Tải bản đầy đủ (.pdf) (22 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Tóm tắt luận văn Thạch sĩ Công nghệ thông tin: Xây dựng phương pháp thu thập và phân tích số liệu lỗi cấu hình mạng máy tính

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.11 MB, 22 trang )

0
MỤC LỤC

1. Tổ ng quan về an toàn thông tin.......................................................................................... 1
1.1 Ta ̣i sao cầ n bảo đảm an toàn thông tin? ............................................................................ 1
1.2 Mu ̣c tiêu của an toàn thông tin.......................................................................................... 1
1.3 Các nô ̣i dung an toàn thông tin. ........................................................................................ 1
2. Phân tích tin
̀ h hin
̀ h an toàn thông tin ta ̣i Viêṭ Nam năm 2015 ........................................ 2
2.1 Các chỉ số an toàn thông tin .............................................................................................. 2
2.2 Các hình thức tấn công mạng khai thác lỗi cấ u hình. ...................................................... 2
2.3 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng do lỗi cấ u hiǹ h. ................................................... 3
2.4. Tầ m quan tro ̣ng của viê ̣c quản lý cấ u hiǹ h. ..................................................................... 3
3. Vấ n đề quản lý cấ u hin
̣ ̣ng doanh nghiêp̣ ...................................................... 4
̀ h thiế t bi ma
3.1 Mu ̣c tiêu và pha ̣m vi nghiên cứu....................................................................................... 4
3.2 Khái niê ̣m lỗi cấ u hiǹ h an ninh ......................................................................................... 4
3.3 Khái niê ̣m về đường cơ sở an ninh (Security Baseline) ................................................... 5
3.4 Khái niê ̣m gia cố thiế t bi ̣(device hardening) .................................................................... 5
3.5 Khảo sát mô ̣t ma ̣ng máy tiń h điể n hiǹ h trong doanh nghiê ̣p. ........................................... 5
3.6 Những lỗi quản tri ̣viên gă ̣p phải khi cấ u hình hê ̣ thố ng ma ̣ng ......................................... 6
3.6.1 Các lỗi liên quan đế n cấ u hình quản lý thiế t bi ..........................................................
6
̣
3.6.2 Các lỗi cấ u hiǹ h trên thiế t bi ̣tầ ng truy nhâ ̣p .............................................................. 7
3.6.3 Các lỗi cấ u hiǹ h trên thiế t bi ̣tầ ng phân phố i và tầ ng lõi ............................................ 8
4. Phương pháp thu thâ ̣p cấ u hin
̣ ̣ng ...................................................... 9
̀ h từ các thiế t bi ma


4.1 Yêu cầ u của viê ̣c thu thâ ̣p số liê ̣u cấ u hiǹ h ....................................................................... 9
4.2 Chuẩ n bi ̣về con người, quy triǹ h, phầ n cứng, phầ n mề m, dữ liê ̣u ................................... 9
4.2 Cách copy cấ u hình về máy chủ ....................................................................................... 9
4.2.1 Quy đinh
̣ về đă ̣t tên file cấ u hình. ............................................................................ 10
4.2.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi ̣lớn....................................................... 10
4.3. Kiể m tra các file cấ u hình thu thâ ̣p đươ ̣c ....................................................................... 10
5. Phương pháp đánh giá cấ u hin
̣ ̣ng ......................................... 10
̀ h an ninh trên thiế t bi ma
5.1 Phương pháp chung để đánh giá cấ u hiǹ h an ninh ......................................................... 10
5.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 .......................................................... 11
5.3 Đánh giá lỗi cấu hình quản lý ......................................................................................... 14
5.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập .................................................................. 15
5.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối và tầng core ............................................ 17
5.5 Xuấ t báo cáo đường cơ sở an ninh .................................................................................. 18
5.6 Những vấ n đề đa ̣t đươ ̣c của luâ ̣n văn và những tồ n ta ̣i ................................................... 19
6. Kế t luâ ̣n .............................................................................................................................. 20
TÀ I LIỆU THAM KHẢO..................................................................................................... 21


1
1. Tổ ng quan về an toàn thông tin1
1.1 Ta ̣i sao cầ n bảo đảm an toàn thông tin?
Ngày nay, sự xuấ t hiê ̣n Internet và ma ̣ng máy tính ̣ đã giúp cho viê ̣c trao đổ i thông tin trở nên nhanh
gọn, dễ dàng. E-mail cho phép người ta nhâ ̣n hay gửi thư ngay trên máy tiń h của miǹ h, E-business cho
phép thực hiê ̣n các giao dich
̣ buôn bán trên ma ̣ng, ...Tuy nhiên la ̣i phát sinh những vấ n đề mới. Thông
tin quan tro ̣ng nằ m ở kho dữ liê ̣u hay đang trên đường truyề n có thể bi trô
̣ ̣m cắ p, có thể bi la

