Nghiên cứu giải pháp bảo mật thông tin trên mạng máy tính sử dụng công nghệ tường lửa dựa trên phần mềm IPCop
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.53 MB, 100 trang )
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
MỤC LỤC
MỤC LỤC........................................................................................................1
DANH MỤC HÌNH ẢNH...............................................................................4
DANH MỤC CÁC CHỮ VIẾT TẮT.............................................................6
LỜI MỞ ĐẦU..................................................................................................7
Chương 1..........................................................................................................8
AN NINH MẠNG VỚI DOANH NGHIỆP VỪA VÀ NHỎ........................8
1.1 Tình hình phát triển Internet ở Việt Nam...........................................8
1.2 Lợi ích Internet với các doanh nghiệp ..............................................12
1.2.1 Thương mại điện tử.........................................................................12
1.2.2 Internet và thương mại điện tử........................................................12
1.3 An toàn an ninh cho các doanh nghiệp vừa và nhỏ..........................15
1.3.1 Các phương pháp tấn công cơ bản...................................................16
1.3.2 Các biện pháp giảm thiểu rủi ro ......................................................21
1.4 Các giải pháp về an ninh mạng...........................................................25
1.4.1 Giải pháp về phần cứng...................................................................26
1.4.2 Giải pháp về phần mềm...................................................................26
Chương 2........................................................................................................27
TỔNG QUAN VỀ TƯỜNG LỬA...............................................................27
2.1 Khái niệm và chức năng của tường lửa.............................................27
2.1.1 Khái niệm........................................................................................27
2.1.2 Chức năng tường lửa.......................................................................28
2.1.2.1 Tường lửa bảo vệ những vấn đề gì ? .......................................28
2.1.2.2 Tường lửa bảo vệ chống lại những vấn đề gì ? .......................29
2.1.3 Cấu trúc, thành phần và cơ chế hoạt động tường lửa......................31
2.1.3.1 Cấu trúc....................................................................................31
2.1.3.2 Thành phần và cơ chế hoạt động.............................................31
2.1.3.3 Những hạn chế của tường lửa.................................................38
2.2 Một số kiến trúc về tường lửa.............................................................39
2.2.1 Kiến trúc Dual – homed Host..........................................................39
Chương 3........................................................................................................47
1
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA IPCOP ...................................47
3.1 Giới thiệu và mục đích của tường lửa IPCop ...................................47
3.1.1 Giới thiệu về tường lửa IPCop .......................................................47
3.1.2 Lịch sử của IPCop...........................................................................48
3.1.3 Sự khác nhau giữa SmoothWall và IPCop......................................48
3.2 Những thành phần và tính năng của tường lửa IPCop ...................49
3.2.1 Các thành phần................................................................................49
3.2.1.1 Giao diện web...........................................................................49
3.2.1.2 Giao diện mạng.........................................................................49
3.2.2 Các tính năng quan trọng của tường lửa IPCop...............................50
3.2.2.1 Web proxy.................................................................................50
3.2.2.2 DHCP và Dynamic DNS...........................................................51
3.2.2.3 Quản trị lưu lượng mạng..........................................................52
3.2.2.4 Port Forwarding ......................................................................52
3.2.2.5 Intrusion Detection...................................................................53
3.2.2.6 DMZ Pinholes ..........................................................................55
3.2.2.7 Quản trị truy nhập từ bên ngoài...............................................55
3.2.2.8 Quản trị tùy chọn tường lửa.....................................................56
3.2.2.9 Quản lý chức năng ghi nhật ký.................................................56
Chương 4........................................................................................................59
TRIỂN KHAI VÀ QUẢN TRỊ IPCOP.......................................................59
4.1 Cài đặt tường lửa IPCop.....................................................................59
4.1.1 Mô hình triển khai tường lửa IPCop................................................59
4.1.2 Cài đặt thực nghiệm.........................................................................59
4.2. Thiết lập chức năng quản trị.............................................................67
4.2.1 Thay đổi mật khẩu...........................................................................67
4.3.2 Truy cập an toàn với SSH................................................................67
4.3.3 GUI Settings....................................................................................69
4.3.4 Shutdown.........................................................................................70
4.3 Giám sát trạng thái của hệ thống.......................................................70
4.3.1 System Status...................................................................................70
4.3.2 Network Status................................................................................71
2
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
4.3.3 System Graphs.................................................................................72
4.3.4 Traffic Graphs..................................................................................73
4.3.5 Giám sát kết nối...............................................................................73
4.4 Quản trị chức năng của các dịch vụ...................................................74
4.4.1 Advanced Proxy..............................................................................74
4.4.1.1 Cài đặt và cập nhật chức năng Advanced Proxy......................74
4.4.1.2 Cấu hình chung proxy...............................................................75
4.4.1.3 Cấu hình Upstream proxy.........................................................76
4.4.1.4. Thiết lập chức năng ghi nhật kí...............................................77
4.4.1.5 Quản lý bộ đệm.........................................................................77
4.4.1.6 Thiết lập port............................................................................79
4.4.1.7 Điều khiển truy nhập mạng.......................................................79
4.4.1.8 Hạn chế thời gian.....................................................................80
4.4.1.9 Hạn chế tải về và tải lên...........................................................80
4.4.1.10 Quản lý băng thông................................................................81
4.4.1.11 Lọc theo các tập tin mở rộng..................................................81
4.4.1.12 Chặn kết nối theo trình duyệt..................................................82
4.4.1.13 Quyền riêng tư........................................................................82
4.4.1.14 Lọc URL..................................................................................83
4.4.1.15 Cấu hình xác thực...................................................................83
4.4.2 URL Filter........................................................................................83
4.4.2.1 Thiết lập chung lọc URL ..........................................................84
4.4.2.2 Điều khiển truy nhập mạng.......................................................86
4.4.2.3 Thiết lập nâng cao....................................................................88
4.4.2.4 Nâng cấp, bảo trì URL filter.....................................................89
4.4.3 Block Out Traffic.............................................................................90
4.4.3.1 Cài đặt......................................................................................90
4.4.3.2 Thiết lập cấu hình.....................................................................90
4.4.4 Mạng riêng ảo..................................................................................93
4.4.4.1 Cài đặt VPN..............................................................................93
4.4.4.2 Mô hình Client to Site...............................................................93
4.4.4.3 Mô hình Site to Site...................................................................95
3
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
KẾT LUẬN....................................................................................................98
TÀI LIỆU THAM KHẢO..........................................................................100
DANH MỤC HÌNH ẢNH
