Tải bản đầy đủ (.pdf) (63 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Sacombank security solution 2 0

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.94 MB, 63 trang )

H T T P : / / K I N H T E 2 4 H . O R G
07/14/10

Sacombank Project
DỰ ÁN XÂY DỰNG
HỆ THỐNG BẢO MẬT
C O N F I DEN T I A L T O F P T A N D S ACO M BA N K,


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page I
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

I. MỤC LỤC


I. MỤC LỤC I
II. HIỆN TRẠNG VÀ MỤC TIÊU DỰ ÁN 1
1 GIỚI THIỆU TỔNG THỂ 1
1.1 XÁC ĐịNH CÁC Kẽ Hở VÀ NGUY CƠ CủA Hệ THốNG MạNG 1
1.2 MÔ Tả CấU TRÚC TổNG QUÁT Hệ THốNG 2
1.3 PHÂN Hệ MÁY CHủ ứNG DụNG 2
2 MÔ TẢ CẤU TRÚC MẠNG SACOMBANK 2
3 CÁC MỐI ĐE DỌA TIỀM NĂNG VỚI HỆ THỐNG 5
4 PHÂN TÍCH CHÍNH SÁCH BẢO MẬT CHO SACOMBANK 6
4.1 XAC DịNH TRACH NHIệM CủA MọI NGƯờI TRONG Hệ THốNG VớI CHINH SACH BảO MậT 6
4.2 XAC DịNH CAC TAI NGUYEN CầN DƯợC BảO Vệ 7
4.3 XAC DịNH CAC MốI DE DOạ DốI VớI Hệ THốNG 7


4.4 XAC DịNH TRACH NHIệM VA MứC Dộ Sử DụNG CủA TừNG NGƯờI Sử DụNG TRONG MạNG 9
4.5 XÁC ĐịNH CÁC CÔNG Cụ Để THựC THI CÁC CHÍNH SÁCH BảO MậT 10
4.6 XÁC ĐịNH CÁC HÀNH ĐộNG KHI CHÍNH SÁCH BảO MậT Bị XÂM PHạM 10
5 ĐỀ XUẤT GIẢI PHÁP BẢO MẬT 10
6 CÔNG NGHỆ VÀ THIẾT BỊ BẢO MẬT ĐỀ NGHỊ 14
6.1 CÔNG NGHệ VÀ GIảI PHÁP FIREWALL KHUYếN NGHị 14
6.2 GIảI PHÁP FIREWALL Đề NGHị CHO SACOMBANK 19
6.3 GIảI PHÁP PHÁT HIệN VÀ CHốNG XÂM NHậP IDS 22
6.4 GIảI PHÁP PHÁT HIệN VÀ PHÒNG CHốNG VIRUS 24
6.5 GIảI PHÁP Sử DụNG INTERSCAN VIRUSWALL KHUYếN NGHị CHO SACOMBANK 27
6.6 Hệ THốNG DÒ TÌM LỗI BảO MậT KHUYếN NGHị CHO TÒAN Hệ THốNG (SCANNER) 33
III. PHÂN CHIA QUÁ TRÌNH TRIỂN KHAI 36
1. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN I 36
2. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN II 36
3. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN III 41
4. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN IV 42
4.1 Sử DụNG VPN CHO CAC KếT NốI Từ NGƯờI DUNG VA CHI NHANH VAO CAC MAY CHủ Dữ LIệU 42
4.2 MộT Số KIểU KếT NốI CủA VPN 42
4.3 Đề XUấT THIếT Kế VPN CHO MạNG SACOMBANK 45
4.4 TổNG KếT MO HINH KHUYếN NGHị TRIểN KHAI Hệ THốNG BảO Vệ MạNG SACOMBANK 47
III. ĐÁNH GIÁ GIẢI PHÁP 49

Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page II
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

IV. PHỤ LỤC 50

1 CÁC PHƯƠNG THỨC TẤN CÔNG D.O.S THÔNG THƯỜNG 50
2 PHƯƠNG THỨC TẤN CÔNG IP SPOOFING DẠNG SMURF 53
3 CÁC PHƯƠNG THỨC KHÁC VÀ NGUYÊN TẮC PHÒNG CHỐNG 54
3.1 CÁC PHƯƠNG THứC TấN CÔNG THÔNG DụNG 54
3.1.1
Phương
th
ức ăn cắp thống tin bằng Packet Sniffers
54
3.1.2
Phương thức tấn công mật khẩu Password attack
55
3.1.3
Phương thức tấn công bằn
g Mail Relay 55
3.1.4
Phương thức tấn công hệ thống DNS
55
3.1.5
Phương thức tấn công Man
-in-the-middle attack 55
3.1.6
Phương thức tấn công để thăm d
ò m
ạng
55
3.1.7
Phương thức tấn công Trust exploitation
56
3.1.8

Phương thức tấn công Port redirection
56
3.1.9
Phương thức tấn công lớp ứng dụng
56
3.1.10
Phương thức tấn Virus v
à Trojan Horse 56
3.2 CÁC PHƯƠNG THứC BảO MậT ứNG DụNG CISCO IOS 57
3.2.1 Ví d
ụ 1:
57
3.2.2 Ví d
ụ 2:
58


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 1
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

II. HIỆN TRẠNG VÀ MỤC TIÊU DỰ ÁN
1 GIỚI THIỆU TỔNG THỂ
Cho đến hết năm 2003, Ngân hàng Sacombank đã hình thành triển khai kết nối mạng WAN tới
nhiều Tỉnh và Thành phố gần 12 đơn vị cấp Quận thuộc 03 Thành Phố lớn ( Hà nội, TP HCM và Đà
Nẵng), Sacombank đang từng bước xây dựng hệ thống mạng trục chính kết nối 3 trung tâm – 3
Thành phố lớn Hà nội, Đà Nẵng, TP HCM, kết nối xuống các chi nhánh cấp dưới theo mô hình phân

cấp, do yêu cầu phát triển các dịch vụ ngân hàng mới, mạng WAN này cần phải kết nối và trao đổi
thông tin với mạng Internet toàn cầu và với mạng của các đơn vị khác ở Việt nam. Do vậy
Sacombank đã quyết định xây dựng 2 cổng kết nối ra Internet và các tổ chức bên ngoài. Trong đó
cổng chính lắp đặt tại TP HCM là trọng điểm phát triển công nghệ nền tảng cho toàn bộ công
đọan phát triển mạng WAN trong tương lai của Sacombank .
Công tác chuẩn hoá và tăng cường ANTH chủ yếu sẽ gồm có 3 nhóm nhiệm vụ lớn với những nội
dung sau đây:
1.1 Xác định các kẽ hở và nguy cơ của hệ thống mạng
-Tìm ra vị trí chính xác của những kẽ hở, nơi có khả năng tự phát sinh sự cố từ bên trong hoặc bị
lợi dụng tấn công từ bên ngoài
-Chỉ ra cụ thể nhưng mối đe dọa hoặc tiềm tàng nguy hiểm đối với sự an toàn của hệ thống thông
tin
-Rà soát lại hàng rào pháp lý ANTH
Thi hành các biện pháp kỹ thuật và tổ chức
-Xây dựng và thi hành các luật, chính sách, quy chế về thông tin và ANTH
-Tuyên truyền giáo dục ANTH, nâng cao nhận thức của lãnh đạo và mọi người
-Trang bị kiến thức và các thiết bị, phần mềm an ninh tin học
-Áp dụng các tiêu chuẩn ANTH trước khi các nguy hiểm có thể bùng phát
-Thường xuyên kiểm tra hoạt động ở mọi khâu của hệ thống thông tin
-Thành lập trung tâm cứu hộ, sẵn sàng đối phó các tai họa
-Sao chép và lưu trữ dữ liệu ở vài nơi an toàn




Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 2
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010

