Sinh viên thực hiện: - Lê Mạnh Thành AT - Phùng Viê t Đức̣ AT - Trần Minh Công AT - Phan Tuấn Khải AT - Trần Văn Tiến AT Show
Giảng viên hướng dẫn : Khoa An toàn thông tin – Học viện Kỹ thuật mật mã Hà Nội – 2023 i BAN CƠ YẾU CHÍNH PHỦHỌC VIỆN KỸ THUẬT MẬT MÃ----BÁO CÁO BÀI TÂ P LỚṆĐỀ TÀI:TÌM HIỂU CÔNG CỤ TỰ ĐÁNH GIÁCHƯƠNG TRÌNH ATTT.Ngành: An toàn thông tin Sinh viên thực hiện:
Giảng viên hướng dẫn : Khoa An toàn thông tin – Học viện Kỹ thuật mật mã Hà Nội – 2023 ii ii MỤC LỤC
DANH MỤC HÌNH VE Hình 1: Hình 1: Hình 2: Hình 2: Hình 2: Hình 2: Hình 2: Hình 2: LỜI CAM ĐOAN..................................................................................................Thay mă ̣t nhóm em xin cam đoan những kết quả có trong bài báo cáo này đều là do các thành viên thông qua thời gian tìm hiểu nghiên cứu, tổng hợp từ nhiều nguồn tài liệu có sẵn và tham khảo trên Internet thực hiện. Tất c ảcác tài liệu tham khảo, tổng hợp đều đã được trích dẫn với nguồn gốc rõ ràng. Nhóm em xin chịu hoàn toàn trách nhiệm về lời cam đoan nêu trên. Nếu có gì sai trái, các thành viên trong nhóm xin chịu mọi hình thức kỷ luật theo qui định. Hà Nội, ngày 1 tháng 3 năm 2023 LỜI CẢM ƠN........................................................................................................Nhóm mong muốn bày tỏ lòng biết ơn sâu sắc tới cô Thủy đã giúp đỡ trong quá trình làm báo cáo, rất cảm ơn cô đã tận tình chỉ bảo chi tiết v à cung cấp tài liệu cũng như đóng góp những lời nhận xét quy báu trong từng bước thực hiện. Đồng thời nhóm em cũng xin gửi lời cảm ơn tới các thầy cô giáo khoa An toàn thông tin thông tin – Học Viện Kỹ Thuật Mật Mã đã truyền đạt các kiến thức nền tảng giúp tạo nguồn động lực to lớn trong suốt thời gian học tập và nghiên cứu vừa qua. Thay mặt nhóm xin gửi lời cảm ơn tới toàn thể bạn bè và người thân đã chia sẻ, giúp đỡ, động viên tạo mọi điều kiện thuận lợi để nhóm hoàn thành tốt nhiệm vụ học tập và thực hiện báo cáo này. Chương 1: Tổng quan về đánh giá an toàn thông tin........................................
1.1 Hê ̣ thống thông tin a. Khái niê ̣m Hệ thống thông tin (Information Systems – IS) là một hệ thống bao gồm nhiều yếu tố có mối quan hệ với nhau. Chúng được sử dụng để cùng thu thập, xử lý và lưu trữ, phân phối dữ liệu và thông tin nhằm đạt được một mục tiêu nhất định. Trong giai đoạn trước đây, khi chưa có sự bùng nổ của cuô c cách mạng̣ công nghiê ̣p 4, thông tin chủ yếu được thu thập và lưu trữ thủ công bằng các văn bản, công cụ giấy bút, lưu trữ dạng hồ sơ giấy tờ. Tuy nhiên, ngà y nay đi cùng với sự phát triển của công nghệ dẫn đến hệ thống thông tin được lưu trữ hiện đại trên máy tính bằng phần cứng hoặc phần mềm rất tiện sử dụng. Ví dụ: Tuy nghe có mơ hồ nhưng trong cuô ̣c sống hiê ̣n nay có rất nhiều ngành nghề áp dụng hê ̣ thống thông tin trong công tác quản lí. Tất cả các hệ thống bao gồm: hệ thống kế toán, máy chấm công, máy POS, ERP, hệ thống quản lý nhân sự & tiền lương, hệ thống báo cáo, hệ thống dashboard để theo dõi tình hình kinh doanh, hệ thống xử lý đơn hàng... đều có thể gọi chung là hệ thống thông tin.
