Vi mục tiêu là quản lý rủi ro nên luân văn cũng tìm hiểu vẻ các mỏ hình quan ly rid ro, khảo sát tính hình thực tế mả các cơ quan, tổ chứo, doanh nghiệp tại Việt Nam dang gặp phải trong
Trang 1BO GL AO DỤC VÀ ĐÀO TẠO TRƯỜNG PAI HOC BACH KHOA HA NOT
LUAN VAN THAC SY KHOA HQC
QUAN LY RUIRO THEO CAC TIEU CHi NEP
CHO CAC DICH VU WEB
NFP (NON-FUNCTIONAL PROPERTY) - AWARE
RISK MANAGEMENT FOR WEB SERVICES
NGANH: CONG NGHE THONG ‘TIN
MA 80:
PHAM VAN DONG
Người hướng din khoa hoc: TS VO TH] HUONG GIANG
IIA NOI 2010
Trang 2Quan ly rii ro theo cae tiéu chi NFP cho cdc dich vu Web
LOI CAM DOAN
Tôi — Phạm Văn Đồng, học viên lớp Cao học CNTT 2007-3009 Trường Dai hoc Bach Khoa Lá Nội cam kết Luận văn tốt nghiệp là công trinh nghiên cửu của bản thân tôi đưới sự hướng dẫn của TS Vũ Thị Hương Giang, Viện CNTT-LT, Trường Dại học lách Khoa Hà Nội
Trang 3LOI CAM ON
Tôi xin bày tõ lòng biết ơn sâu sắc tới oô giáo, TS Vũ Thị Hương Giang, Viện Công Nghệ Thông Tin va Truyền Thông, trường Đại họu Bách Khoa Hà Nội,
đã khuyên khích và rất tận tình hướng dẫn tôi trong suốt quá trình thực hiện luận
văn Nhờ sự quan tâm chỉ báo và những ÿ kiến đóng góp quý báu của cỏ, tôi mới
có thể hoàn thành luận vẫn mày
Tôi xữi chân thành câm ơn tập thể các thấy, cô giáo trường Đại học Bách
Khoa là Nội nói chung va Viện Công Kghệ Thông Tin và Truyền Thông nói riêng đã tận tỉnh giảng dạy truyền dạt cho tôi những kiến thức, kinh nghiệm quý
báu trong suốt những năm học vừa qua
Tôi cũng xin vam ơn các giảng viên đồng nghiệp ở trường đại học Mô - Địa chất đã tạo điều kiện vẻ thời gian để tôi có thê học tập và hoàn thành luận văn
Cuối cùng, tôi xin chân thành cảm em gia đình, người thân đá hết lòng giúp
đỡ hỗ trợ về vật chất lần tinh thắn giúp tôi yên tâm học tập và nghiên cửu trong
guối quá trình học lập va thực hiện luận văn
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 3
Trang 4Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
Mo DAU
† Tính cắp thiết của đề tài
Quản lý rúi ro là mọt vấn dễ quan trọng trong việc phát triển các ứng dụng
về công nghệ thông tín Với việc phát triển như vũ báo hiện may của công, me
Web thủ việc giảm thiêu rũi ro khi khai thác các dich vụ Web là một vẫn để
thiết Bên cạnh dó, việc duy trì các tiêu chỉ mô tả chất lượng dich vu (NEP) như báo mật, chịu lỗi, v.v là mật vấn để rất được các nhà cùng cấp địch vụ quan tâm
'Trên thế giới đã có nhiều nghiên cửu về quấn lý rủi ro cũng như vẻ các tiểu
chi NFP (Non-Funtional Property) cho phan mém noi chung va cho eae dich va
nói riêng, Tuy nhiên, hiện chua có một nghiên cửu cụ thể về mối quan hệ tương hỗ
giữa hai vẫn đẻ này lo không đánh gia được mức độ ảnh hướng của các tiêu chí NTP đến mức độ rủi zo khi khai thác cáo dịch vụ Web nên rất khó có thể đưa ra các mô hình quản lý rúi ro phú hợp cho các dịch vụ Web có các tiêu chí NitP khác
nhau
2 Mục đích nghiên cứu
Mục địch của luận văn là nghiên cứu quản lý rủi ro theo các tiêu chỉ NEP cho các dịch vụ Web Trước tiên tư tưởng vá các kỹ thuật dịch vụ Web nói chung,
sẽ được đào sâu nghiên cứu lì biểu Tiếp theo luận văn sẽ nghiên cứu tiêu chí
NIP ctia địch vụ Web là an toàn
Vi mục tiêu là quản lý rủi ro nên luân văn cũng tìm hiểu vẻ các mỏ hình quan ly rid ro, khảo sát tính hình thực tế mả các cơ quan, tổ chứo, doanh nghiệp tại Việt Nam dang gặp phải trong việc quầu lý rủi ro về an toàn và chúu lỗi của địch
3 Nhiệm vụ nghiên cứu
Nghiên cứu về các dịch vụ web:
Nghiên cứu về quân lý rúi ro
Từn hiểu các tiêu chỉ NFP của các dịch vụ Web : chịu lỗi và an toàn
Phân tích đánh giá sự ảnh hưởng của các tiêu chí rên đến việc quân lý rủi +o dỗi với các dịch vụ web
«_ Khảo sát hiện trạng quản lý rúiro về an toàn và chịu lỗi của dịch vụ Web tại các cơ quan, tô chức, doanh nghiép tai Viel Nam
«Xây dựng mô hình quận lý rủi ro phù hợp và
Trang 5DANH MUC CAC BANG
Bang 2.1 ‘lich hop quan lý rủi ro vào trong SDLC - 29
Bang 2.3 Vulncrability/Threal Pairs - - 39 Bảng 2.4 Tiêu chuẩn an toàn HH nga ni seeeeeseooooi Â2/ Bang 2.5 Xáo định Khả năng xây ra - - - -44 Tăng 2.6 Xác định độ lớn của tác động - - 46 Tiăng 2.7 Mã lrận mứe độ r A? Bang 2.8 Tỷ lệ rũi to và các hành động cân thiết -48
Bảng 4 Sự liên kết giữa hệ thông quản ký anton tng anv ay tin quản lý rồi ro
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 8
Trang 6Quản hý rủi ro theo các tiên chỉ NEP cho cde dich vu Web
DANH MỤC CÁC TỪ VIÉT TAT
STT | Tir vier tit Giai nghia
1 FT Fault Tolerant
2.— |HTML Hyper Text Markup Language
6 _ | SOAP Simple Object Access Protocol
7 XML eXtensible Markup Language
8 W3C World Wide Web Consortium
