HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ĐẶNG ANH TUẤNNGHIÊN CỨU VỀ BIỆN PHÁP AN NINH CHO
ỨNG DỤNG ĐIỆN TOÁN ĐÁM MÂY SAAS Chuyên ngành: Khoa học máy tính
Mã số: 60.48.01.01
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI - 2014
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS Nguyễn Trung Kiên

Phản biện 1:

biện pháp an ninh vào thực tiễn có thể giúp các nhà cung cấp SaaS thuyết phục các
doanh nghiệp và khách hàng sử dụng tin tưởng vào sự an ninh của mình.
Bản thân hiện đang công tác tại trường Đại học Phòng cháy chữa cháy, và
trong tương lai gần, nhà trường sẽ tách ra thành các cơ sở giảng dạy ở 03 địa điểm là
tỉnh Hà Nam, tỉnh Hòa Bình và tỉnh Đồng Nai. Trên cơ sở đó, đề tài tìm hiểu về
những biện pháp an ninh cho dịch vụ SaaS nhằm đề xuất, tham mưu cho lãnh đạo nhà
trường xây dựng, hoặc sử dụng một số dịch vụ SaaS thông qua nhà cung cấp SaaS,
nhằm phục vụ công tác giảng dạy cũng như nghiên cứu của cán bộ, giáo viên trong
nhà trường được thuận lợi hơn.
Mục tiêu của đề tài này tập trung vào nghiên cứu những thách thức an ninh
trong triển khai mô hình dịch vụ SaaS và các giải pháp phòng ngừa, giảm thiểu rủi ro
để phù hợp với những thách thức đó. Qua đó, đề xuất với lãnh đạo nhà trường ứng
dụng mô hình SaaS vào các mặt công tác, giảng dạy và học tập trong nhà trường. Với
mục tiêu đặt ra như vậy, những nội dung và kết quả nghiên cứu chính của luận văn
sẽ:
- Cung cấp cái nhìn tổng thể về ĐTĐM, những lợi ích, ưu nhược điểm của
ĐTĐM.
- Nghiên cứu mô hình dịch vụ SaaS trong công nghệ ĐTĐM để từ đó đề xuất
mô hình triển khai đám mây riêng SaaS tại trường Đại học PCCC.
2 - Xác định những thách thức an ninh và giải pháp cho những thách thức đó cho
mô hình SaaS khi triển khải tại tại trường Đại học PCCC.
Những nội dung chính của luận văn được trình bày trong ba chương như sau:
Chương 1: Trình bày khái quát về điện toán đám mây, mô hình điện toán đám
mây SaaS (tính chất, đặc điểm, thành phần và các dạng triển khai) và vai trò vấn đề
an ninh trong môi trường ứng dụng SaaS.
Chương 2: Nghiên cứu các nhóm nguy cơ mất an ninh đối với mô hình đám
mây SaaS, đưa ra những giải pháp tương ứng để giải quyết vấn đề an ninh nói trên.

