Luận văn thạc sĩ vnu uet ứng dụng kỹ thuật bảo mật trong microsoft net vào hệ thống quản lý và luân chuyển văn bản nội bộ tại gpbank

Luận văn thạc sĩ nghiên cứu vnu uet ứng dụng kỹ thuật bảo mật trong microsoft net vào hệ thống quản lý và luân chuyển văn bản, đánh giá hiện trạng, phân tích vấn đề, đề xuất biện

Chuyên ngành

Công Nghệ Thông Tin

Người đăng

Ẩn danh

Thể loại

Luận Văn Thạc Sĩ

2019

78
1
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CẢM ƠN

LỜI CAM ĐOAN

DANH SÁCH KÝ HIỆU, CHỮ VIẾT TẮT

DANH SÁCH HÌNH VẼ

DANH SÁCH BẢNG

1. CHƯƠNG 1: Giới thiệu

1.1. Tính cấp thiết của đề tài

1.2. Mục tiêu và phạm vi nghiên cứu

1.3. Hướng nghiên cứu và cách giải quyết

1.4. Cấu trúc của luận văn

2. CHƯƠNG 2: TỔNG QUAN VỀ BẢO MẬT HỆ THỐNG PHẦN MỀM

2.1. Sự cần thiết đối với bảo mật máy tính

2.2. Các khái niệm cơ bản

2.3. Lỗ hổng bảo mật

2.4. Khai thác lỗ hổng

2.5. Nguy cơ và rủi ro

3. CHƯƠNG 3: BẢO MẬT HỆ THỐNG PHẦN MỀM TRONG MICROSOFT .NET

3.1. Tổng quan kiến trúc bảo mật hệ thống phần mềm

3.2. Vòng đời phát triển

3.3. Phân tích yêu cầu bảo mật

3.4. Thiết kế bảo mật

3.5. Đánh giá bảo mật

3.6. Kiểm thử bảo mật

3.7. Bảo mật trong .NET Runtime security

3.8. Kiến trúc bảo mật

3.9. Thư viện bảo mật trong .NET

3.10. Một số kiểu tấn công ứng dụng Web

3.10.1. Cross-site scripting (XSS)

4. CHƯƠNG 4: MỘT MÔ HÌNH ỨNG DỤNG KỸ THUẬT BẢO MẬT TRONG MICROSOFT .NET TẠI GPBANK

4.1. Mô tả bài toán. Yêu cầu cụ thể

4.2. Phân tích nghiệp vụ

4.3. Mô tả chức năng

4.4. Quy trình luân chuyển yêu cầu chuyển tiền

4.5. Biểu đồ ca sử dụng

4.6. Biểu đồ lỗ hổng ca sử dụng

4.7. Các Module chức năng hệ thống

4.8. Thiết kế hệ thống

4.9. Mô hình tổng thể hệ thống

4.10. Mô hình chức năng

4.11. Kiến trúc hệ thống

4.12. Xây dựng hệ thống thử nghiệm

4.13. Môi trường cài đặt, triển khai

4.14. Màn hình giao diện

4.15. Đánh giá khả năng an toàn và bảo mật của hệ thống

4.16. Một số Test case về an toàn và bảo mật của hệ thống

5. CHƯƠNG 5: KẾT LUẬN

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tổng quan về ứng dụng kỹ thuật bảo mật

Trong bối cảnh công nghệ thông tin phát triển mạnh mẽ, việc ứng dụng các kỹ thuật bảo mật trong hệ thống quản lý văn bản tại GPBank trở nên cấp thiết. Kỹ thuật bảo mật .NET không chỉ giúp bảo vệ thông tin mà còn nâng cao hiệu quả quản lý văn bản. GPBank, với vai trò là một trong những ngân hàng hàng đầu tại Việt Nam, cần phải đảm bảo an toàn cho hệ thống thông tin của mình.