̣ ̀ m sai lê ̣ch,
có thể bi gia
̣ ̉ ma ̣o. Điề u đó có thể ảnh hưởng tới các tổ chức, các công ty hay cả mô ̣t quố c gia. Những bí
mâ ̣t kinh doanh, tài chin
́ h là mu ̣c tiêu của các đố i thủ ca ̣nh tranh. Những tin tức về an ninh quố c gia là
mu ̣c tiêu của các tổ chức tiǹ h báo trong và ngoài nước. Để giải quyế t tình hình trên, vấn đề bảo đảm an
toàn thông tin (ATTT) đã đươ ̣c đă ̣t ra trong lý luận cũng như trong thực tiễn.
1.2 Mu ̣c tiêu của an toàn thông tin.
* Bảo đảm bí mâ ̣t (Bảo mâ ̣t): Thông tin không bi ̣lô ̣ đố i với người không đươ ̣c phép.
* Bảo đảm toàn ve ̣n (Bảo toàn): Ngăn chă ̣n hay ha ̣n chế viê ̣c bổ sung, loa ̣i bỏ và sửa dữ liê ̣u không
đươ ̣c phép.
* Bảo đảm xác thực (Chứng thực): Xác thực đúng thực thể cầ n kế t nố i, giao dịch. Xác thực đúng
thực thể có trách nhiê ̣m về nô ̣i dung thông tin (Xác thực nguồ n gố c thông tin.)
* Bảo đảm sẵn sàng: Thông tin sẵn sàng cho người dùng hơ ̣p pháp.
1.3 Các nô ̣i dung an toàn thông tin.
a). Nô ̣i dung chin
́ h:
* An toàn máy tin
̣ bên trong máy tiń h
́ h (Computer Security): là sự bảo vê ̣ các thông tin cố đinh
(Static Informations), là khoa ho ̣c về bảo đảm an toàn thông tin trong máy tính.
* An toàn truyề n tin (Communication Security): là sự bảo vê ̣ thông tin trên đường truyề n tin (Dynamic
Informations). (Thông tin đang đươ ̣c truyề n từ hê ̣ thố ng này sang hê ̣ thố ng khác). Là khoa ho ̣c về bảo
đảm an toàn thông tin trên đường truyề n tin.
b). Nô ̣i dung chuyên ngành (Nô ̣i dung hê ̣ quả từ nô ̣i dung chính):
Để bảo vê ̣ thông tin bên trong máy tính hay đang trên đường truyề n tin, phải nghiên cứu các nội dung
chuyên ngành sau:
+ An toàn Dữ liê ̣u (Data Security).
+ An toàn Cơ sở dữ liê ̣u (CSDL) (Data base Security).
+ An toàn Hê ̣ điề u hành (Operation system Security).

+ An toàn ma ̣ng máy tin
́ h (Network Security).

1

PGS.TS Tri ̣nh Nhật Tiế n - Giáo trình mật mã và an toàn dữ liê ̣u, ĐHCN, ĐHQGHN


2
2. Phân tích tin
̀ h hin
̀ h an toàn thông tin ta ̣i Viêṭ Nam năm 2015
2.1 Các chỉ số an toàn thông tin
Tại Hội thảo Ngày An toàn thông tin Việt Nam 2015, Hiệp hội An toàn thông tin Việt Nam (VNISA)
đã công bố báo cáo Kết quả khảo sát thực trạng an toàn thông tin Việt Nam năm 2015 và đưa ra Chỉ số
An toàn thông tin Việt Nam 2015 - VNISA Index 2015.
Mô ̣t vài thố ng kê đáng lưu tâm trong báo cáo trên:

-

Khi hỏi: Hệ thống của tổ chức có được kiểm tra, đánh giá an toàn thông tin (ATTT) hay không?
53% trả lời là có và 47% trả lời là không.

Hình 1.1 Tỉ lê ̣ đánh giá ATTT trong tổ chức doanh nghiê ̣p

-

Khi hỏi cán bộ vận hành, khai thác, sử dụng hệ thống của tổ chức đã tuân thủ các chính sách về
ATTT hay không: Có 61% cho rằng có tuân thủ và 39% không tuân thủ.


Hình 1.2 Tỉ lê ̣ tuân thủ các chính sách ATTT

-

Quy trình đánh giá, quản lý và xử lý nguy cơ về ATTT trong các TC/DN vẫn còn nhiều hạn chế,
62% được đánh giá không theo quy trình, chỉ có 28% là tuân thủ theo đúng quy trình.

-

Một trong các vấn đề khó khăn nhất mà TC/DN gặp phải trong việc bảo đảm ATTT cho thông
tin và hệ thống đó là việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management).

Qua các thông tin ở trên có thể thấ y rằ ng:
 Cầ n phải đẩ y ma ̣nh công tác đánh giá sự an toàn của mô ̣t hê ̣ thố ng CNTT.
 Làm thế nào để quản lý đươ ̣c cấ u hình ma ̣ng.
2.2 Các hình thức tấn công mạng khai thác lỗi cấ u hin
̀ h.
Theo thống kê của VNCERT cho thấy, năm 2015, có nhiều hình thức tấn công với những kỹ thuật khác
nhau, phổ biến nhất là các kỹ thuật: Tấn công dò quét điểm yếu dịch vụ UPNP, tấn công gây từ chối
dịch vụ phân giải tên miền DNS, tấn công dò mật khẩu dịch vụ FTP bằng phương pháp vét cạn (brute
force login attempt)
Qua phân tić h ở trên có thể thấ y rằ ng nế u quản tri ̣viên không tuân thủ các khuyế n nghi ̣về an ninh khi
cấ u hình hê ̣ thố ng thì có thể dẫn đế n hê ̣ thố ng đó có những điể m yế u và bi ̣khai thác bởi kẻ tấ n công.


3
2.3 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng do lỗi cấ u hin
̀ h.
Tại Việt Nam trong năm 2015 và 2016, theo thố ng kê của công ty an ninh ma ̣ng BKAV, xảy ra một số
vụ việc mất an toàn thông tin do việc cấu hình trên thiết bị mạng:

- Tháng 06/2016, có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán trên thị trường chợ
đen xDedic và giá chỉ 6 USD cho mỗi quyền truy cập, trong đó có 841 máy chủ ở Việt Nam. Sau khi
các đơn vị an ninh mạng Việt Nam tiến hành tìm hiểu và kiểm tra trên thực tế thông tin các máy chủ
Remote Desktop Protocol (RDP) tại Việt Nam được rao bán trên thị trường chợ đen xDedic, kết quả cho
thấy, 153 máy chủ vẫn đang mở cổng 3389 (RDP), trong đó có 51 máy chủ mở cả cổng 3389 (RDP) và
80 (HTTP).
- Cũng trong 4 tháng đầu năm 2015, theo báo cáo bảo mật từ công ty bảo mật BKAV, sau những ghi
nhận từ hệ thống phòng vệ DDoS của mình cho thấy có nhiều cuộc tấn công-từ chối-dịch vụ (DDoS)
xuất phát từ nhiều địa chỉ IP thuộc nhiều nhà cung cấp dịch vụ Internet (ISP) tại nhiều quốc gia. Những
địa chỉ IP này xuất phát từ các router (bộ định tuyến mạng) kết nối Internet dùng trong gia đình hay
doanh nghiệp nhỏ đã bị hack. Và tất cả router "thây ma" đều không được người dùng thay đổi mật khẩu
mặc định của tài khoản quản trị (admin) từ nhà sản xuất.

