- DƯƠNG TIẾN ĐẠT NGHIÊN CỨU, PHÁT TRIỂN HỆ THỐNG BẢO MẬT CSDL CHO TỔNG CỤC THUẾ LUẬN VĂN THẠC SỸ Chuyên ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG DỮ LIỆU Hà Nội – 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI. - Hà Nội, Ngày 8 tháng 5 năm 2018 Tác giả luận văn Dương Tiến Đạt Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 2 LỜI CẢM ƠN Trước tiên em xin được gửi lời cảm ơn tới Ban Giám Hiệu Trường Đại học Bách Khoa Hà Nội đã tạo điều kiện cho em được làm luận văn tốt nghiệp này. - 38 Hình 2.8 Mô hình cài đặt trục trong 39 Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 6 MỤC LỤC LỜI CAM ĐOAN. - 23 CHƢƠNG 2 : MÔ HÌNH THIẾT KẾ VÀ CÀI ĐẶT HỆ THỐNG. - Mô hình thiết kế hệ thống. - 28 Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 7 1.5 Đặc tả mô hình kiến trúc trục trong. - Mô hình cài đặt hệ thống. - 39 CHƢƠNG 3 : VẬN HÀNH VÀ ĐÁNH GIÁ HỆ THỐNG. - Vận hành và đánh giá hệ thống. - 46 1.7 Kiểm tra số lượng các gói tin của các ứng dụng còn tồn đọng trên hệ thống ESB. - 68 Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 8 LỜI MỞ ĐẦU Thông tin luôn là tài sản vô giá nhất trong lĩnh vực tài chính, thuế và cẩn phải được bảo vệ bằng mọi giá. - Hệ thống này sẽ là tiêu điểm tấn công của những kẻ xấu nhằm đánh cắp thông tin. - Với mục đích nghiên cứu, tìm hiểu về hệ thống trục tích hợp của Tổng cục thuế, các kiến thức cơ bản về tấn công cũng như phòng tránh bảo mật. - Từ đó làm chủ được công nghệ, thiết kế, cài đặt và vận hành hệ thống. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 10 CHƢƠNG 1: GIỚI THIỆU 1. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 11 Cuộc tấn công của mã độc WannaCry đã lan rộng như vụ cháy rừng, vô hiệu hóa một phần ba dịch vụ y tế quốc gia (NHS) ở Anh. - Đáng chú ý, chúng có ý định khống chế, vô hiệu hóa hoàn toàn dữ liệu hệ thống. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 15 2.3. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 16 Chúng ta có thể ngăn chặn việc lạm dụng quyền vượt mức bằng kiểm soát truy nhập mức truy vấn. - 2.7 Tấn công SQL Injection Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 17 Khi triển khai các ứng dụng web trên Internet, thông thường việc đảm bảo an toàn thông tin cho 1 trang web thường được chú trọng tập trung vào các vấn đề như chọn hệ điều hành, hệ quản trị cơ sở dữ liệu, webserver sẽ chạy ứng dụng. - Nếu ứng dụng sử dụng quyền sa (quyền quản trị hệ thống), nó có thể điều khiển Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 18 toàn bộ hệ quản trị cơ sở dữ liệu và với quyền hạn rộng lớn như vậy nó có thể tạo ra các tài khoản người dùng bất hợp pháp để điều khiển hệ thống của bạn. - Những vết kiểm toán thu được tiếp tục có thể dùng để xác định người dùng nào Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 19 vừa thực hiện các hành động này, đồng thời qua vết kiểm toán có thể thực hiện phục hồi lại hệ thống. - Tuy nhiên, cho đến hiện nay Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 20 gần như chưa có giải pháp nào có khả năng phòng chống DDoS một cách toàn diện và hiệu quả do tính chất phức tạp, quy mô lớn và tính phân tán rất cao của tấn công DDoS. - Trong đó có hệ thống trục tích hợp là một cách nhìn mới về việc tích hợp các ứng dụng, sự phối hợp các tài nguyên và kiểm soát, xử lý thông tin giữa các hệ thống trong tổng cục Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 21 thuế nói chung và ngân hàng nói riêng qua đó có thể giảm thiểu được rủi ro khi bị tấn công bằng mã độc hay việc các hacker lợi dụng các điểm yếu trong giao thức giao tiếp CSDL…. - Các đặc tính của một hệ thống nền tảng tích hợp ESB. - Phân tán – loại bỏ những ràng buộc về triển khai hệ thống. - Ưu điểm của hệ thống trục tích hợp: Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 22 Truyền tải thông tin cho toàn bộ đối tác một cách nhanh chóng và dễ dàng. - Trục tích hợp không gửi trực tiếp tới hệ thống của ứng dụng nhận, chính vi vậy việc dính mã độc sẽ cực kỳ khó. - Ứng dụng cần kết nối thành công tới hệ thống mạng của Tổng cục thuế. - Ứng dụng cần được cấu hình 01 queue in, 01 queue out và 01 channel (kênh kết nối) trên hệ thống Trục tích hợp.. - Một số phương pháp tấn công và phòng tránh cho hệ thống bảo mật. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 24 CHƢƠNG 2 : MÔ HÌNH THIẾT KẾ VÀ CÀI ĐẶT HỆ THỐNG 1. - Trục ngoài và trục trong kết nối với nhau thông qua MQ, trục ngoài gửi vào trục trong thông qua port 1515, trục trong gửi ra trục ngoài thông qua port Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 25 1717, các thiết bị được cấu hình ip như trên hình. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 26 - Khả năng tùy biến: bằng việc định nghĩ các parameters và policies, người quản trị có thể sử dụng tính năng của PureApplication System để mở rộng quy mô của các ứng dụng tùy theo tải của hệ thống. - 1.4Chi tiết thiết kế trục trong Trục tích hợp vùng nội bộ của Tổng cục thuế được triển khai trên hệ thống PureApplication của IBM, sử dụng Message Queue Partern Application và IBM Integration Bus Partern Application. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 29 ESB.EXT.QMGRGDT Internal ESBMQINT01Active MQ PatternESB.INT.QMGRGPFS Client MQINT02Standby MQ PatternESB.INT.QMGRGPFS ClientIBM GPFSIIBINT01Active IIB PatternIIBINT02Active IIB PatternMulti-InstanceReceiver ChannelSender ChannelMQMQESB DatabaseOracle RACttdl-esbMON01ttdl-esbMON02GSTH WebAppLoad BalancerWSỨng dụng trong ngành vùng nội bộHTTPGPFS ServiceMQTMSSAP AdapterSAP AdapterShared DiskIBM MQ dataIBM MQ Logs Hình 2.3 Mô hình logic trục trong Trục tích hợp vùng trong gồm hai thành phần chính. - 1.5Đặc tả mô hình kiến trúc trục trong Mô hình thiết kế kiến trúc trục trong được minh họa theo hình 2.4 Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 30 Internal ESB (PureApplication)QLACGIPTPHTMSNTKWS / MQTDTT-TNMTMQTTXLMQDKT2009MQDKTPNNMQGiám sátTTRMQLPTBMQBCTCMQQLACMQNTKNTKCục thuếChi cục thuếTổng cục thuếLDAPMQMQNode02(Standby)IIBNode01(Active)IIBNode02(Active)MQNode01(Active)F5MQ ODBCMQSAPIBM GPFSShared DiskWebHDIntraMQiHTKKWS / MQMQTTR TPRMQMQTPS IntraMQQLTDMQEXTERNAL ESBServices 2 Hình 2.4: Mô hình kiến trúc trục trong Trục tích hợp vùng nội bộ: Phục vụ trao đổi các ứng dụng trong nội bộ ngành thuế và xứ lý các yêu cầu được gửi tới từ Trục tích hợp vùng ngoài. - VD: Kiểm tra định dạng gói tin, có cắt phần thân gói tin khi lưu vào Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 31 STT Tên luồng xử lý Mô tả database hay không, gửi đến một hay nhiều ứng dụng nhận cùng lúc…vv 2. - iHTKKFlow Luồng này có chức năng đón những gói tin từ hệ thống IHTKK sau đó gửi đến đầu ứng dụng nhận tương ứng. - TMSInFlow Luồng này có chức năng đón những gói tin từ hệ thống TMS sau đó gửi đến đầu ứng dụng nhận tương ứng. - TMSOutFlow Luồng này có chức năng đón những gói tin từ ứng dụng và gửi đến hệ thống TMS 5. - TMSTphFlow Luồng này có chức năng đón những gói tin từ hệ thống TMS sau đó gửi tới hệ thống TPH 6. - QLT_NTKFlow Luồng này có chức năng đón những gói tin từ cục thuế các tỉnh và gửi đến hệ thống TMS, BTC_TCT, QLAC_xtinh 7. - TMSSoThueFlow Luồng này có chức năng đón những gói tin Sổ thuế từ hệ thống TMS sau đó gửi tới hệ thống GIP. - ReplyMsgFlow Luồng này có chức năng xử lý và gửi các gói tin Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 32 STT Tên luồng xử lý Mô tả phản hồi truyền nhận từ ứng dụng nhận đến ứng dụng gửi. - LogReceiverFlow Luồng này có chức năng lưu thông tin gói tin sau khi đã xử lý và gửi đến đầu ứng dụng nhận thành công vào database của hệ thống Trục tích hợp. - LogReplyFlow Luồng này có chức năng lưu thông tin gói tin phản hồi từ ứng dụng nhận về cho ứng dụng gửi vào database của hệ thống Trục tích hợp. - LogSenderFlow Luồng này có chức năng lưu thông tin gói tin được gửi đến hệ thống Trục tích hợp thành công vào database của