Tải bản đầy đủ (.doc) (89 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kỹ thuật

Khai thác và triển khai phần mềm tường lửa checkpoint

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.56 MB, 89 trang )

CHƯƠNG
I
LỜI
NÓI ĐÀU
TỐNG QUAN VÈ AN TOÀN THÔNG TIN TRÊN
tính và mạng máy tính
có vai MÁY
trò hết sức
quan trọng trong cuộc sống
MẠNG
TÍNH

Máy
ngày
nay. Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rất hữu
ích với chúng ta. Chính nhò' có máy tính và sự phát triến của nó đã làm cho khoa
học kỹ thuật phát triển vuợt bậc, kinh tế phát triển nhanh chóng và thần kỳ.
Cùng với sự ra đời và phát triến của máy tính và mạng máy tính là vấn đề bảo
mật An
thông
ngăntinchặn
sự xâm
phạm
đánh
cắpđối
thông
máycũng
tínhnhu

toàntin,thông
là một


nhu cầu
rất và
quan
trọng
với tin
các trong
cá nhân
thông tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập
các
tố huỷ
chứcdữxãliệu
hộiquan
và trọng
các quốc
gia trên
thếkinh
giới.tế Trước
khitysử
và phá
làm thiệt
hại đến
của công
nhàdụng
nuớc.máy tính và
mạng máy tính an toàn thông tin được tiến hành thông qua các phưong pháp vật lý
Được sự hướng dẫn nhiệt tình và chu đáo của thày giáo Hoàng Sỹ Tưong em

chính.
khi ra
máy tính

đã đem
quảkhai

đã hành
tìm hiếu
và Từ
nghiên
cứuđờiđềcho
tài đến
thựcnay
tập mạng
tốt nghiệp:
“Khai
tháclạivàhiệu
triển
cùng
lớntường
tronglửa
tất Checkpoint”.
cả các lĩnh vực
kinh
tế, chính trị, xã hội. Bên
phần to
mềm
Báocủa
cáo đời
gồmsống
3 phần
chính:
TÔNG

QUAN
VÈ AN
TOÀN
MẠNG
MẢY
cạnh- đó
người
sử dụng
mạng
phảiTHÔNG
đối mặtTIN
vớiTRÊN
các hiếm
họa
do TỈNH
thông tin trên
- CÁC THÀNH PHẢN CHÍNH CỦA MỘT MÔ HÌNH MẠNG AN TOÀN
mạng của họ bị tấn công. An toàn thông tin trên mạng máy tính bao gồm các
- TỎNG
VÈ FIREWAL
phưong
pháp QUAN
nhằm bảo
vệ thông tin được lưu giữ và truyền trên mạng. An toàn
- FIREWALL CHECKPOINT.
thông tin trên mạng máy tính là một lĩnh vực đang được đặc biệt quan tâm đồng
nội
nghiên
và khăn
bao gồm

nhiều
thời Do
cũng
là dung
một công
việccứu
hết rộng
sức khó
và phức
tạp.kiến thức mới mẻ, thời gian và
kiến thức còn hạn chế, việc nghiên cứu chủ yếu dựa trên lý thuyết nên chắc chắn
đề tài không
những
rất tỏmong
được
đóngrấtgóp
Có rất tránh
nhiều khởi
các sự
kiện thiếu
thực tếsót.
đế Em
chứng
rằng nhận
có một
tìnhsựtrạng
đángý
kiến của thầy cô giáo và bạn bè.
lo ngại về các tấn công thông tin trong quá trình xử lý, truyền và lun giữ thông tin.
Với tác

lòng
biếtbấtơnhợp
sâupháp
sắc, lên
em thông
xin chân
thành
thầy
Sỹ lạc,
Tương
Những
động
tin với
mụccảm
đíchơnlàm
tổnHoàng
thất, sai
lấy
cùng
các
thầy

giáo
trong
khoa
An
Toàn
Thông
Tin
Học

viên
kỹ
thuật
mật

cắp các tệp lưu giữ tin, sao chép các thông tin mật, giả mạo người được phép sử
đã nhiệt tình hướng dẫn giúp đỡ em hoàn thành đọt thực tập này.
dụng thông tin trong các mạng máy tính. Sau đây là một vài ví dụ điển hình về các
Cuối bất
cùng
cảm
ơncác
bạnmạng
bè, người
thân
tác động
hợpxin
pháp
vào
máy tính
: đã luôn bên tôi, kịp thời động viên và
giúp đỡ tôi trong thời gian vừa qua.
Các sinh viên ở một trường Đại học Tống hợp của Mỹ đã lập và cài đặt vào
Em xin chân thành cảm ơn !
máy tính một chương trình bắt chước sự làm việc với người sử dụng ở xa. Bằng
Hà Nội,
năm 2009
chương trình họ đã nắm
đượctháng
trước2 nhu

cầu của người sử dụng và hỏi mật khẩu
Sinh viên
của họ. Đen khi phát hiện các sinh viên này đã kịp lấy được mật khẩu của hơn 100
Lê Quang Hòa
người sử dụng hợp pháp hệ thống máy tính.
Các nhân viên của hãng CDC (Mỹ) đã “thâm nhập“ vào trung tâm tính toán
của một hãng sản xuất hoá phẩm và đã phá huỷ các dữ liệu lưu giữ trên băng từ
gây thiệt hại cho hãng này tới hơn 100.000 $.
Hãng bách khoa toàn thư của Anh đã đưa ra toà 3 kỹ thuật viên trong trung
tâm máy tính của mình với lời buộc tội rằng họ đã sao chép từ 0 đĩa của máy tính
tên tuối gần 3 triệu khách hàng đáng giá của hãng đế bán cho hãng khác.


hành vi phá huỷ các phần mềm xử lý thông tin tự động, chính các hành vi này
thường gây ra các thiệt hại vô cùng lớn lao.
Điều tất yếu là cùng với sự gia tăng của nguy cơ đe dọa thông tin trong các
mạng máy tính, vấn đề bảo vệ thông tin càng được quan tâm nhiều hơn. Sau các
kết quả nghiên cún điều tra của viện Stendíboc (Mỹ), tình hình bảo vệ thông tin đã
có những thay đổi đáng kể. Đen năm 1985 nhiều chuyên gia Mỹ đi đến kết luận
rằng các tác động phi pháp trong hệ thống thông tin tính toán đã trở thành tai họa
quốc gia. Khi có đủ các tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành một
cuộc nghiên cún đặc biệt. Ket quả là gần một nửa số ý kiến thăm dò thông báo
rằng trong năm 1984 họ đã là nạn nhân của các hành động tội phạm được thực
hiện bằng máy tính, rất nhiều trong sổ các nạn nhân này đã thông báo cho chính
quyền về tội phạm, 39% số nạn nhân tuy có thông báo nhưng lại không chỉ ra
được các mục tiêu mà mình nghi vấn. Đặc biệt nhiều là các vụ phạm pháp xảy ra
trong các mạng máy tính các cơ quan kinh doanh và nhà băng. Theo các chuyên
gia, tính đến trước năm 1990 ở Mỹ lợi lộc thu được do việc thâm nhập phi pháp
vào các hệ thống thông tin đã lên tới gần 10 triệu đô la, đồng thời tốn thất trung
bình mà nạn nhân phải trả vì các vụ vi phạm ấy từ 100...400 nghìn đến 1.5 triệu đô

