Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 55 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
55
Dung lượng
1,19 MB
Nội dung
LỜI CẢM ƠN Qua thời gian học tập, rèn luyện trường Đại học Thương mại thực tập quan UBND huyện Đông Hưng em học hỏi tích luỹ nhiều kiến thức, kinh nghiệm quý giá cho Từ kiến thức trải nghiệm thực tế sở để em xây dựng khóa luận Để hồn thành khóa luận tốt nghiệp nhờ bảo tận tình quý thầy, cô khoa Hệ thống thông tin kinh tế thương mại điện tử, hướng dẫn tận tâm Th.S Hàn Minh Phương giúp đỡ cô lãnh đạo anh chị cán viên chức Cơ quan UBND huyện Đơng Hưng Đồng thời, thơng qua khố luận, em xin tri ân đến tất thầy cô giáo dày công dạy dỗ chúng em suốt năm trường Đại Học Thương Mại Những giá trị mà cô thầy tạo tảng quan trọng cho việc cống hiến phấn đấu chúng em sau Với thời gian nghiên cứu kiến thức hạn chế nên khơng tránh khỏi sai sót q trình phân tích, đánh đưa đề xuất để hoàn thiện giải pháp đảm bảo an tồn thơng tin HTTT quan UBND huyện Đơng Hưng Vì thế, em mong nhận ý kiến đóng góp quý thầy cô, ban lãnh đạo quan để khóa luận hồn thiện Sau cùng, em xin kính chúc quý thầy cô cô chú, anh chị dồi sức khỏe thành công sống Em xin chân thành cảm ơn Sinh viên thực Nguyễn Thị Hồng Nhung MỤC LỤC LỜI CẢM ƠN i MỤC LỤC .ii DANH MỤC CÁC TỪ VIẾT TẮT iv DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ v PHẦN MỞ ĐẦU .1 Tầm quan trọng, ý nghĩa tính cấp thiết đề tài ATTT HTTT .1 Mục tiêu nhiệm vụ nghiên cứu Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu đề tài .2 Kết cấu khóa luận tốt nghiệp CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VỀ ATBMTT TRONG HTTT 1.1Một số khái niệm 1.1.1 Khái niệm thông tin, hệ thống thông tin 1.1.2 Khái niệm liệu, ATBM liệu ATBM HTTT .6 1.2Tổng quan tình hình nghiên cứu an toàn bảo mật HTTT 1.2.1 Tình hình nghiên cứu nước 1.2.2 Tình hình nghiên cứu nước 1.3Các đặc trưng HTTT an toàn .9 1.4Các nguy số giải pháp đảm bảo an tồn thơng tin HTTT 10 CHƯƠNG 2: PHÂN TÍCH ĐÁNH GIÁ THỰC TRẠNG AN TỐN BẢO MẬT CỦA UBND HUYỆN ĐƠNG HƯNG 15 2.1 Tổng quan quan 15 2.1.1 Giới thiệu tổng quan huyện Đông Hưng 15 2.1.2 Bộ máy tổ chức quan 16 2.2 Phân tích đánh giá thực trạng an tồn bảo mật HTTTcủa UBND huyện 18 2.2.1 Thực trạng cơng tác an tồn bảo mật hệ thống thông tin UBND huyện Đông Hưng 18 2.2.2 Phân tích thực trạng ATBM cho HTTT quan UBND huyện Đông Hưng qua phiếu điều tra23 2.2.3 Đánh giá thực trạng an tồn bảo mật thơng tin quan UBND huyện Đông Hưng 29 CHƯƠNG 3: ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA UBND HUYỆN ĐÔNG HƯNG 32 3.1 Định hướng phát triển ATBM thông tin HTTT quan UBND huyện Đông Hưng 32 3.2Đề xuất số giải pháp bảo mật cho HTT quan 33 3.2.1 Giải pháp cho an ninh mạng phần mềm tường lửa AVS Firewall 33 3.2.2 Phần mềm diệt virus Kaspersky® Small Office Security 34 3.2.3 Hệ quản trị CSDL Oracle Database 12c .36 3.2.4 Đào tạo nhân lực 38 3.2.5 Đảm bảo an toàn website 39 3.3Điều kiện thực giải pháp .43 KẾT LUẬN 45 TÀI LIỆU THAM KHẢO PHỤ LỤC DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Diễn giải HĐND UBND AES Advanced Encryption Standard TLS Transport Layer Security Nghĩa tiếng việt Hội đồng nhân dân Ủy ban nhân dân Tiêu chuẩn mã háo tiên tiến Bảo mật tầng giao vận Một giao thức kết hợp giao thức HTTP giao thức HTTPS Hypertext Transfer Protocol Secure bảo mật SSL hay TLS cho phép trao đổi thông tin LAN Local Area Network ATBM ATTT HTML HyperText Markup Language NAT CNTT CSDL HTTT IT NXB Network address translation Information Technology DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH V cách