Phân tích các chuẩn đánh giá an toàn thông tin được xây dựng và sử dụng tại việt nam

Với xu hướng kết hợp giữa hệ thống ảo và thực thể, Internet kết nốivạn vật và các hệ thống, hoạt động tấn công mạng của các thế lực thù địch, tộiphạm mạng sẽ ngày càng gia tăng, không ch

MỤC LỤC

DANH MỤC HÌNH VẼ 2

MỞ ĐẦU 3

Chương 1 TỔNG QUAN VỀ ĐÁNH GIÁ AN TOÀN THÔNG TIN 6

1.1 Khái niệm về an toàn thông tin 6

1.2 Khái niệm về đánh giá an toàn thông tin 7

1.3 Nhu cầu về đánh giá an toàn thông tin và các tiêu chí đánh giá chung 7

1.4 Phương pháp luận đánh giá an toàn thông tin 8

1.4.1 Phương pháp ISSAF 10

1.4.2 Phương pháp OSSTMM 12

1.4.3 Phương pháp OWASP 14

1.5 Các kỹ thuật đánh giá 17

1.6 Yêu cầu cụ thể đối với việc thực hiện đánh giá an toàn thông tin 19

1.6.1 Quy trình thực hiện đánh giá an toàn thông tin 19

1.6.2 Mô tả chi tiết các hạng mục đánh giá an toàn thông tin mạng 21

Chương 2 TIÊU CHUẨN ĐÁNH GIÁ AN TOÀN THÔNG TIN 24

2.1 Các tiêu chuẩn quốc tế về đánh giá an toàn thông tin 24

2.2 Các tiêu chuẩn về đánh giá an toàn thông tin tại Việt Nam 29

2.3 Phân tích Bộ tiêu chuẩn TCVN 8709 (ISO/IEC 15408) 30

2.4 Phân tích Bộ tiêu chuẩn ISO/IEC 18045 34

2.5 Liên hệ thực tiễn 39

2.5.1 Tình hình an toàn thông tin trong các cơ quan nhà nước hiện nay .39

2.5.2 Đề xuất các biện pháp đảm bảo an toàn thông tin mạng 41

KẾT LUẬN 44

TÀI LIỆU THAM KHẢO 45

DANH MỤC HÌNH Hình 1.1 Phương thức làm việc của ISSAF 11

Hình 1.2 Khái quát mô hình OSSTMM 13

Hình 1.3 Phương thức làm việc của OSSTMM 14

Hình 1.4 Phương thức làm việc của OWASP 16

Hình 1.5 Quy trình thực hiện đánh giá An toàn thông tin mạng 19

YHình 2.1 Mối quan hệ giữa các tiêu chuẩn trong bộ ISO/IEC 27000………

….24 Hình 2.2 Quá trình hình thành và phát triển của ISO/IEC 15408 27

Hình 2.3 Quá trình hình thành cộng đồng CC (Common Criteria) 28

Hình 2.4 Ví dụ về một báo cáo công nhận tuân thủ theo các tiêu chí chung 28

Hình 2.5 Ví dụ về các sản phẩm đã được đánh giá và xác nhận 29

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Từ đầu thế kỷ 21, thế giới bước vào cuộc cách mạng công nghiệp lần thứ tư.Đây là cuộc cách mạng gắn liền với sự phát triển của không gian mạng, hợp nhấtcông nghệ vật lý, kỹ thuật số và sinh học, kết hợp giữa hệ thống ảo và thực thể, làmthay đổi căn bản cách thức con người tạo ra sản phẩm, từ đó tạo nên “cuộc cáchmạng” về tổ chức các chuỗi sản xuất - giá trị Sự kết nối và tương tác thông quaInternet đã mở ra một kỷ nguyên mới thúc đẩy tiến trình phát triển xã hội của nhânloại Không gian mạng đã trở thành một bộ phận cấu thành và đóng vai trò rất quantrọng trong việc xây dựng xã hội thông tin và kinh tế tri thức Do vậy, phát triển vàlàm chủ không gian mạng là một trong những nhiệm vụ quan trọng, cấp bách củacác nước trên thế giới

Bên cạnh những lợi ích to lớn mà không gian mạng đem lại, các nước cũngphải đối mặt với các nguy cơ, như: Chiến tranh mạng, gián điệp mạng, tấn côngmạng, tội phạm mạng và nhiều vấn đề phức tạp mới

Đối với Việt Nam, thời gian qua, các thế lực thù địch, tội phạm mạng giatăng hoạt động tấn công mạng nhằm thu thập thông tin, bí mật nhà nước, bí mật nội

bộ, chiếm quyền điều khiển, phá hoại hệ thống mạng thông tin; sử dụng Internet,nhất là các trang mạng xã hội với nhiều phương thức, thủ đoạn tinh vi, xảo quyệtnhằm gây chia rẽ nội bộ, xâm phạm lợi ích, an ninh quốc gia

Công tác quản lý nhà nước về an toàn, an ninh mạng còn sơ hở, chưa theokịp tốc độ phát triển và ứng dụng công nghệ thông tin, nhất là đối với báo điện tử,mạng xã hội, trò chơi trực tuyến, thuê bao di động trả trước, hoạt động cung cấpdịch vụ viễn thông, Internet