1.1.1. Các đặc điểm của Điện toán đám mây
1.1.1.1. Tự phục vụ theo nhu cầu (On-Demand Self-Rervice):
Một người dùng có thể tự tính toán khả năng dự phòng của mình, chẳng hạn
như lưu trữ mạng, bởi vì khi cần thiết sẽ tự động thực hiện mà không cần sự tương
tác của con người đối với mỗi nhà cung cấp dịch vụ .
1.1.1.2. Truy xuất diện rộng (Broad Network Access)
Khả năng sẵn có trên mạng và truy cập thông qua các cơ chế tiêu chuẩn khuyến
khích sử dụng bởi các nền tảng thiết bị đầu cuối không đồng nhất. như điện thoại di
động, máy tính bảng, máy tính xách tay, và máy trạm.
1.1.1.3. Dùng chung tài nguyên (Resource Pooling)
Tài nguyên tính toán của nhà cung cấp được gộp lại để phục vụ cho nhiều
người dùng sử dụng một mô hình nhiều người thuê, với nguồn tài nguyên vật lý và ảo
khác nhau được tự động phân công và bố trí theo nhu cầu của người dùng. Nguồn tài
nguyên này là độc lập với người sử dụng thông thường.
1.1.1.4. Khả năng co giãn (Rapid Elasticity)
Khả năng co giãn có thể được cung cấp và phát hành một cách linh hoạt, tự
động trong một số trường hợp, mở rộng nhanh chóng ra ngoài và bên trong tương
xứng với nhu cầu. Khả năng sẵn có, cho phép cung cấp không giới hạn và có thể
được khai thác với bất kỳ số lượng nào tới người sử dụng.
1.1.1.5. Điều tiết dịch vụ (Measured Service)
Hệ thống điện toán đám mây tự động kiểm soát và tối ưu hóa sử dụng tài
nguyên bằng cách tận dụng một khả năng điều tiết tại một số mức độ phù hợp với
4 loại hình dịch vụ. Tài nguyên được sử dụng có thể được theo dõi, kiểm soát và báo
cáo, cung cấp sự minh bạch cho cả nhà cung cấp và người sử dụng của các dịch vụ.
1.1.2. Mô hình dịch vụ của Điện toán đám mây
1.1.2.1. Phần mềm như một dịch vụ (SaaS)
Khả năng cung cấp cho người sử dụng các ứng dụng của nhà cung cấp đang

1.1.3.4. Đám mây cộng đồng (Community Cloud)
Cơ sở hạ tầng điện toán đám mây được cung cấp để sử dụng độc quyền bởi
một cộng đồng cụ thể của người sử dụng từ các tổ chức chia sẻ mối quan tâm (ví dụ:
nhiệm vụ, yêu cầu bảo mật, chính sách và cân nhắc tuân thủ).
1.2. Nghiên cứu về dạng điện toán đám mây SaaS
1.2.1. Khái niệm SaaS
SaaS cung cấp các ứng dụng hoàn chỉnh như một dịch vụ theo yêu cầu cho
nhiều khách hàng thông qua Internet. Trong SaaS cần một server đóng vai trò hosting
quản lý ứng dụng. Server này có thể là một “Cloud” hoặc một “Mainframe”. Người
dùng truy xuất ứng dụng này thông qua trình duyệt web. SaaS cho phép khách hàng
có thể sử dụng một ứng dụng trên cơ sở “chỉ trả tiền cái bạn dùng” (pay-as-you-go)
và loại bỏ sự bắt buộc phải cài đặt và chạy các ứng dụng trên phần cứng riêng của
khách hàng. Khách hàng chỉ cần truy cập vào các ứng dụng thông qua một trình
duyệt Web thông qua Internet. SaaS được sử dụng như là các thuê bao và tất cả đều
được hỗ trợ, bảo trì và nâng cấp bởi các nhà cung cấp SaaS.
1.2.2. Lịch sử hình thành mô hình SaaS
Trước khi mô hình SaaS xuất hiện, chúng ta đã từng nghe nói tới mô hình nhà
cung cấp dịch vụ phần mềm (Application Service Provider - ASP). ASP được định
nghĩa là nhà cung cấp dịch vụ cho thuê ứng dụng (phần mềm), giúp khách hàng loại
bỏ đáng kể các chi phí liên quan đến việc mua và tự bảo dưỡng các ứng dụng.
1.2.3. Những mô hình triển khai đám mây SaaS
1.2.3.1. Đám mây riêng (Private Cloud)
On site Private Cloud: Doanh nghiệp hay tổ chức tự triển khai dịch vụ đám
mây riêng SaaS dựa trên căn cứ theo nhu cầu của doanh nghiệp, tổ chức mà có thể tự
6 thiết lập cơ sở hạ tầng, dịch vụ cho đám mây để phục cho các client bên trong đám
mây.
Outsource Private Cloud: Đây là bước phát triển tiếp theo của mô hình On