Hình 1.1: Sơ đồ kết nối IXP với VNIX........................................................10
Hình 2.1: Bộ lọc gói tin..................................................................................32
Hình 2.2: Cổng lọc ứng dụng........................................................................34
Hình 2.3: Cổng vòng......................................................................................36
Hình 2.4: Cổng mạch.....................................................................................37
Hình 2.5: Sơ đồ kiến trúc Dual–homed Host..............................................39
Hình 2.6: Sơ đồ kiến trúc Screened Host....................................................41
Hình 2.7: Sơ đồ kiến trúc Screened Subnet Host.......................................42
Hình 2.8: Sơ đồ kiến trúc sử dụng 2 Bastion Host.....................................44
Hình 2.9: Sơ đồ kiến trúc ghép chung Router trong và Router ngoài......45
Hình 2.10: Sơ đồ kiến trúc ghép chung Bastion Host và Router ngoài....46
Hình 3.1: Traffic Shapping...........................................................................52
Hình 3.2: Port Forwarding...........................................................................53
Hình 3.3: Truy cập bên ngoài.......................................................................55
Hình 3.4: Tùy chọn tường lửa......................................................................56
Hình 3.5: Log Sumary...................................................................................56
Hình 3.6: Proxy log........................................................................................57
Hình 3.7: Firewall Log..................................................................................57
Hình 3.8: System Log....................................................................................58
Hình 3.9: Phát hiện xâm nhập......................................................................58
Hình 4.1: Mô hình triển khai IPCop............................................................59
Hình 4.2: Giao diện cài IPCop.....................................................................60
Hình 4.3: Lựa chọn ngôn ngữ.......................................................................60
Hình 4.4: Bắt đầu cài đặt..............................................................................61
Hình 4.5: Cấu hình mạng..............................................................................61
Hình 4.6: Hoàn tất cấu hình.........................................................................62
Hình 4.7: Đặt tên cho tường lửa...................................................................62
Hình 4.8: Menu cấu hình mạng....................................................................63
Hình 4.9: Giao diện thiết lập IP cho DNS và Gateway..............................64
4
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
Hình 4.10: Lựa chọn cấu hình DHCP..........................................................64
Hình 4.11: Cấu hình mật khẩu cho tài khoản root.....................................64
Hình 4.12: Giao diện cài đặt hoàn tất..........................................................65
Hình 4.13: Giao diện khởi động...................................................................65
Hình 4.14: Màn hình đăng nhập thành công..............................................65
Hình 4.15: Giao diện cài đặt.........................................................................66
Hình 4.16: Kết nối đến IPCop với quyền Admin........................................67
Hình 4.17: Truy cập SSH..............................................................................68
Hình 4.18: Đăng nhập vào IPCop qua SSH................................................69
Hình 4.19: Thiết lập ngôn ngữ......................................................................69
Hình 4.20: Thiết lập thời gian shutdown.....................................................70
Hình 4.21: Trạng thái hệ thống...................................................................71
Hình 4.22: Trạng thái mạng.........................................................................72
Hình 4.23: Đồ thị CPU..................................................................................73
Hình 4.24: Đồ thị vùng Green......................................................................73
Hình 4.25: Giám sát kết nối..........................................................................73
Hình 4.26: Cấu hình chung cho proxy.........................................................75
Hình 4.27: Cấu hình upstream proxy..........................................................76
Hình 4.28: Thiết lập chức năng ghi nhật.....................................................77
Hình 4.29: Chức năng quản lý cache...........................................................77
Hình 4.30: Thiết lập port..............................................................................79
Hình 4.31: Giao diện cấu hình điều khiển truy nhập.................................79
Hình 4.32: Hạn chế thời gian truy nhập......................................................80
Hình 4.33: Hạn chế download/upload.........................................................80
Hình 4.34: Hạn chế băng thông....................................................................81
Hình 4.35: Chặn các tập tin mở rộng..........................................................81
Hình 4.36: Cấu hình web browser...............................................................82
Hình 4.37: Cấu hình privacy........................................................................83
Hình 4.38: Bật tính năng URL filter............................................................83
Hình 4.39: Thiết lập lọc chung cho URL Filter..........................................84
Hình 4.40: Điều khiển truy nhập của URL Filter......................................86
Hình 4.41: Thiết lập cảnh báo......................................................................87
5
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
Hình 4.42: Tùy chọn nâng cao cho URL Filter...........................................88
Hình 4.43: Nâng cấp & bảo trì URL Filter.................................................89
Hình 4.44: Định nghĩa nhóm dịch vụ...........................................................92
Hình 4.45: Mô hình Client to Site................................................................94
Hình 4.46: Mô hình Site to Site....................................................................95
Hình 4.47: Trạng thái kết nối Site to Site bên Hà Nội................................96
Hình 4.48: Trạng thái kết nối Site to Site bên Hồ Chí Minh.....................97
DANH MỤC CÁC CHỮ VIẾT TẮT
Viết
tắt
Tiếng Anh tương đương
ADSL Asymmetric Digital Subscriber
Line
Tiếng Việt
Đường thuê bao bất đối xứng
CLG
Circuit Level Gateway
Cổng vòng.
DMZ
Demilitarized zone
Mạng trung gian.
FTP
File Transfer Protocol
Giao thức truyền tệp tin.
IDC
Informations Development
Center
Trung tâm phát triển Tin học.
ISP
Internet Service Provider
Nhà cung cấp dịch vụ kết nối
Internet thuê lại kênh quốc tế và
đường trục quốc gia từ IXP.
6
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
IXP
Internet Exchange Provider
Nhà cung cấp dịch vụ và quản lý
hạ tầng kết nối Internet.
NIC
Network Interface Card
Cạc giao tiếp mạng.
OECD Organization for Economic
Cooperation and Development
Tổ chức hợp tác và Phát triển
kinh tế
PPP
Point-to-Point Protocol
Giao thức kết nối điểm-điểm
SLIP
Serial Line Internet Protocol
Giao thức kết nối Internet đã lỗi
thời
VNIC
Vietnam Internet Network
Information Center
Trung tâm Internet Việt Nam
VNIX
Vietnam National Internet
eXchange
Trạm trung chuyển lưu lượng
Internet Việt Nam
LỜI MỞ ĐẦU
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia, các tổ
chức, các công ty và tất cả mọi người dường như đang xích lại gần nhau. Họ
đã, đang và luôn muốn hoà nhập vào mạng Internet để thoả mãn "cơn khát
thông tin" của nhân loại.
Cùng với sự phát triển của Internet mang lại nhiều lợi ích cho doanh nghiệp
như thương mại điện tử và cổng thông tin doanh nghiệp, thì việc lấy cắp
thông tin mật, các chương trình và dữ liệu quan trọng, việc thâm nhập bất hợp
pháp và phá hoại thông qua Internet cũng gia tăng về số lượng, về loại hình và
các kỹ xảo. Do đó, song song với việc phát triển và khai thác các dịch vụ trên
Internet, rất cần nghiên cứu giải quyết vấn đề đảm bảo an ninh mạng cho các
doanh nghiệp. Trong đó việc xây dựng một hệ thống bảo mật là cần thiết hơn
bao giờ hết.
Đi tìm một lời giải cho bài toán này thật không hề đơn giản và mong muốn hệ
thống xây dựng của mình hoàn hảo thì lại càng khó khăn hơn. Sau một thời
gian dài tìm hiểu trong các tài liệu, các diễn đàn và thực tế tại một số công ty,
7
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
em đề xuất một giải pháp bảo vệ hệ thống phù hợp, có chiều sâu, hiệu quả cao
với hầu hết các doanh nghiệp vừa và nhỏ hiện nay. Bởi vậy đề tài của em có
tên là: “Nghiên cứu giải pháp bảo mật thông tin trên mạng máy tính sử
dụng công nghệ tường lửa dựa trên phần mềm IPCop”. Đồ án này gồm
những nội dung chính sau:
-
Chương I: An ninh mạng với doanh nghiệp vừa và nhỏ
Chương II: Tổng quan về tưởng lửa
Chương III: Giới thiệu chung về IPCop
Chương IV: Triển khai và quản trị tường lửa IPCop.
Dù đã có nhiều cố gắng, song với kiến thức về lĩnh vực an toàn thông tin còn
hạn chế nên đồ án không thể tránh khỏi những sai sót, kính mong được sự góp
ý và nhận xét quý báu của các thầy cô và các bạn, để hệ thống có thể hoàn
thiện hơn khi đi vào thực tế cuộc sống.
Chương 1
AN NINH MẠNG VỚI DOANH NGHIỆP VỪA VÀ NHỎ
1.1 Tình hình phát triển Internet ở Việt Nam
Ngày 19/11/1997, dịch vụ Internet chính thức có mặt tại Việt Nam. Lúc
đó, Internet được xem là dịch vụ cao cấp dành cho một nhóm cá nhân, tập thể
thật sự có nhu cầu. Hạ tầng ban đầu ấy có tốc độ 64Kbps khi kết nối quốc tế,
dung lượng chỉ đủ cho khoảng 300 người sử dụng. Khách hàng đầu tiên là
những cán bộ cao cấp của các cơ quan ban ngành, sử dụng với mục đích là
giới thiệu với các cấp lãnh đạo cao hơn để vận động “mở cửa” cho Internet.
Năm 2002, để tạo động lực cạnh tranh, nhà nước không còn cho phép
VNPT độc quyền khai thác hạ tầng kỹ thuật và cho phép thành lập các IXP
khác. Quy định này đã làm thị trường Internet Việt Nam có sự đột phá mới.
Giá cước ngày càng rẻ, thủ tục ngày càng đơn giản. Từ một nhà IXP và bốn
ISP ban đầu, số lượng nhà kinh doanh dịch vụ Internet đang hoạt động thực tế
trên thị trường gồm có bốn IXP và tám ISP. “Thời sơ khai” của Internet Việt
Nam chỉ có các dịch vụ cơ bản như: thư điện tử, truy cập cơ sở dữ liệu, truyền
dữ liệu, truy nhập từ xa. Thì nay, các loại hình dịch vụ đã rất đa dạng và
phong phú.
8
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
Năm 2003, với các quyết định cho giảm cước truy cập sử dụng Internet
ngang với các quốc gia trong khu vực, thậm chí có khung cước còn rẻ hơn,
đồng thời cho phép các doanh nghiệp tự mình áp dụng các chính sách quản lý
và ấn định mức cước, số khách hàng thuê bao của các ISP tăng đột biến.
VNPT tăng 258%, NetNam - 227%, Viettel - 184% và FPT - 174%.
Theo số lượng thống kê về tình hình phát triển Internet Việt Nam từ
VNNIC, số lượng mới nhất:
Tình hình phát triển Internet tháng 3/ 2012.
Statistics on Internet development upto 3/2012
- Số người sử dụng :
Users
30858742
- Tỉ lệ số dân sử dụng Internet :
Users per capita
35.29
%
- Tổng băng thông kênh kết nối quốc tế của Việt Nam :
Total International connection bandwidth of Vietnam
308676
Mbps
- Tổng băng thông kênh kết nối trong nước:
Total domestic connection bandwidth
417926
Mbps
107000
Mbps
112678090
Gbytes
(trong đó băng thông kết nối qua trạm trung chuyển VNIX:
(Connection bandwidth through VNIX)
- Tổng lưu lượng trao đổi qua trạm trung chuyển VNIX:
Total VNIX Network Traffic
9
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
- Tổng số tên miền .vn đã đăng ký:
Dot VN domain names
283086
- Tổng số tên miền Tiếng Việt đã đăng ký:
Vietnamese domain names
722930
- Tổng số địa chỉ IPv4 đã cấp :
Allocated Ipv4 address
- Số lượng địa chỉ IPv6 qui đổi theo đơn vị /64 đã cấp :
Allocated Ipv6 address
- Tổng thuê bao băng rộng :
Total broad bandwidth Subscribers
15518720
địa chỉ
54951049216
/64 địa chỉ
4293280
Sơ đồ kết nối với VNIX :
Hình 1.1: Sơ đồ kết nối IXP với VNIX
10
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
Theo số liệu thống kê của tổ chức Liên minh Viễn thông quốc tế (ITU) năm
2010, Việt Nam là một trong những nước có tỷ lệ người dân sử dụng Internet
cao nhất trong khu vực Đông Nam Á, chiếm 31,06% dân số, chỉ đứng sau 3
nước là Singapore (70%), Malayxia (55,3%) và Brunay (50%); nhưng đứng
trước 6 nước: Philippines (25%), Thái Lan (21,2%), Indonesia (9,1%), Lào
(7%), Campuchia (1,26%), Mianma (0,22%); đồng thời vượt khá xa tỷ lệ
trung bình của khu vực Đông Nam Á (17,86%), khu vực châu Á (17,27%) và
thế giới (21,88%).
Đó là những con số “biết nói”, không cần phải nhiều lời cũng đủ thấy Việt
Nam không bao giờ coi Internet là kẻ thù như tổ chức "Phóng viên không biên
giới" đã nêu trong cái gọi là “Báo cáo thường niên 2012” vào trung tuần tháng
3 mới đây. Ngược lại, Internet ở Việt Nam luôn được quan tâm phát triển toàn
diện và là “người bạn đồng hành” của Việt Nam trong quá trình hội nhập
quốc tế.
Không dừng lại ở đó, hiện nay Việt Nam đang tập trung ưu tiên xây dựng
hạ tầng cơ sở thông tin hiện đại, cập nhật với thế giới, băng thông rộng, chất
lượng cao, giá thành ngày càng giảm. Hạ tầng cơ sở thông tin ngày càng bảo
đảm chuyển tải không chỉ tiếng nói qua mạng điện thoại, mà còn là hình ảnh,
video không chỉ phục vụ cho viễn thông, mà còn đáp ứng các nhu cầu khác
nhau của xã hội. Việt Nam cũng đang tiến tới hình thành siêu xa lộ thông tin
ở trong nước.
Những minh chứng trên đây đủ cơ sở để khẳng định rõ ràng rằng: Việt
Nam không bao giờ có ý định hay ra quyết định nào ngăn cản hoạt động của
Internet, mà luôn tạo điều kiện để phát triển các dịch vụ Internet đúng hướng.
Khoản 3, Điều 4, Nghị định 97/2008/ NĐ-CP ngày 28-8-2008 của Chính phủ
đã khẳng định: "Tạo điều kiện thuận lợi cho các tổ chức, cá nhân tham gia
cung cấp và sử dụng dịch vụ Internet, đồng thời tăng cường công tác tuyên
truyền, giáo dục, hướng dẫn pháp luật về Internet. Có biện pháp để ngăn chặn
những hành vi lợi dụng Internet gây ảnh hưởng đến an ninh quốc gia, vi phạm
đạo đức, thuần phong mỹ tục, vi phạm các quy định của pháp luật và để bảo
vệ trẻ em khỏi tác động tiêu cực từ Internet".
11
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
1.2 Lợi ích Internet với các doanh nghiệp
Theo số liệu khảo sát, 92% các doanh nghiệp ở Việt Nam có kết nối
Internet. Đó là một ngạc nhiên nếu biết rằng Internet chỉ mới bắt đầu phát
triển ở Việt Nam từ những năm 2000. Đâu là lý do chính để các doanh nghiệp
hưởng ứng và sử dụng Internet. Câu trả lời chính là lợi ích đem lại từ thương
mại điện tử. Những lợi ích này là rất thiết thực đối với các doanh nghiệp.
1.2.1 Thương mại điện tử
Nếu một trong những công đoạn của giao dịch thương mại như tìm kiếm
đối tác, thoả thuận hợp đồng, trao đổi hàng hóa và dịch vụ, thanh toán, được
thực hiện bằng công cụ điện tử thì giao dịch thương mại đó có thể được coi là
thương mại điện tử. Khi một doanh nghiệp gửi fax cho các khách hàng tiềm
năng để chào hàng, thoả thuận chi tiết hợp đồng qua e-mail, chuyển tiền qua
hệ thống ngân hàng, tất cả những việc đó đều thuộc phạm trù của thương mại
điện tử với ý nghĩa tổng quát của nó.
