ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ********* VŨ THU UYÊN NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN THÔNG TIN Ngành: Công nghệ thông tin Chuyên ngành: Công Nghệ Ph
Trang 1ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
*********
VŨ THU UYÊN
NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG
AN TOÀN THÔNG TIN
LUẬN VĂN THẠC SĨ
Hà Nội – 2011
Trang 2ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
*********
VŨ THU UYÊN
NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG
AN TOÀN THÔNG TIN
Ngành: Công nghệ thông tin Chuyên ngành: Công Nghệ Phần Mềm
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PSG.TS Nguyễn Hữu Ngự
Hà Nội – 2011
Trang 31
MỤC LỤC
MỤC LỤC HÌNH 3
MỤC LỤC BẢNG 5
DANH MỤC TÊN VIẾT TẮT 6
MỞ ĐẦU 7
I Lý do chọn đề tài 7
II Lịch sử vấn đề 7
III Mục đích, nhiệm vụ nghiên cứu 8
IV Phương pháp nghiên cứu 8
CHƯƠNG 1: TỔNG QUAN 9
1.1 Tổng quan về hệ thống thông tin 9
1.1.1 Khái niệm 9
1.1.2 Các thành phần của hệ thống thông tin 9
1.1.3 Các điểm yếu trong hệ thống thông tin 9
1.2 Các vấn đề chung an toàn thông tin 13
1.2.1 An toàn thông tin là gì? 13
1.2.2 Các yêu cầu an toàn thông tin 13
1.2.3 Các phương pháp bảo vệ an toàn thông tin 14
1.2.4 Một số giải pháp khắc phục điểm yếu 14
1.3 Giới thiệu về các tiêu chuẩn đánh giá hệ thống an toàn thông tin 16
1.3.1 Chuẩn an toàn thông tin 16
1.3.2 Các tiêu chuẩn đánh giá an toàn thông tin 17
CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN THÔNG TIN 26
2.1 Tiêu chuẩn chung Common Criteria - CC 26
2.1.1 Khái niệm và mô hình chung của CC 26
2.1.2 Những yêu cầu chức năng an toàn SFR 36
2.1.3 Những yêu cầu đảm bảo an toàn SAR 42
2.1.4 Những mức đảm bảo đánh giá (EALs) 47
2.1.5 Nội dung chuẩn của PP 49
2.1.6 Lớp đảm bảo đánh giá Hồ sơ bảo vệ APE và yêu cầu của EAL4 53
Trang 42
2.2 Phương pháp luận cho đánh giá an toàn - CEM 57
2.2.1 Mối quan hệ CEM và CC 57
2.2.2 Sơ đồ tổng quát cho đánh giá 58
2.2.3 CEM hướng dẫn đánh giá lớp đảm bảo APE 60
CHƯƠNG 3: ỨNG DỤNG GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN THÔNG TIN 72
3.1 Áp dụng CC đánh giá thiết bị FIREWALL/VPN của NOKIA sử dụng giải pháp CHECKPOINT VPN-1/FIREWALL-1 72
3.1.1 Khái quát chung về FireWall/VPN Nokia 72
3.1.2 Áp dụng CC vào đánh giá thiết bị Firewall/VPN của Nokia 76
3.2 Đánh giá hệ thống an toàn thông qua các điểm yếu 124
KẾT LUẬN 131
TÀI LIỆU THAM KHẢO 132
Trang 5Nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin
Học viên: Vũ Thu Uyên
Đơn vị công tác: khoa Công nghệ thông tin – Trường ĐH
Kinh tế - Kỹ thuật Công nghiệp
email: vtuyen.uneti@moet.edu.vn
Giáo viên hướng dẫn: PGS.TS Nguyễn Hữu Ngự Đơn vị công tác: Đại học KHTN – Đại học Quốc gia Email:
Từ khóa – CC, CEM, TOE, SPATCNTT
I GIỚITHIỆUBÀITOÁN
A Nhu cầu áp dụng CNTT vào đời sống là rất
rộng rãi, cần thiết và quan trọng
B Do càng ngày càng xuất hiện nhiều các điểm
yếu, các lỗ hổng trong hệ thống, vì vậy việc đảm
bảo an toàn hệ thống thông tin là yêu cầu hàng
đầu đối với các tổ chức
C Việc đánh giá và cấp chứng chỉ an toàn cho
hệ thống đã được nghiên cứu trên thế giới từ lâu
Tuy nhiên tại Việt Nam vấn đề này tuy đã được
chú ý đến nhưng vẫn còn khá mới mẻ
II NỘIDUNGLUẬNVĂN
A Tổng quan về an toàn thông tin
B Tiêu chuẩn chung – CC
C Phương pháp luận cho đánh giá an toàn –
CEM
D ỨNG DỤNG
1 Áp dụng CC và CEM đánh giá một sản
phẩm An toàn CNTT
2 Đánh giá hệ thống an toàn thông qua các
điểm yếu
III KẾTLUẬN
Luận văn đã đạt được một số kết quả sau:
Nghiên cứu được các tiêu chuẩn để đánh
giá hệ thống an toàn theo chuẩn quốc tế là
ISO 27001, CC, CEM
Đề xuất giải pháp để đánh giá các thành
phần trong hệ thống, cụ thể là đánh giá các
sản phẩm ATCNTT bằng cách sử dụng CC
và CEM, từ đó có thể áp dụng vào các hệ
thống thực tế
Đưa ra cách áp dụng CC và CEM đánh
giá một sản phẩm cụ thể
Các giải pháp để đảm bảo an toàn cho hệ thống khác nằm ngoài những đánh giá dựa vào tiêu chuẩn ở trên là sử dụng công cụ sniffer để phát hiện điểm yếu của hệ thống
Hướng nghiên cứu tiếp theo
Mở rộng việc đánh giá một số sản phẩm ATCNTT như: Firewall, cổng thông tin điện tử, email, CSDL, Đánh giá module mật
mã
Mở rộng phát triển việc kiểm soát: Lỗ hổng, nguy cơ mất ANTT, các điểm yếu của hệ thống
TÀILIỆUTHAMKHẢO
[1] PGS.TS Trịnh Nhật Tiến (2008), An toàn và an
toàn thông tin, Nhà xuất bản Quốc gia
[2] Andrew Hay, Peter Giannoulis, Keli Hay (2009),
Nokia Firewall, VPN, and IPSO Configuration Guide
[3] William Stallings (1998), Cryptography anh
Network Security: Principles and Practice,
Second Edition, Prentice Hall, Upper Saddle River, New Jersey 07458
[4] http://www.commoncriteriaportal.org
[5] http:/www.niap-ccevs.org [6] http://www.checkpoint.com/nokia
Trang 6The study measures the evaluation to information safety systems
Student name: VU THU UYEN
Affiliation:Information Technology Department,
University of Economic and Technical Industries
email vuyen.uneti@moet.edu.vn
Professor name: Prof/Dr Nguyen Huu Ngu
Affiliation: VNU University of Science Email:
Keywords – CC CEM, TOE, SPATCNTT
I INTRODUCEABOUTPROBLEM
B The general problem of information security
C Introduction of standard assessment information
safety system
II CONTENTOFTHETHESIS
A Overview of information security
B Common Criteria – CC
C Common Methodology for Information Security
Evaluation - CEM
D APPLICATIONS
1 Apply CC evaluated IT products
vulnerabilities
III CONCLUSION
• Look at the criteria for assessing the safety
system according to international standards as ISO
27001, CC, CEM
• Propose measures to evaluate the
components in the system, namely the evaluation of
IT products using CC and CEM, which can be
applied to real systems
• Make the application of CC and CEM
evaluate a particular product
• Measures to ensure the safety of the system
beyond the standard assessment based on the use of
sniffer tool to detect weaknesses of the system
Directions for further research:
Expanding the assessment of certain information safety products as: Firewall, e-portal, email, database, code assessment module
Extended control development: vulnerability risk of loss of information security, the system’s weaknesses
REFERENCES
[1] PGS.TS Trịnh Nhật Tiến (2008), An toàn và an
toàn thông tin, Nhà xuất bản Quốc gia
[2] Andrew Hay, Peter Giannoulis, Keli Hay
(2009), Nokia Firewall, VPN, and IPSO
Configuration Guide
[3] William Stallings (1998), Cryptography anh
Network Security: Principles and Practice,
Second Edition, Prentice Hall, Upper Saddle River, New Jersey 07458
[4] http://www.commoncriteriaportal.org
[5] http:/www.niap-ccevs.org
[6] http://www.checkpoint.com/nokia