9 WS Web Service
Phạm ăn Đẳng ~ Lớp cao học CNTT 07-09— ĐH Bách Khoa Hà Nội
Trang 7
CHUONG 4 Quant) LY RUT RO CHO DICH VII WER THEO TIỂU CHÍ AN TOAN -
42 Quy trình quân lý rũ ro an toàn dich vụ Web - 76
4-3 Thidl lp ngit cinh (Context establishment)
4.3.1 Nghiên cứu tong thé (Gencral consideration)
4.3.2 Các tiêu chi co bin
4.3.3 Nac din pham vi va cde giới hạn
43.4 Vai trò của lỗ chức đối với quản lý r
1 dich vy Web
4.4.1 Mô tả về đánh giá rủi ro an toan dich vu Web
4.4.2 Các bước đảnh giả rủi ro, tose
4.3 Xử lý rửi ro an toàn dich vu Web (WS Security Ri Treatment) 90 4.5.1 Mô tả lỗng quái về xứ lý rải ro
4.5.2 Giảm nhẹ rủi ro (Risk Ecdnction)
4.5.3 Duy tii nii ro (Risk retention)
4.5.4 Tránh mii ro (Risk avoidance)
4.5.5 Chuyển đổi rủi ro (Risk Iransfer)
li T0 an loài hvu Web 81
4.2 Theo đấi, xem lại và cải
reviewing and improving)
TONG KET CIUGNG
CHUONG 5 XAY Mt LING THU NGHIEM CHT XINGTRÌNH QUAN LY RUTRO
THỦ NGHIÊM THEO TIBU CHI AN TOAN DOI VỚI CÁC DỊCH VU WEB 101 3.1 Khảo sát thực trạng quản lý rửi ro an toàn và chịu lỗi của địch vụ Web tại một số
5.1.3 Kết quả khảo sát 102 3.2 Chương trình thử nghiệm quản lý rủi ro địch vụ Web theo tiêu chi an oàn 105 5.3.1 Bước I.1 Xác dịnh phạm vi hệ thông wll 5.3.2 Bước 1.2 Tài liệu hệ thông, 112 5.2.3 Bước 1.3 Thang đo đánh giá rủi ro 113 5.3.4 Bước 2.1 Xác đình tài sản 114
3.26 Buốc 32 Định giá tài sẵn 117
7 Bước 4.1 Xác định các môi đe doa và điểm yếu, 118
3.2.11 Bước 6.2 Lựa chọn mục tiêu kiểm soát và các kiệm soit 124
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 5
Trang 8Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
Mo DAU
† Tính cắp thiết của đề tài
Quản lý rúi ro là mọt vấn dễ quan trọng trong việc phát triển các ứng dụng
về công nghệ thông tín Với việc phát triển như vũ báo hiện may của công, me
Web thủ việc giảm thiêu rũi ro khi khai thác các dich vụ Web là một vẫn để
thiết Bên cạnh dó, việc duy trì các tiêu chỉ mô tả chất lượng dich vu (NEP) như báo mật, chịu lỗi, v.v là mật vấn để rất được các nhà cùng cấp địch vụ quan tâm
'Trên thế giới đã có nhiều nghiên cửu về quấn lý rủi ro cũng như vẻ các tiểu
chi NFP (Non-Funtional Property) cho phan mém noi chung va cho eae dich va
nói riêng, Tuy nhiên, hiện chua có một nghiên cửu cụ thể về mối quan hệ tương hỗ
giữa hai vẫn đẻ này lo không đánh gia được mức độ ảnh hướng của các tiêu chí NTP đến mức độ rủi zo khi khai thác cáo dịch vụ Web nên rất khó có thể đưa ra các mô hình quản lý rúi ro phú hợp cho các dịch vụ Web có các tiêu chí NitP khác
nhau
2 Mục đích nghiên cứu
Mục địch của luận văn là nghiên cứu quản lý rủi ro theo các tiêu chỉ NEP cho các dịch vụ Web Trước tiên tư tưởng vá các kỹ thuật dịch vụ Web nói chung,
sẽ được đào sâu nghiên cứu lì biểu Tiếp theo luận văn sẽ nghiên cứu tiêu chí
NIP ctia địch vụ Web là an toàn
Vi mục tiêu là quản lý rủi ro nên luân văn cũng tìm hiểu vẻ các mỏ hình quan ly rid ro, khảo sát tính hình thực tế mả các cơ quan, tổ chứo, doanh nghiệp tại Việt Nam dang gặp phải trong việc quầu lý rủi ro về an toàn và chúu lỗi của địch
3 Nhiệm vụ nghiên cứu
Nghiên cứu về các dịch vụ web:
Nghiên cứu về quân lý rúi ro
Từn hiểu các tiêu chỉ NFP của các dịch vụ Web : chịu lỗi và an toàn
Phân tích đánh giá sự ảnh hưởng của các tiêu chí rên đến việc quân lý rủi +o dỗi với các dịch vụ web
«_ Khảo sát hiện trạng quản lý rúiro về an toàn và chịu lỗi của dịch vụ Web tại các cơ quan, tô chức, doanh nghiép tai Viel Nam
«Xây dựng mô hình quận lý rủi ro phù hợp và
Trang 9DANH MỤC CÁC HÌNH VẼ
Hình 1.4 Các thành phần cần thiết trong một web service va moi sun giữa các thành
Inh 2.1 Quy trình phương pháp đánh giá rủi ro - 33
Hình 2.3 Biểu dỗ phương pháp giảm nhẹ rủi ro o (Risk Mignon Methotolon 1owchar)
Hình 2 4 Cae kiểm, soát kỹ thuật
Hình 2.5 Các kiểm soái đã thực thí và rủi ro dư thừa
Hình 3.1 Vòng dời thực thí dich vu Web "
Hình 4.1 Quy tình quán lý rủi 1o an toàn dịch vụ Web
Hình 4.2 Hành động xử lý rủi ro
Hình 5.1 Các chức năng chính của hệ thông
Hình 5.2 Thu thập thông tin hệ thông,
Hình 5.3 Các rồi ro của hệ thông
Hình 5.4 Các quyết định quán lý rủi ro
Tĩnh 5.5 Thực thi kiểm sát
Hình S6 Bước 1.1 Xác định phạm vi hệ thông
Nhiệm vụ: dưa ra các tải liệu dược sinh ra bởi hệ thông
Bước 5: Nếu cần thiết, xóa bất kỷ tả liệu khói “Danh sách ti liệu đã chọn"
chon tai liệu và nhấp vào nút "Xóa tải liệu"
Hình 5.7 Bước 1.2 Tải liệu hệ thông,
Hình 5.16 Bước 6.2 Lara chon myc tiêu kiểm soát và các kiểm soát 145
Hình 5.17 Bước 6.3 Giảm nhẹ rúi ro 127
Hinh $.18 Bude 7.2 hướng đến tính ứng dụng của kiếm soát
Ilinh $.19 Bước 8.1 Thực thi các kiểm soát đã chọn
