Bài giảng Mạng máy tính và truyền thông: Chương 3
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.63 MB, 36 trang )
Chương 3
Gia cố hệ thống
• Khái niệm
• Gia cố hệ điều hành và hệ điều hành mạng
• Gia cố ứng dụng mạng
• Chính sách an ninh
• Các bước điều tra xâm nhập
Bộ môn MMT&TT
14/05/2010
1
Mục tiêu
• Cung cấp cho người học một cái nhìn tổng quan các kỹ
thuật sử dụng trong gia cố hệ thống nhằm ngăn chặn
các cuộc tấn công.
• Sau khi hoàn tất chương, sinh viên có những khả năng:
▫ Hiểu được thế nào là gia cố hệ thống.
▫ Phân loại được gia cố hệ điều hành và hệ điều hành mạng.
▫ Trình bày được các kỹ thuật gia cố ứng dụng và dịch vụ mạng.
▫ Hiểu được cách tổ chức chính sách an ninh mạng.
▫ Mô tả được các bước điều tra xâm nhập.
Bộ môn MMT&TT
14/05/2010
2
Khái niệm về gia cố hệ thống
• Gia cố hệ thống (system hardening)
Gia
Gia cố
cố hệ
hệ thống
thống là
là quá
quá trình
trình làm
làm cho
cho
hệ
hệ thống
thống máy
máy tính
tính và
và hệ
hệ thống
thống mạng
mạng
vững
vững chắc
chắc hơn,
hơn, khó
khó bị
bị tấn
tấn công
công hơn.
hơn.
Làm
Làm cho
cho kẻ
kẻ xâm
xâm nhập
nhập bỏ
bỏ ýý
định
định tấn
tấn công
công để
để chuyển
chuyển qua
qua
11 mục
mục tiêu
tiêu khác
khác dễ
dễ dàng
dàng hơn
hơn
Các
Các đối
đối tượng
tượng cần
cần phải
phải gia
gia cố
cố bao
bao gồm:
gồm:
•• Hệ
Hệ điều
điều hành
hành
•• Hệ
Hệ điều
điều hành
hành mạng
mạng
•• Ứng
Ứng dụng
dụng mạng
mạng
Bộ môn MMT&TT
14/05/2010
3
Gia cố hệ điều hành và HĐH mạng
• Khái niệm
Quá
Quá trình
trình gia
gia cố
cố cơ
cơ sở
sở hạ
hạ tầng
tầng
mạng
mạng và
và cài
cài đặt
đặt các
các chính
chính sách
sách
bảo
bảo mật
mật sẽ
sẽ cung
cung cấp
cấp các
các tầng
tầng
bảo
bảo vệ
vệ để
để chống
chống lại
lại các
các tội
tội phạm
phạm
tin
tin học
học cùng
cùng với
với các
các hệ
hệ thống
thống
phát
phát hiện
hiện xâm
xâm nhập
nhập giúp
giúp bảo
bảo
đảm
đảm những
những thiệt
thiệt hại
hại khi
khi bị
bị tấn
tấn
công
công xuống
xuống mức
mức thấp
thấp nhất.
nhất.
Các
Các vấn
vấn đề
đề cần
cần quan
quan tâm
tâm trong
trong gia
gia cố
cố HĐH:
HĐH:
•• Hệ
Hệ thống
thống tập
tập tin
tin
•• Update
Update
•• Hotfix
Hotfix
•• Service
Service pack
pack
•• Patch
Patch
Bộ môn MMT&TT
14/05/2010
4
Gia cố hệ điều hành và HĐH mạng
• Hệ thống tập tin
Người
Người dùng
dùng chỉ
chỉ được
được cấp
cấp các
các
quyền
quyền ítít nhất
nhất sao
sao cho
cho vừa
vừa đủ
đủ có
có
thể
thể hoàn
hoàn thành
thành được
được công
công việc
việc của
của
họ
họ
•• Nhóm
Nhóm các
các người
người dùng
dùng có
có cùng
cùng các
các yêu
yêu
cầu
cầu truy
truy cập
cập vào
vào cùng
cùng 11 nhóm.
nhóm.
•• Định
Định quyền
quyền cho
cho nhóm.
nhóm.
