ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA
ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA
--------------------------
DỰ ÁN
DỰ ÁN
QUY HOẠCH CƠ SỞ DỮ LIỆU VÀ HẠ TẦNG CÔNG NGHỆ THÔNG TIN
QUY HOẠCH CƠ SỞ DỮ LIỆU VÀ HẠ TẦNG CÔNG NGHỆ THÔNG TIN
TỈNH KHÁNH HÒA
TỈNH KHÁNH HÒA
TÀI LIỆU
PHÂN TÍCH THIẾT KẾ
GIẢI PHÁP ĐẢM BẢO AN NINH
THÔNG TIN HỆ THỐNG
(Mã số: KHCN-RD - 2004 – 018)
Đơn vị thực hiện : Công ty Phần mềm và Truyền thông VASC
Tổng công ty Bưu chính Viễn thông Việt nam
Địa chỉ : 99 Triệu Việt Vương – Hà Nội
Điện thoại : 84.4.9782235
HÀ NỘI – 2005
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
THUẬT NGỮ
THUẬT NGỮ
Thuật ngữ Diễn giải
Hệ thống
thông tin
Máy tính, thiết bị mạng, hệ thống mạng, các ứng dụng
triển khai trên mạng.
Máy chủ Trong phạm vi của tài liệu , máy chủ ở đây được xem
là các máy chủ thuộc mạng của Khánh Hòa.
Máy trạm Các máy tính kết nối với mạng nội bộ của Trung tâm
xử lý dữ liệu (kết nối trực tiếp hoặc kết nối từ xa).
Người sử
dụng
Là cán bộ, công nhân, viên chức làm việc tại các đơn
vị tham gia hệ thống, khách hàng, đối tác có sử dụng
hoặc tham gia vào hệ thống máy tính, hệ thống mạng
nội bộ, dịch vụ của Khánh Hòa.
Quản trị hệ
thống
Là người chịu trách nhiệm duy trì hoạt động liên tục
của hệ thống máy tính, hệ thống mạng nội bộ, dịch vụ
của Khánh Hòa; là người đối phó, ngăn ngừa các hoạt
động có tính chất phá hoại, làm gián đoạn hoạt động
của các máy tính trong công việc quản lý nhà nước
của Khánh Hòa. Người quản trị hệ thống cũng có thể
xem như là một người sử dụng nếu đứng ở góc độ
khai thác thông tin trên hệ thống.
Bộ phận
quản trị hệ
thống
Nhóm người quản trị hệ thống thực hiện các công việc
của người quản trị. Mỗi bộ phận, có thể có bộ phận
quản trị riêng chịu trách nhiệm cho hệ thống mạng nội
bộ của mình. Bộ phận quản trị hệ thống của Trung
tâm Tích hợp dữ liệu có trách nhiệm quản trị hệ thống
cho hệ thống mạng dịch vụ của Khánh Hòa.
Tên truy
nhập
Tên hoặc định danh mà người sử dụng để đăng nhập
vào mạng hoặc các ứng dụng.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 1
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Mật khẩu
truy nhập
Là mã số bí mật của người sử dụng được cung cấp
kèm với tên truy nhập. Mã số này có thể thay đổi bởi
chính người sử dụng hoặc người quản trị.
Sao lưu dữ
liệu
Biện pháp lưu trữ thêm một hoặc nhiều bản sao của dữ
liệu trên hệ thống để có thể sử dụng lại trong các
trường hợp cần thiết hoặc có sự cố.
Tài nguyên
mạng
File dữ liệu, thư mục, ổ đĩa, máy in được cài đặt, thiết
lập tại máy chủ hoặc 1 máy tính nào đó trên mạng.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 2
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
MỤC LỤC
MỤC LỤC
MỞ ĐẦU...............................................................................................4
CHƯƠNG 1 ..............................................................6
SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO AN TOÀN THÔNG TIN TRÊN THẾ
GIỚI VÀ VIỆT NAM.................................................................................6
CHƯƠNG 2 .............................................................12
NGHIÊN CỨU, PHÂN TÍCH CÁC ĐẶC THÙ AN TOÀN THÔNG TIN12
CHƯƠNG 3 .............................................................21
CÁC BƯỚC THỰC THI AN TOÀN BẢO MẬT CHO HỆ THỐNG......21
CHƯƠNG 4 .............................................................27
GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN CHO HỆ THỐNG.....27
CHƯƠNG 5 .............................................................41
XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN...........................41
CHƯƠNG 6 .............................................................53
PHỤ LỤC............................................................................................53
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 3
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
MỞ ĐẦU
MỞ ĐẦU
Song song với việc “ Quy hoạch hệ thống Cơ sở dữ liệu và hạ
tầng kỹ thuật Công nghệ thông tin tỉnh Khánh Hòa” phục vụ công tác
quản lý Nhà nước, xây dựng nền tảng về công nghệ thông tin, cũng
như phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa
học, giáo dục, xã hội,... thì việc bảo về những thành quả đó là một điều
không thể thiếu. An toàn nghĩa là thông tin được bảo vệ, các hệ thống
và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác
động không mong đợi, các thay đổi tác động đến độ an toàn của hệ
thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau là không an
toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền
truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin
trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin
bị xáo trộn)...
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp
thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi
các chức năng của hệ thống đảm bảo hoạt động đúng đắn. Mục tiêu của
an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn
an toàn. Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc
giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin
ngày càng phát triển đáp ứng các yêu cầu ngày càng cao nên hệ thống
chỉ có thể đạt tới độ an toàn nào đó. Quản lý an toàn và sự rủi ro được
gắn chặt với quản lý chất lượng. Khi đánh giá độ an toàn thông tin cần
phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối
thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và
quá trình kiểm tra chất lượng.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 4
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Tài liệu này được xây dựng nhằm nghiên cứu, phân tích các đặc
thù an toàn thông tin trên cơ sở hạ tầng kỹ thuật CNTT đã quy hoạch.
