HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG - NGÔ NGỌC GIANG ĐẢM BẢO AN TỒN THƠNG TIN CHO HỆ THỐNG E-LEARNING TRƢỜNG ĐẠI HỌC ĐẠI NAM CHUYÊN NGÀNH : MÃ SỐ : HỆ THỐNG THƠNG TIN 8480104 TĨM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT NGƢỜI HƢỚNG DẪN KHOA HỌC: TS ĐỖ XUÂN CHỢ HÀ NỘI - 2017 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS ĐỖ XUÂN CHỢ Phản biện 1: ………………………………………………………… Phản biện 2: ……………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Lý chọn đề tài Chương trình ứng dụng cơng nghệ thơng tin (CNTT) nhằm đại hóa q trình giảng dạy lưu trữ thông tin Bộ giáo dục đạo tạo mang lại kết lớn đặc biệt tiện ích cho sinh viên Một ứng dụng CNTT triển khai nhiều Hệ thống đào tạo trực tuyến E-learning Hệ thống đào tạo trực tuyến E-learning tạo cầu nối giao tiếp nhanh chóng thuận tiện cho nhà trường, học sinh phụ huynh Hệ thống ứng dụng triển khai nhiều nước giới Tuy nhiên, Việt Nam ứng dụng tương đối mẻ lạ lẫm Một số kết luận đánh giá hiệu hệ thống thông tin rằng: Hệ thống đào tạo trực tuyến E-learning hệ thống thông tin đại, mang lại tiện ích lớn thiết thực cho người học Tuy nhiên, bên cạnh lợi ích hữu Hệ thống đào tạo trực tuyến E-learning số bất cập mang lại rủi ro cao cách sử dụng quản lý Một rủi ro nhắc đến nhiều nguy an tồn thơng tin cho liệu Hệ thống đào tạo trực tuyến E-learning Có nhiều lý khách quan chủ quan dẫn đến tình trạng an tồn thơng tin cho liệu hệ thống kỹ thuật công biết bị xem nhẹ Trường Đại học Đại Nam trường đại học đầu nước vấn đề ứng dụng CNTT công tác giảng dạy học tập Hệ thống đào tạo trực tuyến E-learning trường nghiên cứu triển khai thực tế Tuy nhiên, ứng dụng CNTT khác, hệ thống thông đào tạo trực tuyến E-learning nhà trường từ lúc xây dựng đến lúc vào hoạt động chủ yếu coi trọng đến chức hệ thống chưa có đánh giá mức độ an tồn thơng tin hệ thống Chính vậy, công mạng khai thác thành công lỗ hổng tiềm ẩn hệ thống chắn rủi ro lớn Từ lý trên, học viên với giúp đỡ TS Đỗ Xuân Chợ lựa chọn đề tài: “Đảm bảo an tồn thơng tin cho hệ thống E-learning trường Đại học Đại Nam” Tổng quan vấn đề cần nghiên cứu E-learning (viết tắt Electronic Learning), E-learning thuật ngữ dùng để mô tả việc học tập đào tạo dựa CNTT truyền thơng E-learning hình thức học trực tuyến phổ biến nước có cơng nghệ phát triển, với nhiều môn học trung tâm đào tạo Đây phương pháp học có chi phí thấp, khả đem lại hội học tập bình đẳng cho tất người địa điểm Hiện nay, có nhiều lựa chọn giải pháp công nghệ để xây dựng hệ thống đào tạo trực tuyến E-learning Mỗi giải pháp công nghệ có ưu điểm nhược điểm định Chính vậy, lựa chọn giải pháp cho hệ thống đào tạo trực tuyến E-learning cần lưu ý đến vấn đề nhu cầu quy mô đào tạo dạy học đơn vị Trong khuôn khổ luận văn, học viên nghiên cứu trình bày mơ thành phần hệ thống đào tạo trực tuyến E-learning trường Đại học Đại Nam Do đặc điểm hệ thống đào tạo trực tuyến E-learning có số lượng lớn người truy cập khách vãng lai, sinh viên, giảng viên hay quản trị viên Chính vậy, việc quản lý thông tin đảm bảo tính chất an tồn thơng tin hệ thống điều khó khăn Kẻ cơng công vào hệ thống để ngăn cản người dùng truy cập, đánh cắp sửa kết thi Từ mối nguy hại mà cơng đã, gây nên vấn đề phịng chống cơng vào hệ thống đào tạo trực tuyến E-learning vấn đề vô quan trọng cấp thiết Phương pháp phòng chống công lên hệ thống đào tạo trực tuyến E-learning dựa phương diện quản lý rủi ro, cơng nghệ phương diện người Mục đích nghiên cứu • Tìm hiểu hệ thống đào tạo trực tuyến E-learning: Cơng nghệ, kỹ thuật, thành phần • Tìm hiểu nguy an tồn thơng tin hệ thống đào tạo trực tuyến Elearning • Áp dụng biện pháp, kỹ thuật đảm bảo an toàn thông tin cho hệ thống đào tạo trực tuyến E-learning Đối tƣợng phạm vi nghiên cứu • Đối tượng nghiên cứu: Hệ thống đào tạo trực tuyến E-learning kỹ thuật cơng lên hệ thống • Phạm vi nghiên cứu: Các kỹ thuật, công cụ để công lên hệ thống đào tạo trực tuyến E-learning biện pháp đảm bảo an tồn thơng tin Phƣơng pháp nghiên cứu Dựa sở lý thuyết hệ thống đào tạo trực tuyến E-learning nguy an tồn thơng tin; giải pháp cơng nghệ an tồn cho hệ thống thơng tin II NỘI DUNG Với mục tiêu đặt nội dung kết luận văn trình bày qua ba chương sau: Chƣơng 1, trình bày tổng quan hệ thống đào tạo trực tuyến E-learning trạng phát triển hệ thống đào tạo trực tuyến E-learning giới Việt Nam Bên cạnh đó, chương này, luận văn trình bày tổng quan hệ thống đào tạo trực tuyến E-learning triển khai trường Đại học Đại Nam Chƣơng 2, luận văn trình bày nguy cơ, điểm