bảo mật Internet Mạng nội An toàn bảo mật An tồn thơng tin Ngơn ngữ Đánh dấu Siêu văn Biên dịch địa mạng Công nghệ thông tin Cơ sở liệu Hệ thống thông tin Công nghệ thông tin Nhà xuất DANH MỤC BẢNG Bảng 2.1: Trang thiết bị phần cứng 19 Bảng 2.2: Thống kê kết phiếu điều tra 24 Bảng 2.3: Tính hiệu tường lửa sử dụng 25 Bảng 2.4 Đánh giá phần mềm BKAV Pro 26 Bảng 2.5: Tần suất lưu liệu 27 Bảng 2.6: Nhân viên chuyên trách CNTT 28 Bảng 2.7: Thống kê số lần website bị khai thác lỗ hổng bảo mật 29 Bảng 3.1: So sánh BKAV Pro Kaspersky® Small Office Security 35 Bảng 3.2: So sánh hệ quản trị CSDL SQL Server 2014 Oracle Database 12c 37 Bảng 3.3: Chi phí thực giải pháp .44 DANH MỤC BIỂU ĐỒ Biểu đồ 2.1: Tính hiệu tường lửa sử dụng 25 Biểu đồ 2.2: Đánh giá phần mềm BKAV Pro 26 Biểu đồ 2.3: Tần suất lưu liệu 27 Biểu đồ 2.4: Nhân viên chuyên trách CNTT 28 Biều đồ 2.5: Thống kê số lần website bị khai thác lỗ hổng bảo mật 29 DANH MỤC SƠ ĐỒ Sơ đồ 2.1: Tổ chức máy quan UBND huyện Đơng Hưng .17 DANH MỤC HÌNH Hình 1.1: Các thành phần hệ thống thông tin Hình 2.1: Logo quan 15 Hình 2.2: Hình ảnh UBND huyện Đơng Hưng .15 Hình 2.3: Giao diện đăng nhập 18 Hình 2.4: Giao diện cổng thơng tin điện tử 22 Hình 3.1: Phầm mềm AVS Firewall .33 Hình 3.2: Phần mềm diệt virus Kaspersky® Small Office Security 34 Hình 3.3: Các bước khai thác XSS công qua mạng 40 Hình 3.4: Mơ q trình cơng vào lỗ hổng SQL injection 42 PHẦN MỞ ĐẦU Tầm quan trọng, ý nghĩa tính cấp thiết đề tài ATTT HTTT Trong năm gần đây, tình hình kinh tế, xã hội nước ta trải qua thay đổi lớn Với xu hướng tồn cầu hóa giới ngày phẳng, lượng thơng tin ngày lớn q trình cạnh tranh quan nhà nước diễn ngày khốc liệt Dữ liệu quan đóng vai trò vơ quan trọng, việc bảo đảm an tồn thơng tin nâng cao tính bảo mật yếu tố quan trọng hàng đầu mà quan luôn phải quan tâm Theo Hiệp hội An tồn thơng tin Việt Nam (VNISA), có tới 50% quan, doanh nghiệp khơng phát bị công chưa đến 30% đơn vị cảnh báo có khả xử lý cố Thống kê Bkav cho thấy, tháng có khoảng 82 triệu mối đe dọa người dùng internet Việt Nam Riêng năm 2017, Việt Nam khoảng 12.300 tỷ đồng (hơn 540 triệu USD) cơng mã độc Ở Việt Nam nguy an tồn thơng tin tăng lên đáng báo động Những số thống kê an tồn việc khai thác thơng tin người dùng Việt Nam Cùng với phát triển không gian mạng làm nảy sinh nhiều nguy cơ, thách thức an ninh quốc gia an tồn, lợi ích quan, doanh nghiệp cá nhân Cơ quan UBND huyện Đơng Hưng quan hành nhà nước việc đảm bảo an tồn thơng tin vơ quan trọng Trong q trình thực tập quan, em tìm hiểu biết quan bị đánh cắp thông tin, khắc phục khơng có nghĩa khơng xảy Tại đề tài với mong muốn giúp quan đạt hiệu cao vấn đề đảm bảo an tồn bảo mật thơng tin Em tập trung nghiên cứu sở lý luận lý thuyết an tồn bảo mật thơng tin, tìm hiểu thực trạng vấn đề, phân tích đánh giá thực trạng vấn đề bảo mật quan Để từ khóa luận đưa số giải pháp bảo mật thông tin phù hợp nhằm khắc phục thực trạng thiếu an tồn thơng tin Cơ quan UBND huyện Đơng Hưng tỉnh Thái Bình Q trình nghiên cứu góp phần nâng cao nhận thức cán cơng chức, viên chức quan vấn đề an tồn bảo mật, trau dồi thêm thơng tin cần thiết cho cán để phục vụ công việc vận hành quản lý HTTT đơn vị làm việc Từ thực trạng tình hình an ninh thông tin quan, thấy tầm quan trọng ý nghĩa việc nghiên cứu đề tài, với kiến thức em học trường tìm hiểu thân em xin lựa chọn đề tài: “Một số giải pháp đảm bảo an toàn bảo mật thông tin HTTT Cơ quan UBND huyện Đông Hưng” Mục tiêu nhiệm vụ nghiên cứu Qua trình nghiên cứu tài liệu, tìm hiểu phân tích thực trạng đảm bảo an tồn bảo mật thông