tình huống; an ninh ứng dụng; mã hóa và quản lý khóa; nhận dạng và quản lý truy
cập; ảo hóa.
1.4. Kết luận chương
Kết thúc chương, luận văn đã cung cấp cái nhìn tổng thể về điện toán đám
mây, những lợi ích, ưu nhược điểm và mô hình triển khai cũng cách thức hoạt động
của điện toán đám mây. Mô hình SaaS trong công nghệ điện toán đám mây cung cấp,
hỗ trợ người dùng trong công việc, học tập nghiên cứu, chiến lược kinh doanh là rất
cần thiết. Tuy nhiên, mô hình SaaS cũng tồn tại những thách thức an ninh của riêng
nó.

CHƯƠNG 2. NGHIÊN CỨU VẤN ĐỀ BẢO MẬT CHO SAAS
Trong môi trường Internet hay nội bộ, hệ thống phần mềm truyền thống hay
điện toán đám mây, vấn đề an ninh cốt lõi vẫn là bảo vệ thông tin. Trong đám mây
SaaS, thông tin được lưu ở nhiều nơi, có thể lưu ở trung tâm dữ liệu hoặc ở đâu đó
trong “đám mây”. Framework an ninh X805 của ITU là một công cụ tốt được rất
nhiều tổ chức sử dụng để phân tích các nguy cơ và đưa ra giải pháp bảo vệ cho các hệ
thống hay giải pháp mạng, trong chương 2 này, học viên sẽ phân tích nguy cơ mất an
toàn bảo mật theo Framework anh ninh X.805 cho mô hình On Site Private Cloud
SaaS đã đưa ra trong Chương I.
2.1. Một số vấn đề an ninh đối với SaaS
2.1.1. Khi triển khai mô hình SaaS
Các thách thức an ninh SaaS có sự khác nhau tùy thuộc vào mô hình triển khai
được sử dụng bởi các nhà cung cấp SaaS, các nhà cung cấp có thể chọn để triển khai
các giải pháp, hoặc bằng cách sử dụng một nhà cung cấp đám mây công cộng hoặc tự
lưu trữ. Các nhà cung cấp đám mây công cộng chuyên dụng như Amazon giúp đỡ
xây dựng các giải pháp SaaS an toàn bằng cách cung cấp các dịch vụ cơ sở hạ tầng
mà hỗ trợ trong việc bảo đảm môi trường và vành đai an ninh.
8

Khi doanh nghiệp, tổ chức muốn sử dụng dịch vụ đám mây, điều khiến họ trăn
trở là những thông tin nhạy cảm của mình liệu có được giữ bí mật khi mà chúng được
lưu trữ và quản lý bởi các quản trị viên của các nhà cung cấp điện toán đám mây.
2.1.7. Dễ dàng truy cập nhưng tăng rủi ro
Một lợi ích chính của phần mềm như một dịch vụ là các ứng dụng kinh doanh
có thể được truy cập bất cứ nơi nào có kết nối Internet, song nó cũng đặt ra những rủi
ro mới. Cùng với sự gia tăng của máy tính xách tay và điện thoại thông minh, SaaS
làm cho nó thậm chí còn quan trọng hơn cho các cửa hàng CNTT để đảm bảo thiết bị
đầu cuối .
2.1.8. Khách hàng không biết nơi lưu trữ dữ liệu của mình
Thông thường mỗi quốc gia đều có các luật quản lý an ninh thông tin riêng của
mình để giữ cho dữ liệu nhạy cảm trong nước. Mặc dù việc giữ dữ liệu bên trong biên
giới của quốc gia có vẻ như một nhiệm vụ tương đối đơn giản, song các nhà cung cấp
điện toán đám mây thường sẽ không đảm bảo điều đó.
2.2. Phân loại các nguy cơ chính về an ninh đối với SaaS
Theo kiến trúc an ninh X.805 thì những mối nguy hại về an ninh bảo mật thông
tin do tình cờ hay cố ý được phân loại thành 5 nhóm nguy cơ chính. Chúng ta sẽ xem
xét từng nguy cơ được trình bày dưới đây.
2.2.1. Nhóm nguy cơ đánh cắp thông tin.
Việc các doanh nghiệp, tổ chức hay cá nhân chuyển sang sử dụng công nghệ
đám mây (đám mây công cộng hay với đám mây riêng) thì nguy cơ bị mất thông tin
đều có thể xẩy ra. Với mô hình đám mây công cộng thì việc bị đánh cắp thông tin của
cá nhân, doanh nghiệp, tổ chức có nguy cơ rất cao bởi đám mây này hoạt động trong
môi trường Internet. Nơi mà thông tin rất dẽ bị đánh cắp khi chúng được truyền đi
giữa các máy chủ trong đám mây. Đối với mô hình đám mây riêng, mặc dù không
hoạt động trong môi trường Internet, nhưng vẫn còn đó nhưng mối nguy như bị cài
virus, Trojan…bởi mối nguy về con người trong nội bộ hệ thống CNTT của doanh
nghiệp, tổ chức.
2.2.2. Nhóm nguy cơ về sửa đổi làm sai lệch thông tin.