yếu, mối đe dọa hệ thống đào tạo trực truyến E-learning Bên cạnh luận văn trình bày phương pháp nhằm đánh giá, đảm bảo an tồn thơng tin cho hệ thống đào tạo trực truyến Elearning dựa phương diện quản lý rủi ro, người, cơng nghệ Trong luận văn tập trung sâu nghiên cứu vào phương diện cơng nghệ nhằm đánh giá, đảm bảo an tồn thơng tin cho hệ thống đào tạo trực truyến E-learning Chƣơng 3, luận văn thực đánh giá mức độ an toàn hệ thống đào tạo trực tuyến E-learning cách sử dụng cơng cụ để tìm kiếm lỗ hổng, điểm yếu, mối đe dọa thực công vào hệ thống thông qua việc khai thác mối đe dọa vừa tìm kiếm CHƢƠNG 1: GIỚI THIỆU VỀ HỆ THỐNG E-LEARNING TRƢỜNG ĐẠI HỌC ĐẠI NAM 1.1 Tổng quan E-learning 1.1.1 Giới thiệu chung Đào tạo trực tuyến hay gọi E-Learning (Electronic Learning) thuật ngữ dùng để mô tả việc học tập đào tạo dựa CNTT truyền thơng Cũng hiểu E-Learning phân phát nội dung học sử dụng công cụ điện tử đại máy tính, mạng máy tính, mạng vệ tinh, mạng Internet, Intranet… nội dung học thu từ Website, đĩa CD, băng video, audio… thơng qua máy tính hay TV; người dạy học giao tiếp với qua mạng hình thức như: e-mail, thảo luận trực tuyến (chat), diễn đàn (forum), hội thảo, video [5, 6, 8, 9] Kiến trúc hệ thống E-Learning: hệ thống E-Learning phải tương tác tốt với hệ thống khác trường học hệ thống quản lý sinh viên, hệ thống quản lý giảng viên, lịch giảng dạy… hệ thống doanh nghiệp ERP, HR Một số loại hình đào tạo E-Learning: Đào tạo dựa công nghệ (TBT Technology - Based Training ); Đào tạo dựa máy tính (CBT - Computer - Based Training); Đào tạo dựạ Web (WBT - Web - Based Training); Đào tạo trực tuyến (Online Learning/Training); Đào tạo từ xa (Distance Learning) 1.1.2 Hiện trạng phát triển sử dụng E-learning giới Tại Mỹ: Khoảng 80% trường ĐH sử dụng phương pháp đào tạo trực tuyến, có khoảng 35% chứng trực tuyến thức cơng nhận; Singapore: Khoảng 87% trường Đại học sử dụng phương pháp đào tạo trực tuyến; tính đến năm 2005, Hàn Quốc có trường Đại học trực tuyến mạng Hiện có nhiều cơng ty lớn đầu tư vào E-learning, bật công ty SAP, Click2Learn, Docent, Saba, IBM, Oracle, NTT, NEC [5, 6, 8, 9] 1.1.3 Hiện trạng phát triển sử dụng E-learning Việt Nam Trong thời gian từ năm 2006, E-learning có nhiều khởi sắc, phần quan tâm phủ, phần nỗ lực doanh nghiệp CNTT nghiên cứu E-learning để đẩy mạnh giáo dục nước nhà Điển hình năm 2007, thi danh giá ngành CNTT – “Nhân tài đất Việt” Bộ Giáo dục Đào tạo, Bộ Khoa học Công nghệ, Bộ Thông tin Truyền thông đồng tổ chức trao tặng giải Nhất cho giải pháp E-learning Với giải pháp này, triển khai thành công cho số Bộ, Ngành, Tổng công ty lớn trường Đại học Cho đến nay, Việt Nam có nhiều sở giáo dục đào tạo bắt đầu triển khai đào tạo E-learning Tùy theo mức độ ứng dụng CNTT truyền thông đào tạo, mức độ đầu tư học liệu điện tử mục đích đào tạo mà việc triển khai đào tạo E-learning sở đào tạo có khác Các sở đào tạo phần lớn triển khai E-learning để đào tạo khóa ngắn hạn hay để hỗ trợ cho hệ đào tạo qui Các đơn vị thực theo mơ hình hỗ trợ cho hệ đào tạo qui chủ yếu đáp ứng nhu cầu theo dõi học liệu sinh viên Trong số sở đào tạo E-learning Việt Nam, nói Đại học Đại Nam trường ngồi cơng lập trọng việc xây dựng, phát triển hệ thống công nghệ E-learning, nhà trường triển khai xây dựng học liệu điện tử cho nhiều ngành, triển khai nhiều khóa đào tạo đại học ứng dụng E-learning tồn phần với khóa học có mức độ tương tác cao [5, 6, 8, 9] 1.1.4 Đánh giá ƣu nhƣợc điểm E-learning a) Ƣu điểm [5, 6, 8, 9]: - Đối với nội dung học tập: Nội dung học tập phân chia thành đối tượng tri thức riêng biệt theo lĩnh vực, ngành nghề rõ ràng Điều tạo tính mềm dẻo cao hơn, giúp cho sinh viên chọn lựa khóa học phù hợp với nhu cầu học tập Sinh viên tự tạo cho kế hoạch học tập, thực hành, hay sử dụng phương tiện tìm kiếm để tìm chủ đề theo yêu cầu nội dung môn học cập nhật, phân phối dễ dàng, nhanh chóng Tất sinh viên có phiên máy tính lần truy cập sau - Đối với giảng viên: E-learning cho phép liệu tự động lưu lại máy chủ, thơng tin thay đổi phía người truy cập vào khóa học Giảng viên theo dõi sinh viên dễ dàng đồng thời đánh giá sinh viên thông qua cách trả lời câu hỏi kiểm tra thời gian trả lời câu hỏi Điều giúp cho giảng viên đánh giá công lực học sinh viên - Đối với việc đào tạo chung: E-learning giúp giảm chi phí học tập: Bằng việc sử dụng giải pháp học tập qua mạng, nhà trường giảm chi phí học tập tiền lương phải trả cho giảng viên, tiền th phịng học, chi phí lại, ăn sinh viên E-learning giúp làm giảm