Bộ Lao động - Thương binh và Xãhội đã đẩy mạnh ứng dụng Công nghệ thông tin trên các lĩnh vực quản lý Nhà nước, trong đó có thể kể đến việc xây dựng Cơ sở dữ liệu , trang thông tin điện
Trang 1PHẠM MINH TUẤN NGHIÊN CỨU VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN VÀ
ĐỀ XUẤT GIẢI PHÁP AN TOÀN HỆ THỐNG THÔNG TIN TẠI TRUNG TÂM LƯU TRỮ CƠ SỞ DỮ LIỆU ADN TRỰC THUỘC
Trang 2Người hướng dẫn khoa học: TS NGUYỄN NGỌC MINH
Phản biện 1: TS Ngô Đức Thiện
Phản biện 2: TS Hồ Văn Canh
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: 09 giờ 15 ngày 02 tháng 7 năm 2022
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông.
Trang 3MỞ ĐẦU
Ngày 03/6/2020, Thủ tướng Chính phủ đã ban hành Quyết định Phê duyệt “Chươngtrình Chuyển đổi số Quốc gia đến năm 2025, định hướng đến năm 2030” trong đó với tầmnhìn đến năm 2030, Việt Nam trở thành quốc gia số, ổn định và thịnh vượng, tiên phong thửnghiệm các công nghệ và mô hình mới; đổi mới căn bản, toàn diện hoạt động quản lý, điềuhành của Chính phủ, hoạt động sản xuất kinh doanh của doanh nghiệp, phương thức sống,làm việc của người dân, phát triển môi trường số an toàn, nhân văn, rộng khắp Trên cơ sở
đó, các Bộ, ban, ngành và các địa phương đang đẩy mạnh ứng dụng công nghệ thông tin,chuyển đổi số vào trong các hoạt động xử lý công việc Cùng với đó là việc triển khai xâydựng thu thập thông tin, tài liệu, hồ sơ chuyển hóa thành dữ liệu, tạo lập cơ sở dữ liệu đểlưu trữ, quản lý phục vụ các mục đích quản lý nhà nước Bộ Lao động - Thương binh và Xãhội đã đẩy mạnh ứng dụng Công nghệ thông tin trên các lĩnh vực quản lý Nhà nước, trong
đó có thể kể đến việc xây dựng Cơ sở dữ liệu , trang thông tin điện tử để phục vụ người dân,doanh nghiệp như: cơ sở dữ liệu quốc gia về Việc làm, Cổng thông tin điện tử về liệt sĩ, mộliệt sĩ, nghĩa trang liệt sĩ, cơ sở dữ liệu ADN liệt sĩ Do đó, việc đảm bảo an toàn thông tinđối với Bộ Lao động - Thương binh và Xã hội nói chung và các đơn vị Quản lý nhà nướctrực thuộc nói riêng là điều hết sức cần thiết
Trung tâm lưu trữ cơ sở dữ liệu ADN thuộc Cục Người có công được xây dựng đểphục vụ công tác xác định hài cốt liệt sĩ còn thiếu thông tin, trong đó hệ thống phần mềm cơ
sở dữ liệu có chức năng lưu trữ, tra cứu, phân tích, so sánh, đối khớp dữ liệu ADN hài cốtliệt sĩ, thân nhân liệt sĩ để xác định hài cốt liệt sĩ còn thiếu thông tin Do đó việc bảo mật hệthống thông tin này là việc hết sức quan trọng và cần thiết
Từ những lí do trên, học viên lựa chọn đề tài “Nghiên cứu vấn đề an toàn bảo mậtthông tin và đề xuất giải pháp an toàn hệ thống thông tin tại Trung tâm lưu trữ Cơ sở dữ liệuADN trực thuộc Cục Người có công” cho luận văn tốt nghiệp trình độ đào tạo thạc sĩ
Bố cục luận văn gồm 3 chương:
Chương 1: Cơ sở lý thuyết an toàn, bảo mật thông tin
Chương 2: Cơ sở dữ liệu, hệ thống quản lý cơ sở dữ liệu, công nghệ ứng dụng webChương 3: Đề xuất giải pháp an toàn hệ thống thông tin tại Trung tâm lưu trữ Cơ sở
dữ liệu ADN
Trang 4CHƯƠNG 1
CƠ SỞ LÝ THUYẾT VỀ AN TOÀN, BẢO MẬT THÔNG TIN
1 Khái quát về an toàn, bảo mật thông tin
1.1 Giới thiệu về an toàn, bảo mật thông tin
An toàn, bảo mật thông tin là việc bảo vệ, ngăn chặn truy cập trái phép, sử dụng, tiết
lộ, làm gián đoạn, sửa đổi, sao chép hoặc phá hủy thông tin Thông tin có thể là thông tinvật lý hoặc điện tử Thông tin có thể là bất cứ điều gì như hồ sơ của cá nhân hay một tổchức, dữ liệu kinh doanh, dữ liệu trên điện thoại di động, sinh trắc học
Các chính sách, giải pháp an toàn thông tin được xây dựng dựa trên 3 mục tiêu,
thường được gọi là CIA - Tính bảo mật (Confidentiality), Tính toàn vẹn, (Integrity), Tính khả dụng (Availability).
