ĐẠI HỌC QUỐC GIA TPHCM
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
o0o
Đề tài:
ỨNG DỤNG PHƯƠNG PHÁP LUẬN SÁNG TẠO
KHOA HỌC TRONG BẢO MẬT HỆ THỐNG AN
NINH MẠNG
GVHD: GS.TSKH. Hoàng Kiếm
SVTH: Hồ Duy Nhật Linh – CH1301028
Hồ Duy Nhật Linh – CH1301028
TP.HCM 05.2014
LỜI CÁM ƠN
Đầu tiên, em xin chân thành cám ơn thầy Hoàng Kiếm đã truyền đạt hết sức nhiệt
tình cho chúng em những kiến thức quý báu trong môn Phương pháp luận sáng tạo
khoa học để em hoàn thành đề tài này.
Em cũng xin gửi lời cám ơn chân thành đến các thầy cô trong trường ĐH Công
Nghệ Thông Tin đã tận tình giúp đỡ em trong thời gian học vừa qua.
Xin cảm ơn tất bạn bè đã và đang động viên, giúp đỡ tôi trong quá trình học tập và
hoàn thành đề tài này.
TpHCM, ngày 09 tháng 05 năm 2014
Sinh viên thực hiện
Hồ Duy Nhật Linh
2
Hồ Duy Nhật Linh – CH1301028
NHẬT XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

Hồ Duy Nhật Linh – CH1301028
MỤC LỤC
LỜI CÁM ƠN
2
NHẬT XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
3
LỜI NÓI ĐẦU
4
MỤC LỤC
5
Phần 1 : Các nguyên tắc áp dụng trong tin học
7
I. Nguyên tắc thực hiện sơ bộ : 7
II. Nguyên tắc phân nhỏ : 7
III. Nguyên tắc kết hợp : 8
IV. Nguyên tắc “tách khỏi” : 8
V. Nguyên tắc dự phòng : 8
VI. Nguyên tắc “chứa trong” : 9
VII. Nguyên tắc sao chép (copy) : 9
VIII. Nguyên tắc biến hại thành lợi : 9
IX. Nguyên tắc sử dụng trung gian : 10
X. Nguyên tắc tự phục vụ : 10
Phần 2 : Phân tích bảo mật hệ thống ngân hàng

11
5
Hồ Duy Nhật Linh – CH1301028
7. Phương pháp giảm thiểu tấn công bằng Mail Relay
17
KẾT LUẬN

 Ví dụ :
1. Để hoàn thành một phần mềm nào đó, cần phải phân nhỏ ra từng phân,
từng module cho các nhiều hoặc từng nhóm lập trình viên làm theo tiến
độ.
2. Công việc của một admin có thể chia nhỏ thành các phần sau để có thể
dễ quản lí và bảo trì : quản lí user, quản lí phần cứng, back up data, cài
đặt phần mềm, khắc phục sự cố…
III. Nguyên tắc kết hợp :
7
Hồ Duy Nhật Linh – CH1301028
Kết hợp các đối tượng đồng nhất hoặc các đối tượng dùng cho các hoạt động
kế cận.
Kết hợp về mặt thời gian các hoạt động đồng nhất hoặc kế cận.
 Ví dụ :
1. Sau khi xong tiến độ, kết hợp lại làm ra một phần mềm hoàn chỉnh.
2. kết hợp các thiết bị như Router, Firewall, IDS để xây dựng hệ thống
mạng an toàn.
IV. Nguyên tắc “tách khỏi” :
Tách phần gây “phiền phức” (tính chất “phiền phức”) hay ngược lại tách phần
duy nhất “cần thiết” (tính chất “cần thiết”) ra khỏi đối tượng.
 Ví dụ :
Để một trang web hoàn thiện, tốt , và bề ngoài đẹp, sinh động, người ta
tách ra từng phần như : những người viết code thì làm riêng, không ảnh
hưởng, đụng chạm công việc với những người thiết kế web.
V. Nguyên tắc dự phòng :
Bù đắp độ tin cậy không lớn của đối tượng bằng cách chuẩn bị trước các
phương tiện báo động, ứng cứu, an toàn.
 Ví dụ :
1. Ngày nay các hệ thống máy tính của các cơ quan, doanh nghiệp, nhà
nước…luôn có cơ chế dự phòng, đề phòng những vấn đề không lường

