BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Phạm Minh Tuyến PHÂN TÍCH VÀ ĐÁNH GIÁ ĐỘ AN TOÀN CỦA CÁC DỊCH VỤ WEB Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SĨ KHOA HỌC Công nghệ thông tin NGƢỜI HƢỚNG DẪN KHOA HỌC: TS Vũ Thị Hƣơng Giang Hà Nội – Năm 2012 LỜI CÁM ƠN Lời cho em xin đƣợc gửi lời cảm ơn sâu sắc đến cô giáo TS Vũ Thị Hƣơng Giang – Viện Công nghệ thông tin & Truyền thông – Đại học Bách khoa Hà Nội, tận tình hƣớng dẫn suốt trình thực luận văn Em xin chân thành cảm ơn quý thầy cô Viện Công nghệ thông tin & Truyền thơng nói riêng Đại học Bách khoa Hà Nội nói chung, giúp đỡ chúng em suốt khóa học Cuối tơi xin cảm ơn q bạn bè đồng nghiệp, ngƣời tạo điều kiện nhƣ giúp đỡ để tơi hồn thành khóa học LỜI CAM ĐOAN Tơi Phạm Minh Tuyến, học viên lớp Cao học khóa 2009 – trƣờng Đại học Bách khoa Hà Nội Tôi xin cam kết Luận văn cơng trình nghiên cứu thân dƣới hƣớng dẫn khoa học TS Vũ Thị Hƣơng Giang – Viện Công nghệ thông tin & Truyền thông – Đại học Bách khoa Hà Nội Kết Luận văn trung thực không chép ngun từ cơng trình khác Hà Nội, ngày 25 tháng năm 2012 Học viên: Phạm Minh Tuyến DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt WS API XSS SOAP WS-BPEL WSDL XML UDDI IT CNTT B2B B2C CSDL HTTP COBIT PO DS AI ME Giải thích Web service Application Programming Interface Cross-site scripting Simple Object Access Protocol Web Services Business Process Execution Language Web Services Description Language Extensible Markup Language Universal Description, Discovery and Intergration Information Technology Công nghệ thông tin Business to Business Business to Customer Cơ sở liệu HyperText Transfer Protocol Control OBjectives for Information and related Technology Planning & Organisation Delivery & Support Acquisition & Implementation Monitoring & Evaluate Hình 1: Hình 2: Hình 3: Hình 4: Hình 5: Hình 6: Hình 7: Hình 8: Hình 9: Hình 10: Hình 11: tham số Hình 12: Hình 13: Hình 14: Hình 15: Hình 16: Hình 17: Hình 18: Hình 19: Hình 20: Hình 21: Hình 22: WS Hình 23: Hình 24: Hình 25: Hình 26: Hình 27: Hình 28: Hình 29: Hình 30: Hình 31: Hình 32: Hình 33: Hình 34: Hình 35: Hình 36: Hình 37: Hình 38: DANH MỤC HÌNH Mơ hình hoạt động dịch vụ Web 13 Chồng giao thức dịch vụ Web 16 Các actor tham gia vào WS 18 Cấu trúc WS L 20 Mô hình UDDI 21 Các yêu cầu thuộc t nh xác thực 26 Các yêu cầu thuộc t nh phân quyền 27 Các yêu cầu thuộc t nh phủ nhận 28 Các yêu cầu thuộc t nh b mật 29 Các yêu cầu thuộc t nh toàn v n 30 Sơ đồ mô tả cách công cách sử dụng local proxy để thay đổi 33 Sơ đồ mô tả cách công