Giải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông Mobifone (Luận văn thạc sĩ)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.14 MB, 78 trang )
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
---------------------------------------
LÊ VĂN TÚ
GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO
DOANH NGHIỆP VÀ ỨNG DỤNG TẠI
TỔNG CÔNG TY VIỄN THÔNG MOBIFONE
LUẬN VĂN THẠC SĨ KỸ THUẬT
HÀ NỘI - 2019
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
---------------------------------------
LÊ VĂN TÚ
GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO
DOANH NGHIỆP VÀ ỨNG DỤNG TẠI
TỔNG CÔNG TY VIỄN THÔNG MOBIFONE
Chuyên ngành: Kỹ thuật Viễn Thông
Mã số: 8.52.02.08
LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS.LÊ NGỌC THÚY
HÀ NỘI - 2019
i
LỜI CAM ĐOAN
Tôi xin cam đoan bài luận văn là cơng trình nghiên cứu của riêng tơi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai cơng bố
trong bất kỳ cơng trình nào khác.
Tác giả luận văn ký và ghi rõ họ tên
Lê Văn Tú
ii
LỜI CẢM ƠN
Tôi xin trân trọng cảm ơn các thầy cô trong khoa Kỹ thuật viễn thông, khoa Đào tạo
sau đại học đã tạo điều kiện cho tôi một môi trường học tập tốt, đồng thời truyền đạt
cho tôi một vốn kiến thức quý báu, một tư duy khoa học để phục vụ cho q trình
học tập và cơng tác của tôi.
Tôi xin gửi lời cảm ơn đến các bạn trong lớp Cao học Kỹ thuật viễn thơng
M17CQTE01-B khóa 2017-2019 đã giúp đỡ tôi trong suốt thời gian học tập vừa
qua.
Đặc biệt, tơi xin được bày tỏ lịng biết ơn sâu sắc đến TS. Lê Ngọc Thúy đã tận tình
chỉ bảo cho tơi trong suốt q trình học tập và nghiên cứu, giúp tơi có nhận thức
đúng đắn và kiến thức khoa học, tác phong học tập và làm việc, tạo điều kiện thuận
lợi để tơi hồn thành luận văn này.
Cuối cùng, tôi xin được gửi lời cảm ơn tới gia đình, đồng nghiệp, người thân, bạn
bè đã động viên, giúp đỡ tơi trong q trình hồn thành luận văn.
Một lần nữa tôi xin chân thành cảm ơn các thầy cô giáo, chúc thầy cô luôn mạnh
khỏe, thành công, công tác tốt để tiếp tục thực hiện sứ mệnh cao đẹp của mình là
truyền đạt kiến thức cho thế hệ mai sau.
Hà Nội, tháng 11 năm 2018
Tác giả luận văn
Lê Văn Tú
iii
MỤC LỤC
LỜI CAM ĐOAN ................................................................................................................... i
LỜI CẢM ƠN ........................................................................................................................ ii
MỤC LỤC ............................................................................................................................iii
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT ........................................................ v
DANH SÁCH BẢNG .......................................................................................................... vii
DANH SÁCH CÁC HÌNH .................................................................................................viii
MỞ ĐẦU ............................................................................................................................... 1
CHƯƠNG 1: THỰC TRẠNG AN NINH MẠNG TẠI CÁC DOANH NGHIỆP ................ 2
1.1 Thực trạng an ninh mạng các doanh nghiệp trên thế giới ................................................ 2
1.2 Thực trạng an ninh mạng các doanh nghiệp tại Việt Nam ............................................... 3
1.3 Các mối đe dọa tới an ninh mạng doanh nghiệp viễn thơng ............................................ 5
1.3.1
Tấn cơng từ bên ngồi mạng vào ............................................................................ 5
1.3.2
Mã hóa dữ liệu ........................................................................................................ 7
1.3.3
Đánh cắp dữ liệu ..................................................................................................... 8
1.3.4
Tấn công bằng phần mềm độc hại........................................................................... 9
1.3.5
Tấn công rà quét .................................................................................................... 10
1.3.6
Tấn công DoS, DDoS ............................................................................................ 11
1.3.7
Tấn công lừa đảo mật khẩu ................................................................................... 13
1.4 Kết luận Chương 1 ......................................................................................................... 14
CHƯƠNG 2: MỘT SỐ GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO CÁC DOANH
NGHIỆP VIỄN THÔNG ..................................................................................................... 15
2.1 Giải pháp an ninh cho lớp trung gian............................................................................. 15
2.2 Giải pháp phần mềm ...................................................................................................... 16
2.3 Giải pháp bảo mật thông qua Firewall ........................................................................... 18
2.4 Giải pháp bảo mật IDS/IPS ............................................................................................ 22
2.5 Giải pháp phi kỹ thuật .................................................................................................... 26
2.6 Kết luận Chương 2 ......................................................................................................... 26
iv
CHƯƠNG 3: GIẢI PHÁP NÂNG CAO AN NINH MẠNG TẠI TỔNG CÔNG TY VIỄN
THÔNG MOBIFONE.......................................................................................................... 27
3.1 Nghiên cứu các giải pháp nâng cao an ninh mạng đang được áp dụng tại Tổng Cơng ty
Viễn thơng MobiFone hiện nay. .......................................................................................... 27
3.1.1
Nhóm giải pháp phần cứng ................................................................................... 28
3.1.2
Nhóm giải pháp phần mềm ................................................................................... 41
3.1.3
Nhóm giải pháp chống mất dữ liệu ....................................................................... 42
3.1.4
Nhóm giải pháp khác ............................................................................................ 43
3.2 Nghiên cứu đề xuất các biện pháp tăng cường an ninh mạng cho Tổng công ty Viễn
thông MobiFone ................................................................................................................... 44
3.2.1
Triển khai hệ thống giám sát và bảo vệ cho cơ sở dữ liệu Impreva ...................... 45
3.2.2