tổng thời gian cần thiết cho việc học Giảng viên sinh viên truy cập vào khóa học chỗ nào, thời điểm mà không thiết phải trùng b) Nhƣợc điểm [5, 6, 8, 9]: - Chi phí triển khai: Việc triển khai hệ thống E-learning cần có chi phí lớn, mặt khác có rủi ro định Ngồi ra, cần phải xem xét cơng nghệ thời có đáp ứng mục đích đào tạo hay khơng, chi phí đầu tư cho cơng nghệ có hợp lý khơng , khả làm việc tương thích hệ thống phần cứng phần mềm cần xem xét - Khó khăn việc tiếp cận công nghệ mới; môi trường học tập phân tán 1.2 Lựa chọn công nghệ áp dụng vào E-learning 1.2.1 Một số hình thức E-learning [5, 6, 8, 9]: - Đào tạo dựa công nghệ (TBT - Technology-Based Training) hình thức đào tạo có áp dụng cơng nghệ, đặc biệt dựa CNTT - Đào tạo dựa máy tính (CBT - Computer-Based Training): hình thức đào tạo có sử dụng máy tính - Đào tạo dựa web (WBT - Web-Based Training): hình thức đào tạo sử dụng cơng nghệ web Nội dung học, thơng tin quản lý khố học, thông tin người học lưu trữ máy chủ người dùng dễ dàng truy nhập thơng qua trình duyệt Web Người học giao tiếp với với giảng viên, sử dụng chức trao đổi trực tiếp, diễn đàn, e-mail chí nghe giọng nói nhìn thấy hình ảnh người giao tiếp với - Đào tạo trực tuyến (Online Learning/Training): hình thức đào tạo có sử dụng kết nối mạng để thực việc học: lấy tài liệu học, giao tiếp người học với với giảng viên - Đào tạo từ xa (Distance Learning): hình thức đào tạo người dạy người học khơng chỗ, chí khơng thời điểm Ví dụ việc đào tạo sử dụng cơng nghệ hội thảo cầu truyền hình cơng nghệ web 1.2.2 Giải pháp Vlearning Moodle (Modular Object-Oriented Dynamic Learning Environment) môi trường học tập theo phân đoạn, hướng đối tượng động Moodle sáng lập năm 1999 Martin Dougiamas Vlearning chất gói phần mềm thiết kế để giúp nhà giáo dục tạo khóa học trực tuyến có chất lượng Trong tương lai, Vlearning phát triển hệ thống Moodle tích hợp đầy đủ tính Moodle cộng đồng phát triển Tuy nhiên, sản phẩm Vlearning phát triển dựa yêu cầu thực tế nhằm phù hợp với môi trương phát triển giáo dục Việt Nam Một bước quan trọng mà tổ chức muốn triển khai E-learning cần thực trước lựa chọn giải pháp việc xác định nhu cầu tất đối tượng tham gia trình học tập, từ học viên, giảng viên chuyên viên quản lý đào tạo, chuyên viên xây dựng chương trình Dựa vào nhu cầu này, tùy theo khả tài chính, mơ hình kinh doanh đơn vị mà họ có lựa chọn giải pháp hợp lý cho Giải pháp xây dựng hệ thống dựa phần mềm nguồn mở giải pháp tối ưu, giúp đơn vị triển khai có hiệu phù hợp với yêu cầu đặc thù cho nội dung đào tạo mà dễ dàng phát triển, nâng cấp hệ thống tương lai 1.3 Ứng dụng Moodle hệ thống giáo dục trực tuyến 1.3.1 Hiện trạng sử dụng Moodle giới Việt nam Cộng đồng Moodle Việt Nam thành lập tháng năm 2005 với mục đích xây dựng phiên tiếng Việt hỗ trợ trường triển khai Moodle Từ đến nay, nhiều trường đại học, tổ chức cá nhân Việt Nam dùng Moodle Có thể nói Moodle LMS thông dụng Việt Nam Cộng đồng Moodle Việt Nam giúp bạn giải khó khăn cài đặt, cách dùng tính năng, cách chỉnh sửa phát triển Và cộng đồng Moodle Việt Nam xây dựng công cụ Moodle [5, 6, 8, 9] 1.3.2 Lựa chọn sử dụng Moodle Hiện nay, nhiều đơn vị giáo dục lựa chọn công nghệ Moodle để xây dựng phát triển hệ thống E-learning Công nghệ Moodle lựa chọn giải phát tối ưu nhât vì: - Moodle phần mềm mã nguồn mở giúp giảm bớt chi phí cho q trình xây dựng phát triển hệ thống - Moodle dễ dùng với giao diện trực quan, giảng viên cần thời gian ngắn để làm quen sử dụng thành thạo Moodle - Tài liệu hỗ trợ Moodle đồ sộ chi tiết, điều hỗ trợ người dùng tổ chức nhanh chóng tiếp cần làm chủ công nghệ - Công nghệ tốt so với sản phẩm khác - Moodle cung cấp tính hướng tới giáo dục chúng xây dựng người làm lĩnh vực giáo dục - Moodle có cộng đồng lớn vậy, phần mềm dịch 96 ngôn ngữ sử dụng 215 quốc gia khác Nên khả hổ trợ lớn - Moodle cho phép trao đổi trực tiếp với người phát triển phần mềm, góp ý kiến yêu cầu chỉnh sửa 1.4 Mơ hình hệ thống E-learning trƣờng Đại học Đại Nam Trong giai đoạn đầu triển khai, việc cung cấp công nghệ đào tạo E-learning đối tác phối hợp với Trường Đại học Đại Nam Đến nay, nhà trường xây dựng chủ động hệ thống công nghệ E-learning để triển khai đào tạo trực tuyến Một số tiêu chuẩn áp dụng trình xây dựng hệ thống E-learning: - Chuẩn đóng gói (packaging standards): Cho phép ghép khóa học tạo công cụ khác nhà sản xuất khác thành gói nội dung (packages) Các chuẩn cho phép hệ thống quản lý nhập sử dụng khóa học khác - Chuẩn trao đổi thơng tin (communication standards): Nhóm chuẩn thứ hai cho phép hệ thống quản lý đào tạo hiển thị học đơn lẻ Hơn nữa, theo dõi kết kiểm tra học viên, trình học tập học viên Chuẩn quy định đối tượng học tập hệ thống quản lý trao đổi thông tin với - Các chuẩn metadata (metadata standards): Nhóm chuẩn quy định cách mà nhà sản xuất nội dung mơ tả khóa học module để hệ thống quản lý tìm kiếm phân loại cần thiết - Chuẩn chất lượng module khóa học (quality standards) Chuẩn kiểm sốt tồn q trình thiết kế khóa học khả hỗ trợ khóa học với đối tượng người học 1.4.1 Hạ tầng truyền thông mạng Hạ tầng truyền thông mạng: Bao gồm thiết bị đầu cuối người dùng (học viên), thiết bị sở cung cấp dịch vụ, mạng truyền thông Hệ thống thông tin trường Đại học Đại Nam sử dụng số cổng dịch vụ truyền thơng Có hai tổ chức đưa chuẩn liên kết thực thi nhiều hệ thống quản lý học tập Aviation Industry CBT Committee (AICC) SCORM 1.4.2 Hạ tầng phần mềm 13 CHƢƠNG 2: AN TỒN THƠNG TIN CHO HỆ THỐNG E-LEARNING TRƢỜNG ĐẠI HỌC ĐẠI NAM 2.1 Các nguy an tồn thơng tin hệ thống E-learning 2.1.1 Khái quát mối đe dọa lỗ hổng  Mối đe dọa (Threat): Các mối đe dọa (threat) đến an toàn hệ thống hành động kiện/hành vi có khả xâm hại đến độ an toàn hệ thống E-learning Mục tiêu đe dọa công (Target): chủ yếu dịch vụ an ninh (dịch vụ www, DNS, …) Mối đe dọa có nhiều để khai thác có số [1, 2, 3, 4, 7]  Lỗ hổng (Vulnerability): Lỗ hổng khiếm khuyết điểm yếu hệ thống tạo điều kiện cho phép mối đe dọa gây tác hại, tạo ngưng trệ dịch vụ hệ thống hay nguy hiểm cửa vào, hệ thống hacker [1, 2, 3, 4, 7] Một số lỗ hổng phổ biến hệ thống đào tạo E-learning [1, 2, 3, 4, 7]:  Lỗ hổng hệ điều hành  Lỗ hổng phần mềm ứng dụng  Lỗ hổng hệ thống sở liệu  Lỗ hổng người dùng 2.1.2 Mục đích đảm bảo an tồn thơng tin cho hệ thống E-learning Các hệ thống đảm bảo ATTT (An tồn thơng tin) cho hệ thống đào tạo trực tuyến E-learning nhằm đảm bảo tính chất quan trọng [1, 2, 3, 4, 7]: - Tính bí mật (Confidentiality): bảo vệ liệu không bị lộ ngồi cách trái phép Ví dụ: Trong hệ thống học trực tuyến, sinh viên phép xem thông tin kết học tập khơng phép xem thơng tin sinh viên khác - Tính toàn vẹn (Integrity): người dùng ủy quyền phép chỉnh sửa liệu Ví dụ: Trong hệ thống học trực tuyến, không cho phép sinh viên phép tự thay đổi thông tin kết học tập - Tính sẵn sàng (Availability): đảm bảo liệu sẵn sàng người dùng ứng dụng ủy quyền yêu cầu Ví dụ: Trong hệ thống học trực tuyến, cần đảm bảo sinh viên truy vấn thơng tin kết học tập lúc nơi đâu 2.1.3 Một số loại hình cơng hệ thống E-learning  Tấn công mã độc: Đối với hệ thống E-learning công mã độc làm ảnh hưởng đến chất lượng dịch vụ ảnh hưởng đến tính tồn vẹn bí mật hệ thống Ví dụ: sinh viên người dùng lợi dụng phát tán mã độc lên 14 hệ thống để chiếm quyền điều khiển hệ thống thay đổi điểm thành phần xóa liệu Đối với hệ thống E-learning kỹ thuật cơng mã độc nguy hiểm khó phát đa số hệ thống hệ thống E-learning chế ATTT nói chung chế phát mã độc hành vi phát tán mã độc chưa xem nặng [1, 2, 3, 4, 7]  Tấn công từ chối dịch vụ (DoS- Denial of Service Attacks): Kỹ thuật công DOS lên hệ thống E-learning dễ dàng thực hiện, phịng chống kỹ thuật cơng gần chưa có biện pháp khả thi Người dùng lợi dụng kỹ thuật để công làm cho hệ thông E-learning hoạt động tình cần thiết như: thi học kỳ, đăng ký tín [1, 2, 3, 4, 7].…  Tấn cơng từ chối dịch vụ phân tán (DdoS – Distributed Denial of Service): Tương tự công DOS, cơng DdoS thực khó để ngăn chặn hồn tồn Những gói tin đến Firewall chặn lại, hầu hết chúng đến từ địa IP chưa có Access Rule Firewall gói tin hồn tồn hợp lệ [1, 2, 3, 4, 7]  Tấn công kiểu Social Engineering: Tấn công kiểu Social Engineering dạng công sử dụng kĩ thuật xã hội thuyết phục người dùng tiết lộ thông tin truy nhập thơng tin có giá tị cho kẻ cơng Người dùng sinh viên, học viện, nghiên cứu viên sử dụng hệ thống E-learning khơng có ý thức cảnh giác tuân thủ sách đảm bảo ATTT nhà trường hồn tồn mục tiêu kỹ thuật công Khi kỹ thuật thành công không ảnh hưởng đến hộ thống mà cịn ảnh hưởng đến uy tín danh dự người bị công Trong thực tế, kỹ thuật công kiểu Social Engineering dễ thực cơng lợi dụng vào điểm yếu người [1, 2, 3, 4, 7]  Tấn công SQL Injection attack: Lỗi thường xảy ứng dụng website hệ thống E-learning có liệu quản lý hệ quản trị sở liệu SQL Server, Oracle,DB2, Sysbase Tác hại từ SQL Injection attack tùy thuộc vào môi trường cách cấu hình hệ thống E-learning Nếu hệ thống Elearning sử dụng quyền người sở hữu sở liệu thao tác liệu , xóa