Tải bản đầy đủ (.doc) (69 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Nghiên cứu và triển khai bảo mật hệ thống Elearning cho Trường Đại học Điện lực

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.55 MB, 69 trang )

LỜI MỞ ĐẦU
 Lý do lựa chọn đề tài
Trong xã hội toàn cầu hóa ngày nay, học tập là nhu cầu cần thiết trong mỗi con
người, học tập không chỉ đứng vững trong môi trường việc làm với nhiều cạnh tranh
mà còn giúp nâng cao kiến thức văn hóa, xã hội của mỗi người. Chúng ta cần học
những kỹ năng mới, đồng thời bồi dưỡng nâng cao những kỹ năng sẵn có và tìm ra
những cách thức mới và nhanh hơn để học những kỹ năng này.
Nền kinh tế thế giới đang bước vào giai đoạn kinh tế tri thức. Vì vậy, việc nâng
cao hiệu quả chất lượng giáo dục, đào tạo sẽ là nhân tố quyết định sự tồn tại và phát
triển của mỗi quốc gia, công ty, gia đình và cá nhân. Hơn nữa, việc học tập không chỉ
bó gọn trong việc học phổ thông, học đại học mà là học suốt đời. E-learning chính là
một giải pháp hữu hiệu giải quyết vấn đề này.
Cùng với sự phát triển mạnh mẽ của hệ thống E-learning thì vấn đề bảo vệ an
toàn và toàn vẹn dữ liệu cho hệ thống này cũng được ra đời và chú trọng phát triển.
Điều này dẫn đến nhu cầu lớn về xây dựng bảo mật cho hệ thống E-learning. Xây
dựng bảo mật cho hệ thống E-learning hiện đang phát triển và có tiềm năng để đáp
ứng nhu cầu giảng dạy và học tập của mọi người.
Hiện nay Trường Đại học Điện lực cũng đã đưa hình thức học tập E-learning vào
trong giảng dạy. Bắt đầu từ năm 2012 với 1 môn đến nay đã có 5 môn được đưa vào
giảng dạy trên hệ thống E-learning và sẽ còn tiếp tục phát triển trong một vài năm tới.
Khi hệ thống phát triển càng lớn thì vấn đề bảo mật càng được chú trọng trong các vấn
đề phát triển hàng đầu của hệ thống E-learning.
Với đề tài này em xin được trình bày về một số hình thức tấn công và các yêu
cầu bảo mật cho hệ thống E-learning, từ đó đưa ra một số phương pháp bảo vệ và nâng
cao chất lượng hệ thống, đảm bảo duy trì hệ thống hoạt động liên tục và ổn định.
Tên đề tài
:
“Nghiên cứu và triển khai bảo mật hệ thống E-learning cho
Trường Đại học Điện lực”.
 Nội dung báo cáo gồm 4 chương:
Chương 1: Giới thiệu tổng quan về hệ thống E-learning.


Chương 2: Các vấn đề bảo mật cho hệ thống E-learning .
Chương 3: Các vấn đề bảo mật cho Moodle.
Chương 4: Triển khai mô hình bảo mật hệ thống E-learning cho Trường Đại học
Điện lực.
LỜI CẢM ƠN
Trong quá trình thực tập này, em luôn nhận được sự hướng dẫn, chỉ bảo tận tình
của ThS. Lê Hoàn – người đã trực tiếp hướng dẫn và định hướng giúp em có thể nhanh
chóng tiếp cận, nắm bắt kiến thức và hoàn thành đề tài “Nghiên cứu và triển khai bảo
mật hệ thống E-learning cho Trường Đại học Điện lực”.
Em xin gửi lời cảm ơn tới khoa Công Nghệ Thông Tin - Trường Đại học Điện
lực đã tạo điều kiện thuận lợi cho em trong suốt quá trình học tập tại trường.
Em xin gửi lời cảm ơn tới toàn thể thầy cô giáo trong khoa Công Nghệ Thông
Tin - Trường Đại học Điện lực đã tận tình giảng dạy và truyền đạt cho em những kiến
thức, kinh nghiệm quý báu trong suốt những năm học vừa qua.
Xin cảm ơn những bạn bè trong tập thể lớp D4-CNTT cùng những người bạn
trong khoa Công Nghệ Thông Tin đã chung vai sát cánh bên em vượt qua những khó
khăn, thử thách của quãng đời sinh viên, cùng nhau vững bước trên con đường học tập
đầy gian nan, vất vả.
Cuối cùng em xin gửi lời cảm ơn tới bố mẹ, gia đình của em, những người luôn
miệt mài chăm lo, an ủi, động viên em những lúc khó khăn và luôn giành cho em
những tình cảm đặc biệt nhất.
Em xin chân thành cảm ơn !
Hà nội, ngày 24 tháng 12 năm 2013
Sinh viên thực hiện
Trần Văn Hải
MỤC LỤC
LỜI MỞ ĐẦU
Trang
LỜI MỞ ĐẦU 1
LỜI CẢM ƠN 3

