Tải bản đầy đủ (.doc) (15 trang)

DỰ ÁN XÂY DỰNG HỆ THỐNG BẢO MẬT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (454.72 KB, 15 trang )

Sacombank Project

̣
A
́
N XÂY DƯ
̣
NG
HỆ THỐNG BẢO MẬT
C O N F I D E N T I A L T O F P T A N D S A C O M B A N K ,
04/27/13
Sacombank Network security
Security network solution for Sacombank
Saved: 27/04/2013
Version: 2.0
I. MỤC LỤC

I. MỤC LỤC ........................................................................................................................................................................................... I
II. HIỆN TRẠNG VÀ MỤC TIÊU DỰ ÁN ................................................................................................................................................... 1
1 GIỚI THIỆU TỔNG THỂ........................................................................................................................................................................ 1
1.1 Xác định các kẽ hở và nguy cơ của hệ thống mạng............................................................................................................................................1
1.2 Mô tả cấu trúc tổng quát hệ thống.....................................................................................................................................................................2
1.3 Phân hệ máy chủ ứng dụng................................................................................................................................................................................2
2 MÔ TẢ CẤU TRÚC MẠNG SACOMBANK................................................................................................................................................. 2
3 CÁC MỐI ĐE DỌA TIỀM NĂNG VỚI HỆ THỐNG.................................................................................................................................... 5
4 PHÂN TÍCH CHÍNH SÁCH BẢO MẬT CHO SACOMBANK......................................................................................................................... 6
4.1 Xác định trách nhiệm của mọi người trong hệ thống với chính sách bảo mật......................................................................................................6
4.2 Xác định các tài nguyên cần được bảo vệ...........................................................................................................................................................7
4.3 Xác định các mối đe doạ đối với hệ thống..........................................................................................................................................................7
4.4 Xác định trách nhiệm và mức độ sử dụng của từng người sử dụng trong mạng.................................................................................................9
4.5 Xác định các công cụ để thực thi các chính sách bảo mật.................................................................................................................................10


4.6 Xác định các hành động khi chính sách bảo mật bị xâm phạm.........................................................................................................................10
5 ĐỀ XUẤT GIẢI PHÁP BẢO MẬT........................................................................................................................................................... 10
6 CÔNG NGHỆ VÀ THIẾT BỊ BẢO MẬT ĐỀ NGHỊ..................................................................................................................................... 14
6.1 Công nghệ và giải pháp Firewall khuyến nghị ..................................................................................................................................................14
6.2 Giải pháp Firewall đề nghị cho SACOMBANK.....................................................................................................................................................19
6.3 Giải pháp phát hiện và chống xâm nhập IDS....................................................................................................................................................22
6.4 Giải pháp phát hiện và phòng chống Virus........................................................................................................................................................24
6.5 Giải pháp sử dụng InterScan VirusWall khuyến nghị cho Sacombank................................................................................................................27
6.6 Hệ thống dò tìm lỗi bảo mật khuyến nghị cho tòan hệ thống (Scanner)...........................................................................................................33
III. PHÂN CHIA QUÁ TRÌNH TRIỂN KHAI............................................................................................................................................. 36
1. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN I............................................................................................................................................... 36
2. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN II.............................................................................................................................................. 36
3. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN III............................................................................................................................................ 41
4. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN IV............................................................................................................................................. 42
4.1 Sử dụng VPN cho các kết nối từ người dùng và chi nhánh vào các máy chủ dữ liệu ........................................................................................42
4.2 Một số kiểu kết nối của VPN.............................................................................................................................................................................42
4.3 Đề xuất thiết kế VPN cho mạng Sacombank.....................................................................................................................................................45
4.4 Tổng kết mô hình khuyến nghị triển khai hệ thống bảo vệ mạng Sacombank...................................................................................................47
III. ĐÁNH GIÁ GIẢI PHÁP.................................................................................................................................................................... 49
IV. PHỤ LỤC ........................................................................................................................................................................................ 50
Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page I
Sacombank Network security
Security network solution for Sacombank
Saved: 27/04/2013
Version: 2.0
1 CÁC PHƯƠNG THỨC TẤN CÔNG D.O.S THÔNG THƯỜNG.................................................................................................................... 50
2 PHƯƠNG THỨC TẤN CÔNG IP SPOOFING DẠNG SMURF.................................................................................................................. 53
3 CÁC PHƯƠNG THỨC KHÁC VÀ NGUYÊN TẮC PHÒNG CHỐNG.............................................................................................................. 54
3.1 Các phương thức tấn công thông dụng.............................................................................................................................................................54