tồn bảng liệu, tạo bảng liệu mới,… Nếu hệ thống E-learning sử dụng quyền quản trị hệ thống, điều khiển toàn hệ quản trị CSDL với quyền hạn rộng lớn tạo tài khoản người dùng bất hợp pháp để điều khiển hệ thống [1, 2, 3, 4, 7]  XSS: Cross-site Scripting (XSS) Phương thức phương thức công mà kẻ cơng chèn đoạn mã cách tùy ý lên website hệ thống E-learning Sau kẻ cơng dùng cách “lừa” người dùng thực thi với quyền quản trị mình, sau người dùng bị chiếm hồn tồn phiên làm việc diễn Sau có có thơng tin từ phía người dùng, kẻ cơng thực 15 trình “Dựng lại phiên làm việc” người dùng máy mình, kẻ cơng có tồn quyền quản lý website nạn nhân [1, 2, 3, 4, 7] 2.2 Vấn đề đảm bảo an tồn thơng tin cho hệ thống E-learning trƣờng Đại học Đại Nam 2.2.1 Một số nguy an tồn thơng tin hệ thống E-learning trƣờng Đại học Đại Nam [7, 10]  Tấn công vào hệ thống vận hành (hệ thống moodle)  Tấn công vào ứng dụng website (cổng dịch vụ hệ thống với người dùng)  Tấn công vào công tác vận hành, quản trị: Khai thác điểm yếu chế quản trị, người dùng  Tấn công vào tảng phục vụ ứng dụng website: Khai thác vào lỗ hổng webserver, máy chủ OS, DB, dịch vụ chạy máy chủ Một số nguyên nhân dẫn đến hệ thống bị cơng như:  Hệ thống mã nguồn bị lỗi bảo mật  Mã nguồn chứa virus  Cấu hình sơ sài  Chưa nắm rõ kỹ thuật  Cài đặt tùy biến mở rộng (addons,plugin, mod …) khơng kiểm duyệt Tóm lại : nghiên cứu mơ hình hệ thống E-learning trường Đại học Đại Nam thấy được, kẻ cơng lợi dụng vào thành phần để công lên hệ thống sau: Tấn công vào tảng phần mềm Moodle: Để công vào phần mềm Moodle kẻ cơng sử dụng số kỹ thuật sau [7]: - Lỗi tràn đệm[1, 2, 3, 4, 7] - Tấn công sử dụng cửa hậu (Back doors Trap doors) [1, 2, 3, 4, 7] - Tấn công mã độc [1, 2, 3, 4, 7] - Khai thác lỗ hổng zero day[1, 2, 3, 4, 7] Tấn công vào website: môi trường công này, kẻ công cơng vào hệ thống dựa thành phần - Tấn công tảng website ứng dụng: số kỹ thuật công phổ biến như: XSS ; SQL Injection, thay đổi giao diện người dùng; công DOS, DDOS [1, 2, 3, 4, 7] - Tấn cơng vào sở liệu: Ví dụ: Thay đơi SQL trình điều khiển Moodle SQL Server: Ký tự trống cho phép chuỗi truy vấn, khiến lệnh sql kết thúc lỗi [1, 2, 3, 4, 7] 16 2.2.2 Đảm bảo an tồn thơng tin cho hệ thống E-learning trƣờng Đại học Đại Nam a) Đảm bảo an tồn thơng tin cho hệ thống E-learning trường Đại học Đại Nam dựa công nghệ: - Các chế bảo mật hệ quản l học tập Moodle [1, 2, 3, 4, 7]: Moodle đưa quy định bảo vệ tài khoản hệ thống:  Thiết lập mật với độ bảo mật cao (bao gồm số chữ in hoa, chữ số, số ký tự đặc biệt, vv )  Kiểm soát truy cập dựa quyền hạn tài khoản: tài khoản tham gia vào nhiều lớp với nhiều môn học khác cho phép Người dùng cấp tất quyền cần thiết để tham gia vào hệ thống Bằng cách người dùng hoạt động hệ thống với quyền hạn Khi khơng tham gia vào khóa học sinh viên khơng thể truy nhập vào học Mơ hình quản lý dựa vào tài khoản phương pháp hạn chế truy cập trái phép vào hệ thống, cho phép nhóm xác định, người dùng nhóm chí khác nhóm  SCORM chia cơng nghệ việc học tập E-learning thành component chức Một “asset” tên gọi tượng trưng cho phương tiện truyền thông (media) văn (text), hình ảnh (image), âm (sound), mẫu liệu trang web client mà phân phát Hầu hết dạng nội dung “asset” Asset bao gồm tập tin như: “.doc, wav, jpeg, fla, mov, gif, avi, htm” - Sử dụng phần mềm Antivirus: thực tế, việc sử dụng hệ thống antivirus kết hợp với công nghệ/ kỹ thuật đạt hiệu tốt việc phòng chống tân công vào hệ thống E-learning - Sử dụng Firewalls: Tường lửa kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập số truy cập không mong muốn vào hệ thống Elearning - Xây dựng hệ thống phát ngăn chặn xâm nhập (Instrution Detection (IDS/ Instrution Prevention(IPS): Hệ thống phát xâm nhập IDS hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống bảo vệ sau tiến hành phân tích thơng tin theo cách khác để phát xâm nhập trái phép 17 - Xây dựng Security Information Event Management (SIEM): giải pháp hoàn chỉnh cho phép tổ chức thực việc giám sát kiện ATTT cho hệ thống E-learning - Hệ thống Two-Factor Authentication (Xác thực dùng hai nhân tố): Có nhiều hình thức xác thực dùng hai nhân tố có sẵn cho người dùng cuối Bằng cách thực xác thực hai yếu tố cho người dùng từ xa người dùng mà yêu cầu truy cập thơng tin nhạy cảm, tổ chức gây khó khăn cho kẻ cơng kẻ cơng cần phải cung cấp form định danh thứ hai để truy cập vào mạng Phương pháp xác thực dùng hai nhân tố sử dụng thông thường bao gồm username password tiêu chuẩn cộng với token xác