ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ********* VŨ THU UYÊN NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN THÔNG TIN LUẬN VĂN THẠC SĨ Hà Nội – 2011 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ********* VŨ THU UYÊN NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN THÔNG TIN Ngành: Công nghệ thông tin Chuyên ngành: Công Nghệ Phần Mềm LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PSG.TS Nguyễn Hữu Ngự Hà Nội – 2011 1 MỤC LỤC MỤC LỤC HÌNH 3 MỤC LỤC BẢNG 5 DANH MỤC TÊN VIẾT TẮT 6 MỞ ĐẦU 7 I. Lý do chọn đề tài 7 II. Lịch sử vấn đề 7 III. Mục đích, nhiệm vụ nghiên cứu 8 IV. Phương pháp nghiên cứu 8 CHƯƠNG 1: TỔNG QUAN 9 1.1. Tổng quan về hệ thống thông tin 9 1.1.1. Khái niệm 9 1.1.2. Các thành phần của hệ thống thông tin 9 1.1.3. Các điểm yếu trong hệ thống thông tin 9 1.2. Các vấn đề chung an toàn thông tin 13 1.2.1. An toàn thông tin là gì? 13 1.2.2. Các yêu cầu an toàn thông tin 13 1.2.3. Các phương pháp bảo vệ an toàn thông tin 14 1.2.4. Một số giải pháp khắc phục điểm yếu 14 1.3. Giới thiệu về các tiêu chuẩn đánh giá hệ thống an toàn thông tin 16 1.3.1. Chuẩn an toàn thông tin 16 1.3.2. Các tiêu chuẩn đánh giá an toàn thông tin 17 CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN THÔNG TIN 26 2.1. Tiêu chuẩn chung Common Criteria - CC 26 2.1.1. Khái niệm và mô hình chung của CC 26 2.1.2. Những yêu cầu chức năng an toàn SFR. 36 2.1.3. Những yêu cầu đảm bảo an toàn SAR 42 2.1.4. Những mức đảm bảo đánh giá (EALs) 47 2.1.5. Nội dung chuẩn của PP 49 2.1.6. Lớp đảm bảo đánh giá Hồ sơ bảo vệ APE và yêu cầu của EAL4 53 2 2.2. Phương pháp luận cho đánh giá an toàn - CEM 57 2.2.1. Mối quan hệ CEM và CC 57 2.2.2. Sơ đồ tổng quát cho đánh giá 58 2.2.3. CEM hướng dẫn đánh giá lớp đảm bảo APE 60 CHƯƠNG 3: ỨNG DỤNG GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN THÔNG TIN 72 3.1. Áp dụng CC đánh giá thiết bị FIREWALL/VPN của NOKIA sử dụng giải pháp CHECKPOINT VPN-1/FIREWALL-1 72 3.1.1. Khái quát chung về FireWall/VPN Nokia 72 3.1.2. Áp dụng CC vào đánh giá thiết bị Firewall/VPN của Nokia 76 3.2. Đánh giá hệ thống an toàn thông qua các điểm yếu 124 KẾT LUẬN 131 TÀI LIỆU THAM KHẢO 132 Nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin Học viên: Vũ Thu Uyên Đơn vị công tác: khoa Công nghệ thông tin – Trường ĐH Kinh tế - Kỹ thuật Công nghiệp. email: vtuyen.uneti@moet.edu.vn Giáo viên hướng dẫn: PGS.TS Nguyễn Hữu Ngự Đơn vị công tác: Đại học KHTN – Đại học Quốc gia Email: Từ khóa – CC, CEM, TOE, SPATCNTT I. GIỚI THIỆU BÀI TOÁN A. Nhu cầu áp dụng CNTT vào đời sống là rất rộng rãi, cần thiết và quan trọng. B. Do càng ngày càng xuất hiện nhiều các điểm yếu, các lỗ hổng trong hệ thống, vì vậy việc đảm bảo an toàn hệ thống thông tin là yêu cầu hàng đầu đối với các tổ chức. C. Việc đánh giá và cấp chứng chỉ an toàn cho hệ thống đã được nghiên cứu trên thế giới từ lâu. Tuy nhiên tại Việt Nam vấn đề này tuy đã được chú ý đến nhưng vẫn còn khá mới mẻ. II. NỘI DUNG LUẬN VĂN A. Tổng quan về an toàn thông tin B. Tiêu chuẩn chung – CC C. Phương pháp luận cho đánh giá an toàn – CEM D. ỨNG DỤNG 1. Áp dụng CC và CEM đánh giá một sản phẩm An toàn CNTT. 2. Đánh giá hệ thống an toàn thông qua các điểm yếu. III. KẾT LUẬN Luận văn đã đạt được một số kết quả sau:  Nghiên cứu được các tiêu chuẩn để đánh giá hệ thống an toàn theo chuẩn quốc tế là ISO 27001, CC, CEM.  