la. Có hãng đã phải tuyên bố phá sản vì một nhân viên của nó cố ý phá bở tất cả
các tài liệu kế toán chứa trong bộ nhớ của máy tính về số nợ của các con nợ.
Chương này trình bầy các hình thức tấn công đối với thông tin trên mạng, các
dịch vụ an toàn thông tin và mô hình an toàn thông tin trên mạng.
1.1 CÁC HÌNH THỨC TÁN CÔNG ĐÓI VÓI THÔNG TIN TRÊN
MẠNG
Trên mạng máy tính, thông tin bao gồm nhiều loại khác nhau như văn bản,
hình ảnh, âm thanh. Chúng được lưu giữ trong các thiết bị như ổ đĩa, băng từ...
hoặc được truyền qua kênh công khai. Những thông tin có giá trị luôn luôn chịu
những mối đe dọa của những người không có quyền biết nội dung thông tin. Họ
có thế là những người bất hợp pháp hoặc những người trong nội bộ của cơ quan, tố
chức có thông tin cần bảo vệ.
Hình 1 minh họa luồng thông tin được truyền từ nơi gửi (nguồn thông tin) đến
nơi nhận (đích thông tin). Trên đường truyền công khai thông tin bị tấn công bởi
những người không được uỷ quyền nhận tin, ta gọi là kẻ tấn công.


Tài nguyên thông tin bị phá huỷ, không sẵn sàng phục vụ hoặc không sử dụng
được. Đây là hình thức tấn công làm mất khả năng sẵn sàng phục vụ của thông tin.
Những ví dụ về kiểu tấn công này là phá huỷ đĩa cứng, cắt đứt đường truyền
tin, vô hiệu hoá hệ thống quản lý tệp.
1.1.2 Chặn bắt thông tin (Interception)
Kẻ tấn công có thế truy nhập tới tài nguyên thông tin. Đây là hình thức tấn
công vào tính bí mật của thông tin.
Trong một số tình huống kẻ tấn công được thay thế bởi một chương trình hoặc
một máy tính.

o------------------o
Nỹiiớo.
ihồog lia


Đích
ihóa$ lia
(a)Luóag blahihườaâ

o—H o
(b) Nỹẳa ctự.a ihoaỹ lia

HI ĩ Các tấn công đổi vói thông tin trên mạng
1.1.3 Sửa đối thông tin (ModiHcation)
Kẻ tấn công truy nhập, chỉnh sửa thông tin trên mạng. Đây là hình thức tấn
công lên tính toàn vẹn của thông tin. Nó có thể thay đổi giá trị trong tệp dữ liệu,
sửa đổi một chương trình đế nó vận hành khác đi và sửa đối nội dung các thông
báo truyền trên mạng.
1.1.4 Chèn thông tin giả (Fabrication)


Kẻ tấn công chèn các thông tin và dữ liệu giả vào hệ thống. Đây là hình thức
tấn công lên tính xác thực của thông tin. Nó có thể là việc chèn các thông báo giả
mạo vào mạng hay thêm các bản ghi vào tệp.
Các kiếu tấn công trên được phân chia thành hai lớp cơ bản là tấn công chủ
động và bị động.
Hình 2 chỉ ra các các kiểu tấn công thuộc các lớp tấn công chủ động, tấn
công bị động tương ứng.
1.

Tấn công bị động
Là kiếu tấn công chặn bắt thông tin như nghe trộm và quan sát truyền tin.

Mục đích của kẻ tấn công là biết được thông tin truyền trên mạng.


H2 ỉ Các tẩn công bị động và chủ động
Việc khám phá nội dung có thế được thực hiện bằng cách nghe trộm các cuộc
nói chuyện điện thoại, đọc trộm thư điện tử hoặc xem trộm nội dung tệp tin rõ .
Trong kiếu phân tích luồng thông tin, kẻ tấn công thu các thông báo được
truyền trên mạng và tìm cách khám phá thông tin. Neu nội dung các thông báo bị


mã hoá thì đối phương có thể quan sát các mẫu thông báo đế xác định vị trí và
định danh của máy tính liên lạc và có thế quan sát tần số và độ dài thông báo được
trao đổi từ đó đoán ra bản chất của các cuộc liên lạc.
Tấn công bị động rất khó bị phát hiện vì nó không làm thay đôi số liệu và
không đế lại dấu vết rõ ràng. Biện pháp hũu hiệu đế chống lại kiểu tấn công này là
ngăn chặn chứ không phải là phát hiện.
2. Tấn công chủ động
Là các tấn công sửa đối luồng số liệu hay tạo ra luồng số liệu giả và có thế
được chia làm 4 loại nhở sau :
-Đóng giả (Masquerade) : Một thực thế (người dùng, máy tính,
chương trình, ...) đóng giả thực thế khác.
-Dùng lại (Replay) : Thụ động bắt các thông báo và sau đó truyền lại
nó nhằm đạt được mục đích bất hợp pháp.
-Sửa đôi thông bảo (Modification of messages) : Một bộ phận của
thông báo hợp lệ được sửa đối hoặc các thông báo bị làm trễ và thay đổi
trật tự’ để đạt được mục đích bất hợp pháp.
- Từ chối cung cấp dịch vụ (Deniaỉ of Service) : Ngăn hoặc cấm việc
sử dụng bình thường hoặc quản lý các tiện ích truyền thông.
Tấn công này có thể có chủ ý cụ thể, ví dụ một kẻ tấn công có thể ngăn cản tất
cả các thông báo được chuyến tới một đích nào đó (như dịch vụ kiếm tra an toàn
chẳng hạn), vô hiệu hoá một mạng hoặc tạo ra tình trạng quá tải với các thông báo
của họ làm giảm hiệu năng mạng.

Chúng ta thấy rằng hai kiểu tấn công chủ động và thụ động có những đặc trưng
khác nhau. Kiểu tấn công thụ động khó phát hiện nhưng có biện pháp đế ngăn
chặn thành công. Mặt khác kiếu tấn công chủ động dễ phát hiện nhung lại rất khó
ngăn chặn tuyệt đối, nó cũng đòi hỏi việc bảo vệ vật lý tất cả các phương tiện
truyền thông ở mọi lúc, mọi nơi. Giải pháp đế chống lại kiểu tấn công này là phát
hiện chúng và khôi phục mạng khi bị phá vỡ hoặc khi thông tin bị trễ.
1.2 CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG


- Ta có thế phân biệt giữa tài liệu giấy nguyên bản và một tài liệu sao chép.
Nhung tài liệu điện tử chỉ là một dãy các bit nên không thể phân biệt giữa tài
liệu “nguyên bản“ và các bản sao chép.
- Một sự thay đối trong tài liệu giấy đều đế lại các dấu vết vật lý như vết
xoá, tẩy,...Tuy nhiên sự thay đối các tài liệu điện tử không đế lại dấu vết vật lý.
- Một bằng chứng được gắn với tài liệu vật lý dựa trên các đặc trưng vật lý
của tài liệu như độ sắc của chữ ký tay hoặc dấu nổi của công chứng viên. Một
bằng chứng như vậy trong tài liệu điện tử phải dựa vào sự biếu diễn bên trong
của thông tin.
Dưới đây là các dịch vụ bảo vệ thông tin trên mạng máy tính :
1.2.1 Dịch vụ bí mật (Coníĩdentiality)
Dịch vụ bí mật bảo đảm rằng thông tin trong hệ thống máy tính và thông tin
được truyền chỉ được đọc bởi những bên được uỷ quyền. Thao tác đọc bao gồm in,
hiến thị,... Nói cách khác, dịch vụ bí mật bảo vệ dữ liệu được truyền chống lại các
tấn công bị động nhằm khám phá nội dung thông báo.
Thông tin được bảo vệ có thế là tất cả dữ liệu được truyền giữa hai người
dùng trong một khoảng thời gian hoặc một thông báo lẻ hay một số trường trong
thông báo.
Dịch vụ này còn cung cấp khả năng bảo vệ luồng thông tin khỏi bị tấn công
phân tích tình huống.
1.2.2 Dịch vụ xác thực (Authentication)

Dịch vụ xác thực đảm bảo rằng việc truyền thông là xác thực nghĩa là cả người
gửi và người nhận không bị mạo danh.
Trong trường hợp có một thông báo đơn như một tín hiệu cảnh báo, tín hiệu
chuông, dịch vụ xác thực đảm bảo với bên nhận rằng thông báo đến từ đúng bên
nêu danh. Trong trường hợp có một giao dịch đang xảy ra, dịch vụ xác thực đảm
bảo rằng hai bên giao dịch là xác thực và không có kẻ nào giả danh làm một trong
các bên trao đổi.
Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc của thông báo được nhận
dạng đúng với các định danh đúng.
1.2.3 Dịch vụ toàn vẹn (Integrity)


Dịch vụ toàn vẹn có thể áp dụng cho một thông báo, một luồng thông báo hay
chỉ một sổ trường trong thông báo.
Dịch vụ toàn vẹn định hướng kết nối (connection-oriented) áp dụng cho một
luồng thông báo và nó bảo đảm rằng các thông báo được nhận có nội dung giống
như khi được gửi, không bị nhân bản, chèn, sửa đối, thay đổi trật tự hay dùng lại
kể cả hủy hoại số liệu. Như vậy dịch vụ toàn vẹn định hướng kết nối quan tâm
đến cả việc thay đối thông báo và từ chối dịch vụ. Mặt khác dịch vụ toàn vẹn phi
kết nối chỉ quan tâm đến việc sửa đối thông báo. Dịch vụ toàn vẹn này liên quan
đến các tấn công chủ động nên nó thiên về phát hiện hon là ngăn chặn.
1.2.4 Không thế chối bỏ (Nonrepudiation)
Dịch vụ không thế chối bỏ ngăn chặn người gửi hay người nhận chối bỏ thông
báo được truyền. Khi thông báo được gửi đi người nhận có thế chứng minh rằng
người gửi nêu danh đã gửi nó đi. Khi thông báo nhận được người gửi có thế chứng
minh thông báo đã nhận được bởi người nhận họp pháp.
1.2.5 Kiểm soát truy nhập (Access control)
Kiểm soát truy nhập là khả năng hạn chế và kiểm soát truy nhập đến các hệ
thống máy tính và các ứng dụng theo các đường truyền thông. Mỗi thực thể muốn
truy nhập đều phải định danh hay xác nhận có quyền truy nhập phù họp.

1.2.6 sẵn sàng phục vụ (Availability)
sẵn sàng phục vụ đòi hỏi rằng các tài nguyên hệ thống máy tính luôn sẵn sàng
đối với nhũng bên được uỷ quyền khi cần thiết.
Các tấn công có thể làm mất hoặc giảm khả năng sẵn sàng phục vụ của các

1.3 MÔ HÌNH CỦA HỆ THÓNG BẢO MẶT THÔNG TIN TRÊN
MẠNG DÙNG KỸ THUẬT MẬT MÃ
Các mối đe dọa chủ yếu tới sự an toàn trong các hệ thống mạng xuất phát từ
tính mở của các kênh truyền thông (chúng là các cổng được dùng cho truyền thông
hợp pháp giữa các tiến trình như Client, server) và hậu quả là làm cho hệ thống bị
tấn công như nghe trộm, giả mạo, sửa đổi trái phép,... Chúng ta phải thừa nhận
rằng trong mọi kênh truyền thông, tại tất cả các mức của phần cứng và phần mềm
của hệ thống đều chịu sự nguy hiểm của các mối đe doạ đó.


Một kênh liên lạc giữa một máy khách hàng hợp pháp và một máy
chủ hợp pháp bị nghe trộm.
Một máy chủ hợp pháp bị tấn công bởi một máy mạo danh máy
khách hàng. Kẻ tấn công có thế làm thay đối trạng thái của máy chủ hoặc truy
nhập tụ' do tới thông tin mật được lưu giữ trên máy chủ.
Một máy khách hàng hợp pháp bị tấn công bởi một máy chủ mạo
danh. Kẻ tấn công từ máy chủ mạo danh có thế truy nhập tới thông tin được
lưu giữ trên máy khách hàng và tạo ra các giao dịch giả.
Biện pháp đế ngăn chặn các kiếu tấn công ở trên là :
Xây dựng các kênh truyền thông an toàn đế tránh việc nghe trộm.
Thiết kế các giao thức xác nhận lẫn nhau giữa máy khách hàng và
các máy chủ :
+ Các máy chủ phải đảm bảo rằng các máy khách hàng đúng là các máy
của những người dùng mà chúng đòi hỏi.
+ Các máy khách hàng phải đảm bảo rằng các máy chủ cung cấp các

dịch vụ đặc trưng là các máy chủ được uỷ quyền cho các dịch vụ đó.
+ Đảm bảo rằng kênh truyền thông là “tươi“ nhằm tránh việc dùng lại
thông báo.
1.3.1 Các kỹ thuật bảo vệ thông tin trên mạng
Các kỹ thuật bảo vệ thông tin trên mạng bao gồm : mã hoá, xác thực và điều
khiển truy nhập.
1.3.1. ỉ Mã hoả
Việc mã hoá các thông báo có các vai trò sau :
1. Nó được dùng đế che dấu thông tin mật được đặt trong hệ thống. Như chúng
ta đã biết các kênh truyền thông vật lý luôn bị tấn công bởi sự nghe trộm và xuyên
tạc thông báo. Theo truyền thống việc trao đổi thư từ bằng mật mã được dùng
trong các hoạt động quân sự, tình báo. Điều này dựa trên nguyên tắc là một thông
báo được mã hoá với một khoá mã xác định và chỉ có thể được giải mã bởi người
biết khoá ngược tương ứng.
2. Nó được dùng đế hỗ trợ cơ chế truyền thông xác thực giữa các cặp người


3. Nó được dùng để cài đặt một cơ chế chữ ký số. Chữ ký số có vai trò như
một chữ ký thông thường trong việc xác nhận với một thành viên thứ ba rằng một
thông báo là một bản sao không bị thay đổi của một thông báo được tạo bởi một
người uỷ nhiệm đặc biệt. Khả năng đế cung cấp một chữ ký số dựa trên nguyên
tắc là có những việc chỉ có người uỷ nhiệm là người gửi thực sự mới có thế làm
còn những người khác thì không thế. Điều này có thể đạt được bằng việc đòi hỏi
một thành viên thứ ba tin cậy mà anh ta có bằng chứng định danh của người yêu
cầu đế mã thông báo hoặc đế mã một dạng ngắn của thông báo được gọi là digest
tương tự’ như một checksum. Thông báo hoặc digest được mã đóng vai trò như
một chữ ký đi kèm với thông báo.
1.3.1.2 Cơ chế xác thực
Trong các hệ thống nhiều người dùng tập trung các cơ chế xác thực thường là
đơn giản. Định danh của người dùng có thể được xác thực bởi việc kiểm tra mật

khấu của mỗi phiên giao dịch. Cách tiếp cận này dựa vào cơ chế quản lý tài
nguyên hệ thống của nhân hệ điều hành. Nó chặn tất cả các phiên giao dịch mới
bằng cách giả mạo người khác.
Trong các mạng máy tính việc xác thực là biện pháp mà nhờ nó các định danh
của các máy chủ và các máy khách hàng được xác minh là đáng tin cậy. Cơ chế
được dùng để đạt được điều này là dựa trên quyền sở hữu các khoá mã. Từ thực tế
rằng chỉ một người uỷ nhiệm mới có quyền sở hữu khoá bí mật, chúng ta suy ra
rằng người uỷ nhiệm chính là người có định danh mà nó đòi hỏi. Việc sở hữu một
mật khẩu bí mật cũng được dùng đế xác nhận định danh của người sở hữu. Các
dịch vụ xác thực dựa vào việc dùng mật mã có độ an toàn cao. Dịch vụ phân phối
khoá có chức năng tạo, lưu giữ và phân phối tất cả các khoá mật mã cần thiết cho
tất cả người dùng trên mạng.
1.3.1.3 Các cơ chế điều khiên truy nhập
Các cơ chế điều khiến truy nhập được dùng đế đảm bảo rằng chỉ có một số
người dùng được gán quyền mới có thể truy nhập tới các tài nguyên thông tin (tệp,
tiến trình, cổng truyền thông) và các tài nguyên phần cứng (máy chủ in, Processor,
Gateway...).
Các cơ chế điều khiến truy nhập xảy ra trong các hệ điều hành đa người dùng
không phân tán. Trong UNIX và các hệ thống nhiều người dùng khác, các tệp là
các tài nguyên thông tin có thể chia sẻ quan trọng nhất và một cơ chế điều khiến


1.3.2 Mô hình của hệ thống bảo mật thông tin trên mạng dùng kỹ thuật
mật mã
Hình 3 là mô hình hệ thống bảo mật thông tin trên mạng dùng kỹ thuật mật
mã. Mô hình bao gồm hai người uỷ nhiệm (Principal) và một người thu tin bất hợp
pháp mà ta gọi là đối thủ (Opponent) hay kẻ tấn công. Thông báo được truyền
giữa hai người uỷ nhiệm thông qua một kênh truyền thông. Những người uỷ
nhiệm trong giao dịch cần phải hợp tác để trao đổi thông tin. Một kênh thông tin
lôgic được thiết lập đế định tuyến qua kênh truyền công khai từ nguồn đến đích và

dùng chung các giao thức truyền thông (như TCP/IP chang hạn) bởi hai người uỷ
nhiệm. Việc trao đối thông tin phải đảm bảo chổng lại các tấn công tới tính bí mật,
xác thực,... của thông tin.

S.O. loàn

______ ao. loàa

H3 ỉ Mô hình bảo mật mạng máy tỉnh dừng kỹ thuật mật mã
1.3.2.1 Các thành phần của mô hình bảo mật thông tin trên mạng máy tính
dũng kỹ thuật mật mã
1. Thông tin cần được bảo vệ : đây là những thông tin có giá trị cần được
trao đổi trên mạng giữa những người uỷ nhiệm.
2. Các phép biến đối an toàn thông tin : bao gồm các thao tác sử dụng kỹ
thuật mật mã đế giữ bí mật và xác thực thông tin như mã hoá, tạo chữ số....
3. Khoá mật mã : Là những thông tin bí mật được chia sẻ giữa những người
uỷ nhiệm mà kẻ tấn công không thế biết được. Khoá mật mã được dùng trong các
phép biến đổi an toàn thông tin.
4. Kênh thông tin : là kênh truyền thông công khai. Kẻ tấn công có thế thu


Một bên thứ ba tin cậy cũng có thể cần đế đạt được truyền tin an toàn. Bên thứ
ba có trách nhiệm phân phối khoá bí mật cho hai người uỷ nhiệm mà không cho
bất kỳ kẻ tấn công nào biết. Bên thứ ba tin cậy cũng có thể phân xử các tranh chấp
giữa hai người uỷ nhiệm về tính xác thực, toàn vẹn của thông báo. Việc quản lý và
phân phối khóa bí mật là công việc quan trọng trong mô hình.
1.3.2.2 Các thao tác trong việc thiết kế một dịch vụ an toàn
1. Thiết kế một thuật toán mật mã đế thực hiện phép biến đối an toàn thông tin.
Thuật toán phải đủ mạnh đế kẻ tấn công không thế khám phá ra nội dung thông
tin.

2. Sinh ra khoá mật mã đế dùng cho các thuật toán đã được thiết kế.
3. Quản lý và phân phối khoá mật mã.
4. Xây dựng các giao thức an toàn được dùng bởi hai người uỷ nhiệm.
Giao thức an toàn là một dãy các thao tác mà hai người ủy nhiệm phải tiến
hành đế họ có thế sử dụng thuật toán biến đối an toàn và khoá bí mật nhằm thực
hiện được dịch vụ bảo mật cụ thể đã đề ra.
Chúng ta lưu ý rằng, kỹ thuật mật mã chỉ là một công cụ quan trọng trong việc
bảo vệ thông tin trên mạng máy tính. Chúng ta cần xem xét vai trò của kỹ thuật
mật mã trong mối quan hệ với các yếu tố khác trong một giải pháp tống thể cho an
toàn thông tin trên mạng.
1.4 GIẢT PHÁP TỒNG THẺ CHO AN TOÀN THÔNG TTN TRÊN
MẠNG
Khi nói đến giải pháp tống thế cho an toàn thông tin trên mạng, các chuyên gia
đều nhấn mạnh một thực tế là không có thứ gì là an toàn tuyệt đối cả. Hệ thống
bảo vệ có chắc chắn đến đâu đi nữa rồi cũng có lúc bị vô hiệu hoá bởi những kẻ
phá hoại điêu luyện về kỹ xảo và có đủ thời gian. Chưa kế trong nhiều trường hợp
kẻ phá hoại lại nằm ngay trong nội bộ của cơ quan có mạng cần bảo vệ. Từ đó có
thế thấy rằng vấn đề an toàn mạng máy tính thực tế là một cuộc chạy tiếp sức
không ngừng và không ai dám khắng định là có đích cuối cùng hay không ?
Hình 4 mô tả các mức bảo vệ thông tin trên mạng.
1.4.1 Các mức bảo vệ thông tin trên mạng:


chúng ta còn phải bảo vệ thông tin được cất giữ trong các máy tính, đặc biệt là
trong các máy chủ trên mạng. Bởi thế ngoài một số biện pháp nhằm chổng việc lại
các tấn công vào thông tin trên đường truyền, mọi cố gắng phải tập trung vào việc
xây dựng các mức “rào chắn“ từ ngoài vào trong cho các hệ thống kết nổi vào
mạng. Hình 4 mô tả các lớp “rào chắn“ thông dụng hiện nay đế bảo vệ thông tin
trên mạng máy tính :
- Quyền truy nhập :

Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên
thông tin của mạng và quyền hạn của người sử dụng trên tài nguyên đó. Hiện tại

H4 : Các mức báo vệ thông tin trên mạng máy tỉnh


Đăng ký tên và mật khẩu:
Lớp bảo vệ tiếp theo là đăng ký tên/mật khẩu (login/password). Thực ra đây
cũng là lớp kiểm soát quyền truy nhập, nhưng không phải truy nhập ở mức thông
tin mà ở mức hệ thống. Đây là phương pháp bảo vệ phố biến nhất vì nó đơn giản,
ít phí tổn và cũng rất hiệu quả. Mỗi người sử dụng, kể cả người quản trị mạng
muốn được vào mạng đế sử dụng tài nguyên của mạng đều phải đăng ký tên và
mật khẩu trước. Người quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt
động của mạng và xác định quyền truy nhập của những người sử dụng khác tuỳ
theo thời gian và không gian, nghĩa là một người sử dụng có thế chỉ được phép
vào mạng ở những thời điếm và từ nhũng vị trí nhất định, về lý thuyết nếu mọi
người đều giữ kín được tên và mật khẩu đăng ký của mình thì sẽ không xảy ra các
truy nhập trái phép. Song điều đó rất khó đảm bảo trong thực tế vì nhiều nguyên
nhân, chang hạn như người sử dụng thiếu cấn thận khi chọn mật khấu trùng với
ngày sinh, tên người thân hoặc ghi mật khẩu ra giấy... Điều này làm giảm hiệu quả
của lớp bảo vệ này. Có thế khắc phục bằng nhiều cách như người quản trị có trách
nhiệm đặt mật khẩu, thay đối mật khẩu theo thời gian,...
Mã hoá dữ liệu :
Để bảo mật thông tin truyền trên mạng, người ta sử dụng các phương pháp mã
hoá. Dữ liệu được biến đổi từ dạng nhận thức được sang dạng không nhận thức
được theo một thuật toán nào đó (lập mã) và sẽ được biến đổi ngược lại (dịch mã)
ở nơi nhận. Đây là lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi
trong môi trường mạng.
Bảo vệ vật lý :
Nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Người ta

thường dùng các biện pháp truyền thống như cấm tuyệt đối người không phận sự
vào phòng đặt máy mạng, dùng 0 khoá trên máy tính (ngắt nguồn điện đến màn
hình và bàn phím nhưng vẫn giữ liên lạc trực tuyến giữa máy tính với mạng, hoặc
cài cơ chế báo động khi có truy nhập vào hệ thống) hoặc dùng các trạm không có
0 đĩa mềm...
Bức tường lửa (Firewall)


do nào đó. Phương thức bảo vệ này được sử dụng nhiều trong môi trường liên
mạng Internet.
Một cách tiếp cận khác trong việc xây dựng giải pháp tổng thể về an toàn
thông tin trên mạng máy tính là đưa ra các phương pháp và phương tiện bảo vệ
thông tin.
1.4.2 Các phương pháp và phương tiện bảo vệ thông tin
Trong giai đoạn đầu tiên, người ta cho rằng việc bảo vệ thông tin trong hệ
thống thông tin tính toán có thể thực hiện tương đối dễ dàng thuần tuý bằng các
chương trình phần mềm. Chính vì vậy các phương tiện chương trình có kèm theo
việc bổ sung các biện pháp tổ chức cần thiết được phát triển một cách đáng kể.
Nhưng cho đến lúc chỉ riêng các phương tiện chương trình với các biện pháp tô
chức cần thiết cũng tỏ ra không thể đảm bảo chắc chắn việc bảo vệ thông tin thì
các thiết bị kỹ thuật đa năng, thậm chí cả một hệ thống kỹ thuật lại phát triển một
cách mạnh mẽ. Từ đó cần thiết phải trien khai một cách đồng bộ tất cả các phương
tiện bảo vệ thông tin. Hình 5 chỉ ra các phương pháp và phương tiện bảo vệ thông
tin. Các phương pháp bảo vệ thông tin bao gồm :
Các chướng ngại :
Chướng ngại là nhằm ngăn cản kẻ tấn công tiếp cận thông tin được bảo vệ.
Điều khiển sự tiếp cận :
Điều khiến sự tiếp cận là phương pháp bảo vệ thông tin bằng cách kiếm soát
việc sử dụng tất cả tài nguyên của hệ thống. Trong một mạng máy tính cần xây
dựng các qui định rõ ràng và chặt chẽ về chế độ làm việc của người sử dụng, các

kỹ thuật viên sử dụng các chương trình phần mềm, các cơ sở dữ liệu và các thiết bị
mang tin.
Cần phải qui định thời gian làm việc trong tuần, trong ngày cho người sử dụng
và nhân viên kỹ thuật trên mạng. Trong thời gian làm việc, cần phải xác định một
danh mục những tài nguyên của mạng được phép tiếp cận và trình tự’ tiếp cận
chúng. Cần thiết phải có cả một danh sách các cá nhân được quyền sử dụng các
phương tiện kỹ thuật, các chương trình.


Các chướng
ngai
Điều khiển



Các
phương

hoá
thônp

Các

-I
pháp bảo -

Quy định

tiện bảo


Cưỡng bức

Kích thích

H5: Các phương pháp và phương tiện bảo vệ thông tin
Mã hoá thông tin :
Là phương pháp bảo vệ thông tin trên mạng máy tính bằng cách dùng các
phương pháp mật mã đế che dấu thông tin mật. Dạng bảo vệ này được sử dụng
rộng rãi trong quá trình truyền tin và quá trình luư giữ thông tin. Khi truyền thông
tin theo kênh truyền công khai thì việc mã hoá thông tin là phương pháp duy nhất
đế bảo vệ thông tin.
Các qui định :
Các quy định nhằm tránh được một cách tối đa các khả năng tiếp cận phi pháp


cần phải qui định một cách chặt chẽ về kiến trúc của hệ thống thông tin tính toán,
về lược
đò công nghệ của việc xử lý tự động các thông tin cần bảo vệ, tố chức và bảo
đảm điều kiện làm việc của tất cả các nhân viên xử lý thông tin...
Cưỡng bức:
Là phương pháp bảo vệ bắt buộc người sử dụng và các nhân viên của hệ thống
phải tuân theo nguyên tắc xử lý và sử dụng thông tin cần bảo vệ dưới áp lực của
các hình phạt về tài chính và trách nhiệm hình sự.
Kích thích :
Là các biện pháp động viên giáo dục ý thức, tính tự’ giác đối với vấn đề bảo vệ
thông tin của người sử dụng.
Các phương pháp bảo vệ thông tin đã xét ở trên thường được thực hiện
bằng cách sử dụng các phương tiện bảo vệ khác nhau, đồng thời các phương tiện
bảo vệ này cũng được phân chia thành các phương tiện kỹ thuật, các phương tiện
chương trình, tổ chức, luật pháp và đạo đức.

Các phương tiện bảo vệ là tất cả các biện pháp tố chức và kỹ thuật. Các
biện pháp tổ chức và pháp lý được thực hiện trong quá trình thiết kế và vận hành
hệ thống thông tin. Các biện pháp tố chức cần được quan tâm một cách đầy đủ
trong quá trình thiết kế, xây dựng và hoạt động của hệ thống.
Các phương tiện luật pháp bao gồm các điều khoản luật pháp của nhà nước
qui định về nguyên tắc sử dụng và xử lý thông tin, về việc tiếp cận có hạn chế
thông tin và những biện pháp xử lý trách nhiệm do vi phạm những nguyên tắc đó.
Các biện pháp đạo đức là xây dựng các chuẩn mực toàn diện được đúc rút và
chấp nhận theo truyền thống hoặc hình thành do sử dụng rộng rãi các phương tiện
tính toán trong nước và toàn xã hội. Những chuân mực đó phần lớn không nhất
thiết bắt buộc như các biện pháp luật pháp, tuy nhiên việc không tuân thủ nó thông
thường dẫn đến việc mất uy tín và sự tôn trọng của một cá nhân hay một nhóm
người, một tố chức nhất định. Các chuẩn mực đạo đức thường bao gồm cả những
điều không được ghi thành văn bản (như các tiêu chuẩn chung được xã hội chấp
nhận về sự trung thực, lòng yêu nước............................) cả nhũng điều được ghi thành văn bản


giai đoạn hai thì tất cả các phương tiện bảo vệ đều được quan tâm. Nhưng đến giai
đoạn ba thì hình thành rõ rệt các khuynh hướng sau :
Tạo ra những thiết bị có những chức năng bảo vệ cơ bản.
Xây dựng các phương tiện bảo vệ phức họp có thế thực hiện một vài
chức năng bảo vệ khác nhau.
Thống nhất và chuẩn hoá các phương tiện bảo vệ.
1.4.3 Hệ thống an toàn thông tin trên các hệ điều hành mạng
Hệ điều hành mạng (Network operating System) là một bộ phần mềm quản lý
các hoạt động của một mạng máy tính. Phần lớn các hệ điều hành mạng là bộ phần
mềm phân tán bao gồm hai thành phần chính là phần mềm chủ (server) điều hành
các hoạt động của mạng và cung cấp các dịch vụ. Thành phần thứ hai là phần mềm
khách hàng (client) đòi hỏi các dịch vụ mạng và chịu sự điều hành. Trong một
mạng có nhiều máy trạm chạy phần mềm khách hàng của hệ điều hành trong khi

chỉ có một vài máy chủ có cấu hình mạnh chạy phần mềm chủ (server) của hệ điều
hành.
Cơ chế làm việc trên mạng có một số đặc tính sau :
Nhiều người đồng thời sử dụng các dịch vụ mạng (Multiuser).
Nhiều ứng dụng cùng chạy tại một máy trạm (Multitasking).
Tài nguyên và bộ nhó' được chia sẻ giữa các ứng dụng và người dùng
(Sharing).
Trong một mạng máy tính thông tin được truyền qua lại giữa các máy qua
kênh truyền công khai. Mặt khác các hệ điều hành mạng lại kết nối với nhau để
tạo ra các mạng lớn hơn và nhiều dịch vụ hơn. Điều này cho phép thông tin được
trao đối qua các khoảng cách lớn hơn và không phải lúc nào cũng được bảo vệ.
Trong môi trường các hệ thống mạng mở như hiện nay chúng ta chấp nhận có đầy
đủ các phương tiện truyền tin và xử lý thông tin cùng hợp tác nhằm đáp ứng nhu
cầu truyền thông toàn cầu. Các thiết bị phần cứng và phương tiện truyền tin cũng
thuộc đủ loại do nhiều hãng cung cấp. Các phần mềm hệ thống và ứng dụng cũng
vô cùng phong phú.