Triển khai tính năng bảo mật của thiết bị mạng .................................................... 52
3.2.3
Triển khai tính năng bảo mật của hệ điều hành .................................................... 59
3.2.4
Triển khai tính năng bảo mật của cơ sở dữ liệu .................................................... 61
3.3 Kết luận Chương 3 ........................................................................................................ 66
KẾT LUẬN VÀ KIẾN NGHỊ ............................................................................................. 67
DANH MỤC TÀI LIỆU THAM KHẢO ............................................................................. 68
v
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
Viết tắt
ACL
ARP
CDN
Tiếng Anh
Access Control List
Advanced Interactive
eXecutive
Address Resolution Protocol
Content delivery network
CMS
Content Management System
DAI
DBA
Dynamic ARP Inspection
Database Administrator
AIX
DDOS
Distributed Denial of Service
DNS
DOS
DR
DVD
EU
FTP
Dynamic Host Configuration
Protocol
Domain Name System
Denial of Service
Disaster Recovery
Digital Versatile Disc
European Union
File Transfer Protocol
HIDS
Host-based IDS
HIPS
Host-based Intrusion
Prevention
HTTP
HyperText Transfer Protocol
DHCP
ICMP
IDS
ISP
IPS
IPV4
LAN
NAS
NAT
NFS
Internet Control Message
Protocol
Instrustion Detection System
Internet Service Provider
Intrusion Prevention Systems
Internet Protocol version 4
Local Area Network
Network Attached Storage
Network Address Translation
Network File System
Ý nghĩa
Danh sách cấm truy cập
Hệ điều hành của hãng IBM
Giao thức phân giải địa chỉ
Mạng giao dịch nội dung
Trung tâm điều khiển các hoạt
động đặc biệt là những phần nội
dung hiển thị trên một website
Tính năng bảo mật của Cisco
Quản trị database
Tấn công từ chối dịch vụ phân
tán
Giao thức cấp phát địa chỉ IP
Hệ thống phân giải tên miền
Tấn công từ chối dịch vụ
Hệ thống khôi phục thảm họa
Định dạng lưu trữ đĩa quang
Liên minh châu âu
Giao thức truyền tập tin
Hệ thống phát hiện xâm nhập
host
Hệ thống ngăn ngừa xâm nhập
host
Giao thức truyền tải siêu văn
bản
Giao thức gói Internet
Hệ thống phát hiện xâm nhập
Nhà cung cấp dịch vụ Internet
Hệ thống ngăn ngừa xâm nhập
Giao thức Internet phiên bản 4
Mạng cục bộ
Thiết bị lưu trữ gắn vào mạng
Kĩ thuật biên dịch địa chỉ mạng
Dịch vụ chia sẻ tài nguyên
vi
NIDS
NIPS
OSI
POP3
PVLAN
SAN
SCB
SFTP
SMTP
SNMP
TCP
UDP
URL
VLAN
VNC
VPN
WAN
Network-based IDS
Network-based Intrusion
Prevention)
Open Systems
Interconnection
Post Office Protocol 3
Private Virtual Local Area
Network
Hệ thống phát hiện xâm nhập
mạng
Hệ thống ngăn ngừa xâm nhập
mạng
Mô hình tham chiếu kết nối các
hệ thống mở
Giao thức truyền nhận thư điện
tử
Mạng cục bộ riêng ảo
Mạng kết nối các máy chủ tới
hệ thống lưu trữ dữ liệu
Hệ thống giám sát bảo mật tập
Shell Control Box
trung
Giao thức upload/download dữ
Secure File Transfer Protocol
liệu trên máy chủ
Simple Mail Transfer
Giao thức truyền tải thư điện tử
Protocol
đơn giản
Simple Network Management Giao thức quản lý mạng đơn
Protocol
giản
Transmission Control
Giao thức điều khiển truyền vận
Protocol
User Datagram Protocol
Giao thức truyền tin
Uniform Resource Locator
Định vị tài nguyên hệ thống
Virtual Local Area Network
Mạng LAN ảo
Công nghệ kỹ thuật chia sẻ màn
Virtual Network Computing
hình từ xa
Virutual Private Networks
Mạng riêng ảo
Wide area network
Mạng diện rộng
Storage Area Network
vii
DANH SÁCH BẢNG
Bảng 3. 1 Ví dụ số thứ tự dải mạng xác định port kết nối ........................................36
Bảng 3. 2 Ví dụ số thứ tự giao thức tương ứng port kết nối .....................................37
viii
DANH SÁCH CÁC HÌNH VẼ
Hình 1. 1 Mơ hình tấn cơng từ chối dịch vụ DoS ........................................................ 12
Hình 1. 2 Mơ hình tấn cơng từ chối dịch vụ phân tán DDoS ....................................... 13
Hình 2. 1 Mơ hình hệ thống VPN cơ bản ..................................................................... 17
Hình 2. 2 Mơ hình kết nối cơ bản của Firewall trong mạng ........................................ 19
Hình 2. 3 Mơ hình kết nối Firewall cứng ..................................................................... 21
Hình 2. 4 Mơ hình kết nối Firewall mềm ..................................................................... 21
Hình 3. 1 Thiết bị Firewall Palo Alto ........................................................................... 28
Hình 3. 2 Thiết bị Firewall Check Point 12400 ........................................................... 30
Hình 3. 3 Mơ hình hoạt động của hệ thống SCB ......................................................... 33
Hình 3. 4 Mơ hình kết nối tới hệ thống qua SCB theo IP và port ................................ 34
Hình 3. 5 Luồng kết nối giữa client và hệ thống qua SCB........................................... 34
Hình 3. 6 Ví dụ thơng số kết nối tới máy chủ qua SCB map theo port ........................ 36
Hình 3. 7 Ví dụ thông tin kết nối tới máy chủ qua SCB map theo dải mạng ............... 37
Hình 3. 8 Mơ hình giao diện các mức cảnh báo của hệ thống Polestar ....................... 39
Hình 3. 9 Mơ hình VPN Client to Site tại MobiFone................................................... 40
Hình 3. 10 Mơ hình VPN Site to Site tại MobiFone .................................................... 40
Hình 3. 11 Mơ hình phân loại và đánh giá loại dữ liệu ................................................ 48
Hình 3. 12 Dữ liệu được Impreva giám sát và ghi lại .................................................. 48
Hình 3. 13 Dữ liệu quản lý người dùng của CSDL ...................................................... 49
Hình 3. 14 Hồ sơ của các một số bảng trong CSDL .................................................... 50
Hình 3. 15 Dự kiến mơ hình triển khai của hệ thống ................................................... 51
Hình 3. 16 Mơ hình VLAN chia nhỏ............................................................................ 57
Hình 3. 17 Mơ hình giao tiếp giữa Isolated Port và Promiscuous Port ........................ 58
Hình 3. 18 Màn hình khai báo tính năng ủy quyền của hệ thống SCB ........................ 65
Hình 3. 19 Mơ hình giám sát Policy SCB .................................................................... 65
1
MỞ ĐẦU
An ninh mạng là sự phòng chống và ngăn chặn những truy cập trái phép, sử
dụng sai mục đích, chống lại những sửa đổi, hủy hoại hoặc đánh cắp, tiết lộ thơng
tin hoặc cũng có thể được hiểu là q trình thực hiện các biện pháp phịng chống
những lỗ hổng về bảo mật hoặc virus có trong các phần mềm, ứng dụng, website,
server, dữ liệu… nhằm bảo vệ hạ tầng mạng.