•• Hiệu
Hiệu chỉnh
chỉnh các
các quyền
quyền riêng
riêng cho
cho cá
cá nhân
nhân
Sau
Sau khi
khi xác
xác định
định được
được những
những rủi
rủi ro
ro từ
từ các
các
phương
phương thức
thức truy
truy cập
cập nào
nào đó,
đó, người
người quản
quản
trị
sẽ
thiết
lập
các
chính
sách
điều
khiển
trị sẽ thiết lập các chính sách điều khiển
truy
truy cập
cập và
và những
những loại
loại chứng
chứng thực
thực nào
nào
cho
cho hệ
hệ thống
thống để
để truy
truy cập
cập được
được các
các tài
tài
nguyên
nguyên được
được bảo
bảo vệ
vệ đó.
đó.
Bộ môn MMT&TT
14/05/2010
5
Gia cố hệ điều hành và HĐH mạng
• Bản cập nhật (Update)
•• Cung
Cung cấp
cấp bởi
bởi chính
chính những
những nhà
nhà sản
sản
xuất
xuất ra
ra hệ
hệ điều
điều hành.
hành.
•• Truy
Truy cập
cập từ
từ Website
Website của
của nhà
nhà sản
sản xuất
xuất
•• Chứa
Chứa những
những nâng
nâng cấp
cấp hệ
hệ điều
điều hành
hành
hay
hay các
các thành
thành phần
phần trong
trong hệ
hệ điều
điều hành.
hành.
•• Nâng
Nâng cao
cao khả
khả năng
năng hoạt
hoạt động
động
•• Bổ
Bổ sung
sung thêm
thêm một
một tính
tính năng
năng
mới
mới của
của hệ
hệ điều
điều hành
hành
• Trước tiên, phải kiểm tra ảnh hưởng
của nó đến hệ thống.
• Kiểm tra toàn diện trở lại sau khi cài
đặt xem có ẩn chứa những vấn đề
bảo mật mới không.
Phân
Phân biệt
biệt với
với Upgrade
Upgrade
•• Update:
Update: sửa
sửa đổi,
đổi, thay
thay thế,
thế, …
… =>
=> miễn
miễn phí
phí
•• Upgrade:
Upgrade: bổ
bổ sung,
sung, thêm
thêm mới
mới =>
=> tính
tính phí
phí
Bộ môn MMT&TT
14/05/2010
6
Gia cố hệ điều hành và HĐH mạng
• Bản sửa lỗi (Hotfixes)
•• Thường
Thường được
được dùng
dùng để
để chỉnh
chỉnh sửa
sửa 11 số
số các
các vấn
vấn đề
đề
xảy
xảy ra
ra trên
trên 11 số
số lượng
lượng ítít các
các máy
máy trạm
trạm hay
hay server.
server.
•• Thường
Thường được
được cung
cung cấp
cấp từ
từ những
những nhà
nhà sản
sản xuất
xuất
phần
phần cứng
cứng để
để điều
điều chỉnh
chỉnh 11 số
số không
không tương
tương thích.
thích.
•• Có
Có thể
thể được
được cài
cài đặt
đặt mà
mà không
không cần
cần phải
phải
làm
làm gián
gián đoạn
đoạn quá
quá trình
trình hoạt
hoạt động
động của
của hệ
hệ
thống.
thống.
•• Chỉ
Chỉ được
được kiểm
kiểm thử
thử trên
trên 11 số
số ítít thiết
thiết bị
bị nên
nên
có
có khả
khả năng
năng không
không hoạt
hoạt động
động tốt
tốt trên
trên các
các
thiết
thiết bị
bị khác.
khác.
Bộ môn MMT&TT
Khi
Khi thật
thật cần
cần thiết,
thiết, mới
mới
nên
nên cài
cài đặt
đặt Hotfix
Hotfix vào
vào
hệ
hệ thống
thống
14/05/2010
7
Gia cố hệ điều hành và HĐH mạng
• Bản vá lỗi (patches)
•• Các
Các bản
bản vá
vá lỗi
lỗi được
được tạo
tạo ra
ra đa
đa số
số có
có liên
liên
quan
quan đến
đến vấn
vấn đề
đề an
an toàn
toàn cho
cho hệ
hệ thống.
thống.
•• Chúng
Chúng thường
thường được
được nhóm
nhóm lại
lại với
với nhau
nhau để
để
vá
vá lỗi
lỗi cho
cho một
một nhóm
nhóm các
các vấn
vấn đề
đề cùng
cùng 11 lúc.
lúc.