cơ chính ở mục 2.2 và an ninh theo những đặc trưng của mô hình SaaS. Theo bảng 2-
11 1 dưới đây sẽ đưa ra mối quan hệ giữa các biện pháp an ninh kiến trúc và nguy cơ an
ninh.
Bảng 2-1: Mối quan hệ giữa các nguy cơ và giải pháp an ninh.
Phương hướng
an ninh
Mối đe dọa an ninh
Đánh cắp
thông tin
Sửa đổi
thông tin
Phá hủy
thông tin

Lỗ hổng
an ninh
Từ chối
dịch vụ
Kiểm soát truy
cập
X X X X
Xác thực người
dùng
X X
Chứng minh
tránh phủ nhận
X X X X X

2.3.1.3. Chứng minh tránh phủ nhận (Non-Reputation)
Phương pháp này nhằm chống lại việc thoái thác cung cấp phương tiện để
ngăn chặn một cá nhân hoặc tổ chức phủ nhận đã thực hiện một hành động cụ thể liên
quan đến dữ liệu bằng cách sử dụng bằng chứng sẵn có khác nhau của hành động liên
quan đến. Nó đảm bảo bằng chứng trình bày với bên thứ ba và được sử dụng để
chứng minh rằng một số loại sự kiện hay hành động đã diễn ra.
2.3.1.4. Bảo mật dữ liệu (Confidentiality of Data)
Phương pháp này nhằm bảo vệ dữ liệu không bị tiết lộ trái phép, đảm bảo nội
dung dữ liệu không thể được hiểu bởi các đơn vị không được phép.
2.3.1.5. An ninh trong truyền dữ liệu (Communication Security)
Phương pháp này nhằm đảm bảo dòng thông tin chỉ đi từ nguồn đến đích mong
muốn, các điểm trung gian không muốn được biết thông tin không thể truy nhập vào
dòng thông tin.
2.3.1.6. Đảm bảo toàn vẹn dữ liệu (Data Integrity)
Phương pháp này nhằm đảm bảo rằng dữ liệu nhận được và được phục hồi là
giống với dữ liệu đã được gửi đi từ nguồn.
2.3.1.7. Đảm bảo tính sẵn sàng (Avaiability)
Phương pháp này nhằm đảm bảo cho người sử dụng hợp lệ luôn có thể sử dụng
các phần tử mạng, các dịch vụ và các ứng dụng.
2.3.1.8. Đảm bảo tính riêng tư cho người sử dụng (Privacy)
Phương pháp này nhằm đảm bảo tính riêng tư cho nhận dạng và việc sử dụng
mạng của người sử dụng.
2.3.2. An ninh đặc trưng cho SaaS
2.3.2.1. Quản lý định danh và quá trình đăng nhập (Identity Management and
Sign-on Process)
Để quản lý danh tính và quá trình đăng nhập đối với người dùng của các nhà
cung cấp SaaS bằng cách sử dụng bất kỳ các mô hình sau:
13 loại người sử dụng. Và lỗ hổng bảo mật trong các ứng dụng web có thể tạo ra lỗ hổng
an ninh đối với các ứng dụng SaaS. Lúc này, các lỗ hổng an ninh có thể gây khả năng
tác động bất lợi trên tất cả các khách hàng sử dụng điện toán đám mây.
Các ứng dụng web có thể chỉ ra những nguy cơ bảo mật mới có thể không hiệu
quả được bảo vệ ở cấp độ mạng mà cần phải bảo vệ ở mức độ ứng dụng.
2.4. Tìm hiểu tình hình nghiên cứu và chuẩn hoá về bảo mật cho SAAS
Hiện nay chưa có tài liệu chuẩn hóa chính thức về an toàn bảo mật cho điện
toán đám mây và có nhiều tổ chức tham gia nghiên cứu và phát triển an toàn bảo mật
cho điện toán đám mây, trong đề tài này lựa chọn hai tổ chức uy tín nhất hiện nay là
NIST và CSA làm tham khảo.
2.4.1. An toàn bảo mật cho điện toán đám mây của NIST
Đối với an toàn bảo mật cho SaaS thì doanh nghiệp và các nhà cung cấp dịch
vụ cần quan tâm những vấn đề sau:
- Rủi ro đến từ các trình duyệt Web được sử dụng đối với các ứng dụng phát triển
theo dịch vụ Web.
- Sự tin cậy trong vấn đề đảm bảo tính bí mật của dữ liệu trên các kết nối trong môi
trường Internet giữa doanh nghiệp và nhà cung cấp dịch vụ.
- Mức độ an toàn của điện toán đám mây tỷ lệ nghịch với chi phí doanh nghiệp bỏ ra
để chi trả cho nhà cung cấp dịch vụ trong vấn đề đảm bảo sự cách ly về dữ liệu và
ứng dụng của doanh nghiệp với các doanh nghiệp khác.
Những khuyến nghị của NIST đối với nhà cung cấp dịch vụ đám mây.
- Bảo vệ dữ liệu: Mã hóa dữ liệu, xóa dữ liệu không còn được sử dụng.
- Bảo vệ ứng dụng của doanh nghiệp và các thiết bị phía Client.
2.4.2. An toàn bảo mật cho điện toán đám mây của CSA
Kết quả nghiên cứu của CSA trong lĩnh vực an toàn bảo mật cho điện toán đám
mây là những phân tích nguy cơ về mất an toàn bảo mật và hướng dẫn về giải pháp
15


3.1. Giới thiệu về trường Đại học Phòng cháy chữa cháy và vấn đề đặt ra cho
bảo mật ứng dụng CNTT của trường.
3.1.1. Giới thiệu về trường Đại học PCCC
Trường Đại học PCCC là trường đào tạo các kỹ sư về Cứu nạn cứu hộ và
Phòng cháy chữa cháy bậc đại học và trung cấp thuộc Bộ công an. Ngày 14/10/1999
Thủ tướng Chính phủ đã ký Quyết định 203/1999/QĐ-TTg thành lập Trường Đại học
PCCC trên cơ sở Trường Cao đẳng PCCC.
3.1.2. Hiện trạng về hệ thống CNTT của Nhà trường
3.1.2.1. Hiện trạng phần cứng
Nhằm phục vụ công tác đào tạo, năm 2005 nhà trường đã đầu tư hệ thống Thư
viện điện tử và hạ tầng CNTT, 02 phòng học thực hành mỗi phòng 30 máy tính để
phục vụ giảng dạy và học tập, hệ thống mạng nội bộ, hệ thống mạng Internet theo mô
hình cũ. Với sự mở rộng phạm vi và nhân sự của nhà trường, an ninh an toàn thông
tin cho hệ thống đã xuất hiện nhiều bất cập, chưa đáp ứng nhu cầu trao đổi nhanh
chóng trong tình hình hiện nay.
3.1.2.2. Hiện trạng phần mềm
Mô hình hoạt động hiện nay của nhà trường được chia thành nhiều bộ phận,
thực hiện các công tác chuyên môn riêng biệt. Vì vậy, mỗi bộ phận lại có các chương
trình phần mềm riêng biệt phục vụ chuyên môn của mình và các phần mềm, chương
trình, chức năng phục vụ công tác chung của nhà trường
3.1.2.3. Mô hình tổng thể
Dự kiến mô hình tổng thể ứng dụng CNTT cho trường Đại học PCCC là mô
hình điện toán đám mây SaaS. Đám mây SaaS được xây dựng theo mô hình đám mây
riêng, trong đó các Client truy cập tới tài nguyên nằm trong đám mây (DataCenter -
DC) tương ứng với mô hình On site Private Cloud đã giới thiệu ở Chương 1. Người
17 sử dụng có thể truy nhập Internet nhưng từ ngoài Internet không được phép truy nhập
vào mạng.

tin
Đánh cắp
thông tin
Làm lộ
thông
tin
Gián
đoạn
dịch vụ
Dịch vụ lưu trữ
dữ liệu
1 2 1 1 2
18 Dịch vụ mail
2 3 1 1 2
Dịch vụ ứng
dụng Web nội bộ

2 1 3 3 2
Chương trình
quản lý đào tạo
1 1 1 1 2

Để bảo vệ cho sự an toàn các ứng dụng SaaS trong hệ thống thì ngoài việc bảo