tin quan UBND huyện Đông Hưng thực nhiệm vụ sau: Nhiệm vụ thứ trình bày khái niệm ATBM thông tin khái niệm thông tin, HTTT, ATBM, HTTT bảo mật,… để từ có nhìn tổng qt đối tượng tìm hiểu khóa luận Nhiệm vụ thứ hai qua số liệu thống kê việc tìm hiểu thực tế nghiên cứu phân tích thực trạng ATBM thơng tin quan Từ khóa luận đưa số giải pháp nhằm nâng cao hiệu an toàn bảo mật thông tin cho HTTT quan UBND huyện Đông Hưng Đối tượng phạm vi nghiên cứu Là đề tài nghiên cứu khóa luận sinh viên nên phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn quan hành khoảng thời gian ngắn hạn Cụ thể là: Về khơng gian: Đưa giải pháp đảm bảo an tồn thơng tin cho hệ thống thông tin Cơ quan UBND huyện Đông Hưng Về thời gian: Các số liệu khảo sát năm gần nhất, đồng thời trình bày nhóm giải pháp định hướng phát triển tương lai Phương pháp nghiên cứu đề tài 4.1 Khái niệm phương pháp nghiên cứu Theo (9) Phương pháp nghiên cứu cách thức, đường, phương tiện thu thập, xử lý thông tin khoa học (số liệu, kiện) nhằm làm sáng tỏ vấn đề nghiên cứu để giải nhiệm vụ nghiên cứu cuối đạt mục đích nghiên cứu Nói cách khác: Phương pháp nghiên cứu khoa học phương thức thu thập xử lý thơng tin khoa học nhằm mục đích thiết lập mối liên hệ quan hệ phụ thuộc có tính quy luật xây dựng lý luận khoa học Có hai loại phương pháp nghiên cứu: - Phương pháp nghiên cứu định tính: quan sát, vấn lãnh đạo, công chức, viên chức quan, nắm bắt cách chủ quan tình hình an tồn, bảo mật thông tin mặt đơn vị làm việc - Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình quan 4.2 Các phương pháp sử dụng khóa luận 4.2.1 Phương pháp thu thập số liệu - Xây dựng phiếu điều tra thu thập liệu từ đối tượng công chức viên chức quan nội dung phục vụ cho nghiên cứu - Tìm hiểu thơng tin an tồn bảo mật thương mại điện tử qua Internet, qua tài liệu sách báo liên quan đến an toàn bảo mật HTTT - Phương pháp vấn: vấn ban Lãnh đạo phận IT quan Phương pháp trưng cầu ý kiến bảng hỏi: lập danh mục câu hỏi khảo sát ý kiến nhân viên ban lãnh đạo quan để phục vụ cho việc đánh giá trình độ nguồn nhân lực trình nghiên cứu - Phương pháp chuyên gia: Hỏi ý kiến chuyên gia lĩnh vực nghiên cứu đề tài để tham khảo đưa định hướng giải tốt mục tiêu đề - Trong phương pháp nêu phương pháp nghiên cứu tài liệu phương pháp vấn phương pháp chủ đạo phương pháp lại phương pháp bổ trợ cho việc nghiên cứu thực đề tài 4.2.1 Phương pháp xử lý liệu: Từ liệu thu thập sau tiến hành vấn thu thập tài liệu chọn lọc, phân tích, đánh giá, tổng hợp để chọn thông tin phù hợp với mục đích nghiên cứu đề tài Hai phương pháp nghiên cứu sử dụng gồm: - Phương pháp nghiên cứu định tính: quan sát, vấn lãnh đạo, cơng chức, viên chức quan, nắm bắt cách chủ quan tình hình an tồn, bảo mật thơng tin mặt đơn vị làm việc - Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình quan Kết cấu khóa luận tốt nghiệp Khóa luận chia thành ba phần chính: Chương 1: Cơ sở lí luận an tồn bảo mật thơng tin hệ thống thông tin Chương 2: Cơ sở lý luận thực trạng an tồn bảo mật thơng tin Cơ quan UBND huyện Đông Hưng Chương 3: Định hướng phát triển đề xuất giải pháp an toàn bảo mật hệ thống thông tin Cơ quan UBND huyện CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VỀ ATBMTT TRONG HTTT 1.1 Một số khái niệm 1.1.1 Khái niệm thông tin, hệ thống thông tin Theo (2) Thông tin liệu quan, tổ chức sử dụng phương thức định cho chúng mang lại giá trị gia tăng so với giá trị vốn có liệu Thơng tin liệu qua xử lý (phân tích, tổng hợp, thống kê) có ý nghĩa thực tiễn, phù hợp với mục đích cụ thể người sử dụng Thơng tin gồm nhiều