•• Dùng
Dùng để
để chỉnh
chỉnh sửa
sửa tạm
tạm thời
thời
•• Bỏ
Bỏ qua
qua 11 số
số phần
phần lỗi
lỗi của
của 11 ứng
ứng dụng
dụng
•• Giải
Giải quyết
quyết nhanh
nhanh các
các vấn
vấn đề
đề cụ
cụ thể
thể
trong
trong hệ
hệ điều
điều hành.
hành.
Không
Không được
được kiểm
kiểm thử
thử
kéo
kéo dài
dài và
và triển
triển khai
khai
trên
trên nhiều
nhiều hệ
hệ thống
thống
Service
Service Pack:
Pack: tập
tập hợp
hợp của
của
nhiều
nhiều patch,
patch, hotfix,
hotfix, update,
update, …
…
Bộ môn MMT&TT
•• Không
Không an
an toàn
toàn như
như cài
cài đặt
đặt
các
các bản
bản cập
cập nhật
nhật
•• Nên
Nên backup
backup lại
lại các
các file
file
gốc
gốc trước
trước khi
khi cài
cài đặt
đặt bản
bản vá
vá
14/05/2010
8
Gia cố ứng dụng mạng
• Khái niệm
Rất
Rất nhiều
nhiều hệ
hệ điều
điều hành
hành rất
rất an
an
toàn
toàn nhưng
nhưng khi
khi kết
kết hợp
hợp với
với
các
các dịch
dịch vụ
vụ mạng
mạng phải
phải đối
đối mặt
mặt
với
với các
các vấn
vấn đề
đề bảo
bảo mật
mật
Ứng
Ứng dụng
dụng mạng
mạng là
là các
các mục
mục tiêu
tiêu được
được hacker
hacker quan
quan tâm
tâm
nhiều
nhiều nhất
nhất tùy
tùy thuộc
thuộc vào
vào các
các điểm
điểm yếu
yếu được
được công
công bố
bố và
và
tính
tính thông
thông dụng
dụng của
của ứng
ứng dụng
dụng đó
đó
Bộ môn MMT&TT
14/05/2010
9
Gia cố ứng dụng mạng
• Web Server
•• Hacker
Hacker rất
rất quan
quan tâm
tâm đến
đến sự
sự hiện
hiện diện
diện của
của các
các
website
website và
và hiểu
hiểu rất
rất rõ
rõ cách
cách thức
thức hoạt
hoạt động
động của
của
các
các webserver.
webserver.
•• Đôi
Đôi khi
khi đây
đây là
là điểm
điểm duy
duy nhất
nhất mà
mà hacker
hacker có
có thể
thể
tấn
tấn công
công vào
vào mạng.
mạng.
Các
Các bước
bước gia
gia cố
cố cho
cho WebServer:
WebServer:
•• Gia
Gia cố
cố cho
cho hệ
hệ điều
điều hành
hành trước:
trước: cài
cài đặt
đặt các
các bản
bản cập
cập nhật,
nhật, vá
vá lỗi,
lỗi, gỡ
gỡ bỏ
bỏ các
các dịch
dịch
vụ
vụ và
và giao
giao thức
thức không
không cần
cần thiết.
thiết.
•• Đặt
Đặt Website
Website phía
phía sau
sau một
một hàng
hàng rào
rào chắn
chắn bảo
bảo vệ
vệ như
như tường
tường lửa
lửa hay
hay proxy
proxy
•• Gia
Gia cố
cố cho
cho chính
chính WebServer
WebServer và
và Website
Website đó
đó
oo Kiểm
Kiểm tra
tra các
các quyền
quyền của
của tài
tài khoản
khoản anonymous
anonymous nối
nối kết
kết đến
đến Web
Web Server.
Server.
oo Nên
Nên tạo
tạo các
các tài
tài khoản
khoản riêng
riêng dùng
dùng cho
cho các
các thao
thao tác
tác quan
quan trọng
trọng trên
trên web.
web.
oo Chuyển
Chuyển qua
qua chứng
chứng thực
thực bằng
bằng SSL
SSL (nếu
(nếu cần).
cần).
Bộ môn MMT&TT
14/05/2010
10
Gia cố ứng dụng mạng
• Mail Server
Mail Server
Server có
có thể
thể bị
bị các
các
dạng
dạng tấn
tấn công
công như:
như: DoS,
DoS,
virus,
virus, tấn
tấn công
công giả
giả mạo
mạo
và
và tấn
tấn công
công relay.
relay.