Version: 2.0

1.2 Mô tả cấu trúc tổng quát hệ thống
Cấu trúc bảo mật mạng dự kiến xây dựng sẽ dựa trên cấu trúc mạng bao gồm các phần sau:
Phân hệ kết nối Internet và truy cập từ xa
Phần này được trang bị các thiết bị kết nối Gateway Cisco Router riêng kết nối với mạng Internet,
cho phép mở rộng và nâng cấp tốc độ cổng kết nối Internet tuỳ theo nhu cầu phát triển. Người
dùng truy nhập vào mạng được xác thực tuỳ theo quyền truy nhập để vào mạng nội bộ hoặc
Internet và CSDL dùng để xác thực được quản lý tập trung trên máy chủ ACS đặt ở vùng quản trị
hệ thống.
Phân hệ mạng DMZ
Gồm hệ thống máy chủ Web, E-mail, dành cho khách hàng, nội bộ truy nhập, trên máy chủ Web
gồm có các hệ thống giao dịch trên WEB của Ngân hàng, Internet Banking, home Banking, các
thông tin quảng cáo, tra cứu các sản phẩm của Sacombank, các hệ thống đào tạo, dạy học điện tử
nội bộ. Máy chủ Email của các tài khoản nội bộ hay khách hàng, máy chủ Web được cài các bộ lọc
theo các nội dung, các địa chỉ trang WEB, ngoài ra tại khu vực này còn có các máy chủ Virus để
kiển tra Virus đối với các thông tin vào ra Internet.
1.3 Phân hệ máy chủ ứng dụng
Các máy chủ ứng dụng chứa các CSDL dành cho các ứng dụng , hết sức quan trọng do vậy khu vực
này cần được đảm bảo mức độ an ninh bảo mật cao.
Phân hệ quản trị mạng
Bao gồm các máy chủ quản trị an ninh, máy chủ xác thực , máy chủ quét các dịch vụ trên mạng
(IDS)
Phân hệ kết nối ra bên ngoài (EXTRANET)
Dành cho các kết nối từ các đơn vị bên ngoài hoặc bên ngòai truy cập vào mạng của Ngân hàng
Sacombank
Phân hệ máy chủ CSDL
Các máy chủ ứng dụng chứa các CSDL chính, hết sức quan trọng do vậy khu vực này cần được đảm
bảo mức độ an ninh bảo mật cao nhất.
Phân hệ kết nối WAN của SACOMBANK

Phần kết nối vào cổng Gateway Firewall, nhằm bảo vệ các giao dịch từ bên ngoài vào
2 MÔ TẢ CẤU TRÚC MẠNG SACOMBANK
Hệ thống mạng của Sacombank là một hệ thống WAN lớn, có khuynh hướng mở rộng rất cao. Đây
là một hệ thống mạng kết nối xuyên suốt giữa hội sở chính, 15 chi nhánh và phòng giao dịch với


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 3
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

nhau, đồng thời kết nối ra Internet để thực hiện các giao dịch với khách hàng. Cơ sở dữ liệu ngày
càng phát triển lớn hơn cùng với nhu cầu ứng dụng công nghệ thông tin cao đòi hỏi nhất thiết phải
có các giải pháp để bảo đảm an toàn an ninh cho toàn bộ hệ thống mạng.
Hội sở chính hiện đã có 2 đường leased line 2048 Kbps đến bưu điện. Các chi nhánh kết nối với
Data Center qua kênh riêng leased line 128 Kbps và theo 2 đường leased line 2048Kbps đề kết nối
về hội sở. Ngoài ra, còn có đường backup để kết nối các chi nhánh với hội sở chính qua mạng
PSTN. Khi đường leased line xảy ra sự cố, đường backup này được bật lên đảm bảo liên lạc trao đổi
thông tin liên tục giữa chi nhánh và trung tâm của Sacombank. Các phòng giao dịch kết nối với chi
nhánh qua mạng PSTN.
Sơ đồ chi tiết kết nối mạng Sacombank:















Hệ thống mạng trung tâm của Sacombank là trung tâm tích hợp dữ liệu hệ thống ,trung tâm lưu trữ
cũng như giao dịch của toàn bộ hệ thống của Sacombank.
Cấu trúc hệ thống mạng Sacombank:
Hội sở (trung tâm):



Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 4
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

Đây là trung tâm tin học của Sacombank., khu vực này tập trung toàn bộ cơ sở dữ liệu của
Sacombank. Toàn bộ các server cũng được tập trung tại đây. Hiện có khoảng 5 Servers và 200
clients.
Sơ đồ như sau:

Chi nhánh loại I:
Có khoảng 15 chi nhánh. Mỗi chi nhánh là một mạng LAN kết nối với trung tâm. Cơ sở dữ liệu được
tập trung về chi nhánh. Các giao dịch tại chi nhánh đều phải qua trung tâm. Mỗi chi nhánh có
khoảng 30-40 users (tại Thành Phố HCM) và khoảng 10-15 users đối với các chi nhánh ngoại tỉnh.


Chi nhánh loại II (Phòng giao dịch):


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 5
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

Tại phòng giao dịch có một số máy để thực hiện công tác giao dịch với khách hàng
Đặc điểm của hệ thống mạng SacomBank:
Hệ điều hành và các ứng dụng chính:
Hệ điều hành: Hiện tại các server đang chạy hệ điều hành Windows 2000 Theo định hướng của Cục
tin học ngân hàng tương lai các hệ thống máy chủ Ngân hàng sẽ xây dựng trên nền tảng Unix
Cơ sở dữ liệu : Hiện tại đang sử dụng MicroSoft SQL Server, tương lai sẽ chuyển sang sử dụng
Oracle.
Các máy tính cá nhân: Chủ yếu chạy hệ điều hành Windows9x, Windows2000, WindowsXP. Không
có PC chạy hệ điều hành cũ hơn Windows9x.
Thư điện tử: Sử dụng mail nội bộ có cổng offline ra ngoài, thuê dịch vụ của FPT, sử dụng phần
mềm Mail Daemon. Sắp tới, hệ thống thư điện tử cũng sẽ được chuyển sang online.
Các ứng dụng an toàn thông tin: Hiện tại chưa triển khai ứng dụng hay thiết bị nào để đảm bảo an
toàn an ninh mạng, ngoại trừ phần mềm chống virus Norton Corporation. Phần mềm chống virus
này có một số hạn chế về việc update thông tin virus mới cũng như là các dịch vụ hỗ trợ. Đây chỉ là
giải pháp tạm thời trên các PC đơn lẻ trong hệ thống mạng.
Hệ thống đề xuất cần xác định các giai đọan xây dựng nhằm đảm bảo xây dựng hệ thống ngày
càng tòan diện đi đôi với khả năng nâng cao khả năng quản trị cho nhân viên quản trị theo từng
quy trình đồng bộ hiệu quả cao.
3 CÁC MỐI ĐE DỌA TIỀM NĂNG VỚI HỆ THỐNG

Hoạt động của ngân hàng SacomBank trải dài khắp miền đất nước với số lượng nhân viên lớn. Khối
lượng thông tin xử lý trong hoạt động nghiệp vụ rất lớn. Tuy nhiên không phải ai cũng có quyền
truy nhập những kho thông tin này. Do đó ngân hàng SacomBank có nhu cầu xây dựng một hệ
thống bảo mật cho mạng tin học phục vụ điều hành, kinh doanh. Hệ thống bảo mật này phải đảm
bảo các yêu cầu sau:
 Bảo đảm an toàn cho toàn bộ thông tin trên mạng, chống lại mọi sự truy nhập bất hợp
pháp vào mạng. Sự truy nhập ở đây sẽ được tiến hành khi ngân hàng SacomBank kết nối
ra Internet.
 Kiểm soát được mọi hành động truy nhập vào mạng của người sử dụng. Đảm bảo an ninh
từ những người sử dụng bên trong ngân hàng SacomBan.
 Có khả năng bảo đảm an toàn dữ liệu truyền, nhận qua các dịch vụ đường truyền do bưu
điện cung cấp (PSTN). Có giải pháp hữu hiệu ngay khi mạng ngân hàng SacomBan bị thăm
dò để truy nhập.
 Chi phí phù hợp với dự trù kinh phí của ngân hàng SacomBank.


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 6
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

 Đáp ứng được khả năng mở rộng của mạng ngân hàng SacomBank trong tương lai: mở
rộng về số lượng máy trạm, số lượng máy chủ, các mạng LAN và các ứng dụng.
Tuy nhiên, hiện tại vấn đề an ninh của mạng ngân hàng SacomBank vẫn chưa đạt được những yếu
tố đó:
 Ngân hàng SacomBank chưa có một chính sách an ninh mạng thực sự nào được áp dụng.
Điều này dẫn đến việc tổ chức, quản lý và sử dụng mạng không đúng theo ý muốn của
quản trị mạng và dễ dàng gây nên các thiệt hại không lường trước.

 Mạng tin học ngân hàng SacomBank hiện tại có kiến trúc an ninh là kiến trúc phẳng một
lớp. Kiến trúc này hoàn toàn không có độ sâu bảo vệ. Nếu một điểm nhạy cảm bị tấn công
thì toàn mạng sẽ bị đột nhập tiếp tục theo phản ứng dây chuyền một cách nhanh chóng.
 Trên toàn mạng không có một cơ chế đảm bảo an ninh mạng nào. Điều này dẫn đến việc
mạng không có khả năng phân cấp, điều khiển truy nhập, không có khả năng xác thực cấp
phép người dùng, không các khả năng phản ứng lại các tấn công và không có khả năng
theo dõi toàn bộ hoạt động của mạng.
 Trên toàn mạng có rất nhiều các điểm có kết nối với bên ngoài, như kết nối chính đi
Internet, kết nối với các tổ chức ngân hàng bạn và các tổ chức thanh toán khác, kết nối với
các chi nhánh nội bộ và kết nối quay số đi Internet từ các máy trạm đơn lẻ của người dùng.
Nếu không có phân loại, quy hoạch, tổ chức lại các kết nối này thì hacker có thể lợi dụng
các kết nối này để thâm nhập vào mạng.
 Quản trị mạng và người dùng chưa được đào tạo để quản lý và khai thác mạng một cách
hiệu quả, an ninh
4 PHÂN TÍCH CHÍNH SÁCH BẢO MẬT CHO SACOMBANK
Để phân tích chính sách bảo mật cho ngân hàng Sacombank, chúng ta phải phân tích được các vấn
đề sau trong hệ thống thông tin của ngân hàng Sacombank:
4.1 Xác định trách nhiệm của mọi người trong hệ thống với chính sách bảo
mật
Trách nhiệm của mỗi người phải xác định và phân tích cụ thể. Đối với mạng ngân hàng Sacombank,
có thể chia nhiều mức trách nhiệm:
 Người đưa ra chính sách đó phải là cán bộ phụ trách tin học của Trung tâm tin học, cán bộ
chuyên trách mảng bảo mật của trung tâm tin học và các cán bộ phụ trách tin học tại các
chi nhánh.


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 7
Sacombank Network security
Security network solution for Sacombank

Saved: 14/07/2010
Version: 2.0

 Tuy nhiên chính sách này còn phải phù hợp với chính sách quản lý của ngân hàng
Sacombank. Do đó còn một cấp nữa đó là những người có trách nhiệm chấp nhận các chính
sách bảo mật: Đó là những người lãnh đạo của ngân hàng, các chi nhánh, các phòng chức
năng, nghiệp vụ.
 Do đặc thù của ngân hàng Sacombank nên về mặt quản trị mạng có thể có người quản trị
chính có quyền cao nhất áp dụng cho toàn bộ hệ thống và có quyền tại tất cả các tài
nguyên của hệ thống, sau đó tại mỗi chi nhánh sẽ có quyền quản trị ít hơn phục vụ hoạt
động trong mạng LAN của mình. Việc phân tích quyền hạn của từng cấp quản trị sẽ được
thực hiện khi triển khai dự án này.
 Còn lại với người sử dụng thì phải xác định rõ trách nhiệm của người dùng. Họ phải có
trách nhiệm giữ gìn mật khẩu truy nhập vào mạng của họ cũng như ý thức giữ gìn các tài
nguyên thông tin khác.
4.2 Xác định các tài nguyên cần được bảo vệ
Vấn đề quan trọng là phải xác định được các tài nguyên của mạng ngân hàng Sacombank có thể bị
tác động bởi hệ thống bảo mật. Các tài nguyên cần được bảo vệ:
 Phần cứng: Các máy chủ của mạng, các máy trạm, các thiết bị mạng (Routers, Access
Servers).
 Phần mềm: Do đặc thù của ngân hàng Sacombank là phục vụ hoạt động kinh doanh tiền tệ
trên toàn lãnh thổ Việt Nam và liên hệ chặt chẽ với các ngân hàng nước ngoài, các tổ chức
tín dụng quốc tế nên các phần mềm cần được bảo vệ: Hệ điều hành của các máy chủ UNIX,
Windows NT, Novell. Ngoài ra các chương trình ứng dụng: quản lý hệ thống tài khoản, tín
dụng, các chương trình kế toán, tự động hoá văn phòng, truyền dữ liệu, ATM
 Dữ liệu: Đây là phần quan trọng cân được bảo vệ nhất của ngân hàng Sacombank. Dữ liệu
này sẽ gồm có các dữ liệu tài khoản liên quan đến khách hàng, dữ liệu kế toán, thẻ tín
dụng, ATM. Các dữ liệu này rất quan trọng đối với ngân hàng Sacombank nên sẽ phải được
bảo vệ an toàn nhất.
 Con người: Đó là người sử dụng tham gia vào mạng.

 Tài liệu: Các công văn, báo cáo, tài liệu, sách vở, tài liệu hướng dẫn sử dụng,
4.3 Xác định các mối đe doạ đối với hệ thống
Sau khi xác định tất cả các tài nguyên phải được bảo vệ,cần phải xác định mối đe dọa đối với các
tài nguyên đó. Các mối đe doạ đó gồm có:


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 8
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

 Những truy nhập bất hợp pháp. Việc truy nhập vào các tài nguyên của mạng chỉ nên được
thực hiện bởi những người đã xác định. Mối đe doạ chung mà mọi người quan tâm là việc
truy nhập bất hợp pháp. Đặc thù của mối đe doạ này là sử dụng tên của người khác để truy
nhập vào mạng và tài nguyên của nó. Có thể có một số kiểu truy nhập bất hợp pháp như:
 Sử dụng những chương trình dò tìm mật khẩu. Những chương trình này nằm
thường trú và bị che khuất trên mạng, nó ghi lại những lần người sử dụng vào
mạng cùng với các mật khẩu. Các mật khẩu này sau đó được cất giữ trong một tệp
tin bí mật, sau một tuần lễ, tệp này có thể chứa tới hàng trăm tên người dùng tin
và các mật khẩu riêng để sau này có thể lấy cắp những thông tin bí mật.
 Hút nạp dữ liệu (Spooling): Đây là kỹ thuật nhằm có được sự truy nhập mạng từ xa
bằng cách bịa ra một địa chỉ của một máy đã có tín nhiệm hay "thân quen". Bằng
cách này, việc khai thác những nhược điểm về an ninh từ bên trong của hệ thống
trở nên dễ dàng hơn nhiều so với từ phía ngoài. ở trạng thái này, kẻ xâm nhập trái
phép có thể cài đặt được một chương trình dò tìm mật khẩu hay một phần mềm
giả, giống như một "ô cửa hậu" - là một đường dẫn ngược lại vào trong máy tính.
 Sử dụng lỗ hổng trong phần mềm: Không có phần mềm nào là không có lỗi. Một lỗi
trong phần mềm là mối đe doạ chung của việc truy nhập bất hợp pháp. Chính đây

là lỗ hổng cho phép những kẻ thâm nhập trái phép làm được bất kể những gì mà
người chủ máy tính đã làm. Cách này hay áp dụng với hệ điều hành UNIX vì mã
nguồn của nó được phổ biến rộng rãi.
Đối với ngân hàng Sacombank cả 3 cách này đều có thể xảy ra. Và đây là mối quan tâm lớn
nhất của lãnh đạo cũng như cán bộ Tin học ngân hàng Sacombank .
 Mối đe doạ bởi sự khai thác rộng rãi thông tin. Trước khi công bố hay cho phép mọi người
khai thác rộng rãi vào một nguồn thông tin nào cần phải xác định giá trị của các thông tin
đó.Việc công bố file chứa mật khẩu của người truy nhập vào mạng sẽ gây ra một mối đe
doạ lớn cho mạng. Thông tin có thể bị xâm phạm khi:
 Thông tin được lưu giữ trên máy tính.
 Thông tin được truyền từ hệ thống này sang hệ thống khác.
 Thông tin được lưu giữ trong tệp sao lưu (backup).
 Mối đe doạ ảnh hưởng đến hoạt động bình thường của hệ thống (Denial of Service). Mạng
thông tin ngân hàng Sacombank kết nối các tài nguyên có giá trị như máy tính, CSDL và
cung cấp dịch vụ cho mọi thành viên của mạng. Tất cả người sử dụng của mạng đều tin
rằng mọi hoạt động của mạng đều làm cho công việc của họ trở nên có hiệu quả. Nếu


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 9
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

mạng không làm việc thì sẽ có những mất mát trong hoạt động kinh doanh. Do đó mối đe
doạ ảnh hưởng đến hoạt động bình thường của mạng cũng cần được xem xét:
 Mạng trở nên không hoạt động được bởi một khối dữ liệu lang thang.
 Mạng trở nên kém hiệu quả bởi quá tải của dữ liệu.
 Mạng có thể bị chia nhỏ do sự ngừng hoạt động của một thiết bị mạng.