Các đặc trưng của hệ thống thông tin quản lý là:
Phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ. Hệ thống thông tin được phân loại theo 5 cấp độ an toàn:
Chính vì sự tiê ̣ n dụng và ích lợi to lớn mang lại nên hê ̣ thống thông tin ngày càng tỏ ra vô cùng quan trọng không thể thiếu đối với các doanh nghiê ̣p. Đi cùng với đó thì đây cũng trở thành mục tiêu được nhắm đến hàng đầu của các tin tă ̣c nên đòi hỏi cần có mô ̣t quy trình bảo vê ̣ nghiêm ngă ̣t và đảm bảo an toàn trước các mối hiểm họa đe dọa đến từ cả bên trong lẫn bên ngoài:
Và đây cũng là nguồn gốc ra đời của giai đoạn đánh giá an toàn hê ̣thống thông tin hiê ̣n nay. 1.1 Đánh giá an toàn hê ̣ thống thông tin Theo NIST: đánh giá an toàn hệ thống thông tin (information security assessment) là quy trình xác định tính hiệu quả của một thực thee r được đánh giá (ví dụ như máy tính, hệ thống, mạng, quy trình vận hành, con người...) đáp ứng các mục tiêu an ninh cụ thể. Chủ yếu là tập trung vào 3 phương pháp chính: kiểm thử (testing), kiểm tra (examination), phỏng vấn (interviewing). Việc đánh giá mức độ phù hợp ISO 17799 được dựa trên hai công đoạn là thu thập và đánh giá thông tin về hiện trạng của mạng. Hai phương pháp thu thập thông tin chính là sử dụng bảng câu hỏi và rà tìm (scanning) sơ hở (l ỗ hổng về an toàn) trên mạng. Phương pháp quan trọng là sử dụng câu hỏi, vì rất nhiều các vấn đề của ATTT không thuộc về lĩnh vực kỹ thuật, mà liên quan tới việc quản lý như: xây dựng, phổ biến và giám sát thực hiện các chính sách về ATTT. Phương pháp này có nhược điểm là thông tin thu được mang tính chủ quan bởi phụ thuộc vào nhận thức của người cung cấp thông tin. Vì vậy, kiểm tra các chứng cứ, kiểm tra trực tiếp hệ thống mạng là cần thiế t để kiểm chứng một cách khách quan hơn các thông tin nhận được qua bảng câu hỏi. Phương pháp rà tìm (scanning) hệ thống mạng, máy trạm, máy chủ, t hiết bị mạng... là một kênh thu thập dữ liệu thứ hai. Các dữ liệu này mang tính khách quan. Việc rà tìm sơ hở của hệ thống mạng tin học thường được thực hiện bởi các phần mềm chuyên dụng chạy trên máy tính đặc chủng hoặc thông thường. Sau khi có được các thông tin của rà tìm sơ hở trên mạng, người thực hiện đánh giá sẽ phải đọc, phân tích, tổng kết và đưa ra các kết luận về nhữ ng sơ hở hiện có trên mạng. Trong một số trường hợp, những tấn công khai thác sơ hở có thể phải triển khai thử nghiệm nhằm minh chứng, thuyết phục chủ sở hữu mạng tin học về những sai sót và nguy cơ hiện có, đồng thời đánh giá được mứ c độ nghiêm trọng của sơ hở nếu hacker khai thác được điểm yếu vừa tìm ra. Tự đánh giá ATTT: Cần thực hiện đánh giá mức độ an toàn mạng của tổ chức. Việc nà y có thể thực hiện bởi một công ty đánh giá chuyên nghiệp là đối tác thứ 3 độc lập, hoặc do chính bản thân tổ chức thực hiện. Nếu có đủ điều kiện về kinh ph í, thì việc lựa chọn một nhà cung cấp dịch vụ ATTT đánh giá toàn diện định kỳ hay đánh giá thường xuyên về độ an toàn của mạng là một phương án tốt nhất. Việc đánh giá thường xuyên/định kỳ sẽ cho phép phát hiện ra các sơ hở trước khi nó bị các hacker khai thác. Điều này hết sức quan trọng vì ATTT hiện nay được coi là cuộc chạy đua giữa người vá lỗi và người khai thác lỗi, từ khi lỗi được phát hiện hay công bố. Trong nhiều trường hợp khác, xây dựng được đội ngũ quản trị mạng với kỹ năng tự rà soát, đánh giá mức độ an toàn hệ thống thông tin sẽ làm tăng tính an toàn của hệ thống một cách đáng kể với chi phí nhỏ và tính tiện lợi cao. Kỹ năng tự đánh giá ATTT: Đánh giá ATTT đòi hỏi khá nhiều kỹ năng của người tiến hành đánh giá. Trước tiên, cần phải hiểu rõ về một hệ thống thông tin an toàn. Thực tế cho thấy, việc đọc hiểu ISO 17799 và hình dung ra cách đánh giá hiện trạng thực t ế theo qui định của ISO là một điều không đơn giản. Hơn nữa, đòi hỏi áp dụng ISO đến mức nào để có thể thực hiện khả thi trong hoàn cảnh cụ thể của doanh nghiệp là một vấn đề còn phức tạp hơn. Người đánh giá cần hai kỹ năng cơ bản là