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 7
Trang 10Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
3.2.13 Bước 7.1 hướng đẫn tỉnh ứng đụng của kiểm - 127
5.2.14 Bude 8.1 Thute thỉ các kiểm soát đã chọn eo T3
PHU LUC 1 KHAO SAT THUC TRANG QUÁN LÝ RỦI RO AN TOAN VA CHIU
PHỤ LỤC 2 KHẢO SÁT THỰC TRẠNG QUAN LY RUIRO AN TOAN VA CHU
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 6
Trang 11DANH MUC CAC BANG
Bang 2.1 ‘lich hop quan lý rủi ro vào trong SDLC - 29
Bang 2.3 Vulncrability/Threal Pairs - - 39 Bảng 2.4 Tiêu chuẩn an toàn HH nga ni seeeeeseooooi Â2/ Bang 2.5 Xáo định Khả năng xây ra - - - -44 Tăng 2.6 Xác định độ lớn của tác động - - 46 Tiăng 2.7 Mã lrận mứe độ r A? Bang 2.8 Tỷ lệ rũi to và các hành động cân thiết -48
Bảng 4 Sự liên kết giữa hệ thông quản ký anton tng anv ay tin quản lý rồi ro
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 8
Trang 12Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
CHUONG 4 Quant) LY RUT RO CHO DICH VII WER THEO TIỂU CHÍ AN TOAN -
42 Quy trình quân lý rũ ro an toàn dich vụ Web - 76
4-3 Thidl lp ngit cinh (Context establishment)
4.3.1 Nghiên cứu tong thé (Gencral consideration)
4.3.2 Các tiêu chi co bin
4.3.3 Nac din pham vi va cde giới hạn
43.4 Vai trò của lỗ chức đối với quản lý r
1 dich vy Web
4.4.1 Mô tả về đánh giá rủi ro an toan dich vu Web
4.4.2 Các bước đảnh giả rủi ro, tose
4.3 Xử lý rửi ro an toàn dich vu Web (WS Security Ri Treatment) 90 4.5.1 Mô tả lỗng quái về xứ lý rải ro
4.5.2 Giảm nhẹ rủi ro (Risk Ecdnction)
4.5.3 Duy tii nii ro (Risk retention)
4.5.4 Tránh mii ro (Risk avoidance)
4.5.5 Chuyển đổi rủi ro (Risk Iransfer)
li T0 an loài hvu Web 81
4.2 Theo đấi, xem lại và cải
reviewing and improving)
TONG KET CIUGNG
CHUONG 5 XAY Mt LING THU NGHIEM CHT XINGTRÌNH QUAN LY RUTRO
THỦ NGHIÊM THEO TIBU CHI AN TOAN DOI VỚI CÁC DỊCH VU WEB 101 3.1 Khảo sát thực trạng quản lý rửi ro an toàn và chịu lỗi của địch vụ Web tại một số
5.1.3 Kết quả khảo sát 102 3.2 Chương trình thử nghiệm quản lý rủi ro địch vụ Web theo tiêu chi an oàn 105 5.3.1 Bước I.1 Xác dịnh phạm vi hệ thông wll 5.3.2 Bước 1.2 Tài liệu hệ thông, 112 5.2.3 Bước 1.3 Thang đo đánh giá rủi ro 113 5.3.4 Bước 2.1 Xác đình tài sản 114
3.26 Buốc 32 Định giá tài sẵn 117
7 Bước 4.1 Xác định các môi đe doa và điểm yếu, 118
3.2.11 Bước 6.2 Lựa chọn mục tiêu kiểm soát và các kiệm soit 124
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 5
Trang 13MUG LUC
LOI CAM DOAN
LG1 CAM GN
MUC LUC
DANH MUC CAC HINH VE
DANH MUC CAC BANG
DANH MỤC CÁC TỪ VIỆT TẢ
MỞ DẦU
1 Tỉnh cấp thiết của đề tai
2 Mục đích nghiên cửu
3 Nhiệm vụ nghiền cửu
4 Phương pháp nghiên cứu
5 Phạm vì nghiên cứu
6, Cấu trúc luận văn
CHUONG 1 TONG QUAN VE DICH VỤ WEB
1.1 Khải niệm dịch vụ Web
an ie dịch vụ Web ông cự xây đựng dich vu Webs
“13.1 XML~ Extensible Markup Language
13.2 WSDL - Web Services Description Language
1.3.3 UDDI - Universal Description, Discovery and Inergation
1.3.4 SOAP - Simple Object Accesss Protocol
1.3.5 Tao Web Service
1.4 Các lợi ích của địch vu Web
TONG KET CHUONG
GHƯƠNG 2 QUẦN LY RỦI RO CIO CA
2.1 Giải thiệu
2.2 Khải niệm quản lý rồi ro
2.4 Tich hợp quan lý rồi ro dich vụ Web vào vòng đời phát triển hệ thong - SDLC
(Syston Develop Tile Circle)
2.5 Các vai trò chỉnh của người tham gia quản lý rủi ro diet v va We
2.6 Quy trình quản lý rửi ro cho dịch vụ Web
2.6.1 lánh giá rủi ro cho định vụ Web
¡ nhẹ rủi rõ cho dich vu Web 2.6.3 Liớc lượng và đánh giá
3.5 San sing (Availability)
3.6 Tin cdy (Reliability)
3.7 Phuc hoi (Recovery)
3.8 Tương thao tác (Interoperability)
Trang 14
Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
CHUONG 4 Quant) LY RUT RO CHO DICH VII WER THEO TIỂU CHÍ AN TOAN -
42 Quy trình quân lý rũ ro an toàn dich vụ Web - 76
4-3 Thidl lp ngit cinh (Context establishment)
4.3.1 Nghiên cứu tong thé (Gencral consideration)
4.3.2 Các tiêu chi co bin
4.3.3 Nac din pham vi va cde giới hạn
43.4 Vai trò của lỗ chức đối với quản lý r
1 dich vy Web
4.4.1 Mô tả về đánh giá rủi ro an toan dich vu Web
4.4.2 Các bước đảnh giả rủi ro, tose
4.3 Xử lý rửi ro an toàn dich vu Web (WS Security Ri Treatment) 90 4.5.1 Mô tả lỗng quái về xứ lý rải ro
4.5.2 Giảm nhẹ rủi ro (Risk Ecdnction)
4.5.3 Duy tii nii ro (Risk retention)
4.5.4 Tránh mii ro (Risk avoidance)
4.5.5 Chuyển đổi rủi ro (Risk Iransfer)
li T0 an loài hvu Web 81
4.2 Theo đấi, xem lại và cải
reviewing and improving)
TONG KET CIUGNG
CHUONG 5 XAY Mt LING THU NGHIEM CHT XINGTRÌNH QUAN LY RUTRO
