Professional Documents
Culture Documents
Câu 2: So sánh giữa đáng giá an toàn hệ thống thông tin và kiểm định an toàn hệ
thống thông tin
ISSAE
- Là phương pháp luận KTAN của tổ chức OISSG, ra đời năm 2003
- Là một khung làm việc KTAN nguồn mở, tập trung chính vào KTXN.
- Phát triển tập trung vào hai lĩnh vực của KTAN: quản lý và kỹ thuật.
• Mặt quản lý thực hiện quản lý nhóm công việc và các kinh nghiệm thực
tế tốt nhất phải được tuân thủ trong suốt quá trình kiểm thử
• Mặt kỹ thuật thực hiện bộ quy tắc cốt lõi, thủ tục cần tuân thủ và tạo ra
một quy trình đánh giá an ninh đầy đủ
OWASP
- Là dự án của tổ chức OWASP, là một tổ chức phi lợi nhuận, cộng đồng mở, mục
tiêu chính là cải tiến an ninh các phần mềm ứng dụng, đặc biệt là ứng dụng web
- Theo OWASP, các ứng dụng web trên mạng hầu hết phải tiếp xúc với bên ngoài,
nên nó sẽ là đối tượng đầu tiên chịu các cuộc tấn công phá hoại và sửa đổi trái phép
Câu 5: Các kỹ thuật đánh giá an toàn hệ thống thông tin
• Kỹ thuật rà soát:
o Là kỹ thuật kiểm tra được dùng để đánh giá hệ thống, ứng dụng,
mạng, chính sách, thủ tục.
o Bao gồm:
Rà soát tài liệu.
Rà soát nhật ký.
Rà soát tập luật.
Rà soát cấu hình hệ thống.
Thăm dò mạng…
• Kỹ thuật phân tích và xác định mục tiêu:
o Xác định hệ thống, các cổng, dịch vụ và các lỗ hổng.
o Bao gồm:
Phát hiện mạng.
Nhận dạng cổng và dịch vụ mạng.
Quét lỗ hổng.
Quét mạng không dây.
Kiểm tra an toàn ứng dụng.
• Kỹ thuật xác định điểm yếu mục tiêu:
o Xác định sự tồn tại của các lỗ hổng trong hệ thống.
o Bao gồm:
Bẻ mật khẩu.
Kiểm thử xâm nhập.
Kỹ nghệ xã hội.
Kiểm thử an toàn ứng dụng.
Câu 6: Quy trình thực hiện kiểm định an toàn hệ thống thông tin
Bước 1: chuẩn bị kiểm định
- Thực hiện tại thời điểm bắt đầu kiểm định.
- Các công việc cần thực hiện:
o Các bên liên quan thống nhất các điều khoản chung.
o Ký kết các thỏa thuận liên quan.
o Xác định đối tượng kiểm định, thời gian kiểm định, chuẩn bị hồ sơ tài liệu.
o Tài liệu: tài liệu tổ chức, tài liệu kỹ thuật.
Bước 2: tạo kế hoạch kiểm định
- Chi tiết các công việc cần thực hiện trong toàn bộ quá trình kiểm định.
- Sử dụng trong suốt quá trình kiểm định.
- Thời gian thực hiện công việc:
Giai đoạn Công việc Thời gian
Bước 1 Chuẩn bị kiểm định 5%
Bước 2 Tạo kế hoạch kiểm định 15%
Bước 3 Xem xét tài liệu 20%
Bước 4 Kiểm thử trực tiếp 35%
Bước 5 Đánh giá kết quả 5%
Bước 6 Lập báo cáo kiểm định 20%
Khám phá:
- Thu thập thông tin:
+ Thông tin địa chỉ IP và tên máy chủTên nhân viên và thông tin liên hệ.
+ Thông tin hệ thống như tên và các chia sẻ
+ Thông tin dịch vụ và ứng dụng
- Xác định điểm yếu:
+Dò quét cổng và dịch vụ
+ Dò quét lỗ hổng
Tấn công
Câu 8: Các bài tập thực hành liên quan tới đánh giá, kiểm thử an toàn hệ thống thông
tin