Các
Các bước
bước để
để gia
gia cố
cố cho
cho Mail
Mail Server:
Server:
•• Cài
Cài đặt
đặt chương
chương trình
trình diệt
diệt virus
virus dành
dành riêng
riêng cho
cho Server
Server
•• Không
Không cài
cài đặt
đặt các
các dịch
dịch vụ
vụ và
và ứng
ứng dụng
dụng mạng
mạng nào
nào khác
khác trên
trên Server.
Server.
•• Kiểm
Kiểm soát
soát chặt
chặt chẽ
chẽ các
các quyền
quyền admin
admin và
và quyền
quyền truy
truy xuất
xuất hệ
hệ thống
thống
•• Relay
Relay Server
Server cấu
cấu hình
hình chỉ
chỉ cho
cho phép
phép các
các người
người dùng
dùng hợp
hợp lệ
lệ gửi
gửi mail
•• Cài
Cài đặt
đặt bộ
bộ lọc
lọc spam
spam và
và chống
chống DoS
DoS
•• Cấu
Cấu hình
hình cơ
cơ chế
chế chống
chống Bomb-mail
Bomb-mail :: số
số lượng,
lượng, kích
kích thước,
thước, khoảng
khoảng
thời
thời gian
gian để
để gửi
gửi email,
email, …
…
•• Đảm
Đảm bảo
bảo webserver
webserver hỗ
hỗ trợ
trợ webmail
webmail phải
phải an
an toàn
toàn (được
(được gia
gia cố).
cố).
Bộ môn MMT&TT
14/05/2010
11
Gia cố ứng dụng mạng
• FTP Server
FTP
FTP là
là 11 giao
giao thức
thức không
không an
an toàn
toàn
vì
vì nó
nó gửi
gửi tất
tất cả
cả thông
thông tin
tin chứng
chứng
thực
thực trên
trên mạng
mạng là
là dạng
dạng plain-text.
plain-text.
Các
Các bước
bước để
để gia
gia cố
cố cho
cho FTP
FTP Server:
Server:
•• Cấu
Cấu hình
hình cẩn
cẩn thận
thận tài
tài khoản
khoản vô
vô danh
danh (anonymous)
(anonymous)
•• Tài
Tài khoản
khoản FTP
FTP và
và tài
tài khoản
khoản người
người dùng
dùng (trên
(trên HĐH)
HĐH) nên
nên tách
tách biệt.
biệt.
•• Cô
Cô lập
lập đĩa
đĩa phục
phục vụ
vụ FTP
FTP riêng
riêng với
với đĩa
đĩa chứa
chứa hệ
hệ thống
thống file
file hệ
hệ thống
thống và
và
các
các dữ
dữ liệu
liệu quan
quan trọng
trọng khác.
khác.
•• FTP
FTP Server
Server hoạt
hoạt động
động tại
tại vùng
vùng DMZ:
DMZ:
oo Có
Có khả
khả năng
năng bị
bị tấn
tấn công
công từ
từ chính
chính người
người dùng
dùng bên
bên trong
trong mạng.
mạng.
oo Nên
Nên có
có cơ
cơ chế
chế kiểm
kiểm soát
soát và
và phòng
phòng ngừa
ngừa việc
việc tấn
tấn công
công trở
trở lại
lại
mạng
mạng cục
cục bộ
bộ khi
khi FTP
FTP Server
Server bị
bị thâm
thâm nhập.
nhập.
•• Kiểm
Kiểm tra
tra thường
thường xuyên
xuyên log
log file
file và
và vùng
vùng đĩa
đĩa cho
cho phép
phép Upload.
Upload.
Bộ môn MMT&TT
14/05/2010
12
Gia cố ứng dụng mạng
• DNS Server
Một
Một trong
trong những
những cách
cách tấn
tấn công
công
là
là tấn
tấn công
công DNS
DNS Server
Server để
để
đánh
đánh lừa
lừa người
người dùng
dùng truy
truy cập
cập
qua
qua 11 địa
địa chỉ
chỉ giả
giả mạo
mạo khác
khác
gia
gia cố
cố hệ
hệ điều
điều hành
hành mạng
mạng trước
trước rồi
rồi sau
sau đó
đó mới
mới đến
đến
gia
gia cố
cố chính
chính bản
bản thân
thân của
của dịch
dịch vụ
vụ DNS
DNS
Các
Các bước
bước để
để gia
gia cố
cố cho
cho DNS
DNS Server:
Server:
•• Tách
Tách biệt
biệt hệ
hệ thống
thống tên
tên miền
miền Internet
Internet và
và hệ
hệ thống
thống miền
miền cục
cục bộ
bộ
phục
phục vụ
vụ cho
cho mạng
mạng LAN.
