ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
*********

VŨ THU UYÊN NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG
AN TOÀN THÔNG TIN
LUẬN VĂN THẠC SĨ

1.2.2. Các yêu cầu an toàn thông tin 13
1.2.3. Các phương pháp bảo vệ an toàn thông tin 14
1.2.4. Một số giải pháp khắc phục điểm yếu 14
1.3. Giới thiệu về các tiêu chuẩn đánh giá hệ thống an toàn thông tin 16
1.3.1. Chuẩn an toàn thông tin 16
1.3.2. Các tiêu chuẩn đánh giá an toàn thông tin 17
CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN
THÔNG TIN 26
2.1. Tiêu chuẩn chung Common Criteria - CC 26
2.1.1. Khái niệm và mô hình chung của CC 26
2.1.2. Những yêu cầu chức năng an toàn SFR. 36
2.1.3. Những yêu cầu đảm bảo an toàn SAR 42
2.1.4. Những mức đảm bảo đánh giá (EALs) 47
2.1.5. Nội dung chuẩn của PP 49
2.1.6. Lớp đảm bảo đánh giá Hồ sơ bảo vệ APE và yêu cầu của EAL4 53
2

2.2. Phương pháp luận cho đánh giá an toàn - CEM 57
2.2.1. Mối quan hệ CEM và CC 57
2.2.2. Sơ đồ tổng quát cho đánh giá 58
2.2.3. CEM hướng dẫn đánh giá lớp đảm bảo APE 60
CHƯƠNG 3: ỨNG DỤNG GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN
THÔNG TIN 72
3.1. Áp dụng CC đánh giá thiết bị FIREWALL/VPN của NOKIA sử dụng giải
pháp CHECKPOINT VPN-1/FIREWALL-1 72
3.1.1. Khái quát chung về FireWall/VPN Nokia 72
3.1.2. Áp dụng CC vào đánh giá thiết bị Firewall/VPN của Nokia 76
3.2. Đánh giá hệ thống an toàn thông qua các điểm yếu 124
KẾT LUẬN 131
TÀI LIỆU THAM KHẢO 132

C. Phương pháp luận cho đánh giá an toàn –
CEM
D. ỨNG DỤNG
1. Áp dụng CC và CEM đánh giá một sản
phẩm An toàn CNTT.
2. Đánh giá hệ thống an toàn thông qua các
điểm yếu.
III. KẾT LUẬN
Luận văn đã đạt được một số kết quả sau:
 Nghiên cứu được các tiêu chuẩn để đánh
giá hệ thống an toàn theo chuẩn quốc tế là
ISO 27001, CC, CEM.
 Đề xuất giải pháp để đánh giá các thành
phần trong hệ thống, cụ thể là đánh giá các
sản phẩm ATCNTT bằng cách sử dụng CC
và CEM, từ đó có thể áp dụng vào các hệ
thống thực tế.
 Đưa ra cách áp dụng CC và CEM đánh
giá một sản phẩm cụ thể.
 Các giải pháp để đảm bảo an toàn cho hệ
thống khác nằm ngoài những đánh giá dựa
vào tiêu chuẩn ở trên là sử dụng công cụ
sniffer để phát hiện điểm yếu của hệ thống.
Hướng nghiên cứu tiếp theo
 Mở rộng việc đánh giá một số sản phẩm
ATCNTT như: Firewall, cổng thông tin
điện tử, email, CSDL, Đánh giá module mật
mã.
 Mở rộng phát triển việc kiểm soát: Lỗ
hổng, nguy cơ mất ANTT, các điểm yếu

Student name: VU THU UYEN

Affiliation:Information Technology Department,
University of Economic and Technical Industries
email [email protected]
Professor name: Prof/Dr. Nguyen Huu Ngu
Affiliation: VNU University of Science
Email: Keywords – CC. CEM, TOE, SPATCNTT

I. INTRODUCE ABOUT PROBLEM
A. Overview of information security.
B. The general problem of information security.
C. Introduction of standard assessment information
safety system
II. CONTENT OF THE THESIS
A. Overview of information security
B. Common Criteria – CC
C. Common Methodology for Information Security
Evaluation - CEM
D. APPLICATIONS
1. Apply CC evaluated IT products.
2. Evaluation Safety system through
vulnerabilities.
III. CONCLUSION
• Look at the criteria for assessing the safety
system according to international standards as ISO
27001, CC, CEM.

[6]. http://www.checkpoint.com/nokia