Nghiên Cứu Phát Triển Giải Pháp Dò Quét Lỗ Hổng Trong Các Hệ Thống Thông Tin

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN VIỆT DŨNG

NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DÒ QUÉT

LỖ HỔNG TRONG CÁC HỆ THỐNG THÔNG TIN

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội - 2021

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN VIỆT DŨNG

NGHIÊN CỨU PHÁT TRIỂN GIẢI PHÁP DÒ QUÉT

LỖ HỔNG TRONG CÁC HỆ THỐNG THÔNG TIN

Ngành: Công nghệ thông tin

Chuyên ngành: Quản lý hệ thống thông tin

Mã số : 8480205.01

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

HƯỚNG DẪN KHOA HỌC: PGS.TS. NGUYỄN NGỌC HÓA

Hà Nội - 2021

Lời cảm ơn

LỜI CẢM ƠN

Qua quá trình nghiên cứu rèn luyện tại Trường Đại học Công Nghệ - Đại học Quốc

Gia Hà Nội, với sự hướng dẫn, giảng dạy tận tụy của các Giáo sư, Tiến sĩ đã tạo điều kiện

cho tác giá hoàn thành chương trình học tập và Luận văn tốt nghiệp của mình. Bằng tất cả

lòng kính trọng và biết ơn, tác giả xin gửi lời cảm ơn đến Ban Giám hiệu, các khoa, phòng

và các thầy đã nhiệt tình giúp đỡ. Đặc biệt, tác giả xin gửi lời cảm ơn đến Thầy hướng dẫn

PGS.TS Nguyễn Ngọc Hóa đã nhiệt tình giúp đỡ tôi trong quá trình học tập và nghiên cứu,

để tôi có thể hoàn thành tốt bài luận văn của mình. Mặc dù đã cố gắng để hoàn thành luận

văn, nhưng với điều kiện về thời gian và trình độ của mình còn hạn chế nên sẽ không tránh

khỏi những thiếu sót, em rất mong nhận được ý kiến đóng góp thầy, cô và các bạn để hoàn

thành tốt hơn bài luận văn của mình.

Tôi xin chân thành cảm ơn!

Hà Nội, tháng 10 năm 2021

Học viên

Nguyễn Việt Dũng

Lời cam đoan

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn tốt nghiệp “Nghiên cứu phát triển giải pháp dò quét lỗ

hổng trong các hệ thống thông tin” là công trình nghiên cứu thực sự của của bản thân, được

xây dựng và thực hiện trên các cơ sở khảo sát, nghiên cứu tình hình thực tiễn và dưới sự

hướng dẫn khoa học của PGS.TS. Nguyễn Ngọc Hóa. Những tham chiếu từ các nghiên cứu

liên quan đều được nêu rõ trong tài liệu tham khảo. Các kết quả số liệu trình bày trong luận

văn là hoàn toàn trung thực. Nếu sai tôi xin chịu hoàn toàn trách nhiệm và chịu mọi kỷ luật

của khoa và nhà trường đề ra.

Hà Nội, tháng 10 năm 2021

Học viên

Nguyễn Việt Dũng

Mục lục

MỤC LỤC

LỜI CẢM ƠN ....................................................................................................................II

LỜI CAM ĐOAN...............................................................................................................II

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT....................................................IV

DANH MỤC BẢNG BIỂU ...............................................................................................V

DANH MỤC HÌNH VẼ................................................................................................... VI

MỞ ĐẦU..............................................................................................................................1

CHƯƠNG 1: QUY TRÌNH QUẢN LÝ RỦI RO VÀ PHƯƠNG PHÁP ĐÁNH GIÁ

ATTT HỆ THỐNG.............................................................................................................3

1.1. Quy trình đánh giá rủi ro ........................................................................................3

1.1.1. Tổng quan về đánh giá rủi ro...............................................................................3

1.1.2. Quy trình đánh giá rủi ro ATTT..........................................................................3

1.1.3. Quy trình quản lý rủi ro an toàn thông tin ...........................................................4

1.1.3.1. Thiết lập ngữ cảnh ........................................................................................4

1.1.3.2. Đánh giá rủi ro ..............................................................................................5

1.2. Đánh giá rủi ro hệ thống thông tin .........................................................................6

1.2.1. Tại sao phải đánh giá rủi ro lỗ hổng bảo mật ......................................................6

1.2.1.1. Xác đinh mức độ an ninh của hệ thống ........................................................7

1.2.1.2. Phòng ngừa, giảm thiểu rủi ro trong tương lai .............................................7

1.2.2. Phương pháp tiếp cận ..........................................................................................7

1.2.3. Khó khăn trong đánh giá rủi ro............................................................................8

1.2.4. Các tiêu chí trong quản lý rủi ro..........................................................................9

1.2.4.1. Tiêu chí ước lượng........................................................................................9

1.2.4.2. Tiêu chí tác động...........................................................................................9

1.2.4.3. Tiêu chí chấp nhận rủi ro ..............................................................................9

1.2.5. Quy trình thực hiện đánh giá rủi ro ...................................................................10

1.2.5.1. Phương pháp đánh giá ................................................................................10

1.2.5.2. Quy trình thực hiện đánh giá ......................................................................11

1.3. Tổng kết chương.....................................................................................................13

CHƯƠNG 2: GIẢI PHÁP DÒ QUÉT LỖ HỖNG BẢO MẬT....................................14

2.1. Bài toán đặt ra ........................................................................................................14

2.2. Phương pháp giải quyết bài toán ..........................................................................14

Mục lục

2.2.1. Hướng đi cho bài toán .......................................................................................14

2.2.2. Xây dựng phần mềm dò quét các lỗ hổng .........................................................15

2.3. Kỹ thuật phân tích, đánh giá rủi ro ATTT..........................................................17

2.3.1. Phương pháp đánh giá rủi ro OWASP..................................................................17

2.3.2. Phương pháp chấm điểm lỗ hổng bảo mật CVSS .............................................22

2.3.2.1. Giới thiệu ....................................................................................................22

2.3.2.2. Đánh giá mức độ nghiêm trọng ..................................................................24

2.3.2.3. Chuỗi Vector...............................................................................................25

2.3.2.4. Thuật toán tính CVSS v3.1.........................................................................26

2.4. Một số kỹ thuật dò quét lỗ hổng hệ thống thông tin ...........................................29

2.4.1. Kỹ thuật dò quét mạng.......................................................................................30

2.4.2. Dò quét lỗ hổng bảo mật....................................................................................31

2.5. Đánh giá lựa chọn công nghệ xây dựng công cụ dò quét....................................34

2.5.1. OpenVAS...........................................................................................................34

2.5.2. Metasploit Framework.......................................................................................35

2.5.3. Nessus................................................................................................................36

2.5.4. Lựa chọn giải pháp ............................................................................................37

2.6. Tổng kết chương.....................................................................................................38

CHƯƠNG 3: XÂY DỰNG HỆ THỐNG ĐÁNH GIÁ, DÒ QUYÉT LỖ HỔNG .......39

3.1. Xây dựng hệ thống .................................................................................................39

3.1.1. Môi trường phát triển.........................................................................................39

3.1.2. Cài đặt thư viện nền tảng...................................................................................39

3.2. Xây dựng các mô-đun với các thư viện nền tảng hệ thống.................................44

3.2.1. Mô-đun phát hiện nguy cơ, lỗ hổng dựa trên CSDL mẫu thử ..............................44

3.2.2. Mô-đun dò quét lỗ hổng hệ thống CNTT .............................................................46

3.3. Xây dựng mô-đun quản lý tác vụ xác định rủi ro ...............................................47

3.4. Kết luận chương.........................................................................................................56

CHƯƠNG 4: THỰC NGHIỆM VÀ ĐÁNH GIÁ ..........................................................57

4.1. Thực nghiệm rà quét lỗ hổng bảo mật.....................................................................57

4.1.1. Môi trường thực nghiệm .......................................................................................57

4.1.2. Thông tin chung trên hệ thống ..............................................................................57

4.2. Kiểm thử đánh giá rủi ro ATTT hệ thống ..............................................................59

4.2.1. Danh mục hệ thống tham gia kiểm thử .................................................................59

4.2.2. Kịch bản thử nghiệm đánh giá rủi ro máy chủ Web vnptsmartads.vn..................61

4.2.3. Kịch bản thử nghiệm đánh giá máy chủ Web dịch vụ smartcloud.vn ..................64

4.3. Thử nghiệm so sánh, đánh giá kết quả so với Nessus ............................................67

Mục lục

4.4. Kết luận chương.........................................................................................................67

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ......................................................................68

TÀI LIỆU THAM KHẢO................................................................................................69

Danh mục các ký hiệu và chữ viết tắt

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

Kí hiệu

Giải thích

Tiếng Anh Tiếng Việt

ATTT An toàn thông tin

CVE Common Vulnerabilities and Exposures Các lỗ hổng bảo mật thông dụng

CNTT Công nghệ thông tin

CVSS Common Vulnerability Scoring System Hệ thống chấm điểm lỗ hổng bảo mật

phổ biến

Framework Khung phát triển ứng dụng

GVM Greenbone Vulnerability Management Trình quản lý lỗ hổng Greenbone

ISO International Organization for

Standardization Tổ chức Quốc tế về Tiêu chuẩn hóa

NIST National Institute of Standards and

Technology

Viện Tiêu chuẩn và Công nghệ Quốc

gia

NVT Network vulnerability test Tệp các mẫu dò quét lỗ hổng

NASL Nessus Attack Scripting Language Ngôn ngữ tấn công dạng kịch bản

Nessus

OpenVAS Open Vulnerability Assessment

Scanner

Hệ thống quét và đánh giá các lỗ

hổng mở

OSP Open scanner protocol Giao thức dò quét mở

OWASP Open Web Application Security Project Dự án an toàn ứng dụng Web mở