1.1.1 Phương thức ăn cắp thống tin bằng Packet Sniffers............................................................................................................................................................ 54
1.1.2 Phương thức tấn công mật khẩu Password attack............................................................................................................................................................... 55
1.1.3 Phương thức tấn công bằng Mail Relay.............................................................................................................................................................................. 55
1.1.4 Phương thức tấn công hệ thống DNS ................................................................................................................................................................................. 55
1.1.5 Phương thức tấn công Man-in-the-middle attack................................................................................................................................................................ 55
1.1.6 Phương thức tấn công để thăm dò mạng............................................................................................................................................................................. 55
1.1.7 Phương thức tấn công Trust exploitation............................................................................................................................................................................ 56
1.1.8 Phương thức tấn công Port redirection............................................................................................................................................................................... 56
1.1.9 Phương thức tấn công lớp ứng dụng................................................................................................................................................................................... 56
1.1.10 Phương thức tấn Virus và Trojan Horse........................................................................................................................................................................... 56
1.2 Các phương thức bảo mật ứng dụng Cisco IOS................................................................................................................................................57
1.2.1 Ví dụ 1:.............................................................................................................................................................................................................................. 57
1.2.2 Ví dụ 2:.............................................................................................................................................................................................................................. 58
Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page II
Sacombank Network security
Security network solution for Sacombank
Saved: 27/04/2013
Version: 2.0
II. HIỆN TRẠNG VÀ MỤC TIÊU DỰ ÁN
1 GIỚI THIỆU TỔNG THỂ
Cho đến hết năm 2003, Ngân hàng Sacombank đã hình thành triển khai kết nối mạng WAN tới
nhiều Tỉnh và Thành phố gần 12 đơn vị cấp Quận thuộc 03 Thành Phố lớn ( Hà nội, TP HCM và Đà
Nẵng), Sacombank đang từng bước xây dựng hệ thống mạng trục chính kết nối 3 trung tâm – 3
Thành phố lớn Hà nội, Đà Nẵng, TP HCM, kết nối xuống các chi nhánh cấp dưới theo mô hình phân
cấp, do yêu cầu phát triển các dịch vụ ngân hàng mới, mạng WAN này cần phải kết nối và trao đổi
thông tin với mạng Internet toàn cầu và với mạng của các đơn vị khác ở Việt nam. Do vậy
Sacombank đã quyết định xây dựng 2 cổng kết nối ra Internet và các tổ chức bên ngoài. Trong đó
cổng chính lắp đặt tại TP HCM là trọng điểm phát triển công nghệ nền tảng cho toàn bộ công
đọan phát triển mạng WAN trong tương lai của Sacombank .

Công tác chuẩn hoá và tăng cường ANTH chủ yếu sẽ gồm có 3 nhóm nhiệm vụ lớn với những nội
dung sau đây:
1.1 Xác định các kẽ hở và nguy cơ của hệ thống mạng
-Tìm ra vị trí chính xác của những kẽ hở, nơi có khả năng tự phát sinh sự cố từ bên trong hoặc bị
lợi dụng tấn công từ bên ngoài
-Chỉ ra cụ thể nhưng mối đe dọa hoặc tiềm tàng nguy hiểm đối với sự an toàn của hệ thống thông
tin
-Rà soát lại hàng rào pháp lý ANTH
Thi hành các biện pháp kỹ thuật và tổ chức
-Xây dựng và thi hành các luật, chính sách, quy chế về thông tin và ANTH
-Tuyên truyền giáo dục ANTH, nâng cao nhận thức của lãnh đạo và mọi người
-Trang bị kiến thức và các thiết bị, phần mềm an ninh tin học
-Áp dụng các tiêu chuẩn ANTH trước khi các nguy hiểm có thể bùng phát
-Thường xuyên kiểm tra hoạt động ở mọi khâu của hệ thống thông tin
-Thành lập trung tâm cứu hộ, sẵn sàng đối phó các tai họa
-Sao chép và lưu trữ dữ liệu ở vài nơi an toàn
Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 1
Sacombank Network security
Security network solution for Sacombank
Saved: 27/04/2013
Version: 2.0
1.2 Mô tả cấu trúc tổng quát hệ thống
Cấu trúc bảo mật mạng dự kiến xây dựng sẽ dựa trên cấu trúc mạng bao gồm các phần sau:
Phân hệ kết nối Internet và truy cập từ xa
Phần này được trang bị các thiết bị kết nối Gateway Cisco Router riêng kết nối với mạng Internet,
cho phép mở rộng và nâng cấp tốc độ cổng kết nối Internet tuỳ theo nhu cầu phát triển. Người
dùng truy nhập vào mạng được xác thực tuỳ theo quyền truy nhập để vào mạng nội bộ hoặc
Internet và CSDL dùng để xác thực được quản lý tập trung trên máy chủ ACS đặt ở vùng quản trị
hệ thống.

