Tải bản đầy đủ (.doc) (61 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Đồ án môn học An toàn thông tin trên mạng máy tính

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.35 MB, 61 trang )

Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

TRƯỜNG ………………….
KHOA…………………
----------

BÁO CÁO TỐT NGHIỆP
Đề tài:
AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH

Nhóm 8 – M01

Trang 1


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

MỤC LỤC
Lời mở đầu........................................................................................................................................3
I. Hiện trạng:..................................................................................................................................7
+ Phòng hành chính tổng hợp...........................................................................................7
II. Yêu cầu:.....................................................................................................................................7
III. Đề xuất phương án:..................................................................................................................8
IV. Triển khai:...............................................................................................................................14
Preferred DNS: 10.0.0.1...............................................................................................................15
V. Nguy cơ và giải pháp:...............................................................................................................15
B. PHẦN RIÊNG: Kiểm soát truy nhập..............................................................................................18


I. Tổng quan:................................................................................................................................18
II. Các phương pháp:...................................................................................................................18
II.1. ĐIỀU KHIỂN TRUY CẬP:.....................................................................................................18
II.1.1. Mandatory Access Control – MAC:.........................................................................19
II.1.2. DISCRETIONARY ACCESS CONTROL........................................................................22
II.1.3. ROLE-BASED ACCESS CONTROL..............................................................................23
II.2.1. Tổng quan:.............................................................................................................24
II.2.2.Username – Password:............................................................................................25
II.2.3. Challenge Handshake Authentication Protocol (CHAP)..........................................27
II.2.4. Kerberos:................................................................................................................28
II.2.5. Token:.....................................................................................................................33
II.2.6. One time password (OTP) - Password dùng một lần:.............................................38
II.2.7. Certificate:.............................................................................................................40
II.2.8. Biometrics - Sinh trắc học:.....................................................................................42
II.2.9. Multi Factor Authentication – Sử dụng nhiều phương pháp:.................................44
II.2.10. Mutual Authentication - Xác thực hai chiều:........................................................45
II.3. CÁC PHƯƠNG PHÁP CẤP QUYỀN......................................................................................45
II.3.1 Tổng quan:..............................................................................................................45
Nhóm 8 – M01

Trang 2


Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
II.3.2. Các phương pháp...................................................................................................46
II.4. GIÁM SÁT THỐNG KÊ HỆ THỐNG MẠNG:..........................................................................51
III. Áp dụng vào hệ thống mạng trên:..........................................................................................52
TÀI LIỆU THAM KHẢO......................................................................................................................61


Lời mở đầu
Ngày nay, mạng máy tính là một khái niệm đã trở nên quen thuộc với
hầu hết tất cả mọi người, đặc biệt chiếm vị trí hết sức quan trọng với các
doanh nghiệp. Với xu thế phát triển mạnh mẽ của hệ thống mạng như: mạng
internet, hệ thống thương mại điện tử, hệ thống thông tin trong các cơ quan,
doanh nghiệp,… vấn đề quản trị và an ninh mạng trở nên hết sức cần thiết.
Đó có thể là virus, sâu máy tính, các chương trình do thám, ăn cắp thông
tin, thư rác, các hành động tấn công hay xâm nhập trái phép. Tác giả của
những cuộc tấn công cũng muôn hình vạn trạng, từ các cậu thanh niên lấy tấn
công, phá hoại là cơ hội thể hiện mình, đến các hacker chuyên nghiệp, gián
điệp công nghiệp, chính phủ nước ngoài, thậm chí người bên trong công ty…
Thiệt hại không chỉ về tài sản, dữ liệu, mà lớn hơn là sự thất thoát niềm tin
vào hệ thống mạng, vào chất lượng dịch vụ, uy tín của doanh nghiệp. Cùng
với các ứng dụng Internet ngày càng nhiều, số vụ xâm phạm an ninh máy tính
lại tăng theo cấp số nhân. Các lỗ hổng bảo mật được công bố ngày càng tăng,
trong khi các hacker chỉ cần sử dụng các công cụ tấn công thô sơ cũng đã
thành công khiến cho tình hình ngày một tồi tệ hơn. An ninh vì vậy lẽ dĩ
nhiên là mối quan tâm số một của CNTT.
Do đó, việc xây dựng “vành đai” để phòng thủ và ngăn chặn các truy cập
trái phép là một nhu cầu cấp thiết.

Nhóm 8 – M01

Trang 3


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập


Mặt khác, khi mà truy nhập đến các tài nguyên mạng trở nên đa dạng cả
về phương thức và số lượng, việc làm cho tài nguyên luôn luôn khả dụng và
duy trì được một mức độ an ninh mạng cao cũng trở nên khó khăn hơn. Mặc
dù các máy tính xách tay di động và những máy để bàn không tương thích rất
nhạy cảm với những nguy cơ an ninh trên mạng Internet, nhưng chúng vẫn
được cho phép truy nhập vào mạng của công ty cũng như những tài nguyên
kinh doanh quan trọng. Yêu cầu kinh doanh đòi hỏi rằng các thiết bị này phải
truy nhập được đến các tài nguyên và ứng dụng, nhưng nếu cung cấp những
truy nhập như vậy mà không có được khả năng kiểm soát an ninh phù hợp sẽ
đồng nghĩa với việc mở cửa doanh nghiệp cho một số nguy cơ về kinh doanh
và an ninh mạng cũng như khó khăn trong đáp ứng được các yêu cầu về tuân
thủ quy định pháp lý.
Một phần khó khăn trong việc bảo đảm an ninh cho mạng là ở chỗ các
mạng hiện nay được xây dựng nên từ quá nhiều phần tử và có quá nhiều tình
huống truy nhập mạng. Xét về tổng thể, doanh nghiệp có 3 tình huống truy
nhập – mạng LAN doanh nghiệp, doanh nghiệp phân tán và doanh nghiệp kéo
dài – cũng như là hai bộ phận cơ bản nhạy cảm an ninh – cổng WAN/Internet
và Trung tâm dữ liệu. Một trong những lĩnh vực truy nhập đầu tiên nơi các
nguy cơ an ninh biểu hiện là doanh nghiệp kéo dài với những người làm việc
từ xa, người làm việc di động độc lập, đối tác kinh doanh và khách hàng cùng
truy nhập thông qua mạng VPN truy nhập từ xa. Thông qua sử dụng các thiết
bị VPN với các tính năng đánh giá điểm đầu cuối phức tạp và tính năng tăng
cường an ninh có thể kiểm soát những nguy cơ an ninh đó ở mức độ khá cao.
Tuy nhiên, rất nhiều nguy cơ an ninh vẫn còn hiện hữu, và mỗi nguy cơ áp đặt
những thách thức nhất định. Các điểm đầu cuối không được quản lý hoặc
được quản lý kém trong mạng LAN doanh nghiệp hoặc trong các doanh
nghiệp phân tán, đặc biệt là các thiết bị di động có thể tiếp tục gây ra những
rủi ro khi họ truy nhập thông qua VPN điểm điểm hoặc kết nối trực tiếp vào
mạng LAN mà không phải đi qua các thiết bị an ninh đặt tại biên mạng. Cổng
mạng WAN cũng là một nơi chứa các lỗ hổng an ninh. Người sử dụng trên


Nhóm 8 – M01

Trang 4


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

các thiết bị không được bảo an hoặc được bảo an kém có thể vô tình mang các
nguy cơ an ninh vào mạng như virus, Trojan, sâu máy tính và nhiều thứ khác
nữa mà không hề biết về sự tồn tại của chúng. Bất kỳ nguy cơ nào trong số
những nguy cơ trên đều có thể phát tán nhanh chóng và gây gián đoạn hoạt
động của mạng. Một khu vực khác với những lỗ hổng an ninh tiềm năng là
trung tâm dữ liệu. Những tài nguyên quan trong thường được bảo vệ bằng
tường lửa là những thiết bị không hề có thông tin về những người sử dụng
hoặc điểm đầu cuối khách hàng đang tìm kiếm những cách thức khác nhau để
truy nhập vào trung tâm dữ liệu. Khi tiếp xúc với những điểm đầu cuối đã bị
khai thác, những máy chủ nội bộ nhạy cảm sẽ gặp rủi ro.
Thách thức đối với các doanh nghiệp là họ phải tìm kiếm những cách
thức để sử dụng cơ sở hạ tầng mạng hiện có càng nhiều càng tốt, trong khi
vẫn cung cấp một phương thức truy nhập đơn giản, an toàn vào các tài nguyên
và các ứng dụng cho rất nhiều đối tượng khác nhau. Các nhà phân tích hàng
đầu đã nói rằng mục tiêu của họ là đạt được sự cân bằng giữa hạn chế người
sử dụng, cải thiện và mở rộng những đường biên an ninh hiện tại và đảm bảo
tính tương thích trong dài hạn thông qua sử dụng các giao diện mở. Phải đạt
được mục tiêu này trong khi vẫn đảm bảo việc cung cấp các dịch vụ và ứng
dụng bằng những phương thức mà doanh nghiệp có thể hoàn toàn an tâm phó
thác. Để có thể thực hiện được mục tiêu này, mạng doanh nghiệp phải có khả

năng kiểm soát tổng thể bao gồm kiểm soát truy nhập, kiểm soát nguy cơ và
kiểm soát cung cấp. Kiến trúc đó cho phép các doanh nghiệp chuyển từ phản
ứng thụ động trước mỗi biến cố sang phản ứng chủ động tạo nên một mạng có
độ tương thích cao và khả năng tăng cường an ninh.
Huống chi, đối với Công an thì vấn đề đảm bảo an ninh lại càng quan
trọng hơn. Chỉ thị số 58/CT/TW ngày 17/10/2000 của Bộ Chính trị đã chỉ rõ:
“Tin học hóa hoạt động của các cơ quan Đảng và Nhà nước là bộ phận hữu
cơ quan trọng của cải cách nền hành chính quốc gia, là nhiệm vụ thường
xuyên của các cơ quan nhằm tăng cường năng lực quản lý, nâng cao năng
suất, chất lượng, hiệu quả”. Vì vậy nhóm chúng em đã lựa chọn đề tài
Nhóm 8 – M01

Trang 5


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

“KIỂM SOÁT TRUY NHẬP” để làm đồ án cho môn học “AN TOÀN
THÔNG TIN TRÊN MẠNG MÁY TÍNH”.
Nhiệm vụ của từng thành viên trong nhóm:
1. Trần Hữu Trí – Thiết kế mô hình mạng phần chung.
2. Lê Thị Ngọc Ngân – Cơ sở lý thuyết phần riêng.
3. Hoàng Thanh Thanh – Áp dụng vào mô hình thực tế.
Trong quá trình thực hiện đồ án mặc dù nhóm chúng em đã rất cố gắng,
nhưng do thời gian và kiến thức còn hạn chế ở một số lĩnh vực nên không thể
tránh khỏi việc mắc phải những thiếu sót trong quá trình tìm hiểu đề tài, kính
mong Thầy thông cảm và nhận xét góp ý thêm chúng em để đồ án được hoàn
thiện hơn.

Cuối cùng chúng em xin gửi lời cảm ơn chân thành đến thầy giáo
Nguyễn Văn Trung đã hướng dẫn chúng em tận tình, giúp chúng em nắm
vững những lý thuyết căn bản nhất về môn học “AN TOÀN THÔNG TIN
TRÊN MẠNG MÁY TÍNH”. Cũng như lời cảm ơn đến các thầy cô giáo trong
bộ môn tin học đã giúp chúng em hoàn thành đồ án môn học này.
Chúng em chân thành cảm ơn!
Hà Nội, tháng 01/2010
Nhóm học viên thực hiện:
Trần Hữu Trí
Lê Thị Ngọc Ngân
Hoàng Thanh Thanh

Nhóm 8 – M01

Trang 6


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

A. PHẦN CHUNG: Thiết kế mô hình
I. Hiện trạng:
- Xây dựng hệ thống mạng tại một đơn vị công an.
- Đơn vị có 5 phòng chức năng:
+ Phòng An ninh kinh tế.
+ Phòng trinh sát.
+ Phòng hành chính tổng hợp.
+ Phòng họp giao ban.
+ Phòng máy chủ.

- Có 9 PC, 3 Server, 1 Access Point.
- Đơn vị đang dùng đường truyền Internet của nhà cung cấp dịch vụ
FPT.
- Việc tiến hành xây dựng chia làm 2 giai đoạn:
+ Lắp đặt các thiết bị phần cứng.
+ Cấu hình các thiết bị cần thiết.
- Đề xuất thêm các thiết bị gồm:
+ 1 Server dùng cài đặt Firewall mềm ISA 2004.
+ 1 modem ADSL, 1 router.
+ 5 switch.
+ Cáp mạng UTP Cat 5 (6), hạt mạng RJ45.
II. Yêu cầu:
- Có khả năng mở rộng, đáp ứng được sự phát triển về quy mô và đặc thù
công việc của từng phòng ban.
- Dễ dàng truy cập, nâng cấp phần mềm và phần cứng.
Nhóm 8 – M01

Trang 7


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

- Đảm bảo 3 yếu tố: bí mật (confidentialyti), toàn vẹn (integrity), sẵn
sàng (availability)
- Xây dựng hệ thống mạng LAN cho đơn vị, được xây dựng trên nền
tảng công nghệ truyền dẫn tốc độ cao 10/100/1000Mbps.
- Hệ thống sử dụng mô hình quan lí tập trung.
- Triển khai File Server, Mail Server, Web Server.

- Cán bộ đi công tác có thể kết nối vào đơn vị bằng VPN.
- Thiết lập thư mục dùng chung và thư mục dùng riêng cho từng phòng,
từng máy trạm.
- Tài liệu được cập nhật hàng ngày lên File Server.
- Tạo đường kết nối an toàn cho các máy trạm ra Internet, đồng thời
kiểm soát việc truy cập Internet đó.
- Cấm tất cả các truy cập bất hợp pháp từ bên ngoài.
- Phòng máy chủ:
+ Quản lí web, mail của đơn vị.
+ Lưu trữ tài liệu trên File server.
+ Thiết lập máy chủ quản lí vùng nhằm cấp quyền sử dụng tài nguyên
cho các client.
III. Đề xuất phương án:
III.1. Giải thích mô hình:
- Dùng Modem ADSL tiếp nhận Internet từ nhà cung cấp dịch vụ ISP.
- Để lọc gói tin, tránh tắc nghẽn và xác định đường đi an toàn cho gói tin
chúng ta nên gắn một Router phía sau Modem. Router còn làm nhiệm vụ
NAT (Network Address Translation) ra public IP.
- Chúng ta sẽ chia thành 3 vùng mạng để đảm bảo an toàn cho hệ thống:

Nhóm 8 – M01

Trang 8


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

External (mạng ngoài), Internal (mạng trong), DMZ (vùng phi quân sự).

- Vùng Internal sẽ được chia thành 2 nhóm:
+ Nhóm 1: Mail server, Web server.
+ Nhóm 2: File server và các máy trạm (Client) nội bộ.
- Firewall: sử dụng phần mềm Internet Security & Acceleration Server
2004 (ISA 2004). Thiết lập một ISA server làm vành đai bảo vệ mạng nội bộ,
là vị trí tiếp xúc với mạng ngoài nên xây dựng các rule để kiểm soát các user
đi ra Internet qua Proxy (ISA 2004).
- ISA server sẽ có 3 card mạng:
+ Card 1: nối với vùng External
+ Card 2: nối với nhóm 1.
+ Card 3: nối với nhóm 2.
- File server sẽ kiêm luôn máy chủ điều khiển vùng (Domain
Controller), do số lượng các Client còn ít nên việc kiêm nhiệm như vậy sẽ
không ảnh hưởng nhiều.
- Tại mỗi phòng sẽ được gắn 1 switch để kết nối các máy tính với nhau.
- Các Client sẽ chịu sự quản lí của máy chủ điều khiển vùng.
- Access Point sẽ được nối trực tiếp với Router, tránh để hacker lợi dụng
tấn công vào mạng nội bộ.
- Publish web, mail bằng ISA 2004.
- Default gateway chỉ ra máy chủ ISA.
- Thiết lập VPN server bằng ISA để cán bộ đi công tác có thể kết nối về
đơn vị.

Nhóm 8 – M01

Trang 9


Đồ án môn học: An toàn thông tin trên mạng máy tính


Đề tài: Kiểm soát truy nhập

III.2. Sơ đồ tổng thể - Hoạch định đia chỉ:
- Địa chỉ Internet: do ISP cung cấp (ví dụ: FPT: 53.113.8.5)
- Router:
IP Address:

192.168.1.1

Subnet Mask:

255.255.255.0

- ISA Server:
External
IP Address:

192.168.1.2

Subnet Mask:

255.255.255.0

Default Gateway:

192.168.1.1

DMZ
IP Address:


172.16.1.2

Subnet Mask:

255.255.0.0

Preferred DNS:

10.0.0.1
Internal

IP Address:

10.0.0.2

Subnet Mask:

255.0.0.0

Preferred DNS:

10.0.0.1

- Domain Controller:
IP Address:

10.0.0.1

Subnet Mask:


255.0.0.0

Default Gateway:

10.0.0.2

Preferred DNS:

10.0.0.1

- Phòng An ninh kinh tế:
Nhóm 8 – M01

Trang 10


Đồ án môn học: An toàn thông tin trên mạng máy tính

IP Address:

10.0.1.1 -> 254

Subnet Mask:

255.0.0.0

Default Gateway:

10.0.0.2


Preferred DNS:

10.0.0.1

Đề tài: Kiểm soát truy nhập

- Phòng Trinh sát:
IP Address:

10.0.2.1 ->254

Subnet Mask:

255.0.0.0

Default Gateway:

10.0.0.2

Preferred DNS:

10.0.0.1

- Phòng Hành chính tổng hợp:
IP Address:

10.0.3.1 ->254

Subnet Mask:


255.0.0.0

Default Gateway:

10.0.0.2

Preferred DNS:

10.0.0.1

- Phòng họp giao ban:
IP Address:

192.168.2.1 ->254

Subnet Mask:

255.255.255.0

Default Gateway:

192.168.1.1

- Phòng máy chủ:
+ Web server:
IP Address:

172.168.1.3

Subnet Mask:


255.255.0.0

Default Gateway:

172.168.1.2

Preferred DNS:

10.0.0.1

Nhóm 8 – M01

Trang 11


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

+ Mail server:
IP Address:

172.168.1.4

Subnet Mask:

255.255.0.0

Default Gateway:


172.168.1.2

Preferred DNS:

10.0.0.1

Nhóm 8 – M01

Trang 12


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

Internet
53.113.8.5

192.168.1.1
Web server
172.16.1.3

192.168.1.2
172.16.1.2

Mail server

10.0.0.2


172.16.1.4

File server

Phòng Họp giao ban
192.168.2.1

Domain Controller
10.0.0.1

Phòng Hành chính tổng hợp

Phòng Trinh sát

Phòng An ninh kinh tế

10.0.1.1 -> 254
10.0.3.1 -> 254

Nhóm 8 – M01

10.0.2.1 -> 254

Trang 13


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập


III.3. Duy trì khả năng sẵn sàng:
- Theo dõi hệ thống bằng system monitor.
- Backup: lưu dữ liệu dự phòng ra file hay tape.
- Phần mềm backup là Ntbackup cho sẵn trong windows.
- Chiều thứ 6 full backup, hàng ngày backup difference.
IV. Triển khai:
IV.1. Lắp đặt phần cứng:
- Di chuyển các máy đến nơi qui định.
- Kết nối vật lý các máy với nhau.
IV.2. Cài đặt phần mềm:
IV.2.1. Cài đặt HĐH:
- Các máy Server cài hệ điều hành Window 2003 Server.
- Các máy Client cài hệ điều hành Window XP.
IV.2.2.Cài đặt DC:
- Sử dụng chương trình Dcpromo (start\run\dcpromo)
- Cấu hình DNS server.
- Cầu hình DHCP server.
- Join tất cả các máy client vào domain.
IV.2.3. Cài đặt Mail Server:
- Cài đặt Mdeamon
IV.2.4. Cài đặt WEB:
- Cài đặt IIS.
IV.2.5. Đặt IP:

Nhóm 8 – M01

Trang 14


Đồ án môn học: An toàn thông tin trên mạng máy tính


Đề tài: Kiểm soát truy nhập

Ví dụ: PC01 (phòng An ninh kinh tế)
IP address 10.0.1.1
Subnet mask 255.0.0.0
Default Gateway: 10.0.0.2
Preferred DNS: 10.0.0.1
IV.2.6. Cài đặt ISA:
IV.2.7. Cấu hình Access Point:
IV.2.8. Cấu hình router:
V. Nguy cơ và giải pháp:
- Các user có thể tìm 1 proxy trên mạng để truy cập vào 1 trang web trái
phép.
+ Giải pháp:
1. User Domain ko có quyền cài đặt chương trình.
2. Chỉ cho dùng IE để duyệt web.
3. Dùng GPO trên AD để cấm thay đổi Proxy trong IE.

Nhóm 8 – M01

Trang 15


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

- Trường hợp cài chương trình, nhưng user chép cái Portable của 1 cái
chương trình duyệt Web nào đó, ví dụ: Firefox

+ Giải pháp:
1. Bạn có thể dùng Policy để cấm chạy chương trình đó.

2. Add file chạy của chương trình đó vào (vd: firefox.exe)

Nhóm 8 – M01

Trang 16


Đồ án môn học: An toàn thông tin trên mạng máy tính

Nhóm 8 – M01

Đề tài: Kiểm soát truy nhập

Trang 17


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

B. PHẦN RIÊNG: Kiểm soát truy nhập
I. Tổng quan:
Như chúng ta đã biết, bảo vệ hệ thống mạng khỏi sự xâm nhập trái phép
đang là một thách thức đối với các nhà quản trị mạng hiện nay trước tình
trạng tấn công máy tính. Những nhà quản trị không chỉ phải thiết lập và thúc
đẩy việc thực hiện các chính sách bảo mật mà còn phải giữ được tính linh
động cho việc vận hành, nối kết trong và ngoài hệ thống mạng...

Việc bảo vệ nếu chỉ chú trọng vào hệ thống máy chủ mà quên đi sự bảo
đảm an toàn cho các máy trạm cũng là cơ hội để tin tặc xâm nhập trái phép và
phát tán các đoạn mã nguy hiểm, khai thác các ài liệu quan trọng tấn công
ngược trở lại mạng máy tính của doanh nghiệp. Ví dụ như sâu M.Blast tấn
công thông qua các máy trạm.
Việc quản lý và bảo vệ doanh nghiệp tránh khỏi các mối đe dọa bảo mật
lớn như vậy tạo ra một sức ép khá lớn đối với hệ thống mạng.
Kiểm soát truy nhập là một trong những biện pháp hữu ích cần thiết cho
một hệ thống mạng để có thể đảm bảo ngăn chặn hacker xâm nhập vào hệ
thống.
II. Các phương pháp:
II.1. ĐIỀU KHIỂN TRUY CẬP:
Mô hình điều khiển truy cập là gì? Đó chính là phương pháp hay các kỹ
thuật dùng để cho phép hay không cho phép người sử dụng một dịch vụ hay
dữ liệu nào đó trong hệ thống của chúng ta. Ví dụ dễ thấy trong windows là
chúng ta share và phân quyền (NTFS permissiong) cho phép một user hay một
group này có quyền đọc/ghi (read/write) hay một user/group khác chỉ có
quyền đọc (read) thôi chẳng hạn. Điều này cũng giống như một ngôi nhà của
chúng ta vậy, bạn muốn vào trong nhà để lấy tiền cất trong tủ. Nhưng điều
đầu tiên là bạn phải được phép vào ngôi nhà đó đã. Quá trình kiểm tra để xem
bạn có quyền vào ngôi nhà không đó chính là xác thực (authentication). Mục

Nhóm 8 – M01

Trang 18


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập


đích của việc xác thực và điều khiển truy cập là nhằm ngăn ngừa những hành
động truy cập trái phép, bất hợp pháp vào tài nguyên hệ thống, đó chính là
một yếu tố cơ bản của bảo mật thông tin.
Điều khiển truy cập tạo nên khả năng cho chúng ta có thể cho phép hoặc
không cho phép một chủ thể nào đó như một người hay một quy trình nào đó
sử dụng một đối tượng nào đó chẳng hạn như một tập tin trong hệ thống. Các
hệ thống điều khiển truy cập cung cấp những dịch vụ thiết yếu như dịch vụ
nhận dạng và xác minh (indentification and authentication), dịch vụ uỷ quyền
(authenrization) và dịch vụ quy trách nhiệm (accountability) đối với người
dùng hoặc đối với một quy trình.
II.1.1. Mandatory Access Control – MAC:
Điều khiển truy cập bắt buộc có tên Tiếng Anh là Mandatory Access
Control, viết tắt là MAC.
MAC là một phương tiện để hạn chế truy cập tới các đối tượng dựa vào
mức độ nhạy cảm ("Nhạy cảm" (sensitivity) ở đây phải hiểu là tầm quan trọng
đối với quân sự, hoặc mức độ bảo mật mà thông tin được phân hạng. Mức độ
nhạy cảm được chỉ định do ảnh hưởng lớn của nó nếu thông tin bị lọt ra
ngoài, hay rơi vào tay của một người có chức vụ thấp hơn) của dữ liệu được
chứa trong các đối tượng và quyền hạn ( ví dụ: sự cho phép sử dụng thông tin
bí mật mật - Clearance) của các chủ thể để truy cập thông tin nhạy cảm. Đồng
thời được dùng để bảo vệ và ngăn chặn các quy trình máy tính, dữ liệu, và các
thiết bị hệ thống khỏi sự lạm dụng.
Clearance là mức bảo mật để người dùng (hay phía Client) có thể truy
cập thông tin. Người ta thường chia Clearance thành 4 loại:
- Tối mật (Top Secret - T): Được áp dụng với thông tin mà nếu bị lộ có
thể dẫn đến những thiệt hại trầm trọng với an ninh quốc gia.
- Tuyệt mật (Secret - S): Được áp dụng với thông tin mà nếu bị lộ có thể
dẫn đến một loạt thiệt hại với an ninh quốc gia.


Nhóm 8 – M01

Trang 19


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

- Mật (Confidential - C): Được áp dụng với thông tin mà nếu bị lộ có thể
dẫn đến thiệt hại với an ninh quốc gia.
- Không phân loại (Unclassified - U): Những thông tin không gây thiệt
hại.
Sự phân loại mức bảo mật cho thông tin tuỳ thuộc vào chính sách. Người
ta sẽ sử dụng cùng các mức phân loại cho các mức Clearence thành một cặp
"Kiểu - Loại". Trong đó, kiểu người dùng là một giới hạn để truy cập thông
tin dựa trên sự phân loại Clearence của thông tin. Mối quan hệ trong phân loại
này là: U< C < S < T.
Đặc trưng quan trọng nhất của MAC bao hàm việc từ chối người dùng
toàn quyền truy cập / sử dụng tài nguyên do chính họ kiến tạo. Chính sách an
ninh của hệ thống (được Quản trị viên (administrator) quy định) hoàn toàn
quyết định các quyền truy cập được công nhận, người dùng không thể tự hạn
chế quyền truy cập vào các tài nguyên của họ hơn những gì mà Quản trị viên
chỉ định.
Mục đích của MAC là định nghĩa một mô hình mà trong đó nó đòi hỏi
sự đánh giá tất cả các nhãn hiệu có liên quan đến an ninh (security-related
labels) và đưa ra những quyết định dựa trên cơ sở ngữ cảnh của các thao tác
cùng các nhãn hiệu dữ liệu (data labels) tương đồng (Tức là trong một hệ
thống MAC, tất cả các chủ thể và các đối tượng sẽ được gán một nhãn. Nhãn
nhạy cảm của một chủ thể xác định mức độ của lòng tin. Một nhãn nhạy cảm

của đối tượng xác định mức độ tin cậy cần thiết để truy cập. Để truy cập một
đối tượng nhất định, chủ thể phải có một mức độ nhạy cảm bằng hoặc cao
hơn đối tượng yêu cầu).
Mac là kỹ thuật khả thi cho những hệ thống an ninh đa tầng cấp
(multilevel security systems). Một hệ thống đa tầng cấp là một hệ thống
máy tính duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng
cấp giữa các chủ thể và các đối tượng.
Xuất và nhập dữ liệu (Data import and export): Điều khiển việc nhập

Nhóm 8 – M01

Trang 20


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

thông tin từ một hệ thống khác và xuất thông tin sang các hệ thống khác (bao
gồm cả các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng
điều khiển truy cập bắt buộc. Nhiệm vụ của việc xuất nhập thông tin là phải
đảm bảo các nhãn nhạy cảm được giữ gìn một cách đúng đắn và nhiệm vụ
này phải được thực hiện sao cho các thông tin nhạy cảm phải được bảo vệ
trong bất kỳ tình huống nào.
Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc điều
khiển truy cập bắt buộc:
- Điều khiển truy cập dùng chính sách (rule-based access control): Việc
điều khiển thuộc loại này định nghĩa thêm những điều kiện cụ thể đối với việc
truy cập một đối tượng mà chúng ta yêu cầu. Tất cả các hệ thống dùng điều
khiển truy cập bắt buộc đều thực hiện một hình thức đã được đơn giản hóa