Ngoài điều này ra còn có một nguyên tắc nữa tác động lên các chính sách an toàn,bảo mật thông tin như: Không từ chối (Non repudiation); Tính xác thực (Authenticity);Trách nhiệm giải trình (Accountability)
Vấn đề cốt lõi của An toàn thông tin là đảm bảo thông tin, có nghĩa là hành động duytrì thông tin của CIA, đảm bảo rằng thông tin không bị xâm phạm theo bất kỳ cách nào khicác vấn đề quan trọng phát sinh
1.2 Thực trạng an toàn, bảo mật thông tin
Theo số liệu từ các tổ chức an ninh quốc tế, trong số các loại tội phạm nguy hiểm, tộiphạm sử dụng công nghệ cao đứng thứ 2 chỉ sau tội phạm khủng bố Theo một nghiên cứuđược thực hiện bởi Frost & Sullivan cùng Microsoft đã tiết lộ khả năng thiệt hại về kinh tếtrên khắp Châu Á - Thái Bình Dương gây ra bởi sự cố an ninh mạng có thể đạt mức 1,745nghìn tỷ USD, tương đương hơn 7% tổng GDP của khu vực [15] Một số vụ việc gây thiệthại lớn có thể kể đến trên thế giới như: Facebook liên tiếp gây rò rỉ thông tin người dùng;Google+ bị khai tử do tồn tại lỗ hổng bảo mật gây rò rỉ dữ liệu người dùng; tin tặc đánh cắp
90 GB dữ liệu của Apple hay gần đây nhất trong Quý 1/2022, Samsung Electronics bị ảnhhưởng nghiêm trọng khi một cuộc tấn công mạng tàn khốc diễn ra, khiến nhiều dữ liệu bímật của họ bị rò rỉ trên mạng (190Gb dữ liệu nhạy cảm) Tại Việt Nam cũng xảy ra rấtnhiều các vụ việc nghiêm trọng liên quan đến dữ liệu cá nhân như: rò rỉ thông tin dữ liệucủa 5,4 triệu khách hàng Thế Giới Di Động; lộ dữ liệu thông tin khách hàng của FPT Shop;
275 nghìn dữ liệu Ngân hàng Hợp tác xã Việt Nam bị tin tặc khai thác [7]
2 Hệ thống thông tin, các mức độ an toàn, bảo mật hệ thống thông tin, các mối nguy hiểm khi mất an toàn hệ thống thông tin
2.1 Hệ thống thông tin
Hệ thống thông tin là một tập hợp tích hợp của các thành phần để thu thập, lưu trữ,
xử lý và truyền đạt thông tin Doanh nghiệp và tổ chức sử dụng hệ thống thông tin để quản
lý hoạt động của họ trên thị trường cung cấp dịch vụ và nâng cao đời sống cá nhân
Trang 5Có hai loại hệ thống thông tin là: Hệ thống thông tin mục đích chung và Hệ thốngthông tin chuyên ngành.