Từ đó xác định rõ các yêu cầu cụ thể về an ninh thông tin cần bảo đảm
cho hệ thống. Nghiên cứu, phân tích các lỗ hổng bảo mật, khả năng
"nghe trộm" và các hình thức tấn công vào các hệ thống cơ sở dữ liệu.
Từ đó xác định và thống kê các nguy cơ cụ thể, mức độ nguy hại và
giải pháp phòng, tránh trên môi trường mạng đa người dùng, trên
Internet và tại các bộ phận quản trị, quản lý hệ thống, với các mức độ
cụ thể cho: hệ thống, mạng và CSDL.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 5
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Chương 1
Chương 1
SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO AN
SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO AN
TOÀN THÔNG TIN TRÊN THẾ GIỚI VÀ
TOÀN THÔNG TIN TRÊN THẾ GIỚI VÀ
VIỆT NAM
VIỆT NAM
Thế giới đã, đang và ngày càng được hưởng lợi từ các thành quả
ứng dụng CNTT và viễn thông đem lại, thế nhưng chúng ta cũng mất
không ít công sức và tiền bạc để bảo vệ các thành quả đó. An ninh, bảo
mật mạng máy tính, vì vậy đã là một chủ đề thời sự và đương nhiên
cũng trở thành một thị trường nóng.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 6
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
1.1
1.1
AN NINH BẢO MẬT MẠNG NHÌN TỪ THẾ GIỚI
AN NINH BẢO MẬT MẠNG NHÌN TỪ THẾ GIỚI
Hãng dịch vụ tư vấn Deloitte trong báo cáo An ninh mạng toàn
cầu 2004 của mình cho biết, có tới 83% doanh nghiệp được khảo sát bị
hacker tấn công trong năm 2003, gấp hơn hai lần số vụ tấn công năm
2002. Theo CheckPoint, thiệt hại do virus và sâu máy tính năm 2003
trên thế giới lên tới 12,5 tỷ USD. Ông Kevin Lim- Giám đốc Check
Point khu vực Nam Á nhận định:"Giờ đây hacker không chỉ dùng
mạng để tấn công máy tính hay mạng nữa. Hacker có thể dùng các
chương trình virus tấn công thông qua giao thức http hay smtp. Thậm
chí họ gửi cho bạn một bức thư trong đó có gài virus để mở một cổng
mới và tấn công thông qua đó. Vì vậy công nghệ bảo mật an ninh đang
được phát triển theo xu hướng ngăn chặn truy cập trái phép vào mạng
máy tính và có thể nhận dạng các ứng dụng không mong muốn".
Theo Meta Group, chi phí cho an ninh mạng máy tính hiện nay
chiếm từ 3 đến 4% tổng chi phí cho CNTT trên toàn cầu. Đến 2006, tỷ
trọng sẽ đạt từ 6-8%. Riêng đối với thị trường châu Á TBD mức chi
cho an ninh mạng từ nay đến 2008 sẽ tăng bình quân 22%/năm, gấp
đôi tỷ lệ của thế giới. Những nguy cơ an ninh mạng máy tính trước đây
tính bằng tuần bằng ngày thì nay được tính theo phút, và không bao lâu
sau sẽ là giây.
1.2
1.2
AN NINH BẢO MẬT TẠI VIỆT NAM
AN NINH BẢO MẬT TẠI VIỆT NAM
Bấy lâu nay, dư luận không còn xôn xao với những chuyện các
nhóm hacker trong và ngoài nước thi nhau tấn công các trang web báo
điện tử, trang thông tin các tổ chức, doanh nghiệp... Nhưng liệu rằng
dưới mặt hồ bình yên đó có hiện hữu những đợt sóng ngầm? Xin khẳng
định là có, và điều đáng nói hơn là những cơn sóng ngầm trên lĩnh vực
an ninh mạng máy tính ở nước ta đang diễn ra muôn hình vạn trạng.
Một ví dụ rất nhỏ là việc hàng giờ, hàng ngày, virus phá hoại dữ
liệu, hệ thống mạng máy tính của các doanh nghiệp, tổ chức trên khắp
phạm vi toàn quốc. Thiệt hại không nhỏ về hạ tầng là một chuyện, đình
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 7
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
trệ công việc lại là chuyện lớn hơn khi đã có rất nhiều công việc hàng
ngày của chúng ta phụ thuộc vào máy tính và mạng máy tính. Chỉ có
điều là virus, hacker cứ tấn công, còn các doanh nghiệp cứ khắc phục,
coi như một sự bình thường, mà ít ai để ý đến các vấn đề phòng chống
hiệu quả. Ông Vũ Bảo Thạch- phó giám đốc công ty phần mềm Misoft
cho biết: "Đã từng xảy ra những sự cố CNTT thế nhưng thông thường
các cơ quan đều không nhìn nhận đúng về thiệt hại của nó. Chúng ta
đang thiếu những thống kê về thiệt hại do hacker, do sự cố, và sự mất
an toàn hệ thống thông tin, đã gây thiệt hại về kinh tế, về cơ hội giao
dịch kinh doanh, năng suất lao động trong các tổ chức của chính chúng
ta. Thiếu các con số thống kê này thị trường CNTT sẽ không có cơ
khai thác hay chúng ta đang không biết phải cần bao nhiêu tiền của và
cần như thế nào?".
Đối với phần đa các doanh nghiệp, tổ chức, đầu tư cho CNTT
vẫn đang nặng về phần cứng, không nhiều cho phần mềm, rất ít cho
đào tạo, và không đáng kể cho những chuyện đại loại như duy trì, bảo
hành hệ thống, phát triển nhân lực cũng như đầu tư cho an ninh, bảo
mật mạng máy tính.
Tuy nhiên, rất đáng mừng, nhiều doanh nghiệp, tổ chức lớn vốn
đã ứng dụng nhiều và phụ thuộc lớn vào CNTT như Tài chính, Ngân
hàng, Viễn thông... đã có sự đầu tư đáng kể cho vấn để an ninh, bảo
mật mạng máy tính. Và bản thân sự đầu tư ngày càng tăng cho an ninh,
bảo mật mạng máy tính như vậy, ở một khía cạnh nào đó có thể xem là
bước tiến mới trong ứng dụng CNTT ở nước ta. TS Đỗ Cao Bảo- Giám
đốc công ty Hệ thống thông tin FPT cho biết: "Tôi muốn nhấn mạnh
rằng khách hàng cần phải quan tâm nhiều hơn, nếu không muốn bị
thiệt hại cho cả hệ thống, cho khách hàng. Hiện số lượng công ty cung
cấp giải pháp bảo mật tổng thể và tốt chưa nhiều nên nhân dịp này
chúng tôi muốn tập trung giới thiệu các giải pháp bảo mật của mình".
1.3
1.3
AN NINH BẢO MẬT MẠNG
AN NINH BẢO MẬT MẠNG
Trong thực tế, nhận thức của các tổ chức, doanh nghiệp chính là
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 8
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
vấn đề cần phải giải quyết trước khi đề cập tới bất kỳ một giải pháp,
công nghệ an ninh, bảo mật mạng máy tính nào. Điều này đặc biệt
đúng đối với các doanh nghiệp vừa và nhỏ. Họ đang là mục tiêu tấn
công chủ yếu của hacker hiện nay. Và thường thì doanh nghiệp nhỏ, lỗ
hổng bảo mật lớn.
Vấn đề là các doanh nghiệp vừa và nhỏ không chỉ thiếu tài chính
và nhân lực cho an toàn, an ninh mạng, mà quan trọng không kém, là
sự nhận thức phiến diện an ninh mạng chỉ đơn thuần là việc chống
virus máy tính. Ngay tại Mỹ, cũng có tới 35% doanh nghiệp nhỏ không
sử dụng bức tường lửa. Ian Loh - Giám đốc EMC Nam Á cho biết:"
Mọi người sử dụng rất nhiều tiền để bảo vệ tiền mặt nhưng vẫn chưa
đủ để bảo vệ các trung tâm dữ liệu nơi mà các luồng giao dịch phi tiền
mặt đổ đến. Các bạn sẽ thấy mọi người giao dịch sử dụng thẻ thông
minh hay séc, đó thực sự là dữ liệu nhị phân của hai con số 1 và 0.
Thông tin hiện nay thực sự là tiền bạc ai cũng biết điều đó, nhưng ngày
mai tiền bạc là thông tin, không còn tiền mặt như các giao dịch thông
thường".
Một điều rõ ràng là nguy cơ đối đầu với các mối nguy hiểm trên
Internet ngày một gia tăng. Bản thân, các hình thức tấn công trên
Internet ngày một đa dạng, tinh vi và phức tạp. Giải pháp đưa ra là sự
cần thiết phải có một chiến lược giảm thiểu nguy cơ tấn công của virus
và sâu máy tính.
Thứ hai là một kiến trúc an ninh có khả năng cô lập những lỗi đã
biết và chưa biết của hệ thống. Và cuối cùng cách tiếp cận với vấn đề
an ninh giờ đây đã phải thay đổi nhiều so với trước kia. Một hệ thống
phòng thủ hiện đại phải nhiều tầng nhiều lớp, chủ động, tự động. TS
Đỗ Cao Bảo- Giám đốc công ty Hệ thống thông tin FPT cho biết:
"Chúng tôi rất tâm đắc với triết lý bảo mật: Thứ nhất, bảo mật phải
nhiều tầng, nhiều lớp, chứ một lớp không đủ. Thứ 2, bảo mật sử dụng
nhiều công nghệ. Với công nghệ của một hãng nếu hacker biết thì hoàn
toàn có thể phá được. Chính vì vậy ta phải dùng nhiều công nghệ khác
để bảo vệ hệ thống. Thứ 3, bảo mật phải là một quá trình liên tục".
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 9
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Tại triển lãm ICT Finance 2004 mới đây, nhiều hãng đã mang
tới không chỉ các sản phẩm, công nghệ mới mà cả những giải pháp
tổng thể về an ninh, bảo mật mạng máy tính. Đáng chú ý là hệ thống
phòng chống thông minh của Checkpoint.
Thông thường, các bức tường lửa chỉ nhắm tới việc chống các
cuộc tấn công ở tầng dưới trong mô hình 7 lớp, còn hệ thống phòng
chống thông minh Smart Defence của Checkpoint đưa thêm công nghệ
chống các cuộc tấn công lợi dụng các lỗ hổng bảo mật ở tầng ứng
dụng. Kevin Lim- Giám đốc Check Point khu vực Nam Á cho rằng:
"Để các giải pháp an ninh có thể ngăn chặn những cuộc tấn công thông
minh, bạn không chỉ phải ngăn chặn các cuộc tấn công ở lớp mạng mà
còn phải xác định được những lỗ hổng của ứng dụng. Một khi có khả
năng nhận dạng được như vậy, bạn sẽ có khả năng ngăn chặn sâu tấn
công hoặc một số ứng dụng đang sử dụng một số cổng trái phép của hệ
thống". Vũ Bảo Thạch- phó giám đốc Công ty phần mềm Misoft: "Một
ví dụ đơn giản, nếu chúng ta có máy chủ Web, chúng ta bắt buộc phải
mở một số cổng để cho người dùng đi vào đấy và hoàn toàn hacker có
thể dùng chính các cổng đó để tấn công hạ gục server đó. Thế thì làm
sao chúng ta phân biệt được đâu là gói tin của hacker?. Giải pháp
chúng tôi đưa ra smart defense của checkpoint đáp ứng được yêu cầu
đó. Chúng tôi lọc qua những đoạn mã tấn công độc hại, gửi tới các
sever, loại trừ nó ra trước khi nó đến được Web sever. Còn những giao
thông bình thường, gói tin bình thường sẽ đến được Web sever một
cách toàn vẹn và đầy đủ".
Đáng chú ý tại ICT Finance 2004, là sự hiện diện của các công
ty Việt Nam trên một thị trường hết sức mới mẻ này. Misoft là đại diện
chính thức của các hãng phần mềm bảo mật như Checkpoint, trong khi
FPT không chỉ hiện diện với tư cách là đại lý phân phối các thiết bị,
công nghệ an ninh, bảo mật mà còn là một nhà cung cấp các giải pháp
tổng thể trong lĩnh vực này. Vũ Ngọc Tú- chuyên viên an ninh mạng
FIS cho biết: "Ngoài việc các thiết bị phát hiện đột nhập đến hoạt động
một cách thủ công tức là người quản trị phải tự động tìm cách để ngăn
chặn thì chúng tôi có các thiết bị tự động phát hiện tấn công sẽ ngăn
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 10
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
chặn lập tức cuộc tấn công đó. Hệ thống ngoài khả năng phát hiện ra
cuộc tấn công bằng cách thông báo nó còn ngăn chặn được các cuộc
tấn công trực tiếp vào hệ thống. Hệ thống sẽ ngừng kết nối khi nhận
thấy có người đang tấn công. Không những thế hệ thống sẽ tự động
ngăn chặn trực tiếp các cuộc tấn công mà không cần bất cứ sự can
thiệp của người quản lý hệ thống".
FPT còn mang đến triển lãm một điểm lý thú khác, đó là cách
tiếp cận phổ biến trên thế giới, nhưng rất mới ở nước ta: cung cấp dịch
vụ an ninh, bảo mật hệ thống thông tin. Nghĩa là ngoài các chủng loại
thiết bị phần cứng, phần mềm, giải pháp tổng thể, FPT còn sẽ cung cấp
dịch vụ tư vấn, dịch vụ an ninh, bảo mật cho các hệ thống máy tính các
doanh nghiệp, tổ chức. Đây cũng có thể xem là một bước đi tạo ưu thế
cạnh tranh của FPT trong một thị trường đang lên này. TS Đỗ Cao
Bảo- Giám đốc công ty hệ thống thông tin FPT nói :" Quan trọng nhất
trong bảo mật là chúng tôi muốn đưa đến một thông điệp bảo mật
không phải là một thiết bị cũng không thuần tuý là một giải pháp. Nó
là sự kết hợp giữa thiết bị, giải pháp và dịch vụ. Lý do rất đơn giản vì
hôm nay, chúng ta bảo mật hệ thống thông tin tốt, thì hacker lại tìm
những thủ thuật mới công nghệ, phương cách tấn công mới. Như vậy,
bảo mật phải nghĩ ra những quy trình mới, những luật mới để bảo mật.
Vì vậy, bảo mật là dịch vụ được quá trình lặp không ngừng và dịch vụ
nhiều khi còn tốn kém hơn thiết bị đầu tư ban đầu".
An ninh, bảo mật mạng máy tính đã trở thành một phần không
thể thiếu trong các hệ thống CNTT các tổ chức doanh nghiệp. Vấn đề
là thời gian qua, chúng ta đã quan tâm tới vấn đề này đến đâu và tương
lai, chúng ta đã có kế hoạch, chiến lược như thế nào của các tổ chức,
doanh nghiệp nhằm đảm bảo cho các hệ thống thông tin vận hành một
cách trơn tru, phát huy tối đa các ứng dụng CNTT- truyền thông.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 11
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Chương 2
Chương 2
NGHIÊN CỨU, PHÂN TÍCH CÁC ĐẶC
NGHIÊN CỨU, PHÂN TÍCH CÁC ĐẶC
THÙ AN TOÀN THÔNG TIN
THÙ AN TOÀN THÔNG TIN
2.1
2.1
CÁC TIÊU CHUẨN ĐÁNH GIÁ MỨC ĐỘ AN TOÀN
CÁC TIÊU CHUẨN ĐÁNH GIÁ MỨC ĐỘ AN TOÀN
THÔNG TIN CỦA MỘT HỆ THỐNG
THÔNG TIN CỦA MỘT HỆ THỐNG
Để đánh giá mức độ an toàn thông tin tuân theo các điều kiện
sau:
• Hệ thống an toàn là hệ thống trước tiên phải có các tài liệu về
chính sách an toàn thông tin.
• Sau khi đã xây dựng và đưa ra được các chính sách an toàn
thông tin, việc tiếp theo là phân bổ các trách nhiệm về an ninh
hệ thống.
• Các chương trình giáo dục và huấn luyện về an ninh thông tin.
• Các báo cáo về các biến cố liên quan đến an ninh thông tin.
• Các biện pháp kiểm soát Virus.
• Kiểm soát việc sao chép các thông tin thuộc sở hữu hệ thống.
• Việc bảo vệ các hồ sơ của tổ chức.
• Việc tuân thủ pháp luật về bảo vệ dữ liệu.
• Việc tuân thủ chính sách về an ninh hệ thống của toàn bộ các
đơn vị, thành phần tham gia vào hệ thống.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 12
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
2.2
2.2
NHU CẦU BẢO VỆ THÔNG TIN
NHU CẦU BẢO VỆ THÔNG TIN
Nguyên nhân mất an toàn thông tin:
Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ
hữu hiệu trong sản xuất kinh doanh, đã trở thành đối tượng cho nhiều
người tấn công với các mục đích khác nhau. Đôi khi, cũng chỉ đơn giản
là để thử tài hoặc đùa bỡn với người khác.
Cùng với sự phát triển không ngừng của Internet và các dịch vụ
trên Internet, số lượng các vụ tấn công trên Internet cũng tăng theo cấp
số nhân. Trong khi các phương tiện thông tin đại chúng ngày càng
nhắc nhiều đến Internet với những khả năng truy nhập thông tin dường
như đến vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều
đến vấn đề bảo đảm an ninh và an toàn dữ liệu cho các máy tính được
kết nối vào mạng Internet.
Những vụ tấn công nhằm vào tất cả các máy tính có mặt trên
Internet, các máy tính của tất cả các công ty lớn như AT&T, IBM, các
trường đại học, các cơ quan nhà nước, các tổ chức quân sự, nhà băng...
Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị
tấn công). Hơn nữa, những con số này chỉ là phần nổi của tảng băng
chìm. Một phần rất lớn các vụ tấn công không được thông báo, vì
nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản
những người quản trị hệ thống không hề hay biết những cuộc tấn công
nhằm vào hệ thống của họ.
Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà
các phương pháp tấn công cũng liên tục được hoàn thiện. Điều đó một
phần do các nhân viên quản trị hệ thống được kết nối với Internet ngày
càng đề cao cảnh giác. Những cuộc tấn công thời kỳ 1988-1989 chủ
yếu đoán tên người sử dụng-mật khẩu (UserID-password) hoặc sử
dụng một số lỗi của các chương trình và hệ điều hành (Security hole)
làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian
gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi thông
tin truyền qua mạng, chiếm các phiên làm việc từ xa (Telnet hoặc
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 13
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Rlogin).
Nhu cầu bảo vệ thông tin trên Internet có thể chia thành ba loại
gồm: Bảo vệ dữ liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo
vệ danh tiếng của cơ quan:
2.2.1
2.2.1
Bảo vệ dữ liệu
Bảo vệ dữ liệu
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe
doạ tới độ an toàn thông tin có thể đến từ nhiều nơi theo nhiều cách
chúng ta nên đưa ra các chính sách và phương pháp đề phòng cần thiết.
Mục đích cuối cùng của an toàn bảo mật là bảo vệ các thông tin và tài
nguyên theo các yêu cầu sau:
• Tính tin cậy: Những thông tin có giá trị về kinh tế, quân sự,
chính sách vv... cần được giữ kín. Thông tin không thể bị truy
nhập trái phép bởi những người không có thẩm quyền.
• Tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả
bởi những người không có thẩm quyền.
• Tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng
cho người có thẩm quyền khi có yêu cầu truy nhập thông tin
vào đúng thời điểm cần thiết
• Tính không thể từ chối: Thông tin được cam kết về mặt pháp
luật của người cung cấp.
Trong các yêu cầu này, thông thường yêu cầu về bảo mật được
coi là yêu cầu số 1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay
cả khi những thông tin này không được giữ bí mật, thì những yêu cầu
về tính toàn vẹn cũng rất quan trọng. không một cá nhân, một tổ chức
nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin
mà không biết về tính đúng đắn của những thông tin đó.
2.2.2
2.2.2
Bảo vệ các tài nguyên sử dụng trên mạng
Bảo vệ các tài nguyên sử dụng trên mạng
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công,
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 14
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy
này để phục vụ cho mục đích của mình như chạy các chương trình dò
mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục
tấn công các hệ thống khác vv...
2.2.3
2.2.3
Bảo vệ danh tiếng cơ quan
Bảo vệ danh tiếng cơ quan
Một phần lớn các cuộc tấn công không được thông báo rộng rãi,
và một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan,
đặc biệt là các công ty lớn và các cơ quan quan trọng trong bộ máy nhà
nước. Trong trường hợp người quản trị hệ thống chỉ được biết đến sau
khi chính hệ thống của mình được dùng làm bàn đạp để tấn công các
hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả
lâu dài.
2.3
2.3
MỘT SỐ ĐẶC ĐIỂM KHÔNG AN TOÀN VÀ TÌNH HÌNH
MỘT SỐ ĐẶC ĐIỂM KHÔNG AN TOÀN VÀ TÌNH HÌNH
THỰC TẾ CỦA CÁC HỆ THỐNG THÔNG TIN
THỰC TẾ CỦA CÁC HỆ THỐNG THÔNG TIN
2.3.1
2.3.1
Một số đặc điểm không an toàn
Một số đặc điểm không an toàn
Trước đây, Viện SANS và Trung tâm Phòng Vệ Hạ Tầng Quốc
Gia (NIPC – National Infrastructure Protection Center) xuất bản một
tài liệu tổng kết về mười yếu điểm nghiêm trọng nhất của an toàn
Internet. Hàng nghìn tổ chức đã sử dụng danh sách đó để ưu tiên giải
quyết các lỗ hổng nguy hiểm nhất. Và bảng danh sách mới này, ra mắt
đã được cập nhật và mở rộng cho danh sách TOP 10 đó. Với phiên bản
mới này, danh sách các yếu điểm được tăng trưởng đến con số 20 đồng
thời được phân chia thành 3 nhóm yếu điểm: Chung, Unix và
Windows.
2.3.1.1
2.3.1.1
Các khó khăn trong việc quản lý và thực thi an toàn thông tin
Các khó khăn trong việc quản lý và thực thi an toàn thông tin
Các kinh nghiệm trong lĩnh vực an toàn thông tin hệ thống máy
tính ngày càng tăng về công nghệ và mọi phương diện đặc biệt trong
những năm gần đây. Sự cố Y2K, Internet và thương mại điện tử ngày
càng phát triển đã góp phần làm tăng khả năng tấn công vào hệ thống.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 15
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Thật may là các tập đoàn và các chính phủ đã có những quan tâm đáp
lại, họ phần nào đã hiểu rõ sự nguy hiểm và sức mạnh của các tổ chức
gián điệp và nhận ra khả năng bị tấn công là rất lớn. Khách hàng sẽ
không đầu tư vào đơn vị của bạn nếu hệ thống thông tin là không an
toàn. Tuy nhiên, việc quản lý và thực thi an toàn thông tin là rất khó
khăn.
2.3.1.2
2.3.1.2
Nguyên nhân dẫn đến các lỗ hổng về an toàn trong máy tính
Nguyên nhân dẫn đến các lỗ hổng về an toàn trong máy tính
Dựa trên ý kiến của 1,850 nhà quản lý và các chuyên gia bảo
mật máy tính trong cuộc hội thảo tại SANS99 và hội thảo về bảo mật
máy tính liên bang tại Baltimore 7-14/05/1999 người ta đã đưa ra bảy
sai lầm hay gặp nhất dẫn đến các lỗ hổng về an toàn trong máy tính.
• Sai lầm thứ nhất: Đặt những người thiếu đào tạo về bảo mật
vào vị trí duy trì tính bảo mật mà không đào tạo thêm đồng thời
cũng không cho họ thời gian hợp lý để có thể thực hiện công
việc.
• Sai lầm thứ hai: Thiếu sự hiểu biết về mối quan hệ của bảo mật
thông tin và nghiệp vụ - Họ hiểu một cách máy móc về bảo mật
mà không thấy được hậu quả của sự thiếu bảo mật thông tin.
• Sai lầm thứ ba: Giải pháp sai lệch khi thực hiện thao tác bảo
mật: sửa nhanh một vài lỗi và không theo một qui trình tối thiểu
để đảm bảo lỗi đã được sửa.
• Sai lầm thứ tư: Quá tin tưởng vào bức tường lửa.
• Sai lầm thứ năm: Nhận thức sai về giá trị của thông tin và danh
tiếng của công ty.
• Sai lầm thứ sáu: Chỉ sửa lỗi tạm thời hoặc để đối phó dẫn đến
rắc rối ngày càng nghiêm trọng hơn.
• Sai lầm thứ bảy: Cho rằng rắc rối sẽ tự mất nếu bỏ qua chúng.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 16
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
2.3.1.3
2.3.1.3
Các tấn công được thực hiện như thế nào?
Các tấn công được thực hiện như thế nào?
Hầu hết các tấn công được thực hiện trên các công cụ hacker có
sẵn miễn phí. Các công cụ này đều có những mục đích riêng và thực
hiện được với một hiệu quả cao như nó dễ dàng tìm kiếm và đăng nhập
một máy tính khi hệ thống không an toàn. Hãy tưởng tượng, nếu như
có một tên trộm đang thử toàn bộ các cửa ra vào của một thành phố chỉ
với thời gian ít phút. Rõ ràng, nó sẽ không mấy khó khăn khi tìm được
một cửa vào đang mở.
2.3.1.4
2.3.1.4
Hiểm hoạ về an toàn đối với máy tính cá nhân
Hiểm hoạ về an toàn đối với máy tính cá nhân
Theo khảo sát của ICSA, hàng tháng có khoảng 14 trên tổng số
1000 máy tính bị nhiễm virus. Qua khảo sát 538 nhà quản lý an toàn
bảo mật cho thấy, 85% các bản báo cáo của họ về lỗ hổng trong an
toàn bảo mật.
2.4
2.4
CÁC KIỂU TẤN CÔNG MẠNG
CÁC KIỂU TẤN CÔNG MẠNG
2.4.1
2.4.1
Tấn công trực tiếp
Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong
giai đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương
pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây là
phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện
đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin
như tên người dùng, ngày sinh, địa chỉ, số nhà vv… để đoán mật khẩu.
Trong trường hợp có được danh sách người sử dụng và những thông
tin về môi trường làm việc, có một trương trình tự động hoá về việc dò
tìm mật khẩu này. Một trương trình có thể dễ dàng lấy được từ
Internet để giải các mật khẩu đã mã hoá của các hệ thống Unix có tên
là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo
những quy tắc do ngời dùng tự định nghĩa. Trong một số trường hợp,
khả năng thành công của phương pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 17
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và
vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp
phương pháp này cho phép kẻ tấn công có được quyền của người quản
trị hệ thống (Root hay Administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương
pháp này là ví dụ với chương trình sendmail và chương trình rlogin của
hệ điều hành UNIX:
• Sendmail là một chương trình phức tạp, với mã nguồn bao gồm
hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với
quyền ưu tiên của người quản trị hệ thống, do chương trình phải
có quyền ghi vào hộp thư của những người sử dụng máy. Và
Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên
ngoài. Đây chính là những yếu tố làm cho sendmail trở thành
một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ
thống.
• Rlogin cho phép người sử dụng từ một máy trên mạng truy
nhập từ xa vào một máy khác sử dụng tài nguyên của máy này.
Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin
không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể
đưa vào một xâu đã được tính toán trước để ghi đè lên mã
chương trình của rlogin, qua đó chiếm được quyền truy nhập.
2.4.2
2.4.2
Nghe trộm
Nghe trộm
Việc nghe trộm thông tin trên mạng có thể đưa lại những thông
tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật
chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi
kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các
chương trình cho phép giao tiếp với card mạng (Network Interface
Card-NIC) theo chế độ nhận toàn bộ các thông tin lưu truyền trên
mạng. Những thông tin này cũng có thể dễ dàng lấy được trên Internet.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 18
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
2.4.3
2.4.3
Giả mạo địa chỉ
Giả mạo địa chỉ
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử
dụng khả năng dẫn đường trực tiếp (source-routing). Với cách tấn công
này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ
IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được
coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà
các gói tin IP phải gửi đi.
2.4.4
2.4.4
Vô hiệu hóa các chức năng của hệ thống
Vô hiệu hóa các chức năng của hệ thống
Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực
hiện chức năng theo thiết kế. Kiểu tấn công này không thể ngăn chặn
được, do những phương tiện tổ chức tấn công cũng chính là các ph-
ương tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng
lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn
bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này,
không còn các tài nguyên để thực hiện những công việc có ích khác.
2.4.5
2.4.5
Lỗi của ngư
Lỗi của ngư
ời quản trị hệ thống
ời quản trị hệ thống
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy
nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho
phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.
2.4.6
2.4.6
Tấn công vào yếu tố con ng
Tấn công vào yếu tố con ng
ười
ười
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả
làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền
truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số
cấu hình của hệ thống để thực hiện các phương pháp tấn công khác.
Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một
cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ
về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng
đáng nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ
một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 19
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ
thống bảo vệ. Có quá nhiều công ty tin rằng an toàn thông tin là vấn đề
ở sản phẩm, nhưng cốt lõi của vấn đề lại ở chỗ: con người chính là mắt
xích yếu nhất trong cả một hệ thống an toàn thông tin. Các biện pháp
bảo mật tốn kém đôi khi lại chẳng có hiệu quả nếu doanh nghiệp không
thể thi hành được một chính sách an toàn thông tin đơn giản nhất, và
điều này vô tình đã đặt toàn bộ hệ thống hạ tầng cơ sở công nghệ thông
tin của doanh nghiệp trước các cuộc tấn công ác ý.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 20
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Chương 3
Chương 3
CÁC BƯỚC THỰC THI AN TOÀN BẢO
CÁC BƯỚC THỰC THI AN TOÀN BẢO
MẬT CHO HỆ THỐNG
MẬT CHO HỆ THỐNG
Phần này trình bày các hoạt động, biện pháp nhằm tăng cường
tính an toàn, bảo mật cho hệ thống mạng máy tính theo các mức khác
nhau. Đặc điểm của các biện pháp này là chi phí thực hiện thấp và hiệu
quả đã được chứng minh thông qua việc triển khai thực tế ở nhiều đơn
vị khác nhau. Tiêu chí của các hành động, biện pháp này là: chi phí
thấp, hiệu quả cao.
Để có được danh sách các hoạt động đem lại hiệu quả cao, cần
xác định rõ các nhân tố tối thiểu về an toàn bảo mật cho một hệ thống
và mạng cùng với các kiến thức quản trị và kỹ năng để thực hiện các
hoạt động tăng cường an toàn bảo mật.
3.1
3.1
CÁC HOẠT ĐỘNG BẢO MẬT Ở MỨC MỘT
CÁC HOẠT ĐỘNG BẢO MẬT Ở MỨC MỘT
Ở mức một, người thực thi bảo mật, quản trị hệ thống & mạng
thực hiện làm cho môi trường mạng, máy tính ít bị lỗ hổng bảo mật
hơn vì đã được sửa lỗi bằng các bản sửa lỗi hoặc bằng các biện pháp
kỹ thuật. Mỗi một hành động thường được đảm bảo và điều khiển bởi
một chính sách tương ứng.
• Thực hiện các cảnh báo ngay lập tức (trực tuyến) để nhắc nhở,
thông báo mỗi người dùng trong mạng các quy tắc sử dụng mỗi
khi truy nhập vào hệ thống của tổ chức. Không có các cảnh báo
như vậy, các kẻ tấn công bên trong và bên ngoài tổ chức có thể
không bị buộc tội khi họ bị bắt.
• Thực hiện một mạng lưới bảo vệ, lọc, phát hiện và tiêu diệt
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 21
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
virus - trên tất các các máy trạm (PCs), máy chủ, và các cổng
kết nối mạng (gateway). Đảm bảo cập nhật thường xuyên các
phần mềm diệt virus.
• Đảm bảo rằng hệ thống sao lưu dữ liệu hoạt động định kỳ, các
tập tin có thể được khôi phục từ các bản sao lưu định kỳ đó, và
người quản trị hệ thống có đủ kiến thức cập nhật cần thiết để
thực hiện sao lưu trên tất cả các hệ thống ngay lập tức trong
trường hợp bị tấn công. Nếu không có dữ liệu được sao lưu tốt,
một vấn đề nhỏ trong an toàn bảo mật có thể trở thành thảm họa
- vừa lãng phí tài chính, vừa lãng phí thời gian.