THỦ NGHIÊM THEO TIBU CHI AN TOAN DOI VỚI CÁC DỊCH VU WEB 101 3.1 Khảo sát thực trạng quản lý rửi ro an toàn và chịu lỗi của địch vụ Web tại một số
5.1.3 Kết quả khảo sát 102 3.2 Chương trình thử nghiệm quản lý rủi ro địch vụ Web theo tiêu chi an oàn 105 5.3.1 Bước I.1 Xác dịnh phạm vi hệ thông wll 5.3.2 Bước 1.2 Tài liệu hệ thông, 112 5.2.3 Bước 1.3 Thang đo đánh giá rủi ro 113 5.3.4 Bước 2.1 Xác đình tài sản 114
3.26 Buốc 32 Định giá tài sẵn 117
7 Bước 4.1 Xác định các môi đe doa và điểm yếu, 118
3.2.11 Bước 6.2 Lựa chọn mục tiêu kiểm soát và các kiệm soit 124
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 5
Trang 15
CHUONG 4 Quant) LY RUT RO CHO DICH VII WER THEO TIỂU CHÍ AN TOAN -
42 Quy trình quân lý rũ ro an toàn dich vụ Web - 76
4-3 Thidl lp ngit cinh (Context establishment)
4.3.1 Nghiên cứu tong thé (Gencral consideration)
4.3.2 Các tiêu chi co bin
4.3.3 Nac din pham vi va cde giới hạn
43.4 Vai trò của lỗ chức đối với quản lý r
1 dich vy Web
4.4.1 Mô tả về đánh giá rủi ro an toan dich vu Web
4.4.2 Các bước đảnh giả rủi ro, tose
4.3 Xử lý rửi ro an toàn dich vu Web (WS Security Ri Treatment) 90 4.5.1 Mô tả lỗng quái về xứ lý rải ro
4.5.2 Giảm nhẹ rủi ro (Risk Ecdnction)
4.5.3 Duy tii nii ro (Risk retention)
4.5.4 Tránh mii ro (Risk avoidance)
4.5.5 Chuyển đổi rủi ro (Risk Iransfer)
li T0 an loài hvu Web 81
4.2 Theo đấi, xem lại và cải
reviewing and improving)
TONG KET CIUGNG
CHUONG 5 XAY Mt LING THU NGHIEM CHT XINGTRÌNH QUAN LY RUTRO
THỦ NGHIÊM THEO TIBU CHI AN TOAN DOI VỚI CÁC DỊCH VU WEB 101 3.1 Khảo sát thực trạng quản lý rửi ro an toàn và chịu lỗi của địch vụ Web tại một số
5.1.3 Kết quả khảo sát 102 3.2 Chương trình thử nghiệm quản lý rủi ro địch vụ Web theo tiêu chi an oàn 105 5.3.1 Bước I.1 Xác dịnh phạm vi hệ thông wll 5.3.2 Bước 1.2 Tài liệu hệ thông, 112 5.2.3 Bước 1.3 Thang đo đánh giá rủi ro 113 5.3.4 Bước 2.1 Xác đình tài sản 114
3.26 Buốc 32 Định giá tài sẵn 117
7 Bước 4.1 Xác định các môi đe doa và điểm yếu, 118
3.2.11 Bước 6.2 Lựa chọn mục tiêu kiểm soát và các kiệm soit 124
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 5
Trang 16Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
3.2.13 Bước 7.1 hướng đẫn tỉnh ứng đụng của kiểm - 127
5.2.14 Bude 8.1 Thute thỉ các kiểm soát đã chọn eo T3
PHU LUC 1 KHAO SAT THUC TRANG QUÁN LÝ RỦI RO AN TOAN VA CHIU
PHỤ LỤC 2 KHẢO SÁT THỰC TRẠNG QUAN LY RUIRO AN TOAN VA CHU
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 6
Trang 17DANH MỤC CÁC HÌNH VẼ
Hình 1.4 Các thành phần cần thiết trong một web service va moi sun giữa các thành
Inh 2.1 Quy trình phương pháp đánh giá rủi ro - 33
Hình 2.3 Biểu dỗ phương pháp giảm nhẹ rủi ro o (Risk Mignon Methotolon 1owchar)
Hình 2 4 Cae kiểm, soát kỹ thuật
Hình 2.5 Các kiểm soái đã thực thí và rủi ro dư thừa
Hình 3.1 Vòng dời thực thí dich vu Web "
Hình 4.1 Quy tình quán lý rủi 1o an toàn dịch vụ Web
Hình 4.2 Hành động xử lý rủi ro
Hình 5.1 Các chức năng chính của hệ thông
Hình 5.2 Thu thập thông tin hệ thông,
Hình 5.3 Các rồi ro của hệ thông
Hình 5.4 Các quyết định quán lý rủi ro
Tĩnh 5.5 Thực thi kiểm sát
Hình S6 Bước 1.1 Xác định phạm vi hệ thông
Nhiệm vụ: dưa ra các tải liệu dược sinh ra bởi hệ thông
Bước 5: Nếu cần thiết, xóa bất kỷ tả liệu khói “Danh sách ti liệu đã chọn"
chon tai liệu và nhấp vào nút "Xóa tải liệu"
Hình 5.7 Bước 1.2 Tải liệu hệ thông,
Hình 5.16 Bước 6.2 Lara chon myc tiêu kiểm soát và các kiểm soát 145
Hình 5.17 Bước 6.3 Giảm nhẹ rúi ro 127
Hinh $.18 Bude 7.2 hướng đến tính ứng dụng của kiếm soát
Ilinh $.19 Bước 8.1 Thực thi các kiểm soát đã chọn
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 7
Trang 18Quản hý rủi ro theo các tiên chỉ NEP cho cde dich vu Web
DANH MỤC CÁC TỪ VIÉT TAT
STT | Tir vier tit Giai nghia
1 FT Fault Tolerant
2.— |HTML Hyper Text Markup Language
6 _ | SOAP Simple Object Access Protocol
7 XML eXtensible Markup Language
8 W3C World Wide Web Consortium
9 WS Web Service
Phạm ăn Đẳng ~ Lớp cao học CNTT 07-09— ĐH Bách Khoa Hà Nội
Trang 19
3.2.13 Bước 7.1 hướng đẫn tỉnh ứng đụng của kiểm - 127
5.2.14 Bude 8.1 Thute thỉ các kiểm soát đã chọn eo T3
PHU LUC 1 KHAO SAT THUC TRANG QUÁN LÝ RỦI RO AN TOAN VA CHIU
PHỤ LỤC 2 KHẢO SÁT THỰC TRẠNG QUAN LY RUIRO AN TOAN VA CHU
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 6
Trang 20Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
MUG LUC
LOI CAM DOAN
LG1 CAM GN
MUC LUC
DANH MUC CAC HINH VE
DANH MUC CAC BANG
DANH MỤC CÁC TỪ VIỆT TẢ
MỞ DẦU
1 Tỉnh cấp thiết của đề tai
2 Mục đích nghiên cửu
3 Nhiệm vụ nghiền cửu
4 Phương pháp nghiên cứu
5 Phạm vì nghiên cứu
6, Cấu trúc luận văn
CHUONG 1 TONG QUAN VE DICH VỤ WEB