MỤC LỤC 4
DANH MỤC HÌNH ẢNH 8
DANH MỤC BẢNG BIỂU 10
DANH MỤC TỪ VIẾT TẮT 11
CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ HỆ THỐNG ELEARNING 1
CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ HỆ THỐNG ELEARNING 1
1.1 Tổng quan về E-learning 1
Hình 1.1: Sự phát triển của truyền thông 1
Hình 1.2: Mô hình hệ thống E-learning 2
1.2 Lựa chọn công nghệ áp dụng vào E-learning 5
1.3 Kết luận chương 1 9
CHƯƠNG 2: CÁC VẤN ĐỀ BẢO MẬT CHO HỆ THỐNG E-LEARNING 10
CHƯƠNG 2: CÁC VẤN ĐỀ BẢO MẬT CHO HỆ THỐNG E-LEARNING 10
1.4 Các yêu cầu bảo mật đối với hệ thống E-Learning.[3] 10
1.5 Các kiểu tấn công đối với hệ thống Elearning 11
Hình 2.1: Môi trường E-learning 12
Kẻ tấn công: Trong thực tế, rất khó để trả lời ai là kẻ có khả năng tấn công hệ
thống e-learning và khả năng của họ có được. Kẻ tấn công có thể có nhiều dạng
khác nhau. Một số trong số họ có thể tấn công được. Những người khác có thể là
không đủ năng lực để sử dụng hợp pháp hệ thống. Kẻ tấn công có hành động cố ý
được chia thành nhiều loại: hacker, cracker 12
Tài nguyên: Một tài nguyên có thể là bất kỳ yếu tố nào của hệ thống e-learning
cung cấp các chức năng quan trọng. Bất kỳ mối đe dọa có thể được xác định một
phần là các tài sản mà kẻ tấn công muốn có được khi truy cập vào. Tất nhiên mục
tiêu của các giải pháp bảo vệ không phải là để loại bỏ các tài nguyên mà là để bảo
vệ chúng. Tuy nhiên, để bảo vệ tài nguyên trước hết phải xác định chúng. Đối với
các hệ thống e-learning nói chung, các tài nguyên sau đây có thể là mục tiêu của
kẻ tấn công: 13
1.6 Phương pháp tiếp cận mẫu mối đe dọa AICA cho hệ thống E-learning 16
1.7 Tấn công từ chối dịch vụ - DDos 18

Hình 2.2: Tấn công ddos 18
1.8 Kết luận chương 2 20
CHƯƠNG 3: CÁC VẤN ĐỀ BẢO MẬT CHO MOODLE 21
CHƯƠNG 3: CÁC VẤN ĐỀ BẢO MẬT CHO MOODLE 21
1.9 Các cơ chế bảo mật hiện tại của moodle 21
Moodle đưa ra các quy định về bảo vệ tài khoản trên hệ thống: 21
Các bài giảng đều được đóng gói dưới dạng chuẩn SCORM làm cho tất cả các
nội dung phù hợp với một mức độ kỹ thuật nào đó để xử lý tốt hơn. Chuẩn đóng
gói giúp cho nội dung của các bài học, môn học … không phụ thuộc vào hệ thống
quản trị nội dung học tập 21
1.10 Công nghệ Clustering [6] 22
Hình 3.1: Giới thiệu clustering 22
Hình 3.2: Hệ thống cluster có 2 ứng dụng hoạt động song song trên mỗi node. .24
Hình 3.3: Hai hệ thống cluster độc lập chứa 2 ứng dụng khác nhau 25
Hình 3.4: Hai node Active được dự phòng bởi node Passive 25
1.11 Sử dụng công nghệ Load balancing dựa trên HAProxy và Keepalived 27
Web server 27
Database Server 27
Proxy server (Load Balancing) 27
Hình 3.5: Mô hình giải pháp sẵn sàng cao và cân bằng tải cho website 28
Hình 3.6: Mô hình 1 server – load balancing 30
Hình 3.7: Mô hình 2 server – load balancing 31
Cài epel : 33
Cấu hình keepalived: sửa nội dung file hệ thống: 33
Cấu hình haproxy : sửa nội dung file 34
Hình 3.8: Sửa file cấu hình HAProxy 34
Hình 3.9: Cài đặt Keepalived 35
Hình 3.10: Cài đặt HAProxy 35
1.12 Đồng bộ dữ liệu giữa hai Server 35
Hình 3.11: Dữ liệu cần đồng bộ 36

Hình 3.12: Đăng nhập bằng tài khoản root 37
Hình 3.13: Tạo thêm user đăng nhập 37
Hình 3.14: Kiểm tra thời điểm bắt đầu của slave 37
Hình 3.15: Sửa nội dung file my.cnf trên server2 38
Trong đó: 39
1.13 Bảo mật thông qua file cấu hình csf 40
1.14 Cài đặt Mod Security 43
Hình 3.16: Mô hình tổng quan của ModSecurity 43
Hình 3.17: Quá trình xử lý các request của Apache và ModSecurity 44
1.15 Kết luận chương 3 45
CHƯƠNG 4: TRIỂN KHAI MÔ HÌNH BẢO MẬT HỆ THỐNG ELEARNING
CHO TRƯỜNG ĐẠI HỌC ĐIỆN LỰC 46
CHƯƠNG 4: TRIỂN KHAI MÔ HÌNH BẢO MẬT HỆ THỐNG ELEARNING
CHO TRƯỜNG ĐẠI HỌC ĐIỆN LỰC 46
1.16 Khái quát về Trường Đại học Điện lực 46
1.17 Các yêu cầu về cơ sở hạ tầng 46
Các yêu cầu đối với Moodle như sau: 48
1.18 Kết quả thực nghiệm 48
Hình 4.1: Hệ thống khi ổn định 48
Hình 4.2: Hệ thống khi bị tấn công 48
Hình 4.3: Cài đặt HAProxy và Keepalived 49
Hình 4.4: Khi 2 server cùng hoạt động bình thường 49
Hình 4.5: Khi server thứ nhất gặp sự cố 50
Hình 4.6: Khi server thứ hai gặp sự cố 50
Hình 4.7: Cơ sở dữ liệu trên server thứ nhất 51
Hình 4.8: Cơ sở dữ liệu trên server thứ hai 51
Hình 4.9: Tạo thêm cơ sở dữ liệu trên server thứ nhất 52
Hình 4.10: Xóa bảng trên server thứ 2 52
Hình 4.11: Cập nhật lại cơ sở dữ liệu trên server thứ nhất 53
Hình 4.12: Nội dung website trên server thứ nhất 53