Một số cơ quan, tổ chức, cá nhân còn chủ quan, sơ hở trong quản lý thông tinnội bộ, bí mật nhà nước; chưa nhận thức đầy đủ vị trí, tầm quan trọng của công tácbảo đảm an toàn, an ninh mạng cũng như tính chất nguy hiểm trong âm mưu, hoạtđộng của các thế lực thù địch, tội phạm mạng chống phá ta trên không gian mạng;công tác phòng ngừa còn để lộ, lọt bí mật nhà nước, bí mật nội bộ trên mạng…

Cùng với đó, sự phát triển của các dịch vụ, nhất là mạng xã hội, trò chơi trựctuyến và xu hướng chuyển dịch hoạt động các mặt của đời sống xã hội lên khônggian mạng đang đặt ra những thách thức gay gắt với công tác bảo đảm an toàn, anninh mạng Với xu hướng kết hợp giữa hệ thống ảo và thực thể, Internet kết nốivạn vật và các hệ thống, hoạt động tấn công mạng của các thế lực thù địch, tộiphạm mạng sẽ ngày càng gia tăng, không chỉ dừng lại ở mục đích thu thập thôngtin bí mật, mà còn phá hoại cơ sở dữ liệu, hạ tầng công nghệ thông tin, thậm chí trởthành những loại vũ khí nguy hiểm, có sức tàn phá nặng nề, được sử dụng songhành cùng các loại vũ khí truyền thống một khi xung đột vũ trang xảy ra.

Bối cảnh trên đặt ra yêu cầu cấp bách phải tạo được sự chuyển biến sâu sắctrong nhận thức của các cấp ủy đảng, chính quyền, các đoàn thể từ Trung ương đếnđịa phương về tầm quan trọng của công tác bảo đảm an toàn thông tin mạng, coiđây là nhiệm vụ quan trọng, cấp bách, thường xuyên, lâu dài của cả hệ thống chínhtrị và toàn dân dưới sự lãnh đạo của Đảng, sự quản lý của Nhà nước Trong đó, mộtvấn đề có tính then chốt là đánh giá và kiểm định an toàn cho các hệ thống thôngtin

Trước tình hình đó, việc nghiên cứu đề tài: “Phân tích các chuẩn đánh giá

an toàn thông tin được xây dựng và sử dụng tại Việt Nam?” có ý nghĩa về mặt

thực tiễn và khoa học, đáp ứng đòi hỏi ngày càng cao của công tác đảm bảo an toànthông tin mạng

2 Kết cấu đề tài

Ngoài phần mở đầu và kết luận Kết cấu đề tài bao gồm 2 chương:

Chương 1: Tổng quan về đánh giá an toàn thông tin.

Chương này cung cấp khái niệm cơ bản về đánh giá, tầm quan trọng củađánh giá và phương pháp luận đánh giá an toàn hệ thống thông tin Đồng thờichương này cũng giới thiệu về các kỹ thuật đánh giá và yêu cầu cụ thể của việcđánh giá an toàn thông tin

Chương 2: Tiêu chuẩn đánh giá an toàn thông tin.

Ở chương này sẽ giới thiệu và phân tích các bộ tiêu chuẩn an toàn thông tinđược sử dụng ở Việt Nam và trên thế giới Bên cạnh đó phân tích tình hình thực

tiễn trong công tác đảm bảo an toàn thông tin của các cơ quan chính phủ hiện naycùng với đề xuất các giải pháp khắc phục.

Chương 1 TỔNG QUAN VỀ ĐÁNH GIÁ AN TOÀN THÔNG TIN

1.1 Khái niệm về an toàn thông tin

Thông tin được lưu trữ bởi các sản phẩm và hệ thống công nghệ thông tin làmột tài nguyên quan trọng cho sự thành công của tổ chức đó, là tài sản của một cánhân hay tổ chức Các thông tin cá nhân lưu trữ trong hệ thống thông tin cần đượcgiữ bí mật, bảo vệ và không bị thay đổi khi không được phép Trong khi các sảnphẩm và hệ thống công nghệ thông tin thực hiện các đảm bảo của chúng, các thôngtin cần được kiểm soát để đảm bảo chúng được bảo vệ chống lại các nguy cơ, ví dụnhư việc phổ biến và thay đổi thông tin không mong muốn và trái phép, nguy cơmất mát thông tin

An toàn thông tin là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ

tầng thông tin, trong đó bao gồm an toàn phần cứng và phần mềm theo các tiêuchuẩn kỹ thuật do nhà nước ban hành; duy trì các tính chất bí mật, toàn vẹn, chínhxác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý và truyền tải trên mạng(theo định nghĩa trong Nghị định 64-2007/NĐ-CP)

Đảm bảo an toàn thông tin là đảm bảo an toàn kỹ thuật cho hoạt động của

các cơ sở hạ tầng thông tin, trong đó bao gồm đảm bảo an toàn cho cả phần cứng vàphần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngănngừa khả năng lợi dụng mạng và các cơ sở hạ tầng thông tin để thực hiện các hành

vi trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố; đảm bảo các tínhchất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý

và truyền tải trên mạng

Như vậy khái niệm đảm bảo an toàn thông tin bao hàm đảm bảo an toàn cho

cả phần cứng và phần mềm An toàn phần cứng là bảo đảm hoạt động cho cơ sở hạtầng thông tin An toàn phần mềm gồm các hoạt động quản lý, kỹ thuật nhằm bảo

vệ hệ thống thông tin, đảm bảo đảm cho các hệ thống thực hiện đúng đảm bảo,phục vụ đúng đối tượng một cách sẵn sàng, chính xác, tin cậy An toàn công nghệ

thông tin là đảm bảo an toàn kỹ thuật cho các sản phẩm, dịch vụ và hệ thống côngnghệ thông tin.