LAN.
•• Bảo
Bảo đảm
đảm các
các cập
cập nhật
nhật giữa
giữa những
những DNS
DNS Server
Server phải
phải nằm
nằm
trong
trong vùng
vùng (zone)
(zone) được
được kiểm
kiểm soát.
soát.
•• Người
Người dùng
dùng gửi
gửi các
các yêu
yêu cầu
cầu DNS
DNS cũng
cũng phải
phải giới
giới hạn
hạn trong
trong
vùng
vùng cho
cho phép
phép thông
thông qua
qua ACL.
ACL.
•• Yêu
Yêu cầu
cầu các
các DNS
DNS Server
Server chứng
chứng thực
thực lẫn
lẫn nhau
nhau trước
trước khi
khi chấp
chấp
nhận
nhận các
các thông
thông tin
tin cập
cập nhật.
nhật.
Bộ môn MMT&TT
14/05/2010
13
Gia cố ứng dụng mạng
• Server phục vụ chia sẻ file và máy in
Đôi
Đôi khi
khi người
người dùng
dùng không
không quản
quản lý
lý được
được việc
việc
chia
chia sẻ
sẻ của
của mình
mình và
và tạo
tạo cho
cho người
người khác
khác có
có
thể
thể xâm
xâm nhập
nhập và
và lợi
lợi dụng
dụng việc
việc truy
truy xuất
xuất đó
đó
Khi
Khi chia
chia sẻ,
sẻ, dịch
dịch vụ
vụ sẽ
sẽ tự
tự động
động thực
thực hiện
hiện trên
trên tất
tất cả
cả các
các card
card
mạng
mạng của
của Server
Server =>
=> người
người dùng
dùng ở
ở ngoài
ngoài sẽ
sẽ “thấy”
“thấy” các
các tài
tài
nguyên
nguyên đó
đó như
như người
người dùng
dùng cục
cục bộ
bộ bên
bên trong
trong mạng.
mạng.
Các
Các đề
đề nghị
nghị việc
việc gia
gia cố
cố ::
•• Tạo
Tạo ra
ra Server
Server chuyên
chuyên dụng
dụng để
để phục
phục vụ
vụ
•• Thực
Thực hiện
hiện chia
chia sẻ
sẻ tài
tài nguyên
nguyên chính
chính xác.
xác.
•• Bảo
Bảo mật
mật địa
địa chỉ
chỉ của
của Server
Server
Bộ môn MMT&TT
Nên
Nên tắt
tắt dịch
dịch vụ
vụ này
này trên
trên
Server
Server và
và máy
máy trạm
trạm
nếu
nếu không
không sử
sử dụng.
dụng.
14/05/2010
14
Gia cố ứng dụng mạng
• DHCP Server
Thực
Thực hiện
hiện việc
việc dành
dành chổ
chổ
sẵn
sẵn (reservation)
(reservation) và
và tạo
tạo bộ
bộ
lọc
lọc dựa
dựa theo
theo địa
địa chỉ
chỉ MAC
MAC
của
của các
các Client.
Client.
Bộ môn MMT&TT
Hạn
Hạn chế
chế được
được các
các máy
máy tính
tính
trái
trái phép
phép thâm
thâm nhập
nhập vào
vào mạng
mạng
(nhất
(nhất là
là trong
trong mạng
mạng WLAN).
WLAN).
14/05/2010
15
Gia cố ứng dụng mạng
• Database Server
Mỗi
Mỗi loại
loại database
database chạy
chạy trên
trên các
các nền
nền hệ
hệ điều
điều
hành
hành khác
khác nhau,
nhau, sử
sử dụng
dụng các
các port
port khác
khác nhau
nhau
và
và có
có những
những nguy
nguy cơ
cơ bảo
bảo mật
mật khác
khác nhau
nhau
•• Cấu
Cấu hình
hình đúng
đúng dịch
dịch vụ
vụ
•• Mật
Mật khẩu
khẩu phải
phải đủ
đủ khó
khó
•• Bản
Bản vá,
vá, bản
bản cập
cập nhật
nhật phải
phải
luôn
luôn được
được quan
quan tâm.
tâm.