hoặc tử ngoại.
 Ví dụ :
1. Các hệ điều hành luôn cung cấp cơ chế sao chép (copy) data,
2. Từ các bản vẽ, bản in mạch, các công ty phần cứng có thể tạo ra các sản
phẩm như phần cứng, các board mạch…như nhau.
VIII. Nguyên tắc biến hại thành lợi :
Sử dụng những tác nhân có hại (thí dụ tác động có hại của môi trường) để thu
được hiệu ứng có lợi.
Khắc phục tác nhân có hại bằng cách kết hợp nó với tác nhân có hại khác.
Tăng cường tác nhân có hại đến mức nó không còn có hại nữa.
 Ví dụ :
Việc các server để lộ các port như 445,139…, có thể gây nguy hiểm cho các hệ
thống bởi các hacker có thể tấn công vào các port này. Chính vì vậy, để cho an
9
Hồ Duy Nhật Linh – CH1301028
toàn hệ thống, các admin quản trị có thể dùng cơ chế honeypot để mở hàng loạt
các port, làm cho hacker khó phát hiện port nào là thật, port nào giả.
IX. Nguyên tắc sử dụng trung gian :
Sử dụng đối tượng trung gian, chuyển tiếp
 Ví dụ :
1. Các hacker sử dụng các trojan, virus… để lấy các thông tin, hay phá hoại
hệ thống dữ liệu của nạn nhân.
2. Để an toàn cho hệ thống mạng bên trong, các Firewall, Proxy, Router có
tích hợp cơ chế NAT server. Bên trong dùng các địa chỉ IP của các thiết
bị này đi ra ngoài mạng.
X. Nguyên tắc tự phục vụ :
Đối tượng phải tự phục vụ bằng cách thực hiện các thao tác phụ trợ, sửa chữa.
Sử dụng phế liệu, chát thải, năng lượng dư.
 Ví dụ :
Các máy tính có khả năng, cơ chế tự phục vụ vận hành. Như máy tính luôn có

(Scanner).
II. Sử dụng các thiết bị trung gian.
1. Hệ thống sử dụng các thiết bị của Cisco như các Router kết nối ra mạng và
kết nối các chi nhánh với nhau. Để hạn chế các lưu lượng, chống các tác
nhân bên ngoài mạng, lọc các gói tin không an toàn, hệ thống sử dụng
Firewall. Ngày nay hầu hết các Router của Cisco có kết hợp Firewall.
2. Mạng nội bộ bên trong khi đi ra ngoài mạng, phải đi qua các thiết bị trung
gian như Router, Proxy…Mà các thiết bị này có cơ chế NAT, PAT bên
trong nên sẽ sử dụng các địa chỉ IP này.
3. Để phục vụ cho các user công tác xa, ngoài ngân hàng muốn lấy dữ liệu từ
hệ thống của mình thì hệ thống cung cấp cơ chế VPN. Đây là bước trung
gian để user kết nối với hệ thống.
4. Các hacker có thể sử dụng, điều khiển một hệ thống mạng bot net trung gian
để tiến hành tấn công D.O.S/D.D.O.S trang web, hệ thống làm cho tê liệt, có
thể gây ra các hậu quả nghiêm trọng. Việc sử dụng Firewall có ý nghĩa cần
thiết, có thể hạn chế một phần cách tấn công này.
11
Agent
s
Victim
Attacker
Handlers
traffic
flood
Hồ Duy Nhật Linh – CH1301028
III. Sử dụng các nguyên tắc dự phòng, sao chép .
1. Các đường kết nối vật lý giữa các chi nhánh của ngân hàng luôn có hai
đường dây, một đường dây chính và một dự phòng cho những sự cố không
lường trước được.
2. Hệ thống điện luôn luôn sử dụng hệ thống dự phòng để giúp toàn bộ hệ