 Vâ ̣y vấ n đề đă ̣t ra ở đây là làm thế nào để đánh giá mô ̣t hê ̣ thố ng đươ ̣c cấ u hình có tuân thủ các
khuyế n nghi hoă
̣
̣c tiêu chuẩ n an toàn hay không? Từ đó có các biê ̣n pháp khắ c phu ̣c những điể m yế u về
cấ u hiǹ h, làm giảm khả năng bi ̣hacker khai thác
2.4. Tầ m quan tro ̣ng của viêc̣ quản lý cấ u hin
̀ h.
Năm 2011, trong mô ̣t báo cáo của hañ g phân tić h Gartner chỉ ra rằ ng, viê ̣c quản lý cấ u hình an ninh là
mô ̣t viê ̣c bắ t buô ̣c phải làm, và là ưu tiên số 1 trong danh sách các công viê ̣c bảo vê ̣ cho máy chủ.2
Năm 2012, ta ̣p chí an toàn thông tin SANS đã đưa ra 20 mức đô ̣ cấ p thiế t khi quản lý an ninh cho mô ̣t
tổ chức (SANS 20 Critical Security Control), trong đó xế p ha ̣ng mức đô ̣ cấ p thiế t của viê ̣c quản lý cấ u
hình an ninh cho máy chủ, hê ̣ thố ng, thiế t bi đầ
̣ u cuố i có mức đô ̣ 3; xế p ha ̣ng mức đô ̣ cấ p thiế t viê ̣c quản
lý cấ u hình an ninh trên các thiế t bi ̣ma ̣ng là cấ p đô ̣ 10.3
Qua những số liê ̣u nêu trên, có thể thấ y rằ ng viê ̣c quản lý cấ u hiǹ h để ngăn ngừa những lỗi có thể xảy
ra là mô ̣t vấ n đề rấ t cầ n đươ ̣c quan tâm trong công tác quản tri ̣ma ̣ng. Mặc dù viê ̣c này không đơn giản
nhưng cầ n có những giải pháp để kiể m tra, đánh giá một hê ̣ thố ng có tồ n tại những lỗi cấ u hình hay

không, và từ đó đưa ra cách khắ c phục.

Neil MacDonald and Peter Firstbrook, “How To Devise a Server Protection Strategy,” December 2011.
www.gartner.com/id=1866915
3
/>2


4
3. Vấ n đề quản lý cấ u hin
̣ ̣ng doanh nghiêp̣
̀ h thiế t bi ma
3.1 Mu ̣c tiêu và pha ̣m vi nghiên cứu
Luâ ̣n văn này tâ ̣p trung vào viê ̣c phân tích và đánh giá xem cấ u hình an ninh trên các thiế t bi ̣ hạ tầ ng
mạng của một tổ chức, doanh nghiê ̣p có tuân thủ theo chính sách an toàn bảo mật thông tin của tổ chức
đó hay không.
Thiế t bi ̣ha ̣ tầ ng ma ̣ng đề câ ̣p đế n trong luâ ̣n văn là thiế t bi ̣đinh
̣ tuyế n - Router, thiế t bi ̣chuyể n ma ̣ch switch, thiế t bi ̣ đinh
̣ tuyế n không dây - wireless router. Lựa cho ̣n hañ g thiế t bi ̣ là hañ g Cisco, đươ ̣c sử
du ̣ng phổ biế n trong ma ̣ng của các công ty, tổ chức ta ̣i Viê ̣t Nam.
Pha ̣m vi phân tích là ma ̣ng máy tính của mô ̣t doanh nghiê ̣p ta ̣i tru ̣ sở chiń h của doanh nghiê ̣p đó. Tức là
không bao gồ m hê ̣ thố ng ma ̣ng diê ̣n rô ̣ng (WAN).
Đầ u tiên, luâ ̣n văn khảo sát mô ̣t mô hiǹ h ma ̣ng máy tiń h điể n hiǹ h, đươ ̣c sử du ̣ng phổ biế n ta ̣i các doanh
nghiê ̣p. Sau đó luâ ̣n văn chỉ ra những cấ u hiǹ h an ninh trên thiế t bi ̣ là gi;̀ ta ̣i sao phải thực hiê ̣n những
cấ u hình đó; những hâ ̣u quả có thể xảy ra nế u không thực hiê ̣n, hoă ̣c thực hiê ̣n sai các cấ u hình an ninh
cho thiế t bi ̣(lỗi cấ u hình) ; cách khắ c phu ̣c từng lỗi cấ u hình như thế nào?
Tiế p theo luâ ̣n văn đề xuấ t phương pháp thu thâ ̣p file cấ u hiǹ h của các thiế t bi.̣ Sau khi đã thu thâ ̣p các
file cấ u hin
̀ h, luâ ̣n văn đề xuấ t phương pháp phân tić h so sánh những cấ u hiǹ h thu thâ ̣p đươ ̣c với cấ u
hình đươ ̣c khuyế n nghi ̣trong chính sách an toàn bảo mâ ̣t thông tin của tổ chức. Sau bước so sánh này,

kế t quả thu đươ ̣c là mô ̣t báo cáo đánh giá về những lỗi cấ u hình an ninh trên các thiế t bi ̣ha ̣ tầ ng ma ̣ng.
Dựa trên cáo cáo này người quản tri ̣ viên hê ̣ thố ng sẽ tiế n hành những biê ̣n pháp khắ c phu ̣c những lỗi
cấ u hiǹ h đó.
Cuố i cùng là những vấ n đề đã thực hiê ̣n đươ ̣c và những vấ n đề tồ n ta ̣i của luâ ̣n văn, hướng nghiên cứu
mở rô ̣ng tiế p theo.
3.2 Khái niêm
̣ lỗi cấ u hin
̀ h an ninh
Cấ u hình an ninh là cấ u hiǹ h nhằ m bảo vê ̣ an toàn cho thiế t bi.̣ Mô ̣t vài ví dụ về cấ u hiǹ h an ninh:
- Những dịch vụ mạng không được sử dụng thì nên tắt;
- Phải đổi mật khẩu tài khoản quản trị mặc định trên thiết bị;
- Khi tạo các kết nối quản lý từ xa tới thiết bị nên sử dụng giao thức an toàn như SSH (Secure Shell)
thay vì sử dụng giao thức kém an toàn như Telnet…
Một hê ̣ thố ng mạng đươ ̣c xem là quản lý yế u kém là mạng mà trong đó các thiết bị không được cấu hình
đầ y đủ các chính sách về an ninh. Từ đó trên các thiết bị mạng có các lỗ hổng, dẫn đến bị kẻ tấn công
khai thác và thực hiện các hành vi có chủ đích của hắn.


5
3.3 Khái niêm
̣ về đường cơ sở an ninh (Security Baseline)
Đường cơ sở an ninh là mô ̣t danh sách kiể m tra (checklist) mà theo đó các hê ̣ thố ng đươ ̣c đánh giá và
kiể m toán đố i với tình hình an ninh trong mô ̣t tổ chức. Đường cơ sở phác thảo ra những yế u tố an ninh
chính đố i với mô ̣t hê ̣ thố ng, và trở thành điể m xuấ t phát cho viê ̣c bảo vê ̣ hê ̣ thố ng đó.4
3.4 Khái niêm
hardening)
̣ gia cố thiế t bi (device
̣
Mu ̣c đić h của viê ̣c gia cố thiế t bi la
̣ ̀ làm giảm càng nhiề u rủi ro càng tố t, và làm cho hê ̣ thố ng an toàn

hơn.
Thiế t bi ̣ ha ̣ tầ ng ma ̣ng khi mua về đề u có các thông số cấ u hình mă ̣c đinh
̣ từ nhà sản xuấ t (ví du ̣: tài
khoản và mâ ̣t khẩ u mă ̣c đinh,
Khi đưa vào sử du ̣ng, quản tri ̣ viên cầ n cấ u
̣ dich
̣ vu ̣ cha ̣y mă ̣c đinh…).
̣
hiǹ h la ̣i những tham số này sao cho phù hơ ̣p với các tiêu chuẩ n an ninh đươ ̣c đề câ ̣p đế n trong chiń h
sách an toàn bảo mâ ̣t thông tin của tổ chức.
3.5 Khảo sát mô ̣t ma ̣ng máy tính điể n hin
̣
̀ h trong doanh nghiêp.

Hình 3.2. Thiết kế mạng phân thành 3 tầng
Cấu trúc mạng thường được thiết kế theo mô hình 3 tầng như trên hình. Thiết kế này nếu tuân thủ sẽ
đảm bảo cho hệ thống mạng có tính sẵn sàng, linh hoạt, an ninh, tính quản lý. Đươ ̣c phân thành các tầ ng:
- Tầng truy nhập (Access layer): để kết nối các thiết bị đầu cuối của người dùng vào mạng.
- Tầng phân phối (Distribution layer): thực hiê ̣n gom lưu lươ ̣ng từ tầ ng truy nhâ ̣p và gửi tới tầ ng
lõi để tầ ng lõi thực hiê ̣n đinh
̣ tuyế n tới đích.

4

Theo giáo trình CompTIA Security+


6
- Tầng loĩ : thực hiê ̣n gom lưu lươ ̣ng từ tấ t cả các thiế t bi ̣ ở tầ ng phân phố i và chuyể n tiế p lưu
lươ ̣ng này tới các trung tâm dữ liê ̣u, trung tâm dich

̣ vu ̣, hoă ̣c ra ma ̣ng diê ̣n rô ̣ng.
3.6 Những lỗi quản tri viên
gă ̣p phải khi cấ u hin
̣
̀ h hê ̣ thố ng ma ̣ng
3.6.1 Các lỗi liên quan đế n cấ u hin
̀ h quản lý thiế t bi ̣
Bảng dưới đây tóm tắ t những lỗi gă ̣p phải khi cấ u hiǹ h quản lý thiế t bi ̣và cấ u hiǹ h khuyế n nghi.̣
STT

Mã số lỗi

Mô tả về lỗi

Khuyế n nghi ̣

1

mnt-TELNET

Sử du ̣ng giao thức TELNET để truy

Sử du ̣ng giao thức SSH (SecureShell)

câ ̣p thiế t bi ̣từ xa. TEL NET không mã

để truy câ ̣p tới thiế t bi ̣từ xa

hóa thông tin nên có thể bi ̣lô ̣ mâ ̣t khẩ u
2


mnt-HTTP

Sử du ̣ng giao thức HTTP để truy câ ̣p

Sử du ̣ng giao thức HTTPS để truy câ ̣p

giao diê ̣n quản lý thiế t bi.̣ HTTP không

vào thiế t bi ̣để quản lý

mã hóa thông tin nên có thể bi ̣xem
trô ̣m
3

4

mnt-TFTP

Sử du ̣ng giao thức truyề n file đơn giản

Sử du ̣ng SCP (Secure Copy Protocol)

TFTP

hoă ̣c FTPS (FTP Secure)

mnt-int-ACL-

Không ngăn chă ̣n các máy tính người


Sử du ̣ng kỹ thuâ ̣t điề u khiể n truy câ ̣p.

BLK

dùng truy câ ̣p tới giao diê ̣n quản lý
thiế t bi ̣

5

mnt-SNMP

Sử du ̣ng giao thức quản tri ̣ma ̣ng đơn

Sử du ̣ng giao thức SNMPv3

giản SNMPv1 hoă ̣c SNMPv2c
6

7

8

mnt-

Cài đă ̣t mâ ̣t khẩ u xác thực cu ̣c bô ̣ trên

Thực hiê ̣n xác thực tâ ̣p trung trên máy

PasswordLocal


thiế t bi ̣

chủ AAA

mnt-

Không mã hóa các mâ ̣t khẩ u lưu trên

Mã hóa mâ ̣t khẩ u

PassENCRYPT

thiế t bi ̣

mnt-NTP

Không cấ u hình đồ ng bô ̣ về thời gian

Cầ n lấ y đồ ng bô ̣ thời gian theo máy
chủ NTP

9

mnt-SYSLOG

Không lưu nhâ ̣t ký hoa ̣t đô ̣ng (log)

Cấ u hình để thiế t bi ̣ gửi các cảnh báo
đế n mô ̣t máy chủ lưu syslog tâ ̣p trung


Bảng 3.2. Những lỗi cấ u hình an ninh trong quản lý thiế t bi ̣


7
Bảng dưới đây mô tả mô ̣t mẫu cấ u hình an ninh tiêu chuẩ n cho viê ̣c quản lý thiế t bi ̣
STT Mã số

Cấu hình trên thiết bị

Cấu hình khuyế n nghi ̣

1

line vty 0 15

line vty 0 15

password [string]

transport input ssh

mnt-TELNET

login
2

mnt-HTTP

ip http server


no ip http server
ip http secure-server

3

mnt-FTPTFTP

N/A

Ip ftp server

4

mnt-int-ACL-BLK

n/a

Access-list

5

mnt-SNMP

N/A

username - password/secret

6


mnt-PasswordLocal

N/A

AAA new-model
AAA authentication
AAA authorize
AAA accounting

7

mnt-

Service-password encryption

PasswordENCRYPT
8

mnt-NTP

N/A

Ntp server [IP]

9

mnt-SYSLOG

N/A


Logging [IP]

Bảng 3.3. Cấ u hình lỗi và cấ u hình khuyế n nghi ̣
3.6.2 Các lỗi cấ u hin
̣ ng truy nhâ ̣p
̀ h trên thiế t bi tầ
Như đã đề câ ̣p, vai trò của tầ ng truy nhâ ̣p trong mô hiǹ h thiế t kế 3 tầ ng là để kết nối các thiết bị đầu cuối
của người dùng vào mạng. Thông thường các thiế t bi tầng
truy nhâ ̣p là các thiết bị chuyển mạch (switch
̣
lớp 2), thiết bị định tuyến không dây (wireless router).
3.6.2.1 Lỗi cấ u hin
lớp 2
̣
̀ h trên thiế t bi switch
Bảng dưới đây tóm tắ t la ̣i những lỗi cấ u hiǹ h an ninh trên thiế t bi switch
và cấ u hiǹ h khuyế n nghi.̣
̣
STT

Mã lỗi

Mô tả lỗi

Khuyế n nghi ̣


8
1


acc-shutdown

Không tắ t các cổ ng switch mà đang Tắ t các cổ ng không sử du ̣ng
không sử du ̣ng

2

acc-dhcpsnooping

Không bâ ̣t chế đô ̣ ngăn chă ̣n các bản Bâ ̣t DHCP Snooping
tin DHCP giả ma ̣o

3

acc-DAI

Không bâ ̣t chế đô ̣ giám sát các gói tin Bâ ̣t tính năng giám sát gói tin
ARP - Dynamic ARP
ARP
Inspection

4

acc-portsecurity

Không bâ ̣t chế đô ̣ an ninh cổ ng

acc-IPSouceGuard

Không bâ ̣t chế đô ̣ chố ng giả ma ̣o IP Bâ ̣t chế đô ̣ bảo vê ̣ IP nguồ n - IP

Source Guard
nguồ n

5

acc-IPv6

Không bâ ̣t chế đô ̣ ngăn chă ̣n các bản Bâ ̣t chế đô ̣ ngăn chă ̣n IPv6 RA
giả ma ̣o - IPV6 First Hop
tin IPv6 RA giả ma ̣o
Security

6

acc-BPDUGuard

Không bâ ̣t tính năng BPDU Guard Bâ ̣t BPDU guard trên các cổ ng
Port Fast
trên các cổ ng Port Fast

Bâ ̣t chế đô ̣ an ninh cổ ng

Bảng 3.4. Lỗi cấ u hình an ninh trên swich và khuyế n nghi ̣
3.6.2.2 Lỗi cấ u hin
̣ nh
̣ tuyế n không dây
̀ h trên thiế t bi đi
Mã lỗi

Mô tả


Khuyế n nghi ̣

wl-SSID

Không ẩ n tên ma ̣ng không dây

ẩ n tên ma ̣ng không dây

wl-SimplePass Đă ̣t mâ ̣t khẩ u truy câ ̣p ma ̣ng không dây đơn gian Đă ̣t mâ ̣t khẩ u ma ̣nh
̉
wl-MAC

Không cấ u hin
̀ h lo ̣c điạ chỉ MAC:

Cấ u hiǹ h lo ̣c điạ chỉ MAC

wl-Default

Không đổ i tài khoản quản tri ̣mă ̣c đinh:
̣

Đổ i tài khoản quản tri mă
̣ ̣c
đinh
̣

Bảng 3.5. Tóm tắ t các lỗi cấ u hình trên thiế t bi ̣ đinh
̣ tuyế n không dây.