1.1 Khải niệm dịch vụ Web
an ie dịch vụ Web ông cự xây đựng dich vu Webs
“13.1 XML~ Extensible Markup Language
13.2 WSDL - Web Services Description Language
1.3.3 UDDI - Universal Description, Discovery and Inergation
1.3.4 SOAP - Simple Object Accesss Protocol
1.3.5 Tao Web Service
1.4 Các lợi ích của địch vu Web
TONG KET CHUONG
GHƯƠNG 2 QUẦN LY RỦI RO CIO CA
2.1 Giải thiệu
2.2 Khải niệm quản lý rồi ro
2.4 Tich hợp quan lý rồi ro dich vụ Web vào vòng đời phát triển hệ thong - SDLC
(Syston Develop Tile Circle)
2.5 Các vai trò chỉnh của người tham gia quản lý rủi ro diet v va We
2.6 Quy trình quản lý rửi ro cho dịch vụ Web
2.6.1 lánh giá rủi ro cho định vụ Web
¡ nhẹ rủi rõ cho dich vu Web 2.6.3 Liớc lượng và đánh giá
3.5 San sing (Availability)
3.6 Tin cdy (Reliability)
3.7 Phuc hoi (Recovery)
3.8 Tương thao tác (Interoperability)
Trang 21
3.2.13 Bước 7.1 hướng đẫn tỉnh ứng đụng của kiểm - 127
5.2.14 Bude 8.1 Thute thỉ các kiểm soát đã chọn eo T3
PHU LUC 1 KHAO SAT THUC TRANG QUÁN LÝ RỦI RO AN TOAN VA CHIU
PHỤ LỤC 2 KHẢO SÁT THỰC TRẠNG QUAN LY RUIRO AN TOAN VA CHU
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 6
Trang 22Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
MUG LUC
LOI CAM DOAN
LG1 CAM GN
MUC LUC
DANH MUC CAC HINH VE
DANH MUC CAC BANG
DANH MỤC CÁC TỪ VIỆT TẢ
MỞ DẦU
1 Tỉnh cấp thiết của đề tai
2 Mục đích nghiên cửu
3 Nhiệm vụ nghiền cửu
4 Phương pháp nghiên cứu
5 Phạm vì nghiên cứu
6, Cấu trúc luận văn
CHUONG 1 TONG QUAN VE DICH VỤ WEB
1.1 Khải niệm dịch vụ Web
an ie dịch vụ Web ông cự xây đựng dich vu Webs
“13.1 XML~ Extensible Markup Language
13.2 WSDL - Web Services Description Language
1.3.3 UDDI - Universal Description, Discovery and Inergation
1.3.4 SOAP - Simple Object Accesss Protocol
1.3.5 Tao Web Service
1.4 Các lợi ích của địch vu Web
TONG KET CHUONG
GHƯƠNG 2 QUẦN LY RỦI RO CIO CA
2.1 Giải thiệu
2.2 Khải niệm quản lý rồi ro
2.4 Tich hợp quan lý rồi ro dich vụ Web vào vòng đời phát triển hệ thong - SDLC
(Syston Develop Tile Circle)
2.5 Các vai trò chỉnh của người tham gia quản lý rủi ro diet v va We
2.6 Quy trình quản lý rửi ro cho dịch vụ Web
2.6.1 lánh giá rủi ro cho định vụ Web
¡ nhẹ rủi rõ cho dich vu Web 2.6.3 Liớc lượng và đánh giá
3.5 San sing (Availability)
3.6 Tin cdy (Reliability)
3.7 Phuc hoi (Recovery)
3.8 Tương thao tác (Interoperability)
Trang 23
DANH MUC CAC BANG
Bang 2.1 ‘lich hop quan lý rủi ro vào trong SDLC - 29
Bang 2.3 Vulncrability/Threal Pairs - - 39 Bảng 2.4 Tiêu chuẩn an toàn HH nga ni seeeeeseooooi Â2/ Bang 2.5 Xáo định Khả năng xây ra - - - -44 Tăng 2.6 Xác định độ lớn của tác động - - 46 Tiăng 2.7 Mã lrận mứe độ r A? Bang 2.8 Tỷ lệ rũi to và các hành động cân thiết -48
Bảng 4 Sự liên kết giữa hệ thông quản ký anton tng anv ay tin quản lý rồi ro
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 8
Trang 24Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
Mo DAU
† Tính cắp thiết của đề tài
Quản lý rúi ro là mọt vấn dễ quan trọng trong việc phát triển các ứng dụng
về công nghệ thông tín Với việc phát triển như vũ báo hiện may của công, me
Web thủ việc giảm thiêu rũi ro khi khai thác các dich vụ Web là một vẫn để
thiết Bên cạnh dó, việc duy trì các tiêu chỉ mô tả chất lượng dich vu (NEP) như báo mật, chịu lỗi, v.v là mật vấn để rất được các nhà cùng cấp địch vụ quan tâm
'Trên thế giới đã có nhiều nghiên cửu về quấn lý rủi ro cũng như vẻ các tiểu
chi NFP (Non-Funtional Property) cho phan mém noi chung va cho eae dich va
nói riêng, Tuy nhiên, hiện chua có một nghiên cửu cụ thể về mối quan hệ tương hỗ
giữa hai vẫn đẻ này lo không đánh gia được mức độ ảnh hướng của các tiêu chí NTP đến mức độ rủi zo khi khai thác cáo dịch vụ Web nên rất khó có thể đưa ra các mô hình quản lý rúi ro phú hợp cho các dịch vụ Web có các tiêu chí NitP khác
nhau
2 Mục đích nghiên cứu
Mục địch của luận văn là nghiên cứu quản lý rủi ro theo các tiêu chỉ NEP cho các dịch vụ Web Trước tiên tư tưởng vá các kỹ thuật dịch vụ Web nói chung,
sẽ được đào sâu nghiên cứu lì biểu Tiếp theo luận văn sẽ nghiên cứu tiêu chí
NIP ctia địch vụ Web là an toàn
Vi mục tiêu là quản lý rủi ro nên luân văn cũng tìm hiểu vẻ các mỏ hình quan ly rid ro, khảo sát tính hình thực tế mả các cơ quan, tổ chứo, doanh nghiệp tại Việt Nam dang gặp phải trong việc quầu lý rủi ro về an toàn và chúu lỗi của địch
3 Nhiệm vụ nghiên cứu
Nghiên cứu về các dịch vụ web:
Nghiên cứu về quân lý rúi ro
Từn hiểu các tiêu chỉ NFP của các dịch vụ Web : chịu lỗi và an toàn
Phân tích đánh giá sự ảnh hưởng của các tiêu chí rên đến việc quân lý rủi +o dỗi với các dịch vụ web
