Trong phạm vi của luận văn, chung tôi chỉ tập trung mô tả chi tiết phân tích thiết kế mô-đun quản lý tác vụ xác định rủi ro ATTT.
Danh mục các chức năng chính của Mô-đun quản lý tác vụ xác định rủi ro: - Chức năng quản lý các tác vụ dò quét thực hiện thu thập các rủi ro.
- Chức năng quản lý thực thi các tiến trình tương ứng với các tác vụ dò quét. - Chức năng lập lịch và quản lý lịch thực hiện các tiến trình dò quét rủi ro. Xác định vai trò người dùng trong chức năng quản lý tác vụ được phân biệt như sau:
Vai trò Khách:
- Được phép đăng nhập hệ thống, chỉ được quyền xem và hiển thị thông tin bộ dữ liệu được sử dụng trong hệ thống.
Chương 4: Thực nghiệm và đánh giá
- Không được cấp quyền sử dụng chức năng quản lý tác vụ.
Vai trò Quan sát:
- Được phép đăng nhập hệ thống và có quyền như vai trò như người dùng dạng khách. - Được quyền xem danh mục tác vụ dò quét xác định rủi ro.
- Cấm không được sử dụng các chức năng khác.
Vai trò Đánh giá, dò quét rủi ro:
- Được phép đăng nhập hệ thống và có quyền như vài trò của người Quan sát. - Được cấp quyền tạo mới tác vụ dò quét xác định rủi ro.
- Được cấp quyền cập nhật, xoá tác vụ dò quét hệ thống.
- Được cấp quyền khởi động, tạm dừng và kết thúc tiến trình dò quét rủi. - Cấm không khai thác sử dụng các chức năng khác.
Vai trò Quản trị (Admin):
- Được phép đăng nhập hệ thống và và có quyền như vài trò của người Đánh giá, dò quét rủi ro.
- Được cấp quyền tạm dừng, kết thúc các tác vụ dò quét khác mà người dùng trong tổ chức đã tạo.
- Được cấp quyền cập nhật, xoá toàn bộ các tác vụ xác định rủi ro mà người dùng trong tổ chức đã tạo.
Ca sử dụng (use-case):
Tác nhân Ca sử dụng
Quan sát kết quả đánh giá, dò quét
- Xem danh mục tác vụ và kết quả dò quét xác định rủi ro. - Xem chi tiết thông tin tác vụ dò quét xác định rủi ro.
Đánh giá, dò quét rủi ro ATTT (assessment role)
- Xem danh mục tác vụ và kết quả dò quét xác định rủi ro. - Xem chi tiết thông tin tác vụ dò quét xác định rủi ro. - Tạo mới tác vụ dò quét xác định rủi ro.
- Cập nhật tác vụ dò quét xác định rủi ro do người dùng đó tạo ra. - Xoá tác vụ dò quét xác định rủi ro do người dùng đó tạo ra. - Khởi động tiến trình dò quét rủi ro tác vụ người dùng đó tạo ra. - Tạm dừng tiến trình đang dò quét rủi ro do người dùng đã tạo ra. - Kết thúc tiến trình đang dò quét rủi ro tác vụ người dùng đã tạo ra. - Tạo mới lịch thi hành tác vụ đánh giá rủi ro.
- Cập nhật lịch thi hành tác vụ đánh giá rủi ro do người dùng đó đã tạo ra.
- Hiển thị chi tiết lịch thi hành tác vụ đánh giá rủi ro do người dùng đó đã tạo ra.
- Hiển thị danh mục lịch thi hành tác vụ đánh giá rủi ro do người dùng đó đã tạo ra.
- Chạy lịch thi hành tác vụ dò quét đánh giá rủi ro do người dùng đó đã tạo ra.