1.1. Tại sao bảo mật thông tin lại quan trọng

Bảo mật thông tin là yếu tố sống còn trong hoạt động của ngân hàng. Việc bảo vệ dữ liệu khách hàng và thông tin nội bộ không chỉ giúp GPBank tuân thủ các quy định pháp luật mà còn tạo dựng lòng tin từ phía khách hàng.

1.2. Lợi ích của việc ứng dụng kỹ thuật bảo mật .NET

Kỹ thuật bảo mật .NET cung cấp nhiều công cụ và thư viện hỗ trợ việc bảo vệ hệ thống. Điều này giúp GPBank giảm thiểu rủi ro từ các cuộc tấn công mạng và bảo vệ thông tin nhạy cảm của khách hàng.

II. Những thách thức trong quản lý văn bản tại GPBank

Quản lý văn bản tại GPBank đối mặt với nhiều thách thức, từ việc bảo mật thông tin đến việc đảm bảo tính liên tục trong hoạt động. Các lỗ hổng bảo mật có thể dẫn đến việc rò rỉ thông tin, gây thiệt hại lớn cho ngân hàng.

2.1. Các lỗ hổng bảo mật phổ biến

Các lỗ hổng như SQL Injection, Cross-Site Scripting (XSS) là những mối đe dọa lớn đối với hệ thống quản lý văn bản. Việc nhận diện và khắc phục các lỗ hổng này là rất quan trọng.

2.2. Nguy cơ từ các cuộc tấn công mạng

Các cuộc tấn công từ chối dịch vụ (DoS) và tấn công từ xa là những nguy cơ lớn mà GPBank phải đối mặt. Những cuộc tấn công này có thể làm gián đoạn hoạt động và gây thiệt hại về tài chính.

III. Phương pháp bảo mật hiệu quả trong

Để bảo vệ hệ thống quản lý văn bản, GPBank cần áp dụng các phương pháp bảo mật hiệu quả trong .NET. Những phương pháp này không chỉ giúp bảo vệ dữ liệu mà còn đảm bảo tính toàn vẹn của hệ thống.

3.1. Sử dụng mã hóa dữ liệu

Mã hóa dữ liệu là một trong những phương pháp bảo mật quan trọng. Việc mã hóa thông tin nhạy cảm giúp ngăn chặn việc truy cập trái phép và bảo vệ dữ liệu khách hàng.

3.2. Quản lý quyền truy cập

Quản lý quyền truy cập là một yếu tố quan trọng trong bảo mật. GPBank cần thiết lập các chính sách rõ ràng về quyền truy cập để đảm bảo chỉ những người có thẩm quyền mới có thể truy cập vào thông tin nhạy cảm.

IV. Ứng dụng thực tiễn của kỹ thuật bảo mật

Việc ứng dụng kỹ thuật bảo mật .NET tại GPBank đã mang lại nhiều kết quả tích cực. Hệ thống quản lý văn bản đã được cải thiện đáng kể về mặt bảo mật và hiệu quả hoạt động.

4.1. Kết quả đạt được từ việc ứng dụng

Sau khi triển khai các kỹ thuật bảo mật, GPBank đã giảm thiểu được các rủi ro liên quan đến bảo mật thông tin. Hệ thống hoạt động ổn định và an toàn hơn.

4.2. Các bài học kinh nghiệm

Việc triển khai bảo mật không chỉ là một dự án công nghệ mà còn là một quá trình liên tục. GPBank đã học được nhiều bài học quý giá từ việc ứng dụng kỹ thuật bảo mật .NET.

V. Kết luận và tương lai của bảo mật tại GPBank

Bảo mật thông tin là một trong những ưu tiên hàng đầu của GPBank. Việc ứng dụng kỹ thuật bảo mật .NET không chỉ giúp bảo vệ thông tin mà còn nâng cao uy tín của ngân hàng trong mắt khách hàng.

5.1. Tương lai của bảo mật thông tin

Trong tương lai, GPBank sẽ tiếp tục đầu tư vào công nghệ bảo mật để đảm bảo an toàn cho hệ thống thông tin. Việc cập nhật công nghệ mới sẽ giúp ngân hàng đối phó hiệu quả hơn với các mối đe dọa.