Phân hệ mạng DMZ
Gồm hệ thống máy chủ Web, E-mail, dành cho khách hàng, nội bộ truy nhập, trên máy chủ Web
gồm có các hệ thống giao dịch trên WEB của Ngân hàng, Internet Banking, home Banking, các
thông tin quảng cáo, tra cứu các sản phẩm của Sacombank, các hệ thống đào tạo, dạy học điện tử
nội bộ. Máy chủ Email của các tài khoản nội bộ hay khách hàng, máy chủ Web được cài các bộ lọc
theo các nội dung, các địa chỉ trang WEB, ngoài ra tại khu vực này còn có các máy chủ Virus để
kiển tra Virus đối với các thông tin vào ra Internet.
1.3 Phân hệ máy chủ ứng dụng
Các máy chủ ứng dụng chứa các CSDL dành cho các ứng dụng , hết sức quan trọng do vậy khu vực
này cần được đảm bảo mức độ an ninh bảo mật cao.
Phân hệ quản trị mạng
Bao gồm các máy chủ quản trị an ninh, máy chủ xác thực , máy chủ quét các dịch vụ trên mạng
(IDS)
Phân hệ kết nối ra bên ngoài (EXTRANET)
Dành cho các kết nối từ các đơn vị bên ngoài hoặc bên ngòai truy cập vào mạng của Ngân hàng
Sacombank
Phân hệ máy chủ CSDL
Các máy chủ ứng dụng chứa các CSDL chính, hết sức quan trọng do vậy khu vực này cần được đảm
bảo mức độ an ninh bảo mật cao nhất.
Phân hệ kết nối WAN của SACOMBANK
Phần kết nối vào cổng Gateway Firewall, nhằm bảo vệ các giao dịch từ bên ngoài vào
2 MÔ TẢ CẤU TRÚC MẠNG SACOMBANK
Hệ thống mạng của Sacombank là một hệ thống WAN lớn, có khuynh hướng mở rộng rất cao. Đây
là một hệ thống mạng kết nối xuyên suốt giữa hội sở chính, 15 chi nhánh và phòng giao dịch với
Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 2
Sacombank Network security
Security network solution for Sacombank
Saved: 27/04/2013
Version: 2.0

nhau, đồng thời kết nối ra Internet để thực hiện các giao dịch với khách hàng. Cơ sở dữ liệu ngày
càng phát triển lớn hơn cùng với nhu cầu ứng dụng công nghệ thông tin cao đòi hỏi nhất thiết phải
có các giải pháp để bảo đảm an toàn an ninh cho toàn bộ hệ thống mạng.
Hội sở chính hiện đã có 2 đường leased line 2048 Kbps đến bưu điện. Các chi nhánh kết nối với
Data Center qua kênh riêng leased line 128 Kbps và theo 2 đường leased line 2048Kbps đề kết nối
về hội sở. Ngoài ra, còn có đường backup để kết nối các chi nhánh với hội sở chính qua mạng
PSTN. Khi đường leased line xảy ra sự cố, đường backup này được bật lên đảm bảo liên lạc trao đổi
thông tin liên tục giữa chi nhánh và trung tâm của Sacombank. Các phòng giao dịch kết nối với chi
nhánh qua mạng PSTN.
Sơ đồ chi tiết kết nối mạng Sacombank:
Hệ thống mạng trung tâm của Sacombank là trung tâm tích hợp dữ liệu hệ thống ,trung tâm lưu trữ
cũng như giao dịch của toàn bộ hệ thống của Sacombank.
Cấu trúc hệ thống mạng Sacombank:
Hội sở (trung tâm):
Commercial in confidence to Sacombank and FPT HCM Branch.
Not for distribution without express prior approval from FPT Corp Page 3

×