thực dựa phần mềm phần cứng, cung cấp mật sử dụng lần, phải nhập vào username password trình bày cho máy chủ xác thực - Một số cơng nghệ triển khai hệ thống:  Sử dụng mật an toàn: Người dùng biết nên sử dụng mật phức tạp, làm điều Quản trị website nên sử dụng mật mạnh cho máy chủ khu vực quản trị website, kể tài khoản người dùng nên dùng tài khoản mạnh Nếu máy chủ đặt mật yếu, máy chủ bị cơng lúc nào[1, 2, 3, 4, 7]  Bảo vệ form File Upload: Các form cho phép người dùng tải lên tệp tin, rủi ro an toàn lớn, form khơng kiểm duyệt, kiểm sốt chặt chẽ, tin tặc vượt qua để tải lên tệp tin độc hại Đây điểm yếu nguy hiểm website Nếu website có form upload form phải kiểm duyệt chặt chẽ kết hợp nhiều yếu tố trước ghi file vào ổ cứng máy chủ Bao gồm: tên file, phần mở rộng, MIME TYPE, kích thước… Ngồi người quản trị đảm bảo an tồn cách khơng cho phép thực thi tệp tin thư mục chứa tài liệu upload [1, 2, 3, 4, 7]  Triển khai HTTPs: SSL giao thức cung cấp chuẩn an tồn thơng qua Internet để mã hóa liệu gửi đường truyền chống lại cơng lên website  Kiểm duyệt phía máy chủ, kiểm duyệt form nhập: Kiểm duyệt liệu đầu vào ln phải hồn thành trình duyệt phía máy chủ Trình duyệt website bắt lỗi đơn giản để trống trường bắt buộc hay nhập ký tự chữ vào trường số điện thoại Tuy nhiên, tin tặc hồn tồn vượt qua thao tác kiểm duyệt Cần đảm bảo chắn webiste kiểm duyệt liệu đầu vào gửi đến từ người dùng website b) Đảm bảo an tồn thơng tin cho hệ thống E-learning trường Đại học Đại Nam dựa việc đào tạo nâng cao nhận thức ATTT cho sinh viên cán công nhân viên: 18 Hầu hết công vào website hệ thống E-learning sử dụng kỹ thuật xã hội Chính việc đào tạo nâng cao nhận thức sinh viên cán công nhân viên tổ chức việc làm cần thiết Tất người dùng hệ thống E-learning cần biết họ cần làm (chính sách - policy), họ có kĩ để thực (huấn luyện/đào tạo - training) họ hiểu tầm quan trọng họ làm theo họ có nghĩa vụ phải làm (nhận thức - awareness) c) Đảm bảo an toàn thông tin cho hệ thống E-learning trường Đại học Đại Nam dựa việc đánh giá rủi ro xây dựng kế hoạch dự phòng, khắc phục cố: Nhiệm vụ quan trọng phòng chống lên hệ thống E-learning hiểu cần bảo vệ Hiện nay, hệ thống E-learning trường Đại Nam nâng cấp có chiến lược khắc phục cố, dự phòng cụ thể Ban quản trị lập kế hoạch quản lý rủi ro, phân bổ ngân sách nguồn lực để bảo vệ tài sản có giá trị, Đối với vấn đề bảo mật E-learning trường Đại Nam, kế hoạch quản lý rủi ro bao gồm khía cạnh sau:  Đánh giá tài sản có giá trị : Mục đích công lên hệ thống Elearning thu thập thông tin, đánh cắp liệu phá hoại tài sản Chính vậy, để phịng chống cơng vấn đề quản lí việc bảo mật thơng tin quan trọng vô quan trọng Điều thiếu cần biết rõ nơi mà tài sản thơng tin có giá trị đặt: Chúng đâu? Ai truy cập sao? Khi truy cập?  Xác định lỗ hổng hay mối đe dọa Các mối đe dọa xảy ra: Xác định mối đe dọa cụ thể mà ảnh hưởng đến hệ thống E-learning trường Đại Nam Trong có nhiều nguy cơ/mối đe dọa, điều quan trọng tập trung vào nguy thực gây tác hại thực với hệ thống Khi xác định lỗ hổng từ người quản trị vector cơng nghệ (phương pháp) mà gây thiệt hại lớn Những vector mà kẻ công sử dụng để xâm nhập/gây hại đến hệ thống Khi ban quản trị có giải pháp để phịng chống giúp giảm thiểu tối đa công  Đánh giá tình trạng bảo mật hệ thống E-learning Đối với việc phịng chống cơng lên hệ thống E-learning hệ thống bảo mật cần thực tốt vấn đề như:  Phải biết liệu quan trọng hệ thống giả pháp bảo mật cho liệu 19  Tìm đánh giá lỗ hổng bảo mật trước khắc phục chúng  Đảm bảo biện pháp bảo mật đưa Các sách xác thực mật khẩu, thủ tục quản lý vá, tưởng lửa phải thiết lập tốt  Xác định công cụ bảo mật, công nghệ, chiến lược bạn sử dụng hiệu khả chống lại cơng  Tập trung vào biện pháp đối phó: Xác định danh sách phương pháp để giảm nguy Phần quan trọng việc lựa chọn biện pháp đối phó để tìm mức độ chấp nhận rủi ro Tóm lại khơng có hệ thống miễn nhiễm với rủi ro, người quản lý phải biết phân tích đưa định rủi ro chấp nhận được, rủi ro cần làm giảm thiểu hay cần chuyển sang dạng khác Kết luận chƣơng Những kết chương sau: - Trong chương luận văn trình bày rõ nguy cơ, điểm yếu, mối đe dọa hệ thống đào tạo trực truyến E-learning nói chung hệ thống E-learning trường Đại học Đại Nam Bên cạnh luận văn trình bày phương pháp nhằm đảm bảo an tồn thơng tin cho hệ thống đào tạo trực truyến E-learning trường Đại học Đại Nam Kết nghiên cứu cho thấy để đảm bảo an tồn thơng tin cho hệ thống E-learning trường Đại học Đại Nam cần kết hợp đầy đủ yếu