5.2. Định hướng phát triển hệ thống bảo mật

GPBank sẽ không ngừng cải tiến và phát triển hệ thống bảo mật để đáp ứng nhu cầu ngày càng cao của khách hàng và thị trường. Điều này sẽ giúp ngân hàng duy trì vị thế cạnh tranh trong ngành.

22/07/2025

Trích đoạn nội dung tài liệu

Chương 1: Giới thiệu tổng quan luận văn, lý do chọn đề tài, mục tiêu, phạm vi và hướng giải quyết của luận văn. Chương 2: Giới thiệu những khái niệm tổng quan về bảo mật trong hệ thống phần mềm, các lỗ hổng bảo mật cũng như các kiểu tấn công. Chương 3: Giới thiệu tổng quan về kiến trúc bảo mật hệ thống phần mềm, tổng quan về bảo mật trong Microsoft .Net, bảo mật trong ASP. Chương 4: Một mô hình ứng dụng kỹ thuật bảo mật trong ASP.NET của Microsoft tại GPBank.

Chương 5: Tóm tắt kết quả thu được qua luận văn. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 13 Chương 2: TỔNG QUAN VỀ BẢO MẬT HỆ THỐNG PHẦN MỀM 2. Sự cần thiết đối với bảo mật máy tính Các máy tính ngày nay được sử dụng để quản lý nhiều chức năng từ các tài khoản ngân hàng đến các hồ sơ sức khỏe. Chúng ta giữ thẻ tín dụng của chúng ta an toàn để không ai có thể đánh cắp được chúng.

Tuy nhiên, với sự ra đời của Thương mại điện tử, người ta có thể mua hàng hóa mà không cần thẻ tín dụng vật lý. Ngày nay, một tên tội phạm không cần đánh cắp thẻ tín dụng vật lý, chúng chỉ cần biết chi tiết thông tin thẻ tín dụng đó. Do đó, chúng cần đảm bảo rằng máy tính lưu trữ thông tin thẻ tín dụng cần được bảo mật. Các máy tính được sử dụng để quản lý và lưu trữ nhiều thông tin, từ giải trí đến thông tin công ty, từ thông tin cá nhân đến giấy phép lái xe, tất cả đều được duy trì bởi máy tính.

Nếu chúng ta không bảo mật và bảo vệ máy tính, chúng ta có nguy cơ bị tấn công và mất mát dữ liệu. Các khái niệm cơ bản Bảo mật (Security) là các biện pháp được thiết lập để bảo vệ một ứng dụng/hệ thống ứng dụng chống lại các hành động không lường trước được cho rằng các hành động đó sẽ ảnh hưởng hoặc phá hủy ứng dụng/hệ thống ứng dụng. Hành động không lường trước có thể là cố ý hoặc vô ý. Trong phần này luận văn trình bày một số khái niệm liên quan đến bảo mật trong hệ thống phần mềm [2].

Lỗ hổng bảo mật Các lỗ hổng bảo mật là những điểm yếu trong hệ thống hoặc ẩn chứa trong một dịch vụ hệ thống đó cung cấp, dựa vào đó tin tặc có thể khai thác xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp. Đối với một hệ thống máy tính, lỗ hổng có thể ở bất cứ đâu. Nó có thể trong một chương trình người dùng, trong một Hệ điều hành (Windows XP, Windows NT, UNIX), trong cơ sở dữ liệu, hoặc do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp và/hoặc do người sử dụng có ý thức bảo mật kém. Đối với lỗ hổng phần mềm, đây là lỗ hổng liên quan đến lỗi (bug) trong phần mềm.

Bug là lỗi code khiến hệ thống thực hiện một hành động không mong muốn. Các bug này có thể khiến hệ thống gặp sự cố, kết nối bị lỗi, không đăng nhập được, nâng cao đặc quyền người dùng hoặc cấp quyền truy cập trái phép vào hệ thống. Mức độ ảnh hưởng của các lỗ hổng là khác nhau. Có những lỗ hổng chỉ ảnh hưởng đến chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng nghiêm trọng đến toàn bộ hệ thống… các lỗ hổng bảo mật sẽ là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ.