Hình 4.13: Nội dung website trên server thứ nhất 2 53
Hình 4.14: Các file – tệp trên 2 server khi đã đồng bộ 54
Hình 4.15: Thay đổi nội dung website trên server thứ nhất 54
Hình 4.16: Nội dung website trên server thứ 2 bị thay đổi 55
1.19 Kết luận chương 4 55
KẾT LUẬN 56
KẾT LUẬN 56
TÀI LIỆU THAM KHẢO 57
TÀI LIỆU THAM KHẢO 57
DANH MỤC HÌNH ẢNH
Hình 1.1:Sự phát triển của truyền thông 1
Hình 1.2:Mô hình hệ thống E-learning 2
Hình 2.1:Môi trường E-learning 12
Hình 2.2:Tấn công ddos 18
Hình 3.1:Giới thiệu clustering 22
Hình 3.2:Hệ thống cluster có 2 ứng dụng hoạt động song song trên mỗi node 24
Hình 3.3:Hai hệ thống cluster độc lập chứa 2 ứng dụng khác nhau 25
Hình 3.4:Hai node Active được dự phòng bởi node Passive 25
Hình 3.5:Mô hình giải pháp sẵn sàng cao và cân bằng tải cho website 28
Hình 3.6:Mô hình 1 server – load balancing 30
Hình 3.7:Mô hình 2 server – load balancing 31
Hình 3.8:Sửa file cấu hình HAProxy 34
Hình 3.9:Cài đặt Keepalived 35
Hình 3.10:Cài đặt HAProxy 35
Hình 3.11:Dữ liệu cần đồng bộ 36
Hình 3.12:Đăng nhập bằng tài khoản root 37
Hình 3.13:Tạo thêm user đăng nhập 37
Hình 3.14:Kiểm tra thời điểm bắt đầu của slave 37
Hình 3.15:Sửa nội dung file my.cnf trên server2 38
Hình 3.16:Mô hình tổng quan của ModSecurity 43

Hình 3.17:Quá trình xử lý các request của Apache và ModSecurity 44
Hình 4.1:Hệ thống khi ổn định 48
Hình 4.2:Hệ thống khi bị tấn công 48
Hình 4.3:Cài đặt HAProxy và Keepalived 49
Hình 4.4:Khi 2 server cùng hoạt động bình thường 49
Hình 4.5:Khi server thứ nhất gặp sự cố 50
Hình 4.6:Khi server thứ hai gặp sự cố 50
Hình 4.7:Cơ sở dữ liệu trên server thứ nhất 51
Hình 4.8:Cơ sở dữ liệu trên server thứ hai 51
Hình 4.9:Tạo thêm cơ sở dữ liệu trên server thứ nhất 52
Hình 4.10:Xóa bảng trên server thứ 2 52
Hình 4.11:Cập nhật lại cơ sở dữ liệu trên server thứ nhất 53
Hình 4.12:Nội dung website trên server thứ nhất 53
Hình 4.13:Nội dung website trên server thứ nhất 2 53
Hình 4.14:Các file – tệp trên 2 server khi đã đồng bộ 54
Hình 4.15:Thay đổi nội dung website trên server thứ nhất 54
Hình 4.16:Nội dung website trên server thứ 2 bị thay đổi 55
DANH MỤC BẢNG BIỂU
1.1.1.1.1.1.Các trường Đại học trên thế giới đang áp dụng E-learning vào trong giảng
dạy. 3
2.1.1.1.1.1.Bảng tóm tắt các khía cạnh AICA và các cuộc tấn công độc lập 17
DANH MỤC TỪ VIẾT TẮT
Từ viết
tắt
Diễn giải
Từ viết
tắt
Diễn giải
AICA
Alliance of International

Corporate Advisors
MOODLE
Modular Object-Oriented
Dynamic Learning
Environment
API
Application programming
interface
MS Mircrosoft
CBT Computer-Based Training NEC Nippon Electric Company
CMS Course Management System NLB Network Load Balancing
CNTT Công nghệ thông tin NTT
Nippon Telegraph and
Telephone
CPU Central processing unit OSS Open Source Software
CSDL Cơ sở dữ liệu PHP Hypertext Preprocessor
CSF
Config Server Security
Firewall
RAM Random Access Memory
DDos
Distributed Denial of
Service
RAS
Reliability-Availability-
Scalability
DHCP
Dynamic Host Configuration
Protocol
SAN Storage Area Network

DMZ Demilitarized Zone SAP
System Analysis and
Program Development
DNS Domain Name System SQL
Structured Query
Language
DOS Disk Operating System TBT
Technology-Based
Training
FTP File Tranfer Protocol TCP
Transmission Control
Protocol
GD&DT Giáo dục và đào tạo TPHCM Thành phố Hồ Chí Minh
HDD Hard disk drive UDP User Datagram Protocol
HĐH Hệ điều hành UK United Kingdom
HTML
Hyper Text Markup
Language
URL Uniform Resource Locator
HTTPS
Hypertext Transfer Protocol
Secure
VLE
Virtual Learning
Environment
IBM
International Business
Machines
VPN Virtual Private Network
ISO