Quản trị (admin)
- Xem danh mục tác vụ và kết quả tổng thể dò quét xác định rủi ro. - Xem chi tiết thông tin tác vụ dò quét xác định rủi ro hệ thống. - Tạo mới tác vụ dò quét xác định rủi ro trong các hệ thống. - Cập nhật tác vụ dò quét xác định rủi ro trong các hệ thống. - Xoá tác vụ dò quét xác định rủi ro trong các hệ thống. - Khởi động tiến trình dò quét rủi ro trong tổ chức đã tạo ra. - Tạm dừng tiến trình đang dò quét rủi ro.
- Kết thúc tiến trình đang dò quét rủi ro. - Tạo mới lịch thi hành tác vụ đánh giá rủi ro. - Cập nhật lịch hành tác vụ đánh giá rủi ro. - Xoá lịch hành tác vụ đánh giá rủi ro.
- Hiển thị chi tiết lịch thi hành tác vụ đánh giá rủi ro. - Hiển thị danh mục lịch thi hành tác vụ đánh giá rủi ro. - Chạy lịch thi hành tác vụ dò quét đánh giá rủi ro. Bảng 3.1 - Bảng các ca sử dụng mô-đun quản lý tác vụ
Biểu đồ tuần tự:
Để thể hiện trình tự sự kiện các ca sử dụng, chung tôi sử dụng biểu đồ tuần tự như hình 3.8. Trong đó, back-end dùng để chỉ nền tảng hệ thống còn front-end dùng để chỉ giao diện ứng dụng web, người dùng dùng để thao tác. Số lượng ca sử dụng khá nhiều, tương tác người dùng tương đối giống nhau nên chúng tôi chỉ mô tả 2 ca sử dụng để thể hiện cho biểu đồ dưới đây. Trong đó thể hiện hai ca sử dụng này là: Tạo mới tác vụ dò quét rủi ro và Khởi động tiến trình dò quét rủi ro.
Chương 4: Thực nghiệm và đánh giá
Hình 3.8 - Biểu đồ tuần tự minh hoạ chức năng quản lý tác vụ
Quản lý danh mục tác vụ dò quét rủi ro: Được chúng tôi cung cấp các hàm chức năng liên quan tới: Thêm mới, cập nhật, xóa, hiển thị với các ca sử dụng đã nêu ở trên.
Lược đồ cơ sở dữ liệu:
Bảng sau minh họa chi tiết các thuộc tính cho tác vụ dò quét rủi ro:
Column Type Constraints
Id Integer PrimaryKey Uuid Text Owner Integer Name Text Hidden Integer Comment Text Run_status Integer Start_time Integer
End_time Integer Config Integer Target Integer Schedule Integer Schedule_next_time Integer Schedule_periods Integer Scanner Integer Config_location Integer Target_location Integer Schedule_location Integer Scanner_location Integer Upload_result_count Integer Hosts_ordering Text Alterable Integer Creation_time Integer Modification_time Integer Scanner Text
Bảng 3.2 - Lược đồ cơ sở dữ liệu
Các hàm chức năng dùng cho quản lý danh mục các tác vụ dò quét
Chương 4: Thực nghiệm và đánh giá
Ca sử dụng Tạo mới tác vụ xác định rủi ro:
STT Mô tả Diễn giải
1 Mô tả tóm tắt Cho phép người dùng có đủ vai trò và quyền thực hiện nhiệm vụ tạo mới tác vụ dò quét để tiến hành đánh giá rủi ro ATTT trong một hệ thống
2 Luồng sự kiện o Luồng cơ bản:
▪ Ca sử dụng bắt đầu khi người dùng chọn chức năng tạo mới tác vụ xác định rủi ro ATTT.
▪ Hệ thống hiển thị giao diện cho phép người dùng nhập các thuộc tính liên
quan đến tác vụ dò quét xác định rủi ro ATTT. Cụ thể gồm tên tác vụ; địa chỉ IP hoặc tên (hostname) của hệ thống cần đánh giá; thông tin mô tả thêm.