1.2 Khái niệm về đánh giá an toàn thông tin

Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống

có tin cậy hay không, có áp dụng các biện pháp và kỹ thuật an toàn phù hợp haykhông, mức độ an toàn như thế nào? Đánh giá an toàn thông tin chính là để đáp ứngnhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo an toàn cho các sản phẩm

1.3 Nhu cầu về đánh giá an toàn thông tin và các tiêu chí đánh giá chung

Đánh giá an toàn thông tin là một nhu cầu thực tế, giúp người dùng xác địnhxem sản phẩm hoặc hệ thống công nghệ thông tin có đủ an toàn và tin cậy chưa khiđưa vào sử dụng, các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận được haykhông, hoặc các sản phẩm và hệ thống có áp dụng các biện pháp và kỹ thuật antoàn phù hợp hay không, mức độ an toàn như thế nào Ngoài ra, việc đánh giá antoàn thông tin còn giúp các doanh nghiệp trong việc phát triển các sản phẩm và hệthống công nghệ thông tin đảm bảo các yêu cầu về an toàn thông tin

Thực tế cho thấy, một mô hình tổng thể cho đánh giá an toàn thông tin hếtsức cần thiết Mô hình này không những đáp ứng nhu cầu đảm bảo an toàn các hệthống thông tin, mà đồng thời còn là một phương tiện hữu hiệu để khảo sát quihoạch, phát triển hệ thống và đánh giá kết quả

Để đạt được sự so sánh hiệu quả giữa các kết quả đánh giá, các đánh giá cầnđược thực hiện theo một khung của mô hình chính thức trong đó các tiêu chí đánh

giá chung (Common Criteria), các thành phần giám sát chất lượng của quá trìnhđánh giá và các tổ chức có thẩm quyền đánh giá tương thích với nhau trong cùngmột ngữ cảnh đánh giá

Sử dụng phương pháp đánh giá chung làm tăng thêm tính chính xác và kháchquan của kết quả đánh giá, song chỉ sử dụng phương pháp đánh giá chung vẫn chưa

đủ Cần có những tiêu chí đánh giá chung và lược đồ đánh giá Nhiều tiêu chí đánhgiá đòi hỏi có các kinh nghiệm chuyên gia và kiến thức cơ bản, nhằm đạt được sựnhất quán và khách quan trong các kết quả đánh giá

Để tăng cường sự nhất quán và khách quan cho các kết quả đánh giá, cần cómột quy trình công nhận/phê chuẩn Quy trình này xem xét kỹ càng một cách độclập các kết quả đánh giá để đưa ra chứng nhận/ phê chuẩn về mức độ an toàn chocác sản phẩm/ hệ thống công nghệ thông tin khi vào sử dụng

1.4 Phương pháp luận đánh giá an toàn thông tin

Để thực hiện đánh giá an toàn thông tin một cách tối ưu và đúng đắn, ngườiđánh giá cần phải có một phương pháp luận cụ thể Phương pháp luận đánh giá nênđược lập thành tài liệu và nên tái thực hiện theo nhiều phiên bản bởi vì:

- Cung cấp tính thống nhất và có cấu trúc cho việc kiểm thử an toàn, từ đó cóthể giảm thiểu rủi ro trong quá trình đánh giá

- Giúp dễ dàng trong việc chuyển giao quy trình đánh giá nếu có sự thay đổinhân sự đánh giá

- Chỉ ra những hạn chế về tài nguyên kết hợp với các đánh giá an toàn

Bởi vì đánh giá an toàn thông tin cần các vấn đề như thời gian, nhân lực,phần cứng, phần mềm; song đây lại là một trong những yếu tố làm hạn chế tới cáchthức cũng như tần suất đánh giá Chính vì thế, việc xác định phương thức đánh giá,xác định kiểu kiểm thử và kiểm tra, và có một phương pháp luật phù hợp sẽ giúpgiảm thiểu được các hạn chế ở trên, đồng thời cũng giảm bớt chi phí cho việc thựchiện đánh giá

Xây dựng phương pháp luận đánh giá an toàn thông tin theo các giai đoạn sẽmang lại rất nhiều các ưu điểm và cung cấp một cấu trúc, điểm dừng tự nhiên cho

quá trình chuyển đổi nhân viên Phương pháp luận cần chứa tối thiểu các pha nhưsau:

- Lập kế hoạch: Pha này đóng vai trò quan trọng góp phần giúp cho quá

trình đánh giá thành công Trong pha này, các thông tin cần thiết để phục vụ quátrình đánh giá sẽ được thu thập, chẳng hạn như các tài sản, mối đe dọa đối với tàisản và các biện pháp kiểm soát an toàn được sử dụng nhằm giảm thiểu các mối đedọa đó Ngoài ra, người đánh giá cũng có thể hình dung được phương pháp tiếp cậnđánh giá trong pha này Một đánh giá an toàn nên được coi như bất kì một dự ánnào khác với một kế hoạch quản lý dự án để chỉ ra các mục tiêu, mục đích, phạm

vi, yêu cầu, các vai trò và trách nhiệm của nhóm, những hạn chế, yếu tố thànhcông, giả định, tài nguyên, thời gian và các phân phối

- Thực thi: Mục tiêu chính cho giai đoạn thực thi là xác định các lỗ hổng và

xác nhận chúng khi thích hợp Pha này cần phải chỉ ra các hoạt động liên quan tớiphương pháp và kỹ thuật đánh giá đã được dự kiến Mặc dù các hoạt động cụ thểcủa pha này khác nhau tùy theo kiểu đánh giá nhưng khi hoàn thành pha này thìngười đánh giá sẽ phải xác định hệ thống, mạng và các lỗ hổng

- Hậu thực thi: Giai đoạn hậu thực thi tập trung vào việc phân tích các lỗ

hổng đã được xác định để biết được nguyên nhân thực sự, đưa ra các khuyến cáogiảm nhẹ lỗ hổng và phát triển báo cáo cuối cùng

Có một vài phương pháp luận được chấp nhận để thực hiện các kiểu đánh giá

an toàn thông tin khác nhau Chẳng hạn NIST đã đưa ra một phương pháp luận –Hướng dẫn đánh giá các biện pháp kiểm soát an toàn trong hệ thống thông tin liênbang (NIST - SP 800-53A) Tài liệu này cung cấp các gợi ý cho việc đánh giá tínhhiệu quả của các biện pháp kiểm soát an toàn đã nêu trong NIST SP 800-53 Haymột phương pháp luận được sử dụng rộng rãi khác là phương pháp mở kiểm thử antoàn thủ công (Open Source Security Testing Methodology Manual - OSSTMM).Bởi vì có rất nhiều lí do để tiến hành đánh giá nên một tổ chức có thể muốn sửdụng nhiều phương pháp luận Dưới đây chúng ta sẽ xem xét kỹ hơn về một sốphương pháp luận được ứng dụng rộng rãi trong đánh giá an toàn hệ thống thông

tin là:

- Phương pháp đánh giá an toàn hệ thống thông tin – ISSAF

- Phương pháp mở đánh giá an toàn thủ công – OSSTMM

- Dự án mở về bảo mật ứng dụng Web – OWASP

1.4.1 Phương pháp ISSAF

ISSAF là phương pháp luận đánh giá an toàn hệ thống thông tin của tổ chứcOISSG, ra đời năm 2003, cho phép người nghiên cứu, đánh giá an ninh công nghệthông tin chuyên nghiệp tham gia đóng góp, thảo luận trong lĩnh vực an ninh côngnghệ thông tin

Khung làm việc của nó được phân vào một số loại lĩnh vực giải quyết cácđánh giá an ninh theo một trình tự Mỗi lĩnh vực đánh giá các bộ phận khác nhaucủa một hệ thống mục tiêu và cung cấp dữ liệu đầu vào cho nhóm công việc anninh thành công ISSAF phát triển tập trung vào hai lĩnh vực: quản lý và kỹ thuật.Mặt quản lý thực hiện quản lý nhóm công việc và các kinh nghiệm thực tế tốt nhấtphải được tuân thủ trong suốt quá trình đánh giá, trong khi mặt kỹ thuật thực hiện

bộ quy tắc cốt lõi, thủ tục cần tuân thủ và tạo ra một quy trình đánh giá an ninh đầyđủ

Về mặt kỹ thuật, ISSAF xây dựng một loạt các phương pháp đánh giá chotừng thành phần của hệ thống công nghệ thông tin như: đánh giá an toàn mật khẩu;đánh giá an toàn các thiết bị mạng: Switch, Router, Firewall, IDS, VPN, Anti-Virus,WLAN…; đánh giá an ninh máy chủ: Windows, Linux, Novell, Web Server; đánhgiá an ninh ứng dụng web, mã nguồn, CSDL đến đánh giá an ninh phi công nghệnhư an ninh vật lý; công nghệ xã hội

Về phương thức làm việc, ISSAF bao gồm 3 giai đoạn tiếp cận và 9 bướcđánh giá, đó là:

Hình 1.1 Phương thức làm việc của ISSAF Giai đoạn 1: Lên kế hoạch và chuẩn bị

Đây là giai đoạn trao đổi thông tin ban đầu, lập kế hoạch và chuẩn bị chođánh giá; ký thỏa thuận đánh giá chính thức làm cơ sở pháp lý; xác định thời gian

và khoảng thời gian đánh giá, nhóm tham gia đánh giá, hướng leo thang…

Giai đoạn 2: Đánh giá

Đây là giai đoạn thực sự thực hiện đánh giá Trong giai đoạn này, một cáchtiếp cận theo lớp được tuân thủ Có chín lớp đánh giá bao gồm:

 Lớp 1 Thu thập thông tin

 Lớp 2 Lập bản đồ mạng

 Lớp 3 Xác định lỗ hổng

 Lớp 4 Xâm nhập

 Lớp 5 Truy cập & leo thang đặc quyền

 Lớp 6 Liệt kê thêm

 Lớp 7 Thỏa hiệp user/site từ xa

 Lớp 8 Duy trì truy cập

 Lớp 9 Xóa dấu vết

Các bước được thực hiện lặp đi lặp lại đại diện bởi các mũi tên vòng tròn

trong giai đoạn đánh giá trong Hình 1.1 Đặc biệt chín lớp được mô tả rất kỹ và giớithiệu rất nhiều phần mềm tương ứng có thể sử dụng trong từng lớp hoặc tham khảokhi đánh giá.

