HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG PHẠM HẢI HƯNG

NGHIÊN CỨU GIẢI PHÁP NÂNG CAO ĐỘ AN TOÀN BẢO MẬT
CHO HỆ THỐNG THÔNG TIN ỨNG DỤNG TẠI TRƯỜNG CAO
ĐẲNG CỘNG ĐỒNG HÀ TÂY

Chuyên ngành: KHOA HỌC MÁY TÍNH
Mã số: 60.48.01.01

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2013


Phản biện 2: PGS. TS Trịnh Nhật Tiến

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu
chính Viễn thông
Vào lúc: 11 giờ 15 phút, ngày 15 tháng 02 năm 2014
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

1

MỞ ĐẦU
Ngày nay công nghệ thông tin có vai trò hết sức quan trọng trong sự tồn tại và phát
triển đối với bất kỳ một cá nhân, tổ chức, công ty hay rộng hơn là đối với toàn thể nhân loại.
Song bên cạnh những tác dụng tích cực mà công nghệ đem lại thì đã xuất hiện khía
cạnh tiêu cực rất lớn dựa trên nền tảng ứng dụng công nghệ thông tin đó là việc khai thác,
sử dụng, lấy cắp những thông tin nhạy cảm, các tài liệu mật…Do đó đối với bất kỳ một cá
nhân, tổ chức khi đưa công nghệ thông tin vào ứng dụng thì cũng sẽ phải đối mặt với những
vấn đề tiêu cực có thể xảy ra.
Chính vì những nhu cầu trên thực tiễn như trên của ngành Công nghệ thông tin nói
chung và của cơ quan nơi em công tác nói riêng nên em đã quyết định chọn đề tài “Nghiên
cứu giải pháp nâng cao độ an toàn bảo mật cho hệ thống thông tin ứng dụng tại
trường Cao đẳng Cộng đồng Hà Tây” làm luận văn tốt nghiệp với mong muốn tìm hiểu,
nghiên cứu và áp dụng được các giải pháp để đảm bảo nâng cao được an toàn bảo mật cho
hệ thống thông tin tại trường Cao đẳng Cộng đồng Hà Tây. Toàn bộ luận văn được chia làm

Tính bí mật của thông tin là tính giới hạn về đối tượng được quyền truy xuất đến
thông tin.
1.3.2 Tính toàn vẹn
Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi
thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm.
1.3.3 Tính khả dụng
Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu truy xuất
hợp lệ. Tức là người quản lý phải đảm bảo cho các thông tin luôn luôn sẵn sàng được sử
dụng khi có các yêu cầu hợp lệ.
1.3.4 Tính xác thực
Đặc trưng này nhằm chứng thực sự đáng tin cậy của thông tin. Tính xác thực gồm có
xác thực thực thể và xác thực dữ liệu
3

1.4 Nguyên tắc xây dựng một hệ thống bảo mật
1.4.1 Chính sách và cơ chế
Chính sách bảo mật (Security policy) là hệ thống các quy định nhằm bảo đảm sự an
toàn của hệ thống.
Cơ chế bảo mật (Security mechanism) là hệ thống các phương pháp, công cụ, thủ
tục…dùng để thực thi các quy định của chính sách bảo mật.
1.4.2 Các mục tiêu của bảo mật hệ thống
Các mục tiêu cơ bản được đặt ra cho một hệ thống bảo mật là:
- Ngăn chặn : mục tiêu thiết kế là ngăn chặn các vi phạm đối với chính sách.
- Phát hiện : mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính sách đã và
đang xảy ra trên hệ thống.
- Phục hồi : mục tiêu thiết kế bao gồm các cơ chế nhằm chặn đứng các vi phạm đang
diễn ra hoặc khắc phục hậu quả của vi phạm một cách nhanh chóng nhất với mức độ thiệt
hại thấp nhất.
1.5 Thực trạng an toàn bảo mật thông tin tại các tổ chức, cơ quan
Hiện nay trong một số các tổ chức và cơ quan có quy mô lớn, đã có những bộ phận

các chủ thể hoặc nhóm các chủ thể.
2.2.1.2 Kiểm soát truy nhập bắt buộc
Kiểm soát truy nhập bắt buộc (Mandatory Access Control – MAC) là một chính sách
truy nhập không do các nhân sở hữu tài nguyên quyết định mà do hệ thống quyết định.
MAC được dùng trong hệ thống có những loại dữ liệu nhạy cảm như các thông tin bảo mật
trong cơ quan chính phủ, quân đội.
2.2.1.3 Kiểm soát truy nhập dựa trên vai trò
Kiểm soát truy nhập dựa trên vai trò (Role based access control - RBAC) là một
phương pháp điều khiển và đảm bảo quyền sử dụng cho người sử dụng có thể thay thế kiểm
soát truy nhập tùy ý (DAC) và kiểm soát truy nhập bắt buộc (MAC).
2.2.1.4 Kiểm soát truy nhập dựa trên luật
Kiểm soát truy nhập dựa trên luật (Rule based access control) là hình thức kiểm soát
truy nhập của người dùng vào hệ thống, tài nguyên dựa trên các luật (rules) đã được định
5

nghĩa trước. Các luật có thể được thiết lập để hệ thống cho phép truy nhập đến các tài
nguyên của mình cho người dùng thuộc một tên miền, một dải địa chỉ IP…
2.2.2 Giải pháp phát hiện và phòng chống đột nhập
Giải pháp để phát hiện và phòng chống đột nhập thường được sử dụng trong thực tế
là sử dụng hệ thống IDS (Intrusion Detection System) và IPS (Intrusion Prevention System):
2.2.2.1 Hệ thống Intrusion Detection System - IDS
Phát hiện đột nhập (Intrusion Detection System – IDS) là hệ thống phát hiện các dấu
hiệu của tấn công đột nhập. Nhiệm vụ của IDS là theo dõi các hoạt động trên mạng để tìm
ra các dấu hiệu khả nghi và cảnh báo cho hệ thống, người quản trị biết được.
Chức năng hệ thống IDS: chức năng quan trọng nhất của một hệ thống IDS là giám
sát, cảnh báo và bảo vệ.
Kiến trúc của hệ thống IDS: một hệ thống IDS bao gồm các thành phần chính là
thành phần thu thập gói tin (information collection), thành phần phân tích gói tin
(detection), thành phần phản hồi (respontion).
Phân loại hệ thống IDS:

đoạn mã độc hại khỏi file.
2.2.4.2 Nhận dạng hành vi đáng ngờ
Nhận dạng hành vi đáng ngờ là một chức năng thông minh không phải phần mềm
bảo vệ nào cũng có. Với kỹ thuật này phần mềm bảo vệ sẽ theo dõi sự hoạt động bất thường
của hệ thống để có thể phát hiện ra các các phần mềm độc hại chưa được biết đến (chưa có
trong cơ sở dữ liệu của phần mềm) từ đó đưa ra cảnh báo tới người dùng và đồng thời tiến
hành cô lập các phần mềm đáng ngờ để bảo đảm an toàn hệ thống.
2.2.4.3 Nhận dạng nhờ kiểm soát liên tục
Với kỹ thuật này phần mềm bảo vệ thường thực hiện kiểm soát liên tục theo thời gian
thực để bảo vệ hệ thống.
2.2.4.4 Kết hợp mọi phương thức
Kỹ thuật này sẽ kết hợp nhiều phương thức như kiểm soát truy nhập để ngăn chặn
các phần mềm độc hại xâm nhập và hạn chế việc truy xuất sửa đổi cơ sở dữ liệu, kỹ thuật so
sánh với mẫu biết trước, kỹ thuật nhận dạng hành vi đáng ngờ…
7

2.3 Giải pháp firewall ứng dụng nâng cao an toàn bảo mật hệ thống
2.3.1 Giới thiệu về firewall
2.3.1.1 Khái niệm
2.3.1.2 Các chức năng chính của firewall
- Quản lý và kiểm soát luồng dữ liệu trên mạng
- Xác thực quyền truy cập
- Hoạt động như một thiết bị trung gian
- Bảo vệ tài nguyên
- Ghi nhận và báo cáo các sự kiện
2.3.1.3 Các thành phần cơ bản của firewall
Một firewall bao gồm một hoặc nhiều thành phần sau đây:
- Bộ lọc gói tin (Packet Filtering): Bộ lọc gói tin cho phép hay từ chối gói tin mà nó
nhận được.
- Cổng ứng dụng (Application Gateway): cổng ứng dụng được thiết kế để tăng cường