1.2.2 Internet và thương mại điện tử
Sau khi Internet ra đời và được phổ biến rộng rãi thì thương mại điện tử
mới thực sự có bước nhảy vọt. Khái niệm thương mại điện tử hiện nay hàm ý
thương mại Internet nhiều hơn. Theo thống kê của IDC và OECD, với
Internet, thương mại điện tử đã đạt mức tăng trưởng từ 50 tỷ USD vào năm
1998, lên đến 111 tỷ năm 1999 và dự tính sẽ đạt mức 1000 tỷ USD vào những
năm 2003-2005. Qua hệ thống Internet với hàng trăm triệu máy tính trên khắp
các châu lục, các doanh nhân ngày này đã thực sự có một công cụ đặc biệt
hữu hiệu để giao dịch, tìm kiếm đối tác cũng như chào hàng các sản phẩm.
a. Tìm kiếm đối tác, sản phẩm, dịch vụ
Ngày nay, các doanh nghiệp có thể tìm đối tác một cách dễ dàng hơn
thông qua các công cụ tìm kiếm trên Internet, đặc biệt là đối tác tại các nước
phát triển, nơi có tỷ lệ phổ cập Internet rất cao. Chỉ cần vào một trong những
công cụ tìm kiếm như www.google.com, www.yahoo.com, gõ vào từ khoá
liên quan đến vấn đề cần tìm, chỉ vài giây sau đã có một danh sách khá dài.
Sau vài giờ phân loại, sàng lọc thông tin, các doanh nghiệp đã có thể có trong
12
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
tay một danh sách các đối tác tiềm năng. Để xem thông tin chi tiết về một đối
tác cũng như sản phẩm, dịch vụ mà họ cung cấp, có thể vào trực tiếp các
website của họ. So với cách làm truyền thống là qua các danh bạ điện thoại,
các catalog, phương pháp mới này có rất nhiều ưu điểm: nhanh hơn, chính xác
hơn, tiết kiệm hơn. Nói một cách khác, hiệu quả hơn nhiều. Nếu doanh nghiệp
muốn tìm kiếm một loại sản phẩm, dịch vụ nào đó cho doanh nghiệp mình,
cũng qua Internet, sau một lát đã có danh sách các nhà sản xuất. Bảng so sánh
tham số của các sản phẩm cùng loại cũng có thể tìm được khá dễ dàng trên
Internet.
b. Thoả thuận hợp đồng
Một trong những điểm quan trọng nhất trong công đoạn thoả thuận hợp
đồng là xác định giá cả. Với Internet, việc xác định giá cho một sản phẩm và
dịch vụ cụ thể nào đó khá dễ dàng và nhanh chóng. Các doanh nghiệp có thể
gửi thư hỏi giá, thư báo giá đến các đối tác, cũng có thể đưa giá sản phẩm,
dịch vụ của mình trên website để tất cả những ai quan tâm có thể xem được.
Các doanh nghiệp cũng có thể trao đổi, đàm phán trực tiếp với đối tác ở nước
ngoài, cũng như trong nước qua Internet mà không tốn tiền điện thoại đường
dài cũng như không tốn kém thời gian và tiền bạc để thực hiện các chuyến
công tác đến nơi doanh nghiệp sản xuất để tìm hiểu thêm về các sản phẩm.
Internet có các công cụ hữu hiệu để làm những việc này, đó là website, email, các công cụ để hội đàm như ICQ, MS Messenger, AIM, … và hội nghị
trực tuyến, đàm thoại từ xa …
c. Thanh toán
Thanh toán là một trong những vấn đề gây nhiều bàn cãi và khó hiểu trong
thương mại điện tử. Nếu không kể đến những hợp đồng lớn giữa các công ty,
vẫn được thực hiện theo các phương thức truyền thống như trong giao dịch
ngoại thương thông qua tín dụng thư hoặc chuyển tiền, trong các giao dịch
nhỏ, việc thanh toán có thể được thực hiện qua thẻ tín dụng như Master Card,
Visa Card, American Express. Khách hàng chỉ cần nhập một số thông tin về
thẻ tín dụng của mình, toàn bộ các công việc còn lại sẽ được các ngân hàng
13
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
thực hiện. Rất tiện lợi, nhưng hiện tại thanh toán qua mạng vẫn tiềm ẩn những
rủi ro so với các cách thức thanh toán bằng tiền mặt trước đây.
d. Vận chuyển hàng hoá, dịch vụ
Các doanh nghiệp không thể truyền bộ quần áo hay món đồ thủ công mỹ
nghệ qua mạng nhưng thông tin thì có thể. Tuy nhiên thông tin cũng là hàng
hoá. Các sản phẩm, dịch vụ liên quan đến thông tin như dịch thuật, tư vấn,
đào tạo, các dịch vụ báo chí, truyền thông đều có thể được vận chuyển một
cách dễ dàng qua Internet, rất nhanh và rất tiết kiệm. Đối với các hàng hoá
khác phải chuyển theo các kênh truyền thống như đường biển, đường hàng
không, đường bộ ... Internet vẫn là một trợ thủ đắc lực khi giúp các doanh
nghiệp theo dõi được tình trạng cũng như vị trí của hàng hoá trên đường vận
chuyển. Các công ty vận tải biển, các công ty chuyển phát nhanh thường cung
cấp các dịch vụ này cho khách hàng của mình như một công cụ marketing
hiệu quả.
Với những lợi ích to lớn đem lại cho các doanh nghiệp, khi mà thời gian,
tiền bạc cũng như hiệu quả kinh doanh là quan trọng, các doanh nghiệp sẵn
sàng bỏ tiền để có được các kết nối Internet ngay cả khi giá cả và chất lượng
dịch vụ chưa thực sự tương xứng với số tiền bỏ ra. Không chỉ vậy, thế giới
ngày càng phát triển, công việc không chỉ gói gọn trong từng khu vực riêng
lẻ, đã và đang có những dây chuyền sản xuất liên hoàn trên nhiều quốc gia và
nhiều khu vực, mỗi doanh nghiệp tham gia và là một mắt xích trong dây
truyền đó, khi đó kết nối Internet là một yêu cầu bắt buộc với doanh nghiệp
trong việc liên kết với các doanh nghiệp khác trên toàn thế giới.
Tuy nhiên, luôn có tính hai mặt của một vấn đề, lợi ích từ kết nối Internet
với doanh nghiệp là điều rõ ràng, nhưng khi kết nối vào Internet các doanh
nghiệp cũng phải đối đầu với rủi ro tiềm ẩn trong Internet. Các doanh nghiệp
cần xác định rõ được những mối nguy hại này và đề ra các biện pháp phòng
tránh vì đôi khi thiệt hại gây ra từ Internet là khá nghiêm trọng.
14
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
1.3 An toàn an ninh cho các doanh nghiệp vừa và nhỏ
Trong khi công nghệ mạng và Internet mang lại nhiều cơ hội phát triển và
cạnh tranh mới cho các doanh nghiệp vừa và nhỏ thì cũng là lúc nó làm dấy
lên nhu cầu cần phải bảo vệ hệ thống máy tính trước các đe dọa về tấn công.
Ngày nay, thậm chí cả những doanh nghiệp nhỏ nhất cũng cảm thấy họ
cần phải thực hiện các hoạt động kinh doanh thương mại điện tử và kéo theo
đó là nhiều nhân tố cần phải làm để đảm bảo cho mô hình này hoạt động tốt.