Bộ môn MMT&TT
•• Backup
Backup lại
lại dữ
dữ liệu
liệu định
định kỳ
kỳ
•• Đường
Đường truyền
truyền trong
trong giao
giao tiếp
tiếp với
với
Webserver,
Webserver, Application
Application Server
Server phải
phải
được
được xem
xem xét
xét cẩn
cẩn thận
thận
14/05/2010
16
Chính sách an ninh mạng
• Khái niệm
Chính
Chính sách
sách an
an ninh
ninh mạng
mạng (network
(network security
security policies)
policies)
quy
quy định
định những
những thao
thao tác
tác nào
nào trên
trên mạng
mạng được
được xem
xem là
là đúng.
đúng.
Chính
Chính sách
sách an
an ninh
ninh mạng
mạng
bao
bao gồm
gồm tập
tập các
các quy
quy tắc
tắc
những
những thao
thao tác
tác cho
cho phép
phép
và
và không
không cho
cho phép.
phép.
Được
Được chuẩn
chuẩn hóa
hóa trong
trong các
các
RFC
RFC như
như 2504,
2504, 2196,
2196, …
…
Việc
Việc xây
xây dựng
dựng chính
chính sách
sách an
an ninh
ninh của
của một
một tổ
tổ chức
chức (công
(công ty)
ty)
nên
nên dựa
dựa theo
theo những
những chính
chính sách
sách an
an ninh
ninh chuẩn
chuẩn như
như sau:
sau:
•• Chính
Chính sách
sách giới
giới hạn
hạn truy
truy cập
cập
•• Chính
Chính sách
sách an
an ninh
ninh cho
cho máy
máy trạm
trạm
•• Chính
Chính sách
sách an
an ninh
ninh vật
vật lý
lý
•• và
và các
các chính
chính sách
sách an
an ninh
ninh khác
khác …
…
Bộ môn MMT&TT
14/05/2010
17
Chính sách an ninh mạng
• Chính sách giới hạn truy cập (restricted access)
Mỗi
Mỗi nhân
nhân viên
viên chỉ
chỉ có
có thể
thể thực
thực
hiện
hiện được
được các
các truy
truy cập
cập tối
tối thiểu
thiểu
theo
theo yêu
yêu cầu
cầu công
công việc
việc của
của mình.
mình.
Khi
Khi có
có quyền
quyền hơn
hơn thế
thế sẽ
sẽ tạo
tạo ra
ra
các
các rủi
rủi ro
ro về
về bảo
bảo mật.
mật.
Các
Các chính
chính sách
sách an
an ninh
ninh giới
giới hạn
hạn truy
truy cập
cập có
có thể
thể bao
bao gồm
gồm các
các vấn
vấn đề
đề như:
như:
•Hạn
•Hạn chế
chế truy
truy cập
cập vào
vào hệ
hệ thống
thống file
file hay
hay dữ
dữ liệu
liệu trên
trên Server
Server cục
cục bộ.
bộ.
•• Hạn
Hạn chế
chế truy
truy cập
cập Internet:
Internet: yêu
yêu cầu
cầu tài
tài khoản
khoản và
và mật
mật khẩu.
khẩu.
•• Giới
Giới hạn
hạn truy
truy cập
cập vào
vào hệ
hệ thống
thống VPN:
VPN: đòi
đòi hỏi
hỏi username,
username, số
số PIN,
PIN, số
số của
của token
token
được
được cung
cung cấp,
cấp, ...
...
•• Thường
Thường sử
sử dụng
dụng đến
đến các
các điều
điều khiển
khiển truy
truy cập.
cập.
•• Giới
Giới hạn
hạn truy
truy cập
cập không
không chỉ
chỉ về
về dữ
dữ liệu
liệu mà
mà áp
áp dụng
dụng cho
cho cả
cả về
về con
con người.
người.
Bộ môn MMT&TT
14/05/2010
18
Chính sách an ninh mạng
• Chính sách an ninh cho máy trạm (workstation
security policies)
Máy
Máy trạm
trạm là
là 11 máy
máy tính
tính nối
nối kết
kết
đến
đến mạng
mạng và
và sử
sử dụng
dụng các
các tài
tài
nguyên
nguyên của
của mạng.
mạng.