Giai đoạn 3: Báo cáo, dọn dẹp và hủy hậu quả

Bao gồm báo cáo bằng lời nói (thực hiện khi có việc đột xuất hoặc vấn đềquan trọng khi đánh giá an toàn) và báo cáo cuối cùng thực hiện sau khi hoàn thànhtất cả các bước đánh giá được xác định trong phạm vi công việc Cuối cùng là dọndẹp hậu quả, tất cả các thông tin được tạo ra hoặc được lưu trữ trên hệ thống đánhgiá cần được loại bỏ khỏi hệ thống

1.4.2 Phương pháp OSSTMM

OSSTMM là một dự án của ISECOM – tổ chức phi lợi nhuận được thành lập

ở New York, Hoa Kỳ và ở Catalonia, Tây Ban Nha Dự án này phát triển trong mộtcộng đồng mở, với các đối tượng tham gia bình đẳng và không ảnh hưởng bởichính trị và thương mại Đây là một phương pháp khoa học giúp mô tả chính xáccác an ninh hoạt động đặc trưng thông qua đánh giá một cách nhất quán và lặp đilặp lại trên các kênh vật lý, tương tác con người, kết nối như không dây, có dây,tương tự và số Phương pháp này phù hợp với hầu hết các kiểu đánh giá như đánhgiá an ninh, đánh giá lỗ hổng… Hiện nay dự án được phát triển và nâng cấp lên tớiphiên bản 3.0

Từ góc độ kỹ thuật, phương pháp tiếp cận chia thành bốn nhóm chính, đó làphạm vi, kênh, chỉ mục và hướng Phạm vi là tất cả các tài sản hoạt động trong môitrường mục tiêu trên đó xác định một quy trình thu thập thông tin Một kênh xácđịnh loại giao tiếp và tương tác với các tài sản có thể là vật lý, dải tần số và truyềnthông Chỉ số là một phương pháp được coi là hữu ích khi phân loại và đếm các tàisản mục tiêu tương ứng với từng loại cụ thể của chúng, chẳng hạn như địa chỉMAC và địa chỉ IP Cuối cùng, hướng mà theo đó người đánh giá có thể đánh giá

và phân tích từng tài sản chức năng Toàn bộ quá trình này khởi tạo một lộ trình kỹthuật theo hướng đánh giá toàn bộ môi trường mục tiêu và được gọi là phạm vi

đánh giá.

Phương pháp OSSTMM cũng định nghĩa một loạt các thuật ngữ được sửdụng như: kiểm soát, bề mặt tấn công, hướng, hướng tấn công, an ninh, an toàn, độxốp, hạn chế, lỗ hổng, điểm yếu, RAV, hoạt động, an ninh hoàn hảo…

Ngoài ra, phương pháp OSSTMM xây dựng một cơ sở lý thuyết mô tả chitiết các thành phần cấu thành an ninh hoạt động và lượng hóa các thành phần nàycùng công thức tính toán của chúng An ninh là một khái niệm tương đối mà vớimức độ an ninh thực tế này thì có thể là tốt đối với tổ chức này nhưng lại quá mất

an ninh so với tổ chức khác Vì vậy, lượng hóa các thuộc tính an ninh giúp tính toán

và biểu diễn an ninh một cách nhất quán và lặp đi lặp lại

Hình 1.2 Khái quát mô hình OSSTMM

Phương thức làm việc của OSSTMM bao gồm 17 module kiểm thử như Hình 1.3:

Hình 1.3 Phương thức làm việc của OSSTMM

Có năm kênh an ninh là: truyền thông, mạng dữ liệu, vật lý, con người vàkhông dây chia thành 3 lớp kênh: PHYSSEC – con người, vật lý; SPECSEC –không dây và COMSEC – truyền thông, mạng dữ liệu Ứng với mỗi kênh sẽ lầnlượt thực hiện 17 mô-đun, chia thành 4 giai đoạn: giai đoạn bắt đầu gồm 3 mô-đunđầu tiên, giai đoạn tương tác gồm các mô-đun từ 4 đến 7, giai đoạn điều tra gồmcác mô-đun từ 8 đến 13 và giai đoạn can thiệp gồm các mô-đun còn lại – từ 14 đến

17 Trong từng mô-đun, tùy thuộc vào từng kênh ta có các nhiệm vụ phải làm để cóthể tìm được các giá trị cho 18 đại lượng ở phần trên (mô tả chi tiết trong chương 7,