giá trị liệu có liên quan nhằm mang lại ý nghĩa trọn vẹn cho vật tượng cụ thể ngữ cảnh Theo (2) Hệ thống thông tin tập hợp phần cứng, phần mềm, sở liệu, mạng viễn thơng, người quy trình thủ tục khác nhằm thu thập, xử lý, lưu trữ truyền phát thông tin quan, tổ chức Hệ thống thông tin hỗ trợ việc định, phân tích tình hình, lập kế hoạch, điều phối kiểm soát hoạt động quan, tổ chức Hệ thống thơng tin thủ cơng dựa vào công cụ thủ công giấy, bút, thước, tủ hồ sơ,… hệ thống thơng tin đại hệ thống tự động hóa dựa vào mạng máy tính thiết bị cơng nghệ khác Hệ thống thơng tin bao gồm thành phần (còn gọi năm nguồn lực hay năm nguồn tài nguyên) trình bày hình: Hình 1.1: Các thành phần hệ thống thông tin Theo bảng so sánh tính giá Kaspersky® Small Office Security 2013 có nhiều tính vượt trội, khắc phục số lỗi cố hữu mà Bkav chưa khắc phục lỗi xung đột phần mền khả bảo mật đánh giá cao hơn, giá thành hai sản phẩm tương đương Như vậy, sử dụng Kaspersky® Small Office Security phù hợp với yêu cầu quan hỗ trợ với nhiều tính vượt trội 3.2.3 Hệ quản trị CSDL Oracle Database 12c Hệ quản trị CSDL quan dùng SQL Server 2014 không đáp ứng yêu cầu lưu liệu thường xuyên việc nâng cấp liệu tương lai quan Đề xuất giải pháp cho vấn đề này, UBND huyện sử dụng hệ quản trị CSDL Oracle Database 12c Sau bảng so sánh số đặc điểm hai hệ quản trị CSDL SQL Server 2014 Oracle Database 12c: Bảng 3.2: So sánh hệ quản trị CSDL SQL Server 2014 Oracle Database 12c Hệ quản trị CSDL SQL Server 2014 Ngôn ngữ Hệ quản trị CSDL Oracle Database 12c Transact-SQL (T-SQL) - phần mở Oracle sử dụng Procedural rộng SQL sử dụng SQL Language/SQL (PL/SQL) Server T-SQL gần gắn liền với PL/SQL phức tạp lại có ngơn ngữ SQL phát triển tiềm mạnh mẽ Kiểm soát giao Sybase Microsoft SQL Server thực thi (execute) Các truy vấn thực thi dịch commit command/task cách lệnh phát hành, thay đổi riêng lẻ điều gây khó khăn thực nhớ rollback lại thay đổi (RAM) chưa commit cho có lỗi gặp phải đến lệnh commit tay trình thực thực Sau commit, lệnh bắt đầu transaction mới, trình bắt đầu lại Điều cho thấy tính linh hoạt cao hỗ trợ kiểm soát lỗi tốt Tổ chức đối Oracle Với SQL Server tất đối tượng Oracle, tất đối tượng sở tượng sở table, view, store proceduce liệu (database objects) liệu lấy theo tên sở liệu (database nhóm Schema, tập hợp names) Một user đăng nhập đối tượng sở liệu tất cấp quyền truy cập vào database đối tượng sở liệu cụ thể tất đối tượng có chia sẻ tất database Ngoài ra, SQL Schema người dùng Server database private Độ tương thích khơng chia sẻ file disk server SQL tương thích với Window Oracle cài Window, Linux, Unix, … (Nguồn: Theo điều tra cá nhân) 3.2.4 Đào tạo nhân lực Do trình độ hiểu biết ATTT cán bộ, nhân viên chưa cao, quan cần có kế hoạch đào tạo, nâng cao hiểu biết ATTT cho cán bộ, nhân viên Em xin đề xuất cho nhân viên tham gia khóa đào tạo chuyên sâu ATBM thông tin giúp đảm bảo yêu cầu bảo mật hệ thống đơn vị Cơ quan nên chọn cán bộ, nhân viên để đưa đào tạo chuyên sâu ATTT, đồng thời mời chuyên viên an ninh thông tin đến giảng dạy thuyết trình trực tiếp cho tồn cán bộ, nhân viên quan - Đào tạo kỹ thuật phòng thủ, chống cơng (Phân tích mã độc, phòng chống mã độc phần mềm gián điệp; Giám sát phân tích hệ thống dò qt lỗ hổng bảo mật; Điều tra, thu thập thông tin cố chứng điện tử; Giám sát thông tin…) - Đào tạo kỹ thuật bảo vệ an toàn hệ thống ứng dụng (mã hóa, thám mã, che dấu bảo mật nội dung thông tin, chữ ký số, nhận dạng, xác thực; tích hợp hệ thống ATTT; tư vấn thiết kế xây dựng hệ thống mạng an tồn; lập trình đảm bảo an tồn, Đảm