Các máy tính giao
hành được gọi là giao
tiếp với nhau bằng các
thức của hệ điều hành
mạng.

tiếp với nhau thông qua các “ngôn ngữ“ chung của hệ điều
thức mạng như TCP/IP chẳng hạn. Các dịch vụ mạng giao
“ngôn ngữ “ của chúng là các giao thức dịch vụ mạng. Giao
mạng hoạt động ở tầng thấp hơn giao thức của các dịch vụ

Các hệ điều hành mạng nói chung đều có thế chạy trên các nền phần cứng và

các tô pô mạng khác nhau. Các hệ điều hành mạng thông dụng hiện nay như
Windows NT, Novell Netware, Unix .... đều sử dụng nhiều giao thức mạng khác
nhau như TCP/IP, IPX/SPX, NETBIOS,....
Các mạng truyền thông có kiến trúc đơn giản hơn mạng máy tính. Nguyên tắc
hoạt động của nó là kết nối trước liên lạc sau. Thông tin được trao đối là tín hiệu
tương tự (Analog signal). Tài nguyên trên mạng là các thiết bị sử dụng đơn giản
hoặc các trạm điều vận như tổng đài chẳng hạn.
Vấn đề an toàn thông tin liên quan đến việc cung cấp thông tin và cung cấp
dịch vụ đúng như chính sách an toàn. Nội dung thông tin về chính sách an toàn
cũng rất quan trọng, vấn đề liên quan ở đây là nếu muốn vi phạm chính sách an
toàn thì kẻ tấn công phải khai thác một số thông tin không được phép trên mạng đế
dùng nó xâm nhập mạng. Chính vì vậy các thông tin về chính sách an toàn của
mạng lại phải được bảo vệ chống sự sao chép, sửa đổi hoặc phá huỷ.
Từ đó mọi thông tin và thiết bị trên mạng phải chịu sự quản lý của hệ thống.
Mọi người khi truy nhập vào hệ thống và tài nguyên phải được kiếm soát, tránh
lạm dụng quyền hạn sử dụng hoặc tìm cách vượt quá quyền hạn cho phép.
Cơ chế an toàn của hệ điều hành mạng có nhiệm vụ quản lý và phân quyền cho
người sử dụng đối với các tài nguyên mạng. Cơ chế quản lý càng cụ thể và chặt
chẽ càng làm tăng độ an toàn cho các mạng máy tính.
Các vấn đề cần quan tâm đối với hệ thống an toàn trên mạng là :
Bộ nhớ (memory) : Bộ nhớ phải được phân chia và sử dụng độc lập
giữa những người sử dụng và ứng dụng.
Các thiết bị vào ra (I/O devices) : Các thiết bị vào ra phải được sử
dụng tách biệt giữa các ứng dụng, người sử dụng như các ố đĩa chẳng hạn.
Các thiết bị ngoại vi : Các thiết bị ngoại vi như máy in, máy vẽ,...


trao đối giữa các máy cần phải được bảo vệ chống lại sự đánh cắp. Các thông
tin có giá trị được lưu giữ tại các máy cũng cần phải được bảo vệ chống lại sự
đánh cắp, sửa đổi và huỷ hoại.

Mọi tài nguyên trên mạng được chia sẻ về các miền (Domain) và các nhóm
làm việc (Workgroup) hay các thiết bị mạng. Mọi tài nguyên trên mạng được các
hệ điều hành mạng phân cấp quản lý chặt chẽ theo vai trò người sử dụng trong
miền hay nhóm làm việc. Co chế quản lý theo miền là co cấu quản lý chặt chẽ và
tập trung do đó nó có độ an toàn cao.
Co chế quản lý của hệ điều mạng như sau : Mỗi tài nguyên được gán các mức
truy nhập như thao tác đối với máy in, các thao tác đọc, ghi, xoá hay tổ hợp của
chúng đối với tệp, thư mục. Mỗi người sử dụng có một tập các quyền (rights,
permission) đối với các tài nguyên. Tuỳ theo vai trò của người sử dụng mà tập này
lớn hay nhỏ. Người quản trị mạng là người có nhiều quyền hạn nhất.
Hệ thống không chỉ phân chia quyền hạn mà còn phải kiếm soát việc sử dụng
quyền đúng như đã phân chia, bao gồm cả việc kiểm soát chặt chẽ tài nguyên và
người sử dụng.
Muốn một hệ điều hành mạng an toàn người ta phải xây dựng chính sách an
toàn cho nó. Chính sách an toàn phải chặt chẽ và rất đầy đủ. Sau đó người ta xây
dựng các mô hình an toàn dựa trên các chính sách an toàn. Các mô hình này phải
phản ánh đúng các chính sách an toàn và dễ thực thi. Bước thứ ba là cài đặt mô
hình an toàn vào hệ điều hành mạng sẽ được xây dựng.
Cơ chế an toàn thiết kế không tốt ở mọi khâu sẽ làm phát sinh ra các lồ hống
mạng (hole). Các lỗ hổng này sẽ tạo cơ hội cho kẻ phá hoại xâm nhập mạng và
phá hoại.
Hệ điều mạng cần có cơ chế kiếm soát truy nhập đối với người sử dụng. Nó
chỉ cho phép những người dùng hợp pháp mới được truy nhập mạng theo đúng các
thông tin đặc trung được gán như mật khẩu, vân tay,.... Một khi đã truy nhập
mạng, người sử dụng được quyền truy nhập các tài nguyên dựa trên các quyền
được gán từ trước. Người sử dụng không được làm dụng quyền hạn đối với tài
nguyên hoặc tăng quyền hạn đối với các tài nguyên cho mình. Hệ thống không
được đế lộ các thông tin quản lý cơ chế an toàn này.



thể khai thác tài nguyên mạng khi đăng nhập được ở mức hệ điều hành mạng vì
vậy những kẻ phá hoại tìm mọi cách đạt đuợc sự đăng nhập trái phép.
Mỗi hệ điều hành mạng đều có một hệ thống an toàn được xây dựng sẵn. Tuy
mỗi hệ có cách thức cài đặt khác nhau nhưng chúng đều được tô chức thành ba
mức là an toàn truy nhập mạng, an toàn hệ thống, an toàn file và thư mục.
1. An toàn truy nhập mạng
An toàn truy nhập hệ thống là mức đầu tiên mà người dùng phải vượt qua đế
truy nhập vào mạng. Chức năng của an toàn truy nhập mạng bao gồm :
Xác định tính chân thực của người dùng :
Khi người dùng muốn truy nhập vào mạng từ trạm làm việc của mình hoặc từ
máy chủ, hệ thống yêu cầu gõ tên và mật khấu. Neu người dùng gõ tên hoặc mật
khẩu sai thì họ không thế truy nhập được vào mạng. Khi người dùng gõ tên và mật
khẩu đúng thì hệ thống sẽ tiếp tục kiểm tra các điều kiện khác về mật khẩu, thòi
gian truy nhập, trạm truy nhập.
- Xác định thòi gian mà người dùng được truy nhập vào mạng :
Người quản trị mạng lựa chọn ngày nào trong tuần (Chủ nhật, thứ hai,..............., thứ
bẩy) và giờ nào trong ngày (0 giờ - 24 giờ) để cho phép người dùng được vào
mạng. Người dùng chỉ có thế vào mạng trong thời gian cho phép, còn ngoài thời
gian đó họ sẽ không thể truy nhập được vào mạng.
- Xác định trạm làm việc mà người dùng được phép truy nhập vào mạng tù' đó
Trong mồi mạng có nhiều trạm làm việc, ngầm định mồi người dùng đều có
thể truy nhập vào mạng từ một trạm bất kỳ, tuy nhiên hệ điều hành mạng còn cho
phép người quản trị mạng chọn một số trạm nhất định đế người dùng chỉ được
quyền truy nhập vào mạng từ đó. Điều này sẽ có lợi nếu một người dùng nào đó
làm lộ mật khẩu của mình nhưng trạm làm việc của họ lại được bảo vệ vật lý (để
trong một phòng đã được khoá chang hạn) khi đó những người khác không thế
truy nhập vào mạng với tư cách của anh ta được vì họ không thế mở cửa phòng
chứa trạm.
- Xác định người lạ mặt:
Trong một mạng máy tính mỗi người dùng có những quyền truy nhập đến tài