8, 9, 10 và 11 của hướng dẫn OSSTMM) Như vậy, người đánh giá phải thực hiện

17 * 5 = 85 phân tích trước khi đưa ra được báo cáo cuối cùng

1.4.3 Phương pháp OWASP

OWASP ra đời năm 2001, đây là một tổ chức phi lợi nhuận, cộng đồng mở,mục tiêu chính của tổ chức là cải tiến an ninh các phần mềm ứng dụng, đặc biệt làứng dụng web Tổ chức này cũng xây dựng nhiều công cụ khác nhau cho việc đánhgiá và đều là mã nguồn mở, miễn phí OWASP ủng hộ phương pháp tiếp cận an

ninh ứng dụng theo con người, quy trình và công nghệ vì đây là những nhân tố tạo

ra ứng dụng, những nhân tố trên có hành vi an toàn thì ứng dụng mới an toàn TheoOWASP, các ứng dụng web trên mạng hầu hết phải tiếp xúc với bên ngoài, nên nó

sẽ là đối tượng đầu tiên chịu các cuộc tấn công phá hoại và sửa đổi trái phép Vìvậy, đây sẽ là cánh cổng cho kẻ tấn công xâm nhập vào lớp ứng dụng trước khithực hiện các bước tiếp theo xâm nhập vào hệ thống Vì lỗ hổng an ninh này rấtphổ biến, một số phương pháp đánh giá đã được giới thiệu nhằm đánh giá sự trầmtrọng của các rủi ro an ninh cơ bản của ứng dụng web Một nỗ lực được thực hiệnbởi cộng đồng mở OWASP là xây dựng khung làm việc đánh giá an toàn ứng dụngweb và thúc đẩy dự án OWASP top 10 nhằm nâng cao nhận thức an ninh ứng dụngcủa các tổ chức

Dự án OWASP top 10 không tập trung vào các chương trình ứng dụng anninh hoàn thiện, mà cung cấp một nền tảng cần thiết để tích hợp an ninh thông quacác nguyên tắc và thực hành lập trình an toàn Dự án OWASP top 10 phân loại rủi

ro an ninh ứng dụng web bằng cách đánh giá các hướng tấn công hàng đầu và lỗhổng an ninh trong mối quan hệ đối với các tác động kỹ thuật và kinh doanh của

nó Việc đánh giá mười rủi ro hàng đầu của dự án sẽ thực hiện theo chu kỳ mỗi năm

một lần nhằm mục đích chỉ ra những rủi ro nghiêm trọng nhất trong từng năm (chú

ý không chỉ có 10 rủi ro cần xem xét mà rất nhiều, tuy nhiên hàng năm OWASP sẽ chọn ra 10 rủi ro nguy hại nhất).

Dự án cũng cung cấp hướng dẫn cụ thể giúp đánh giá, xác minh và khắcphục từng phần các lỗ hổng của một ứng dụng như thế nào Tuy không tập trungnhưng có một số hướng dẫn có sẵn từ cộng đồng OWASP cho những người pháttriển và người đánh giá an toàn quản lý hiệu quả các ứng dụng web về mặt an ninh

Đối với OWASP, an toàn phần mềm nói chung và ứng dụng web nói riêngphải được chú trọng ngay từ giai đoạn đầu tiên: định nghĩa, thiết kế và duy trì chođến các giai đoạn sau này như: phát triển, triển khai, bảo trì Tóm lại, đánh giá anninh nên được áp dụng trong suốt vòng đời phát triển phần mềm Vì vậy hướng dẫnnày không chỉ dành cho người đánh giá mà còn phải được đọc và sử dụng bởi

người phát triển và kiểm thử phần mềm Giữ thông tin an ninh liên tục cập nhật làmột khía cạnh quan trọng của dự án hướng dẫn này Để đáp ứng yêu cầu trên,OWASP áp dụng phương pháp tiếp cận wiki, cộng đồng OWASP có thể phát triển

và mở rộng thông tin trong tài liệu hướng dẫn này để bắt kịp với sự phát triểnnhanh chóng của các mối đe dọa an ninh nhằm vào ứng dụng

Theo OWASP, đánh giá an toàn sẽ không bao giờ là một khoa học chính xácvới một danh sách đầy đủ của tất cả các vấn đề cần được đánh giá và đánh giá antoàn an ninh chỉ là một kỹ thuật thích hợp để đánh giá an tòa cho các ứng dụng webtrong những hoàn cảnh nhất định Phương pháp đánh giá an toàn ứng dụng web củaOWASP dựa trên tiếp cận hộp đen Người đánh giá không biết hoặc biết rất ít thôngtin về các ứng dụng được đánh giá Mô hình đánh giá bao gồm:

 Người đánh giá: Thực hiện các hoạt động đánh giá

 Công cụ và phương pháp: Cốt lõi là dự án hướng dẫn đánh giá

 Áp dụng: Đánh giá hộp đen

Phương pháp OWASP bao gồm 10 bước thực hiện chia thành 2 giai đoạn:

Hình 1.4 Phương thức làm việc của OWASP

Giai đoạn 1 – Chế độ thụ động: Trong chế độ này, người đánh giá cố gắng

hiểu được logic của ứng dụng và các thông tin liên quan đến mục tiêu đánh giá

Các thông tin có thể thu thập được như: sơ đồ website, thông tin webserver, vị tríđặt tên miền… Các thông tin này là tiền đề để thực hiện giai đoạn thứ 2.