mềm DNS.
3. Nhằm tránh các sự truy cập bất hợp pháp từ bên ngoài, các phần mềm
software cài đặt trên các máy chủ, hệ thống phải luôn cho tự động cập nhật
liên tục các bản vá lỗi.
VI. Tách các mạng :
Nhằm mục đích an toàn cho các Server và mạng Lan, nên chia các mạng
1. Tách khỏi các máy chủ chứa các dữ liệu quan trọng(Database server, Web
server phục vụ khách hàng,…) ra một mạng riêng - Server Farm và các máy
chủ truy cập public (Web server, mail server,…) ra một mạng riêng-DMZ.
2. Tách các mạng LAN, chi nhánh ra từng mạng riệng biệt.
VII. Linh động khi gặp các sự cố mạng :
1. Có khả năng giám sát hoạt động của toàn bộ hệ thống và có khả năng tự
động thay đổi cấu hình, khắc phục các kẽ hở nhanh chóng.
2. Tại các khu vực cung cấp các máy chủ truy nhập cần bố trí các bức tường
lửa (Firewall) kèm các bộ dò tìm tấn công (IDS) đảm bảo ngăn chặn các truy
nhập trái phép hay các dạng tấn công ngay từ cổng vào mạng, điều này là rất
cần thiết bởi việc sử dụng các thiết bị hỗ trợ cho các kết nối truy nhập đồng
thời lại có kết nối đi Internet.
VIII. Biến hại thành lợi ( dựa vào các nguyện tắc tấn công của hacker)
1. Port là 1 số tự nhiên đựợc gói ở trong TCP và UDP header, mỗi chương
trình này có 1 cổng riêng dùng để truyền và nhận dữ liệu (port). Mỗi dịch
vụ có 1 số port mặc định, ví dụ FTP có port mặc định là 21, web service
có port mặc định là 80, POP3 là 110, SMTP là 25
2. Do vậy hacker thường lợi dụng các port này mở hay không, bằng cách
dùng các tools quét, nhằm thu thập thông tin để tấn công.
3. Ngân hàng nên dựa vào điểm này dùng honey pot để tạo ra hàng loạt port
ảo, Server dữ liệu ảo. Gây khó khăn cho hacker.
IX. Bảo vệ máy chủ, phải kết hợp nhiều hình thức bảo vệ :
13
Hồ Duy Nhật Linh – CH1301028

- Sử dụng bộ lọc để ngăn chặn các truy vấn không hợp lệ ở các ứng
dụng.
14
Hồ Duy Nhật Linh – CH1301028
2. Phòng chống XSS :
- Sử dụng pre-process ở các truy vấn cập nhật từ người dùng để loại bỏ
các câu truy vấn chèn javascript vào database.
3. Hạn chế tác hại của DDOS :
- Sử dụng các phương thức deny từ webserver khi có lượng truy cập
lớn và liên tục
- Sử dụng các phương thức deny request từ ứng dụng web khi có các
truy cập liên tục và bất hợp lệ. Ta có thể sử dụng các hình thức như
memcached, session để xác định.
- Sử các mô hình webserver HAProxy load balanced để phân tán
request giảm thiểu tác hại của DDOS.
15
Hồ Duy Nhật Linh – CH1301028
4. Hạn chế phương pháp tấn công Men in the middle :
- Sử dụng các phương thức verify gói tin được gửi lên. Một trong các
phương pháp đó là sử dụng mã hoá MD5
- Sử dụng phương thức https để các gói tin khi được gửi sẽ được mã
hoá, giảm thiểu khả năng lấy được tin tức từ hacker
5. Có thể cấm packet sniffer bằng một số cách như sau:
- Authentication
- Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast
trong mạng.
- Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet
siffer trên mạng.
- Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa.
Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ

thống bảo mật cho ngân hàng.
18
Hồ Duy Nhật Linh – CH1301028
TÀI LIỆU THAM KHẢO
Tiếng Việt:
[1] Phan Dũng – Giáo trình sơ cấp tóm tắt: Phương pháp luận sáng tạo khoa
học – kỹ thuật giải quyết vấn đề và ra quyết định – Trung tâm sáng tạo KHKT –
TpHCM.1994.
[2] Phan Dũng – Giới thiệu: Phương pháp luận sáng tạo và đổi mới (quyển một
của bộ sách ‘Sáng tạo và đổi mới’ ) – Trung tâm Sáng tạo KHKT (TSK) –
TpHCM. 2004.
[3] Vũ Cao Đàm – Phương pháp luận nghiên cứu khoa học – Nhà xuất bản Đại
học Hà Nội – 2001.
[4] Hoàng Kiếm – Giải một bài toán trên máy tính như thế nào I, II, III – Nhà
xuất bản Giáo dục – 2001, 2002, 2004.
Tiếng Anh:
[5] Fabb – How to write essays, disertation, and thesis – 1993.
[6] Altshuller G.S – The Innovation Algorithm: TRIZ, the Theory of Invention
Problem Solving – Technical Innovation Center – 1998.
Website:
[7] http://en.wikipedia.org/wiki/Document_management_system
[8] http://www.freepatentsonline.com/
[9] http://www.patentstorm.us/
19