LUAN VAN CHAT LUONG download : add luanvanchat@agmail. Khai thác lỗ hổng Một khi xác định được lỗ hổng, tin tặc có thể viết ra một chương trình lợi dụng lỗi để xâm nhập và chiếm quyền kiểm soát thiết bị. Tội phạm mạng tìm điểm yếu trong các phần mềm bảo vệ hệ thống, có thể là một kết nối mạng không được bảo vệ đúng cách. Nếu tin tặc có thể tiếp cận máy tính mục tiêu, chúng có thể tìm hiểu về hệ thống đó.

Làm thế giúp chúng xác định các phương pháp tiếp cận riêng - truy cập các tệp tin cụ thể hay chạy các chương trình nhất định - từ đó chúng có thể kiểm soát máy tính và dữ liệu. Trong những năm gần đây, tin tặc bắt đầu nhắm mục tiêu vào các trình duyệt web bởi những phần mềm này được phép kết nối Internet và thường được cho phép để chạy các chương trình nhỏ; do đó tồn tại rất nhiều lỗ hổng có thể bị khai thác. Những lỗ hổng ban đầu có thể cho phép tin tặc kiểm soát máy tính mục tiêu, trước khi lấy đó làm bàn đạp để xâm nhập vào mạng lưới lớn hơn. Đôi khi các lỗ hổng được chính các nhà phát triển phần mềm phát hiện hoặc do người dùng hay các nhà nghiên cứu cảnh báo.

Có những trường hợp, tin tặc hoặc cơ quan gián điệp của chính phủ phát hiện cách thức xâm nhập vào hệ thống nhưng không thông báo với bên phát triển. Do đó, phần mềm hoặc phần cứng sẽ dễ bị xâm nhập cho đến khi có bản vá hoặc bản sửa lỗi được tạo và phân phối tới người dùng. Nguy cơ và rủi ro Nguy cơ Nguy cơ (threat) là những sự kiện có khả năng ảnh hưởng đến an toàn của hệ thống [2, 3]. Ví dụ: tấn công từ chối dịch vụ (DoS và DDoS) là một nguy cơ đối với hệ thống các máy chủ cung cấp dịch vụ trên mạng.

Khi nói đến nguy cơ, nghĩa là sự kiện đó chưa xảy ra, nhưng có khả năng xảy ra và có khả năng gây hại cho hệ thống. Có những sự kiện có khả năng gây hại, nhưng không có khả năng xảy ra đối với hệ thống thì không được xem là nguy cơ. Rủi ro Rủi ro (risk) là xác suất xảy ra thiệt hại đối với hệ thống [2, 3]. Rủi ro bao gồm 2 yếu tố: Khả năng xảy ra rủi ro và thiệt hại do rủi ro gây ra.

Có những rủi ro có khả năng xảy ra rất cao nhưng mức độ thiệt hại thì thấp và ngược lại. Ví dụ: rủi ro mất thông tin trên hệ thống không có cơ chế bảo vệ tập tin, chẳng hạn như Windows 98. Windows 98 không có cơ chế xác thực người sử dụng nên bất cứ ai cũng có thể sử dụng máy với quyền cao nhất. Nếu trên đó chỉ có chứa các tập tin văn bản không có tính bí mật thì việc mất một tập tin thì thiệt hại gây ra chỉ là mất công sức đánh máy văn bản đó.

Đây là dạng rủi ro có xác suất xảy ra cao nhưng thiệt hại thấp. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 15 Cần chú ý phân biệt giữa nguy cơ và rủi ro. Nguy cơ là những hành vi, những sự kiện hoặc đối tượng có khả năng gây hại cho hệ thống. Rủi ro là những thiệt hại có khả năng xảy ra đối với hệ thống.