«_ Khảo sát hiện trạng quản lý rúiro về an toàn và chịu lỗi của dịch vụ Web tại các cơ quan, tô chức, doanh nghiép tai Viel Nam
«Xây dựng mô hình quận lý rủi ro phù hợp và
Trang 25
CHUONG 4 Quant) LY RUT RO CHO DICH VII WER THEO TIỂU CHÍ AN TOAN -
42 Quy trình quân lý rũ ro an toàn dich vụ Web - 76
4-3 Thidl lp ngit cinh (Context establishment)
4.3.1 Nghiên cứu tong thé (Gencral consideration)
4.3.2 Các tiêu chi co bin
4.3.3 Nac din pham vi va cde giới hạn
43.4 Vai trò của lỗ chức đối với quản lý r
1 dich vy Web
4.4.1 Mô tả về đánh giá rủi ro an toan dich vu Web
4.4.2 Các bước đảnh giả rủi ro, tose
4.3 Xử lý rửi ro an toàn dich vu Web (WS Security Ri Treatment) 90 4.5.1 Mô tả lỗng quái về xứ lý rải ro
4.5.2 Giảm nhẹ rủi ro (Risk Ecdnction)
4.5.3 Duy tii nii ro (Risk retention)
4.5.4 Tránh mii ro (Risk avoidance)
4.5.5 Chuyển đổi rủi ro (Risk Iransfer)
li T0 an loài hvu Web 81
4.2 Theo đấi, xem lại và cải
reviewing and improving)
TONG KET CIUGNG
CHUONG 5 XAY Mt LING THU NGHIEM CHT XINGTRÌNH QUAN LY RUTRO
THỦ NGHIÊM THEO TIBU CHI AN TOAN DOI VỚI CÁC DỊCH VU WEB 101 3.1 Khảo sát thực trạng quản lý rửi ro an toàn và chịu lỗi của địch vụ Web tại một số
5.1.3 Kết quả khảo sát 102 3.2 Chương trình thử nghiệm quản lý rủi ro địch vụ Web theo tiêu chi an oàn 105 5.3.1 Bước I.1 Xác dịnh phạm vi hệ thông wll 5.3.2 Bước 1.2 Tài liệu hệ thông, 112 5.2.3 Bước 1.3 Thang đo đánh giá rủi ro 113 5.3.4 Bước 2.1 Xác đình tài sản 114
3.26 Buốc 32 Định giá tài sẵn 117
7 Bước 4.1 Xác định các môi đe doa và điểm yếu, 118
3.2.11 Bước 6.2 Lựa chọn mục tiêu kiểm soát và các kiệm soit 124
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 5
Trang 26Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
DANH MỤC CÁC HÌNH VẼ
Hình 1.4 Các thành phần cần thiết trong một web service va moi sun giữa các thành
Inh 2.1 Quy trình phương pháp đánh giá rủi ro - 33
Hình 2.3 Biểu dỗ phương pháp giảm nhẹ rủi ro o (Risk Mignon Methotolon 1owchar)
Hình 2 4 Cae kiểm, soát kỹ thuật
Hình 2.5 Các kiểm soái đã thực thí và rủi ro dư thừa
Hình 3.1 Vòng dời thực thí dich vu Web "
Hình 4.1 Quy tình quán lý rủi 1o an toàn dịch vụ Web
Hình 4.2 Hành động xử lý rủi ro
Hình 5.1 Các chức năng chính của hệ thông
Hình 5.2 Thu thập thông tin hệ thông,
Hình 5.3 Các rồi ro của hệ thông
Hình 5.4 Các quyết định quán lý rủi ro
Tĩnh 5.5 Thực thi kiểm sát
Hình S6 Bước 1.1 Xác định phạm vi hệ thông
Nhiệm vụ: dưa ra các tải liệu dược sinh ra bởi hệ thông
Bước 5: Nếu cần thiết, xóa bất kỷ tả liệu khói “Danh sách ti liệu đã chọn"
chon tai liệu và nhấp vào nút "Xóa tải liệu"
Hình 5.7 Bước 1.2 Tải liệu hệ thông,
Hình 5.16 Bước 6.2 Lara chon myc tiêu kiểm soát và các kiểm soát 145
Hình 5.17 Bước 6.3 Giảm nhẹ rúi ro 127
Hinh $.18 Bude 7.2 hướng đến tính ứng dụng của kiếm soát
Ilinh $.19 Bước 8.1 Thực thi các kiểm soát đã chọn
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 7
Trang 27MUG LUC
LOI CAM DOAN
LG1 CAM GN
MUC LUC
DANH MUC CAC HINH VE
DANH MUC CAC BANG
DANH MỤC CÁC TỪ VIỆT TẢ
MỞ DẦU
1 Tỉnh cấp thiết của đề tai
2 Mục đích nghiên cửu
3 Nhiệm vụ nghiền cửu
4 Phương pháp nghiên cứu
5 Phạm vì nghiên cứu
6, Cấu trúc luận văn
CHUONG 1 TONG QUAN VE DICH VỤ WEB
1.1 Khải niệm dịch vụ Web
an ie dịch vụ Web ông cự xây đựng dich vu Webs
“13.1 XML~ Extensible Markup Language
13.2 WSDL - Web Services Description Language
1.3.3 UDDI - Universal Description, Discovery and Inergation
1.3.4 SOAP - Simple Object Accesss Protocol
1.3.5 Tao Web Service
1.4 Các lợi ích của địch vu Web
TONG KET CHUONG
GHƯƠNG 2 QUẦN LY RỦI RO CIO CA
2.1 Giải thiệu
2.2 Khải niệm quản lý rồi ro
2.4 Tich hợp quan lý rồi ro dich vụ Web vào vòng đời phát triển hệ thong - SDLC
(Syston Develop Tile Circle)
2.5 Các vai trò chỉnh của người tham gia quản lý rủi ro diet v va We
2.6 Quy trình quản lý rửi ro cho dịch vụ Web
2.6.1 lánh giá rủi ro cho định vụ Web
¡ nhẹ rủi rõ cho dich vu Web 2.6.3 Liớc lượng và đánh giá
3.5 San sing (Availability)
3.6 Tin cdy (Reliability)
3.7 Phuc hoi (Recovery)
3.8 Tương thao tác (Interoperability)
Trang 28
Quản hý rủi ro theo các tiên chỉ NEP cho cde dich vu Web
DANH MỤC CÁC TỪ VIÉT TAT
STT | Tir vier tit Giai nghia
1 FT Fault Tolerant
2.— |HTML Hyper Text Markup Language
6 _ | SOAP Simple Object Access Protocol
7 XML eXtensible Markup Language
8 W3C World Wide Web Consortium
9 WS Web Service
Phạm ăn Đẳng ~ Lớp cao học CNTT 07-09— ĐH Bách Khoa Hà Nội
Trang 29
3.2.13 Bước 7.1 hướng đẫn tỉnh ứng đụng của kiểm - 127
5.2.14 Bude 8.1 Thute thỉ các kiểm soát đã chọn eo T3
PHU LUC 1 KHAO SAT THUC TRANG QUÁN LÝ RỦI RO AN TOAN VA CHIU