bảo an toàn giao dịch điện tử; đảm bảo an toàn sở liệu ) - Thường xuyên đưa tin ATTT website nội công cụ truyền thơng nội - Có kế hoạch chuẩn bị trước cho cố an tồn thơng tin, ban lãnh đạo thủ trưởng đơn vị có trách nhiệm đạo kịp thời, áp dụng biện pháp để khắc phục hạn chế thiệt hại - Tuyên truyền nâng cao ý thức ATTT cho tất cán bộ, nhân viên Đưa chế an toàn liên quan đến việc tuyển, sử dụng cán bộ, nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán bộ, nhân viên Cùng với công tác đào tạo nhân lực trên, quan cần kết hợp sách, quy định cụ thể cán bộ, nhân viên vấn đề liên quan đến ATTT quan quản lí nghiêm vấn đề đảm bảo giữ bí mật thơng tin lãnh đạo, nhân viên, người dân khu vực huyện quản lý Tất thông tin người dân hay thông tin nội quan phải đảm bảo bí mật tất cán bộ, nhân viên phải ký thỏa thuận Với việc xử lý, loại bỏ tư liệu, giấy tờ liên quan đến hoạt động công ty phải huỷ qua máy tài liệu Các loại giấy tờ, thông tin, phần mềm in ấn vi tính khơng mang khỏi quan Ngoài quan cần ý tới giải pháp ATTT giao dịch TMĐT như: an toàn chứng thực điện tử, an tồn thư tín điện tử, an toàn mạng riêng ảo, Firewall, Honeypot, hệ thống phát xâm nhập, kĩ thuật thăm dò,… để có thay đổi cập nhật kịp thời nhằm đảm bảo an tồn thơng tin HTTT quan 3.2.5 Đảm bảo an toàn website 3.2.5.1 Cách khắc phục lỗ hổng bảo mật XSS Theo thống kê từ Văn phòng HĐND-UBND huyện cho biết năm 2016 năm 2017 xảy vụ công , năm 2018 xảy vụ công XSS Bản chất Cross - Site Scripting hay viết tắt XSS kỹ thuật công cách chèn vào website động (ASP, PHP,CGI,…) thẻ HTML hay đoạn mã script nguy hiểm gây hại cho người sử dụng khác Trong đoạn mà nguy hiểm thường viết Client Site Script như: JavaScript, Jscript, DHTML thẻ HTML Phương thức công: Đánh cắp Cookies người dùng: Cookie nhắc nhở mà website lưu trữ máy tính định danh cho người dùng Nếu khơng có cookie bạn phải nhập lại thơng tin hình web Thông tin mà cookie lưu trữ thông tin mà thân người dùng chia sẻ với website tạo cookie Cookie chứa nhiều thơng tin quan trọng phiên làm việc Nếu hacker có đoạn cookie chưa phiên làm việc bạn, hacker có khả đăng nhập vào website tư cách người dùng mà không cần biết mật Tấn công qua mạng Intranet: Hầu hết tin lướt Web bảo vệ tường lửa, cách ly thông qua lớp địa IP riêng Với hiểu biết này, giả sử phần mềm bảo mật trang Web mạng nội giao diện Web dựa thiết bị định tuyến router, hệ thống tường lửa, IP Phone… vá lỗi chưa cập nhật an toàn khu vực bảo vệ phần mềm bảo mật trên, điều khơng khả thi Trình duyệt Web hồn tồn kiểm sốt trang web nào, cho phép người dùng trở thành tâm điểm cho công mạng nội Khi truy cập vào Website có chứa phần mềm độc hại với đoạn mã JavaScript, cấu hình lại cách tự động router hay tường lửa từ tạo thành đường hầm thơng mạng bên ngồi Hình 3.3: Các bước khai thác XSS tấn công qua mạng Các bước khai thác: Bước 1: Một nạn nhân truy cập vào trang Web độc hại nhấn vào liên kết không rõ ràng, bị nhúng mã JavaScript chứa phần mềm độc hại, sau kiểm sốt trình duyệt họ Bước 2: Mã độc JavaScript Malware tải ứng dụng Java Applet làm lộ địa IP nạn nhân thông qua NAT IP Bước 3: Sau sử dụng trình duyệt nạn nhân tảng để công, mã độc JavaScript xác định máy chủ Web mạng nội Bước 4: Phát động công chống lại Web nội Web bên ngồi, thu thập thơng tin đánh cắp gửi mạng bên Để khắc phục lỗ hổng bảo mật XSS ta cần: 1.Lọc Có hai khái niệm trình lọc (filter) XSS: lọc đầu vào (input filtering) lọc đầu (output filtering) Cách sử dụng phổ biến lọc đầu vào Input Filtering xem xác so với Output Filtering, đặc biệt trường hợp XSS Reflected Tuy