2.2 Đảm bảo an toàn hệ thống thông tin
Để đảm bảo an ninh an toàn hệ thống thông tin, cần phải cung cấp ít nhất các dịch vụsau đây, được đưa ra dưới đây
Xác thực: Đây là hành động xác định xem một thực thể (xác thực) có quyền thực hiệnhành động hay không; Đánh giá: Cung cấp lịch sử hoạt động có thể được sử dụng để xácđịnh điều gì (nếu có) đã sai và nguyên nhân dẫn đến sai sót; Xác thực vật lý: Một số cơquan, tổ chức xác thực chẳng hạn như một đối tượng (chìa khóa hoặc thẻ thông minh) hoặcmột đặc điểm cá nhân như vân tay, mẫu võng mạc, hình học bàn tay; Bảo mật dữ liệu: Nóbảo vệ chống lại việc tiết lộ bất kỳ dữ liệu nào trong quá trình vận chuyển và được cung cấpbằng cách mã hóa dữ liệu
2.3 Các mức độ an toàn bảo mật hệ thống thông tin
2.3.1 Trên thế giới
Việc xác định loại bảo mật của hệ thống thông tin đòi hỏi phải phân tích và phải xemxét các hạng bảo mật của tất cả các loại thông tin thường trú trên hệ thống thông tin Chomột hệ thống thông tin, các giá trị tác động tiềm ẩn được chỉ định cho các mục tiêu an ninhtương ứng (tính bảo mật, tính toàn vẹn, tính khả dụng) phải là các giá trị cao nhất (tức là dấunước cao) trong số các giá trị những danh mục bảo mật đã được xác định cho từng loạithông tin cư trú trên hệ thống thông tin
Định dạng tổng quát để thể hiện loại bảo mật của một hệ thống thông tin là:
SC information system = {(confidentiality, impact), (integrity, impact), (availability, impact)}
trong đó các giá trị có thể chấp nhận được đối với tác động tiềm ẩn là THẤP,TRUNG CẤP hoặc CAO
Việc phân loại hệ thống thông tin cũng dựa vào các thuộc tính và tác động như vớithông tin
SC information system = {(confidentiality, impact), (integrity, impact), (availability, impact)}
Trong đó SC là mức độ an toàn của hệ thống thông tin Đối với hệ thống thông tin,impact cần được đặt giá trị cao nhất trong số các giá trị đã được xác định cho các loại thôngtin có trong hệ thống Bộ tiêu chuẩn FIPS 200 đưa ra ba phân loại cơ bản: Hệ thống có tácđộng thấp: HTTT có yêu cầu thấp đối với cả ba thuộc tính bí mật, toàn vẹn và khả dụng Hệthống có tác động trung bình: HTTT có ít nhất một thuộc tính là trung bình, không có thuộctính nào ở mức cao Hệ thống có tác động cao: HTTT có ít nhất một thuộc tính là mức cao
Bộ tiêu chuẩn FIPS 199 đưa ra ba mức độ tác động gồm mức thấp, trung bình, cao Căn cứvào ba thuộc tính: bí mật, toàn vẹn, khả dụng của thông tin và ba mức độ tác động tươngứng, có thể phân loại thông tin theo 06 cấp độ gồm tuyệt mật, tối mật, mật, hạn chế, bảo vệ,hạn chế, không phân loại
Trang 62.3.2 Tại Việt Nam
Phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tincủa hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹthuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ
Hình 1.1: Các cấp độ an toàn thông tin
2.4 Một số yêu cầu bảo mật cho Hệ thống thông tin
Bộ tiêu chuẩn FIPS 200 đưa ra các yêu cầu an toàn tối thiểu cho các HTTT về các tiêuchí: (i) quyền truy cập, kiểm soát; (ii) nhận thức và đào tạo; (iii) đánh giá và trách nhiệmgiải trình; (iv) chứng nhận, công nhận và đánh giá an ninh; (v) quản lý cấu hình; (vi) lập kếhoạch dự phòng; (vii) nhận dạng và xác thực; (viii) ứng phó sự cố; (ix) bảo trì; (x) bảo vệphương tiện; (xi) vật lý và bảo vệ môi trường; (xii) lập kế hoạch; (xiii) an ninh nhân sự;(xiv) đánh giá rủi ro; (xv) hệ thống và dịch vụ mua lại; (xvi) bảo vệ hệ thống và thông tinliên lạc; và (xvii) hệ thống và toàn vẹn thông tin Mười bảy yếu tố đại diện cho an toànthông tin cân bằng, giải quyết các khía cạnh quản lý trên diện rộng , vận hành và kỹ thuậtcủa việc bảo vệ thông tin và hệ thống thông tin
2.5 Một số nguy cơ đối với hệ thống thông tin
Lỗi và sự bỏ sót, cố tình bỏ qua
Lừa đảo và lấy cắp thông tin
Nguy cơ từ tin tặc (hacker)
cơ sở dữ liệu sẽ là nội dung nghiên cứu tại Chương II
Trang 7CHƯƠNG II
CƠ SỞ DỮ LIỆU, HỆ THỐNG QUẢN LÝ CƠ SỞ DỮ LIỆU,
ỨNG DỤNG WEB
1 Tổng quan về Cơ sở dữ liệu
2.6 Kiến trúc ba lược đồ và dữ liệu độc lập
2.6.1 Kiến trúc ba lược đồ
Hình 2.1: Kiến trúc ba lược đồ
Trong kiến trúc này, ba mức độ xác định các lược đồ gồm:
Mức nội bộ (Internal Level) có một giản đồ bên trong, mô tả các cấu trúc lưu trữ của
cơ sở dữ liệu Lược đồ nội bộ sử dụng mô hình dữ liệu vật lý và mô tả chi tiết đầy đủ về lưutrữ dữ liệu và đường dẫn truy cập cho kho dữ liệu
Mức khái niệm (Conceptual Level) có một lược đồ khái niệm, trong đó mô tả cấutrúc của toàn bộ cơ sở dữ liệu cho một cộng đồng người dùng Lược đồ khái niệm ẩn chi tiết
về cấu trúc lưu trữ vật lý và tập trung vào việc mô tả các thực thể, kiểu dữ liệu, mối quan hệ,hoạt động của người dùng và các ràng buộc Thông thường, một đại diện mô hình dữ liệuđược sử dụng để mô tả lược đồ khái niệm khi hệ thống cơ sở dữ liệu được thực hiện Lược
đồ khái niệm triển khai này là thường dựa trên thiết kế lược đồ khái niệm trong mô hình dữliệu mức cao
Mức độ bên ngoài (External Level) hoặc chế độ xem bao gồm một số lược đồ bênngoài hoặc người dùng lượt xem Mỗi lược đồ bên ngoài mô tả một phần của cơ sở dữ liệu
mà một nhóm người dùng quan tâm đến và ẩn phần còn lại của cơ sở dữ liệu khỏi đó nhómngười dùng Như ở cấp trước, mỗi giản đồ bên ngoài thường được triển khai sử dụng môhình dữ liệu đại diện, có thể dựa trên thiết kế lược đồ trong mô hình dữ liệu khái niệm mứccao
Trang 8cả quá trình xử lý được thực hiện từ xa trên phần bên ngoài hệ thống DBMS và thông tinhiển thị, các điều khiển được gửi từ máy tính đến các thiết bị đầu cuối hiển thị, được kết nốivới máy tính trung tâm thông qua nhiều các mạng thông tin liên lạc.
2.7.2 Kiến trúc máy khách/máy chủ cơ bản
Kiến trúc máy khách/máy chủ được phát triển để giải quyết vấn đề với môi trườngmáy tính trong đó một số lượng lớn PC, máy trạm, máy chủ tệp, máy in, máy chủ cơ sở dữliệu, máy chủ Web, máy chủ e-mail và phần mềm khác và thiết bị được kết nối qua mạng
Hình 2.3: Kiến trúc máy khách / máy chủ
Khái niệm về kiến trúc máy khách/máy chủ giả định một khuôn khổ cơ bản bao gồmnhiều PC/máy trạm và thiết bị di động cũng như một số lượng nhỏ hơn máy chủ, được kếtnối qua mạng không dây hoặc mạng LAN và các loại mạng máy tính Máy khách trongkhuôn khổ này thường là máy người dùng cung cấp khả năng giao diện người dùng và xử lýcục bộ Hai loại kiến trúc DBMS cơ bản chính đã được tạo ra trên cơ sở khuôn khổ máykhách/máy chủ: hai tầng và ba tầng
Trang 92.7.3 Kiến trúc máy khách/máy chủ hai tầng dành cho DBMS
Trong các hệ quản trị cơ sở dữ liệu quan hệ (RDBMS), nhiều hệ thống bắt đầu là hệthống tập trung, các thành phần hệ thống lần đầu tiên được chuyển đến phía khách hàng làgiao diện người dùng và các chương trình ứng dụng Ở trong một kiến trúc như vậy, máychủ thường được gọi là máy chủ truy vấn hoặc giao dịch vì nó cung cấp hai chức năng này
Các kiến trúc được mô tả ở đây được gọi là kiến trúc hai tầng vì phần mềm các thànhphần được phân phối trên hai hệ thống: máy khách và máy chủ Những lợi thế của kiến trúcnày là sự đơn giản và khả năng tương thích liền mạch với các hệ thống
2.7.4 Kiến trúc ba tầng và n tầng cho các ứng dụng web
Nhiều ứng dụng Web sử dụng một kiến trúc được gọi là kiến trúc ba tầng, mà thêmmột lớp trung gian giữa máy khách và máy chủ cơ sở dữ liệu, như minh họa trong Hình 2.5(a)
Hình 2.5: Kiến trúc ba tầng logic máy khách/máy chủ
Tầng trung gian hoặc tầng giữa này được gọi là máy chủ ứng dụng hoặc máy chủweb, tùy thuộc vào ứng dụng Máy chủ này đóng vai trò trung gian bởi chạy các chươngtrình ứng dụng và lưu trữ (thủ tục hoặc ràng buộc) được sử dụng để truy cập dữ liệu từ máychủ cơ sở dữ liệu Máy khách chứa giao diện người dùng và trình duyệt Web Máy chủtrung gian chấp nhận yêu cầu từ máy khách, xử lý yêu cầu và gửi truy vấn cơ sở dữ liệu vàlệnh tới máy chủ cơ sở dữ liệu, sau đó hoạt động như một đường dẫn để chuyển (một phần)
dữ liệu đã xử lý từ máy chủ cơ sở dữ liệu đến máy khách, trong đó nó có thể được xử lýthêm và lọc để hiển thị cho người dùng
Có thể chia các lớp giữa người dùng và dữ liệu được lưu trữ thêm vào các thành phầntốt hơn, do đó tăng lên các kiến trúc n-tier, trong đó n có thể là bốn hoặc năm bậc Điển hình
là lớp logic được chia thành nhiều lớp Bên cạnh việc phân phối dữ liệu trên toàn mạng, cácứng dụng n-tier có lợi thế mà bất kỳ ứng dụng nào bậc có thể chạy trên nền tảng bộ xử lýhoặc hệ điều hành thích hợp và có thể được xử lý độc lập
2.8 Phân loại Cơ sở dữ liệu
2.8.1 Phân loại theo loại dữ liệu
Cơ sở dữ liệu có cấu trúc (structured database)
Trang 10 Cơ sở dữ liệu phi cấu trúc (unstructured database)
Cơ sở dữ liệu bán cấu trúc (semi-structured database)
2.8.2 Phân loại theo hình thức lưu trữ, mô hình tổ chức
Cơ sở dữ liệu dạng tệp (file database)
Cơ sở dữ liệu quan hệ (relational database)
Cơ sở dữ liệu phân cấp (herachical database)
2.8.3 Phân loại theo mô hình triển khai
Cơ sở dữ liệu tập trung (centralized database)
Cơ sở dữ liệu phân tán (distributed database)
Cơ sở dữ liệu tập trung có bản sao
3 Hệ thống quản lý cơ sở dữ liệu
3.1 Nền tảng phát triển hệ thống
Đối với công nghệ nền, phần lớn các chuyên gia xây dựng hệ thống lựa chọn mộttrong các ngôn ngữ lập trình như Java của Oracle, Net của Microsoft, ObjectiveC củaApple, hoặc PHP của cộng đồng mã nguồn mở Apache Đối với hệ quản trị cơ sở dữ liệu sựlựa chọn phần lớn sẽ là Oracle của Oracle, SQL Server của Microsoft, SQL Lite của Apple,MySQL của cộng đồng mã nguồn mở Apache
3.1.1 Công nghệ Microsoft NET