International Organization
for Standardization
WAMP
WebSocket Application
Messaging Protocol
LAN Local Area Network WAN Wide area network
LB Load Balancing WBT Web-Based Training
LCMS
Liquid chromatography–
mass spectrometry
XML
eXtensible Markup
Language
LFD
Laboratory for Fluorescence
Dynamics
XSS Cross Site Scripting
LMS
Learning management
system
HA
High-availability
MBA
Master of Business
Administration
1
CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ HỆ THỐNG ELEARNING
1.1 Tổng quan về E-learning
1.1.1 Giới thiệu
Trong xã hội toàn cầu hóa ngày nay, học tập là việc cần làm trong suốt cuộc đời

không chỉ để đứng vững trong thị trường việc làm đầy cạnh tranh mà còn giúp nâng
cao kiến thức văn hóa và xã hội của mỗi người. Chúng ta cần học những kỹ năng mới,
đồng thời bồi dưỡng nâng cao những kỹ năng sẵn có và tìm ra những cách thức mới và
nhanh hơn để học những kỹ năng này.
Nền kinh tế thế giới đang bước vào giai đoạn kinh tế tri thức. Vì vậy, việc nâng
cao hiệu quả chất lượng giáo dục, đào tạo sẽ là nhân tố sống còn quyết định sự tồn tại
và phát triển của mỗi quốc gia, công ty, gia đình và cá nhân. Hơn nữa, việc học tập
không chỉ bó gọn trong việc học phổ thông, học đại học mà là học suốt đời. E-learning
chính là một giải pháp hữu hiệu giải quyết vấn đề này.
E-Learning (viết tắt của Electronic Learning), E-learning là một thuật ngữ dùng
để mô tả việc học tập và đào tạo dựa trên công nghệ thông tin và truyền thông. [1]
Hình 1.1: Sự phát triển của truyền thông
E-learning là một thuật ngữ thu hút được sự quan tâm, chú ý của rất nhiều người
hiện nay. Tuy nhiên, mỗi người hiểu theo một cách khác nhau và dùng trong các ngữ
cảnh khác nhau. Do đó, chúng ta sẽ tìm hiểu các khía cạnh khác nhau của E-learning.
Điều này sẽ đặc biệt có ích cho những người mới tham gia tìm hiểu lĩnh vực này.
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
2
E-learning là một phương pháp hiệu quả và khả thi, tận dụng tiến bộ của phương
tiện điện tử, internet để truyền tải các kiến thức và kĩ năng đễn những người học là cá
nhân và tổ chức ở bất kì nơi nào trên thế giới tại bất kì thời điểm nào. Với các công cụ
đào tạo truyền thông phong phú, cộng đồng người học online và các buổi thảo luận
trực tuyến, E-learning giúp mọi người mở rộng cơ hội tiếp cận với các khóa học và
đào tạo nhưng lại giúp giảm chi phí.
Mô hình hệ thống E-learning: bao gồm 3 phần chính
Hình 1.2: Mô hình hệ thống E-learning
- Hạ tầng truyền thông và mạng: Bao gồm các thiết bị đầu cuối người dùng (học
viên), thiết bị tại các cơ sở cung cấp dịch vụ, mạng truyền thông,
- Hạ tầng phần mềm: Các phần mềm LMS, LCMS, Authoring Tools
(Aurthorware, Toolbook, )

- Nội dung đào tạo (hạ tầng thông tin): Phần quan trọng của E-learning là nội
dung các khoá học, các chương trình đào tạo, các courseware.
1.1.2 Hiện trạng phát triển và sử dụng E-Learning trên thế giới
E-Learning, hình thức học trực tuyến rất phổ biến ở các nước có nền công nghệ
phát triển, với nhiều môn học cũng như trung tâm đào tạo; tại Mỹ: Khoảng 80%
trường ĐH sử dụng phương pháp đào tạo trực tuyến, có khoảng 35% các chứng chỉ
trực tuyến được chính thức công nhận; tại Singapore: Khoảng 87% trường Đại học sử
dụng phương pháp đào tạo trực tuyến; tính đến năm 2005, tại Hàn Quốc đã có 9
trường Đại học trực tuyến trên mạng.
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
3
Hiện nay có nhiều công ty lớn đầu tư vào eLearning, nổi bật là các công ty như
SAP, Click2Learn, Docent, Saba, IBM, Oracle, NTT, NEC. Năm 2002, thị trường này
đã đạt 13,5 tỷ USD, năm 2006, eLearning đạt tới 100 tỷ USD. Người ta dự tính, đến
năm 2010 eLearning trên toàn cầu đạt 500 tỷ USD. Ở các nước công nghiệp phát triển,
điển hình là Mỹ, lĩnh vực này đang phát triển rất nhanh. Thị trường eLearning ở Mỹ đã
đạt 10,3 tỷ USD vào năm 2002 và đạt 83,1 tỷ USD vào năm 2006. Tại châu Á, thị
trường này tăng trưởng 25% mỗi năm (đạt 6,2 tỷ USD). [2]
1.1.1.1.1.1. Các trường Đại học trên thế giới đang áp dụng E-learning vào trong
giảng dạy.
1.1.3 Hiện trạng phát triển và sử dụng E-Learning tại Việt Nam
Các nhà lãnh đạo cấp cao của Việt Nam khẳng định rằng, giáo dục là một trong
những ngành được ưu tiên cao nhất và được hưởng các nguồn đầu tư cao nhất nhằm
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
4
nâng cao chất lượng giáo dục trong những năm tới. Với nỗ lực này, Việt Nam đã quyết
định kết hợp công nghệ thông tin vào tất cả mọi cấp độ giáo dục nhằm đổi mới chất
lượng học tập trong tất cả các môn học và trang bị cho lớp trẻ đầy đủ các công cụ và
kỹ năng cho kỷ nguyên thông tin.
Học trực tuyến (eLearning) là phương pháp học có chi phí thấp, khả năng đem lại