3.6.3 Các lỗi cấ u hin
̣ ng phân phố i và tầ ng loĩ
̀ h trên thiế t bi tầ
STT Mã lỗi

Mô tả lỗi

Khuyế n nghi ̣

1

core-PassiveInt

Không đă ̣t các cổ ng nố i với tầ ng
Access là cổ ng chế đô ̣ Passive

Đă ̣t các cổ ng nố i với tầ ng
Access là cổ ng chế đô ̣ Passive

2

Core-RoutingInfo

Không xác thực thông tin đinh
̣ tuyế n

Cấ u hình xác thực thông tin đinh
̣
tuyế n



9
Bảng 3.6. Lỗi cấ u hin
̀ h tầ ng phân phố i
4. Phương pháp thu thâ ̣p cấ u hin
̣ ̣ng
̀ h từ các thiế t bi ma
4.1 Yêu cầ u của viêc̣ thu thâ ̣p số liêụ cấ u hin
̀ h


Phải thu thâ ̣p và lưu trữ tâ ̣p trung số liê ̣u cấ u hình từ các thiế t bi ma
̣ ̣ng về mô ̣t máy chủ để thuâ ̣n tiê ̣n
cho viê ̣c đánh giá cấ u hình;



Bảo đảm cấ u hình đươ ̣c thu thâ ̣p là cấ u hiǹ h hiê ̣n thời đang hoa ̣t đô ̣ng trên các thiế t bi ̣(không phải
là cấ u hiǹ h cũ)



Bảo đảm các file cấ u hin
̀ h không bi ̣lỗi khi thu thâ ̣p.



Phân biê ̣t đươ ̣c các file cấ u hin
̀ h từ các thiế t bi ̣khác nhau


4.2 Chuẩ n bi về
̣ con người, quy trin
̀ h, phầ n cứng, phầ n mề m, dữ liêụ
- Con người: Người thực hiê ̣n công viê ̣c thu thập số liê ̣u: nhân viên phòng vâ ̣n hành hê ̣ thố ng, nhân viên
phòng an toàn thông tin.
- Quy trình: sau khi nhâ ̣n đươ ̣c yêu cầ u từ phòng an toàn thông tin, nhân viên phòng vâ ̣n hành cầ n thu
thâ ̣p số liê ̣u cấ u hình mới nhấ t trên các thiế t bi ̣ma ̣ng về mô ̣t thiế t bi ̣lưu trữ tâ ̣p trung.
- Phầ n cứng: phòng vâ ̣n hành phải trang bi ̣mô ̣t máy chủ (server) lưu trữ tâ ̣p trung cấ u hình.
- Phầ n mề m:
+ Hê ̣ điề u hành cho Server có thể là Windows hoă ̣c Linux.
+ Phầ n mề m FTP:
- Dữ liê ̣u cấ u hình: nhân viên phòng vâ ̣n hành cầ n truy câ ̣p vào các thiế t bi ̣ để kiể m tra cấ u hình đang
hoa ̣t đô ̣ng trên thiế t bi để
̣ copy về server.
4.2 Cách copy cấ u hin
̀ h về máy chủ

FTP
FTP Server

Các thiết bị mạng

Hình 4.1. Phương pháp thu thập cấ u hình
Bước

Câu lênh
̣

Mu ̣c đích



10
1

Router# configure terminal

Truy câ ̣p vào chế đô ̣ cấ u hiǹ h

2

Router(config)# ip ftp username username

Khai báo FTP username (trên Filezilla)

3

Router(config)# ip ftp password password

Khai báo FTP Password (trên Filezilla)

4

Router(config)# end

Thoát khỏi chế đô ̣ cấ u hiǹ h

5

Router# copy system:running-config


Copy cấ u hình running-config lên FTP

ftp:[[[//[username[:password]@]location]

server. Lưu ý tên file cấ u hình phải khác

/directory]/filename]

nhau.

Bảng. Các bước copy file cấ u hình từ thiế t bi ̣lên máy chủ. Lưu ý quý tắ c đă ̣t tên file
4.2.1 Quy đinh
̣ về đă ̣t tên file cấ u hin
̀ h.
Ở bước số 5 bảng trên, khi thiế t bi se
nhâ ̣p tên file cấ u hình sẽ lưu ở máy chủ FTP,
̣ ̃ yêu cầ u quản tri viên
̣
cầ n đă ̣t tên file cấ u hin
̀ h như sau:
[Mã tầ ng-Tên-thiế t-bi ̣-config]
4.2.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi lơ
̣ ́ n.
Trong trường hơ ̣p số lươ ̣ng thiế t bi ̣lớn (>1000 thiế t bi)̣ thì có thể sử du ̣ng phương pháp lấ y mẫu ngẫu
nhiên để đánh giá. Theo phương pháp này, có thể lấ y danh sách các thiế t bi,̣ sau đó thu thâ ̣p cấ u hiǹ h
ngẫu nhiên của 20% thiế t bi.̣ Như vâ ̣y tổ ng cô ̣ng sẽ lấ y cấ u hiǹ h của khoảng 200 thiế t bi.̣ Đây là mẫu đủ
lớn để đánh giá đươ ̣c hiê ̣n tra ̣ng cấ u hình an ninh trên các thiế t bi ̣ha ̣ tầ ng ma ̣ng.
4.3. Kiể m tra các file cấ u hin
̀ h thu thâ ̣p đươ ̣c
Sau khi copy cầ n kiể m tra la ̣i số lươ ̣ng file đã copy lên máy chủ FTP Server đã đầ y đủ và chiń h xác hay

chưa. Phương pháp kiể m tra về : số lươ ̣ng file, tên file, nô ̣i dung file
5. Phương pháp đánh giá cấ u hin
̣ ̣ng
̀ h an ninh trên thiế t bi ma
5.1 Phương pháp chung để đánh giá cấ u hin
̀ h an ninh
Để thực hiê ̣n đánh giá cấ u hình an ninh trên thiế t bi ̣ma ̣ng có tuân thủ theo chính sách an toàn bảo mâ ̣t
thông tin hay không, thì cầ n so sánh cấ u hình hiê ̣n ta ̣i đang hoa ̣t đô ̣ng với cấ u hình an ninh khuyế n nghi ̣
(đường cơ sở an ninh).