vệ các ứng dụng SaaS này cũng cần bảo vệ cả cơ sở hạ tầng mạng. Học viên đề xuất
giải pháp bảo mật cho hệ thống CNTT của trường ĐH PCCC như sau.
3.2.2. Giải pháp tổng thể bảo vê hạ tầng CNTT cho trường PCCC
Giải pháp bảo mật tổng thể từ hạ tầng đến ứng dụng có cấu trúc như sau:

cập, sử dụng phương pháp bảo mật như IP Sec, SSL VPN.
* Documents Sercurity (Các quy tác an ninh) : Các quy tắc, cảnh báo được tạo
ra để phòng chống lại tấn công DDos, sử dụng IDS.
* Communication Policy (Chính sách về mạng): Các chính sách an ninh mạng
đảm bảo quá trình truyền thông tin trong mạng, sử dụng Firewall, ACLs để điều tiết
luồng thông tin.
* User Policy (Chính sách với người dùng): Chính sách với người dùng, yêu
cầu bắt buộc sử dụng mã hóa dữ liệu, giao thức duyệt web an toàn HTTPS.
* Operation & Management (Các hoạt động và quản lý): Chính sách đối với
các hoạt động người quản trị, người sử dụng nhằm xác thực tính hợp lệ đối với người
dùng, sử dụng kỹ thuật xác thực, khóa điện tử, mật khẩu một lần.
20 * Backup & Recover (Về sao lưu và phục hồi): Chính sách quy định về việc
sao lưu dữ liệu, xây dựng kế hoạch dự phòng để kịp thời khắc phục khi có sự cố thiên
tai ngoài ý muốn.
3.2.2.1. Giải pháp về phần cứng.
* Xây dựng và cài đặt máy chủ IDs: cảnh báo khi có dấu hiệu tấn (đối với các
dấu hiệu đã được định nghĩa trong máy chủ IDs), đồng thời ghi nhật ký để kiểm tra
lại khi cần nhằm xác định bổ sung dấu hiệu xâm nhập, tấn công từ bên ngoài vào hệ
thống.
* Xây dựng và cài đặt thiết bị chống xâm nhập IPS của Cisco: chống lại sự
xâm nhập, tấn công dịch vụ khi máy chủ IDs xác định được dựa trên các dấu hiệu.
* Cài đặt và cấu hình Firewall cứng: Sử dụng Cisco PIX 515E cấu hình phân
chia các vùng Inside và Outside, nâng cao hiệu quả giám sát, ngăn chặn những truy
cập trái phép từ ngoài và có các chính sách truy cập trong mạng.
* Sử dụng Switch: Cấu hình quản lý các cổng, chứng thực bảo vệ người dùng
cuối. Cấu hình lại SNMP, sử dụng AAA để quản lý cấu hình, cấu hình an ninh cho
các cổng, tắt các cổng không sử dụng.