dựa vào lỗi tràn vùng đệm 36 Sơ đồ mơ tả ví dụ cách công dựa vào lỗi cross site scripting 37 thị thông báo lỗi SQL Injection 39 Sơ đồ mô tả cách công DoS 41 Áp dụng chế an toàn cho web services 42 Mơ hình an tồn cho web service 43 Quy trình mơ hình hóa Microsoft 48 Khối lập phƣơng CO IT 54 Quy trình quản lý CNTT CO IT 4.1 58 Mơ hình quy trình tổng thể đánh giá WS 61 Mô hình quy trình chi tiết đánh giá tiêu chuẩn an tồn xây dựng 63 Mơ hình chi tiết quy trình đánh giá an tồn WS 65 Mơ hình quy trình đánh giá độ an toàn triển khai hỗ trợ WS 66 Mơ hình quy trình đánh giá an tồn lập kế hoạch tổ chức WS 74 Mơ hình chi tiết quy trình đánh giá an tồn WS 75 Biểu đồ phân cấp chức 80 iểu đồ luồng liệu mức ngữ cảnh 81 iểu đồ luồng liệu mức đỉnh 81 Biểu đồ luồng liệu mức dƣới đỉnh, chức quản lý ngƣời dùng 82 iểu đồ luồng liệu mức dƣới đỉnh Chat 82 Biểu đồ luồng liệu mức dƣới đỉnh hiển thị 83 Giao diện chƣơng trình 85 Giao diện form đăng nhập 86 Giao diện form tạo tài khoản 87 Giao diện form thêm ngƣời dùng 88 Giao diện form chat 89 Giao diện form tin nhắn offline 90 MỤC LỤC GIỚI THIỆU ĐỀ TÀI 10 CHƢƠNG 1: TỔNG QUAN VỀ DỊCH VỤ WEB (WEB SERVICE) 13 Giới thiệu: 13 1.1 KHÁI NIỆM 13 1.2 ĐẶC ĐIỂM 14 1.3 KIẾN TRÚC 15 1.3.1 Tầng vận chuyển (Transport) .16 1.3.2 Tầng giao thức tƣơng tác dịch vụ (Service Communication Protocol) 16 1.3.3 Tầng mô tả dịch vụ (Service escription) 17 1.3.4 Tầng dịch vụ (Service) .17 1.3.5 Tầng đăng lý dịch vụ (Service Registry) .17 1.3.6 Các tầng lại 17 1.4 CẤU TRÚC WS 17 1.5 CÁC C NG CỤ X Y ỰNG WS 18 1.5.1 XML (Extensible Markup Language) 18 1.5.2 WSDL (Web Services Description Language) 19 1.5.3 UDDI (Universal Description , Discovery and Intergration) 20 1.5.4 SOAP (Simple Object Accesss Protocol) 21 1.6 QUI TRÌNH X Y ỰNG WS 22 1.6.1 Giai đoạn xây dựng 23 1.6.2 Giai đoạn triển khai 23 1.6.3 Giai đoạn tiến hành 23 1.6.4 Giai đoạn quản lý .23 Tổng kết chƣơng: 24 CHƢƠNG 2: ĐẢM BẢO AN TOÀN CHO CÁC DỊCH VỤ WEB 25 Giới thiệu: 25 2.1 CÁC TI U CH AN TO N ỊCH VỤ W 25 2.1.1 T nh xác thực (Authentication) 25 2.1.2 T nh phần quyền (Authorization) 26 2.1.3 T nh phủ nhận (chống chối b - Non-Repudiation) .27 2.1.4 T nh b mật (Confidentiality) 29 2.1.5 T nh toàn v n (Integrity) 30 2.2 MỘT S LỖ HỔNG ỨNG ỤNG W PHỔ IẾN 31 2.2.1 ữ liệu đầu vào không đƣợc kiểm tra t nh hợp lệ 32 2.2.2 Lỗi kiểm soát truy cập nguồn tài nguyên 33 2.2.3 Lỗi liên quan đến trình quản lý xác thực phiên truy cập 34 2.2.4 Lỗi tràn đệm 35 2.2.5 Lỗi liên trang (Cross Site Scripting - XSS) 36 2.2.6 Tiêm mã độc (Injection) .38 