cơ hội học tập bình đẳng cho tất cả mọi người ở bất kỳ địa điểm nào. Chi phí sinh hoạt
tại các khu vực thành thị nhỏ thấp hơn nhiều so với tại các thành phố lớn như Hà Nội
hoặc Thành phố Hồ Chí Minh và giải pháp đào tạo trực tuyến là một giải pháp hữu
hiệu để phổ cập giáo dục cho các vùng như vậy. Vậy, giải pháp đào tạo trực tuyến
(eLearning) có thể xoá bỏ khoảng cách giữa những người dân sống tại thành phố lớn
với những người dân sống tại những vùng khó khăn về điều kiện kinh tế và xã hội về
quyền được học tập. Tuy nhiên, ở Việt Nam, hình thức đào tạo này còn khá mới lạ đối
với mọi người và cũng chỉ tồn tại ở hai lĩnh vực đó là tiếng Anh và Tin học.
Trong thời gian từ năm 2006, eLearning đã có nhiều khởi sắc, một phần là được
sự quan tâm của chính phủ, một phần là sự nỗ lực của các doanh nghiệp CNTT nghiên
cứu Elearning để đẩy mạnh nền giáo dục nước nhà. Điển hình năm 2007, trong cuộc
thi danh giá của ngành CNTT – “Nhân tài đất Việt” do Bộ Giáo dục và Đào tạo, Bộ
Khoa học và Công nghệ, Bộ Thông tin và Truyền thông đồng tổ chức đã trao tặng giải
Nhất cho giải pháp về Elearning.
Với giải pháp này, đã triển khai thành công cho một số Bộ, Ngành, Tổng công ty
lớn và các trường Đại học.
Các trường Đại học trong nước đang áp dụng E-learning vào giảng dạy:
- Khoa Công nghệ Thông tin & Truyền thông - Đại học Cần Thơ.
- Khoa quản trị kinh doanh - Đại học Đà Nẵng.
- Khoa CNTT- Đại Học Khoa Học Tự Nhiên - Đại học quốc gia TPHCM.
- Đại học Mở Bán công TPHCM.
- Viện Khoa học và Công nghệ - Phân viện TPHCM.
- Ho Chi Minh International School.
- Trung tâm Đào tạo Từ xa - Đại học Hà Nội.
- Trung tâm Tin học - Bộ GD & DT.
- Khoa Trung Quốc - Đại học Hà Nội.
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
5
- Đại học Công Nghệ - Đại học quốc gia Hà Nội.
- Khoa quản trị và du lịch - Đại học Hà Nội.

1.1.4 Lợi ích của đào tạo trực tuyến
Đào tạo mọi lúc mọi nơi: Truyền đạt kiến thức theo yêu cầu, thông tin đáp ứng
nhanh chóng. Học viên có thể truy cập các khoá học bất kỳ nơi đâu như văn phòng làm
việc, tại nhà, tại những điểm Internet công cộng, 24 giờ một ngày, 7 ngày trong tuần.
Đào tạo bất cứ lúc nào bất cứ nơi đâu họ muốn.
Tiết kiệm chi phí: Giúp giảm khoảng 60% chi phí bao gồm chi phí đi lại và chi
phí tổ chức địa điểm. Học viên chỉ tốn chi phí trong việc đăng kí khoá học và có thể
đăng kí bao nhiêu khoá học mà họ cần.
Tiết kiệm thời gian: giúp giảm thời gian đào tạo từ 20-40% so với phương pháp
giảng dạy truyền thống do rút giảm sự phân tán và thời gian đi lại.
Uyển chuyển và linh động: Học viên có thể chọn lựa những khoá học có sự chỉ
dẫn của giảng viên trực tuyến hoặc khoá học tự tương tác (Interactive Self-pace
Course), tự điều chỉnh tốc độ học theo khả năng và có thể nâng cao kiến thức thông
qua những thư viện trực tuyến.
Tối ưu: Nội dung truyền tải nhất quán. Các tổ chức có thể đồng thời cung cấp
nhiều ngành học, khóa học cũng như cấp độ học khác nhau giúp học viên dễ dàng lựa
chọn.
Hệ thống hóa: E-learning dễ dàng tạo và cho phép học viên tham gia học, dễ
dàng theo dõi tiến độ học tập, và kết quả học tập của học viên.
Với khả năng tạo những bài đánh giá, người quản lí dễ dàng biết được nhân viên
nào đã tham gia học, khi nào họ hoàn tất khoá học, làm thế nào họ thực hiện và mức
độ phát triển của họ.
1.2 Lựa chọn công nghệ áp dụng vào E-learning
1.2.1 Một số hình thức Elearning
Đào tạo dựa trên công nghệ (TBT - Technology-Based Training) là hình thức đào
tạo có sự áp dụng công nghệ, đặc biệt là dựa trên công nghệ thông tin.
Đào tạo dựa trên máy tính (CBT - Computer-Based Training). Hiểu theo nghĩa
rộng, thuật ngữ này nói đến bất kỳ một hình thức đào tạo nào có sử dụng máy tính.
Nhưng thông thường thuật ngữ này được hiểu theo nghĩa hẹp để nói đến các ứng dụng
(phần mềm) đào tạo trên các đĩa CD-ROM hoặc cài trên các máy tính độc lập, không

GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
6
nối mạng, không có giao tiếp với thế giới bên ngoài. Thuật ngữ này được hiểu đồng
nhất với thuật ngữ CD-ROM Based Training.
Đào tạo dựa trên web (WBT - Web-Based Training): là hình thức đào tạo sử
dụng công nghệ web. Nội dung học, các thông tin quản lý khoá học, thông tin về
người học được lưu trữ trên máy chủ và người dùng có thể dễ dàng truy nhập thông
qua trình duyệt Web. Người học có thể giao tiếp với nhau và với giáo viên, sử dụng
các chức năng trao đổi trực tiếp, diễn đàn, e-mail thậm chí có thể nghe được giọng
nói và nhìn thấy hình ảnh của người giao tiếp với mình.
Đào tạo trực tuyến (Online Learning/Training): là hình thức đào tạo có sử dụng
kết nối mạng để thực hiện việc học: lấy tài liệu học, giao tiếp giữa người học với nhau
và với giáo viên
Đào tạo từ xa (Distance Learning): Thuật ngữ này nói đến hình thức đào tạo
trong đó người dạy và người học không ở cùng một chỗ, thậm chí không cùng một
thời điểm. Ví dụ như việc đào tạo sử dụng công nghệ hội thảo cầu truyền hình hoặc
công nghệ web.
1.2.2 Giải pháp Vlearning
Moodle (viết tắt của Modular Object-Oriented Dynamic Learning Environment)
được sáng lập năm 1999 bởi Martin Dougiamas, người tiếp tục điều hành và phát triển
chính của dự án. Do không hài lòng với hệ thống LMS/LCMS thương mại WebCT
trong trường học Curtin của Úc, Martin đã quyết tâm xây dựng một hệ thống LMS mã
nguồn mở hướng tới giáo dục và người dùng hơn. Từ đó đến nay Moodle có sự phát
triển vượt bậc và thu hút được sự quan tâm của hầu hết các quốc gia trên thế giới và
ngay cả những công ty bán LMS/LCMS thương mại lớn nhất như BlackCT
(BlackBoard + WebCT) cũng có các chiến lược riêng để cạnh tranh với Moodle.
Moodle hiện là phần mềm được sử dụng rộng rãi, moodle rất đáng tin cậy, có
trên 10 000 site (thống kê tại moodle.org) trên thế giới đã dùng Moodle tại 160 quốc
gia và đã được dịch ra 75 ngôn ngữ khác nhau. Theo thống kê của moodle hiện tại có
68.637 trang web đã đăng ký và 67.236.883 người dùng trong 7.203.812 khóa học

(tính đến tháng 12 năm 2013).
Moodle phát triển dựa trên PHP (Ngôn ngữ được dùng bởi các công ty Web lớn
như Yahoo, Flickr, Baidu, Digg, CNET) có thể mở rộng từ một lớp học nhỏ đến các
trường đại học lớn trên 50.000 sinh viên (ví dụ đại học Open PolyTechnique của
Newzealand hoặc sắp tới đây là đại học mở Anh - Open University of UK, trường đại
học cung cấp đào tạo từ xa lớn nhất châu Âu, và đại học mở Canada, Athabasca
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
7
University). Có thể dùng Moodle với các database mã nguồn mở như MySQL hoặc
PostgreSQL. [hvaonline.org]
Có rất nhiều trường đại học danh tiếng trên thế giới họ đã dùng BlackBoard hoặc
WebCT. Sau khi moodle ra đời thì lại chuyển sang dùng moodle. Tại sao vậy ?
 Một số tổ chức - cá nhận Việt Nam sử dụng moodle:
1/ Singapore International School:
2/ Khoa Nhật - Đại học Hà Nội:
3/ Đại học Kinh tế - Đà Nẵng:
4/ Khoa Nga - Đại học Hà Nội:
5/ Khoa Công nghệ thông tin - Đại học Sư phạm TPHCM: http://it-hcmute.
dyndns.org/
6/ Đại học Công Nghệ - Đại học quốc gia Hà Nội: .
vn/courses/
7/ Cổng bồi dưỡng giáo viên kỹ thuật:
8/ Khoa quản trị và du lịch - Đại học Hà Nội:
9/ Khoa Pháp - Đại học Hà Nội:
10/ Viện Đại học Mở Hà Nội:
11/ Đại học Xây Dựng Hà Nội:
12/ Trường cao đẳng Đông Á:
13/ Hóa học phổ thông:
14/ Trung tâm Đào tạo Từ xa - Đại học Hà Nội:
index.php

15/ Công ty điện lực 2:
16/ EDO - Đại học Hà Nội:
17/ Trung tâm Tin học - Bộ GD & DT:
18/ Khoa Trung Quốc - Đại học Hà Nội:
19/ Khoa Công nghệ Thông tin & Truyền thông - Đại học Cần Thơ: http://elcit.
ctu.edu.vn/
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
8
20/ Khoa quản trị kinh doanh - Đại học Đà Nẵng:
elearning/
21/ Đại học Mở Bán công TPHCM:
22/ Viện Khoa học và Công nghệ - Phân viện TPHCM: t-
hcm.ac.vn/
Vlearning được phát triển trên nền hệ thống Moodle và được tích hợp đầy đủ các
tính năng của Moodle đã được cộng đồng phát triển. Tuy nhiên, sản phẩm Vlearning
phát triển dựa trên các yêu cầu thực tế nhằm phù hợp với môi trương phát triển giáo
dục tại Việt Nam. Vlearning nổi bật là thiết kế hướng tới giáo dục, dành cho những
người làm trong lĩnh vực giáo dục. Vlearning thực chất là gói phần mềm thiết kế để
giúp đỡ các nhà giáo dục tạo các khóa học trực tuyến có chất lượng. Hệ thống học trực
tuyến đôi khi còn được gọi là hệ thống quản lý học tập (LMS), hệ thống quản lý khoá
học (CMS), môi trường học tập ảo (VLE), giáo dục bằng phương pháp giao tiếp qua
máy tính, hoặc chỉ đơn giản là giáo dục trực tuyến.
Một bước quan trọng mà mỗi tổ chức muốn triển khai e-Learning cần thực hiện
trước khi lựa chọn giải pháp là việc xác định được nhu cầu của tất cả các đối tượng
tham gia quá trình học tập, từ học viên, giảng viên cho đến các chuyên viên quản lý
đào tạo, chuyên viên xây dựng chương trình. Dựa vào những nhu cầu này, và tùy theo
khả năng tài chính, mô hình kinh doanh của từng đơn vị mà họ sẽ có những lựa chọn
giải pháp hợp lý cho mình. Xây dựng hệ thống dựa trên phần mềm nguồn mở. Đây là
một giải pháp khá tối ưu, giúp các đơn vị triển khai có hiệu quả và phù hợp với yêu
cầu đặc thù cho từng nội dung đào tạo mà vẫn dễ dàng phát triển, nâng cấp hệ thống

trong tương lai.
Cũng giống như e-Learning, xu hướng sử dụng và phát triển phần mềm nguồn
mở OSS (Open Source Software) đang phát triển mạnh mẽ trong những năm gần đây.
Phần mềm nguồn mở nói một cách nôm na là những phần mềm được phân phối một
cách tự do kèm theo mã nguồn và người sử dụng được phép sửa đổi những mã nguồn
đó theo mục đích cá nhân của mình mà không cần hỏi ý kiến tác giả của nó. Trong khi
đó đa số phần mềm thương mại không bán kèm theo mã nguồn. Khái niệm mã nguồn
ở đây có thể hiểu là nguyên bản những gì mà người lập trình viên viết ra để cho phần
mềm có thể hoạt động. Mã nguồn có dạng văn bản (text) và được dịch ra ngôn ngữ
máy dạng nhị phân (chỉ có 0 và 1) bằng các phần mềm biên dịch. Thông thường, nếu
không có mã nguồn thì người ta sẽ không thể chỉnh sửa, thay đổi các tính năng của
phần mềm đó. Đã có rất nhiều dự án phần mềm nguồn mở thành công, từ hệ điều hành
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
9
(GNU/Linux, FreeBSD), ứng dụng Internet (Apache, Mozilla, BIND, sendmail), ngôn
ngữ lập trình (GNU C/C++, Perl, Python, PHP), hệ quản trị cơ sở dữ liệu
(PostgreSQL, MySQL) ứng dụng văn phòng (OpenOffice) v.v
1.3 Kết luận chương 1
Trong chương này đã nêu lên được hiện trạng về nhu cầu học tập của con người.
Lợi ích của việc học trực tuyến và các giải pháp để xây dựng hệ thống học trực tuyến.
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
10
CHƯƠNG 2: CÁC VẤN ĐỀ BẢO MẬT CHO HỆ THỐNG E-LEARNING
1.4 Các yêu cầu bảo mật đối với hệ thống E-Learning.[3]
1.4.1 Các yêu cầu bảo mật cơ bản.
Để xác định người dùng hệ thống, yêu cầu phải có tài khoản (hay account) để xác
định quyền hạn của thành viên tham gia. Cơ chế này ngăn chặn những kẻ tấn công truy
cập tài khoản của người dùng khác, xem thông tin nhạy cảm hoặc để thực hiện các
hoạt động trái phép. Ngoài ra, khi đã có tài khoản người sử dụng nên thay đổi mật
khẩu của mình.

 Một số phương pháp để bảo vệ tài khoản:
+ Yêu cầu tái xác nhận trong khoảng thời gian quy định.
+ Thiết lập mật khẩu với độ bảo mật cao (bao gồm cả một số chữ in hoa, ít nhất
là một chữ số, một số ký tự đặc biệt, vv )
+ Kiểm soát truy cập dựa trên quyền hạn của tài khoản.
Người dùng sẽ được cấp tất cả các quyền cần thiết để tham gia vào hệ thống.
Bằng cách này người dùng sẽ chỉ được hoạt động trong hệ thống với quyền hạn của
mình.
Mô hình quản lý dựa vào tài khoản là một phương pháp hạn chế các truy cập trái
phép vào hệ thống, nó cho phép các nhóm xác định, người dùng trong cùng nhóm hoặc
thậm chí khác nhóm. Mô hình này cho phép điều khiển linh hoạt và chặt chẽ quyền lợi
của mỗi người dùng. Quyền truy cập các hoạt động nhất định được dựa vào một số vai
trò cụ thể (quản trị viên, biên tập viên, giảng viên, sinh viên, người sử dụng đã đăng
ký, người sử dụng không đăng ký, vv). Nhân viên (hoặc người sử dụng hệ thống khác)
được giao nhiệm vụ có vai trò đặc biệt để thực hiện các chức năng cụ thể trên hệ
thống.
Hệ thống elearning có thể có một số lượng lớn người truy cập như khách vãng
lai, sinh viên, giảng viên hay quản trị viên. Điều này yêu cầu mức độ cao hơn bảo mật.
Nó là cần thiết để phân định chặt chẽ giữa người dùng đăng kí và nhóm người dùng.
Bằng cách này người dùng chỉ được truy nhập và xem thông tin liên quan trực tiếp đến
bản thân.
Ngoài ra các thông tin như câu hỏi thi, bài kiểm tra, các kết quả đúng/sai của sinh
viên đều phải được lưu trữ để không thể sửa đổi được. Giả sử có 1 giáo viên xóa kết
quả thi của sinh viên thì sẽ phải làm như thế nào ? Trong trường hợp này chúng ta có
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
11
thể tìm được người đã xóa bằng cách sử dụng 1 file nhật ký. Hơn nữa các thông tin
đăng nhập phải đáng tin cậy và bảo mật.
1.4.2 Bảo mật trong học trực tuyến Elearning
Có rất nhiều nguồn hệ thống mở e-learning có thể được cài đặt dễ dàng và có một

