Tải bản đầy đủ (.pdf) (71 trang)

Đồ án xây dựng hệ thống firewall ClearOS mã nguồn mở

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.2 MB, 71 trang )

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

XÂY DỰNG HỆ THỐNG FIREWALL
CLEAROS MÃ NGUỒN MỞ

Ngành: An toàn thông tin
Mã số: 7.48.02.02

Sinh viên thực hiện:
Giang Văn Thắng
Lớp: AT10D
Người hướng dẫn:
ThS. Bùi Việt Thắng
Viện KH-CN mật mã – BCY CP

Hà Nội, 2018
1


BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

XÂY DỰNG HỆ THỐNG FIREWALL
CLEAROS MÃ NGUỒN MỞ


Ngành: An toàn thông tin
Mã số: 7.48.02.02

Sinh viên thực hiện:
Giang Văn Thắng
Lớp: AT10D
Người hướng dẫn:
ThS. Bùi Việt Thắng
Viện KH-CN mật mã – BCY CP

Hà Nội, 2018
2


MỤC LỤC

MỤC LỤC ..............................................................................................................i
DANH MỤC KÍ HIỆU VÀ VIẾT TẮT .............................................................iv
DANH MỤC HÌNH VẼ ....................................................................................... v
LỜI CẢM ƠN .................................................................................................... vii
LỜI NÓI ĐẦU .................................................................................................. viii
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN ............................. 1
1.1.

Tổng quan về an toàn thông tin..................................................... 1

1.2.

Các nguyên tắc nền tảng,mục tiêu của an toàn thông tin.............. 2


1.3.

Các nguy cơ mất ATTT đối với một tổ chức, doanh nghiệp ........ 4

1.3.1. Nguy cơ mất ATTT từ khía cạnh vật lý. ................................... 5
1.3.2. Nguy cơ bị mất hỏng sửa đổi nội dung thông tin .................... 5
1.3.3. Nguy cơ bị tấn công bởi các phần mềm độc hại...................... 5
1.3.4. Nguy cơ xâm nhập từ lỗ hổng bảo mật .................................... 6
1.3.5. Nguy cơ xâm nhập do bị tấn công phá mật khẩu .................... 7
1.3.6. Nguy cơ mất an toàn do sử dụng email ................................... 8
1.3.7. Nguy cơ mất an toàn trong quá trình truyền tin ...................... 8
1.3.8. Nguy cơ mất an toàn do Social Engineering ........................... 9
1.4.

Một số biện pháp đảm bảo ATTT cho tổ chức, doanh nghiệp ... 10

1.4.1. Bảo vệ thông tin về mặt vật lý ................................................ 10
1.4.2. Nhóm giải pháp về quản lý ATTT .......................................... 10
1.4.3. Bảo vệ nguy cơ tấn công bởi phần mềm độc hại ................... 10
1.4.4. Bảo vệ dưới dạng tấn công lỗ hổng bảo mật ......................... 12
1.4.5. Bảo vệ thông tin trước nguy cơ tấn công vào mật khẩu ........ 12
1.4.6. Bảo vệ thông tin trước nguy cơ do sử dụng email ................. 13
1.4.7. Bảo vệ thông tin trong quá trình truyền tin ........................... 13
1.4.8. Bảo vệ hệ thống bằng tường lửa (firewall)............................ 14
CHƯƠNG 2: GIẢI PHÁP ATTT CHO MỘT CÔNG TY VỚI FIREWALL15
2.1. Giới thiệu về Firewall ..................................................................... 15
i


2.2. Chức năng của tường lửa ................................................................ 16

2.1.1. Quản lý giám sát lưu lượng mạng ......................................... 17
2.2.2. Xác thực truy cập ..................................................................... 17
2.2.3. Làm trung gian ......................................................................... 18
2.2.4. Bảo vệ tài nguyên ..................................................................... 19
2.2.5. Ghi chú và báo cáo sự kiện ...................................................... 19
2.3.

Công nghệ tường lửa ................................................................... 20

2.3.1. Packet Filters ......................................................................... 20
2.3.2. Application level gateway ...................................................... 22
2.3.3. Circuit-Level Gateways ......................................................... 23
2.3.4. Stateful Multilayer Inspection Firewalls ............................... 24
2.4.

Phân loại tường lửa ..................................................................... 25

2.4.1. Personal Firewalls ................................................................. 26
2.4.2. Network Firewall ................................................................... 27
2.4.3. UTM Firewall ........................................................................ 27
2.4.4. Next-generation firewall ........................................................ 28
2.4.5. Proxy-based firewall .............................................................. 28
2.4.6. Web application firewall........................................................ 29
2.5.

Hạn chế của tường lửa ................................................................ 29

2.6.

Giải pháp an toàn mạng với Firewall .......................................... 30


2.6.1. Mô hình mạng cho công ty nhỏ.............................................. 30
2.6.2. Mô hình mạng công ty có chi nhánh ...................................... 31
2.6.3. Mô hình mạng công ty lớn có nhiều chi nhánh, đối tác. ....... 32
CHƯƠNG 3: TÌM HIỂU FIREWALL CLEAR OS MÃ NGUỒN MỞ TRIỂN KHAI ĐẢM BẢO ATTT CHO MỘT CÔNG TY ............................. 33
3.1.

Giới thiệu về ClearOS ................................................................. 33

3.2. Triển khai Firewall ClearOS đảm bảo ATTT cho công ty nhỏ ...... 36
3.2.1. Chặn web xấu, nội dung độc hại bằng Web Proy và Content
Filter................................................................................................... 37
3.2.2. Giới hạn thời gian truy cập của nhân viên .............................. 42
ii