ß So

Cấu hình đang hoạt đ ng
(Running-config)

nh

Cấu hình khuyến nghị
(đường an ninh cơ s )

Hình. Phương pháp đánh giá cấ u hình an ninh


11
5.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014
Mô hiǹ h đo lường an toàn thông tin là một cấu trúc liên kết một nhu cầu thông tin tới các đối tượng có
liên quan của bài đo và các thuộc tính của chúng. Đối tượng đo lường có thể bao gồm kế hoạch đã định
hoặc các quy trình, các thủ tục, các dự án và các nguồn lực đã triển khai. Mô hình đo lường an toàn
thông tin mô tả làm sao để các thuộc tính liên quan được định lượng và chuyển đổi thành các chỉ báo
cung cấp cơ sở cho việc ra quyết định.


Trong đó:
TÊN CÁC THÀNH PHẦN

GIẢI THÍCH

Thông tin chung của bài đo
Tên bài đo

Tên bài đo

Số hiệu

Số định danh duy nhất, tùy ý theo quy định của tổ chức

Mục đích

Mô tả các lý do dẫn đến cần thiết của bài đo

Mục tiêu biện pháp quản lý

Quản lý các đối tượng trong bài đo (đã có kế hoạch hoặc đã được
triển khai)

Biện pháp quản lý (1)

Biện pháp quản lý cần đo lường

Biện pháp quản lý (2)


Tùy chọn: biện pháp quản lý/ quy trình cao hơn trong nhóm đã bao
gồm trong cùng bài đo, nếu có thể áp dụng (đã có kế hoạch hoặc đã
được triển khai)

Đối tượng của bài đo và các thu c tính


12
Đối tượng

Đối tượng (thực thể) được đặc trưng thông qua bài đo các thuộc tính
của nó. Một đối tượng bao gồm các quy trình, các kế hoạch, các dự
án, các nguồn lực, các hệ thống, và các thành phần.

Thuộc tính

Tính chất hoặc đặc trưng của đối tượng của bài đo có thể được phân
biệt về số lượng hoặc chất lượng bởi con người hoặc bởi tự động.

Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n])
Số đo cơ bản

Một số đo cơ bản được xác định theo một thuộc tính và phương pháp
đo cụ thể để định lượng thuộc tính (ví dụ như số người đã được đào
tạo, số lượng các điểm/sites, chi phí tính đến nay). Theo dữ liệu thu
thập, một giá trị được gán nhận cho một số đo cơ bản.

Phương pháp đo

Trình tự các hoạt động sử dụng trong định lượng thuộc tính về một

phạm vi cụ thể.

Loại phương pháp đo

Dựa trên bản chất các hoạt động sử dụng để định lượng thuộc tính,
phân thành hai Phương pháp đo:

Thang giá trị

-

Chủ quan: định lượng liên quan tới chủ định của con người.

-

Khách quan: định lượng dựa trên các quy tắc số học.

Tập hợp các giá trị có thứ tự, hoặc tập các danh mục được ánh xạ tới
thuộc tính của số đo cơ bản

Loại thang giá trị

Dựa trên bản chất mối quan hệ giữa các giá trị, phân thành bốn loại
thang giá trị phố biến: Danh định; thứ tự; khoảng đoạn; tỷ lệ.

Đơn vị đo

Số lượng cụ thể, được xác định và phù hợp theo quy ước, với các số
lượng khác cùng loại được so sánh theo một thứ tự để diễn tả mối
tương quan với số lượng đó.


Thông tin đặc tả về số đo dẫn xuất
Số đo dẫn xuất

Một số đo được rút ra từ hai hoặc nhiều hơn số đo cơ bản.

Hàm đo lường

Thuật toán hoặc tính toán được thực hiện để kết hợp hai hoặc nhiều số
đo cơ bản. Thang giá trị và đơn vị của số đo dẫn xuất dựa trên thang
giá trị của các số đo cơ bản mà nó bao gồm cũng như cách kết hợp các
hàm đo lường với nhau.

Thông tin đặc tả về chỉ báo
Chỉ báo

Số đo mà cung cấp những ước tính hay định lượng các thuộc tính xác
định thông qua mô hình phân tích với những thông tin cần thiết. Các
chỉ báo là cơ sở để phân tích và đưa ra quyết định.

Mô hình phân tích

Thuật toán hoặc việc kết hợp tính toán một hoặc nhiều số đo cơ bản
hoặc các số đo dẫn xuất với tiêu chí quyết định phù hợp; Điều này dựa
trên sự hiểu biết hoặc các dữ kiện, mối quan hệ dự tính giữa số đo cơ
bản hoặc số đo dẫn xuất hoặc trạng thái của chúng. Nhờ mô hình phân


13
tích sẽ giúp ước lượng hay định lượng mối quan hệ để xác định thông

tin cần thiết.
Thông tin đặc tả về tiêu chí quyết định
Tiêu chí quyết định

Ngưỡng, mục tiêu, hoặc các mẫu được sử dụng để xác định sự cần thiết
phải hành động hay điều tra thêm, hoặc để mô tả mức độ chính xác của
kết quả bài đo nhất định. Tiêu chí quyết định giúp làm rõ các kết quả
của bài đo.

Kết quả bài đo
Giải thích chỉ báo

Mô tả về chỉ báo, để chỉ báo được hiểu rõ ràng hơn.