nhiên có khác biệt nhỏ, trình lọc đầu vào áp dụng cho tất loại liệu, loại bỏ nội dung không hợp lệ lọc đầu mang tính áp dụng lại, mục đích trừ loại mã độc xót lại.Có hai loại lọc liệu đầu vào đẩu ra: White-List Filtering Black-List Filtering Black-List Filtering Lọc liệu định nghĩa sẵn danh sách cho trước, gặp yêu cầu không hợp lệ hủy, không thực yêu cầu Ưu điểm dễ cấu hình, triển khai nhược điểm xuất công kiểu (chưa định nghĩa black-list) khơng thể phát ngăn chặn công White-List Filtering Cho phép quy định sẵn trước danh sách hợp lệ, có yêu cầu thuộc danh sách thực Vì ngăn chặn kiểu cơng mới, nhược điểm có ứng dụng phát triển phải cập nhật White-List Tuy nhiên White-List Filtering bảo mật so với Black-List Filtering Input Encoding Mã hóa đầu vào trở thành vị trí trung tâm cho tất lọc, đảm bảo có điểm cho tất lọc Mã hóa phía máy chủ tiến trình mà tất nội dung phát sinh động qua hàm mã hóa nơi mà thẻ script thay thể mã Nói chung, việc mã hóa (encoding) khuyến khích sử dụng khơng u cầu bạn phải đưa định kí tự hợp lệ không hợp lệ.Tuy nhiên việc mã hóa tất liệu khơng đáng tin cậy tốn tài nguyên ảnh hưởng đến khả thực thi số máy chủ 3.Output Encoding Mục đích việc mã hóa đầu (vì liên quan Cross Site Scripting) chuyển đổi đầu vào không tin cậy vào hình thức an tồn, nơi đầu vào hiển thị liệu cho người sử dụng mà không thực trình duyệt 4.Sử dụng thư viện Hiện có nhiều thư viện giúp ta ngăn ngừa XSS, chúng giúp ta thực bước ngăn chặn XSS liệt kê Thậm chí framework để làm web tích hợp sẵn nhiều cơng nghệ chống loại hình cơng này, nhiên tất khơng đủ chung ta khơng có hiểu biết 3.2.5.2 Khắc phục lỗ hổng bảo mật SQL Injection Theo thống kê UBND huyện Đông Hưng xảy vụ công vào SQL Injection vào năm 2016, 2018 vụ công xảy năm 2017 Cơ chế công SQL Injection cách thức tận dụng khai thác triệt để khuyết điểm, thiếu sót mặt cơng nghệ sử dụng để xây dựng website, thông thường hacker kết hợp với lỗ hổng quy trình bảo mật sở liệu Nếu thành công việc xâm nhập này, hacker hồn tồn mạo danh tài khoản thức người sử dụng, truy cập vào sở liệu lấy cắp thông tin cá nhân Hình 3.4: Mơ q trình tấn cơng vào lỗ hổng SQL injection Điểm yếu SQL injection bắt nguồn từ việc xử lí liệu người dùng khơng tốt, vấn đề xây dựng mã nguồn đảm bảo an ninh cốt lõi việc phòng chống SQL injection Chính phận lập trình quan phải xem lại mã nguồn website quan điều chỉnh, xem lại việc chuẩn hóa liệu đầu vào, xây dựng truy vấn theo mơ hình tham số hóa, làm liệu ðầu vào…Ngồi phải xem biện pháp bảo vệ từ mức tảng hệ thống như: Các lọc ngăn chặn Hầu hết ứng dụng tường lửa web cài đặt mẫu lọc ngăn chặn cấu trúc Các lọc chuỗi modul độc lập gắn kết với để thực thao tác xử lí trước sau thao tác xử lí bên ứng dụng (Webpage, URL, Script) Chúng ta đề cập tới cách triển khai lọc ngăn chặn phổ biến dạng plug – in cho server modul cho ứng dụng Các biện pháp bảo vệ database Giới hạn phạm vi ảnh hưởng ứng dụng Các biện pháp nhằm chuẩn bị, đề phòng cho tình xấu kẻ xâm nhập cơng vào database: - Cấp quyền ưu tiên tối thiểu cho tài khoản đăng nhập vào database - Hủy bỏ quyền public: database thường cung cấp số chế độ mặc định cho tất đăng nhập, chế độ có tập mặc định quyền, bao gồm quyền truy cập tới số đối tượng thuộc hệ thống Các quyền công khai cung cấp quyền truy cập tới stored procedure có sẵn, số gói hàm sử dụng cho mục đích quản trị Vì cần hủy quyền tới mức tối đa - Sử dụng thuật tốn mã hóa mạnh để mã hóa lưu trữ liệu nhạy cảm Giới hạn phạm vi ảnh hưởng database Các biện pháp sau chuẩn bị để phòng trường hợp đối tượng xâm nhập chiếm quyền điều