Kiến trúc Screened host
Screened host là cấu trúc cung cấp các dịch vụ từ một host bên trong mạng nội bộ
(bastion host) và một router tách rời với mạng bên ngoài. Kiến trúc này kết hợp hai kỹ thuật
là packet filtering và proxy service.
Kiến trúc Screened subnet host
Kiến trúc screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm
vào phần an toàn: mạng ngoại vi nhằm cô lập cho mạng nội bộ ra khỏi mạng bên ngoài, tách
bastion host ra khỏi các host khác.
9

2.3.1.6 Một số các firewall thông dụng
2.3.2 Firewall Forefront TMG 2010
2.3.2.1 Khái niệm
Microsoft forefront Threat Management Gateway thường được gọi tắt là Forefront
TMG là một firewall của hãng Microsoft. Trước đây Microsoft đã đưa ra 2 phiên bản
firewall rất nổi tiếng đó là ISA (Internet security and acceletion) 2004 và ISA 2006 nhưng 2
phiên bản firewall này chỉ hỗ trợ trên các hệ điều hành Windows 2000, Windows XP,
Windows 2003 mà không hỗ trợ các hệ điều hành mới hiện nay của Microsoft như
Windows 7, Windows 8. Vì thế Microsoft đã đưa ra một phiên bản mới của firewall ISA đó
là Microsoft forefront Threat Management Gateway 2010.
2.3.2.2 Các tính năng chính
Internet access prortection (proxy): Firewall Forefront TMG sẽ hoạt động như một
proxy server giữa máy client trong mạng nội bộ và nguồn tài nguyên trên Internet.
Hoạt động như một VPN Server: Forefront TMG ngoài tính năng firewall còn
được tích hợp dịch vụ VPN bao gồm các chức năng đầy đủ của VPN
Windows Server 2008 R2 64 bit Support
Web antivirus and anti-Malware Support: có thể phát hiện và cô lập nội dung
độc hại trong lưu lượng HTTP truy cập trước khi nó được truyền tới máy client.
URL Filtering: Các tính năng lọc URL cho phép thực thi các chính sách an ninh và
nâng cao năng suất.

được sử dụng làm Web proxy server.
11

Chương 3 - ỨNG DỤNG ĐẢM BẢO AN NINH HỆ THỐNG MẠNG
TẠI TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG HÀ TÂY
3.1 Giới thiệu về trường Cao đẳng Cộng đồng Hà Tây
3.2 Yêu cầu của hệ thống
Đưa ra giải pháp đảm bảo được các yêu cầu:
- Tính ổn định và sẵn sàng cao của hệ thống.
- Quản lý được các lưu lượng đi vào và ra khỏi hệ thống mạng.
- Tăng cường bảo mật cho toàn hệ thống mạng.
- Có thể phát hiện và ngăn chặn các nguy cơ xâm nhập trái phép.
- Ngăn chặn, hạn chế các chương trình độc hại được tải về từ Internet.
- Đảm bảo cho hệ thống server an toàn và hoạt động ổn định.
- Chi phí phù hợp và có tính tương thích với hệ thống hiện tại, đáp ứng được khả
năng mở rộng trong tương lai.
3.3 Thực trạng mô hình mạng tại trường Cao đẳng Cộng đồng Hà Tây
3.3.1 Hiện trạng mạng tại trường
Hệ thống mạng nội bộ của trường có 07 khu nhà chính, được nối với nhau bằng hệ
thống cáp quang.

Hình 3.1 Sơ đồ hạ tầng mạng nội bộ
12

Đặc điểm của hệ thống mạng tại trường Cao đẳng Cộng đồng Hà Tây:
- Các máy server: sử dụng hệ điều hành Windows Server 2003 & 2008 và đa phần
chỉ phục vụ cho người dùng nội bộ.
- Cơ sở dữ liệu: hiện tại đang sử dụng Microsoft SQL Server.
- Các máy tính cá nhân: chủ yếu sử dụng hệ điều hành Windows XP & Windows 7.
- Toàn bộ các máy tính trong mạng đều sử dụng cùng một dải địa chỉ Ip là