người dùng trong một thời gian nào đó hoặc khoá mãi mãi, chỉ có người quản trị
mạng mới có thể mở khoá cho khoản mục người dùng.
- Ngày mãn hạn của khoản mục người dùng :
Mỗi khoản mục người dùng có thế không bao giờ mãn hạn hoặc sẽ bị mãn hạn
sau một thời gian nào đó.
- Vô hiệu hoá khoản mục :
Khi một khoản mục bị vô hiệu hoá người dùng không thể truy nhập hệ thống.
- Các ràng buộc khác :
Mỗi hệ điều hành sẽ có thêm những ràng buộc bô xung đế tăng tính an toàn
truy nhập hệ thống.
Tóm lại an toàn truy nhập mạng có chức năng trả lời các câu hỏi người dùng là
ai, anh ta được truy nhập mạng khi nào, ở đâu và truy nhập mạng như thế nào.
2. An toàn truy nhập hệ thống
Xác định quyền hạn của người dùng đối V ới người dùng và quyền hạn của
người dùng đối với các thiết bị và các thao tác hệ thống. Quyền của người dùng
đối với người dùng như tạo, xem sửa xoá các khoản mục người dùng. Mỗi hệ điều
hành đều có một khoản mục đại diện cho người quản trị mạng là người có quyền
cao nhất trong hệ thống. Người quản trị mạng sẽ tạo ra các khoản mục người dùng
khác và gán quyền cho họ.
Các thao tác đối với khoản mục như :
- Tạo khoản mục người dùng, nhóm người dùng.
- Xoá khoản mục người dùng, nhóm người người dùng.
- Xem thông tin về khoản mục người dùng, nhóm người dùng.
- Xem, thêm bớt thành viên của nhóm người dùng.
- Vô hiệu hoá khoản mục.
Các thao tác đối với thiết bị như :



Do chức năng quyền hạn của mỗi người dùng khác nhau nên nhu cầu truy
nhập đến các tệp dùng chung cũng khác nhau. Chính vì vậy các hệ điều hành
mạng đều có cơ chế gán quyền truy nhập đối với các tệp và thu mục cho mỗi
nguời dùng.
- Đối tượng được gán quyền :
Đối tượng được gán quyền là người dùng, nhóm người dùng, một tập hợp
người dùng nào đó. Khi một nhóm có một số quyền nào đó thì nhũng thành viên
của nhóm đó sẽ được nhận những quyền đó. Khi một người dùng bị đưa ra khỏi
nhóm thì anh ta cũng sẽ không còn các quyền của nhóm nữa.
- Đối tượng để gán quyền :
Đối tượng đế gán quyền là thư mục và tệp.
Khi một đối tượng (người dùng, nhóm người dùng,...) được gán một số quyền
nào đó đối với một thư mục thì nói chung họ có những quyền đó đổi với tệp và thư
mục con
- Quyền thực sự :
Do người dùng được nhận quyền đối với thư mục và tệp với nhiều tư cách
khác nhau như được gán trực tiếp, là thành viên của nhiều nhóm hoặc do các hạn
chế khác như quyền thừa hưởng... nên quyền thực sự của người dùng đối với một
thư mục và tệp là quyền tổng hợp của tất cả các quyền được tính theo những quy
tác nhất định. Chang hạn nếu một người dùng là thành viên của một nhóm thì
quyền của anh ta với tệp sẽ là sự kết hợp của quyền được gán trực tiếp và quyền
mà nhóm được gán với thư mục.
- Danh sách các quyền : Mỗi hệ điều hành đều có một tập các quyền truy
nhập tệp và thư mục
Dưới đây là các quyền được gán trong hệ điều hành Windows NT 4.0
❖ Quyền R (Read) : Xem được dữ liệu và thuộc tính của tệp, danh
sách người được gán quyền cùng với các quyền của họ đối với tệp.
Hiện danh sách các tệp, thư mục con và thuộc tính của thư mục,
danh sách những người được gán quyền cùng với các quyền của họ
đối với thư mục.



❖ Quyền o (Owner) : Lấy quyền sở hữu tệp.
Chúng ta thấy rằng giải pháp tổng thể cho an toàn thông tin trên mạng bao
gồm cả việc sử dụng kỹ thuật mật mã và an toàn truy nhập. Bên cạnh đó còn phải
kế đến các kỹ thuật vật lý nhu trang thiết bị bảo vệ tài nguyên mạng có giá trị,
canh phòng bảo vệ các tòa nhà chứa tài nguyên, chế tạo các thiết bị chuyên dụng
đế bảo vệ và vận chuyến thông tin có giá trị cao nhu các hoạt động ngân hàng
hoặc an ninh Quốc gia... Các biện pháp quản lý hành chính và nghiệp vụ cũng
đóng một vai trò quan trọng.


CHƯƠNG II: CÁC THÀNH PHÀN CHÍNH CỦA MỘT MÔ
HÌNH MẠNG AN TOÀN


Trong chương trước chúng ta thấy răng ngoài việc sử dụng kỹ thuật mật
mã, để xây dựng một hệ thống an toàn thông tin trên mạng chúng ta cần quan tâm
đến các yếu tố khác như an toàn truy nhập mạng, sử dụng các trang thiết bị vật lý,
các biện pháp hành chính, giáo dục cường bức.... Trong chương này chúng ta
nghiên cứu một số giải pháp nhằm chổng lại việc xâm nhập trái phép vào hệ
thống.

2.1. Fire
wall.
2.1.1. Khải niệm


Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, FireWall là một kỹ

thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm
bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông
của một số thông tin khác không mong muốn.
Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa
mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet:
Trong một số trường hợp, Firewall có thế được thiết lập ở trong cùng một mạng
nội bộ và cô lập các miền an toàn. Ví dụ như mô hình dưới đây thế hiện một mạng

2.1.2. Chúc năng
FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ
bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên
trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên
trong.
Cấu trúc của FireWall:
FireWall bao gồm :
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có
chức năng router.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×