 Virus làm phá hoại dữ liệu hay hỏng một máy nào đó.
 Thiết bị dùng để bảo vệ mạng có thể bị phá vỡ.
 Mối đe doạ từ bên trong. Người sử dụng bên trong mạng có nhiều cơ hội hơn để truy nhập
vào các tài nguyên của hệ thống. Đối với ngân hàng Sacombank có đặc thù lớn là do nhiều
mạng LAN của trung tâm, chi nhánh kết nối vào, do đó nếu người sử dụng trong mạng có
ý muốn truy cập vào những tài nguyên của hệ thống thì họ sẽ gây nên một mối đe doạ cho
mạng. Người sử dụng bên trong có thể được gán những quyền không cần thiết, có thể bị
mất mật khẩu và đó sẽ là mối đe doạ lớn đối với hệ thống an toàn mạng.
 Nguy cơ bị nghe trộm, thay đổi thông tin truyền đi trên mạng công cộng (PSTN). Đây là
một nguy cơ tiềm ẩn và ảnh hưởng trực tiếp đến hoạt động kinh doanh của ngân hàng.
Hacker có thể sử dụng các công cụ, thiết bị đặc biệt để móc nối vào hệ thống cáp truyền
thông của ngân hàng để nghe trộm thông tin nguy hiểm hơn hacker có thể sửa chữa, thay
đổi nội dung thông tin đó - ví dụ nội dung của điện chuyển tiền, thanh toán gây ra những
tổn thất, mất mát nghiêm trọng.
4.4 Xác định trách nhiệm và mức độ sử dụng của từng người sử dụng trong
mạng
Trên cơ sở phân tích ở trên chính sách bảo mật của ngân hàng Sacombank phải tiếp tục trả lời các
câu hỏi sau:
 Ai được phép sử dụng các tài nguyên của hệ thống? Ví dụ như dữ liệu liên quan tới tài
khoản khách hàng, dữ liệu kế toán chỉ có thể do nhân viên kế toán sử dụng.
 Mức độ sử dụng thích hợp của từng người sử dụng? Cùng một sự truy nhập vào dữ liệu tài
khoản khách hàng thì có người chỉ được khai thác, có người chỉ được cập nhất, có người chỉ
được đọc một phần tương ứng với dữ liệu kế toán. Ai được sửa, ai kiểm soát, ai khai
thác
 Ai có trách nhiệm gán quyền và mức độ sử dụng của người dùng? Do ngân hàng
Sacombank có nhiều mạng LAN và một số ứng dụng quan trọng nên người có trách nhiệm


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 10

Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

về mặt gán quyền truy cập có thể phân cho các phòng ban liên quan, nhưng đối với các dữ
liệu quan trọng thì nên tập trung.
 Ai có quyền quản trị mạng? Cả mạng ngân hàng Sacombank nên có một người quản trị
mạng có quyền lớn nhất. Mỗi mạng LAN có một người quản trị ít quyền hơn. Tuy nhiên đối
với các CSDL quan trọng thì quyền quản trị sẽ là tập trung.
 Trách nhiệm của từng người sử dụng là gì? Trách nhiệm này tương ứng với trách nhiệm về
mặt công việc.
 Trách nhiệm của người quản trị? Trách nhiệm người quản trị của mạng là gì Trách nhiệm
của người quản trị ở các mạng LAN của các phòng ban như thế nào?
 Cần phải làm gì với các dữ liệu quan trọng? Người quản trị phải xác định các công việc phải
làm với dữ liệu quan trọng (tài khoản khách hàng và kế toán). Các công việc có thể là sao
lưu, khôi phục dữ liệu, in ấn,
4.5 Xác định các công cụ để thực thi các chính sách bảo mật
Ngân hàng Sacombank sẽ phải lựa chọn các công cụ để thực thi chính sách bảo mật của mình. Các
công cụ này sẽ được trình bày trong giải pháp kỹ thuật.

4.6 Xác định các hành động khi chính sách bảo mật bị xâm phạm
Mỗi lần chính sách bảo mật bị xâm phạm thì hệ thống sẽ có thể bị đe doạ. Nếu không có sự thay
đổi trong chính sách bảo mật thì sẽ có thể gây ra những thiệt hại đáng tiếc. Do đó chính sách bảo
mật của ngân hàng Sacombank cũng nên có thêm vấn đề này.
5 ĐỀ XUẤT GIẢI PHÁP BẢO MẬT
Việc đảm bảo an ninh bảo mật hệ thống là hết sức quan trọng nhất là đối với các đơn vị kinh doanh
như của Ngân hàng Sacombank , đồng thời khả năng bảo vệ nhiều lớp để tăng cường tính bảo mật
các các khu vực bên trong, nơi lưu giữ các nguồn tài nguyên mạng có giá trị nhất. Sau đây chúng
tôi xin đưa ra thiết kế mô hình bảo mật nhiều lớp bao gồm:

- Bảo mật mức mạng: Bảo mật đường truyền - bảo mật các thông tin lưu truyền trên mạng,
việc này được thực hiện bằng các hìng thức mã hoá thông tin trên đường truyền, các công
cụ xác định tính toàn vẹn và xác thực của thông tin. Việc này có thể thực hiện được bằng
phần mềm hay phần cứng, tuy nhiên việc thực hiện trên phần cứng (card mã hoá trên
router hay thiết bị mã hoá cứng cắm ngoài trên đường truyền) có ưu điểm hơn là giảm độ


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 11
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

trễ của các gói tin, sử dụng băng thông trên đường truyền hiệu quả hơn (nhất là trên
WAN).
- Bảo mật lớp truy cập bao gồm:
o Bảo mật cho các đường truy nhập của người dùng quay số (dial-up): thường áp
dụng các hình thức xác thực người dùng, tạo các kênh VPN cho các kết nối dial-up

o Firewall/IDS : Tại các khu vực cung cấp các máy chủ truy nhập cần bố trí các bức
tường lửa (Firewall) kèm các bộ dò tìm tấn công (IDS) đảm bảo ngăn chặn các truy
nhập trái phép hay các dạng tấn công ngay từ cổng vào mạng, điều này là rất cần
thiết bởi việc sử dụng các thiết bị hỗ trợ cho các kết nối truy nhập đồng thời lại có
kết nối đi Internet.
- Bảo mật mức thiết bị: Các thiết bị mạng như Router và switch, firewall… là các điểm nút
của mạng hết sức quan trọng và cần được bảo vệ, chúng tôi khuyến nghị sử dụng các ACL
để điều khiển truy nhập trên toàn bộ các thiết bị này, đồng thời sử dụng các thiết bị dò tìm
lỗ hổng (IDS) để dò tìm xác định các dấu hiệu tấn công vào các thiết bị mạng và các nguồn
tài nguyên khác và có các biện pháp ngăn chặn kịp thời

- Bảo mật mức máy chủ: Hệ thống máy chủ thực hiện các công việc dịch vụ khác nhau trong
mạng, có thể nói đây là nguồn tài nguyên chính hết sức quan trọng và là mục tiêu của
nhiều cuộc tấn công từ bên trong cũng như bên ngoài cũng như ăn cắp hay phá huỷ các
thông tin có giá trị được chứa trong các máy chủ này. Việc bảo mật hệ thống máy chủ liên
quan tới các công việc như:
o Bảo mật thông tin trên máy chủ : đảm bảo tính mã hoá, tính toàn vẹn và xác thực
của thông tin
o Quản trị truy nhập vào máy chủ: áp dụng các công nghệ tiên tiến như smart card,
Token…
o Chống truy nhập trái phép: sử dụng các bộ dò tìm IDS để phát hiện và báo động
kịp thời khi có tấn công hay truy nhập trái phép vào hệ thống máy chủ.
- Bảo mật mức Hệ Điều Hành(HĐH): Việc bảo mật cho HĐH máy chủ đảm bảo cho hệ thống
làm việc ổn định,việc hoạch định xây dựng các chính sách cài đặt, cập nhật, backup dữ liệu