Microsoft .NET gồm 2 phần chính: Framework và Integrated DevelopmentEnvironment(IDE) Framework cung cấp những gì cần thiết và căn bản, chữ Framework cónghĩa là khung hay khung cảnh trong đó ta dùng những hạ tầng cơ sở theo một qui ước nhấtđịnh để công việc được trôi chảy IDE thì cung cấp một môi trường giúp chúng ta triển khai
dễ dàng, và nhanh chóng các ứng dụng dựa trên nền tảng NET
3.1.2 Công nghệ Java
Hiện nay, công nghệ Java được chia làm ba bộ phận: J2SE Gồm các đặc tả, công cụ,API của nhân Java giúp phát triển các ứng dụng trên desktop và định nghĩa các phần thuộcnhân của Java J2EE gồm các đặc tả, công cụ, API mở rộng J2SE để phát triển các ứng dụngqui mô xí nghiệp, chủ yếu để chạy trên máy chủ (server) Bộ phận hay được nhắc đến nhấtcủa công nghệ này là công nghệ Servlet/JSP: sử dụng Java để làm các ứng dụng web J2MEgồm các đặc tả, công cụ, API mở rộng để phát triển các ứng dụng Java chạy trên điện thoại
di động, thẻ thông minh, thiết bị điện tử cầm tay, robot và những ứng dụng điện tử khácJava đã trải qua 3 bước phát triển quan trọng: Java 1.0 gắn liền với bản JDK đầu tiên, Java 2gắn với JDK 1.2 và Java 5 gắn với J2SDK
3.2 Một số hệ quản trị cơ sở dữ liệu
Microsoft SQL Server
Trang 11 Oracle Database
4 Công nghệ ứng dụng web, những nguy cơ bảo mật đối với công nghệ ứng dụng web
4.1 Giới thiệu về công nghệ ứng dụng web
Công nghệ ứng dụng web là một chương trình sử dụng trình duyệt web để thực hiệnmột chức năng cụ thể Ứng dụng web là một chương trình máy khách-máy chủ Nó có nghĩa
là nó có một phía máy khách và một phía máy chủ Thuật ngữ "khách" ở đây đề cập đếnchương trình mà cá nhân sử dụng để chạy ứng dụng
Lợi ích web apps mang lại: Không gây ra giới hạn về dung lượng; Yêu cầu ít hỗ trợ
và bảo trì hơn từ doanh nghiệp và yêu cầu kỹ thuật thấp hơn từ máy tính của người dùng;Ứng dụng web giảm chi phí cho cả người dùng và doanh nghiệp; Các ứng dụng web luônđược cập nhật vì các bản cập nhật được áp dụng tập trung; Tất cả người dùng đều có thểtruy cập vào cùng một phiên bản, loại bỏ mọi vấn đề về khả năng tương thích; Truy cập cácứng dụng web ở bất kỳ đâu bằng trình duyệt web; Các ứng dụng web có thể chạy trên nhiềunền tảng bất kể hệ điều hành hoặc thiết bị Nhà phát triển trách nhiệm xây dựng một ứngdụng khách tương thích với một loại máy tính cụ thể hoặc một hệ điều hành cụ thể; Giảm viphạm bản quyền phần mềm trong các ứng dụng web dựa trên đăng ký
4.2 Hoạt động của ứng dụng web, những nguy cơ bảo mật đối với ứng dụng web
4.2.1 Hoạt động của ứng dụng web
Nguyên lí hoạt động của ứng dụng web: (i) Người dùng từ giao diện web kích hoạt gửimột yêu cầu tới máy chủ web thông qua các lệnh cơ bản GET, POST…; (ii) Tùy theo cáctác vụ của chương trình được cài đặt mà máy chủ sẽ xử lý, tính toán, sau đó kết nối chuyểntiếp yêu cầu đến máy chủ cơ sở dữ liệu; (iii) Máy chủ cơ sở dữ liệu lưu các thông tin domáy chủ gửi đến và tạo ra kết quả từ đó trả về cho máy chủ web (iv) Máy chủ web sẽ phảnhồi lại những thông tin được yêu cầu cho khách hàng và hiển thị chúng trên màn hình củangười dùng
4.2.2 Những nguy cơ bảo mật đối với ứng dụng web
Theo báo cáo OWASP Top 10 năm 2021, top 10 lỗ hổng bảo mật cần chú ý trong quá trìnhkiểm thử ứng dụng web bao gồm: Kiểm soát truy cập lỗi; Lỗi mật mã; Injection (Chèm mãđộc); Thiết kế không an toàn; Cấu hình bảo mật không chính xác; Các thành phần lỗi thời và