Các
Các chính
chính sách
sách an
an ninh
ninh cho
cho máy
máy trạm
trạm có
có thể
thể bao
bao gồm
gồm các
các vấn
vấn đề
đề như:
như:
•• Lưu
Lưu trữ
trữ file
file trên
trên máy
máy tính
tính và
và copy
copy dữ
dữ liệu
liệu ra
ra thiết
thiết bị
bị lưu
lưu trữ
trữ ngoài.
ngoài.
•• Thay
Thay đổi
đổi cấu
cấu hình,
hình, giao
giao thức
thức mạng,
mạng, cài
cài đặt
đặt phần
phần mềm,
mềm, …
…
•• Tài
Tài khoản
khoản người
người dùng
dùng cục
cục bộ
bộ và
và quyền
quyền của
của người
người dùng.
dùng.
•• Việc
Việc sử
sử dụng
dụng các
các thiết
thiết bị
bị di
di động
động và
và cầm
cầm tay
tay mang
mang vào
vào cơ
cơ quan.
quan.
Bộ môn MMT&TT
14/05/2010
19
Chính sách an ninh mạng
• Chính sách an ninh vật lý (physical security)
Giới
Giới hạn
hạn các
các truy
truy cập
cập vật
vật lý
lý trực
trực tiếp,
tiếp,
hạn
hạn chế
chế những
những nguy
nguy cơ
cơ xảy
xảy ra.
ra.
Các
Các chính
chính sách
sách an
an ninh
ninh vật
vật lý
lý có
có thể
thể bao
bao gồm
gồm các
các thành
thành phần
phần như:
như:
•• Địa
Địa điểm:
điểm: phòng
phòng Server,
Server, phòng
phòng thí
thí nghiệm,
nghiệm, ...
...
•• Tài
Tài sản:
sản: phần
phần cứng,
cứng, phần
phần mềm,
mềm, dữ
dữ liệu,
liệu, thiết
thiết bị,
bị, …
…
•• Mức
Mức độ
độ an
an toàn:
toàn: tủ
tủ bảo
bảo vệ,
vệ, khóa,
khóa, loại
loại chứng
chứng thực,
thực, …
…
•• Thủ
Thủ tục
tục chứng
chứng thực:
thực: ai
ai cần
cần chứng
chứng thực,
thực, chứng
chứng thực
thực như
như thế
thế nào
nào ,, …
…
•• Giám
Giám sát
sát và
và ghi
ghi nhận:
nhận: ai
ai ở
ở địa
địa điểm
điểm này
này vào
vào thời
thời gian
gian nào.
nào.
Bộ môn MMT&TT
14/05/2010
20
Chính sách an ninh mạng
• Các bước để xây dựng các chính sách an ninh
Phân
Phân tích
tích rủi
rủi ro
ro là
là bước
bước đầu
đầu
tiên
tiên phải
phải thực
thực hiện
hiện trong
trong việc
việc
xây
xây dựng
dựng các
các chính
chính sách
sách an
an
ninh
ninh mạng.
mạng.
Các
Các thành
thành phần
phần
trong
trong chính
chính sách
sách
an
an ninh
ninh mạng
mạng
Một
Một số
số chính
chính sách
sách an
an
ninh
ninh mạng
mạng thông
thông dụng
dụng
Bộ môn MMT&TT
14/05/2010
21
Chính sách an ninh mạng
• Các thành phần trong chính sách an ninh mạng
Quan
Quan tâm
tâm xứng
xứng đáng
đáng (due
(due care)
care)
Người
Người chủ
chủ và
và người
người quản
quản lý
lý tài
tài sản
sản
phải
phải có
có nghĩa
nghĩa vụ
vụ quan
quan tâm
tâm đến
đến tài
tài
sản
sản đó
đó và
và có
có những
những biện
biện pháp
pháp phòng
phòng
ngừa
ngừa để
để bảo
bảo vệ
vệ chúng.
chúng.
•• Sử
Sử dụng
dụng cẩn
cẩn thận
thận thiết
thiết bị,
bị, dữ
dữ liệu,
liệu, phần
phần mềm,
mềm, …
… tránh
tránh gây
gây ra
ra hư
hư hỏng
hỏng
hay
hay tạo
tạo các
các lổ
lổ hổng
hổng để
để bị
bị xâm
xâm nhập.
nhập.