tố: người, sách, công nghệ 20 CHƢƠNG THỰC NGHIỆM VÀ ĐÁNH GIÁ 3.1 Kịch công cụ thực 3.1.1 Kịch công Để thực công vào hệ thống E-learning trường Đại học Đại Nam, kẻ cơng trước tiên tìm cách rà qt lỗ hổng, điểm yếu hệ thống hệ thống E-learning trường Sau có danh sách lỗ hổng điểm yếu hệ thống, kẻ cơng tìm cách khai thác lỗ hổng, điểm yếu để đánh cắp thông tin Trong luận văn, thực rà quét lỗ hổng tiến hành leo thang đặc quyền chiếm quyền điều khiển hệ thống Kịch cụ thể tồn q trình thực nghiệm sau: Bước 1: kẻ công sử dụng công cụ chuyên dụng để quét lỗ hổng, điểm yếu hệ thống E-learning trường Đại học Đại Nam Kết bước danh sách mối đe dọa, lỗ hổng hệ thống Bước 2: kẻ cơng nhận thấy khơng có khả cơng trực tiếp vào hệ thống, lỗ hổng điểm yếu khai thác mức chưa rõ ràng, đồng thời lỗ hổng điểm yếu khó để khai thác Tuy nhiên, kẻ cơng nhận thấy hệ thống E-learning trường Đại học Đại Nam sử dụng giao diện website để hỗ trợ đăng nhập giao tiếp với người dùng Tuy hệ thống lớn hệ thống lại không sử dụng giao thức HTTPS mà sử dụng giao thức HTTP để truyền tin Chính vậy, kẻ cơng tìm cách nghe nén thu thập thông tin Về lý thuyết có nhiều cách để thu thập thông tin người dùng từ hệ thống không sử dụng giao thức truyền tin an toàn Trong luận văn này, học viên lựa chọn phương thức nghe nén đường truyền mạng nội Đây kỹ thuật tương đối đơn giản, mang lại hiệu cao, đặc biệt hữu hiệu việc bắt gói tin đường truyền không sử dụng giao thức HTTPS Bước 3: kẻ công sau bắt thông tin tài khoản mật người quản trị viên Kẻ cơng lúc tìm cách leo thăng đặc quyền cách gửi WebShell lên hệ thống Rồi từ chiếm tồn điều khiển hệ thống 3.1.2 Một số công cụ thực nghiệm - VMware Workstation 10 [11] - Kali Linux [12] - Acunetix WVS (Web Vulnerability Scanner) [13] - Wireshark [14] - WebShell [15] 21 3.2 Thực nghiệm đánh giá 3.2.1 Thực nghiệm rà quét lỗ hổng bảo mật Để tìm kiếm lỗ hổng bảo mật website hệ thống E-learning trường Đại học Đại Nam, học viên xử dụng cơng cụ Acunetix WVS (hình 3.1) Chức thành phần cơng cụ Acunetix WVS trình bày mục 3.1.1 luận văn Tiếp theo, luận văn trình bày cách thưc tiến hành rà quét lỗ hổng bảo mật hệ thống E-learning trường Đại học Đại Nam Hình 3.1 Giao diện cơng cụ Acunetix WVS Hình 3.2 Kết trình rà quét website công cụ Acunetix WVS 22 Kết luận: Trên luận văn trình bày kỹ thuật cách thức để tiến hành rà quét, tìm kiếm phân tích lỗ hổng bảo mật hệ thống E-learning trường Đại học Đại Nam dựa công cụ mã nguồn mở Acunetix WVS Các kết ban đầu cho thấy hệ thống tương đối an toàn với kỹ thuật công mạng phổ biến Kết giúp cho kẻ cơng có phương án khác công vào hệ thống đào tạo E-learning trường Đại học Đại Nam 3.2.2 Thực nghiệm cơng Sau thất bại việc tìm kiếm lỗ hổng bảo mật để khai thác thông tin hệ thống E-learning trường Đại học Đại Nam Kẻ công nhận thấy việc công trực diện vào hệ thống không khả thi Nhận thấy website hệ thống Elearning trường Đại học Đại Nam không sử dụng giao thức HTTPS để thực truyền nhận tin Chính vậy, kẻ cơng tìm cách nghe nén đường truyền để nắm thơng tin q trình truyền tin Qúa trình thực tiến hành sau: Bước 1: tìm cách giả mạo địa IP mạng Lan Học viên giả thuyết rằng, kẻ công nạn nhân ngồi mạng Lan Kẻ công dùng kỹ thuật để bắt gói tin phân tích chúng Bước 2: cấu hình cho Wireshark Ở bước này, kẻ công sử dụng eth0 khởi động Hình 3.3 Thơng tin thu thập từ Wireshark Bước 3: chờ đợi thông tin đăng nhập từ nạn nhân: Quản trị vào website để nhập tài khoản quản lý 23 Hình 3.4 Nạn nhân đăng nhập thông tin Bước 6: Thu thập thông tin: Tại máy kẻ công Sau bắt gói tin, kẻ cơng điền vào tìm kiếm wireshark: http.request.method == “POST” Kết thu được thể qua hình 3.5 Hình 3.5 Kết phân tích gói tin Từ hình 3.5 cho thấy thơng tin mật tên người dùng trình đăng nhập từ máy khách chuyển máy chủ lưu dạng rõ Chính vậy, kẻ công thu thập thông tin mật người quản trị Từ thông tin này, kẻ cơng tìm cách đăng nhập vào hệ thống tiến hành tiêm mã độc vào hệ thống nhằm đánh cắp leo thang đặc quyền hệ thống Tiếp theo, luận văn mô tả trình kẻ cơng tiến hành leo thang đặc quyền chiếm quyền điều khiển toàn hệ thống Quy trình kẻ cơng tiến hành leo thang đặc quyền chiếm quyền điều khiển toàn hệ thống gồm bước sau: Bước 1: Đăng nhập vào hệ thống danh nghĩa quản trị viên: Sau biết thông tin đăng nhập quản trị viên, kẻ công tiến hành đăng nhập thơng tin máy 24 Bước 2: Tìm cách chuyển mã đơc (Web shell dạng PHP) lên hệ thống để chiếm quyền điều khiển Root server Tuy nhiên, trình tiến hành chuyển mã độc lên website khởi