của thể loại điều khiển truy cập dùng chính sách, nhằm quyết định cho phép
hay từ chối yêu cầu truy cập, bằng cách đối chiếu:
+ Nhãn hiệu nhạy cảm của đối tượng.
+ Nhãn hiệu nhạy cảm của chủ thể.
- Điều khiển truy cập dùng bố trí mắt lưới (lattice-based access control):
Đây là phương pháp người ta sử dụng đối với những quyết định phức tạp
trong điều khiển truy cập với sự liên quan bội số các đối tượng và/hay các chủ
thể. Mô hình mắt lưới là một cấu trúc toán học, nó định nghĩa các giá trị cận
dưới lớn nhất (greatest lower-bound) và cận trên nhỏ nhất (least upperbound) cho những cặp nguyên tố, chẳng hạn như cặp nguyên tố bao gồm một
chủ thể và một đối tượng.
- Mô hình như vậy sẽ ngăn chặn một người dùng đã được xác thực, hoặc
một quy trình tại một phân hạng cụ thể nào đấy (classification), hoặc có
một mức độ tin cẩn (trust-level) nhất định nào đấy, không cho họ truy cập
thông tin, truy cập các quy trình (processes) hoặc truy cập các thiết bị
(devices) ở một tầng cấp khác. Kết quả của việc này là nó cung cấp cho chúng
ta một cơ chế chính sách ngăn chặn đối với người dùng và các quy trình, hoặc
biết, hoặc chưa biết (lấy ví dụ, một chương trình ứng dụng lạ, chưa từng thấy
Nhóm 8 – M01

Trang 21


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

(unknown progra ) có thể bao hàm một chương trình ứng dụng không đáng
tin (untrusted application) và hệ thống phải theo dõi, giám sát và/hay khống
chế những truy cập của nó vào các thiết bị và các tập tin). Với cách này, nếu
chương trình bị xâm nhập, quyền truy cập của nó cũng được tối thiểu hoá rõ

ràng.
- Những yêu cầu của một kiến trúc trong đó đòi hỏi sự phân tách giữa dữ
liệu và các thao tác bên trong một máy tính bao gồm:
+ Không tránh né hoặc qua mắt được (non-bypassable).
+ Có thể đánh giá và so sánh được (evaluatable) (để xác định tính hữu
dụng và tính có hiệu lực của một chính sách).
+ Luôn luôn được khởi động do yêu cầu - không tự động (alwaysinvoked) (để ngăn ngừa việc tránh né những kiểm duyệt của hệ thống).
+ Chống can thiệp bên ngoài - như xáo trộn, giả mạo, quấy nhiễu v.v.
(tamper-proof).
II.1.2. DISCRETIONARY ACCESS CONTROL
- Điều khiển truy cập tùy quyền (discretionary access control - DAC) là
một chính sách truy cập mà chủ nhân của tập tin hay người chủ của một tài
nguyên nào đấy tự định đoạt. Chủ nhân của nó quyết định ai là người được
phép truy cập tập tin và những đặc quyền (privilege) nào là những đặc quyền
người đó được phép thi hành.
- Hai quan niệm quan trọng trong truy cập tùy quyền là:
+ Quyền sở hữu tập tin và dữ liệu (File and data ownership): Bất cứ
một đối tượng nào trong một hệ thống cũng phải có một chủ nhân là
người sở hữu nó. Chính sách truy cập các đối tượng là do chủ nhân tài nguyên
quyết định - những tài nguyên bao gồm: các tập tin, các thư mục, dữ liệu, các
tài nguyên của hệ thống, và các thiết bị (devices). Theo lý thuyết, đối tượng
nào không có chủ sở hữu thì đối tượng đó bị bỏ lơ, không được bảo vệ. Thông
thường thì chủ nhân của tài nguyên chính là người đã kiến tạo nên tài nguyên
(như tập tin hoặc thư mục).

Nhóm 8 – M01

Trang 22



Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

+ Các quyền và phép truy cập: Đây là những quyền khống chế những
thực thể tài nguyên mà chủ nhân của tài nguyên chỉ định cho mỗi một người
hoặc mỗi một nhóm người dùng.
- Điều khiển truy cập tùy quyền có thể được áp dụng thông qua nhiều kỹ
thuật khác nhau:
+ Danh sách điều khiển truy cập (Access control list - ACL) định danh
các quyền và phép được chỉ định cho một chủ thể hoặc một đối tượng. Danh
sách điều khiển truy cập cho ta một phương pháp linh hoạt để áp dụng quy
chế điều khiển truy cập tùy quyền.
+ Kiểm tra truy cập trên cơ sở vai trò (role-based access control) chỉ
định tư cách nhóm hội viên dựa trên vai trò của tổ chức hoặc chức năng của
các vai trò. Chiến lược này giúp tối giảm việc điều hành quản lý quyền và
phép truy cập.
- Những quyền và phép để truy cập các đối tượng được chỉ định cho
từng nhóm, hay hơn nữa, tới từng cá nhân một. Các cá nhân có thể trực thuộc
một hoặc nhiều nhóm khác nhau. Mỗi cá nhân có thể được bố trí để họ tự đạt
được nhiều hình thức phép truy cập hay phép sửa đổi dưới dạng tích lũy (do
mỗi nhóm mà họ là hội viên ban cho và cộng lại), song cũng có thể bị loại
khỏi những phép truy cập, là những phép mà tất cả các nhóm họ là hội viên
không thể cùng có được.
II.1.3. ROLE-BASED ACCESS CONTROL
Điều khiển truy cập trên cơ sở vai trò (Role-Based Access Control - viết
tắt là RBAC) là một trong số các phương pháp điều khiển và đảm bảo quyền
sử dụng cho người dùng. Chính sách truy cập xác định bởi hệ thống, không
phải là chủ sở hữu. RBAC được sử dụng trong các ứng dụng thương mại và
cũng trong các hệ thống quân sự.