3.2.3. Quản lý truy cập dịch vụ SSH .................................................. 45
3.2.4. Quản lý chặn kết nối ping ICMP vào hệ thống ....................... 51
3.2.5. Báo cáo thống kê hoạt động của hệ thống, người dùng trong
mạng ................................................................................................... 53
3.3. Triển khai Firewall ClearOS đảm bảo ATTT cho công ty có chi
nhánh ...................................................................................................... 55
KẾT LUẬN ......................................................................................................... 60
TÀI LIỆU THAM KHẢO ................................................................................. 61

iii


DANH MỤC KÍ HIỆU VÀ VIẾT TẮT


STT

Kí hiệu

1

ATTT

2

CIA

3

DoS

4

ICMP

5

IDS

6

IP

7


NGFW

8

Nội dung

Nghĩa

An toàn thông tin

An toàn thông tin

Confidentiality, Integrity,
Available

Xác thực, toàn vẹn, sẵn sàng

Denial-of-service attack

Tấn công từ chối dịch vụ

Internet Control Message

Giao thức thông điệp điều

Protocol

khiển của bộ TCP/IP

Intrusion Detection System


Hệ thống phát hiện xâm nhập

Internet Protocol

Giao thức Internet

Next-generation firewall

Tường lửa thế hệ kế tiếp

SEQ

Sequence Number

Số thứ tự

9

TCP

Tranmission Control Protocol

10

UTM

Unified Threat Management

iv


Giao thức điều khiển truyền
vận
Giải pháp bảo mật toàn diện


DANH MỤC HÌNH VẼ
Hình 1. 1:Mô hình CIA ......................................................................................... 3
Hình 2. 1: Các lớp an toàn mạng……..…………………………………….. .... 15
Hình 2. 2: Tường lửa – Firewall.......................................................................... 16
Hình 2. 3: Packet Filters ...................................................................................... 20
Hình 2. 4: Application level gateway.................................................................. 23
Hình 2. 5: Circuit-Level Gateway ....................................................................... 24
Hình 2. 6: Stateful Multilayer Inspection............................................................ 24
Hình 2. 7: Personal Firewall và Network Firewall ............................................. 26
Hình 2. 8: UTM Firewall .................................................................................... 27
Hình 2. 9: Next Generation ................................................................................. 28
Hình 2. 10: Tường lửa dựa trên proxy - Proxy-based firewall ........................... 28
Hình 2. 11: Web application firewall .................................................................. 29
Hình 2. 12: Mô hình mạng công ty nhỏ .............................................................. 30
Hình 2. 13: Mô hình công ty có chi nhánh.......................................................... 31
Hình 2. 14: Mô hình côgn ty lớn có nhiều chi nhánh ........................................ 32
Hình 3. 1: Quá trình hình thành ClearOS…………………………………… ... 34
Hình 3. 2: Các phiên bản ClearOS ...................................................................... 34
Hình 3. 3: Mô hình thực tế .................................................................................. 36
Hình 3. 4: Mô hình thử nghiệm ........................................................................... 36
Hình 3. 5: Chế độ Transparent Mode .................................................................. 37
Hình 3. 6: Bật Content Filter Engine .................................................................. 38
Hình 3. 7: Cấu hình chính sách ........................................................................... 38
Hình 3. 8: Chỉnh sửa các chính sách ................................................................... 39

Hình 3. 9: Chỉnh sửa website muốn chặn ........................................................... 39
Hình 3. 10: Chỉnh sửa các file muốn chặn .......................................................... 40
Hình 3. 11: Chỉnh sửa từ khóa muốn chặn.......................................................... 40
Hình 3. 12: Facebook bị chặn không truy cập được ........................................... 41
Hình 3. 13: 24h.com.vn bị chặn không truy cập được. ....................................... 42
Hình 3. 14: Chỉnh sửa thời gian cho phép truy cập internet ............................... 43
v


Hình 3. 15: Chỉnh sửa ngày được truy cập internet ............................................ 43
Hình 3. 16: Add nhóm đối tượng áp dụng chính sách ........................................ 44
Hình 3. 17: Máy user không truy cập được internet ngoài giờ cho phép ........... 45
Hình 3. 18: Kiểm tra hoạt động của SSH Server ................................................ 45
Hình 3. 19: Tường lửa Incoming cho phép kết nối SSH từ bên ngoài ............... 46
Hình 3. 20: Kết nối SSH từ máy thật (mạng ngoài) ............................................ 46
Hình 3. 21: Tạo rule chặn tất cả kết nối SSH ...................................................... 47
Hình 3. 22: Kiểm tra máy thật kết nối SSH thất bại ........................................... 47
Hình 3. 23: Cho phép duy nhất máy Admin kết nối SSH ................................... 48
Hình 3. 24: Máy user trong mạng LAN không kết nối được SSH ..................... 49
Hình 3. 25: Mấy mạng ngoài không kết nối được SSH ...................................... 50
Hình 3. 26: Máy Admin kết nối SSH bình thường ............................................. 50
Hình 3. 27: Kiểm tra ping bình thường ............................................................... 51
Hình 3. 28: Tạo rule chặn ping............................................................................ 52
Hình 3. 29: Kiểm tra ping thất bại....................................................................... 52
Hình 3. 30: Tình trạng hoạt động của máy chủ ClearOS .................................... 53
Hình 3. 31: Kiểm tra log hoạt động của máy chủ ClearOS ................................ 54
Hình 3. 32: Thống kê truy cập mạng của user .................................................... 55
Hình 3. 33: Mô hình thực tế cty có chi nhánh.................................................... 56
Hình 3. 34: Cấu hình OpenVPN ......................................................................... 56
Hình 3. 35: Chỉnh sửa danh sách user kết nối VPN............................................ 57

Hình 3. 36: Tải chứng chỉ và khóa kết nối VPN của user.................................. 57
Hình 3. 37: Cấu hình chứng chỉ, khóa của user trên máy kết nối ....................... 58
Hình 3. 38: Đăng nhập VPN ............................................................................... 58
Hình 3. 39: Kết nối thành công ........................................................................... 59
Hình 3. 40: Kiểm tra cấp thêm đường mạng địa chỉ IP của VPN....................... 59

vi


LỜI CẢM ƠN
Để hoàn thành đồ án tốt nghiệp này, lời đầu tiên em xin gửi lời cảm ơn tới
các thầy cô của Học viện kỹ thuật Mật Mã đã dạy dỗ trang bị cho em nhiều kiến
thức trong những năm học tại trường.
Qua đây em xin tỏ lòng biết ơn sâu sắc tời thầy Ths. Bùi Việt Thắng – Viện
KH-CN mật mã BCY CP, người đã tận tình giúp đỡ, truyền đạt kinh nghiệm kiến
thức và định hướng để em có thể thực hiện và hoàn thành đồ án này.
Sau cùng em xin gửi lời cảm ơn tới gia đình, bạn bè đã động viên và có
những ý kiến đóng góp trong suốt quá trình học tập cũng như qua trình thực hiện
đồ án tốt nghiệp.
Trong quá trình thực hiện đồ án, do hạn chế về kiến thực và kinh nghiệm
thực tế nên đồ án của em chắc chắc sẽ tồn tại những thiếu sót, em mong nhận được
sự nhận xét, đánh giá cũng như là sự bổ sung quý giá của thầy cô và các bạn.
Em xin chân thành cảm ơn!
Hà Nội, ngày 12 tháng 12 năm 2018
Sinh viên thực hiện