khiển database: - Khóa quyền truy cập với đối tượng có đặc quyền, ví dụ tiện ích quản trị, tiện ích thực thi gián tiếp lệnh phía điều hành tiện ích sinh kết nối tới đối tượng databas khác - Hạn chế truy vấn đặc biệt: câu lệnh Openrowset SQL server ví dụ Việc sử dụng câu lệnh giúp kể công cướp quyền truy vấn thực kết nối tới database khác chế độ xác thực lỏng lẻo - Luôn cập nhật update ứng dụng quản trị database Đây nguyên tắc mà cần tuân thủ 3.3 Điều kiện thực giải pháp Để thực hóa giải pháp đề xuất, em xin trình bày số điều kiện kinh tế sau: Bảng 3.3: Chi phí thực giải pháp Tên giải pháp Thiết bị/ Khóa học Số lượng Tổng tiền (đồng) Phần mềm diệt virus Kaspersky® Kaspersky® Small Office Small Office Security 35 10.400.000 270.400.000 khóa học 17.500.000 Security Hệ quản trị CSDL Oracle Database Oracle Database 12c 12c Khóa bảo mật mạng cho Đào tạo nhân lực doanh nghiệp – NIS (Network Infastructure Security) (Nguồn: Theo điều tra cá nhân) Muốn áp dụng công nghệ vào quan UBND huyện cần đảm bảo hệ thống trang thiết bị có quan đáp ứng yêu cầu tương thích thành phần cũ với Bên cạnh cán bộ, nhân viên quan cần đào tạo tìm hiểu trước cơng nghệ giúp việc áp dụng chúng công việc sau thuận tiện hiệu KẾT LUẬN Những năm gần Việt Nam ngành Công nghệ thông tin có bước phát triển mạnh mẽ, mở giới cho phát triển không bị giới hạn không gian Cùng với phát triển cơng nghệ thơng tin vấn đề an tồn bảo mật thơng tin vấn đề trọng quan tâm từ phủ, doanh nghiệp, tổ chức đến cá nhân Khơng nằm ngồi mối quan tâm quan UBND huyện Đông Hưng ln khơng ngừng đầu tư hồn thiện vấn đề an tồn bảo mật thơng tin cho quan Bài khóa luận tốt nghiệp trình bày giải pháp cho vấn đề bảo mật an ninh thông tin cho quan là: giải pháp cho an ninh mạng Firewall, đổi phần mềm diệt virus hệ quản trị CSDL, giải pháp khắc phục lỗ hổng bảo mật website đề xuất sách đào tạo nguồn nhân lực phù hợp để phục vụ cho cơng tác đảm bảo an tồn bảo mật thơng tin quan Với số giải pháp tiêu biểu cần thiết đề xuất em hi vọng đóng góp ý kiến cá nhân cho vấn đề đảm bảo ATBM thơng tin xây dựng quan UBND huyện ngày vững mạnh phát triển Khóa uận kết học tập, nghiên cứu trình vận dụng quan UBND huyện hợp lại kiến thức an tồn bảo mật có kinh nghiệm thực tế qua trình thực tập quan UBND huyện Đông Hưng Mặc dù em cố gắng điều kiện thời gian hạn chế kiến thức thân nên trình thực đề tài khơng tránh khỏi sai sót Kính mong q thầy cơ, đóng góp ý kiến nhận xét để khóa luận em hoàn thiện Một lần nữa, em xin chân thành cảm ơn cán công chức quan UBND huyện Đông Hưng Cảm ơn thầy cô khoa Hệ thống thông tin kinh tế Thương mại điện tử đặc biệt Giảng viên Ths Hàn Minh Phương tận tâm dạy tạo điều kiện thuận lợi để em thực hoàn thành khóa luận tốt nghiệp Em xin chân thành cám ơn! TÀI LIỆU THAM KHẢO (1) Đàm Gia Mạnh (2011),Giáo trình an toàn liệu thương mại điện tử, NXB Thống Kê (2) Đàm Gia Mạnh (2017), Giáo trình Hệ thống thông tin quản lý, Đại học Thương mại (3) Đàm Gia Mạnh (2010), Mạng máy tính truyền thơng, NXB Thông tin Truyền thông (4) William Stallings (2016), Cryptography and network security principles and practices, 7Th Edition (5)Jean-Philippe Aumasson (2017), Serious Cryptography: A Practical Introduction to Modern Encryption (6) Bruce Schneier (2015), Applied Cryptography: Protocols, Algorithms and Source Code in C (7) Giải pháp phát phòng chống tấn công mạng Firewall WatchQuard (Bài báo trang web antoanthongtin.vn) (8) Trang web: https://quantrimang.com/bao-mat-wi-fi-lua-chon-giai-phapnao-18709 (9)Trang web: https://securitybox.vn PHỤ LỤC PHIẾU ĐIỀU TRA TRẮC NGHỆM