môi trường mạng trường Đại học PCCC, một số chính sách về an ninh thông tin sau
đây cần quan tâm:
- Các yêu cầu quản lý tập trung: Các chính sách có quy định cụ thể về nhóm
người và phân quyền cho nhóm người dùng truy cập vào những vùng tài nguyên nhất
định hay không? Người dùng đã được phổ biến về những chính sách hay quy định
quản lý truy cập hay chưa?
- Quản lý truy cập người sử dụng
- Trách nhiệm người sử dụng:
- Giám sát mạng:
- Kiểm soát truy cập ứng dụng:
- Theo dõi truy cập và sử dụng hệ thống:
- Kết nối từ xa và làm việc qua mạng:
* Các chính sách về hệ thống:
22 - Chính sách bảo mật nhân sự: Mục tiêu là để giảm bớt các rủi ro về mặt nhân
sự, trộm cắp, gian lận hoặc lạm dụng trang thiết bị. Bao gồm 4 chính sách: chính sách
tuyển dụng; chính sách đào tạo và sử dụng nhân sự; chính sách sa thải.
- Chính sách về quản lý thiết bị: Mục tiêu nhằm duy trì sự hoạt động ổn định,
an toàn của các thiết bị đang được triển khai trên hệ thống mạng cũng như các thiết bị
nằm tại các cơ sở nhằm mục đích cung cấp sự an toàn, bảo mật thông tin.
- Chính sách về quản lý truy cập: Mục tiêu cung cấp các chính sách ràng buộc
về phương thức truy nhập vào hệ đám mây của nhà trường.
- Chính sách bảo mật tài liệu: Mục tiêu là cung cấp các nguyên tắc bảo mật cho
các loại tài liệu (tài liệu phần cứng, tài liệu phần mềm) lưu hành, ban hành trong nhà
trường.
3.3. Thử nghiệm giải pháp
3.3.1. Giới hạn phạm vi
Do giải pháp của Đại học PCCC mới đang trong giai đoạn thiết kế nên chưa có

Trên máy có vai trò là Attacker sử dụng công cụ hping3 để thực hiện tấn công.
Bằng cách sử dụng lệnh:
hping3 -S -p 80 flood 192.168.2.100
Sử dụng Wireshark để bắt các gói tin ta thấy có rất nhiều các kết nối SYN được
gửi từ máy tấn công tới máy chủ web. Đây là hình thức tấn công liên tiếp gửi các gói
tin SYN nhưng không nhận lại gói tin ACK, làm cho máy chủ cứ tiếp tục chờ gói tin
ACK, gây tiêu tốn băng thông, không phục vụ được người dùng bình thường.
Ta có thể định nghĩa một luật để phát hiện hình thức tấn công trên dựa vào
cách thức định nghĩa luật của Snort, ví dụ:
alert tcp any any -> any 80 (msg:"you are under attack";flags: S; threshold:
type both, track by_src, count 100, seconds 10; sid:10000002;)
3.3.3.4. Đánh giá kết quả
Qua thử nghiệm giải pháp cảnh báo tấn công vào dịch vụ dựa trên các luật
được thiết lập bởi Snort trên máy chủ IDS bước đầu thành công. Qua đây cho ta thấy