3.4 Giải pháp đề xuất
Các tài nguyên cần được bảo vệ như sau:
- Phần cứng: các máy chủ, máy trạm và các thiết bị mạng.
- Phần mềm: hệ điều hành trên các máy tính client đặc biệt là các máy server, các
chương trình ứng dụng như chương trình kế toán, thi trắc nghiệm, quản lý đào tạo…
- Dữ liệu: đây là phần quan trọng nhất cần được bảo vệ của trường Cao đẳng Cộng
đồng Hà Tây.
Em đề xuất giải pháp nhằm tăng cường tính an toàn, bảo mật cho hệ thống mạng tại
trường Cao đẳng Cộng đồng Hà Tây như sau:
3.4.1 Bảo vệ ở mức thiết bị
Để bảo vệ các thiết bị này em sử dụng các ACL (Access Control List) dùng
để lọc các gói dữ liệu bằng cách cấu hình quy tắc chính sách phù hợp và quá trình các gói
tin để kiểm soát quyền truy cập của người sử dụng trái phép vào mạng.
3.4.2 Bảo vệ lớp truy cập
Chia lại dải địa chỉ Ip trong mạng thành 3 vùng riêng biệt như sau:
+ Vùng mạng nội bộ: chứa toàn bộ các máy của người dùng trong trường (vùng
internal).
+ Vùng máy server: chứa toàn bộ các máy chủ (vùng DMZ ).
+ Vùng mạng Internet: vùng này sẽ kết nối trực tiếp ra Internet (vùng external).
14 Hình 3.2 Mô hình DMZ
Bảo vệ lớp truy cập bao gồm:
- Bảo vệ cho các đường truy nhập của người dùng khi người dùng có nhu cầu truy
cập và sử dụng tài nguyên của hệ thống từ xa, giúp mã hóa thông tin khi đi trên đường
truyền và đảm bảo tính toàn vẹn, xác thực của thông tin. Giải pháp em hướng tới ở đây là
tạo các kênh VPN cho các kết nối của người dùng từ bên ngoài vào hệ thống kết hợp với
phương pháp mã hóa trong SSL, L2TP/Ipsec…
- Kiểm soát truy nhập vào hệ thống: có 2 vị trí cần phải kiểm soát đó là kiểm soát

16

Với mô hình này các máy cài Normal Server sẽ được tự động update mẫu virus và
engine từ Information Server. Hệ thống có thể đưa ra các cảnh báo khi phát hiện thấy đang
bị nhiễm virus, cấu hình bị thay đổi, một dịch vụ nào đó bị gỡ bỏ, mẫu virus không được
cập nhật kịp thời, hệ thống phòng chống đang bị sửa đổi. Các cảnh báo này được gửi cho
người quản trị theo email, nhắn tin hoặc windows event box.
Các máy client: Mô hình chống virus trên các máy client như sau:

Hình 3.6 Mô hình chống virus cho máy client
Với mô hình trên các máy client sẽ tiến hành tự động cập nhật các mẫu virus và
engine từ máy OfficeScan Server.
3.4.4 Thử nghiệm và đánh giá mô hình
3.4.4.1 Thử nghiệm
Để đảm bảo hệ thống server luôn vận hành ổn định, có khả năng chống lại tấn công
từ mạng nội bộ em tiến hành thử nghiệm hệ thống theo 2 bước:
- Bước 1: thử nghiệm tốc độ đáp ứng của server trước khi cài đặt mô hình và khi có
tấn công.
- Bước 2: thử nghiệm tốc độ đáp ứng của server khi đã cài đặt mô hình và khi xuất
hiện tấn công
Để thử nghiệm tấn công và đánh giá tốc độ đáp ứng em sử dụng ở đây là sử dụng hệ
điều hành Back Track và tấn công theo hình thức DoS.
Máy bị tấn công sử dụng hệ điều hành Windows Server 2008 có địa chỉ IP là
10.35.10.3. Máy sử dụng tấn công là máy client sử dụng BackTrack 5 R3 với địa chỉ IP là
10.35.10.14.
17

Tiến hành như sau:
Bước 1:
- Kiểm tra thời gian đáp ứng của server khi chưa bị tấn công bằng lệnh ping trên máy