PHỤ LỤC 2 KHẢO SÁT THỰC TRẠNG QUAN LY RUIRO AN TOAN VA CHU
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 6
Trang 30Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
MUG LUC
LOI CAM DOAN
LG1 CAM GN
MUC LUC
DANH MUC CAC HINH VE
DANH MUC CAC BANG
DANH MỤC CÁC TỪ VIỆT TẢ
MỞ DẦU
1 Tỉnh cấp thiết của đề tai
2 Mục đích nghiên cửu
3 Nhiệm vụ nghiền cửu
4 Phương pháp nghiên cứu
5 Phạm vì nghiên cứu
6, Cấu trúc luận văn
CHUONG 1 TONG QUAN VE DICH VỤ WEB
1.1 Khải niệm dịch vụ Web
an ie dịch vụ Web ông cự xây đựng dich vu Webs
“13.1 XML~ Extensible Markup Language
13.2 WSDL - Web Services Description Language
1.3.3 UDDI - Universal Description, Discovery and Inergation
1.3.4 SOAP - Simple Object Accesss Protocol
1.3.5 Tao Web Service
1.4 Các lợi ích của địch vu Web
TONG KET CHUONG
GHƯƠNG 2 QUẦN LY RỦI RO CIO CA
2.1 Giải thiệu
2.2 Khải niệm quản lý rồi ro
2.4 Tich hợp quan lý rồi ro dich vụ Web vào vòng đời phát triển hệ thong - SDLC
(Syston Develop Tile Circle)
2.5 Các vai trò chỉnh của người tham gia quản lý rủi ro diet v va We
2.6 Quy trình quản lý rửi ro cho dịch vụ Web
2.6.1 lánh giá rủi ro cho định vụ Web
¡ nhẹ rủi rõ cho dich vu Web 2.6.3 Liớc lượng và đánh giá
3.5 San sing (Availability)
3.6 Tin cdy (Reliability)
3.7 Phuc hoi (Recovery)
3.8 Tương thao tác (Interoperability)
Trang 31
DANH MỤC CÁC TỪ VIÉT TAT
STT | Tir vier tit Giai nghia
1 FT Fault Tolerant
2.— |HTML Hyper Text Markup Language
6 _ | SOAP Simple Object Access Protocol
7 XML eXtensible Markup Language
8 W3C World Wide Web Consortium
9 WS Web Service
Phạm ăn Đẳng ~ Lớp cao học CNTT 07-09— ĐH Bách Khoa Hà Nội
Trang 32
Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
CHUONG 4 Quant) LY RUT RO CHO DICH VII WER THEO TIỂU CHÍ AN TOAN -
42 Quy trình quân lý rũ ro an toàn dich vụ Web - 76
4-3 Thidl lp ngit cinh (Context establishment)
4.3.1 Nghiên cứu tong thé (Gencral consideration)
4.3.2 Các tiêu chi co bin
4.3.3 Nac din pham vi va cde giới hạn
43.4 Vai trò của lỗ chức đối với quản lý r
1 dich vy Web
4.4.1 Mô tả về đánh giá rủi ro an toan dich vu Web
4.4.2 Các bước đảnh giả rủi ro, tose
4.3 Xử lý rửi ro an toàn dich vu Web (WS Security Ri Treatment) 90 4.5.1 Mô tả lỗng quái về xứ lý rải ro
4.5.2 Giảm nhẹ rủi ro (Risk Ecdnction)
4.5.3 Duy tii nii ro (Risk retention)
4.5.4 Tránh mii ro (Risk avoidance)
4.5.5 Chuyển đổi rủi ro (Risk Iransfer)
li T0 an loài hvu Web 81
4.2 Theo đấi, xem lại và cải
reviewing and improving)
TONG KET CIUGNG
CHUONG 5 XAY Mt LING THU NGHIEM CHT XINGTRÌNH QUAN LY RUTRO
THỦ NGHIÊM THEO TIBU CHI AN TOAN DOI VỚI CÁC DỊCH VU WEB 101 3.1 Khảo sát thực trạng quản lý rửi ro an toàn và chịu lỗi của địch vụ Web tại một số
5.1.3 Kết quả khảo sát 102 3.2 Chương trình thử nghiệm quản lý rủi ro địch vụ Web theo tiêu chi an oàn 105 5.3.1 Bước I.1 Xác dịnh phạm vi hệ thông wll 5.3.2 Bước 1.2 Tài liệu hệ thông, 112 5.2.3 Bước 1.3 Thang đo đánh giá rủi ro 113 5.3.4 Bước 2.1 Xác đình tài sản 114
3.26 Buốc 32 Định giá tài sẵn 117
7 Bước 4.1 Xác định các môi đe doa và điểm yếu, 118
3.2.11 Bước 6.2 Lựa chọn mục tiêu kiểm soát và các kiệm soit 124
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 5
Trang 33Mo DAU
† Tính cắp thiết của đề tài
Quản lý rúi ro là mọt vấn dễ quan trọng trong việc phát triển các ứng dụng
về công nghệ thông tín Với việc phát triển như vũ báo hiện may của công, me
Web thủ việc giảm thiêu rũi ro khi khai thác các dich vụ Web là một vẫn để
thiết Bên cạnh dó, việc duy trì các tiêu chỉ mô tả chất lượng dich vu (NEP) như báo mật, chịu lỗi, v.v là mật vấn để rất được các nhà cùng cấp địch vụ quan tâm
'Trên thế giới đã có nhiều nghiên cửu về quấn lý rủi ro cũng như vẻ các tiểu
chi NFP (Non-Funtional Property) cho phan mém noi chung va cho eae dich va
nói riêng, Tuy nhiên, hiện chua có một nghiên cửu cụ thể về mối quan hệ tương hỗ
giữa hai vẫn đẻ này lo không đánh gia được mức độ ảnh hướng của các tiêu chí NTP đến mức độ rủi zo khi khai thác cáo dịch vụ Web nên rất khó có thể đưa ra các mô hình quản lý rúi ro phú hợp cho các dịch vụ Web có các tiêu chí NitP khác
nhau
2 Mục đích nghiên cứu
Mục địch của luận văn là nghiên cứu quản lý rủi ro theo các tiêu chỉ NEP cho các dịch vụ Web Trước tiên tư tưởng vá các kỹ thuật dịch vụ Web nói chung,
sẽ được đào sâu nghiên cứu lì biểu Tiếp theo luận văn sẽ nghiên cứu tiêu chí
NIP ctia địch vụ Web là an toàn
Vi mục tiêu là quản lý rủi ro nên luân văn cũng tìm hiểu vẻ các mỏ hình quan ly rid ro, khảo sát tính hình thực tế mả các cơ quan, tổ chứo, doanh nghiệp tại Việt Nam dang gặp phải trong việc quầu lý rủi ro về an toàn và chúu lỗi của địch