Đề xuất giải pháp để đánh giá các thành phần trong hệ thống, cụ thể là đánh giá các sản phẩm ATCNTT bằng cách sử dụng CC và CEM, từ đó có thể áp dụng vào các hệ thống thực tế.  Đưa ra cách áp dụng CC và CEM đánh giá một sản phẩm cụ thể.  Các giải pháp để đảm bảo an toàn cho hệ thống khác nằm ngoài những đánh giá dựa vào tiêu chuẩn ở trên là sử dụng công cụ sniffer để phát hiện điểm yếu của hệ thống. Hướng nghiên cứu tiếp theo  Mở rộng việc đánh giá một số sản phẩm ATCNTT như: Firewall, cổng thông tin điện tử, email, CSDL, Đánh giá module mật mã.  Mở rộng phát triển việc kiểm soát: Lỗ hổng, nguy cơ mất ANTT, các điểm yếu của hệ thống TÀI LIỆU THAM KHẢO [1]. PGS.TS Trịnh Nhật Tiến (2008), An toàn và an toàn thông tin, Nhà xuất bản Quốc gia. [2]. Andrew Hay, Peter Giannoulis, Keli Hay (2009), Nokia Firewall, VPN, and IPSO Configuration Guide. [3]. William Stallings (1998), Cryptography anh Network Security: Principles and Practice, Second Edition, Prentice Hall, Upper Saddle River, New Jersey 07458. [4]. http://www.commoncriteriaportal.org [5]. http:/www.niap-ccevs.org [6]. http://www.checkpoint.com/nokia The study measures the evaluation to information safety systems Student name: VU THU UYEN Affiliation:Information Technology Department, University of Economic and Technical Industries email vuyen.uneti@moet.edu.vn Professor name: Prof/Dr. Nguyen Huu Ngu Affiliation: VNU University of Science Email: Keywords – CC. CEM, TOE, SPATCNTT I. INTRODUCE ABOUT PROBLEM A. Overview of information security. B. The general problem of information security. C. Introduction of standard assessment information safety system II. CONTENT OF THE THESIS A. Overview of information security B. Common Criteria – CC C. Common Methodology for Information Security Evaluation - CEM D. APPLICATIONS 1. Apply CC evaluated IT products. 2. Evaluation Safety system through vulnerabilities. III. CONCLUSION • Look at the criteria for assessing the safety system according to international standards as ISO 27001, CC, CEM. • Propose measures to evaluate the components in the system, namely the evaluation of IT products using CC and CEM, which can be applied to real systems. • Make the application of CC and CEM evaluate a particular product. • Measures to ensure the safety of the system beyond the standard assessment based on the use of sniffer tool to detect weaknesses of the system. Directions for further research:  Expanding the assessment of certain information safety products as: Firewall, e- portal, email, database, code assessment module.  Extended control development: vulnerability risk of loss of information security, the system’s weaknesses REFERENCES [1]. PGS.TS Trịnh Nhật Tiến (2008), An toàn và an toàn thông tin, Nhà xuất bản Quốc gia. [2]. Andrew Hay, Peter Giannoulis, Keli Hay (2009), Nokia Firewall, VPN, and IPSO Configuration Guide. [3]. William Stallings (1998), Cryptography anh Network Security: Principles and Practice, Second Edition, Prentice Hall, Upper Saddle River, New Jersey 07458. [4]. http://www.commoncriteriaportal.org [5]. http:/www.niap-ccevs.org [6]. http://www.checkpoint.com/nokia