2.2.7 Quy trình quản lý báo lỗi 38 2.2.8 Lƣu trữ thiếu an toàn 39 2.2.9 Từ chối dịch vụ 40 2.2.10 Quản lý cấu hình thiếu an tồn 41 2.3 ĐẢM ẢO AN TO N WS NG W S RVIC S CURITY 42 Tổng kết chƣơng: 45 CHƢƠNG 3: CÁC PHƢƠNG PHÁP ĐÁNH GIÁ ĐỘ AN TOÀN PHẦN MỀM 46 Giới thiệu: 46 3.1 PHƢƠNG PHÁP M HÌNH HĨA Đ ỌA 46 3.1.1 Khái niệm mơ hình hóa đe dọa 46 3.1.2 Phƣơng pháp mơ hình hóa đe dọa Microsoft 47 3.1.2.1 Mục đ ch 47 3.1.2.2 Quy trình thực 48 3.1.2.3 Đánh giá phƣơng pháp mơ hình hóa đe dọa Microsoft 49 3.2 PHƢƠNG PHÁP THỬ NGHIỆM TH M NHẬP 49 3.2.1 Tổng quan 49 3.2.2 Lập kế hoạch thử nghiệm thâm nhập 50 3.3 PHƢƠNG PHÁP X M LẠI MÃ NGUỒN 51 3.3.1 Tổng quan 51 3.3.2 Quy trình thực 52 3.3.3 Đánh giá 53 3.4 PHƢƠNG PHÁP CO IT .53 3.4.1 Tổng quan 53 3.4.2 Các thành phần CO IT 54 3.4.2.1 Yêu cầu nghiệp vụ ( usiness Requirements) 55 3.4.2.2 Tài nguyên công nghệ (IT Resources) 56 3.4.2.3 Quy trình CNTT (IT Process) .56 3.4.3 Quy trình quản lý CNTT phiên CO IT 4.1 56 Đánh giá phƣơng pháp CO IT 58 3.4.4 Tổng kết chƣơng: 59 CHƢƠNG 4: QUY TRÌNH ĐÁNH GIÁ ĐỘ AN TỒN CỦA DỊCH VỤ WEBTRÊN GĨC ĐỘ QUẢN TRỊ CÔNG NGHỆ THÔNG TIN 60 Giới thiệu: 60 4.1 CÁCH TIẾP CẬN 60 4.1.1 Mục tiêu đánh giá 62 4.1.2 Thông tin WS 63 4.1.3 Thông tin môi trƣờng triển khai phần mềm 64 4.2 M HÌNH CHI TIẾT QUY TRÌNH ĐÁNH GIÁ AN TO N WS 65 4.3 ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ ĐỘ AN TO N KHI CHUYỂN GIAO V HỖ TRỢ CÁC ỊCH VỤ W .65 4.3.1 Mơ hình quy trình đánh giá 65 4.3.2 Quản lý dịch vụ đối tác thứ cung cấp (Manage Third-Party Services) – DS2 67 4.3.2.1 Nhà cung cấp giao diện (Supplier Interfaces) 67 4.3.2.2 Chủ sở hữu quan hệ (Owner relationships) 67 4.3.2.3 ảo mật mối quan hệ (Security Relationships) .68 4.3.3 Đảm bảo t nh liên tục dịch vụ ( nsure continuous service) – DS4 .69 4.3.3.1 Nguồn tài nguyên CNTT quan trọng (Critical IT Resources) 69 4.3.3.2 Lƣu trữ lƣu ngoại vi (Off-site Back-up Storage) 70 4.3.4 4.3.4.1 ảo đảm an ninh hệ thống ( nsure Systems Security) – DS5 70 Định danh, xác thực truy cập (Identification, Authentication and Access) 70 4.3.4.2 Đảm bảo an toàn việc truy cập trực tuyến tới liệu (Security of Online Access to Data) 71 4.3.4.3 Quản lý tài khoản ngƣời dùng (User Account Management) .71 4.3.4.4 Đánh giá việc quản lý tài khoản ngƣời dùng (Management Review of User Accounts) 72 4.3.4.5 Kiểm soát ngƣời dùng tài khoản ngƣời dùng (User Control of User Accounts) 72 4.3.4.6 Giám sát an ninh (Security Surveillance) 72 4.3.4.7 Quản lý tập trung việc định danh quyền truy cập (Central Identification and Access Rights