Tốc độ đáp ứng của server giảm rất nhiều với 100 gói tin truyền đi thì mất 49 gói
chiếm 49%, thời gian đáp ứng trung bình là 63.334ms.
Nhận thấy khi bị tấn công tài nguyên server tăng nhiều, khả năng đáp ứng các yêu
cầu từ máy client tuy nhiên rất chậm, số lượng gói tin mất là cao.
Sau khoảng 3 phút tài nguyên cpu trên server tăng vọt, máy có hiện tượng treo. Hình 3.13 Tài nguyên của server khi bị tấn công 3 phút
Kết thúc bước 1 em nhận xét khi server bị tấn công thì khả năng đáp ứng các yêu cầu
là rất chậm, tỉ lệ các gói tin bị mất rất cao.
Bước 2: Thử nghiệm hệ thống khi có firewall.
Lúc này địa chỉ IP của máy server sẽ đổi sang vùng DMZ là 10.30.10.2. Thực hiện
ping để kiểm tra tốc độ đáp ứng của hệ thống khi có firewall:
20 Hình 3.14 Tốc độ đáp ứng khi có firewall
So sánh với tốc độ của hệ thống trước khi có firewall ta thấy thay đổi từ tốc độ đáp
ứng trung bình từ 1.343ms  1.607ms.
Thực hiện tấn công từ các máy client: Trên firewall Forefront TMG nhận thấy có
các cảnh báo từ chối kết nối và thực hiện xóa các gói tin:

Hình 3.16 Từ chối kết nối trên Forefront TMG
21

Trên máy client thực hiện ping để kiểm tra tốc độ đáp ứng của server khi có tấn công:

Hình 3.17 Tốc độ đáp ứng của server khi có tấn công
Khi có hệ thống firewall bảo vệ, tốc độ đáp ứng của server nhanh nhất là 1.341ms,
trung bình là 16.714ms, cao nhất là 417.098ms.

trường Cao đẳng Cộng đồng Hà Tây đã đạt được các yếu tố an ninh như sau:
- Hệ thống mạng nội bộ của trường đã được tổ chức phân thành các tầng lớp với các
chiến lược và chính sách khác nhau tại mỗi lớp, giúp làm tăng mức độ an ninh cho hệ thống
mạng.
- Kết nối từ các người dùng ở xa đều được thực hiên qua Site-to-Site VPN và được
mã hóa an toàn trên đường truyền.
- Kiểm soát được toàn bộ các lưu lượng mạng ra vào hệ thống thông qua các firewall
đặt tại đầu mạng vào.
- Phát hiện và ngăn chặn sự thâm nhập bất hợp pháp vào hệ thống thông qua hệ thống
phát hiện và ngăn chặn xâm nhập trong Forefront TMG.
- Bảo vệ hệ thống server và client khỏi sự lan truyền và phá hoại của virus thông qua
mô hình diệt virus cho server và client. 23

KẾT LUẬN VÀ KIẾN NGHỊ
Đảm bảo an toàn, bảo mật cho hệ thống thông tin trong các tổ chức, cơ quan, doanh
nghiệp, ngay cả đối với mỗi cá nhân ngày nay luôn là một vấn đề rất quan trọng. Để có thể
đưa ra được một giải pháp đáp ứng được cho mọi tình huống là một điều rất khó khăn. Việc
nghiên cứu và đưa ra giải pháp trong từng trường hợp phải dựa trên cơ sở và yêu cầu thực tế
của hệ thống hiện tại mới có thể xây dựng nên một phương pháp tối ưu nhất.
Với hướng nghiên cứu của luận văn là “ Nghiên cứu giải pháp nâng cao độ an toàn
bào mật cho hệ thống thông tin ứng dụng tại trường Cao đẳng Cộng đồng Hà Tây” luận văn
đã đạt được các nội dung sau:
- Đã tìm hiểu, nghiên cứu về các đặc trưng của một hệ thống thông tin bảo mật, các
nguyên tắc xây dựng một hệ thống bảo mật.
- Nghiên cứu về một số các nguy cơ gây mất an toàn cho hệ thống và các giải pháp
để đảm bảo an toàn cho hệ thống.
- Đi sâu nghiên cứu giải pháp firewall, đặc biệt là firewall Frorefront TMG 2010