bao gồm nhiều máy chủ được kết nối với nhau theo dạng song song hay phân tán và được sử dụng như một tài nguyên thống nhất Nếu một máy chủ ngừng hoạt động do bị sự cố hoặc để nâng cấp, bảo trì, thì toàn bộ công việc mà máy chủ này đảm nhận sẽ được tự động chuyển sang cho một máy chủ khác (trong cùng một cluster) mà không làm cho hoạt động của

hệ thống bị ngắt hay gián đoạn Quá trình này gọi là “fail-over”; và việc phục hồi tài nguyên của một máy chủ trong hệ thống (cluster) được gọi là “fail-back”