Bảo mật an ninh mạng hiện nay đang được đặt lên hàng đầu với bất kỳ doanh
nghiệp nào nói chung cũng như các doanh nghiệp hoạt động và kinh doanh trong
lĩnh vực viễn thơng nói riêng.
Với đặc thù của các doanh nghiệp viễn thông lưu trữ nhiều thông tin quan
trọng các hacker trong và ngồi nước ln tìm cách tấn công và xâm nhập vào hệ
thống của doanh nghiệp viễn thông để lấy thông tin khách hàng, thông tin nội bộ,
thơng tin mật. Chính vì vậy các nhà quản trị mạng luôn cố gắng bảo vệ hệ thống
mạng của mình một cách tốt nhất có thể và ln cố gắng hồn thiện hệ thống để
tránh mọi lỗ hổng có thể bị tấn công. Các cuộc tấn công mạng hiện nay đều có chủ
đích và gây thiệt hại rất lớn, vì vậy an ninh mạng đang là vấn đề cực kỳ cấp thiết
và được quan tâm hiện nay.
Tại Việt Nam, tháng 10 và 11 năm 2017, hàng loạt website các trang tin và
báo điện tử gồm dantri.com.vn, giadinh.net.vn, VCCorp.vn, GameK.vn... bị tấn
công và chiếm quyền điều khiển. Theo điều tra của các chuyên gia an ninh mạng
cùng C50 Bộ Công an, vụ tấn công vào VCCorp, mã độc tấn công trong vụ việc
này được viết ra bởi những nhóm hacker rất chuyên nghiệp và nguy hiểm.
Bản thân công việc hiện tại của học viên cũng làm việc có liên quan trực tiếp
tới các hệ thống bảo mật, an ninh mạng, với mục đích tìm hiểu vấn đề mới đang
cấp thiết hiện nay phục vụ thực tiễn cho công việc hiện tại của học viên, học viên
đăng ký đề tài luận văn nghiên cứu “Giải pháp nâng cao an ninh mạng cho
doanh nghiệp và ứng dụng tại Tổng công ty Viễn thông MobiFone”.
2
CHƯƠNG 1: THỰC TRẠNG AN NINH MẠNG TẠI CÁC
DOANH NGHIỆP
1.1 Thực trạng an ninh mạng các doanh nghiệp trên thế giới
Có thể thấy trong thời đại ngày nay với sự phát triển vượt bậc của khoa học,
cơng nghệ đã có những đóng góp vơ cùng quan trọng làm thay đổi cơ bản mọi mặt
của đời sống kinh tế xã hội các quốc gia. Đặc biệt sự ra đời phát triển của máy tính
và mạng Internet đã tạo nên những đột phá trong kết nối, chia sẻ thông tin, thúc đẩy
phát triển kinh tế, giao lưu văn hóa.
Mối nguy hiểm từ tội phạm mạng: với những ưu thế vượt trội của máy tính và
Internet tác động đến mọi mặt, mọi lĩnh vực trong đời sống xã hội, nhờ có Internet
mà xã hội phát triển nhanh hơn, mạnh hơn, xã hội càng phát triển thì vai trị của
máy tính và Internet càng được thể hiện rõ hơn, con người khó có thể làm việc nếu
như thiếu máy tính và Internet.
Tuy nhiên, bên cạnh những thuận lợi và đóng góp tích cực thì thế giới cũng đã và
đang đứng trước khơng ít thách thức, nguy cơ ảnh hưởng tiêu cực tới đời sống cá
nhân, nhà nước, xã hội, thậm chí có thể đe dọa nghiêm trọng tới hịa bình và an ninh
thế giới từ chính Internet.
Internet đang dần trở thành phương tiện hữu hiệu của tội phạm sử dụng công nghệ
cao và là công cụ được sử dụng để can thiệp vào an ninh, chính trị và các quốc gia
và doanh nghiệp. Trong thời gian vừa qua, trên thế giới đã có khơng ít cuộc xâm
nhập, tấn công trái phép được cho là có tổ chức vào cơ sở hạ tầng thơng tin của các
quốc gia và doanh nghiệp trên môi trường mạng. Xu thế này ngày càng gia tăng,
diễn biến phức tạp, khó lường.
Theo các chuyên gia, do các kết nối mạng không phân chia biên giới nên các rủi ro
trên không gian mạng sẽ không phân biệt biên giới quốc gia, không phân biệt giới
hạn giữa các tổ chức. Đặc biệt, với đặc trưng có mặt ở khắp nơi, có khả năng cảm
biến, liên tục thu thập thông tin về hoạt động của con người, môi trường xung quanh
3
và liên tục kết nối, hàng chục tỷ thiết bị IoT đang hoạt động trên thế giới có thể bị
lợi dụng để tạo ra những mạng lưới thu thập thông tin với phạm vi hoạt động cực
rộng, len lỏi vào từng khía cạnh của đời sống con người, tạo ra những nguy cơ chưa
từng có với các doanh nghiệp, cá nhân trước hoạt động của tội phạm mạng. Có thể
nói, đề tài về bảo đảm an ninh mạng đang là một trong những vấn đề được ưu tiên
toàn cầu, khu vực và mỗi quốc gia và doanh nghiệp.
Điển hình gần đây nhất là vụ lây lan mã độc tống tiền WannaCry hồi tháng 5 năm
2017 gây ảnh hưởng đến khoảng 200.000 hệ thống mạng tại ít nhất 150 quốc gia và
vùng lãnh thổ trên thế giới. Mã độc WannaCry đã làm tê tiệt hệ thống máy tính của
rất nhiều ngân hàng, bệnh viện, trường học... theo đó, người sử dụng mạng sẽ không
thể truy cập dữ liệu trừ khi đồng ý trả cho tin tặc một khoản tiền ảo Bitcoin, trị giá
từ 300 - 600 USD.
1.2 Thực trạng an ninh mạng các doanh nghiệp tại Việt Nam
Việt Nam trở thành một trong những quốc gia có tốc độ phát triển và ứng
dụng Internet cao nhất thế giới với khoảng 58 triệu người dùng Internet (chiếm
62,76% dân số) đứng đầu Đông Nam Á về số lượng tên miền quốc gia xếp thứ 2
khu vực Đông Nam Á, thứ 8 khu vực Châu Á, thứ 30 thế giới về địa chỉ IPv4 (số
liệu tính đến tháng 12/2016).
Hoạt động tấn cơng mạng vào các cơ sở hạ tầng thông tin trọng yếu ngày càng gia
tăng về quy mơ và tính chất nguy hiểm. Riêng năm 2016, có tới gần 7.000
trang/cổng thơng tin điện tử của nước ta bị tấn công. Nhiều thiết bị kết nối Internet
IoT tồn tại lỗ hổng bảo mật dẫn đến nguy cơ tin tặc khai thác, chiếm đoạt sử dụng
làm bàn đạp cho các cuộc tấn công mạng trên thế giới, hệ thống thông tin trọng yếu,
nhất là hàng khơng, ngân hàng, viễn thơng có nguy cơ bị phá hoại nghiêm trọng bởi
các cuộc tấn cơng mạng, điển hình là là vụ tấn công mạng vào ngành hàng không
Việt Nam ngày 29/7/2016.
Cơ sở hạ tầng viễn thông và công nghệ thông tin (CNTT) của Việt Nam chưa đáp
ứng yêu cầu bảo mật thiết yếu làm gia tăng nguy cơ bị tấn công mạng.
4
Vấn đề bảo mật tăng cường an ninh, đảm bảo an tồn thơng tin (ATTT) đang trở
thành vấn đề cấp thiết khơng chỉ riêng ngành viễn thơng, CNTT, tài chính, ngân
hàng, điện lực…. mà các ngành khác cũng đang rất quan tâm thực hiện.
Các vụ tấn công mạng tại Việt Nam ngày càng nghiêm trọng và phức tạp hơn.
Trong 9 tháng đầu năm 2017 Trung tâm ứng cứu khẩn cấp máy tính Việt Nam đã
ghi nhận có gần 10 nghìn sự cố tấn cơng mạng trong nước, trong đó có gần một nửa
là các sự cố về phát tán mã độc. Các vụ tấn công mạng tăng cả về số lượng, quy mơ,
hình thức ngày càng tinh vi, nhiều cuộc tấn cơng có chủ đích nhằm vào cơ quan
Chính phủ, các hệ thống thông tin quan trọng trong nhiều lĩnh vực như viễn thơng,
CNTT, tài chính, ngân hàng, điện lực....
Chỉ số An ninh mạng toàn cầu là một chỉ số tổng hợp đánh giá và so sánh mức độ
cam kết đảm bảo an ninh mạng của các nước thành viên dựa trên 5 yếu tố: công
nghệ, tổ chức, luật pháp, hợp tác và tiềm năng phát triển. Mục đích chính để phân
loại, xếp thứ hạng và sau đó là đánh giá, dự báo, định hướng quá trình phát triển
trong tầm khu vực cũng như trên quy mơ tồn cầu. Việt Nam đã gia nhập tổ chức
này từ năm 1951. Theo bản báo cáo trong nửa đầu năm 2017 của tổ chức này Việt
Nam xếp thứ 101 trên tổng số 193 nước thành viên về khả năng đảm bảo an ninh
mạng. Trên phạm vi thế giới Singapore được xếp hạng cao nhất với 0,925 điểm xếp
trên cả Mỹ.
Việt Nam cũng như các nước trên thế giới nổi bật nhất năm 2017 có lẽ là cuộc tấn
cơng của mã độc có tên WannaCry vào tháng 5 năm 2017, cuộc tấn công quy mô
lớn này đã ảnh hưởng tới nhiều quốc gia trên thế giới trong đó có Việt Nam, chỉ vài
giờ lây lan Việt Nam đã có đến hơn 200 doanh nghiệp bị nhiễm mã độc này.
Qua khảo sát đánh giá chỉ số ATTT năm 2017 đối với nhóm doanh nghiệp Hiệp hội
ATTT Việt Nam thực hiện của 360 doanh nghiệp tại 3 vùng trọng điểm Hà Nội, Đà
Nẵng, TP.HCM cho thấy chỉ số ATTT đang rất thấp và đang chỉ ở mức độ trung
bình.
Chỉ số ATTT của các doanh nghiệp thấp chứng tỏ nguy cơ mất ATTT đối với nhóm
doanh nghiệp là rất cao. Từ những thực trạng trên học viên nhận thấy các doanh
5
nghiệp cần tăng cường đảm bảo nâng cao an toàn an ninh mạng để ứng phó với tình
hình hiện tại để đảm bảo thơng tin mạng trong suốt, an tồn và bảo mật.
1.3 Các mối đe dọa tới an ninh mạng của doanh nghiệp viễn thông
Với các đặc thù của các doanh nghiệp viễn thông lưu trữ nhiều thông tin và
dữ liệu quan trọng mà thường xuất hiện các hình thức tấn cơng như tấn cơng từ bên
ngồi mạng, mã hóa dữ liệu, đánh cắp dữ liệu, tấn cơng bằng phần mềm độc hại, tấn
công rà quét, tấn công Dos, DDoS và tấn công lừa đảo mật khẩu. Đánh cắp dữ liệu
và tống tiền đang là các xu hướng tấn cơng chính của các hacker ở thời điểm hiện
nay các doanh nghiệp viễn thông cũng không là các nạn nhân ngoại lệ, đây là hình
thức tấn cơng mang lại lợi nhuận cao cho tội phạm, mỗi cá nhân, doanh nghiệp, tổ
chức bị tấn công sẽ bị yêu cầu một khoản tiền rất lớn, đó là mối đe dọa chính tới an
ninh mạng các doanh nghiệp.
1.3.1 Tấn cơng từ bên ngồi mạng
Hình thức tấn cơng từ bên trong mạng chỉ được sử dụng đối với cá nhân đã
có quyền truy cập một cách dễ dàng, đối với một hacker khi không thể đứng trong
mạng nội bộ để tấn công hệ thống họ sẽ tấn cơng từ bên ngồi vào mạng của bạn.
Việc tấn công từ nội bộ trong mạng của các doanh nghiệp viễn thơng là rất khó
khăn và gần như không thể thực hiện được buộc các hacker phải tấn cơng từ bên
ngồi vào. Tấn cơng phổ biến của hacker hiện nay hướng tới các website, CSDL
nhằm lợi dụng các loại lỗ hổng bảo mật để cài các phần mềm gián điệp, điều khiển
từ xa, xâm nhập để phá họai và lấy cắp thơng tin với các mục đích xấu về kinh tế và
chính trị gây thiệt hại và ảnh hưởng xấu tới các doanh nghiệp, các vụ tấn công từ
bên ngoài vào hệ thống của doanh nghiệp ngày càng gia tăng về số vụ và hình thức
tấn cơng ngày càng tinh vi và nguy hiểm.
Các cuộc tấn công phổ biến hiện nay là tấn công website, CSDL, lợi dụng các lỗ
hổng bảo mật web, lỗ hổng bảo mật của Microsoft, Adobe... để cài phần mềm gián
điệp, điều khiển từ xa để xâm nhập nhằm phá hoại và trộm cắp thông tin bất hợp
pháp.
6
Các doanh nghiệp viễn thơng tuy có triển khai các giải pháp an toàn và bảo mật,
song lại thiếu sự đồng bộ giữa cơ sở hạ tầng, giải pháp phần mềm và giải pháp quản
trị. Sự thay đổi liên tục của nhiều kiểu tấn công mạng từ khắp thế giới cộng thêm
tính phức tạp và lỗ hổng trong cơ sở hạ tầng mạng đã khiến nền tảng web trở nên dễ
bị tổn thương trước những tấn công. Hacker tạo ra ngày càng nhiều Malware với
các module phức tạp, chứa các lệnh khác nhau để trao đổi, xây dựng ra các mạng
Botnet riêng với nhu cầu và mục đích khác nhau, ví dụ như Grum là mạng Botnet
để phát tán thư rác, hoạt động ở chế độ ẩn của rookit, lây nhiễm vào khóa registry
AutoRun để ln ln được kích hoạt và phát tán hàng chục tỷ thư mỗi ngày. Zeus
và SpyEye được thiết kế để thiết lập mạng Botnet lấy cắp thông tin tài khoản ngân
hàng qua các giao dịch trực tuyến và gửi về một Domain trung gian, sau đó được
chuyển tiếp đến một Domain chứa CSDL cung cấp cho Hacker. Phổ biến nhất là
các mạng Botnet được sử dụng để tấn công từ chối dịch vụ, tấn công DDoS với quy
mô lớn.
Tấn công lỗ hổng bảo mật web: loại thứ nhất là các tấn công như SQL injection
được sử dụng ngày càng nhiều, đặc biệt là các website sử dụng chung server hoặc
chung hệ thống máy chủ của nhà cung cấp dịch vụ ISP dễ bị trở thành cầu nối tấn
cơng sang các đích khác, loại thứ hai là tấn công vào mạng nội bộ LAN thông qua
VPN, loại thứ ba là tấn công vào CSDL của trang web với mục đích lấy cắp dữ liệu,
phá hủy, thay đổi nội dung rồi từng bước thay đổi quyền điều khiển và tiến tới
chiếm toàn quyền điều khiển trang web và CSDL. Thực tế đã có nhiều vụ hacker đã
lấy được quyền truy cập cao nhất của webserver, mailserver backup và đã kiểm sốt
hồn tồn hệ thống mạng một cách bí mật, để cùng lúc tấn cơng và phá hoại CSDL
của cả website và hệ thống dự phòng.
Sử dụng Proxy tấn công mạng: Proxy server là một Internet server làm nhiệm vụ
chuyển tiếp và kiểm sốt thơng tin đảm bảo cho việc truy cập Internet của máy
khách hàng sử dụng dịch vụ Internet. Proxy có địa chỉ IP và một cổng truy cập cố
định làm server trung gian giữa máy trạm yêu cầu dịch vụ và máy chủ cung cấp tài
nguyên, khi có một yêu cầu từ một máy trạm trước tiên yêu cầu này được chuyển
7
tiếp tới Proxy server để kiểm tra, nếu dịch vụ này đã được ghi nhớ (cache) sẵn sàng
trong bộ nhớ Proxy sẽ trả về kết quả trực tiếp cho máy trạm mà không cần truy cập
tới máy chủ chứa tài ngun. Nếu khơng có trong cache proxy sẽ kiểm tra tính hợp
lệ của các yêu cầu, nếu yêu cầu hợp lệ proxy thay mặt máy trạm chuyển tiếp tới
máy chủ chứa tài nguyên. Kết quả sẽ được máy chủ cung cấp tài nguyên trả về qua
proxy và proxy sẽ trả về kết quả về cho máy trạm.
Hacker luôn ẩn danh khi thực hiện các cuộc tấn công website, upload hoặc
download dữ liệu bằng cách sử dụng các Proxy server – loại công cụ mạnh nhất để
giả mạo hoặc che dấu thông tin cá nhân và IP truy cập tránh bị cơ quan chức năng
phát hiện, nhu cầu sử dụng của Proxy ẩn danh chủ yếu xuất phát từ những hoạt
động trái pháp luật của hacker. Với chức năng ẩn danh, Proxy cũng được sử dụng
để truy cập vào các tài nguyên bị Firewall cấm. Khi muốn vào một trang web bị
chặn, để che giấu địa chỉ IP thật của trang web đó, có thể truy cập vào một proxy
server, thay máy chủ của trang web giao tiếp với máy tính của người sử dụng. Khi
đó, Firewall chỉ biết Proxy Server và không biết địa chỉ trang web thực đang truy
cập. Proxy Server không nằm trong danh sách cấm truy cập (Access Control List –
ACL) của Firewall nên Firewall không thể chặn truy cập này. Phần lớn HTTP
Proxy chỉ có tác dụng cho dịch vụ HTTP (web browsing), còn SOCKS Proxy có thể
được sử dụng cho nhiều dịch vụ khác nhau (HTTP, FTP, SMTP, POP3...)
1.3.2 Mã hóa dữ liệu
Mã hóa dữ liệu là chuyển dữ liệu từ dạng này sang dạng khác hoặc sang dạng
code mà chỉ có người có quyền truy cập vào khóa giải mã hoặc có mật khẩu mới
đọc được nó, bằng cách sử dụng các thuật tốn lồng nhau, thường dựa trên 1 khóa
để mã hóa dữ liệu.
Số lượng nhân viên văn phòng của các doanh nghiệp viễn thông là rất lớn đây là
điều kiện để Ransomware – một loại mã độc mã hóa dữ liệu có tính nguy hiểm cao
bởi nó sẽ mã hóa tồn bộ các file word, excel và các tập tin khác trên máy tính làm
cho nạn nhân khơng thể mở được file.
8
Gần đây nhất điển hình là mã độc WannaCry là loại mã độc khi xâm nhập thiết bị
máy tính của người dùng trong hệ thống doanh nghiệp sẽ tự động mã hóa tồn bộ
các tập tin theo những định dạng như văn bản tài liệu, hình ảnh. Người dùng sẽ phải
trả một khoản tiền không hề nhỏ nếu muốn được mở khóa và lấy lại dữ liệu đó.
Ransomware sử dụng cơng nghệ mã hóa Public-Key vốn là một phương pháp đáng
tin cậy nhằm bảo vệ dữ liệu nhạy cảm. Tội phạm đã lợi dụng công nghệ này và tạo
ra những chương trình độc hại để mã hóa dữ liệu của người dùng, một khi dữ liệu
đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được, lợi
dụng yếu tố này Hacker thường tống tiền người dùng để cùng trao đổi chìa khóa bí
mật này, nguy hiểm ở chỗ chỉ duy nhất có chìa khóa bí mật này mới có thể giải mã
và phục hồi dữ liệu, một số Ransomware được tạo ra với mục đích là dữ liệu bị mã
hóa hồn tồn và sẽ khơng bao giờ được phục hồi lại được dù có chìa khóa mở khóa
đi chăng nữa. Lưu ý rằng Ransomware chỉ có thể hoạt động sau khi được cài đặt
trên máy tính.
1.3.3 Đánh cắp dữ liệu
Dữ liệu trong các doanh nhiệp viễn thơng có giá trị cực kỳ lớn và là thông tin bảo
mật điều này đồng nghĩa với việc các hacker không thể bỏ qua nạn nhân là các
doanh nghiệp viễn thơng.
Trong vịng đời an tồn dữ liệu gồm các chu kỳ tạo ra dữ liệu, lưu trữ dữ liệu, sử
dụng dữ liệu, chia sẻ dữ liệu, phá hủy dữ liệu mấu chốt ngay từ lúc tạo ra dữ liệu
phải đảm bảo môi trường tạo dữ liệu là “sạch”. Sau đó ngoại trừ khi sử dụng và phá
hủy tất cả các chu kỳ còn lại đòi hỏi dữ liệu phải được mã hóa, đảm bảo người ta
phải trả một cái giá đắt nhất để có thể lấy cắp được dữ liệu, tất cả các pha đều địi
hỏi phải phân quyền truy cập và sử dụng thơng tin giữa các thành viên trong tổ chức
một cách chặt chẽ để có thể theo dõi và quản lý được từng “đường đi nước bước của
dữ liệu”. Việc này cần được cân nhắc xem nên bảo vệ những dữ liệu cụ thể nào vì
nếu khối lượng mật là quá lớn thì cái giá để bảo vệ sẽ là rất lớn. Hướng tiếp cận này
đưa đến hai gợi ý quan trọng đó là cần có các giải pháp phần mềm bao gồm từ hệ
điều hành, các cơng cụ văn phịng phần mềm soạn thảo văn bản, email ... để hình
9
thành một “môi trường sạch” cho việc tạo ra, lưu trữ dữ liệu đồng thời phải đầu tư
cho các nghiên cứu bảo mật để tạo ra các công nghệ mã hóa hiệu quả.
Nói đến khía cạnh an tồn và an ninh, phần mềm mã nguồn mở thường được coi là
lựa chọn hàng đầu do mơ hình phát triển của nó dựa vào cộng đồng, tức là các lỗi
của mỗi sản phẩm nguồn mở đều được rà soát và kiểm tra bởi hàng trăm tổ chức,
doanh nghiệp và hàng nghìn cá nhân trong cộng đồng đó, đơng hơn đội ngũ kiểm
thử của bất kì tập đồn mã nguồn đóng nào.
1.3.4 Tấn công bằng phần mềm độc hại
Phần mềm độc hại hay còn được gọi là mã độc (Malware, viết tắt của
Malicious Software), có thể dễ dàng mơ tả là phần mềm không mong muốn được
cài đặt trên hệ thống của bạn mà không được sự cho phép của bạn, với mục đích lây
lan phát tán trên hệ thống máy tính và Internet nhằm thực hiện các hành vi bất hợp
pháp nhằm vào người dùng cá nhân, cơ quan, tổ chức để thực hiện các hành vi
chuộc lợi cá nhân, kinh tế, chính trị hoặc đơn giản là để thỏa mãn ý tưởng và sở
thích của người viết Virus và phần mềm trojan là các ví dụ về phần mềm độc hại
thường được xếp cùng nhóm với nhau và được gọi là phần mềm độc hại.