Giai đoạn 2 – Chế độ chủ động: Trong giai đoạn này, người đánh giá bắt đầu

thực hiện đánh giá theo hướng dẫn chi tiết trong tài liệu OWASP OWASP chiađánh giá chủ động thành 9 loại nhỏ với tổng số 66 bài viết hướng dẫn:

- Kiểm tra Quản lý cấu hình

- Kiểm tra business logic

- Kiểm tra cơ chế xác thực

- Kiểm tra việc ủy quyền

- Kiểm tra quản lý phiên giao dịch

- Kiểm tra các dữ liệu đầu vào13

- Kiểm tra khả năng tấn công từ chối dịch vụ

- Kiểm tra web services

- Kiểm tra AJAX

1.5 Các kỹ thuật đánh giá

Có rất nhiều các kỹ thuật kiểm tra và kiểm thử an toàn có thể được sử dụng

để đánh giá an toàn của hệ thống và mạng Tuy nhiên tựu chung lại chúng có thểđược chia thành 3 loại như sau:

- Kỹ thuật rà soát (review): Đây là kỹ thuật kiểm tra được dùng để đánh giá

hệ thống, ứng dụng, mạng, chính sách và thủ tục nhằm mục tiêu phát hiện các lỗhổng và thường được tiến hành thủ công (bằng tay) Các kỹ thuật này bao gồm việc

rà soát tài liệu, nhật kí, tập luật và rà soát cấu hình hệ thống; thăm dò mạng; kiểmtra tính toàn vẹn tập tin

- Kỹ thuật phân tích và xác định mục tiêu: Kỹ thuật kiểm thử này có thể

xác định hệ thống, các cổng, dịch vụ và các lỗ hổng Thông thường có các công cụ

tự động để thực hiện các kỹ thuật này nhưng cũng có thể được thực hiện thủ công.Các kỹ thuật này bao gồm: phát hiện mạng, nhận dạng cổng và dịch vụ mạng, quét

lỗ hổng, quét mạng không dây và kiểm tra an toàn ứng dụng

- Kỹ thuật xác định điểm yếu mục tiêu: Kỹ thuật kiểm thử này để xác định

sự tồn tại của các lỗ hổng trong hệ thống Chúng có thể được thực hiện một cáchthủ công hoặc thông qua các công cụ tự động tùy thuộc vào các hệ thống cụ thể

cũng như kỹ năng của người kiểm thử Các kỹ thuật xác định điểm yếu mục tiêubao gồm: bẻ mật khẩu, kiểm thử xâm nhập, kỹ nghệ xã hội và kiểm thử an toàn ứngdụng.

Không có một kỹ thuật nào có thể cung cấp một cách đầy đủ, chi tiết về cácvấn đề an toàn trong một hệ thống hay mạng nên cần phải kết hợp các kỹ thuật mộtcách phù hợp để đảm bảo rằng các đánh giá an toàn là chính xác Ví dụ, kiểm thửxâm nhập thường phụ thuộc vào sự thực hiện của cả sự nhận dạng cổng mạng/dịch

vụ và quét lỗ hổng để xác định các máy chủ và dịch vụ mà có thể là mục tiêu đốivới sự thâm nhập tương lai Ngoài ra, có một số kỹ thuật chỉ thỏa mãn với một yêucầu đánh giá, chẳng hạn như xác định nơi mà các bản vá được áp dụng một cáchphù hợp

Ngoài các kỹ thuật được trình bày ở trên, thực tế còn rất nhiều kỹ thuật khácnữa mà người đánh giá có thể áp dụng Ví dụ như kiểm thử an toàn vật lý (xác thực

sự tồn tại của các lỗ hổng an toàn vật lý bằng cách cố gắng phá ổ khóa, giả dấu hiệu

và các biện pháp kiểm soát an toàn vật lý khác) thường để đạt được sự truy cập tráiphép để tiếp cận tới các máy chủ, thiết bị mạng Một ví dụ khác là nhận dạng tàisản theo cách thủ công Một tổ chức có thể lựa chọn để xác định các tài sản cầnđánh giá thông qua các kho lưu trữ tài sản hay các phương thức khác thay vì dựavào các kỹ thuật để nhận dạng tài sản

1.6 Yêu cầu cụ thể đối với việc thực hiện đánh giá an toàn thông tin

1.6.1 Quy trình thực hiện đánh giá an toàn thông tin

Các hợp đồng bao gồmnhưng không giới hạn: Hợpđồng cung cấp dịch vụ giữa

2 bên, Thoả thuận cam kếtbảo mật thông tin (NDA),phụ lục phạm vi dự án(scope of work)

2

Thu thập thông tin

mục tiêu(B2)

Khảo sát hiện trạng

hệ thống, đối tượngcần đánh giá từ cácnguồn khác nhau

Các thông tin về mục tiêucần đánh giá như: hệ điềuhành, phiên bản phần mềm,loại thiết bị mạng, bảo mật,nghiệp vụ ứng dụng…

dò quét các lỗ hổngphần mềm, hệ điềuhành (nếu cần thiết).