Ví dụ: Tấn công từ chối dịch vụ là một nguy cơ (threat). Đây là một sự kiện có khả năng xảy ra đối với bất kỳ hệ thống cung cấp dịch vụ nào. Thiệt hại do tấn công này gây ra là hệ thống bị gián đoạn hoạt động, đây mới là rủi ro (risk). Tuy nhiên, không phải bất kỳ tấn công từ chối dịch vụ nào xảy ra cũng đều làm cho hệ thống ngưng hoạt động, và hơn nữa, tấn công từ chối dịch vụ không phải là nguồn gốc duy nhất gây ra gián đoạn hệ thống; những nguy cơ khác như lỗi hệ thống (do vận hành sai), lỗi phần mềm (do lập trình), lỗi phần cứng (hư hỏng thiết bị, mất điện, …) cũng đều có khả năng dẫn đến gián đoạn hệ thống.

Tấn công Tấn công bảo mật là các cuộc tấn công máy tính làm tổn hại đến bảo mật của hệ thống. Về mặt khái niệm, các cuộc tấn công bảo mật có thể được phân thành 2 loại là các cuộc tấn công chủ động và tấn công thụ động [8] trong đó kẻ tấn công có quyền truy cập bất hợp pháp vào tài nguyên hệ thống. Tấn công chủ động Tấn công chủ động là các cuộc tấn công trong đó kẻ tấn công cố gắng sửa đổi thông tin hoặc tạo một thông báo sai. Việc ngăn chặn các cuộc tấn công này là khá khó khăn vì có một loạt các lỗ hổng vật lý, mạng và phần mềm.

Chính vì vậy phải có cơ chế phục hồi khi phát hiện ra hệ thống bị gián đoạn hoặc chậm chễ.1: Tấn công chủ động. Tấn công thụ động Tấn công thụ động là các cuộc tấn công mà kẻ tấn công thực hiện nghe lén trái phép, chỉ cần theo dõi việc truyền hoặc thu thập thông tin. Kẻ trộm không thực hiện bất kỳ thay đổi nào đối với dữ liệu hoặc hệ thống. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.2: Tấn công thụ động.

Tấn công thụ động rất khó phát hiện vì nó không liên quan đến bất kỳ sự thay đổi nào trong dữ liệu hoặc tài nguyên hệ thống. Có thể ngăn chặn tấn công thụ động bằng cách sử dụng các phương thức mã hóa trong đó dữ liệu trước tiên được mã hóa đầu người gửi, sau đó tại đầu người nhận dữ liệu sẽ được giải mã về dữ liệu ban đầu. Hacker Tin tặc (Hacker) Một hacker máy tính là bất kỳ một chuyên gia máy tính nào sử dụng kiến thức kỹ thuật của họ để khắc phục một vấn đề [10]. Hacker sử dụng các các kiến thức kỹ thuật của họ khai thác các lỗ hổng bảo mật, các bug để xâm nhập vào hệ thống máy tính.

Mũ trắng (Whitehat) Thuật ngữ whitehat dùng để chỉ một hacker máy tính có đạo đức hoặc một chuyên gia bảo mật máy tính, chuyên kiểm tra việc thâm nhập và các phương pháp kiểm tra khác đảm bảo cho hệ thống thông tin của tổ chức an toàn. Các lỗ hổng phần mềm quan trọng Để xây dựng phần mềm bảo mật, không thể thiếu sự hiểu biết về các lỗ hổng phần mềm. Trong phần này, luận văn sẽ trình bày tổng quan ngắn gọn về các lỗ hổng quan trọng và nguy hiểm [4]. SQL Injection SQL Injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng Web và các thông báo lỗi trả về của LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 17 hệ quản trị CSDL để tiêm vào (inject) và thi hành các câu lệnh SQL bất hợp pháp bằng cách sử dụng nối chuỗi.

SQL Injection có thể cho phép những kẻ tấn công thực hiện các thao tác thêm mới, cập nhật, xóa trên CSDL của ứng dụng. SQL Injection là một công cụ trung gian để tấn công các ứng dụng web có dữ liệu được quản lý bởi các hệ quản trị CSDL như: MS SQL Server, Oracle, MySQL, DB2.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