Giang Văn Thắng

vii



LỜI NÓI ĐẦU
Hiện nay cách mạng công nghiệp 4.0 đang phát triển mạnh mẽ trên toàn
thế giới. Dẫn đầu cuộc cách mạng này chính là ngành công nghệ thông tin với
nhiều cải tiến mới về nội dung và dịch vụ mới. Trong những năm gần đây có rất
nhiều sự cố an ninh mạng nghiêm trọng xảy ra trên toàn thế giới như mã độc mã
hóa tống tiền, lộ lọt thông tin cá nhân ở các mạng xã hội, cho đến sự cố tại hai
sân bay quốc tế Nội Bài và Tân Sơn Nhất của nước ta.
Sự quan tâm về an toàn thông tin an ninh mạng tại Việt Nam này càng
được xã hội cộng đồng và mọi người đặc biệt quan tâm. Một trong những giải
pháp góp phần bảo vệ các cá nhân, tổ chức khỏi những nguy cơ an ninh mạng đó
là sử dụng Firewall – Tường lửa. Đây là biện pháp được sử dụng phổ biến nhất
hiện nay, từ chiếc máy tính cá nhân, trường học cho đến mạng doanh nghiệp,
quốc gia đều có hệ thống tường lửa riêng để đảm bảo an toàn cho các thông tin
cá nhân, dữ liệu bí mật nhạy cảm và an toàn hệ thống mạng để đảm bảo cho hoạt
động sản xuất.
Trong số vô vàn sản phẩm Firewall đang được sử dụng thì Firewall mã
nguồn mở vẫn đang được đa phần các chuyên gia tin dùng để kết hợp với các
biện pháp khác trong hệ thống an ninh mạng. ClearOS có lẽ là một cái tên chưa
được nhiều người biết đến và sử dụng tích hợp hệ thống firewall mã nguồn mở.
Trong đồ án này, em sẽ tìm hiểu nghiên cứu và “xây dựng hệ thống firewall
ClearOS mã nguồn mở” áp dụng trong việc đảm bảo an ninh mạng, an toàn
thông tin (ATTT) của một đơn vị, công ty. Hiểu về các chức năng, nguyên lý,
mô hình triển khai firewall. Thử nghiệm các tính năng bảo vệ an ninh mạng của
firewall mã nguồn mở,.Nội dung báo cáo gồm 3 chương:
Chương 1: Tổng quan về an toàn thông tin
Chương 2: Giải pháp ATTT cho một công ty với firewall
Chương 3: Tìm hiểu firewall ClearOS mã nguồn mở - Triển khai đảm bảo
ATTT cho một công ty.


viii


CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các
thông tin của các tổ chức, cá nhân đều được lưu trữ trên hệ thống máy tính.
Cùng với sự phát triển của tổ chức là những đòi hỏi ngày càng cao của môi
trường hoạt động cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác
nhau qua mạng. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng
đến tài nguyên thông tin, tài chính, danh tiếng của tổ chức, cá nhân.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có
thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống
thông tin của tổ chức. Vì vậy an toàn thông tin là nhiệm vụ quan trọng, nặng nề
và khó đoán trước đối với các hệ thống thông tin.
Tóm lại: Những thông tin, dữ liệu nhạy cảm luôn là mục tiêu để những kẻ
tấn công trục lợi. Bởi vậy khi xây dựng hệ thống mạng bất kỳ bạn cần phải quan
tâm đến việc làm như thế nào để bảo vệ những thông tin, những dữ liệu quan
trọng đó.
1.1.

Tổng quan về an toàn thông tin
Khái niệm: An toàn thông tin (ATTT) là các hoạt động bảo vệ tài sản

thông tin và là một lĩnh vực rộng lớn. Nó bao gồm cả những sản phẩm và những
quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin,… An
toàn thông tin liên quan đến hai khía cạnh đó là an toàn vật lý và an toàn về mặt
kỹ thuật.
Sự cần thiết của an toàn thông tin: Hệ thống thông tin là thành phần
thiết yếu trong mọi tổ chức, doanh nghiệp và nó đem lại khả năng xử lý thông
tin, là tài sản quan trọng. Hầu hết các thông tin đó hiện nay đều được thu thập,

xử lý và lưu trữ bởi máy vi tính, trung tâm dữ liệu. Dữ liệu đó cũng có thể được
chuyển qua mạng để về trung tâm lưu trữ, đến các nhánh công ty con, hoặc gửi
cho bạn bè, người thân. Nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu
và rủi ro, do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu
cầu của người dùng, các phiên bản được phát hành liên tục với các tính năng
mới được thêm vào ngày càng nhiều, điều này làm cho các phần mềm không
1


được kiểm tra kỹ trước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng
có thể dễ dàng bị lợi dụng. Thêm vào đó là việc phát triển của hệ thống mạng,
cũng như sự phân tán của hệ thống thông tin, làm cho người dùng truy cập
thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ dàng hơn,
nếu các thông tin quan trọng đó bị phá hoại, lấy cắp hoặc lọt vào tay đối thủ
cạnh tranh thì cực kì nguy hiểm đến hoạt động của cơ quan, tổ chức doanh
nghiệp đó. Tóm lại, việc đảm bảo an toàn cho hệ thống thông tin là vô cùng
quan trọng đặc biệt trong thời kì công nghệ hiện nay nó càng quan trọng hơn bao
giờ hết.
1.2.

Các nguyên tắc nền tảng, mục tiêu của an toàn thông tin.
Trong bối cảnh tiến trình hội nhập, vấn đề an toàn thông tin và bảo mật dữ

liệu đang trở nên rất được quan tâm. Khi cơ sở hạ tầng và các công nghệ mạng
đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, đồng thời thực
trạng tấn công trên mạng đang ngày một gia tăng thì vấn đề bảo mật càng được
chú trọng hơn. Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính
phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin.
Bảo mật hay an toàn thông tin là mức độ bảo vệ thông tin trước các mối
đe dọa về "thông tin lộ", "thông tin không còn toàn vẹn" và "thông tin không sẵn

sàng". Bảo mật hay an toàn thông tin là mức độ bảo vệ chống lại các nguy cơ về
mất an toàn thông tin như "nguy hiểm", "thiệt hại", "mất mát" và các tội phạm
khác. Bảo mật như là hình thức về mức độ bảo vệ thông tin bao gồm "cấu trúc"
và "quá trình xử lý" để nâng cao bảo mật. An ninh mạng máy tính (Network
security) là tổng thể các giải pháp về mặt tổ chức và kỹ thuật nhằm ngăn cản
mọi nguy cơ tổn hại đến mạng. Các tổn hại có thể xảy ra do:
 Lỗi của người sử dụng,
 Các lỗ hổng trong các hệ điều hành cũng như các chương trình ứng
dụng,
 Các hành động hiểm độc,
 Các lỗi phần cứng,
 Các nguyên nhân khác từ tự nhiên.
2


An ninh mạng máy tính (MMT) bao gồm vô số các phương pháp được sử
dụng để ngăn cản các sự kiện trên, nhưng trước hết tập trung vào việc ngăn cản:
 Lỗi của người sử dụng,
 Các hành động hiểm độc.
Số lượng các mạng máy tính tăng lên rất nhanh. Ngày càng trở thành phức
tạp và phải thực hiện các nhiệm vụ quan trọng hơn. Mang lại những thách thức
mới cho những ai sử dụng và quản lý chúng.
Sự cần thiết phải kết hợp các dịch vụ vào cùng một hạ tầng cơ sở mạng tất
cả trong một là một điều hiển nhiên, làm việc phát sinh nhanh chóng các công
nghệ đưa vào các sản phẩm có liên quan đến an ninh còn mới. Do các nhà quản
lý mạng phải cố gắng triển khai những công nghệ mới nhất vào hạ tầng cơ sở
mạng của mình. Nên an ninh mạng trở thành một chức năng then chốt trong
việc xây dựng và duy trì các mạng hiện đại của mọi tổ chức.
Các nguyên tắc nền tảng:
 Tính bí mật (Confidentiality).

 Tính toàn vẹn (Integrity).
 Tính sẵn sàng (Availability).
Tùy thuộc vào ứng dụng và hoàn cảnh cụ thể, mà một trong ba nguyên
tắc này sẽ quan trọng hơn những cái khác.

Hình 1. 1:Mô hình CIA
Confidentiality (tính bảo mật), Integrity (tính toàn vẹn), Availability (tính
sẵn sàng), được gọi là: Mô hình bộ ba CIA. Ba nguyên tắc cốt lõi này cũng chính
3


mà mục tiêu của việc đảm bảo an toàn thông tin của các hệ thống thông tin. Bộ ba
CIA cũng cung cấp một công cụ đo (tiêu chuẩn để đánh giá) đối với các thực hiện
an ninh. Mọi vi phạm bất kỳ một trong ba nguyên tắc này đều có thể gây hậu quả
nghiêm trọng đối với tất cả các thành phần có liên quan. Tuy nhiên khó có thể đảm
bảo an toàn tuyệt đối cho cả ba mục tiêu này, tùy thuộc vào mục tiêu an toàn của
mỗi hệ thống thông tin sẽ có những ưu tiên với từng tiêu chí sao cho mức độ rủi ro
ở mức chấp nhận được. Ví dụ: Một hệ thống xem nội dung xem trực tuyến sẽ ưu
tiên tính sẵn sàng hơn hai nội dung còn lại, một hệ thống tài chính sẽ ưu tiên tính bí
mật hơn, một hệ thống lưu trữ sẽ ưu tiên tính toàn vẹn hơn.
Tính bí mật (Confidentiality): Bí mật là sự ngăn ngừa việc tiết lộ trái
phép những thông tin quan trọng, nhạy cảm. Đó là khả năng đảm bảo mức độ bí
mật cần thiết được tuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu
với người dùng không được cấp phép. Đối với an ninh mạng thì tính bí mật rõ
ràng là điều đầu tiên được nói đến và nó thường xuyên bị tấn công nhất.
Tính toàn vẹn (Integrity): Toàn vẹn là sự phát hiện và ngăn ngừa việc
sửa đổi trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính
xác của thông tin và hệ thống. Có ba mục đích chính đảm bảo tính toàn vẹn:
 Ngăn cản sự làm biến dạng nội dung thông tin của những người sử
dụng không được phép.

 Ngăn cản sự làm biến dạng nội dung thông tin không được phép
hoặc không chủ tâm của những người sử dụng được phép.
 Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài.
Tính sẵn sàng (Availability): Tính sẵn sàng bảo đảm các người sử
dụng hợp pháp của hệ thống có khả năng truy cập đúng lúc và không bị ngắt
quãng tới các thông tin trong hệ thống và tới mạng. Tính sẵn sàng có liên quan
đến độ tin cậy của hệ thống.
1.3.

Các nguy cơ mất ATTT đối với một tổ chức, doanh nghiệp
Đối với mỗi hệ thống thông tin khác nhau sẽ có các nguy cơ mất ATTT

khác nhau, trong phạm vi báo cáo tôi sẽ đưa ra một số nguy cơ mất ATTT đối
với một tổ chức, doanh nghiệp.
4


1.3.1. Nguy cơ mất ATTT từ khía cạnh vật lý.
Nguy cơ mất an toàn thông tin về khía cạnh vật lý là nguy cơ do mất điện,
nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư
hỏng, các phần tử phá hoại như nhân viên xấu bên trong và kẻ trộm bên ngoài.
Nghe có vẻ những nguy cơ này không có gì nghiêm trọng, nhưng thực sự đây là
một trong những nguy cơ ảnh hưởng không hề nhỏ tới khả năng hoạt động, an
toàn của hệ thống thông tin.
Ví dụ: Sự cố mất điện của công ty công nghệ Việt Nam - VNG ngày
23/9/2018 đã làm gián đoạn trung tâm dữ liệu Data Center khiến cho hàng loạt
các ứng dụng, trang web trên hệ thống này không thể truy cập được như Zalo,
zingmp3, thanhnien.vn,…
1.3.2. Nguy cơ bị mất hỏng sửa đổi nội dung thông tin
Người dùng có thể vô tình để lộ mật khẩu hoặc không thao tác đúng quy

trình tạo cơ hội cho kẻ xấu lợi dụng để lấy cắp hoặc làm hỏng thông tin. Kẻ xấu
có thể sử dụng công cụ hoặc kỹ thuật của mình để thay đổi nội dung thông tin
(các file) nhằm sai lệnh thông tin của chủ sở hữu hợp pháp.
Ví dụ: Nhân viên kế toán để lộ mật khẩu tài khoản truy cập vào hệ thống
nội bộ, có nhân viên khác vào tài khoản của nhân viên kế toán sửa đổi làm sai
lệch dữ liệu bảng lương. Điều này gây sai lệch thông tin của hệ thống, ảnh
hưởng tới tài chính của công ty.
1.3.3. Nguy cơ bị tấn công bởi các phần mềm độc hại
Các phần mềm độc hại tấn công bằng nhiều phương pháp khác nhau để
xâm nhập vào hệ thống với các mục đích khác nhau như: virus, sâu máy tính
(Worm), phần mềm gián điệp (Spyware),...
Virus: là một chương trình máy tính có thể tự sao chép chính nó lên
những đĩa, file khác mà người sữ dụng không hay biết. Thông thừờng virus máy
tính mang tính chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu.
Chúng có các tính chất: Kích thước nhỏ, có tính lây lan từ chương trình sang
chương trình khác, từ đĩa này sang đĩa khác và do đó lây từ máy này sang máy
khác, tính phá hoại thông thường chúng sẽ tiêu diệt và phá hủy các chương trình
5


và dữ liệu (tuy nhiên cũng có một số virus không gây hại như chương trình được
tạo ra chỉ với mục đích trêu đùa).
Worm: Tương tự như virus nó cũng có khả năng tự nhân bản và lây lan.
Điểm đặc biệt của nó là nó có thể lây lan qua hệ thống mạng còn virus thì không
thể. Nhiệm vụ chính của worm là phá hoại các mạng thông tin làm giảm khả năng
hoạt động hay hủy hoại toàn bộ mạng đó. Một điểm khác biệt nữa của worm và
virus đó là nó không cần sự tác động của con người mà vẫn có thể hoạt động
được. Từ những đặc điểm đó khiến cho worm nguy hiểm hơn nhiều so với các
virus truyền thống bởi vì nó có thể lây lan sang hàng trăm, hàng ngàn máy tính.
Trojan, Spyware, Adware: Là những phần mềm được gọi là phần mềm

gián điệp, chúng không lây lan như virus. Thường bằng cách nào đó (lừa đảo
người sử dụng thông qua một trang web, hoặc một người cố tình gửi nó cho
người khác) cài đặt và nằm vùng tại máy của nạn nhân, từ đó chúng gửi các
thông tin lấy được ra bên ngoài hoặc hiện lên các quảng cáo ngoài ý muốn của
nạn nhân.
Ransomware: Là phần mềm độc hại hay còn gọi là mã độc tống tiền, loại
mã độc này lây nhiễm vào máy do người dùng truy cập vào các trang độc hại, tải
về cái file có chứa mã độc, sau đó chúng sẽ lây lan qua lỗ hổng trong mạng máy
tính, mã hóa các file dữ liệu trên máy và đòi tiền chuộc để được giải mã.
Ví dụ: Tháng 5 năm 2017 một ransomware có tên gọi là WannaCry đã lây
nhiễm hàng triệu máy tính của hơn 100 quốc gia trên toàn thế giới, mã hóa dữ
liệu trên các máy tính bị lây nhiễm qua lỗ hổng EternalBlue của dịch vụ SMB Server Message Block (trên hệ điều hành Windows). Sự kiện này đã gây hậu
quả rất nghiêm trọng cho nhiều công ty tập đoàn lớn nhỏ trên thế giới trong đó
có cả Việt Nam.
1.3.4. Nguy cơ xâm nhập từ lỗ hổng bảo mật
Lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự cố phần mềm, nằm
trong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình
cài đặt trên máy tính.

6


Hiện, nay các lỗ hổng bảo mật được phát hiện ngày càng nhiều trong các
hệ điều hành, các web server hay các phần mềm khác, ... Và các hãng sản xuất
luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ
hổng của các phiên bản trước.
Ví dụ: lỗ hổng CVE-2018-0878 trong Windows Remote Assistance có
thể cho phép kẻ tấn công có được thông tin để xâm nhập vào hệ thống của nạn
nhân. Lỗ hổng này ảnh hưởng đến Microsoft Windows Server 2016, Windows
Server 2012 và R2, Windows Server 2008 SP2 và R2 SP1, Windows 10 (32 và

64 bit), Windows 8.1 (32 và 64 bit) và RT 8.1 và Windows 7 (32 và 64 bit).
1.3.5. Nguy cơ xâm nhập do bị tấn công phá mật khẩu
Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một
khoản mục người dùng và một mật khẩu. Đôi khi người dùng khoản mục lại làm
mất đi mục đích bảo vệ của nó bằng cách chia sẻ mật khẩu với những người
khác, ghi mật khẩu ra và để nó công khai hoặc để ở một nơi nào đó cho dễ tìm
trong khu vực làm việc của mình.
Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu
truy nhập. Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản
mục người dùng quản trị chính.
Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có
thể. Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ
trong từ điển và các số. Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương
trình đoán mật khẩu trên mạng Internet như: Xavior, Authforce và Hypnopaedia.
Các chương trình dạng này làm việc tương đối nhanh và luôn có trong tay những
kẻ tấn công.
Ví dụ: Nếu người dùng sử dụng các mật khẩu yếu, dễ đoán thì các hacker
hoàn toàn có thể tấn công dò quét mật khẩu, phá mật khẩu bằng từ điển, vét cạn.
Từ đó có thể truy cập vào phá hoại ăn cắp thông tin bằng tài khoản và mật khẩu
hợp lệ của nạn nhân.

7


1.3.6. Nguy cơ mất an toàn do sử dụng email
Tấn công có chủ đích bằng thư điện tử là tấn công bằng email giả mạo
giống như email được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm
cho thiết bị bị nhiễm virus. Cách thức tấn công này thường nhằm vào một cá
nhân hay một tổ chức cụ thể. Thư điện tử đính kèm tập tin chứa virus được gửi
từ kẻ mạo danh là một đồng nghiệp hoặc một đối tác nào đó. Người dùng bị tấn

công bằng thư điên tử có thể bị đánh cắp mật khẩu hoặc bị lây nhiễm virus.
Rất nhiều người sử dụng e-mail nhận ra rằng họ có thể là nạn nhân của
một tấn công e-mail. Một tấn công e-mail có vẻ như xuất phát từ một nguồn thân
thiện, hoặc thậm chí là tin cậy như: một công ty quen, một người thân trong gia
đình hay một đồng nghiệp. Người gửi chỉ đơn giản giả địa chỉ nguồn hay sử
dụng một khoản mục email mới để gửi e-mail phá hoại đến người nhận. Đôi khi
một e-mail được gửi đi với một tiêu đề hấp dẫn như “Congratulation you’ve just
won free software. Những e-mail phá hoại có thể mang một tệp đính kèm chứa
một virus, một sâu mạng, phần mềm gián điệp hay một trojan horse. Một tệp
đính kèm dạng văn bản word hoặc dạng bảng tính có thể chứa một macro (một
chương trình hoặc một tập các chỉ thị) chứa mã độc. Ngoài ra, e-mail cũng có
thể chứa một liên kết tới một web site giả.
Ví dụ: Tin tặc có thể gửi email kèm virut, mã độc cho nạn nhân bằng một
địa chỉ email “gần giống” với email thật mà nạn nhân thường xuyên liên lạc, nếu
không để ý thì nạn nhân hoàn toàn có thể tải về máy những nội dung độc hại
trên tạo điều kiện cho tin tắc theo dõi hoạt động và lấy trộm thông tin quan trọng
của nạn nhân.
1.3.7. Nguy cơ mất an toàn trong quá trình truyền tin
Trong quá trình lưu thông và giao dịch thông tin trên mạng internet nguy
cơ mất an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn
đường truyền và thay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến
người nhận.
Ví dụ: Tấn công nghe trộm Man in the middle (MITM) là kiểu tấn công
trong quá trình tuyền tin, kẻ tấn công sẽ đứng giữa đường trao đổi thôn tin giữa
8


hai người và đọc các nội dung trao đổi qua lại giữa hai đối tượng mà hai người
đó không hề hay biết.
Kết luận: Qua một số nguy cơ mất ATTT của tổ chức doanh nghiệp kể

trên ta thấy rằng chúng đều là những nguy cơ hoàn toàn có thể xảy ra và gây hậu
quả nghiêm trọng tới hệ thống thông tin, tới đơn vị doanh nghiệp tổ chức ấy
như:
 Tổn thất về tài chính
 Trách nhiệm pháp lý
 Tổn thất về mặt hình ảnh
 Doanh nghiệp có thể ngừng kinh doanh, thậm chí là phá sản.
Những hậu quả không hề nhỏ từ những nguy cơ mất ATTT kể trên đối
với các đơn vị tổ chức doanh nghiệp. Sau đây chúng ta sẽ tìm hiểu một số biện
pháp để giảm thiểu nguy cơ, đảm bảo an toàn cho một tổ chức, doanh nghiệp.
1.3.8. Nguy cơ mất an toàn do Social Engineering
Social Engineering là phương pháp tấn công, đột nhập vào một hệ thống
của một tổ chức, công ty, Doanh nghiệp. Kỹ thuật tấn công Social Engineering
là quá trình đánh lừa người dùng của hệ thống, nhằm phá vỡ hệ thống an ninh,
lấy cắp dữ liệu hoặc tống tiền. Nói một cách khác, Social Engineering là một trò
lừa đảo rất tinh vi được thực hiện qua mạng internet, tỉ lệ thành công của hình
thức này rất cao. Những kẻ tấn công sử dụng kỹ thuật Social Engineering chủ
yếu nhằm vào cá nhân, các tổ chức công ty trong phạm vi hẹp. Có hai hình thức
tấn công Social Engineering là:
 Tấn công vào yếu tố con người: Mạo danh, xem trộm nghe trộm,…
 Dựa vào yếu tố kĩ thuật: Pop up – Windows, tấn công Phishing,
mạo danh website,…
Do bản chất của cuộc tấn công này là dựa vào sự ảnh hưởng và niềm tin,
sự bất cẩn nên nó không thể phòng chống bằng firewall được. Cách tốt nhất là
bạn nên đào tạo cho người dùng và nhân viên của mình cảnh giác trước những
mối nguy hiểm này.

9



1.4.

Một số biện pháp đảm bảo ATTT cho tổ chức, doanh nghiệp
Qua những mối nguy cơ mất ATTT cho một tổ chức doanh nghiệp được

nêu ở trên, ta có thể thấy có rất nhiều vấn đề cần được thực hiện để đảm bảo cho
an toàn hệ thống thông tin, sau đây ta sẽ cùng tìm hiểu một số biện pháp có thể
thực hiện để góp phần làm giảm thiểu nguy cơ và đảm bảo ATTT cho một tổ
chức doanh nghiệp.
1.4.1. Bảo vệ thông tin về mặt vật lý
Để bảo vệ an toàn thông tin của hệ thống cần có các thiết bị và biện pháp
phòng chống các nguy cơ gây mất an toàn thông tin về khía cạnh vật lý như: Hệ
thống khóa, thiết bị lưu điện, lặp đặt hệ thống điều hòa nhiệt độ và độ ẩm. Luôn
sẵn sàng các thiết bị chữa cháy nổ, không đặt các hóa chất gần thệ thống, thường
xuyên sao lưu dữ liệu, có trung tâm dữ liệu vận hành hệ thống dự phòng. Sử
dụng các chính sách vận hành hệ thống đúng quy trình, an toàn và bảo mật.
1.4.2. Nhóm giải pháp về quản lý ATTT
Thực hiện chính sách về quản lý ATTT để toàn bộ phòng ban, cán nhân
trong tổ chức công ty doanh nghiệp, đối tác khách hàng tuân thủ thực hiện để
đảm bảo an toàn trong quá trình hoạt động vận hành khai thác hệ thống, có một
số chính sách có thể nhắc tới như:
 Thực hiện chính sách ATTT theo các bộ tiêu chuẩn quốc tế và Việt
Nam như: ISO 27001 : 2013, TCVN 27001 : 2009,…
 Chính sách an toàn đối với nhân sự trong doanh nghiệp
 Chính sách về quản lý truy cập
 Chính sách về mật khẩu
 Chính sách về sao lưu phục hồi
1.4.3. Bảo vệ nguy cơ tấn công bởi phần mềm độc hại
Microsoft và các hãng khác thường phát hành các bản cập nhật cho hệ
điều hành của họ và người dùng nên cài đặt các bản cập nhật này khi chúng có

sẵn cho máy tính của mình. Những bản cập nhật này thường bao gồm các bản
sửa lỗi có thể cải thiện tính bảo mật của hệ thống. Một số hệ điều hành cũng