TÌNH HÌNH BẢO MẬT CHO HTTT CỦA CƠ QUAN UBND HUYỆN ĐÔNG HƯNG 1) Tơi cam kết giữ bí mật thơng tin riêng công ty dùng thông tin cung cấp phiếu điều tra cho mục đích khảo sát tổng hợp trạng bảo mật hệ thống thông tin quan 2) Với câu hỏi có sẵn phương án trả lời, xin chọn câu trả lời thích hợp cách tích vào trống Đối với câu hỏi đánh giá ý kiến anh/chị chọn mợt đáp án nhất, với câu hỏi chọn đáp án anh/chị chọn nhiều đáp án Tên quan: UBND Huyện Đông Hưng tỉnh Thái Bình Địa trụ sở chính: Tổ 8, thị trấn huyện Đông Hưng Thông tin liên hệ người điền phiếu: Họ tên: Nam/ nữ : Năm sinh: Vị trí cơng tác: Học vị: Đại học Sau đại học Đánh giá trang thiết bị phần cứng quan nay: Rất đầy đủ Khá đầy đủ Khơng có ý kiến Đầy đủ Chưa đầy đủ Đánh giá trang thiết bị phần mềm quan nay: Rất đầy đủ Khá đầy đủ Khơng có ý kiến Đầy đủ Chưa đầy đủ Anh/chị đánh quan tâm ban lãnh đạo quan đến vấn đề bảo mật thơng tin? Rất quan tâm Quan tâm Bình thường Chưa quan tâm Khá quan tâm Anh/chị đánh giá tính hiệu tường lửa quan sử dụng? Chưa tốt Tốt Khá tốt Rất tốt Khơng có ý kiến Anh/chị đánh giá khả diệt virus tính tương thích phần mềm diệt virus BKAV Pro với HTTT quan nay? Chưa tốt Tốt Khá tốt Rất tốt Không có ý kiến Cơ quan sử dụng phương pháp lưu trữ thơng tin nào? Sử dụng điện tốn đám mây Dropbox Lưu trữ thủ công Lưu trữ thông tin file excel Không lưu trữ Theo anh/chị đánh giá nguồn nhân chuyên trách CNTT quan đáp ứng nhu cầu công việc? Chưa đáp ứng đủ Đã đáp ứng đủ Bình thường Quá nhiều Khơng có ý kiến Anh/ chị đánh giá mức sử dụng công cụ đảm bảo ATTT nhân viên quan? Không thành thạo Khá thành thạo Thành thạo Khơng có ý kiến Rất thành thạo Theo anh/chị quan sử dụng mạng cho hệ thống máy tính? Mạng cục (LAN) Mạng dùng chung Mạng diện rộng (WAN) Không biết 10 Thông tin hệ thống quan bị cơng chưa? Có Khơng Nếu có theo anh/chị thành phần mục tiêu cơng đó? Trang thiết bị phần cứng Phấn mềm Cơ sở liệu Website Con người Mạng Chi tiết số công lỗ hổng bị khai thác? 11 Theo anh/chị hoạt động người làm ảnh hưởng đến an tồn thơng tin hệ thống thông tin? Sử dụng thiết bị, trang web chép khơng an tồn Truy cập trái phép hệ thống thông tin nội Không sử dụng diệt virut cho máy cá nhân Hoạt động khác 12 Anh/chị đánh giá thứ tự tác nhân gây an tồn bảo mật thơng tin HTTT đơn vị làm việc từ 1->5 theo mức độ ảnh hưởng tăng dần: Trang thiết bị phần cứng Phấn mềm Cơ sở liệu Mạng Con người 13 Anh/chị cho biết phần mềm quan sử dụng có quyền hay khơng? Khơng Có 14 Theo nhận định anh/chị vấn đề phần cứng dễ gây an tồn thơng tin HTTT đơn vị nay? Nhiệt độ, độ ẩm, nguồn nước Trang thiết bị phần cứng lâu đời gặp nhiều trục trặc Cháy nổ thiết bị phần cứng Hỏng RAM liệu Không biết 15 Anh/chị cho biết quan sử dụng hệ quản trị CSDL đây? SQL Server PostgreSQL MySQL SQlite Oracle MongoDB 16 Anh/chị cho biết tần suất lưu liệu quan? Theo Theo ngày Theo tuần Theo tháng Khơng có ý kiến 17 Theo anh/chị việc mở lớp đào tạo kiến thức CNTT quan có cần thiết hay khơng? Có Khơng ... XUẤT MỘT SỐ GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA UBND HUYỆN ĐÔNG HƯNG 32 3.1 Định hướng phát triển ATBM thông tin HTTT quan UBND huyện Đông Hưng 32 3.2Đề xuất số giải pháp. .. cơ, thách thức an ninh quốc gia an tồn, lợi ích quan, doanh nghiệp cá nhân Cơ quan UBND huyện Đông Hưng quan hành nhà nước việc đảm bảo an tồn thơng tin vơ quan trọng Trong trình thực tập quan, ... liệu an toàn bảo mật thông tin doanh nghiệp nhiều chưa vào chi tiết Đề tài: Một số giải pháp nâng cao tính an tồn bảo mật thơng tin quan UBND huyện Đông Hưng tập trung vào việc đánh giá đưa giải