Tuy nhiên, theo Jim Browning - phó chủ tịch kiêm giám đốc nghiên cứu
doanh nghiệp vừa và nhỏ của Gartner: “Hầu hết các doanh nghiệp không nhìn
nhận đúng mực tầm quan trọng của bảo mật, họ thường xem nhẹ chúng trong
khi đó phải là ưu tiên hàng đầu trước khi tiến hành các hoạt động kinh doanh
thương mại điện tử”.
Nếu không được bảo vệ đúng mực, mỗi phần của hệ thống mạng sẽ trở
thành mục tiêu tấn công của tin tặc, của đối thủ cạnh tranh hay thậm chí là các
nhân viên bất mãn trong công ty. Mặc dù phần lớn các doanh nghiệp vừa và
nhỏ thực hiện quản lý, bảo mật mạng và sử dụng Internet nhưng theo thống kê
của Gartner; nhưng hơn một nửa trong số họ thậm chí không biết là mình bị
tin tặc tấn công.
Cũng như nhiều loại hình tội phạm khác, các đe doạ về mạng và tài
nguyên Internet xuất phát từ cộng đồng nhỏ. Tuy nhỏ, nhưng những nhân tố
này lại không ngừng lớn mạnh bởi ít có cách nào kiềm chế họ một cách hiệu
quả; chỉ cần một công cụ tấn công được phát tán lên mạng, là ngay lập tức rất
nhiều hệ thống máy tính trở thành mục tiêu tấn công thông qua các lỗ hổng
phần mềm vừa được phát tán đó. Những kẻ đứng đằng sau các vụ tấn công
này có thể là hacker, cracker hoặc "nội gián".
Những phi vụ tấn công này mang tính phức tạp, nó thường xuất phát từ
động cơ chính trị, tài chính hoặc sở thích của một cá nhân nào đó và rồi
thường chỉ nhắm tới một công ty hoặc hệ thống máy tính cụ thể. Mục đích
không nằm ngoài ý định sửa đổi cơ sở dữ liệu, đánh cắp tài sản, đánh cắp
thông tin cá nhân, làm cho mình trở nên nổi tiếng hoặc cài đặt các chương
trình do thám để cho phép kẻ đột nhập có thể khởi phát các cuộc tấn công từ
15
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
chính hệ thống máy tính nạn nhân. Đặc biệt trong xu hướng hiện tại, khi mà
tin tặc bắt đầu liên kết với các tổ chức tội phạm trong mục đích kiếm tiền từ
những hoạt động phá hoại của mình. Các hành động phá hoại ngày càng tinh
vi hơn, được chuẩn bị kỹ lưỡng hơn và hoạt động âm thầm hơn. Không phô
trương ầm ỹ, các tin tặc này sau khi đột nhập vào hệ thống thực hiện các hành
vi phá hoại xong lặng lẽ rút lui trong khi không quên xóa đi các dấu vết xâm
nhập. Các doanh nghiệp thường không có khả năng phát hiện các xâm nhập
này cho đến khi chịu những hậu quả từ nó, khi đó thiệt hại có thể lớn hơn
nhiều so với số tiền bỏ ra để trang bị toàn bộ hệ thống bảo mật cho doanh
nghiệp. Và rất tiếc là không phải doanh nghiệp nào cũng có sự chuẩn bị đối
phó với các tình huống này, với họ đảm bảo công việc hiện tại hoạt động ổn
định quan trọng hơn là chuẩn bị đối phó với các rủi ro trong tương lai vì một
lý do đơn giản với họ là không có đủ năng lực để đánh giá được mức độ và
thời gian khi nào các rủi ro này xảy ra. Họ vẫn đang sống chung với các nguy
cơ tiềm tàng.
1.3.1 Các phương pháp tấn công cơ bản
Sau đây là các phương pháp tấn công cơ bản vào hệ thống của các doanh
nghiệp.
1.3.1.1 Tấn công do thám
Là phương pháp tấn công thu thập thông tin để khởi phát cho một cuộc tấn
công thực sự sau này. Giống như trong một trận chiến, trước mỗi trận đánh
cần có các hoạt động trinh thám để biết được đối phương là ai, bố trí như thế
nào. Bất kỳ tin tặc nào cũng cần các hoạt động này trước khi thực sự tấn công
vào mạng doanh nghiệp. Các hoạt động do thám có thể tiến hành như là một
sự thu thập thông tin về mục tiêu từ nhiều nguồn khác nhau. Lượng thông tin
càng nhiều càng tốt, thông tin đó có thể không có giá trị vì không được sử
dụng nhưng đôi khi là hữu ích với tin tặc. Đầu tiên là cái nhìn tổng quan về
doanh nghiệp, các thông tin có thể thu thập được như doanh nghiệp đó tên là
gì, đã phát triển trong bao lâu, công ty đó đặt địa điểm ở đâu, với quy mô và
tầm vóc của công ty từ đó tin tặc có cái nhìn đầu tiên để đánh giá mức độ
phức tạp cũng như bảo mật của hệ thống mạng doanh nghiệp.
16
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
Sau những đánh giá sơ bộ ban đầu, tin tặc có thể sử dụng các công cụ
chuyên biệt để tiến hành các hành vi càn quét thu thập thông tin về hệ thống
mạng doanh nghiệp. Các thông tin đó có thể là sơ đồ kết nối mạng, các thiết
bị có trong mạng, hệ thống tường lửa của doanh nghiệp, các máy chủ đang
hoạt động, các máy vi tính cá nhân, máy in… Cao hơn nữa, tin tặc cố gắng
xác định chi tiết từng điểm trong hệ thống mạng, xác định xem nút mạng đó
hoạt động như thế nào, nhà sản xuất ra thiết bị đó cũng như các dịch vụ đang
hoạt động trên các máy chủ. Tuy thuộc vào trình độ của tin tặc, các giai đoạn
này có thể thực hiện âm thầm hoặc lộ liễu, thông thường các hoạt động này
diễn ra thường xuyên do bất kỳ một tin tặc nào trên thế giới đều có thể thực
hiện các hành vi đó với một hệ thống mạng doanh nghiệp, chỉ có sự khác biệt
là thông tin thu thập đuợc có ích đến mức nào đối với tin tặc cũng như tin tặc
có thể khai thác được gì từ các thông tin thu thập. Đôi khi các hành động thu
thập thông tin này được ẩn giấu trong những truy cập thông thường của người
sử dụng, nếu không có sự hiểu biết, quản trị mạng thậm chí không biết hệ
thống mình đang bị thu thập thông tin. Lý do thật đơn giản, vì quản trị mạng
không có đủ thời gian để kiểm soát tất cả truy cập trong hàng ngàn truy cập
vào hệ thống, đồng thời không thể kiểm soát khi các hoạt động thu thập thông
tin này diễn ra ở ngoài hệ thống từ các nguồn khác đến với tin tặc.
1.3.1.2 Tấn công truy nhập
Là phương pháp lợi dụng điểm yếu của mạng thường là lỗi hoặc lỗ hổng
bảo mật để xâm nhập vào mạng. Ngay sau quá trình thu thập, khi tin tặc cảm
thấy đủ thông tin về hệ thống tin tặc sẽ bắt đầu tấn công vào hệ thống mạng.
