a. Mục tiêu
Kịch bản này thực hiện để so sánh, đánh giá kết quả thu được quá trình đánh giá rủi ro ATTT hệ thống Web dịch vụ vnptsmartads.vn so với sản phẩm thương mại đang được sử dụng hiện nay: Tenable Nessus.
b. Kết quả mong muốn
Kết quả xác định rủi ro của hai sản phẩm là tương đương nhau.
c. Kết quả đạt được
Kết quả dò quét lỗ hổng, rủi ro hệ thống máy chủ Web dịch vụ vnptsmartads.vn được thực hiện như sau:
Hình 4.17 - Thông tin kết quả đánh giá hệ thống vnptsmartads.vn trên Nessus Kết quả tổng hợp thông tin cụ thể so sánh kết quả giữa hai hệ thống như sau:
Hệ thống vScanner
(High-Medium-Low-Info)
Nessus
(Critical-High-Medium-Low-Info) Máy chủ web dịch vụ
vnptsmartads.vn 0-11-1-36 0-0-8-2-34
Bảng 4.1 - Tổng hợp kết quả so sánh đánh giá rủi ro ATTT giữa Nessus và vScanner
d. Nhận xét, đánh giá:
Qua kết quả đánh giá có thể nhận thấy, hệ thống vScanner có thể phát hiện các nguy cơ rủi ro ATTT tương tự như các sản phẩm thương mại nổi tiếng trên thị trường như Tenable Nessus.
4.4. Kết luận chương
Trong chương 4 chúng tôi đã trình bày chi tiết về thực nghiệm và đánh giá giải pháp dò quét lỗ hổng bảo mật, bao gồm mô tả môi trường phát triển và các thông tin chung trên hệ thống. Luận văn cũng đã thực nghiệm các hệ thống của các tổ chức và có kết quả đáp ứng được yêu cầu. Bên cạnh đó chúng tôi cũng đã thực hiện so sánh với sản phẩm thương mại đang có trên thị trường, cho kết quả tương đương. Kết quả thu được thể hiện kết quả tốt với yêu cầu bài toán đặt ra, cho phép kết luận luận văn đã đạt được kết quả tốt.
Kết luận và hướng phát triển
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
❖ Kết luận
Trong pham vi nghiên cứu của luận văn, các nội dung chính đã trình bày: Lý thuyết về quy trình quản lý rủi ro và phương pháp đánh giá ATTT hệ thống. Từ những nghiên cứu về cơ sở lý thuyết và hiện trạng rủi ro ATTT của các hệ thống của đơn vị, tổ chức, dẫn đến bài toán về xây dựng phần mềm dò quyết lỗ hổng bảo mật phục vụ cho việc đánh giá rủi ro về ATTT, hỗ trợ khắc phục các điểm yếu của các hệ thống. Luận văn cũng đã thực hiện nghiên cứu và tìm hiểu các giải pháp dò quét lỗ hổng để xây dựng phần mềm vScanner thực hiện dò quét lỗ hổng các hệ thống từ xa. Kế tiếp, luận văn trình bày chi tiết về các bước phân tích thiết kế các mô-đun dò quét lỗ hổng và thực hiện xây dựng các dịch vụ dò quét trên nền web một cách trực quan hóa.
Về thực nghiệm, luận văn đã thực hiện tiến hành đánh giá dò quét các lỗ hổng các hệ thống với CSDL mẫu thử, từ đó có thể sinh các báo cáo thông kê chi tiết các lỗ hổng để có thể đánh giá kết quả thu được của giải pháp dò quét lỗ hổng. Thêm vào đó, chúng tôi cũng so sánh kết quả thu được với một số phần mềm thương mại và cho kết quả tương đương. ❖ Hướng phát triển:
- Nghiên cứu để xây dựng một bộ giải pháp tổng thể phục vụ công tác quản trị rủi ro của các hệ thống thông tin.
- Nghiên cứu ứng dụng phương pháp học máy trong việc dò quét lỗ hổng bảo mật. - Ứng dụng các kỹ thuật hỗ trợ xử lý rủi ro an toàn thông tin.
TÀI LIỆU THAM KHẢO Tiếng Việt
1. Tiêu chuẩn quốc gia TCVN 10295:2014 (ISO/IEC 27005:2011) - Công nghệ thông tin – Các kỹ thuật an toàn thông tin – Quản lý rủi ro an toàn thông tin.
2. Báo cáo tổng kết đề tài, “Nghiên cứu, xây dựng hệ thống đánh giá, quản lý rủi ro và hỗ
trợ xử lý sự cố an toàn thông tin trong Chính phủ điện tử”, mã số KC.01.19/16-20.
Tiếng Anh
3. ISO/IEC 27001, Information technology - Security techniques - Information security management systems: Requirements.
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber =54534.
4. ISO/IEC 15408, Information technology - Security techniques - Evaluation criteria for IT security.
5. ISO/IEC 27005:2011, Information technology - Security techniques - Information security risk management (second edition).
6. NIST Cybersecurity Framework (Framework for Improving Critical Infrastructure Cybersecurity), 2014.
7. NIST SP 800-39 (2011), Managing Information Security Risk: Organization, Mission, and Information System View.
http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf. 8. Hệ thống quét và đánh giá các lỗ hổng mở, https://www.openvas.org.
9. Nikita Jhala, “Network Scanning & Vulnerability Assessment with Report
Generation”, 2014.
10. Nessus review by Gartner, https://www.gartner.com/reviews/market/vulnerability- assessment/vendor/tenable/product/nessus-vulnerability-scanner.
11.“OWASP Risk Rating Methodology”,
https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology.
12. “Common Vulnerability Scoring System v3.1: Specification Document”, https://www.first.org/cvss/v3.1/specification-document.
Tài liệu tham khảo
14. Gordon Fyodor Lyon, “Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning”.
15. Information Security Handbook by Darren Death, 2017.
16. Irfan Shakeel, “The Art of Network Vulnerability Assessment”, Infosec, 2015.
17. Sugandh Shah, B. M. Mehtre, “An overview of vulnerability assessment and