Management) 72 4.3.4.8 Độ tin cậy đối tác (Counterparty Trust) 72 4.3.4.9 Cấp phép giao dịch (Transaction Authorisation) 73 4.3.4.10 Chống phủ nhận (Non-Repudiation) .73 4.3.4.11 Đƣờng có độ tin cậy (Trusted Path) 73 4.3.4.12 Quản lý khóa mã hóa (Cryptographic Key Management) 73 4.4 ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ ĐỘ AN TO N KHI LẬP KẾ HOẠCH V TỔ CHỨC ỊCH VỤ W B 74 4.4.1 Mơ hình quy trình đánh giá 74 4.4.2 Định nghĩa kiến trúc thông tin ( efine The Information Architecture) – PO2 .74 4.4.2.1 Sơ đồ phân loại liệu .74 4.4.2.2 Các cấp độ bảo mật 74 4.4.3 M HÌNH CHI TIẾT QUY TRÌNH ĐÁNH GIÁ TO N WS .75 Tổng kết chƣơng: 76 CHƢƠNG 5: ỨNG ỤNG X Y ỰNG WS ỰA TR N QUY TRÌNH ĐÁNH GIÁ AN TO N ĐÃ ĐỀ XUẤT 77 Giới thiệu: 77 5.1 L O VIỆC CHỌN X Y ỰNG ỨNG ỤNG ỊCH VỤ CHAT 77 5.2 PH N T CH HỆ TH NG .77 5.2.1 Phân t ch chức vẽ biểu đồ phân cấp chức .77 5.2.1.1 Chức Quản lý ngƣời dùng 78 5.2.1.2 Chức Chat 79 5.2.1.3 Chức Hiển thị 79 5.2.1.4 iểu đồ phân cấp chức .79 5.2.2 Phân t ch liệu biểu đồ luồng liệu 80 5.2.2.1 iểu đồ luồng liệu mức ngữ cảnh 81 5.2.2.2 iểu đồ luồng liệu mức đỉnh 81 5.2.2.3 iểu đồ luồng liệu mức dƣới đỉnh 81 5.3 THIẾT KẾ CƠ SỞ Ữ LIỆU 83 5.3.1 ảng tblAccounts .83 5.3.2 ảng tblAddFriends 84 5.3.3 ảng tblMessages 84 5.4 THIẾT KẾ GIAO IỆN 85 5.4.1 Giao diện ch nh chƣơng trình .85 5.4.2 Giao diện form đăng nhập 86 5.4.3 Giao diện form tạo tài khoản .87 5.4.4 Giao diện form thêm ngƣời dùng(bạn bè) vào danh bạ 88 5.4.5 Giao diện form chat 89 5.4.6 GIAO diện form nhận tin nhắn offline 90 Tổng kết chƣơng: 90 KẾT LUẬN 91 T I LIỆU THAM KHẢO 93 ưu ý rằng, từ sau thực thao tác g th trước tiên đòi hỏi người dùng phải đăng nhập thành c ng vào hệ thống nên việc kh ng cần phải nhắc lại 5.2.1.2Chứ g Ch Cho phép ngƣời dùng gửi, nhận tin đồng thời quản lý tin gửi tin nhận ngƣời dùng 5.2.1.3Chứ g Hiể hị Hiển thị trạng thái online offline ngƣời danh bạ bạn 5.2.1.4Biể hâ ấ g Biểu đồ phân cấp chức thể việc phân rã chức năng, nhiệm vụ chƣơng trình từ tổng thể đến chi tiết 79 ChatService Quản lý user Chat Hiển thị Đăng ký tài khoản Gửi tin nhắn Hiển thị online Đăng nhập Nhận tin nhắn Hiển thị offline Trợ giúp Thêm vào danh bạ Xóa kh i danh bạ Hình 27: Biểu đồ phân c p chức 5.2.2 Phâ h iệ v biể ồ g iệ Mục đ ch việc phân tích liệu lập sơ đồ khái niệm liệu để làm cho việc thiết kế hệ thống sau Khi cài đặt ta cần phải chỉnh sửa cho phù hợp với yêu cầu thiết kế Việc phân tích hệ thống mặt liệu đƣợc thực cách độc lập với việc phân tích hệ thống mặt chức Tuy nhiên, thể qua mối liên hệ chức cách xử lý liệu 80 5.2.2.1Biể ồ g iệ ứ gữ ả h Gửi yêu cầu dịch vụ Chat Service Ngƣời sử dụng Kết trả Hình 28: 5.2.2.2Biể ồ g iệ Hình 29: iểu đồ luồng liệu mức ngữ cảnh ứ ỉ h iểu đồ luồng liệu mức đỉnh 5.2.2.3Biể ồ g iệ ứ d ới ỉ h i Chức quản lý ngƣời dùng 81 Hình 30: ii Biểu đồ luồng liệu mức đỉnh, chức quản lý người dùng Chức chat Hình 31: iii iểu đồ luồng liệu mức đỉnh Chat Chức hiển thị 82 Hình 32: Biểu đồ luồng liệu mức đỉnh hiển thị 5.3 THIẾT KẾ CƠ SỞ DỮ LIỆU Cơ sở liệu đƣợc sử dụng hỗ trợ cho việc quản lý liệu chƣơng trình đƣợc thiết kế hệ CSDL SQL Server CSDL chƣơng trình gồm có bảng liệu sau: 5.3.1 Bả g b A o s ùng để lƣu thông tin tài khoản ngƣời dùng, cụ thể trƣờng nhƣ sau: T ờng Độ rộng Kiểu liệu Mô tả Username Varchar 50 Tên đăng nhập Password Varchar 50 Mật Fullname Varchar 50 Tên đầy đủ Gender Varchar 50 Giới tính Birthday Datetime Ngày sinh Country Varchar 50 Quốc gia City Varchar 50 Thành phố Telephone Varchar 50 Số điện thoại 83 Email Varchar 50 Địa thƣ điện tử Question Varchar 50 Câu h i bảo mật Answer Varchar 50 Câu trả lời Avatar Varchar 50 Hình đại diện State Varchar 50 Trạng thái Hide Varchar 50 Ẩn 5.3.2 Bả g b AddF ie ds ùng để lƣu thông tin ngƣời dùng (nickname) thêm vào danh bạ, cụ thể trƣờng nhƣ sau: T ờng Kiểu liệu Độ rộng Mô tả Username Varchar 50 Tên ngƣời dùng Frienduser Varchar 50 Tên ngƣời dùng khác đƣợc thêm vào Groupname Varchar 50 Tên nhóm ngƣời dùng Date Datetime Ngày thêm ngƣời dùng 5.3.3 Bả g b Mess ges Dùng lƣu thông tin thông điệp (tin nhắn) ngƣời dùng, cụ thể trƣờng nhƣ sau: T ờng Kiểu liệu Độ rộng Mô tả Username Varchar 50 Tên ngƣời gửi Touser Varchar 50 Tên ngƣời nhận Mess Varchar 50 Nội dung thông điệp Messdatetime Varchar Thời gian gửi thông điệp State Varchar 50 Trạng thái ngƣời gửi 84 5.4 THIẾT KẾ GIAO DIỆN 5.4.1 Gi o diệ h h ủ h g ì h Giao diện ch nh nơi thao tác ch nh, ngƣời sử dụng chọn chức nhƣ phần thiết kế chức giới thiệu để mở cửa sổ tƣơng ứng với chức Hình 33: Giao diện chương tr nh 85 5.4.2 Gi o diệ fo g h Là nơi ngƣời sử dụng đăng nhập vào hệ thống tài khoản Tại ngƣời dùng tạo cho tài khoản chat cách click vào Get a new Global Chat Acount Hình 34: Giao diện form đăng nhập 86 5.4.3 Gi o diệ fo ạo i khoả ới Là nơi cho phép ngƣời dùng điền thông tin cần thiết để tạo tài khoản chat Hình 35: Giao diện form tạo tài khoản 87 5.4.4 Gi o diệ fo h g ời dù g(bạ bè) v o d h bạ Là nơi cho phép ngƣời dùng điền thông tin cần thiết để tạo tài khoản chat Hình 36: Giao diện form thêm người dùng 88 5.4.5 Gi o diệ fo h Là nơi cho phép ngƣời dùng gửi, nhận thông