cộng đồng lớn người sử dụng và các nhà phát triển. Một trong số đó là Moodle chủ
yếu thường được sử dụng.
Moodle có một tính năng quản lý khóa học mạnh mẽ bao gồm việc tạo ra những
bài học, bài tập, bài kiểm tra, tài liệu và nhiều hơn nữa. Có những mô-đun khác nhau
giúp học sinh và giáo viên tương tác với nhau như chat, diễn đàn, khảo sát, hội thảo
Các cảnh báo bảo mật đầu tiên có liên quan đến việc cài đặt nền tảng này, ví dụ
như một máy chủ WAMP (Windows, Apache, MySQL và PHP). Moodle sẽ tự động
tạo ra thư mục moodledata (trong thư mục này Moodle sẽ lưu trữ các tập tin tải lên của
người dùng, chẳng hạn như tài liệu khóa học và hình ảnh người sử dụng) nhưng nếu
thất bại thì thư mục này sẽ được tạo ra bởi người quản trị. Từ các tài liệu, chúng tôi đã
được cảnh báo để tạo ra thư mục này bên ngoài thư mục gốc của trang web. Vì vậy,
thư mục này cần được bảo vệ khỏi những truy cập trực tiếp từ trang web, không ai có
thể giả danh bất kỳ người dùng trang web nào của Moodle (bao gồm cả người sử dụng
quản trị), và tất cả các tài liệu học tập có thể được cung cấp cho các trang web nói
chung. Biện pháp phòng ngừa này có thể là một thực hành bảo mật tốt cho tất cả các
nền tảng e-learning.
1.5 Các kiểu tấn công đối với hệ thống Elearning
Trong một môi trường học tập điện tử giữa các giảng viên, học viên và dữ liệu có
thể nằm tại các vị trí địa lý khác nhau và được kết nối thông qua Internet. Các đánh giá
của người học cũng được thực hiện thông qua Internet. Điều này góp phần vào những
rủi ro bảo mật thông tin rất lớn.
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
12
Hình 2.1: Môi trường E-learning
 Các phương pháp xâm nhập từ bên ngoài vào hệ thống như:
+ XSS.
+ Cài mã độc trực tiếp vào cơ sở dữ liệu trong các trang web.
+ Thâm nhập vào hệ thống từ xa sử dụng một virus thông qua tập tin ẩn.
+ Thâm nhập vào cơ sở dữ liệu qua địa chỉ trang web.
+ Thực hiện các tìm kiếm khác nhau sử dụng công cụ tìm kiếm để lấy thông tin

cá nhân như mật khẩu, tên người dùng.
+ Lấy cắp mật khẩu sử dụng hệ thống giải mã.
+ Các chỉ mục web của trang web không nên tiết lộ những tính năng bảo mật như
tập lệnh hoặc địa chỉ kết nối cơ sở dữ liệu.
+ Dự đoán ID session của trang web.
+ Tràn bộ đệm.
+ Tấn công phá vỡ ngăn xếp.
 Các mẫu đe dọa đến các quá trình trong hệ thống e-Learning: [4]
 Kẻ tấn công: Trong thực tế, rất khó để trả lời ai là kẻ có khả năng tấn công
hệ thống e-learning và khả năng của họ có được. Kẻ tấn công có thể có nhiều dạng
khác nhau. Một số trong số họ có thể tấn công được. Những người khác có thể là
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải
13
không đủ năng lực để sử dụng hợp pháp hệ thống. Kẻ tấn công có hành động cố ý
được chia thành nhiều loại: hacker, cracker
 Tài nguyên: Một tài nguyên có thể là bất kỳ yếu tố nào của hệ thống e-
learning cung cấp các chức năng quan trọng. Bất kỳ mối đe dọa có thể được xác định
một phần là các tài sản mà kẻ tấn công muốn có được khi truy cập vào. Tất nhiên mục
tiêu của các giải pháp bảo vệ không phải là để loại bỏ các tài nguyên mà là để bảo vệ
chúng. Tuy nhiên, để bảo vệ tài nguyên trước hết phải xác định chúng. Đối với các hệ
thống e-learning nói chung, các tài nguyên sau đây có thể là mục tiêu của kẻ tấn công:
+ Nội dung học tập;
+ Nội dung chính bằng mật mã;
+ Dữ liệu cá nhân của người dùng;
+ Tin nhắn giữa người dùng với nhau;
+ Dữ liệu nhóm thành viên khác nhau;
+ Băng thông mạng;
+ Tin toàn vẹn;
+ Tin sẵn có.
1.5.1 Cross – Site Scripting ( XSS)

XSS là một trong những cuộc tấn công lớp ứng dụng web phổ biến nhất. XSS là
một kiểu khai thác lỗ hổng an ninh mạng mà ở đó cho phép kẻ tấn công chèn mã độc
vào website. Mã này có thể chứa JavaScrip hay chỉ là HTML nằm trên máy chủ web
server hoặc được chèn vào khi người dùng duyệt đến một trang web. Khi đoạn mã
được kích hoạt, kẻ tấn công có thể chiếm quyền sử dụng các trang web của bên thứ 3
hoặc sử dụng tài nguyên của máy chủ. Các cuộc tấn công XSS thường chèn mã
JavaScrip vào một dịch vụ web độc hại thực hiện trên trình duyệt web của người dùng.
Bằng việc khai thác lỗ hổng XSS, kẻ tấn công có thể xây dựng một cuộc tấn
công. Kỹ thuật này thường được sử dụng bở những kẻ tấn công với mục đích là tiêm
đoạn mã JavaScrip, VBScrip, ActiveS, HTML hoặc Flash được thực hiện trên hệ
thống của nạn nhân. Khi một cuộc tấn công được kích hoạt, tất cả mọi thứ từ lấy tài
khoản đổi các thiết lập của người sử dụng,lấy cookie hoặc quảng cáo có thể sai lệch.
Hầu hết các tác hại tiềm ẩn của kĩ thuật này đã được biết đến nhưng chúng ta mới
chỉ khắc phục được một phần của nó. Một cuộc tấn công XSS có thể gây ra những rủi
ro sau:
GVHD: ThS. Lê Hoàn SVTH: Trần Văn Hải

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×