Các thông tin về lỗi, lỗ hổngbảo mật được lưu lại và xử

lý, đánh giá mức độ ảnhhưởng và nguy hại tới hệthống

Bao gồm: đánh giá phiênxác thực, đăng nhập; đánhgiá phân quyền; tương tácvới các hệ thống back-end…

Thông báo cho khách hangtrong trường hợp nghi ngờcác lỗi kiểm tra gây nguyhiểm cho hệ thống mục tiêu

Thực hiện kiểm thử xâmnhập một/một vài lỗ hổngnghiêm trọng đã được tìmthấy trước đó, xác định mức

độ và phạm vi ảnh hưởngcao

Báo cáo tổng thể phải cungcấp tổng số lỗi, mức điểmcủa từng lỗi, chi tiết chứngminh, khai thác, bằng chứngxác nhận, tài liệu tham khảo

và khuyến nghị sửa chữa,khắc phục

7

Đánh giá lại và viết

báo cáo sau đánh

giá lại(B5)

Báo cáo kỹ thuật đơngiản xác nhận tìnhtrạng của toàn bộ lỗi

đã được sửa xong

Báo cáo thể hiện tình trạng

đã sửa lỗi hay chưa Bằngchứng xác thực đi kèm.(Hạng mục này cần đượcthực hiện trong khoảng thờigian cho phép)

8 Đóng dự án(B6)

Hoàn thiện các hồ sơ,giấy tờ liên quanphục vụ cho việcđóng dự án và thanh

lý hợp đồng

1.6.2 Mô tả chi tiết các hạng mục đánh giá an toàn thông tin mạng

Các hạng mục đánh giá bao gồm:

- Kiểm tra đánh giá ứng dụng web

- Kiểm tra đánh giá ứng dụng mobile và các ứng dụng WinForms

- Kiểm tra đánh giá hệ thống cơ sở dữ liệu

- Kiểm tra đánh giá hệ thống máy chủ dịch vụ, thiết bị mạng và bảo mật

- Kiểm tra đánh giá hệ thống mạng không dây

I Kiểm tra đánh giá ứng dụng Web

1 Thu thập và khảo sátthông tin Thực hiện tìm kiếm thông tin về ứng dụngphục vụ cho quá trình đánh giá.

2 Kiểm tra quản lý cấu hìnhvà triển khai

Việc phân tích cơ sở hạ tầng và kiến trúc củawebsite có thể giúp xác định rất nhiều yếu tố

về một ứng dụng Web

3 Kiểm tra quản lý địnhdanh

Xác định việc ứng dụng định danh ngườidùng, qua đó có thể phá vỡ tính xác thực vàđịnh danh của người dùng

4 Kiểm tra phần xác thực

Kiểm tra cơ chế xác thực dựa trên các phântích cơ chế hoạt động của chức năng đăngnhập trong ứng dụng Web để tìm ra các điểmyếu

5 Kiểm tra phân quyền Tìm hiểu chức năng cấp quyền làm việc, thử

phá vỡ cơ chế quan trọng này

6 Kiểm tra quản lý phiên

Kiểm tra xem phiên và các “security token” cóđược tạo ra một cách an toàn hoặc có thể đoántrước đựơc hay không

7 Kiểm tra kiểm soát dữliệu đầu vào

Đa phần điểm yếu trong ứng dụng Web tậptrung vào khâu đánh giá đầu vào đến từ ngườidùng Điểm yếu này dẫn đến hầu hết lỗ hổngtrong ứng dụng Web như: “SQL Injection”,

“File Inclusion”, “Cross-site scripting”

8 Kiểm tra việc xử lý lỗi

Kiểm tra việc thông báo lỗi của ứng dụng cógây ra các nguy cơ mất an toàn thông tin cho

hệ thống hay không

9 Kiểm tra mật mã, mã hóayếu Kiểm tra các cơ chế mã hoá có thể yếu củaứng dụng.

10 Kiểm tra lỗ hổng logicnghiệp vụ

Kiểm tra việc vận hành ứng dụng có thể gây racác lỗi mà người dùng bình thường không pháthiện ra

II Kiểm tra đánh giá ứng dụng Mobile và các ứng dụng WinForms

1 Khảo sát thông tin ứngdụng Thực hiện tìm kiếm thông tin về ứng dụngphục vụ cho quá trình đánh giá.

2 Kiểm tra phía máy kháchvà phân tích động

Kiểm tra ứng dụng bằng phương pháp phântích phía máy khách cài đặt, hoạt động củaứng dụng có thể gây mất an toàn cho máykhách sử dụng

3 Kiểm tra kênh kết nối Kiểm tra các kết nối đã đạt an toàn thông tin(sử dụng các giao thức an toàn)

4 Kiểm tra các Webservicesvà API

Kiểm tra các tham số trên cácWebservices/API, xác định các dữ liệu nhập

có thể gây nguy hại cho hệ thống ứng dụng

III Kiểm tra đánh giá hệ thống cơ sở dữ liệu

1 Thu thập thông tin Cơ sởdữ liệu Thu thập các thông tin về máy chủ CSDL, các“Instance” của CSDL

2 Đánh giá cấu hình máy Xác định cấu hình máy chủ CSDL gây mất an