điệp cho bạn bè trạng thái online(trực tuyến) hay offline(ngoại tuyến) Hình 37: Giao diện form chat 89 5.4.6 GIAO diệ fo h i hắ off i e Là nơi cho phép ngƣời dùng nhận thông điệp bạn bè gửi tới trạng thái offline (ngoại tuyến) Ngƣời dùng gửi lại (reply) thơng điệp cho bạn từ sổ Hình 38: Giao diện form tin nhắn offline Tổng kết chương: Như t i vừa tr nh bày việc ứng dụng W để ây dựng dịch vụ chat Để đánh giá độ an toàn dịch vụ theo m h nh đề u t t i đặc tả tương ứng với tiêu chí ác quy tr nh ặc dù chưa thể đánh giá hết t t tiêu chí an tồn phần mềm, nhiên m h nh đề u t kh ng định đắn việc ây dựng dịch vụ Web đảm bảo tiêu chí an tồn để đưa vào sử dụng 90 Cá ội d g ho h KẾT LUẬN h o g v Nghiên cứu tìm hiểu cơng nghệ Web phƣơng diện: dịch vụ, ứng dụng lỗ h ng bảo mật ứng dụng Web Từ nhận định vấn đề bảo mật dịch vụ Web (các tiêu ch đánh giá độ an toàn: t nh bảo mật, t nh phân quyền, t nh phủ nhận, t nh xác thực t nh toàn v n) để làm sở cho việc áp dụng vào quy trình đá giá sau Một nội dung quan mà đề tài đạt đƣợc phân t ch, đánh giá ƣu nhƣợc điểm phƣơng pháp đánh giá độ an tồn phần mềm nói chung (mơ hình hóa đe dọa, thử thâm nhập phƣơng pháp xem lại mã nguồn) Trong sâu, phân t ch k phƣơng pháp quản lý CNTT CO IT Và từ việc tìm hiểu, phân t ch k phƣơng pháp CO IT, kết hợp với tiêu ch đánh giá an toàn dịch vụ Web đề cập phần trên, luận văn đến phần nội dung nghiên cứu ch nh, đề xuất đƣa quy trình đánh giá độ an tồn WS theo tiêu ch dựa COBIT Trong quy trình đánh giá độ an toàn dịch vụ Web sở nhà quản lý CNTT o đặc tả liệu đầu vào – đầu bƣớc quy trình dựa sở nhà quản lý, nhƣ: ữ liệu đầu vào thông tin về: hệ thống (môi trƣờng sử dụng, hệ điều hành, ), liệu WS, chức dịch vụ, Đầu tiêu ch đánh giá an toàn, nhƣ: t nh xác thực, t nh b mật, t nh phân quyền, t nh phủ nhận t nh toàn v n Các bƣớc quy trình là: Triển khai Hỗ trợ Lập kế hoạch Tổ chức Và nội dung cuối luận văn, xây dựng ứng dụng dịch vụ chat nhằm kiểm định t nh đắn mơ hình đƣa Kết nhƣ mong muốn, dịch vụ chat đảm bảo đƣợc tiêu ch an tồn, là: t nh b mật, t nh phân quyền, t nh phủ nhận, t nh xác thực t nh toàn v n Cá ó g gó kho họ Tổng hợp nghiên cứu lý thuyết đối tƣợng: 91 Web service phƣơng diện: ứng dựng, k thuật, quy trình xây dựng độ an tồn bảo mật Tìm hiểu lỗ hổng bảo mật ứng dụng web dễ bị công Kết hợp nghiên cứu tiêu chuẩn an toàn bảo mật WS Nghiên cứu, phân t ch phƣơng pháp đánh giá phần mềm nói chung Trong tập trung sau nghiên cứu phƣơng pháp quản lý CNTT CO IT Từ đề xuất quy trình đánh giá độ an tồn WS theo tiêu ch an tồn tìm hiểu phần