dễ có nguy cơ bị tấn công; Nhận dạng và xác thực không thành công; Lỗi về tính toàn vẹncủa phần mềm và dữ liệu; Lỗi theo dõi và ghi nhật kí an toàn; Lỗi yêu cầu giả mạo từ phíamáy chủ (Server-Side Request Forgery)
Trang 12KẾT LUẬN CHƯƠNG II
Trong chương II, luận văn đã khảo sát về Cơ sở dữ liệu, Hệ thống quản lý cơ sở dữliệu, một số công nghệ phát triển hệ thống quản lý cơ sở dữ liệu đang ứng dụng phổ biếnhiện nay tại các cơ quan nhà nước và doanh nghiệp Ngoài ra, luận văn cũng trình bày vềứng dụng web, những nguy cơ an toàn bảo mật thông tin của ứng dụng web
Trên cơ sở những nội dung đã nghiên cứu tại chương II, luận văn sẽ đề xuất giải pháp
an toàn bảo mật hệ thống thông tin tại Trung tâm lưu trữ Cơ sở dữ liệu ADN trực thuộc CụcNgười có công hiện đang quản lý hai phần mềm quản lý cơ sở dữ liệu trên nền tảng ứngdụng web
Trang 13CHƯƠNG III: ĐỀ XUẤT GIẢI PHÁP AN TOÀN HỆ THỐNG THÔNG
TIN TẠI TRUNG TÂM LƯU TRỮ CSDL ADN
1 Giới thiệu chung
4.3 Tổng quan về Trung tâm
Thực hiện Đề án xác định hài cốt liệt sĩ còn thiếu thông tin, đẩy mạnh ứng dụng côngnghệ thông tin trong hoạt động tìm kiếm, quy tập, xác định hài cốt liệt sĩ còn thiếu thông tin,năm 2015, Cục Người có công phối hợp với các đơn vị liên quan triển khai nghiên cứu, xâydựng Dự án: Trung tâm lưu trữ Cơ sở dữ liệu ADN thuộc Đề án xác định hài cốt liệt sĩthông tin gồm 2 giai đoạn:
Giai đoạn 1 (2015-2019): Xây dựng phần mềm quản lý cơ sở dữ liệu ADN liệt sĩnhằm quản lý thông tin các trung tâm xét nghiệm, thu thập, cập nhật, lưu trữ và quản lý dữliệu ADN hài cốt liệt sĩ, thân nhân liệt sĩ thông suốt từ Cục Người có công đến các Trungtâm xét nghiệm ADN được giao nhiệm vụ Đầu tư hệ thống hạ tầng phần cứng phục vụ lưutrữ, tra cứu, phân tích, so sánh, đối khớp dữ liệu ADN
Giai đoạn 2 (2020-2025): Hoàn thiện hệ thống dữ liệu, nghiên cứu tích hợp, đồng bộhai hệ thống phần mềm quản lý cơ sở dữ liệu ADN và phần mềm Cơ sở dữ liệu về liệt sĩ,thân nhân liệt sĩ, mộ liệt sĩ và nghĩa trang liệt sĩ để hoàn thiện hệ thống cơ sở dữ liệu về liệt
sĩ, tích hợp dữ liệu nhằm đẩy nhanh tiến độ công tác xác định hài cốt liệt sĩ còn thiếu thôngtin
4.4 Sơ đồ hệ thống
Cấu trúc Trung tâm lưu trữ CSDL ADN gồm hai phần:
Hạ tầng phần cứng (Bao gồm hệ thống máy chủ, thiết bị lưu trữ, hạ tầng kết nối, hệthống thiết bị an toàn ) được đặt tại Trung tâm thông tin , trên cơ sở sử dụng các thiết bịcông nghệ đã có sẵn tại Trung tâm thông tin như hệ thống an toàn bảo mật, hệ thống mạng
Sử dụng công nghệ máy chủ phiến để tiết kiệm khôg gia đặt thiết bị, sử dụng các công nghệ
ảo hóa trong hệ thống máy chủ
Hệ thống phần mềm: được sử dụng trong trung tâm là hệ thống phần mềm mang tínhnội bộ, đặc thù, đặc trưng riêng, có khả năng so sánh đối chiếu Hệ thống có có khả năng tổchức lưu trữ và khai thác cơ sở dữ liệu lớn, đáp ứng yêu cầu khai thác, truy vấn trong thờigian cho phép Hệ thống quản lý dung lượng tối ưu kho dữ liệu Tự động xóa bỏ dữ liệu dưthừa theo định kỳ Ngoài ra, hệ thống có tính mở, cho phép nâng cấp, mở rộng dễ dàng, hỗtrợ các chuẩn dữ liệu phổ biến như JSON, XML việc này tạo điều kiện thuận trong việcthực hiện giai đoạn 2 của dự án