10


cung cấp bản cập nhật tự động để người dùng có thể tự động nhận được các bản
cập nhật ngay sau khi chúng có sẵn.
 Luôn cập nhật máy tính và phần mềm đang dùng: Người dùng Windows
có thể cài đặt bản cập nhật bằng cách sử dụng tính năng được gọi là "Cập nhật
Windows", trong khi người dùng các sản phẩm khác có thể cài đặt bản cập nhật
bằng cách sử dụng tính năng được gọi là "Cập nhật phần mềm". Nếu người dùng
không quen với các tính năng này thì nên tìm kiếm trang web Microsoft và trang
các hãng tương ứng để biết thêm thông tin về cách cài đặt bản cập nhật hệ thống
trên máy tính của mình. Ngoài hệ điều hành của máy tính, phần mềm máy tính
cũng phải được cập nhật với phiên bản mới nhất. Phiên bản mới hơn thường chứa
bản sửa lỗi bảo mật hơn để ngăn chặn phần mềm độc hại tấn công.
 Sử dụng tài khoản không phải là quản trị bất cứ khi nào có thể: Hầu hết
các hệ điều hành đều cho phép người dùng tạo nhiều tài khoản người dùng trên
máy tính để những người dùng khác nhau có thể có các cài đặt khác nhau. Người
dùng có thể thiết lập những tài khoản này để có các cài đặt bảo mật khác nhau.
Ví dụ: tài khoản "quản trị" (hoặc "quản trị viên") thường có khả năng cài
đặt phần mềm mới, trong khi tài khoản "có giới hạn" hoặc "chuẩn" thường
không có khả năng làm như vậy. Khi duyệt web hàng ngày, bạn có thể không
cần phải cài đặt phần mềm mới, vì vậy chúng tôi khuyên bạn nên sử dụng tài
khoản người dùng "có giới hạn" hoặc "chuẩn" bất cứ khi nào có thể. Làm điều
này có thể giúp ngăn chặn phần mềm độc hại cài đặt trên máy tính của bạn và
thực hiện các thay đổi trên toàn bộ hệ thống.Hãy cân nhắc mỗi khi nhấp vào liên
kết hoặc tải bất cứ thứ gì về máy: Trong thế giới thực, hầu hết mọi người đều có
thể hơi nghi ngờ khi bước vào tòa nhà có vẻ khả nghi với bảng hiệu trưng bày

"Máy tính miễn phí!" có đèn nhấp nháy. Trên web, bạn cũng nên áp dụng mức
độ thận trọng tương tự khi truy cập vào trang web không quen thuộc tuyên bố
cung cấp những thứ miễn phí.
Tải xuống là một trong những cách chính khiến mọi người bị nhiễm phần
mềm độc hại, vì vậy, hãy nhớ suy nghĩ thật kỹ về nội dung bạn tải xuống và nơi
bạn tải xuống.
11


 Hãy thận trọng khi mở tệp đính kèm hoặc hình ảnh trong email: Người
dùng nên thận trọng nếu một người nào đó gửi cho mình email đáng ngờ có
chứa tệp đính kèm hoặc hình ảnh. Đôi khi, những email đó có thể chỉ là spam,
nhưng đôi khi, những email đó có thể bí mật chứa phần mềm độc hại gây hại.
 Sử dụng phần mềm diệt virus: Nếu bạn cần phải tải xuống mục gì đó,
bạn nên sử dụng chương trình diệt vi rút để quét phần mềm độc hại cho bản tải
xuống đó trước khi mở. Phần mềm diệt vi rút cũng cho phép quét phần mềm độc
hại trên toàn bộ máy tính của người dùng. Nên thường xuyên quét máy tính của
mình để sớm phát hiện phần mềm độc hại và ngăn chặn phần mềm độc hại đó
phát tán.
Sử dụng các công cụ quét phần mềm phá hoại là một cách hiệu quả để bảo
vệ hệ điều hành. Mặc dù chúng có thể quét hệ thống để phát hiện virus, sâu
mạng và trojan horse, nhưng chúng thường được gọi là công cụ quét virus.
1.4.4. Bảo vệ dưới dạng tấn công lỗ hổng bảo mật
Một số hệ điều hành mới thường có những lỗ hổng bảo mật truy nhập
internet hoặc các lỗi làm cho hệ thống bị các xung đột không mong muốn, làm
cho các lệnh không hoạt động bình thường và nhiều vấn đề khác.
Hiện nay nhiều kẻ xấu hay lợi dụng những lỗ hổng bảo mật để tấn công
vào các hệ thống để phá hoại hoặc lấy cắp thông tin vì vậy người dùng nên
thường xuyên cài đặt các bản cập nhật (updates) bảo vệ hệ thống của mình. Việc
cài đặt các bản cập nhật và các bản vá lỗi (patches) là cách rất hiệu quả để chống

lại các tấn công trên một hệ điều hành.
1.4.5. Bảo vệ thông tin trước nguy cơ tấn công vào mật khẩu
Sử dụng phương thức chứng thực tên truy cập và mật khẩu là phương
pháp được dùng phổ biến đối với các hệ thống vì vậy xây dựng một chính sách
sử dụng mật tốt sẽ đạt hiệu quả cao như: Tạo một quy tắc đặt mật khẩu riêng cho
mình, không nên dùng lại mật khẩu đã sử dụng, tránh những mật khẩu dễ đoán
như ngày sinh, tên người thân,… thường xuyên thay đổi mật khẩu đăng nhập hệ
thống để tránh trường hợp người dùng vô tình làm lộ mật khẩu hoặc kẻ xấu cố
tình lấy cắp mật khẩu.
12