▪ Hệ thống hiển thị thông báo kết quả tạo mới tác vụ.
o Luồng thay thế:
▪ Hệ thống thông báo cho người dùng khi có lỗi xảy ra trong quá trình thực hiện.
3 Yêu cầu đặc biệt Người dùng có vai trò và quyền tạo mới tác vụ dò quét (có vai trò từ “Đánh giá” trở lên).
4 Tiền điều kiện Người dùng đã đăng nhập vào hệ thống
5 Hậu điều kiện Không
Bảng 3.3 - Ca sử dụng Tạo mới tác vụ xác định rủi ro
Ca sử dụng Hiển thị danh sách tác vụ dò quét xác định rủi ro:
STT Mô tả Diễn giải
1 Mô tả tóm tắt Cho phép người dùng có đủ vai trò và quyền thực hiện nhiệm vụ hiển thị toàn bộ danh mục tác vụ dò quét trong một hệ thống
2 Luồng sự kiện o Luồng cơ bản:
▪ Ca sử dụng bắt đầu khi người dùng chọn chức năng hiển thị danh mục.
▪ Hệ thống hiển thị giao diện danh mục các tác vụ dò quét.
o Luồng thay thế:
▪ Hệ thống thông báo cho người dùng khi có lỗi xảy ra trong quá trình thực hiện.
3 Yêu cầu đặc biệt Người dùng có vai trò và quyền tạo mới tác vụ dò quét (có vai trò từ “Quan sát” trở lên).
4 Tiền điều kiện Người dùng đã đăng nhập vào hệ thống 5 Hậu điều kiện Không
Bảng 3.4 - Ca sử dụng hiển thị danh sách tác vụ dò quét xác định rủi ro
Ca sử dụng Cập nhật tác vụ dò quét xác định rủi ro:
STT Mô tả Diễn giải
1 Mô tả tóm tắt Cho phép người dùng có đủ vai trò và quyền thực hiện cập nhật tác vụ đánh giá rủi ro trong một hệ thống 2 Luồng sự kiện o Luồng cơ bản:
▪ Ca sử dụng bắt đầu khi người dùng chọn chức năng cập nhật tác vụ.
▪ Hệ thống hiển thị giao diện với các thông tin chi tiết. Người dùng có thể cập nhật các thông tin liên quan đến tác vụ.
▪ Hệ thống thông báo kết quả cập nhật. o Luồng thay thế:
▪ Hệ thống thông báo cho người dùng khi có lỗi xảy ra trong quá trình thực hiện.
3 Yêu cầu đặc biệt Người dùng có vai trò và quyền tạo mới tác vụ dò quét (có vai trò từ “Quản trị” trở lên, hoặc người tạo tác vụ có vai trò “Đánh giá”).
4 Tiền điều kiện Người dùng đã đăng nhập vào hệ thống
5 Hậu điều kiện Không
Bảng 3.5 - Ca sử dụng Cập nhật tác vụ dò quét xác định rủi ro
Ca sử dụng Xóa tác vụ dò quét rủi ro:
STT Mô tả Diễn giải
1 Mô tả tóm tắt Cho phép người dùng có đủ vai trò và quyền thực hiện xóa tác vụ đánh giá rủi ro trong một hệ thống
Chương 4: Thực nghiệm và đánh giá
▪ Ca sử dụng bắt đầu khi người dùng chọn chức năng xóa tác vụ.
▪ Hệ thống thông báo kết quả cập nhật. o Luồng thay thế:
▪ Hệ thống thông báo cho người dùng khi có lỗi xảy ra trong quá trình thực hiện.
3 Yêu cầu đặc biệt Người dùng có vai trò và quyền tạo mới tác vụ dò quét (có vai trò từ “Quản trị” trở lên, hoặc người tạo tác vụ có vai trò “Đánh giá”).
4 Tiền điều kiện Người dùng đã đăng nhập vào hệ thống 5 Hậu điều kiện Không
Bảng 3.6 - Ca sử dụng Xóa tác vụ dò quét rủi ro
Các chức năng Quản lý tiến trình dò quét xác định rủi ro ATTT: Chi tiết dược minh hòa các hàm như hình dưới đây:
Hình 3.10 - Các chức năng Quản lý tác vụ dò quét xác định rủi ro ATTT
Ca sử dụng Khởi động tiến trình dò quét rủi ro trong hệ thống:
STT Mô tả Diễn giải
1 Mô tả tóm tắt Cho phép người dùng có đủ vai trò và quyền khởi động tiến trình dò quét đánh giá rủi ro ATTT trong một hệ thống
2 Luồng sự kiện o Luồng cơ bản:
▪ Ca sử dụng bắt đầu khi người dùng chọn chức năng khởi động thi hành tác vụ. ▪ Hệ thống hiển thị trạng thái đang thi hành
o Luồng thay thế:
▪ Hệ thống thông báo cho người dùng khi có lỗi xảy ra trong quá trình thực hiện.
3 Yêu cầu đặc biệt Người dùng có vai trò và quyền tạo mới tác vụ dò quét (có vai trò từ “Quản trị” trở lên, hoặc người tạo ra tác vụ có vai trò “Đánh giá”).
4 Tiền điều kiện Người dùng đã đăng nhập vào hệ thống
5 Hậu điều kiện Không
Bảng 3.7 - Ca sử dụng Khởi động tiến trình dò quét rủi ro trong hệ thống
Ca sử dụng Tạm dừng tiến trình dò quét rủi ro trong hệ thống:
STT Mô tả Diễn giải
1 Mô tả tóm tắt Cho phép người dùng có đủ vai trò và quyền tạm dừng tiến trình dò quét đánh giá rủi ro ATTT trong một hệ thống
2 Luồng sự kiện o Luồng cơ bản:
▪ Ca sử dụng bắt đầu khi người dùng chọn chức năng tạm dừng thi hành tác vụ.
▪ Hệ thống hiển thị đã tạm dừng thi hành tác vụ dò quét rủi ro ATTT hệ thống.
o Luồng thay thế:
▪ Hệ thống thông báo cho người dùng khi có lỗi xảy ra trong quá trình thực hiện.
3 Yêu cầu đặc biệt Người dùng có vai trò và quyền tạo mới tác vụ dò quét (có vai trò từ “Quản trị” trở lên, hoặc người tạo ra tác vụ có vai trò “Đánh giá”).
4 Tiền điều kiện Người dùng đã đăng nhập vào hệ thống 5 Hậu điều kiện Không
Bảng 3.8 - Ca sử dụng Tạm dừng tiến trình dò quét rủi ro trong hệ thống
Ca sử dụng Kết thúc tiến trình dò quét rủi ro trong hệ thống:
STT Mô tả Diễn giải
1 Mô tả tóm tắt Cho phép người dùng có đủ vai trò và quyền kết thúc tiến trình dò quét đánh giá rủi ro ATTT trong một hệ thống
Chương 4: Thực nghiệm và đánh giá
2 Luồng sự kiện o Luồng cơ bản:
▪ Ca sử dụng bắt đầu khi người dùng chọn chức năng kết thúc tiến trình.
▪ Hệ thống hiển thị trạng thái kết thúc tác vụ dò quét rủi ro ATTT hệ thống.
o Luồng thay thế:
▪ Hệ thống thông báo cho người dùng khi có lỗi xảy ra trong quá trình thực hiện.
3 Yêu cầu đặc biệt Người dùng có vai trò và quyền tạo mới tác vụ dò quét (có vai trò từ “Quản trị” trở lên, hoặc người tạo ra tác vụ có vai trò “Đánh giá”).
4 Tiền điều kiện Người dùng đã đăng nhập vào hệ thống 5 Hậu điều kiện Không
Bảng 3.9 - Ca sử dụng Kết thúc tiến trình dò quét rủi ro trong hệ thống