động mã độc, kẻ công gặp phải trở ngại hệ thống không cho phép đẩy file liệu lên mà tải máy Kẻ công nhận thấy website dùng moodle 3.0 có phần install plugin nên kẻ cơng tải moodle plugin 3.0 cho mã độc php vào moodle plugin install plugin Với cách này, kẻ công thành công việc đẩy mã độc lên website moodle lên để thực thi Đường link để tải moodle 3.0 là: https://moodle.org/plugins/download.php/12670/local_navigation_moodle32_201611 0101.zip Bước 3: chèn mã độc vào file moodle plugin vừa tải: Sau tải giải nén file moodle plugin hình 3.20 Kẻ cơng tìm cách đưa mã độc file hệ thống tiến hành cài đặt Trong luận văn, học viên sử dụng mã độc có tên là: shacojx.php Đây loại mã độc tương đối mới, mạnh mẽ Bước 4: cài đặt mã độc: Kết trình cài đặt kích hoạt mã độc thể qua hình 3.22÷3.23 luận văn Chú ý: q trình Install plugin, máy kẻ cơng có path C:\xampp\htdocs\online/local/navigation Đây đường link mà kẻ cơng để web shell forder navigation, tên mã độc shacojx.php Như vậy, kẻ công vào thực thi web shell với link web: http://khaothi.dainam.edu.vn:9000/local/navigation/shacojx.php Hình 3.24 thể kết giao diện web shell Đăng nhập password để vào shell: smile!@# Hình 3.25 giao diện web shell đăng nhập thành cơng Hình 3.6 Giao diện web shell đăng nhập thành công Bước Đánh cắp liệu: Kẻ công chọn mã độc đơn giản, có chức thực thi cmd (tên mã độc shell.php) Sau kẻ cơng vào link dẫn mã độc shell.php :http://khaothi.dainam.edu.vn:9000/shell.php Kẻ công gõ lệnh whoami để xem quyền thấy quyền cao system (Xem hình 3.26 luận văn) Kẻ 25 cơng xem toàn file ổ C; ổ D: server cách sửa link dẫn hiển thị Tiếp theo, hình 3.8 thể trình kẻ cơng thành cơng việc đánh cắp liệu từ máy chủ máy tính kẻ cơng Hình 3.7 Thư mục file máy tính nạn nhân Hình 3.8 Tải file danh_cho_sv_thi_thu_Toeic_dau_vao.rar Kết luận chƣơng Những kết đạt chương sau: - Mô tả số cơng cụ hỗ trợ q trình rà qt phát lỗ hổng hệ thống E-learning trường Đại học Đại Nam - Thực rà quét tìm kiếm lỗ hổng bảo mật hệ thống E-learning trường Đại học Đại Nam dựa công cụ mã nguồn mở Acunetix WVS Các kết ban đầu cho thấy hệ thống tương đối an toàn với kỹ thuật công mạng phổ biến 26 - Thực công leo thang đặc quyền lên website hệ thống Elearning trường Đại học Đại Nam cách nghe nén đường truyền sử dụng mã độc shacojx.php shell.php Kết công cho thấy kẻ công thành công việc công leo thang vào hệ thông 27 KẾT LUẬN LUẬN VĂN Những kết luận văn: - Trình bày hệ thống đào tạo trực tuyến E-learning bao gồm: Vai trị, cơng nghệ áp dụng, thành phần Các kết nghiên cứu cho thấy nhu cầu học tập người lợi ích của việc học trực tuyến lớn - Trình bày mơ hình đào tạo trực tuyến trường Đại học Đại Nam - Trình bày nguy cơ, điểm yếu, mối đe dọa hệ thống đào tạo trực truyến E-learning nói chung hệ thống E-learning trường Đại học Đại Nam Kết cho thấy, phần lớn hệ thống hệ thống E-learning khơng có sách đảm bảo an tồn thơng tin tốt, tính chất an tồn thơng tin chưa thực coi trọng - Trình bày phương pháp nhằm đảm bảo an tồn thông tin cho hệ thống đào tạo trực truyến E-learning trường Đại học Đại Nam Kết nghiên cứu cho thấy để đảm bảo an tồn thơng tin cho hệ thống E-learning trường Đại học Đại Nam cần kết hợp đầy đủ yếu tố: người, sách, cơng nghệ - Thực rà qt tìm kiếm lỗ hổng bảo mật hệ thống E-learning trường Đại học Đại Nam dựa công cụ mã nguồn mở Acunetix WVS Các kết ban đầu cho thấy hệ thống tương đối an toàn với kỹ thuật công mạng phổ biến - Thực công leo thang đặc quyền lên website hệ thống E-learning trường Đại học Đại Nam cách nghe nén đường truyền sử dụng mã độc shacojx.php shell.php Kết công cho thấy kẻ công thành công việc công leo thang vào hệ thống Hƣớng phát triển luận văn Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: - Áp dụng số biện pháp công nghệ để gia cố cho hệ thống E-learning trường Đại học Đại Nam - Xây dựng hệ thống phát mã độc sử dụng giao thức HTTPS trình truyền tin ... nhằm đảm bảo an tồn thơng tin cho hệ thống đào tạo trực truyến E- learning trường Đại học Đại Nam Kết nghiên cứu cho thấy để đảm bảo an tồn thơng tin cho hệ thống E- learning trường Đại học Đại Nam. .. ? ?Đảm bảo an tồn thơng tin cho hệ thống E- learning trường Đại học Đại Nam? ?? Tổng quan vấn đề cần nghiên cứu E- learning (viết tắt Electronic Learning) , E- learning thuật ngữ dùng để mô tả việc học. .. thơng tin cho hệ thống E- learning trƣờng Đại học Đại Nam 2.2.1 Một số nguy an tồn thơng tin hệ thống E- learning trƣờng Đại học Đại Nam [7, 10]  Tấn công vào hệ thống vận hành (hệ thống moodle) 