Đặc điểm của Malware
-
Không thể tự tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó.
-
Tự nhân bản khi ứng dụng được kích hoạt.
-
Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong thời gian này sẽ không gây
hậu quả.
-
Sau thời kỳ “nằm vùng” mới bắt đầu phát tác.
Phân loại và đặc tính của mã độc
Tùy thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà người ta
phân biệt mã độc thành nhiều loại khác nhau như: virus, trojan, backdoor, adware,
spyware…
- Trojan: đặc tính phá hoại máy tính, thực hiện các hành vi phá hoại như: xóa file
làm hỏng các chương trình thơng thường, ngăn chặn người dùng kết nối Internet.
10
- Worm: giống trojan về hành vi phá hoại tuy nhiên nó có thể tự nhân bản để thực
hiện lây nhiễm qua nhiều máy tính.
- Spyware: là phần mềm được cài đặt trên máy tính người dùng nhằm thu thập
thơng tin một cách bí mật, trái phép khơng được sự cho phép của người dùng.
- Adware: phần mềm quảng cáo, hỗ trợ quảng cáo là các phần mềm tự động tải,
pupup, hiển thị hình ảnh và các thơng tin quảng cáo ép người dùng đọc, xem
thông tin quảng cáo. Các phần mềm này khơng có tính phá hoại nhưng nó làm
ảnh hưởng tới hiệu năng của thiết bị và gây khó chịu cho người dùng.
- Ransomware: đây là phần mềm khi lây nhiễm vào máy tính nó sẽ kiểm sốt hệ
thống hoặc kiểm sốt máy tính và u cầu nạn nhân phải trả tiền để có thể khơi
phục lại hệ thống điển hình là mã độc WanaCry gần đây.
- Virus: là phần mềm có khả năng lây nhiễm trong cùng một hệ thống máy tính
hoặc từ máy tính này sang máy tính khác dưới nhiều hình thức khác nhau. Q
trình lây lan được thực hiện qua hành vi lây file. Ngồi ra virus cũng có thể thực
hiện các hành vi phá hoại, lấy cắp thông tin…
- Rootkit: là một kỹ thuật cho phép phần mềm có khả năng che dấu danh tính của
bản thân nó trong hệ thống, các phần mềm antivirus từ đó nó có thể được hỗ trợ
các module khác tấn công, khai thác hệ thống.
Nổi bật gần đây là Ransomware (phần mềm độc hại mã hóa tống tiền). Đặc điểm
chung của dòng mã độc này sau khi lây nhiễm sẽ mã hóa tất cả các dữ liệu quan
trọng của người dùng và yêu cầu tiền chuộc để lấy lại dữ liệu, điển hình là mã độc
WannaCry hồi tháng 5 năm 2017.
1.3.5 Tấn công rà quét
Các hệ thống bảo mật an tồn thơng tin ở các doanh nghiệp viễn thông sẽ
không thể để các hacker tấn công một cách dễ dàng. Nếu như kẻ trộm trước khi đột
nhập nhà gia chủ thì trước hết hắn ta phải đi thăm dị, quan sát ngơi nhà, đường đi
lối lại và các điểm yếu sơ hở. Tương tự như vậy đối với các cuộc tấn cơng mạng
kiểu thăm dị, kẻ tấn công sẽ thu thập thông tin về hệ thống định tấn công (nạn
nhân), các dịch vụ đang chạy và các lỗ hổng. Các công cụ mà kẻ tấn công thường sử
11
dụng trong kiểu tấn công này là công cụ chặn bắt gói tin (packet sniffer), bộ quét
cổng (port scanner), truy vấn thông tin Internet, Ping sweep (kỹ thuật quét 1 dải IP
để phát hiện xem có thiết bị nào đang sở hữu địa chỉ IP nào trong dải đó).
Các cách phịng chống tấn cơng rà qt:
Trong thực tế cuộc sống nếu người bảo vệ phát hiện một kẻ thường xuyên qua lại
rình mị trước nhà của một người thì sẽ nghi vấn và cảnh giác. Tương tự vậy đối với
hệ thống mạng bạn cần có các hệ thống phát hiện và ngăn ngừa xâm nhập IDS và
IPS. Hệ thống này nếu thấy số lượng các gói tin ICMP echo requets nhiều bất
thường do Ping sweep thì sẽ cảnh báo đến người quản trị. Khi quản trị hệ thống
nhận được thông tin cảnh báo sẽ rà sốt lại tồn bộ hệ thống:
- Xác minh và quyết định việc ngăn chặn kết nối từ các IP do thám.
- Tắt những dịch vụ không cần thiết.
- Update các bản vá lỗi cho hệ điều hành và ứng dụng.
- Thay đổi mật khẩu quản trị nếu thấy cần thiết.
Trong trường hợp do thám xuất phát từ các thiết bị nội bộ thì ngay từ khi xây dựng
hệ thống, admin hệ thống cần tính đến các giải pháp như:
- VLAN: nhóm các thiết bị của các phòng khác nhau vào các dải mạng khác nhau.
- Củng cố an ninh trên các thiết bị mạng để tránh chiếm quyền điều khiển.
- Mã hóa thơng tin trước khi gửi đi.
1.3.6 Tấn công DoS, DDoS
Denial of Service hay tấn công từ chối dịch vụ phân tán DDoS viết tắt của
Distributed Denial of Service là một nỗ lực làm cho người dùng không thể sử dụng
tài nguyên của máy tính và hệ thống máy chủ hay hệ thống mạng không thể sử
dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với
người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống. Thủ phạm
tấn công từ chối dịch vụ thường nhắm vào các trang mạng hay server tiêu biểu như
ngân hàng, cổng thanh tốn thẻ tín dụng và thậm chí DNS root servers.
Một kiểu DoS rõ ràng và phổ biến nhất là kẻ tấn công "tuồn" ồ ạt lưu lượng truy cập
vào máy chủ, hệ thống hoặc mạng, làm cạn kiệt tài nguyên của nạn nhân, khiến
12
người dùng hợp pháp gặp khó khăn hoặc thậm chí không thể sử dụng chúng. Cụ thể
hơn, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi
một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý một số
yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn cơng làm gửi ồ ạt
nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử
lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn khơng thể truy cập đến trang đó.