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 12
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

hay sử dụng các phần mềm bổ sung (Patch) bịt lỗ hổng trên các HĐH là hết sức cần thiết
để đảm bảo cho các HĐH và các ứng dụng chạy trên nó được bảo vệ an ninh ngăn chặn
các cuộc tấn công có thể xảy ra.
- Bảo mật ở mức ứng dụng: Đảm bảo việc truy nhập vào các dịch vụ và phần mềm (WEB,
Email, CSDL), chúng tôi khuyến nghị thực hiện các kênh bảo mật từ người dùng đầu cuối
tới các máy chủ ứng dụng để đảm bảo các tính bảo mật, toàn vẹn và xác thực của thông
tin.
Bảo mật mức CSDL: Có thể nói CSDL là lõi của toàn bộ hệ thống bảo mật thông tin, toàn bộ thông

tin quan trọng mang tính chất sống còn được tập trung trên các CSDL, trong thiết kế của chúng tôi
CSDL được đặt ở mức ưu tiên cao nhất
Theo dữ liệu khảo sát hệ thống mạng hiện tại của Sacombank chúng tôi khuyến nghị hệ thống tổng
thể của WAN Sacombank sẽ bố trí theo mô hình sau:


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 13
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0


Từ mô hình họach định trên chúng tôi khuyến nghị các ứng dụng và công nghệ bảo mật tiên tiến và
phổ biến hiện nay nhằm đáp ứng các nhu cầu xây dựng hệ thống bảo mật chuyên dụng cho
Sacombank.


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 14
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

6 CÔNG NGHỆ VÀ THIẾT BỊ BẢO MẬT ĐỀ NGHỊ
6.1 Công nghệ và giải pháp Firewall khuyến nghị
Công nghệ FIREWALL
Có rất nhiều loại Firewall khác nhau như Firewall dựa trên phần mềm cho các hệ điều hành

Windows NT, Unix, Firewall dựa trên phần mềm tích hợp trên các Router, Firewall dựa trên thiết bị
phần cứng… Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống với yêu cầu về khả năng hoạt
động mạnh, bảo đảm tính an ninh, độ tin cậy cao, khả năng dễ mở rộng trong tương lai.
Chúng tôi khuyến nghị sử dụng giải pháp Firewall có tốc độ và độ an tòan cao của ba hãng cung
cấp giải phá Firewall mạnh nhất hiện nay sau cho hệ thống Firewall lớp ngoài:
a. Giới thiệu công nghệ Firewall của Cisco
Để đáp ứng được yêu cầu đặt ra đối với thiết bị firewall lớp ngòai và với mục đích xây dựng mạng
an toàn tốc độ chuyển mạch tốt nhất, chúng tôi giới thiệu các dòng sản phẩm Firewall mạnh nhất
hiện nay của Cisco là dòng PIX với khả năng cung cấp khả năng an ninh, bảo mật cũng như khả
năng hoạt động và độ ổn định cao cho hệ thống, hỗ trợ mạng riêng ảo - Ipsec VPN…
Độ bảo mật cao nhất : So với các hình thức bảo mật hiện nay như Proxy-based firewall chạy ở lớp
ứng dụng có, thì PIX là sản phẩm có khả năng hoạt động rất mạnh mẽ, mức độ an toàn cao.
CiscoSecure PIX Firewall là một thiết bị phần cứng đã được tích hợp sẵn software bên trong và hoạt
động một cách độc lập không phụ thuộc vào các yếu tố về nền tảng ứng dụng như yêu cầu về cấu
hình phần cứng, môi trường hệ điều hành (Windows NT, Unix…) vì thế làm đơn giản hoá hệ thống
và quản trị thiết bị được dễ dàng hơn, đồng thời nâng cao khả năng bảo mật so với các hệ thống
bảo mật chạy trên các hệ thống bảo mật khác (Check point, Gardian…)
Dễ dàng quản trị và phân cấp mức độ an ninh cho hệ thống mạng bên trong nhờ yếu tố sử dụng
các giao tiếp vật lý (ports) để nối đến các mạng cấp thấp, cho phép mở rộng thêm cổng giao tiếp
vật lý bất kỳ lúc nào khi có nhu cầu trong tương lai. Một điểm nữa cũng khá quan trọng cần được
đề cập đến là khả năng mở rộng cao và mức độ đầu tư thấp.
Hỗ trợ các thủ tục DNS, HTTP, HTTPS, FTP, SMTP,POP, SNMPv2, Database, SIP, H323.
Hỗ trợ cho các ứng dụng và các giao thức sau: Internet Protocol (IP), Transmission Control Protocol
(TCP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP), Generic Route
Encapsulation (GRE), Address Resolution Protocol (ARP), Domain Name System (DNS), Simple
Network Management Protocol 2(SNMP2), Boot Protocol, HyperText Transport Protocol (HTTP),
Secure hypertext transport protocol (HTTPS), File Transfer protocol (FTP), Trivial File Transfer
protocol (TFTP), Archie, Gopher, Telnet,POP, NetBIOS over IP (Microsoft Networking), Point-to-
Point Tunneling Protocol (PPTP), SQL*Net (Oracle client/server protocol), Sun Remote Procedure
Call (RPC) services, including Network File System (NFS), Berkeley Standard Distribution (BSD)-

Rcmds,AAA Server Groups.
Hỗ trợ cho các ứng dụng Multimedia, bao gồm: Microsoft NetShow, White Pine CU-SeeMe,
RealNetworks RealAudio and RealVideo, Xing StreamWorks, VDOnet VDOLive, VXtreme
WebTheater, VocalTec Internet Phone theo chuẩn SIP và H.323.


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 15
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

Hỗ trợ cho các ứng dụng Videoconferencing (H.323): Microsoft NetMeeting, Intel Internet Video
Phone, White Pine Meeting Point .
Khả năng chống lại các dạng tấn công thông thường, khả năng tự bịt các lỗ hổng an ninh.
Hỗ trợ phát hiện và chống tấn công: Phát hiện các loại tấn công theo kiểu Denial Of Service, chống
lại các hình thức tấn công như sync flooding, port scans, làm hỏng, thay đổi nội dung các gói dữ
liệu.
Hỗ trợ Intrusion Detection System (IDS): hệ thống lưu giữ và xác định các mẫu tấn công từ đó phát
hiện và đối phó với các hình thức tấn công này. Tự động phát hiện và bịt các lỗ hổng an ninh
Để tăng cường bảo mật, khả năng an ninh, PIX còn hỗ trợ các phương thức xác thực phổ biến như
RADIUS và TACACS+ tích hợp với các hệ thống phần mềm khác như WebSENSE để quản lý, truy
nhập các địa chỉ Internet dựa trên cơ sở dữ liệu URL, đảm bảo các kết nối vào hệ thống cần phải
được xác thực trước, tăng cường khả năng xử lý đối phó với các tấn công thông thường như thăm
dò, phát hiện lỗ hổng và tận dụng các lỗ hổng sẵn có để phá huỷ hệ thống.
Hỗ trợ VPN sử dụng IPSec: Phối hợp hoạt động với VPN: Khả năng điều khiển trạng thái đầy đủ
(stateful control), thực hiện chức năng firewall cho các dịch vụ VPN, với dịch vụ VPN các người dùng
truy nhập từ xa hoặc các văn phòng chi nhánh có thể truy nhập vào mạng của công ty qua mạng
công cộng (internet) nhưng vẫn đảm bảo bảo mật và giảm chi phí kết nối, giảm tiền đầu tư thiết bị.