sử dụng thành thạo công cụ rà soát (scanner) và phân tích, đánh giá các kết quả do công cụ rà soát báo cáo. Trong các kỹ năng này, phân tích các báo cáo là công việc phức tạp nhất. Với mỗi sơ hở được cảnh báo, người phân tích phải hiểu được các giao thức , các phương pháp hoạt động của hệ thống, cách thức khai thác những yếu tố bất lợi ra sao để dẫn đến sơ hở. Và phải phân tích được rằng nếu sơ hở bị khai thác thì phạm vi ảnh hưởng sẽ như thế nào. Trong trường hợp, chỉ dựa trên một vài khiếm khuyết không đáng kể của hệ thống mà phải xác định được những khả năng có thể khai thác đồng thời một số sơ hở đó để tiến tới thực hiện một tấn công nghiêm trọng vào hệ thống, thì người khảo sát còn cần phải có sự nhạy cảm và bề dày kinh nghiệm trong lĩnh vực an ninh thông tin. Thực tiễn trên thế giới chỉ ra rằng đây là vấn đề hoàn toàn không đơn giản, phải trải qua hàng thập kỷ, trên cơ sở nghiên cứu, kiểm nghiệm của nhiều nước, ngày nay người ta mới đi đến thống nhất một tiêu chí để đánh giá an toà n các loại hệ thống này - Đó là “Tiêu chí chung để đánh giá an toàn công nghệ thông tin” (Common Criteria for Information Technology Security Evalution), thường được gọi tắt là “Tiêu chí chung” và kí hiệu là CC. Tiêu chí chung CC (ISO/IEC 15408) được bố cục thành ba phần: Phần I: “Phần mở đầu”, giới thiệu các quan điểm và nguyên tắc chung đánh giá tính an toàn của sản phẩm CNTT cũng như mô hình đánh giá tổng quá t; giới thiệu các cấu trúc cơ bản như Đối tượng đánh giá (TOE), Hồ sơ bảo vệ (PP), Mục tiêu an toàn (ST) nhằm mục đích biểu diễn các mục tiêu an toàn, lựa chọn và xác định các yêu cầu này từ góc độ lợi ích của ba đối tượng cơ bản sử dụng CC là người tiêu dùng sản phẩm, nhà phát triển sản phẩm, và nhà kiểm định (đánh giá). Phần II: “Các yêu cầu chức năng về an toàn”, giới thiệu một cách tổng thể và hệ thống danh mục các yêu cầu chức năng an toàn và xem xét khả năng chi tiết hóa chúng cũng như khả năng mở rộng chúng theo một qui tắc nhất định. Phần III: “Các yêu cầu đảm bảo an toàn” giới thiệu hệ thống danh mục các yêu cầu đảm bảo an toàn, những yêu cầu này xác định các biện pháp phải được chấp nhận trên tất cả các giai đoạn chu kỳ sống của sản phẩm CNTT để đảm bảo rằng chúng đáp ứng các yêu cầu chức năng đã được xác định. Phần này cũng đã đưa vào thang bảng đánh giá độ an toàn thông qua khái niệm mức đảm bảo, các mức này cho phép với mức tăng dần về tính đầy đủ và chặt chẽ để tiến hành đánh giá mức độ an toàn sản phẩm CNTT. Cho phép trả lời các câu hỏi:
So sánh kiểm thử và kiểm tra: Kiểm tra Kiểm thử
Là kỹ thuật kiểm tra được dùng để đánh giá hệ thống, ứng dụng, mạng, chính sách, thủ tục. Bao gồm:
Là kĩ thuâ ̣t xác định hệ thống, các cổng, dịch vụ và các lỗ hổng. Bao gồm:
Là kĩ thuâ ̣t xác định sự tồn tại của các lỗ hổng trong hệ thống. Bao gồm:
1.3 Các kỹ thuật rà soát a. Rà soát hệ thống Là việc kiểm tra các quy trình áp dụng chính sách, thủ tục theo c ác tiêu chuẩn, quy định nhằm:
Kĩ thuâ ̣t rà soát hê ̣ thống bao gồm:
Là việc kiểm tra lại các nhật ký nhằm:
Kĩ thuâ ̣t rà soát nhâ ̣t kí bao gồm:
dà soát cấu hình hệ thống Là một quá trình kiểm tra nhằm:
Kiểm tra thông qua những file cấu hình hệ thống đã được lưu trữ sẵn trong các tập tin khác nhau trong các hệ điều hành. Ví dụ:
1.3 Kỹ thuật phân tích và xác định mục tiêu a. Khám phá mạng Là việc phát hiện những máy chủ, máy trạm, thiết bị mạng đang hoạt động trong một mạng. Có hai phương pháp khám phá mạng là khám phá thụ động và khám phá chủ động. Khám phá thụ động Khám phá chủ động Nội dung - Sử dụng công cụ dò quét mạng và theo dõi: lưu lượng mạng, các địa chỉ IP của những máy đang hoạt động, cách thức kết nối, xử lý thông tin trên mang, tần suất liên lạc giữa các máy trong mạng.
Ưu điểm - Không ảnh hưởng tới hoạt động của mạng
Nhược điểm - Tốn thời gian để thu thập thông tin. Không phát hiện được các thiết bị mạng hoặc máy chủ/ máy trạm không thực hiện nhận hoặc gửi gói tin trong khoảng thời gian giám sát. |