• Cho phép ghi nhật ký các sự kiện quan trọng của hệ thống, các
dịch vụ (service), proxy và thiết lập cơ chế lưu các tập tin nhật
ký. Các hệ thống không có cơ chế ghi nhật ký hiệu quả sẽ trở
thành mù quáng và nó gây khó khăn cho công việc học và xem
xét các vấn đề xảy ra trong một vụ tấn công, hoặc thậm chí có
thể biết vụ tấn công đó có thành công hay không.
• Thực thi xác thực hệ thống (audit) để kiểm soát người sử dụng
hệ thống, các cổng dịch vụ (port) được mở để sử dụng cho bên
ngoài, và kiểm tra lại các nhân tố có liên quan đến bảo mật
khác.
• Chạy các chương trình phá mật khẩu để xác định các mật khẩu
yếu, dễ bị lộ. Mật khẩu yếu cho phép kẻ tấn công giả danh
người sử dụng đăng nhập vào hệ thống và thử nghiệm các điểm
yếu cho đến khi họ tìm cách đạt được quyền điều khiển hệ
thống.
• Cài đặt tường lửa và thiết lập các quy tắc cho tường lửa để ngăn
chặn tất cả các nguồn lưu lượng nguy hiểm. Một hệ thống mạng
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 22
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
không có tường lửa thì cũng như ngôi nhà của bạn có cửa mà
không có khóa.
• Thiết lập danh sách điều khiển truy cập (ACL) trên bộ định
tuyến. Bộ định tuyến có thể đóng vai trò như một tầng bảo vệ
nữa cho hệ thống.
• Rà quét mạng để hình thành và duy trì một bản sơ đồ mạng đầy
đủ cập nhật.
• Sử dụng phần mềm kiểm tra lỗ hổng bảo mật mạng để khóa
chặn bất kỳ một lỗ hổng bảo mật mức một và sửa chữa các lỗi
tìm được.
• Cài đặt các bản sửa lỗi hệ thống và ứng dụng mới nhất, vô hiệu
hóa hoặc kiểm soát chặt chẽ các dịch vụ không cần thiết, và
kiểm soát chặt chẽ đến từng hệ điều hành.
• Hình thành vành đai máy chủ.
• Thực hiện cơ chế đảm bảo tập tin (cryptographic fingerprinting)
để nhận biết được tập tin nào bị thay đổi sau một vụ tấn công.
• Tuyển chọn hình thành một nhóm phản ứng với các tình trạng
khẩn cấp và xây dựng các thủ tục được sử dụng để đối phó với
các cuộc tấn công.
Đối với nhiều tổ chức nhỏ và đối với các tổ chức mà nghiệp vụ
không phụ thuộc vào cơ sở hạ tầng thương mại thông qua Internet hoặc
công việc hoạt động trên một mạng dùng chung tin cậy, thì các hành
động an toàn bảo mật mức một có thể đã đủ hiệu quả khi cùng được sử
dụng với một hệ thống giám sát thông tin ra ngoài nhằm đảm bảo vấn
đề sẽ nhanh chóng được phát hiện và khắc phục. Đối với hầu hết các tổ
chức lớn, việc có được độ tin cậy rộng nghĩa là đòi hỏi mức độ an toàn
bảo mật ở mức độ cao hơn.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 23
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
3.2
3.2
CÁC HOẠT ĐỘNG BẢO MẬT Ở MỨC HAI
CÁC HOẠT ĐỘNG BẢO MẬT Ở MỨC HAI
Các hoạt động an toàn bảo mật mức hai tập trung nhiều hơn vào
các hệ thống riêng biệt, cũng như các hệ thống thương mại và xây
dựng hàng rào bảo vệ chống tấn công, đặc biệt quan tâm đến hệ thống
phát hiện thâm nhập, tìm kiếm và hạn chế các cửa hậu (back door)
không được bảo vệ, và đảm bảo rằng các cổng truy cập xa được bảo vệ
chắc chắn. Các hoạt động an toàn bảo mật mức hai cũng tập trung vào
các hiểm họa bắt nguồn từ bên trong nội bộ và việc phát triển hệ thống
giám sát các máy tính chứa thông tin quan trọng, hỗ trợ các chức năng
nhiệm vụ quan trọng.
Tổ chức có thể tăng cường an toàn bảo mật lên mức độ hai theo
trình tự để luôn đi trước kẻ tấn công bên ngoài và chuẩn bị đối phó với
các vụ tấn công từ nội bộ. Không phải tất cả các máy tính đều cần bảo
vệ mức hai và việc đầu tiên theo mức hai là xác định các hệ thống cần
được bảo vệ nhiều hơn.
• Xác định các hệ thống cần phải được bảo vệ để duy trì nghiệp
vụ hoặc tiếp tục đảm bảo độ tin cậy.
• Trang bị các phương tiện giám sát (ví dụ như hệ thống phát hiện
truy nhập trái phép và đánh dấu tập tin có mã hóa -
cryptographic file fingerprinting) để có thể trả đũa các cuộc tấn
công trái phép ngay lập tức.
• Điều khiển các thiết bị bảo mật vật lý, sửa các truy cập không
bảo mật và các điểm yếu bảo mật vật lý khác.
• Trang bị bộ cảm biến sử dụng cho phát hiện truy nhập trái phép
và trạm phân tích kết quả truy nhập trái phép.
• Thực hiện chế độ xác thực truy cập đối với các tài khoản, tài
nguyên quan trọng bằng cách sử dụng một hoặc nhiều phương
pháp mã hóa, xác thực, hoặc đánh dấu.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 24