Cisco PIX cho phép bảo mật các kết nối qua internet bằng cách tích hợp các tính năng chính của
VPN như công nghệ đường hầm, mã hoá dữ liệu, bảo mật, và firewall – cung cấp một môi trường
tích hợp vừa đảm bảo an ninh thông tin vừa đảm bảo tính hiệu quả cho các kết nối từ xa, các văn
phòng xa, các kết nối ra mạng ngoài thông qua môi trường Internet. PIX hỗ trợ mã hoá cho IPSec
– DES, 3DES. Chúng tôi khuyến nghị đối với đối tượng khách hàng, người dùng truy nhập vào mạng
nội bộ qua đường kết nối quay số (đường Internet hoặc Extranet) cần thiết phải sử dụng công nghệ
kênh riêng ảo (VPN) để đảm bảo tính bảo mật, toàn vẹn và xác thực của thông tin – các kết nối
VPN này sẽ kết thúc tại các firewall đối với truy nhập từ Internet vào cũng như đối với những kết
nối từ mạng Extranet vào
Hỗ trợ NAT và PAT:
Nguyên lý hoạt động của PIX Firewall theo hai dạng NAT và PAT. NAT (Network Address
Translation) dùng để chuyển đổi một địa chỉ Internet thành một địa chỉ riêng (Private) theo dạng
địa chỉ tĩnh (static) với ánh xạ 1-1, ngoài ra cho phép đổi n địa chỉ Internet thành m địa chỉ Private
dưới dạng địa chỉ động (dynamic) với n<m. PAT (Port Address Translation) dùng để chuyển đổi một
địa chỉ Internet thành nhiều địa chỉ Private (kết hợp với NAT – ánh xạ 1- n). nguyên lý hoạt động
này rất thích hợp cho việc sử dụng nhiều giao tiếp kết nối trên PIX Firewall.
Với khả năng cho phép chuyển đổi tự động địa chỉ như thế rất hữu ích cho nhiều người dùng mà
không cần thiết phải quan tâm đến việc cấp địa chỉ Internet. Đối với các host của hệ thống mạng
khu vực cũng không cần thiết đăng ký với NIC (Network Information Center) vẫn có thể dùng
TCP/IP để truy cập trực tiếp vào Internet bằng cách mở chế độ chuyển đổi bên trong PIX Firewall.
Cách này cho phép hệ thống mở rộng dịch vụ cung cấp truy cập từ xa kết nối qua hệ thống truy
cập vào Internet trong tương lai.
Hoạt động với mức độ hoạt động sẵn sàng cao nhất:


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 16
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010

Version: 2.0

Mức độ ổn định: khả năng làm việc cực kỳ ổn định với mean time between failure (MTB) lớn hơn
60000 giờ.
Ngoài ra CiscoSecure PIX Firewall software giới hạn mức độ người dùng cùng lúc thông qua các
cổng giao tiếp vật lý của nó, tránh được tình trạng xử lý quá tải làm tắt nghẽn hệ thống truy cập
Internet chung cho toàn hệ thống.
Trong tương lai khi có khả năng nâng cấp lên chạy dự phòng 2 thiết bị PIX – có thể sử dụng chức
năng dự phòng tiên tiến của sản phẩm PIX – Stateful failover cho phép cung cấp khả năng dự
phòng thay thế nóng giữa 2 thiết bị PIX - UR hoặc giữa 1 thiết bị PIX-UR và một thiết bị PIX-FO, khi
một thiết bị gặp sự cố thì thiết bị còn lại sẽ thay thế thiết bị đó để tiếp nhận và xử lý các yêu cầu
đang tồn tại cũng như các yêu cầu mới, do vậy việc một trong hai thiết bị gặp sự cố không ảnh
hưởng gì đến các dịch vụ đang chạy trên mạng.
Hỗ trợ giao diện quản lý qua WEB:
Hỗ trợ bới tính năng Cisco PIX Device manager (PDM): Hệ thống quản trị thiết bị PIX riêng lẻ, sử
dụng Java applet để chứng thực và Secure Hypertext Transfer Protocol để bảo mật thông tin giữa
PDM và PIX firewall. PDM cung cấp các chức năng sau:
+ Hỗ trợ cấu hình PIX firewall qua WEB, mà không cần sử dụng các giao diện dòng lệnh PIX firewall
Command-line Interface (CLI)
+ Hỗ trợ các bước cấu hình sử dụng các wizard (start-up Wizard, VPN Wizard)
+ Cho phép quản lý PIX với các lưu đồ và dữ liệu thời gian thực, bao gồm các kết nối, IDS, thông
tin về băng thông. Cho phép theo dõi thông số trong vòng 5 ngày trở lại.
+ Quản trị và cấu hình PIX tách biệt , nhưng có thể sử dụng nhiều browser trên cùng một trạm để
cấu hình nhiều PIX khác nhau.
b. Giải pháp Firewall của Checkpoint
Checkpoint hiện là một trong những công ty hàng đầu trong công nghệ Firewall. Checkpoint chiếm
ưu thế trong thị trường firewall với sản phẩm cùng tên.
Phần mềm Checkpoint với ưu thế cạnh tranh, là sản phẩm đáng tín cậy cho bất kỳ cơ quan nào. Bộ
sản phẩm của CheckPoint gồm nhiều Module kết hợp tạo nên một giải pháp Firewall an ninh hiệu
quả cho các hình thức mạng khác nhau

FireWall:
Sử dụng công nghệ “Stateful Inspection” bảo vệ được từ mức network đến mức ứng dụng trong mô
hình OSI
Kỹ thuật phòng chống thông minh “SmartDefense” cho phép bảo vệ tấn công ở mức ứng dụng
SmartDefense cho phép dễ dàng cập nhật và cấu hình các phương pháp tấn công mới
Hỗ trợ phân quyền theo nhiều yếu tố host, dịch vụ hay người truy cập


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 17
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

Hỗ trợ phân tích log :
Quản lý tập trung cho phép quản lý nhiều firewall trên một máy tính
Quản lý thiết lập chính sách dễ dàng bằng các công cụ trực quan GUI
Hỗ trợ việc xác thực người sử dụng bằng nhiều phương pháp S/key, SecurID, OS password,
RADIUS, TACACS hay những phương pháp chứng thực khác
VPN:
VPN hỗ trợ thuật toán mã hóa 3DES, AES. VPN hỗ trợ site- to site đảm bảo kênh truyền an toàn
giữa các mạng Lan và an toàn giữa các mạng Lan và client –to site tạo kênh truyền an toàn giữa
các máy truy cập từ xa và trung tâm. Module Secure Client cho phép bảo vệ máy truy cập từ xa
tránh trường hợp tạo “backdoors” cho hacker xâm nhập vào hệ thống
Chính sách VPN và Firewall tích hợp định hướng chính sách firewall và VPN
Hỗ trợ truy cập VPN qua SSL hay Microsoft Windows L2TP/
IPSec VPN Client
Tính năng quản lý(SmartCenter và GUI Client):
Quản lý tập trung với người quản trị bằng một giao diện đồ họa duy nhất

Tất cả dữ liệu log sẽ được quản lý tập trung dễ dàng phân tích và theo dõi bởi người quản trị hệ
thống
Khả năng quản lý nhiều firewall trên một giao diện đồ họa duy nhất
Tính năng quản lý log:
Log sẽ được định hướng đến server chuyên dụng xử lý log
Log được cảnh báo khi ổ đĩa cứng trống còn thấp và sẽ reset lại log theo những thông số do người
quản trị định nghĩa
Đặt thời gian chuyển file log đến server xử lý log theo chu kỳ
Thông tin log bao gồm người sử dụng dịch vụ, thời gian kết nối, đích đến, độ dài phiên kết nối,
hành động …
Người quản trị có thể lọc file log để định những sự kiện lưu tâm đến bảo mật của hệ thống
Tính linh động và liên tác:
Người sử dụng có thể chọn lựa giải pháp của Checkpoint linh động dựa trên hệ điều hành như
WinNT, Linux, Solaris hay những thiết bị phần cứng chuyên dụng của Celestix, Resilience, Nokia


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 18
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

Hỗ trợ cơ cấu mở ( OPSEC ) cho phép liên kết giải pháp CheckPoint với những ứng dụng an ninh
khác như ISS, TrendMicro. Raibow, RSA, Websense…
Giới thiệu phần mềm đảm bảo tính sẵn sàng cao Rainfinity RainWall dành cho hệ thống Checkpoint
- Raiwall là phần mềm đảm bảo tính sẵn sàng cao của hệ thống ứng dụng bảo mật trên
Gateway được phát triển dựa trên chuẩn OPSEC của CheckPoint.
- Tích hợp với phần mềm CheckPoint VPN-1/FireWall-1 và các ứng dụng bảo mật trên
Gateway như Antivirus và các phần mềm bảo mật nội dung khác