Để đánh giá t nh đắn mơ hình đề xuất, luận văn c n tiến hành xây dịch WS dịch vụ chat với mục đ ch ứng dụng kiểm nghiệm co mơ hình vừa đề xuất H g há iể ủ ề i Nếu đƣợc đầu tƣ thời gian có đƣợc giúp đỡ từ quý thầy cô bạn bè, luận văn tiếp tục nghiên cứu, cải tiến quy trình để đánh giá đƣợc tất tiêu ch an toàn bảo mật Đồng thời đánh giá mức độ rủi ro để đƣa cảnh báo kịp thời cho ngƣời dùng Ngồi c n kết hợp quy trình với phƣơng pháp khác nhằm đánh giá phát lỗ hổng ứng dụng web dễ bị công 92 TÀI LIỆU THAM KHẢO [1] Web Service Choreography Interface (WSCI) 1.0 W3C Specification, 2002 [2] XML Encryption Syntax and Processing W3C Recommendation, 2002 [3] Improving Web Application Security: Threats and Countermeasures Technical report, MSDN Library, 2003 [4] Web Service Security OASIS Standard, 2006 [5] Web Service Description Language (WSDL) Version 2.0 Part 1: Core Language W3C Recommendation, 2007 [6] WS-SecureConversation 1.3 OASIS Standard, 2007 coordination In Current Trends in Database Technology – EDBT 2006, pages 105114, Munich, Germany, 2006 Springer-Verlag Berlin Heidelberg [7] T.-H.-G Vu, C.Bobineau, C.Collet, and G Vargas-Solar MEOBI: Secure service coordination framework Poster of the 22th Conference on Advanced Databases, 2006 [8] T.-H.-G Vu, C Collet, and G Vargas-Solar Defining and modeling secure service-based systems In Proceedings of the 14th International Conference on Cooperative Information Systems, OTM Fedrated Conferences and Workshops, Montpellier, France, 2006 Springer-Verlag [9] T.-H.-G Vu, C.Collet, and G Vargas-Solar Secros: Secure service coordination [10] CobiT 4.1, ©2007 IT Governance Institute – www.itgi.org [11] The IT Governance Institute - www.isaca.org/cobitinput [12] CobiT Security baseline applied to business web applications [13] COBIT process assessment model (PAM) using CobiT 4.1 - www.isaca.org [14] OWASP Top 10-2010 – The ten most critical Web application security risks 93 ... n đề lơn cho dịch vụ Web mà đưa sử dụng an toàn? Vậy an tồn dịch vụ Web, ta tìm hiểu chương 24 CHƯƠNG : ĐẢM BẢO AN TOÀN CHO CÁC DỊCH VỤ WEB Giới thiệu: Như chương ta biết dịch vụ Web liên kết... tổng quan an tồn dịch vụ Web (Web service – WS); Kiến trúc dịch vụ Web; Quy trình xây dựng WS,… o Chƣơng 2: Tìm hiểu khái niệm: An tồn thơng tin; An tồn dịch vụ Web Các thuật ngữ liên quan đến... đến độ an tồn cho khách hàng, mà cịn ảnh hưởng chung đến an toàn hệ thống Internet Vậy, để đánh giá dịch vụ Web an tồn? Để đáp ứng nhu cầu cần phải có m h nh đánh giá độ bảo mật an toàn Web nhằm