Thông thường giai đoạn này phụ thuộc vào trình độ của tin tặc, đây cũng là
giai đoạn quan trọng nhất khi bảo vệ một hệ thống doanh nghiệp. Các tin tặc
cấp thấp có thể sử dụng các bộ công cụ có sẵn để tìm kiếm các lỗ hổng bảo
mật, các công cụ này thường chứa đựng các lỗ hổng đã được công bố và phát
hiện trước đó, cũng như đi kèm với nó là các chương trình để khai thác lỗi
bảo mật. Với các tin tặc cao cấp hơn, họ có thể nhanh chóng tự mình tìm ra
các lỗi của hệ thống cũng như phát hiện ra các lỗi hoặc cách thức xâm nhập
chưa được phát hiện trước đó. Điểm mấu chốt của quá trình này là tin tặc sau
khi tìm ra lỗ hổng trong hệ thống sẽ nhanh chóng thực hiện các hành vi thâm
17
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
nhập để giành một quyền sử dụng tài nguyên nào đó trong mạng, đó có thể là
quyền kiểm soát một thiết bị hay một tài khoản của người sử dụng trong hệ
thống.
Ngay khi có được một quyền truy cập trong hệ thống, điều tiếp theo là tin
tặc mở rộng quyền kiểm soát của mình đối với hệ thống. Tin tặc có thể sử
dụng tài nguyên vừa chiếm đuợc để tiếp tục thu thập thông tin và các lỗ hổng
bảo mật khác mà quá trình do thám trước đây chưa tìm ra được, đồng thời tin
tặc cũng cố gắng nâng cao quyền hạn của mình đối với tài nguyên chiếm
được. Đó là các hành vi tấn công Leo thang phân quyền, từ một tài khoản
người sử dụng bình thường, tin tặc cố gắng nâng cao quyền hạn của mình lên
một tài khoản cấp cao hơn hoặc thậm chí lên mức cao nhất là tài khoản quản
trị hệ thống hoặc tài khoản gốc (root). Khi đó tin tặc có thể mở rộng quyền
kiểm soát các tài nguyên trong hệ thống mạng doanh nghiệp của mình, tùy ý
sử dụng các tài nguyên đó theo ý muốn cá nhân cũng như sử dụng vào các
mục đích xâm nhập khác.
Một khi đoạt được quyền trong hệ thống, hệ thống đã bị xâm nhập và hạ
gục, không hẳn toàn bộ hệ thống bị kiểm soát nhưng một phần hệ thống bị
chiếm quyền điều khiển cũng có thể làm toàn bộ hệ thống bị ngưng trệ một
khi tin tặc muốn phá hoại. Như một thành trì đã bị đánh chiếm, tin tặc giờ đây
có thể toàn quyền sử dụng hệ thống mình chiếm được vào mục đích cá nhân,
Ở đây các hành vi phá hoại bắt đầu diễn ra, đánh cắp dữ liệu khách hàng, sửa
đổi thông tin hệ thống, tải về máy các tài liệu công ty hoặc có thể tiến hành
phá hoại hệ thống như cài đặt virus phá hủy ổ cứng, gây các hoạt động là
ngưng trệ hệ thống đang hoạt động ... Cũng có khi tin tặc tấn công hệ thống
mạng vì những mục đích vụ lợi, các hoạt động phá hoại diễn ra âm thầm lặng
lẽ, dữ liệu được kín đáo tải ra ngoài, các thông tin bị sao chép bất hợp pháp,
lặng lẽ thả các phần mềm gián điệp để tiếp tục thu thập thông tin trong
mạng…. Mọi hành vi đều có thể diễn ra trong giai đoạn này tùy theo mục
đích tin tặc.
Ngay sau khi thực hiện các hành vi phá hoại thành công, hoặc thỏa mãn
với những chiến tích mình đạt được, tin tặc bắt đầu hành vi rút lui khỏi hệ
18
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
thống mạng. Trong giai đoạn này, tin tặc cố gắng xóa hết dấu vết các hành vi
thâm nhập của mình, có thể kể đến là việc xóa bỏ các hành động được ghi
chép trong các hệ thống theo dõi hoạt động mạng, các hệ thống giám sát….
Cũng trong giai đoạn này, tin tặc có thể cài đặt các phần mềm gián điệp vào
hệ thống mạng công ty lên những nơi ít bị nghi ngờ nhất, điều này đảm bảo
cho tin tặc có thể quay lại và thâm nhập vào hệ thống mạng trong lần tiếp theo
một cách nhanh chóng và tốn ít thời gian hơn so với lần tấn công trước đây.
Cũng có khi tin tặc rút lui không để lại dấu vết, không một dấu hiệu nào được
để lại, tin tặc tự tin mình có thể quay lại và thâm nhập hệ thống một lần nữa.
1.3.1.3 Tấn công từ chối dịch vụ
Ngay cả khi một hệ thống được thiết kế để có thể phòng chống được các
cuộc tấn công truy cập, khi mà mọi lỗ hổng trong hệ thống đã được sửa chữa,
mọi truy cập bất hợp lệ hoặc khác thường đều bị từ chối, khi mà các nỗ lực
thâm nhập vào hệ thống của tin tặc là không thành công, không có nghĩa là hệ
thống được an toàn. Hệ thống vẫn có thể bị phá hoại từ bên ngoài, trong hiện
tại đó có thể là các cuộc tấn công từ chối dịch vụ.
Tấn công từ chối dịch vụ là phương pháp tấn công mạnh tay nhất hiện nay
bằng cách gửi một số lượng lớn truy vấn thông tin tới máy chủ hoặc dịch vụ,
gây ra hiện tượng quá tải, khiến máy tính không thể hoặc khó có thể truy cập
từ bên ngoài.
Sự nguy hiểm của tấn công từ chối dịch vụ ở chỗ nó không xuất phát từ
bên trong mạng doanh nghiệp. Tấn công từ chối dịch vụ xuất phát từ bên
ngoài mạng Internet, khi tin tặc huy động các tài nguyên ngoài mạng trong
một cuộc chiến phá hoại của mình. Về bản chất, do nó xuất phát từ bên ngoài
nên các hệ thống mạng doanh nghiệp không thể nào dừng các cuộc tấn công
này lại cho đến khi nào tin tặc chưa kết thúc hành vi phá hoại. Cuộc tấn công
từ chôi dịch vụ hiện nay ngày càng tinh vi cũng như mở rộng quy mô phá
hoại. Có thể kể đến các cuộc tấn công từ chối dịch vụ trước đây như “Ping of
Death”, SYN flood, Land Attack, UDP flood, DdoS, Smurf Attack…. Ngày
càng nhiều các danh sách về cách thức tấn công từ chối dịch vụ mới được sử
dụng, khó có thể nói hết cách thức tấn công từ chối dịch vụ nhưng có thể
19
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
khẳng định trong Internet hiện tại, đây là một nỗi lo ngại với mọi doanh
nghiệp, nếu không có sự chuẩn bị kỹ về các khả năng có thể xảy ra, một hệ
thống mạng doanh nghiệp được đầu tư phát triển cẩn thận cũng có thể bị thổi
bay bởi một cá nhân phát động tấn công trên mạng. Thiệt hại là không chỉ tiêu
tốn nhiều tiền bạc và công sức mà đôi khi còn mất rất nhiều thời gian để khắc
phục hậu quả. Với những cuộc tấn công lớn và kéo dài, doanh nghiệp có thể
bị ngưng trệ hoạt động kinh doanh của mình, hậu quả thiệt hại vô cùng to lớn,
trong khi không thể tự mình chấm dứt các hành vi phá hoạt đó một cách triệt
để được.