- Tích hợp tính cân bằng tải cho hệ thống bảo mật
- Tăng hiệu suất thực thi của FireWall và VPN
- Tích hợp dễ dàng với bất kỳ kiến trúc nào của hệ thống bảo mật
- Kỹ thuật thông minh để xử lý lỗi xảy ra cho firewall và VPN gateway đảm bảo hệ thống hoạt
động trong suốt
- Quản lý tập trung cho hệ thống bảo mật
c. Giải pháp firewall Sidewinder G2 của SecureComputing
Sản phẩm Firewall Sidewinder của công ty Secure Computing được biết đến là một trong 4 sản
phẩm Firewall phổ biến nhất hiện nay là : Pix firewall của Cisco, Checkpoint, Sonicwall, Sidewinder
G2.
Khác với hệ thống firewall Pix và Sonicwall thông thường sử dụng cho các cổng kết nối mạng tốc độ
cao, Checkpoint là dòng Firewall có thể tác động và hoạt động bảo mật cho lớp ứng dụng thì
Sidewinder là sản phẩm được thiết kế có tất cả các khả năng giống các sản phẩm trên.
Hệ thống Firewall Sidewinder G2 là sản phẩm được ưa chuộng nhất hiện nay khu vực Châu Mỹ với
lịch sử lâu đời về thành tích bảo vệ các hệ thống mạng có độ tin cậy cao của các tổ chức lớn tại Mỹ
như:US Bank, Federal Reserve Bank, Goldman Sachs, Amgen, Southwestern Bell ,Bank of Missouri,
Bank One Leasing, New York Stock Exchange, Securities Exchange Commission, Northwest Airlines,
United Airlines
CERT @ Carnegie Mellon University, Government: GAO, DFAS, CIA, NSA, FBI, USAF, US Army,
SPAWAR
Các tổ chức quốc tế đang sử dụng Sidewinder là :Credit-Suisse-First-Boston, Deutsche Bank, Sanwa
Bank, Safra Bank, Banamex,Redbank across South America, Mexican Government (the tax division)
, Japan widely deployed in organizations/government
Schroders, Swedish Government , France Telecom,Alcatel, Cap Gemini E&Y, World Health
Organization…
Hệ thống Frewall Sidewinder sử dụng công nghệ lọc và ngăn chặn Hybrid khác với công nghệ
Stateful Inspection mà Checkpoint, Pix đang sử dụng hiện nay. Công nghệ Hybrid là tích hợp của 5


Commercial in confidence to Sacombank and FPT HCM Branch.

Not for distribution without express prior approval from FPT Corp Page 19
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

thành phần : Packet Filter, Stateful inspection(Công nghệ tương tự Checkpoint và Pix), Generic
Proxy, application proxy (khả năng bảo đảm an tòan cho lớp ứng dụng)và splitserver (Công nghệ
phân tải cho firewall).
Sidewinder G2 gồm các phiên bản 25,100,250,1000,2000 và 4000. Hệ thống Sidewinder có thể triển
khai dễ dàng với sản phẩm phần mềm cài lên các thiết bị máy chủ như Checkpoint hoặc cũng có
thể sử dụng thiết bị bảo mật tích hợp sẳn với sản phầm SecureOS phát triển từ nền tảng Unix. Hệ
thống có khả năng cung cấp dịch vụ cung lúc cho 1.000.000 kết nối cùng lúc với băng thống tối đa
là 1Gb.
Sidewinder hỗ trợ các giao thức (SNMP, OSPF, RIP, NTP, ICMP, PING, etc.).và dễ dàng quản lý tập
trung với các phần mềm quản lý chuyên dụng như Tivoli, Webtrend.
Hệ thống Sidewinder G2 dễ dàng triển khai so với các hệ thống Firewall khác với công nghệ Power-
It-On đơn giản. Hệ thống bảo mật nội tại được thiết kế giảm thiểu tối đa chi phí quản trị và cập
nhật vá lỗi.
Dễ dàng thiết lập các cơ chế tạo VPN. Cung cấp sẳn hệ thống Strikeback® intrusion detection
system bên trong sản phẩm.Cung cấp giải pháp tích hợp quản trị truy cập SmartFilter tương tư giải
pháp Websense.Dễ dàng thiết lập chế độ dự phòng nóng cho các thiết bị phần cứng cũng như phần
mềm lõi. Đảm bảo giải pháp quản trị dễ dàng từ xa với giao diện đồ họa trên nền Windows.
Đến thời diểm hiện nay Sidewinder G2 đã được Hiệp hội bảo mật quốc tế ICSA (www.icsalabs.com)
công nhận là sản phẩm bảo mật có nhiều tính năng và đảm bảo nhất với chứng chỉ mức độ : EAL
4+ mạnh nhất hiện nay.
6.2 Giải pháp Firewall đề nghị cho SACOMBANK
Giải pháp FireWall/VPN cho mạng máy tính trung tâm và Internet Gateway (Firewall lớp
ngòai):
Theo cấu trúc mạng của Sacombank đã thiết kế ở phần trước . Để đảm bảo chính sách bảo mật dễ

dàng và hiệu quả cho FireWall cũng như chi phí đầu tư thấp và đạt hiệu quả cao về băng thông.
Giải pháp chúng tôi kiến nghị với Sacombank là sử dụng hệ thống Pix firewall phiên bản 515E cho
phân hệ mạng lớp ngoài và phân mạng của trung tâm Sacombank làm 3 vùng mạng riêng
1. Vùng m
ạng DMZ :
Web server(Public), mail server
2. Vùng server farm chứa server quan trọng của hệ thống như Database server,
Application server, Report server, Web Server (Dự kiến vùng này sẽ sữ dụng
Firewall riêng )
3. Vùng m
ạng Lan
:bao gồm các máy trạm đặt tại trung tâm và các truy cập từ các
chi nhánh về
Mỗi vùng mạng có tính chất khác nhau nên chính sách bảo mật khác nhau,việc phân vùng bảo mật
giúp người quản trị định hướng chính sách bảo mật nhanh chóng thuận lợi.Đảm bảo hệ thống được
bảo vệ tốt nhất
Ngoài ra do số lương truy cập từ nội bộ ra gateway Internet và từ các chi nhánh nối VPN về đều
thông qua Firewall này do đó số lượng Licence tính chung để đầu tư cho Firewall lớp này là rất cao


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 20
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

nếu ứng dụng Hệ thống Checkpoint cũng như Sidewinder G2 tại Vị trí này. Trong giai đọan đầu tư
thứ I việc sử dụng Pix cho Internetgateway và tòan hệ thống sẽ đáp ứng các khả năng sau:
- Bảo vệ vốn đầu tư ban đầu

- Khả năng cung cấp bảo mật cao và khả năng truyền thông cao do tương thích với nền tảng
mạng sử dụng thiết bị Cisco đã đầu tư trong phân hệ kết nối mạng chúng tôi đã cung cấp.
- Khả năng quản trị và thiết lập dễ dàng nắm bắt đối với nhân viên quản trị cũng như giảm
chi phí chuyển giao công nghệ trong giai đọan I.
Cisco PIX Firewall 515E là sự lựa chọn phù hợp với nhu cầu của Sacombank để thiết lập hệ thống
an ninh cho mạng nội bộ và cho hệ thống các máy chủ khi tiếp cận với môi trường bên ngoài qua
Internet. Cisco PIX Firewall 515E hổ trợ 3 cổng giao tiếp 10/100 đủ khả năng đáp ứng cho 3 phân
vùng kết nối riêng biệt gồm phân vùng bên ngoài kết nối với Router, phân vùng bên trong mạng nội
bộ kết nối với Switch trung tâm và phân vùng DMZ dành cho kết nối với server cung cấp các dịch vụ
công cộng như web, hosting, và FTP.
Cisco PIX Firewall cho phép lọc những địa chỉ inbound và outbound để ngăn cản việc giả mạo IP
bằng việc kiểm tra địa chỉ IP nguồn của những gói dữ liệu (packet). Tính năng Flood Guard và Flood
Defender giúp ngăn cản những tấn công DoS (Denial of Service) vào dịch vụ AAA hoặc thông qua
giao thức TCP. Ngoài ra, PIX firewall ngăn chặn ActiveX được chèn vào những trang web hoặc ứng
dụng khác và lọc những đoạn code Java nguy hiểm và Java applets bằng việc không cho download
về hệ thống. Ngoài ra Cisco PIX Firewall hổ trợ nhiều giao thức khác nhau và các ứng dụng cụ thể
giúp bảo vệ những truy cập SMTP từ bên ngoài vào hệ thống messaging server ở bên trong thông
qua chức năng Mail Guard. PIX cũng hỗ trợ những ứng dụng multimedia như RealAudio,
Streamworks, CU-SeeMe, VDO Live, Internet phone, IRC, Vxtreme và những giao thức Real Time
Streaming Protocol (RTSP).
Để đảm bảo tính sẵn sàng cao (HA) cho hệ thống mạng hoạt động trong suốt tức là khi có một
firewall lỗi thì hoạt động của hệ thống vẫn bình thường. Chúng tôi kiến nghị giải pháp với
SaccomBank là đầu tư hai thiết bị Pix firewall 515E chạy song hành đảm bảo hệ thống hoạt động
trong suốt, gia tăng hiệu suất của hệ thống bảo mật trên gateway.

Chi ti
ết hệ thống phần cứng thiết bị đề nghị xin tham khảo danh mục phần cứng k
èm
theo
Giải pháp FireWall cho hệ thống máy chủ (Server Farm Firewall):

Do tính chất quan trọng của khu vực này cũng như việc ứng dụng các ứng dụng mạng, Cơ sở dữ
liệu quan trọng của Hội sở việc thiết kế hệ thống Firewall cho khu vực này cần đáp ứng các yêu cầu
chính sau:
- Khả năng quản trị dễ dàng và khả năng vận hành thông suốt hiệu quả độ an tòan cao về
khả năng hoạt động
- Đảm bảo khả năng bảo vệ tới lớp Application


Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 21
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

- Khả năng mở rộng và thiết kế tính năng dự phòng nóng, phân tải trong tương lai
Hiện tại tòan bộ hệ thống Server Farm (kể cả hệ thống dự kiến sẽ mở rộng trong tương lai) sẽ
khỏang 25 thiết bị do đó trong phân hệ này chúng tôi khuyến nghị hai giai pháp thích hợp và đáp
ứng cao với các yêu cầu nêu ra trên là :
- Giải pháp sử dụng Checkpoint FW1/VPN1
- Giải pháp sử dụng Sidewinder G2
Giải pháp sử dụng Checkpoint Firewall
Để đảm bảo chính sách bảo mật dễ dàng và hiệu quả cho FireWall sử dụng cho khu vực Server
Farm cũng như chi phí đầu tư thấp và đáp ứng khả năng quản trị chuyên sâu và chi tiết cho các
ứng dụng. Giải pháp thứ I chúng tôi kiến nghị với Sacombank là sử dụng hệ thống Checkpoint
Firewall cho phân hệ mạng máy chủ ứng dụng và máy chủ Database của trung tâm Sacombank làm
2 vùng mạng riêng
1. Vùng m
ạng DMZ :
CA server (Cung cấp ứng dụng quản trị chử ký số cho các ứng

dụng Ngân hàng và thiết bị mạng ), Intranet/DNS server bên trong…
2. Vùng server farm chứa server quan trọng của hệ thống như Database server,
Application server, Report server, Web Server
Để đảm bảo tính sẵn sàng cao (HA) cho hệ thống mạng hoạt động trong suốt tức là khi có một
firewall lỗi thì hoạt động của hệ thống vẫn bình thường. Chúng tôi kiến nghị giải pháp với
SaccomBank trong giai đọan II là sử dụng hai thiết bị chạy firewall CheckPoint song hành với phần
mềm HA là Rainfinity Rainwall-E RainWall sẽ dò tìm lỗi phần cứng, phần mềm, mạng đảm bảo hệ
thống hoạt động trong suốt, gia tăng hiệu suất của hệ thống bảo mật trên gateway.
Giải pháp sử dụng Sidewinder G2 Firewall
Tính năng hoàn tòan tương ứng với các tính năng của hệ thống Firewall checkpoint và còn nhiều
khả năng vượt trội.
Hệ thống Firewall Sidewinder hỗ trợ cài đặt sẳn trên hệ thống các thiết bị chuyên dụng hoặc cài đặt
trên các dòng Server Intel thông thường với tính năng cài đặt đơn giản nhất trong các loại Firewall
với công nghệ Power-It-On
Hệ thống Firewall Sidewinder hỗ trợ sẳn công nghệ dự phòng cao đáp ứng khả năng mở rộng sau
này.
Trong giải pháp này chúng tôi khuyến nghị giải pháp sử dụng thiết bị Sidewinder Firewall dòng 25
với khả năng phục vụ cùng lúc cho 50.000 transaction cùng lúc.

Danh m

c thi
ế
t b

tham kh

o tài li
ệu đính kèm





Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 22
Sacombank Network security
Security network solution for Sacombank
Saved: 14/07/2010
Version: 2.0

6.3 Giải pháp phát hiện và chống xâm nhập IDS
Giải pháp IDS cho mạng trung tâm
Hệ thống kiểm tra xâm nhập (Intrusion Detection System - IDS) kiểm soát tài nguyên và hoạt động
của hệ thống hay mạng, sử dụng thông tin thu thập được từ những nguồn này, thông báo cho
những người có trách nhiệm khi nó xác định được khả năng có sự xâm nhập.
Nếu coi Firewall là hệ thống bảo vệ của cổng truy cập mạng chính thì IDS (Intruder Detection
System) là các camera giám sát, theo dõi và phát hiện các hành động tấn công xâm nhập. Để đảm
bảo an toàn cho hệ thống ,Sacombank nên trang bị thêm thiết bị Proventia
TM
201 của công ty hàng
đầu về phần mềm và thiết bị giám sát, phát hiện và ngăn chặn xâm nhập: Internet Security System
(ISS). Dựa trên kỹ thuật như phân tích protocol, đánh dấu mẫu, kỹ thuật phát hiện thông minh để
đánh giá và kiểm soát các gói dữ liệu lưu thông qua mạng của Sacombank nhằm phát hiện, phòng
chống và đưa ra những cảnh báo đối người quản trị hệ thống thông qua phần mềm trực quan
SiteProtector
TM
.
Giải pháp IDS tích hợp có thể giới thiệu giải pháp chuẩn tích hợp phần mềm IDS Real-secure của
ISS với phần cứng của hãng Nokia và Proventia.
Giải pháp tích hợp trên được đánh giá cao trong thực tế triển khai về mặt bảo mật và khả năng

thực thi.
- Thiết bị Proventia A201 được tổ chức NSS xếp loại 1 trong các dòng sản phẩm Appliant tích
hợp với phần mềm IDS hoạt động trên đường truyền tốc độ 100MB.
- Thiết bị Proventia A201 hoạt động thử nghiệm trên mạng 100Mbps do NSS Group thực
hiện, có thể phát hiện 100% các kiểu tấn công.
- Tương tự khi sử dụng phần mềm ISS Real-secure trên server sẽ sử dụng phần mềm
SiteProtector để quản lý tập trung, thiết bị Appliant cho ISS Real-secure dễ dàng quản lý
bằng phần mềm SiteProtector.
- Có khả năng cập nhật thường xuyên với hệ thống lưu trữ các đặc điểm bảo mật mới nhất
X-Force của tổ chức ISS
- Các dòng sản phẩm Proventia A có khả năng hổ trợ tốc từ 100Mb/s đến 2000Mb/s và phục
Giải pháp phát hiện chống xâm nhập mạng sử dụng Proventia
TM
A201
Đặt điểm của thiết bị Proventia
TM
A201
 Hoạt động trong môi trường tốc độ cao Gbps
 Được phát triển dựa trên kỹ thuật RealSecure nên có khả năng phát hiện khoảng 1700 dấu hiệu
tấn công biết được đồng thời hỗ trợ phát hiện những dấu hiệu tấn công chưa được biết trước
đó.
 Phát hiện và tự động đáp trả các hành động tấn công
 Phân tích gói tin ở mức application

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×