hệ thống Trục tích hợp. - RetryLogReceiverFlow Khi các gói tin được xử lý và gửi đến đầu ứng dụng nhận thành công, nhưng hệ thống không thể ghi lại thông tin do mất kết nối với Database. - RetryLogReplyFlow Khi các gói tin phản hồi của ứng dụng gửi được xử lý và gửi cho đầu ứng dụng nhận thành công, nhưng hệ thống không thể ghi lại thông tin do mất kết nối với Database. - Các gói tin đó sẽ tự động được đẩy đến luồng xử lý này và sẽ ghi lại thông Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 33 STT Tên luồng xử lý Mô tả tin khi kết nối với Database được khôi phục. - RetryLogSenderFlow Khi các gói tin được gửi đến hệ thống Trục tích hợp thành công, nhưng hệ thống không thể ghi lại thông tin do mất kết nối với Database. - GIPFlow Luồng này có chức năng tự động lấy các gói tin gửi đến hệ thống GIP và lưu vào database của hệ thống GIP 24. - Toàn bộ thông tin trao đổi giữa các ứng dụng tại vùng này được thực hiện bằng 12 services triển khai trên Datapower service gateway: Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 36 Bảng 2.2 :Thống kê các Webservice Proxy trên trục ngoài STT Tên Service Mô tả ExtInMPG Service có nghiệm vụ xử lý truyền nhận với 1 số ứng dụng ngoài ngành thuế. - GIP_NPT_WSP Webservice Proxy này có chức năng nhận những truy vấn về thông tin Người phụ thuộc từ ứng dụng gửi (ví dụ TPS) sau đó gửi đến ứng dụng GIP và phản hồi kết quả lại cho ứng Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 37 STT Tên Service Mô tả dụng truy vấn. - Giới thiệu và đưa ra nhận xét, đánh giá về mô hình thiết kế hệ thống trục tích hợp. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 40 CHƢƠNG 3 : VẬN HÀNH VÀ ĐÁNH GIÁ HỆ THỐNG 1. - Khi tài nguyên hệ thống đầy sẽ có biện pháp đưa ra để khắc phục. - Ở mức độ này mọi công việc thực hiện trên máy chủ Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 41 đều xử lý rất chậm và hệ thống Trục tích hợp cũng vì đó mà bị hảnh hưởng. - Việc này cũng khiến hệ thống ESB ảnh hưởng. - Bước 1: Truy cập lần lượt vào các máy chủ vận hành hệ thống Internal ESB. - Nhận xét - Với những file Log lỗi có nội dung không nghiêm trọng như: Gói tin sai Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 42 định dạng ngày tháng, kết nối với ứng dụng nhận tạm thời bị gián đoạn…, cần thông báo với các đầu ứng dụng liên quan để tiến hành khắc phục. - Bước 4: Dựa trên mỗi mô hình triển khai của ứng dụng trên hệ thống ESB mà có những cách kiểm tra khác nhau. - Hiện tại đang có 2 mô hình Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 43 chính được thực hiển triển khai trên hệ thống ESB đó là: Client to Server và Server to Server. - Server-connection: Kênh được tạo ra để ứng dụng kết nối gửi và nhận gói tin từ hệ thống ESB. - Với mô hình Server to Server: tiến hành kiểm tra cả 2 kênh truyền đó là sender channel và receiver channel Sender channel: Kênh gửi gói tin từ hệ thống ESB đến đầu ứng dụng. - Receiver channel: Kênh nhận gói tin từ đầu ứng dụng được gửi đến hệ thống ESB. - Inactive: Kênh truyền nhận đang trong trạng thái chờ xử lý, tức chờ ứng dụng tương ứng kết nối đến hệ thống ESB và lấy các gói tin về. - Retrying: Cố gắng kết nối lại với ứng dụng tương ứng (chỉ xảy ra với Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 44 sender channel và receiver channel. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 45 - Bước 2 : Mở trình duyệt nhập đường dẫn : htttp://host:port. - Bước 4 : Mở rộng các ứng dụng chọn phần Message Flows để view trạng thái của các messge flow Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 46 Nhận xét : Trạng thái các message flow phải luôn xanh để đảm bảo đang running. - Bước 1: Đăng nhập vào máy chủ trung gian, mở trình duyệt web truy cập vào trang quản trị của thiết bị MQ Appliance (trục ngoài - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 47 - Bước 2: Từ giao diện của MQ Console, chọn Add widget ->Chart. - Ở mức độ này mọi công việc thực hiện trên máy chủ đều xử lý rất chậm và hệ thống Trục tích hợp cũng vì đó mà bị hảnh Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 48 hưởng. - Tránh tình trạng bị gián đoạn do kết nối giữa hai hệ thống có vấn đề. - Confirm Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 49 - Bước 4: Tiến hành kiểm tra kết quả. - Với trường hợp hai hệ thống Internal ESB và External ESB bị mất kết nối Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 50 với nhau, cần tiến hành kiểm tra và khắc phục sớm nhất có thể. - Phục vụ việc đọc ghi các file cần thiết của hệ thống Trục tích hợp. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 51. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 52 - Bước 3: Tiến hành kiểm tra số lượng gói tin còn đọng trên queue out của các ứng dụng. - Bước 1: Truy cập vào máy chủ trung gian, mở trình duyệt web truy cập Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 53 vào trang quản trị của thiết bị MQ Appliance - Bước 2: Từ giao diện của MQ Console, chọn Add widget. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 54 - Bước 4: Dựa trên mỗi mô hình triển khai của ứng dụng trên hệ thống ESB mà có những cách kiểm tra khác nhau. - Sender channel: Kênh gửi gói tin từ hệ thống ESB đến đầu ứng dụng. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 55 - Inactive: Kênh truyền nhận đang trong trạng thái chờ xử lý, tức chờ ứng dụng tương ứng kết nối đến hệ thống ESB và lấy các gói tin về. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 56 - Bước 3: Thực hiện các thao tác kiểm tra như sau. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 57 - Ở giao diện khác sau khi chọn Webservice proxy , chọn “View Status” để xem trạng thái từng tiến trình con liên quan trong Webservice proxy vừa chọn. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 58 Nhận xét : Khi trạng thái của các Webservice proxy đều ở trạng thái “Up. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 59 - Hoặc tìm kiếm trên thanh công cụ. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 60 - Sau đó là giao diện hiển thị trạng thái của các tiến trình con. - 1.9.3 Kiểm tra các Services Web Application Firewall Công việc này giúp đảm bảo các Services trên hệ thống Trục tích hợp luôn hoạt động để phục vụ các thao tác nghiệp vụ, truyền nhận dữ liệu có liên quan. - Các bước thực hiện: Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 61 - Bước 1: Đăng nhập vào máy chủ trung gian - Bước 2: Bật trình duyệt và tiến hành tiến hành truy cập vào lần lượt 1 trong 2 địa chỉ. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 62 - Ở đây các Services được hiển thị rất tường minh trên giao diện. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 63 - Sau đó là giao diện hiển thị trạng thái của các tiến trình con. - Tiến hành chọn lần lượt từng Https Front Side Handler để Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 64 kiểm tra. - Trong chương 3, tác giả đã đề cập đến một số vấn đề cơ bản của đề tài như sau: Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 65 Các bước vận hành hệ thống trục tích hợp Kiểm tra và đưa ra những nhận xét về hệ thống Việc vận hành đã chứng minh được phần nào việc hệ thống ESB là tối ưu về mọi mặt. - Hệ thống trục tích hợp là không thể thiếu khi triển khai một hệ thống tích hợp truyền dữ liệu, bảo mật ở hiện tại và trong tương lai gần. - Nghiên cứu về các phương pháp tấn công và phòng tấn công hệ thống. - Nghiên cứu về hệ thống truc tích hợp của tổng cục qua đó làm chủ hệ thống bảo mật CSDL và có thể tùy biến nâng cấp hệ thống khi cần thiết. - Các nghiên cứu, thử nghiệm trong luận văn đã đáp ứng được cơ bản về kiến thức đối với hệ thống trục tích hợp của tổng cục thuế. - Là cơ sở để tăng cường hiệu quả khi triển khai hệ thống náy trên thực tế. - Đề tài: Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Trang 67 Em xin chân thành cảm ơn
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt