Ứng Dụng Kỹ Thuật Bảo Mật Trong Microsoft Net Vào Hệ Thống Quản Lý Và Luân Chuyển Văn Bản Nội Bộ Tại Gp Bank

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

TRẦN MẠNH

ỨNG DỤNG KỸ THUẬT BẢO MẬT TRONG MICROSOFT

.NET VÀO HỆ THỐNG QUẢN LÝ VÀ LUÂN CHUYỂN VĂN

BẢN NỘI BỘ TẠI GPBANK

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội – 2019

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

TRẦN MẠNH

ỨNG DỤNG KỸ THUẬT BẢO MẬT TRONG MICROSOFT

.NET VÀO HỆ THỐNG QUẢN LÝ VÀ LUÂN CHUYỂN VĂN

BẢN NỘI BỘ TẠI GPBANK

Ngành: Công nghệ thông tin

Chuyên ngành: Kỹ Thuật Phần Mềm

Mã số: 8480103.01

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS TRƯƠNG NINH THUẬN

Hà Nội – 2019

1

LỜI CẢM ƠN

Đầu tiên, tôi xin bày tỏ lòng cảm ơn chân thành và sâu sắc nhất đến PGS.TS

Trương Ninh Thuận vì sự hướng dẫn và chỉ bảo tận tình cùng với những định hướng,

những lời khuyên, những kiến thức vô cùng quý giá của Thầy trong quá trình em theo

học cũng như làm luận văn tốt nghiệp.

Tôi xin được gửi lời cảm ơn tới các Thầy Cô trong khoa Công nghệ thông tin -

trường Đại học Công Nghệ - Đại học Quốc gia Hà Nội nói chung cũng như các thầy cô

trong bộ môn Công nghệ Phần mềm nói riêng đã tận tình giảng dạy, trang bị cho tôi

những kiến thức quý báu trong suốt quá trình tôi học tập tại khoa. Đây cũng chính là

tiền đề để tôi có được những kiến thức cần thiết để hoàn thiện luận văn này.

Cuối cùng, tôi cũng xin được gửi lời cảm ơn chân thành đến các anh chị em đồng

nghiệp cũng như gia đình, bạn bè, người thân đã giúp đỡ tôi cả về vật chất lẫn tinh

thần để tôi hoàn thành được luận văn này.

Mặc dù đã rất cố gắng nhưng luận văn chắc chắn không tránh khỏi những thiếu

sót, tôi rất mong nhận được những ý kiến đánh giá và phê bình từ phía các Thầy Cô để

luận văn được hoàn thiện hơn.

Tôi xin chân thành cảm ơn!

Hà nội, tháng 05 năm 2019

Học viên

Trần Mạnh

2

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn tốt nghiệp với đề tài “Ứng dụng kỹ thuật bảo mật

trong Microsoft .NET vào Hệ thống quản lý và luân chuyển văn bản nội bộ tại

GPBank” này là công trình nghiên cứu của riêng tôi dưới sự hướng dẫn của PGS.TS

Trương Ninh Thuận. Các kết quả tôi trình bày trong luận văn là hoàn toàn trung thực

và chưa từng được được nộp như một khóa luận, luận văn hay luận án tại trường Đại

học Công Nghệ - Đại học Quốc Gia Hà Nội hoặc bất kỳ trường đại học nào khác.

Tôi đã trích dẫn đầy đủ các tài liệu tham khảo, các công trình nghiên cứu liên

quan ở trong nước và quốc tế trong phần tài liệu tham khảo. Ngoại trừ các tài liệu tham

khảo này, luận văn này hoàn toàn là công việc của riêng tôi.

Nếu có bất cứ phát hiện nào về sự gian lận sao chép tài liệu, công trình nghiên

cứu của tác giả khác mà không ghi rõ trong phần tài liệu tham khảo, tôi xin chịu hoàn

toàn trách nhiệm về kết quả luận văn của mình.

Hà nội, tháng 05 năm 2019

Học viên

Trần Mạnh

3

MỤC LỤC

LỜI CẢM ƠN..................................................................................................................1

LỜI CAM ĐOAN............................................................................................................2

MỤC LỤC.......................................................................................................................3

DANH SÁCH KÝ HIỆU, CHỮ VIẾT TẮT...................................................................6

DANH SÁCH HÌNH VẼ.................................................................................................7

DANH SÁCH BẢNG......................................................................................................9

Chương 1: Giới thiệu.....................................................................................................10