1.3.1.4 Tấn công tâm lý
Đây là kiểu tấn công khác vào mạng doanh nghiệp, kẻ tin tặc có thể không
nhất thiết phải là một chuyên gia mạng hoặc xâm nhập mạng. Ở đây lỗ hổng
được khai thác chính là yếu tố con người. Sự nguy hiểm của kiểu tấn công
này ở chỗ, hệ thống không có cách nào ngăn cản truy cập từ cuộc tấn công
này một khi nó thành công.
Có thể hình dung một mạng doanh nghiệp với hệ thống bảo mật được
trang bị hiện đại, các lỗ hổng được sửa chữa thường xuyên và toàn bộ, tin tặc
không có cách nào đột nhập vào hệ thống. Tuy nhiên các nhân viên trong
doanh nghiệp chưa có ý thức cao về bảo mật hệ thống, và đó chính là lỗ hổng
lớn được dùng để tấn công hệ thống. Trong những nỗ lực qua giao tiếp của
mình, tin tặc cố gắng lợi dụng yếu tố con người để thu thập các thông tin thâm
nhập hệ thống. Khi một người dùng thiếu cảnh giác, tin tặc gọi điện thoại trực
tiếp đến người dùng đó, giả mạo mình như một quản trị mạng mới của công
ty và yêu cầu tài khoản truy cập để sửa chữa hệ thống, kịch bản đó diễn ra
thường xuyên nhưng trong số toàn bộ nhân viên, không thể tránh một vài
người thiếu xót trong việc nhận định mình đang bị lợi dụng. Một cách ung
dung tin tặc có được các thông tin mình mong muốn và đăng nhập vào hệ
thống với tư cách một người sử dụng hợp pháp, hệ thống không có cách thức
nào phân biệt đâu là người sử dụng, đâu là tin tặc một khi các dấu hiệu nhận
biết đều hợp lệ và thế là hệ thống bị hạ gục.
20
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
Ngày càng nhiều các kịch bản lừa đảo được dựng lên đánh vào yếu tố con
người, tin tặc ngày càng ranh mãnh và nhạy bén hơn, từng sự kiện nổi bật
trong thời điểm lúc đó đều được tận dụng để thực hiện các hành vi tấn công
tâm lý và người sử dụng trong mạng. Không phải ai trong hệ thống cũng có
thể có đủ sự cảnh giác và kinh nghiệm chống lại các cuộc tấn công này. Và
khi tin tặc gặp được người cần tìm, thâm nhập đã thành công.
Thực tế với một môi trường mạng doanh nghiệp, còn rất nhiều nguy cơ
tiềm ẩn khác có thể xảy ra. Đó có thể là các cuộc xâm nhập vật lý, các hành vi
phá hoại thông qua việc gửi các tập tin đính kèm có chứa các mã độc hại tới
người sử dụng…. Mọi thứ đều có thể xảy ra và các doanh nghiệp cần có sự
chuẩn bị cho những điều nêu trên, bảo mật luôn đi kèm với sự toàn diện, như
là một chuỗi mắt xích liên hoàn, một khâu bảo mật yếu kém cũng có thể gây
nên sự đổ vỡ của toàn bộ hệ thống.
1.3.2 Các biện pháp giảm thiểu rủi ro
Sau khi xác định được các mối nguy hiểm tiềm tàng có thể xảy ra với hệ
thống, các doanh nghiệp cần xây dựng các chính sách để khắc phục những rủi
ro có thể xảy ra với doanh nghiệp. Các chính sách này cần nhất quán và toàn
diện khắc phục những điểm yếu có thể bị tin tặc lợi dụng. Tuy nhiên có một
vấn đề đặt ra là các doanh nghiệp vừa và nhỏ mặc dù có thể được cảnh báo về
các vấn đề có thể xảy ra nhưng lại thiếu đi các nhân sự và tiền bạc để có thể
triển khai cho bản thân mình, lý do chủ yếu xuất phát từ các yếu tố tài chính
doanh nghiệp. Và một số biện pháp sau thường được áp dụng với doanh
nghiệp vừa và nhỏ.
1.3.2.1 Thuê chuyên gia bảo mật
Rõ ràng các doanh nghiệp vừa và nhỏ không có đủ tài chính để có thể thuê
hẳn một chuyên gia bảo mật chăm sóc cho hệ thống doanh nghiệp mình. Các
chuyên gia bảo mật cần có những kiến thức và kinh nghiệm phong phú trong
lĩnh vực bảo mật, họ là những con người toàn năng, hiểu biết nhiều lĩnh vực
khác nhau, hiểu biết cách thức tin tặc xâm nhập vào hệ thống, đôi khi chính
họ trước đó cũng từng làm tin tặc, kiến thức của họ cần được không ngừng
nâng cao theo kịp với sự phát triển của công nghệ. Và chính vì họ tuyệt vời
21
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
như vậy, mời họ về làm hẳn ở công ty cần một sự đầu tư tài chính không nhỏ.
Giải pháp đi thuê họ có vẻ khả thi hơn, các chuyên gia bảo mật sẽ thiết kế hệ
thống doanh nghiệp sao cho đáp ứng được mức độ nào đó về bảo mật, với
kinh nghiệm của mình, họ sẽ tìm cách bít các lỗ hổng có thể bị lợi dụng để
thâm nhập vào hệ thống, đồng thời đề ra những cách thức thắt chặt bảo mật
cho doanh nghiệp.
Tất nhiên với các doanh nghiệp vừa và nhỏ, luôn có ít nhất một quản trị
mạng để chăm sóc hệ thống, tuy nhiên vấn đề đặt ra là quản trị mạng thường
phải kiêm nhiều công việc khác nữa. Đảm bảo hệ thống mạng vận hành ổn
định đã là một công việc vất vả, họ không có đủ thời gian để có thể chăm sóc
tốt đến vấn đề an toàn hệ thống, mà như đã biết, chỉ một lỗ hổng thôi cũng có
thể gạ gục hệ thống doanh nghiệp. Rõ ràng khi đó việc thuê một chuyên gia
bảo mật hay đúng hơn là việc sử dụng một công ty khác chuyên trách về vấn
đề bảo mật sẽ đảm bảo nâng cao mức độ bảo mật cho doanh nghiệp. Có thể sự
có mặt của họ là không liên tục, các lỗ hổng không được kiểm tra hay khắc
phục ngay lập tức nhưng mọi lỗ hổng có tính căn bản hoặc đã phát hiện sẽ
được khắc phục triệt để.
1.3.2.2 Kiểm tra bảo mật
Đi cùng với việc thuê chuyên gia bảo mật triển khai hệ thống bảo mật cho
doanh nghiệp, các doanh nghiệp cũng nên tiến hành việc kiểm tra bảo mật cho
hệ thống mạng doanh nghiệp mình. Việc tiến hành kiểm tra có thể được thực
hiện bằng các phần mềm chuyên biệt có trên mạng được cung cấp bởi các nhà
an ninh bảo mật. Các phần mềm này sẽ được cập nhập thường xuyên và gần
như tức thời các lỗ hổng đã được phát hiện cũng như các lỗ hổng chưa được
công bố như các lỗ hổng zero day…. Cũng có thể doanh nghiệp thuê một
công ty bảo mật khác, người sẽ phụ trách việc kiểm tra bảo mật cho doanh
nghiệp mình, thông báo các lỗi có thể mắc phải cũng như đề ra một số biện
pháp để khắc phục lỗi đó.