3 Nhiệm vụ nghiên cứu
Nghiên cứu về các dịch vụ web:
Nghiên cứu về quân lý rúi ro
Từn hiểu các tiêu chỉ NFP của các dịch vụ Web : chịu lỗi và an toàn
Phân tích đánh giá sự ảnh hưởng của các tiêu chí rên đến việc quân lý rủi +o dỗi với các dịch vụ web
«_ Khảo sát hiện trạng quản lý rúiro về an toàn và chịu lỗi của dịch vụ Web tại các cơ quan, tô chức, doanh nghiép tai Viel Nam
«Xây dựng mô hình quận lý rủi ro phù hợp và
Trang 34Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
DANH MỤC CÁC HÌNH VẼ
Hình 1.4 Các thành phần cần thiết trong một web service va moi sun giữa các thành
Inh 2.1 Quy trình phương pháp đánh giá rủi ro - 33
Hình 2.3 Biểu dỗ phương pháp giảm nhẹ rủi ro o (Risk Mignon Methotolon 1owchar)
Hình 2 4 Cae kiểm, soát kỹ thuật
Hình 2.5 Các kiểm soái đã thực thí và rủi ro dư thừa
Hình 3.1 Vòng dời thực thí dich vu Web "
Hình 4.1 Quy tình quán lý rủi 1o an toàn dịch vụ Web
Hình 4.2 Hành động xử lý rủi ro
Hình 5.1 Các chức năng chính của hệ thông
Hình 5.2 Thu thập thông tin hệ thông,
Hình 5.3 Các rồi ro của hệ thông
Hình 5.4 Các quyết định quán lý rủi ro
Tĩnh 5.5 Thực thi kiểm sát
Hình S6 Bước 1.1 Xác định phạm vi hệ thông
Nhiệm vụ: dưa ra các tải liệu dược sinh ra bởi hệ thông
Bước 5: Nếu cần thiết, xóa bất kỷ tả liệu khói “Danh sách ti liệu đã chọn"
chon tai liệu và nhấp vào nút "Xóa tải liệu"
Hình 5.7 Bước 1.2 Tải liệu hệ thông,
Hình 5.16 Bước 6.2 Lara chon myc tiêu kiểm soát và các kiểm soát 145
Hình 5.17 Bước 6.3 Giảm nhẹ rúi ro 127
Hinh $.18 Bude 7.2 hướng đến tính ứng dụng của kiếm soát
Ilinh $.19 Bước 8.1 Thực thi các kiểm soát đã chọn
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 7
Trang 35DANH MUC CAC BANG
Bang 2.1 ‘lich hop quan lý rủi ro vào trong SDLC - 29
Bang 2.3 Vulncrability/Threal Pairs - - 39 Bảng 2.4 Tiêu chuẩn an toàn HH nga ni seeeeeseooooi Â2/ Bang 2.5 Xáo định Khả năng xây ra - - - -44 Tăng 2.6 Xác định độ lớn của tác động - - 46 Tiăng 2.7 Mã lrận mứe độ r A? Bang 2.8 Tỷ lệ rũi to và các hành động cân thiết -48
Bảng 4 Sự liên kết giữa hệ thông quản ký anton tng anv ay tin quản lý rồi ro
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 8
Trang 36Quan ly ria ro theo cdc tiéu chi NFP cho các dịch vụ Web
DANH MỤC CÁC HÌNH VẼ
Hình 1.4 Các thành phần cần thiết trong một web service va moi sun giữa các thành
Inh 2.1 Quy trình phương pháp đánh giá rủi ro - 33
Hình 2.3 Biểu dỗ phương pháp giảm nhẹ rủi ro o (Risk Mignon Methotolon 1owchar)
Hình 2 4 Cae kiểm, soát kỹ thuật
Hình 2.5 Các kiểm soái đã thực thí và rủi ro dư thừa
Hình 3.1 Vòng dời thực thí dich vu Web "
Hình 4.1 Quy tình quán lý rủi 1o an toàn dịch vụ Web
Hình 4.2 Hành động xử lý rủi ro
Hình 5.1 Các chức năng chính của hệ thông
Hình 5.2 Thu thập thông tin hệ thông,
Hình 5.3 Các rồi ro của hệ thông
Hình 5.4 Các quyết định quán lý rủi ro
Tĩnh 5.5 Thực thi kiểm sát
Hình S6 Bước 1.1 Xác định phạm vi hệ thông
Nhiệm vụ: dưa ra các tải liệu dược sinh ra bởi hệ thông
Bước 5: Nếu cần thiết, xóa bất kỷ tả liệu khói “Danh sách ti liệu đã chọn"
chon tai liệu và nhấp vào nút "Xóa tải liệu"
Hình 5.7 Bước 1.2 Tải liệu hệ thông,
Hình 5.16 Bước 6.2 Lara chon myc tiêu kiểm soát và các kiểm soát 145
Hình 5.17 Bước 6.3 Giảm nhẹ rúi ro 127
Hinh $.18 Bude 7.2 hướng đến tính ứng dụng của kiếm soát
Ilinh $.19 Bước 8.1 Thực thi các kiểm soát đã chọn
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 7
Trang 37DANH MỤC CÁC HÌNH VẼ
Hình 1.4 Các thành phần cần thiết trong một web service va moi sun giữa các thành
Inh 2.1 Quy trình phương pháp đánh giá rủi ro - 33
Hình 2.3 Biểu dỗ phương pháp giảm nhẹ rủi ro o (Risk Mignon Methotolon 1owchar)
Hình 2 4 Cae kiểm, soát kỹ thuật
Hình 2.5 Các kiểm soái đã thực thí và rủi ro dư thừa
Hình 3.1 Vòng dời thực thí dich vu Web "
Hình 4.1 Quy tình quán lý rủi 1o an toàn dịch vụ Web
Hình 4.2 Hành động xử lý rủi ro
Hình 5.1 Các chức năng chính của hệ thông
Hình 5.2 Thu thập thông tin hệ thông,
Hình 5.3 Các rồi ro của hệ thông
Hình 5.4 Các quyết định quán lý rủi ro
Tĩnh 5.5 Thực thi kiểm sát
Hình S6 Bước 1.1 Xác định phạm vi hệ thông
Nhiệm vụ: dưa ra các tải liệu dược sinh ra bởi hệ thông
Bước 5: Nếu cần thiết, xóa bất kỷ tả liệu khói “Danh sách ti liệu đã chọn"
chon tai liệu và nhấp vào nút "Xóa tải liệu"
Hình 5.7 Bước 1.2 Tải liệu hệ thông,
Hình 5.16 Bước 6.2 Lara chon myc tiêu kiểm soát và các kiểm soát 145
Hình 5.17 Bước 6.3 Giảm nhẹ rúi ro 127
Hinh $.18 Bude 7.2 hướng đến tính ứng dụng của kiếm soát
Ilinh $.19 Bước 8.1 Thực thi các kiểm soát đã chọn
Phạm Vân Đồng — Lớp cao hoe CNIT 07-09 —DH Bach Khoa Hà Nội 7