Trong tấn cơng từ chối dịch vụ phân tán (DDoS), một kẻ tấn cơng có thể sử dụng
máy tính của bạn để tấn cơng vào các máy tính khác. Bằng cách lợi dụng những lỗ
hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển
máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ
liệu đến một website hoặc gửi thư rác đến một địa chỉ hòm thư nào đó.
Hình 1. 1 Mơ hình tấn cơng từ chối dịch vụ DoS
(Nguồn: [11]
13
Hình 1. 2 Mơ hình tấn cơng từ chối dịch vụ phân tán DDoS
(Nguồn: [11]
1.3.7 Tấn công lừa đảo mật khẩu
Đứng thứ hai về số lượng là các cuộc tấn công lừa đảo mật khẩu. Khoảng 60-70%
email là spam, và phần lớn trong số đó là các cuộc tấn cơng tìm cách lừa người sử
dụng để lấy thơng tin đăng nhập của họ. Khi đã có được thơng tin tài khoản và mật
khẩu hacker sẽ truy cập vào các hịm thư và sẽ có những hành động xấu đánh cắp
dữ liệu, phá hủy dữ liệu, thay đổi dữ liệu.
Hình thức tấn cơng này khơng phải là bẻ khóa bởi hacker sẽ dụ dỗ người dùng
thông qua một số mánh khóe lừa đảo thủ đoạn này thường gặp nhất là hình thức lừa
đảo qua email.
Đầu tiên hacker sẽ gửi nhiều email tới người dùng dưới danh nghĩa một tập đoàn
hay tổ chức lớn có danh tiếng và uy tín nhưng thực tế đường dẫn liên kết tới trang
đăng nhập chỉ là giả mạo được thiết kế giống y hệt trang đăng nhập thực tế, người
nhận email không hề hay biết và điền các thơng tin cá nhân vào đó và các thông tin
cá nhân này sẽ được gửi về cho hacker sẽ bị đem bán để chuộc lợi hoặc sử dụng vào
14
các mục đích xấu khác. Cách đề phịng và hạn chế cho hình thức tấn cơng này là
tăng mức độ lọc spam trên các dịch vụ mình đang sử dụng lên mức cao nhất và luôn
luôn kiểm tra kỹ các đường dẫn trước khi click vào đó, khơng nhập thơng tin cá
nhân, thông tin account và mật khẩu trong các trường hợp khả nghi.
1.4 Kết luận Chương 1
Trên thế giới nói chung cũng như Việt Nam nói riêng, vấn đề an toàn an ninh
mạng hiện nay là vấn đề cực kỳ quan trọng đối với mỗi quốc gia và doanh nghiệp,
thực trạng chung cho thấy vấn đề an toàn an ninh mạng ở các doanh nghiệp còn ở
mức thấp, nguy cơ mất ATTT cao. Trong chương 1 của bài luận văn học viên cũng
đã nêu ra các hình thức tấn công cơ bản thường tấn công vào mạng của các doanh
nghiệp như tấn cơng từ bên ngồi mạng, mã hóa dữ liệu, đánh cắp dữ liệu, tấn công
bằng phần mềm độc hại, tấn công rà quét, tấn công Dos, DDoS và tấn công lừa đảo
mật khẩu. Sang chương tiếp theo của bài luận văn sẽ trình bày chi tiết các giải pháp
thường được áp dụng để tăng cường an ninh mạng cho các doanh nghiệp nói chung
và các doanh nghiệp viễn thơng nói riêng.
15
CHƯƠNG 2: MỘT SỐ GIẢI PHÁP NÂNG CAO AN NINH
MẠNG CHO CÁC DOANH NGHIỆP VIỄN THƠNG
Với các hình thức tấn công thường xảy ra với doanh nghiệp học viên đã trình bày ở
chương 1 các doanh nghiệp viễn thơng cũng không là ngoại lệ. Với đặc thù là nơi
lưu trữ nhiều thơng tin có giá trị như thơng tin tài khoản khách hàng, thông tin chi
tiết cước, thông tin nạp thẻ…các doanh nghiệp viễn thông thường phải đối mặt với
các mối đe dọa an ninh mạng như: tấn công từ bên ngồi mạng, mã hóa dữ liệu,
đánh cắp dữ liệu, tấn công bằng phần mềm độc hại, tấn công rà quét, tấn công DoS
DDoS, tấn công lửa đảo mật khẩu và một số hình thức tấn cơng khác.
Các doanh nghiệp viễn thơng đã và đang có các giải pháp để hạn chế và ngăn chặn
các mối đe dọa này như: giải pháp an ninh cho lớp trung gian, giải pháp phần mềm,
giải pháp bảo mật thông qua Firewall, giải pháp bảo mật IDS/IPS đồng thời với đặc
thù làm việc dựa trên các quy trình quy định vì vậy các giải pháp phi kỹ thuật cũng
cần được áp dụng.
2.1 Giải pháp an ninh cho lớp trung gian
Lớp an ninh này thực hiện kiểm soát các giao thức, ứng dụng, dịch vụ trao
đổi qua lại tại cửa ngõ mạng, ngăn chặn tình trạng tắc nghẽn mạng, đảm bảo chất
lượng và sự ổn định cho các dịch vụ, ứng dụng trên mạng, Access Control List hạn
chế truy cập của người dùng cuối qua những phân vùng, những ứng dụng không
thuộc phạm vi truy xuất của mình. Thiết lập các quyền truy cập thơng qua
username, password. Hạn chế kết nối vào hệ thống (kết nối vật lý) tại những vị trí
khơng được phép thơng qua tính năng Port security, Dynamic ARP Inspection, IP
Source Guard, DHCP Snooping, VLAN access control list, Private VLAN của thiết
bị mạng. Phân vùng VLAN hạn chế các dữ liệu vô ích (Broadcast, ARP signal…) từ
khu vực này qua khu vực khác, tận dụng tối đa băng thông cho thông tin có ích của
hệ thống. Ngăn chặn khuyếch tán Virus hay ảnh hưởng liên đới do trường hợp
không ổn định của hệ thống phần cứng từ vùng này qua vùng khác.