Trong nội bộ một tổ chức, các vai trò (roles) được kiến tạo để đảm nhận
các chức năng công việc khác nhau. Mỗi vai trò được gắn liền với một số
quyền hạn cho phép nó thao tác một số hoạt động cụ thể (permissions). Các

Nhóm 8 – M01

Trang 23


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

thành viên trong lực lượng cán bộ công nhân viên (hoặc những người dùng
trong hệ thống) được phân phối một vai trò riêng, và thông qua việc phân
phối vai trò này mà họ tiếp thu được một số những quyền hạn cho phép họ thi
hành những chức năng cụ thể trong hệ thống.
Vì người dùng không được cấp phép một cách trực tiếp, song chỉ tiếp thu
được những quyền hạn thông qua vai trò của họ (hoặc các vai trò), việc quản
lý quyền hạn của người dùng trở thành một việc đơn giản, và người ta chỉ cần
chỉ định những vai trò thích hợp cho người dùng mà thôi. Việc chỉ định vai
trò này đơn giản hóa những công việc thông thường như việc cho thêm một
người dùng vào trong hệ thống, hay đổi ban công tác (department) của người
dùng.
RBAC khác với các danh sách điểu khiển truy cập (access control list ACL) được dùng trong hệ thống điều khiển truy cập tùy quyền, ở chỗ, nó chỉ
định các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ
chức, thay vì tới các đối tượng dữ liệu hạ tầng. Lấy ví dụ, một danh sách điều
khiển truy cập có thể được dùng để cho phép hoặc từ chối quyền truy cập viết
một tập tin hệ thống (system file), song nó không nói cho ta biết phương cách
cụ thể để thay đổi tập tin đó. Trong một hệ thống dùng RBAC, một thao tác

có thể là việc một chương trình ứng dụng tài chính kiến tạo một giao dịch
trong 'tài khoản tín dụng' (credit account transaction), hay là việc một chương
trình ứng dụng y học khởi thủy một bản ghi 'thử nghiệm nồng độ đường trong
máu' (blood sugar level test). Việc chỉ định quyền hạn cho phép thi hành một
thao tác nhất định là một việc làm đầy ý nghĩa, vì các thao tác đã được phân
định tinh tế và mỗi cá nhân thao tác có một ý nghĩa riêng trong chương trình
ứng dụng.

II.2. CÁC PHƯƠNG PHÁP CHỨNG THỰC:
II.2.1. Tổng quan:

Nhóm 8 – M01

Trang 24


Đồ án môn học: An toàn thông tin trên mạng máy tính

Đề tài: Kiểm soát truy nhập

Chứng thực là một hành động nhằm thiết lập hoặc xác thự một cái gì đó
(hoặc một người nào đó) đáng tin cậy, có nghĩa là, những lời khai báo do
người đó đưa ra hoặc về vật đó là sự thật. Chứng thực một đối tượng còn có
nghĩa là công nhận nguồn gốc (provenance) của đối tượng, trong khi, chứng
thực một người thường bao gồm việc thẩm tra nhận dạng của họ. Việc chứng
thực thường phụ thuộc vào một hoặc nhiều nhân tố chứng thực
(authentication factors) để minh chứng cụ thể.
Trong an ninh máy tính (computer security), chứng thực là một quy trình
nhằm cố gắng xác minh nhận dạng số (digital identity) của phần truyền gửi
thông tin (sender) trong giao thông liên lạc chẳng hạn như một yêu cầu đăng

nhập. Phần gửi cần phải xác thực có thể là một người dùng sử dụng một máy
tính, bản thân một máy tính hoặc một chương trình ứng dụng máy tính
(computer program).
Những nhân tố chứng thực (authentication factors) dành cho con người
nói chung được phân loại theo ba trường hợp sau:
- Bạn là ai? (Who you are) là những cái mà người dùng sở hữu bẩm sinh
(chẳng hạn, khuôn mặt, vết lăn tay hoặc mẫu hình võng mạc mắt, chuỗi DNA,
mẫu hình về giọng nói, sự xác minh chữ ký, tín hiệu sinh điện đặc hữu do cơ
thể sống tạo sinh (unique bio-electric signals), hoặc những biệt danh sinh trắc
(biometric)).
- Cái bạn có (What you have) là những cái gì người dùng có (chẳng hạn,
chứng minh thư (ID card), chứng chỉ an ninh (security token), smart card,
key, chứng chỉ phần mềm (software token) hoặc điện thoại di động (cell
phone)).
- Cái bạn biết (What you know) là những gì người dùng biết (chẳng hạn,
mật khẩu, mật khẩu ngữ (pass phrase) hoặc số định danh cá nhân (personal
identification number - PIN)).
II.2.2.Username – Password:
Sự kết hợp của một user name và password là cách xác thực cơ bản nhất.
Với kiểu xác thực này, chứng từ ủy nhiệm User được đối chiếu với chứng từ
Nhóm 8 – M01

Trang 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×