1.1. Tính cấp thiết của đề tài ......................................................................................10

1.2. Mục tiêu và phạm vi nghiên cứu.........................................................................11

1.3. Hướng nghiên cứu và cách giải quyết.................................................................11

1.4. Cấu trúc của luận văn..........................................................................................12

Chương 2: TỔNG QUAN VỀ BẢO MẬT HỆ THỐNG PHẦN MỀM........................13

2.1. Sự cần thiết đối với bảo mật máy tính ................................................................13

2.2. Các khái niệm cơ bản..........................................................................................13

2.2.1. Lỗ hổng bảo mật ...........................................................................................13

2.2.2. Khai thác lỗ hổng..........................................................................................14

2.2.3. Nguy cơ và rủi ro..........................................................................................14

2.2.4. Tấn công .......................................................................................................15

2.2.5. Hacker...........................................................................................................16

2.3. Các lỗ hổng phần mềm quan trọng .....................................................................16

2.3.1. SQL Injection................................................................................................16

2.3.2. OS Command Injection ................................................................................17

2.3.3. Buffer overflow ............................................................................................17

2.4. Các kiểu tấn công................................................................................................17

2.4.1. Tấn công Brute-Force ...................................................................................17

2.4.2. Tấn công xác thực.........................................................................................18

2.4.3. Tấn công giả mạo..........................................................................................19

2.4.4. Tấn công từ chối dịch vụ ..............................................................................20

2.4.5. Tấn công cuộc gọi thủ tục từ xa (Remote Procedure Call attack)................20

2.4.6. Tấn công tiêm mã (Code injection) .............................................................20

2.5. Lập trình bảo mật ................................................................................................20

2.5.1. Các thuộc tính bảo mật .................................................................................20

2.5.2. Lập trình an toàn...........................................................................................22

4

2.6. Kết luận ...............................................................................................................22

Chương 3: BẢO MẬT HỆ THỐNG PHẦN MỀM TRONG .NET ..............................23

3.1. Tổng quan kiến trúc bảo mật hệ thống phần mềm..............................................23

3.1.1. Vòng đời phát triển.......................................................................................23

3.1.2. Phân tích yêu cầu bảo mật ............................................................................24

3.1.3. Thiết kế bảo mật ...........................................................................................25

3.1.4. Đánh giá bảo mật..........................................................................................29

3.1.5. Kiểm thử bảo mật .........................................................................................30

3.2. Bảo mật trong .NET............................................................................................32

3.2.1. .NET Framework ..........................................................................................32

3.2.2. .NET Runtime security .................................................................................34

3.2.3. Kiến trúc bảo mật .NET................................................................................34

3.2.4. Thư viện bảo mật trong .NET.......................................................................45

3.3. Một số kiểu tấn công ứng dụng Web ..................................................................47

3.3.1. SQL Injection................................................................................................48

3.3.2. Cross-site scripting (XSS) ............................................................................48

3.3.3. HTTP Harvesting..........................................................................................49

3.4. Kết luận ...............................................................................................................49

Chương 4: MỘT MÔ HÌNH ỨNG DỤNG KỸ THUẬT BẢO MẬT TRONG

MICROSOFT .NET TẠI GPBANK .............................................................................50

4.1. Mô tả bài toán......................................................................................................50

4.1.1. Mục đích .......................................................................................................50

4.1.2. Phạm vi .........................................................................................................50

4.1.3. Yêu cầu cụ thể ..............................................................................................51

4.1.4. Giải pháp.......................................................................................................52

4.2. Phân tích nghiệp vụ.............................................................................................52

4.2.1. Mô tả chức năng ...........................................................................................52

4.2.2. Quy trình luân chuyển yêu cầu chuyển tiền .................................................53

4.2.3. Biểu đồ ca sử dụng .......................................................................................56

4.2.4. Biểu đồ lỗ hổng ca sử dụng ..........................................................................60

4.2.5. Các Module chức năng hệ thống ..................................................................60

4.3. Thiết kế hệ thống.................................................................................................61

4.3.1. Mô hình tổng thể hệ thống............................................................................61

4.3.2. Mô hình chức năng .......................................................................................61

4.3.3. Kiến trúc hệ thống ........................................................................................62

5

4.4. Xây dựng hệ thống thử nghiệm...........................................................................62

4.4.1. Môi trường cài đặt, triển khai .......................................................................62

4.4.2. Màn hình giao diện .......................................................................................62

4.4.3. Đánh giá khả năng an toàn và bảo mật của hệ thống ...................................64

4.4.4. Một số Test case về an toàn và bảo mật của hệ thống..................................72

4.5. Kết luận ...............................................................................................................74

Chương 5: KẾT LUẬN .................................................................................................75

TÀI LIỆU THAM KHẢO.............................................................................................76