Với việc triển khai các biện pháp bảo mật là chưa đủ, chỉ có kiểm tra thực
tế mới có thể đánh giá được an ninh của hệ thống mạng. Các nhà kiểm tra bảo
mật có thể được đóng vai trò như là các hacker, cố gắng xâm nhập mạng công
22
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
ty theo những cách thức như là một tin tặc thực thụ. Trong quá trình xâm
nhập đó, các lỗ hổng cũng như khiếm khuyết có thể được phát hiện và các
biện pháp phòng chống được đề ra để bịt các lỗ hổng đó. Việc triển khai các
giải pháp an ninh bảo mật ở trên cũng như thuê các chuyên gia bảo mật ở
dưới có thể giúp các doanh nghiệp vừa và nhỏ không cần bỏ ra quá nhiều chi
phí vẫn có thể có được hiệu quả tốt đẹp, vấn đề vướng mắc ở đây là khi có sự
cố bất ngờ xảy ra, doanh nghiệp không thực sự có năng lực khắc phục ngay
sự cố.
1.3.2.3 Đề ra các chính sách bảo mật
Một doanh nghiệp cần đưa ra những chính sách bảo mật rõ ràng với bản
thân mình, hầu hết các doanh nghiệp nhỏ thường không có chính sách rõ ràng,
sự mập mờ và không quản lý chặt chẽ đó có thể gây ra những tiềm ẩn trong
bảo mật.
Đối với các doanh nghiệp lớn, có những bộ phận phụ trách nhiệm vụ đề ra
những chính xách bảo mật, các chính sách này thường được hiện thực hóa
bằng giấy tờ và phổ biến rộng rãi cho từng nhân viên. Các nhân viên không
những biết được các chính sách chung của công ty mà còn được phân quyền
phù hợp với nhiệm vụ của mình. Khi hệ thống gặp sự cố, có thể dễ dàng
khoanh vùng và xác định đối tượng thâm nhập. Trong các doanh nghiệp nhỏ,
họ chú trọng đến sự hoạt động của hệ thống hơn là các chính sách cụ thể, chỉ
cần công việc diễn ra bình thường là có thể coi như hệ thống hoạt động tốt,
các nhân viên không được phổ biến quyền hạn cũng như trách nhiệm với
chính sách bảo mật, một khi xảy ra lỗi, rất khó có thể xác định nguyên nhân
cũng như cách khắc phục lỗi. Đồng thời với nó, sự không phân quyền hạn sẽ
làm cho mọi người đều có những quyền như nhau, đôi khi những quyền đó là
không cần thiết và có thể gây nguy hại cho hệ thống một khi tin tặc lợi dụng
được.
Đề ra chính sách rõ ràng, phân quyền sử dụng hợp lý, đó là những yêu cầu
bắt buộc một doanh nghiệp khi muốn nâng cao bảo mật của hệ thống mình.
Trong vấn đề triển khai cụ thể, một doanh nghiệp vừa và nhỏ có thể áp dụng
các giải pháp kiến nghị sau trong chính sách bảo mật của mình.
23
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
-
Tiến hành đánh giá về chính sách bảo mật hiện có (các quy định của
công ty về quản lý thông tin vào ra).
-
Thực hiện vá lỗi và xây dựng hệ thống bảo mật phù hợp quy mô và trình
độ công ty, một vài kỹ thuật sau có thể được sử dụng :
+ Kiểm soát truy cập: Xác nhận danh tính và quyết định có cho phép truy
cập vào mạng hay không. Việc xác thực có thể thông qua mật khẩu
hoặc các biện pháp phức tạp khác như sử dụng thiết bị như thẻ nhân
viên. Cũng có thể sử dụng các biện pháp mã hóa truy cập với các khóa
riêng được cấp cho từng người.
+ Tường lửa: Giải pháp phần mềm hoặc phần cứng giúp ngăn chặn các nỗ
lực xâm nhập từ bên ngoài hoặc chỉ cho phép dữ liệu hợp pháp đi vào
mạng. Đồng thời cũng ngăn cản dữ liệu từ trong mạng đi ra ngoài một
cách không minh bạch. Hầu hết các doanh nghiệp cho phép dữ liệu
được tự do đi ra ngoài và điểm này được lợi dụng để tin tặc cài các
phần mềm backdoor vào hệ thống.
+ Quản lý định danh: Nhận dạng người dùng và trạng thái chấp nhận hiện
tại; xác định và thi hành quyền truy cập tài nguyên hệ thống và mạng
lưới (thông qua Policy công ty). Điều này liên quan tới quyền hạn của
từng người trong hệ thống, không phải ai khi đăng nhập thành công vào
hệ thống cũng có toàn quyền với các tài nguyên mạng, mỗi người được
cung cấp môi trường phù hợp và đủ với công việc của mình, mọi quyền
hạn khác đều cần được xóa bỏ.
+ Phát hiện xâm nhập: Là khả năng của phần mềm có thể phân tích hoạt
động của mạng, phát hiện hành vi xâm nhập vào gửi thông báo cho
người quản trị.
+ Ngăn chặn đe doạ: Là việc liên kết nhiều công nghệ bảo mật (tường lửa,
phát hiện/bảo vệ xâm nhập) và dịch vụ mạng thông minh để giảm thiếu
tác động của những đe doạ đã biết hoặc chưa được biết đến.
24
Nguyễn Thanh Tùng – Lớp AT4B
Học viện kỹ thuật Mật Mã
+ VPN (Virtual Private Network): Mạng riêng ảo cho phép máy tính có
thể kết nối (truy cập từ xa) một cách an toàn và bảo mật hơn tới hệ
thống mạng doanh nghiệp thông qua mạng Internet.
-
Thiết lập các chính sách và quy trình khai thác tài nguyên công ty phù
hợp: quy định quyền sử dụng tài nguyên của từng phòng ban, cá nhân;
thiết lập các quy trình khai thác và bảo mật thông tin doanh nghiệp (cần
được thể hiện bằng văn bản và báo cáo công việc, càng rõ càng tốt); hình
thành nên các quy trình xử lý sự cố có thể xảy ra (tấn công, tai nạn, hư
hỏng vật lý…) thiết lập các kế hoạch duy trì, bảo dưỡng và nâng cấp hệ
thống…
-
Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân viên công
ty. Đồng thời tổ chức các buổi tập huấn, đào tạo nhân viên nhằm áp dụng
triệt để các quy định về khai thác tài nguyên công ty.
1.4 Các giải pháp về an ninh mạng
Bản thân các doanh nghiệp vừa và nhỏ cũng có những nhận thức ban đầu
về các mối lo ngại bảo mật và họ sẵn sàng bỏ tiền ra để trang bị các thiết bị
bảo mật cho doanh nghiệp, tất nhiên giá cả của thiết bị đó phải ở mức chấp
nhận được. Các nhà cung cấp dịch vụ bảo mật đã bắt tay vào để tạo ra các sản
phẩm cung cấp hệ thống an toàn tất cả trong một cho một công ty nhỏ. Các
giải pháp đó có thể là phần cứng cũng như phần mềm nhưng đặc điểm nổi trội
của nó là được tạo nên nhắm đến các doanh nghiệp vừa và nhỏ. Được tối ưu
cho mục đích sử dụng, các doanh nghiệp vừa và nhỏ không cần đến một hệ
thống phức tạp với độ an toàn cao, họ chỉ cần một hệ thống có thể bảo vệ họ
vừa đủ trước các mối an ninh bên ngoài, đồng thời họ cũng muốn tích hợp
nhiều tính năng để có thể khai thác từ các sản phẩm bảo mật đó.
Bằng cách điểm qua một số sản phẩm hiện tại, có thể từ đó nhận đưa ra
các nhận định hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninh
mạng cho các doanh nghiệp vừa và nhỏ.
25