Sử dụng các ký tự mật khẩu có tính an toàn cao như: Sử dụng mật khẩu có
độ dài đủ lớn (8 ký tự trở lên) và trong đó có sử dụng các ký tự chữ in, chữ
thường, ký tự đặc biệt, ký tự số,… Ví dụ: Thang_gv@195
1.4.6. Bảo vệ thông tin trước nguy cơ do sử dụng email
Trong thời gian gần đây virus hoành hành và tấn công vào các Email đã
trở thành vấn đề nhức nhối đối với người sử dụng và các tổ chức gây các tổn
thất nặng nề. Để đảm bảo an toàn cho Email cần có ý thức bảo vệ được máy tính
bằng việc tuân thủ các điều sau:
 Không mở bất kỳ tập tin đính kèm được gửi từ một địa chỉ e-mail mà
không biết rõ hoặc không tin tưởng.
 Không mở bất kỳ e-mail nào mà mình cảm thấy nghi ngờ, thậm chí cả
khi email này được gửi từ bạn bè hoặc đối tác bởi hầu hết virus được lan truyền
qua đường e-mail và chúng sử dụng các địa chỉ trong sổ địa chỉ (Address Book)
trong máy nạn nhân để tự phát tán. Do vậy, nếu không chắc chắn về một e-mail
nào thì hãy tìm cách xác nhận lại từ phía người gửi.
 Nên xóa các e-mail không rõ hoặc không mong muốn và không forward
(chuyển tiếp) chúng cho bất kỳ ai hoặc reply (hồi âm) lại cho người gửi. Những
e-mail này thường là thư rác (spam).

 Hãy thận trọng khi tải các tập tin từ Internet về đĩa cứng của máy tính.
Dùng một chương trình diệt virus được cập nhật thường xuyên để kiểm tra
những tập tin này. Nếu nghi ngờ về một tập tin chương trình hoặc một e-mail thì
đừng bao giờ mở nó ra hoặc tải về máy tính của mình. Cách tốt nhất trong
trường hợp này là xóa chúng hoặc không tải về máy tính của mình.
 Dùng một chương trình diệt virus tin cậy và được cập nhật thường xuyên
như Norton Anti Virus, McAffee, Trend Micro, BKAV, D32... Sử dụng những
chương trình diệt virus có thể chạy thường trú trong bộ nhớ để chúng thường
xuyên giám sát các hoạt động trên máy tính và ở chức năng quét e-mail.
1.4.7. Bảo vệ thông tin trong quá trình truyền tin
Để bảo vệ thông tin trong quá trình lưu thông và truyền tin trên mạng
thường dùng các kỹ thuật an toàn thông tin như: mã hóa, giấu tin, thủy vân số,
chữ ký số,…
13


1.4.8. Bảo vệ hệ thống bằng tường lửa (firewall)
Tường lửa có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai.
Nếu là phần cứng thì sử dụng bộ bộ định tuyến (router). Bộ định tuyến có các
tính năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP (IP
Address ố là sơ đồ địa chỉ hoá để định nghĩa các trạm (host) trong liên mạng).
Quy trình kiểm soát cho phép định ra những địa chỉ IP có thể kết nối với mạng
của tổ chức, cá nhân và ngược lại. Tính chất chung của các tường lửa là phân
biệt địa chỉ IP hay từ chối việc truy nhập không hợp pháp căn cứ trên địa chỉ
nguồn.
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa
Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên
trong (Intranet) và mạng Internet.
Kết luận: Có rất nhiều nguy cơ cũng như biện pháp đảm bảo ATTT cho
một tổ chức công ty. Nhưng sử dụng Firewall – tường lửa là biện pháp bảo mật

tối thiểu và được áp dụng rộng rãi nhất cho việc bảo vệ ATTT, tường lửa được
sử dụng từ máy tính cá nhân cho đến trường học, công ty doanh nghiệp hay một
mạng lớn như vùng, quốc gia. Trong phạm vi đề tài nghiên cứu tôi sẽ trình bày
biện pháp tường lửa để đảm bảo ATTT cho tổ chức công ty. Tìm hiểu chi tiết về
biện pháp này sẽ được trình bày trong nội dung chương 2.

14


CHƯƠNG 2: GIẢI PHÁP ATTT CHO MỘT CÔNG TY VỚI FIREWALL
Trong rất nhiều biện pháp đảm bảo ATTT cho một tổ chức công ty, trong
phạm vi tìm hiểu nghiên cứu của đồ án xin được trình bày về giải pháp sử dụng
firwall. Đây là biện pháp đảm bảo an toàn tối thiểu và phổ biến nhất trong mọi hệ
thống thông tin. Nội dung chương này sẽ tìm hiểu về bản chất của firewall, chức
năng, nguyên lý và một số mô hình triển khai cho một công ty trong thực tế.
2.1. Giới thiệu về Firewall
Các máy chủ mạng thường có nhiều lớp bảo mật để tăng cường khả năng
bảo vệ dữ liệu và thông tin. Lớp bảo vệ trong cùng là Access Right. Lớp này
kiểm soát các tài nguyên mạng (thông tin) và các quyền (những gì người dùng
có thể làm với các tài nguyên đó). Việc điều khiển này áp dụng cho các phân
vùng, thư mục và tệp. Lớp tiếp theo hạn chế quyền truy cập tài khoản bao gồm
tên người dùng và mật khẩu (Password/Login). Đây là phương pháp thường
được sử dụng để bảo vệ do tính đơn giản, tiết kiệm và hiệu quả cao. Quản trị
viên có toàn quyền kiểm soát và quản lý hoạt động của những người dùng khác.
Lớp thứ ba sử dụng một phương thức mã hóa dữ liệu (Data Encryption). Dữ
liệu được mã hóa với một thuật toán nhất định để ngay cả trong trường hợp mất
dữ liệu, tin tặc sẽ không thể đọc nó mà không có khóa mã hóa. Lớp ngoài cùng
(Firewall) ngăn chặn sự xâm nhập, lọc các gói thông tin gửi đi hoặc gửi đến
không mong muốn. Vậy Firewall là gì?


Hình 2. 1: Các lớp an toàn mạng
15


×