•• Bảo
Bảo dưỡng
dưỡng thiết
thiết bị
bị định
định kỳ,
kỳ, sao
sao lưu
lưu dữ
dữ liệu
liệu thường
thường xuyên
xuyên
•• Giám
Giám sát
sát và
và ghi
ghi nhận
nhận các
các sự
sự kiện
kiện xảy
xảy ra
ra trên
trên hệ
hệ thống
thống để
để có
có thể
thể dự
dự đoán,
đoán,
phân
phân tích
tích và
và phát
phát hiện
hiện các
các tấn
tấn công
công hay
hay xâm
xâm nhập.
nhập.
•• Không
Không để
để hacker
hacker chiếm
chiếm quyền
quyền điều
điều khiển
khiển hệ
hệ thống
thống và
và dùng
dùng nó
nó tấn
tấn công
công
một
một hệ
hệ thống
thống khác
khác trên
trên mạng
mạng vì
vì như
như vậy
vậy cũng
cũng xem
xem như
như mình
mình vi
vi phạm.
phạm.
Bộ môn MMT&TT
14/05/2010
22
Chính sách an ninh mạng
• Các thành phần trong chính sách an ninh mạng
Sự
Sự riêng
riêng tư
tư (privacy)
(privacy)
Người
Người quản
quản trị
trị và
và đội
đội ngũ
ngũ quản
quản lý
lý có
có quyền
quyền sử
sử dụng
dụng các
các phần
phần mềm
mềm
để
để giám
giám sát
sát trên
trên hệ
hệ thống
thống mạng
mạng bao
bao gồm
gồm cả
cả những
những thông
thông tin
tin riêng
riêng tư
tư
(như
(như nội
nội dung
dung email,
email, các
các địa
địa chỉ
chỉ Web
Web đã
đã truy
truy cập)
cập) mà
mà người
người dùng
dùng sử
sử
dụng
dụng trên
trên mạng
mạng của
của công
công ty,
ty, tổ
tổ chức.
chức.
Bộ môn MMT&TT
14/05/2010
23
Chính sách an ninh mạng
• Các thành phần trong chính sách an ninh mạng
Tách
Tách biệt
biệt phận
phận sự
sự
(separation
(separation of
of duties)
duties)
•• Các
Các quyền
quyền được
được cấp
cấp sẽ
sẽ phụ
phụ
thuộc
thuộc vào
vào vai
vai trò
trò và
và phận
phận sự
sự
của
của người
người và
và nhóm
nhóm người
người đó.
đó.
•• Mỗi
Mỗi người
người sẽ
sẽ chịu
chịu trách
trách
nhiệm
nhiệm cho
cho phần
phần việc
việc của
của mình.
mình.
Win2000
Win2000 và
và Win2003
Win2003 sử
sử
dụng
dụng Active
Active Directory
Directory để
để cho
cho
phép
phân
chia
phận
sự
cho
phép phân chia phận sự cho
những
những người
người quản
quản trị
trị mạng.
mạng.
Bộ môn MMT&TT
Nếu
Nếu có
có vấn
vấn đề
đề xảy
xảy ra,
ra, có
có
thể
thể dễ
dễ phát
phát hiện
hiện và
và
khoanh
khoanh vùng
vùng để
để xử
xử lý
lý
14/05/2010
24
Chính sách an ninh mạng
• Các thành phần trong chính sách an ninh mạng
Cần
Cần biết
biết
(need
(need to
to know)
know)
Dữ
Dữ liệu
liệu được
được phân
phân loại
loại
và
và cung
cung cấp
cấp vừa
vừa đủ
đủ cho
cho
đối
đối tượng
tượng cần
cần phải
phải biết
biết
để
để thực
thực hiện
hiện được
được công
công
việc
việc của
của mình.
mình.
Win2003
Win2003 khi
khi cài
cài đặt
đặt là
là 11 hệ
hệ
thống
thống “đóng”.
“đóng”. Người
Người quản
quản trị
trị
sẽ
được
yêu
cầu
xác
định
sẽ được yêu cầu xác định
các
các nhu
nhu cầu
cầu của
của người
người dùng
dùng
và
và sau
sau đó
đó mới
mới cho
cho phép
phép truy
truy
cập.
cập.
Bộ môn MMT&TT
14/05/2010
25