Định dạng hồ sơ đo

Định dạng hồ sơ đo nên được đánh nhãn và lưu thành tài liệu. Mô tả
các theo dõi, nhận xét về tổ chức hoặc người sở hữu thông tin có thể
cần được ghi lại. Định dạng hồ sơ đo trực quan sẽ miêu tả các đánh giá
và cung cấp giải thích rõ ràng về các chỉ dẫn. Định dạng hồ sơ đo nên
được tùy chỉnh theo thông tin khách hàng.

Các bên liên quan
Người trách nhiệm bài đo

Ban quản lý hoặc các bên quan tâm yêu cầu hoặc cần thông tin về hiệu
lực của một hệ thống ISMS, các biện pháp quản lý hoặc nhóm biện
pháp quản lý.

Người xem xét kết quả đo


Cá nhân hoặc tổ chức mà kiểm tra tính hợp lệ cho các cấu trúc bài đo
đã tiến hành là đủ điều kiện cho việc đánh giá hiệu lực của một hệ
thống ISMS, các biện pháp quản lý hoặc nhóm biện pháp quản lý.

Người sở hữu thông tin

Cá nhận hoặc tổ chức sở hữu thông tin về một đổi tượng của bài đo
và chịu trách nhiệm về bài đo.

Bộ phận thu thập thông tin

Cá nhân hoặc tổ chức chịu trách nhiệm về thu thập, ghi chép và lưu
trữ dữ liệu.

Bộ phận trao đổi thông tin

Cá nhân hoặc tổ chức chịu trách nhiệm phân tích dữ liệu và trao đổi
các kết quả bài đo.

Tần suất thực hiện
Tần suất thu thập dữ liệu

Mức độ thường xuyên thu thập dữ liệu.

Tần suất phân tích dữ liệu

Mức độ thường xuyên phân tích dữ liệu.

Tần suất và hồ sơ đo


Mức độ thường xuyên của các kết quả đo được lập hồ sơ (mức độ
này có thể thấp hơn Tần suất thu thập dữ liệu).

Tần suất sửa đổi bài đo

Ngày sửa đổi bài đo (thời hạn hiệu lực của tính hợp lệ của bài đo
hoặc các thay đổi của bài đo)

Tần suất thực hiện bài đo

Xác định định kỳ thực hiện bài đo.


14
5.3 Đánh giá lỗi cấu hình quản lý
GIẢI THÍCH

TÊN CÁC THÀNH
PHẦN
Thông tin chung của bài đo
Tên bài đo

Đo các tham số về cấ u hin
̀ h an ninh trong viêc̣ quản lý thiế t bi. ̣

Số hiệu

Device-Management-Check


Mục đích

Kiể m tra các cấ u hình quản lý trên thiế t bi xem
có tuân thủ theo chính
̣
sách an toàn bảo mâ ̣t thông tin hay không.

Mục tiêu biện pháp quản lý

Kiể m tra đươ ̣c cấ u hiǹ h quản lý trên thiế t bi ̣xem có lỗi hay không để
từ đó có biê ̣n pháp khắ c phu ̣c.

Biện pháp quản lý (1)

Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành.



Biện pháp quản lý (2)

Phòng vâ ̣n hành: thu thâ ̣p cấ u hình.
Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh.

Đối tượng của bài đo và các thu c tính
Đối tượng

Cấ u hiǹ h quản lý trên thiế t bi ̣ma ̣ng.

Thuộc tính


Các cấ u hình quản lý đề câ ̣p trong mu ̣c 3.6.1

Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n])
Số đo cơ bản

mnt-TELNET
mnt-HTTP
mnt-TFTP
mnt-int-ACL-BLK
mnt-SNMP
mnt-PasswordLocal
mnt-PasswordENCRYPT
mnt-NTP
mnt-SYSLOG

Phương pháp đo

So sánh cấ u hiǹ h mẫu (khuyế n nghi)̣ với cấ u hiǹ h hiê ̣n ta ̣i xem có
khớp nhau hay không

Loại phương pháp đo

Khách quan: định lượng dựa trên các quy tắc số học.

Thang giá trị

Có/Không
Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣
Không: là không thực hiê ̣n cấ u hiǹ h tham số quản lý thiế t bi ̣


Loại thang giá trị
Đơn vị đo
Thông tin đặc tả về số đo dẫn xuất
Số đo dẫn xuất


15
Hàm đo lường
Thông tin đặc tả về chỉ báo
Chỉ báo

Có/Không

Mô hình phân tích
Thông tin đặc tả về tiêu chí quyết định
Tiêu chí quyết định

Theo thang giá tri ̣là “Có”/”Không”.

Kết quả bài đo
Giải thích chỉ báo

Mô tả ý nghiã từng tham số cấ u hiǹ h quản lý thiế t bi.̣

Định dạng hồ sơ đo

Báo cáo dưới da ̣ng văn bản

Các bên liên quan
Người trách nhiệm bài đo


Nhân viên phòng An toàn thông tin

Người xem xét kết quả đo

Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT trong
doanh nghiê ̣p.

Người sở hữu thông tin

Phòng An toàn thông tin

Bộ phận thu thập thông tin

Phòng vâ ̣n hành

Bộ phận trao đổi thông tin

Phòng vâ ̣n hành; Phòng An toàn thông tin

Tần suất thực hiện
Tần suất thu thập dữ liệu

Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức.

Tần suất phân tích dữ liệu

Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức.

5.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập

GIẢI THÍCH

TÊN CÁC THÀNH
PHẦN
Thông tin chung của bài đo
Tên bài đo

Đo các tham số về cấ u hin
̣ ̉ tầ ng truy nhâ ̣p
̀ h an ninh trên thiế t bi ơ

Số hiệu

Access-Device-Check

Mục đích

Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi tầ
̣ ng truy nhâ ̣p xem có
tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không.

Mục tiêu biện pháp quản lý

Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi ̣tầ ng truy nhâ ̣p xem có
tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không, để từ
đó có biê ̣n pháp khắ c phu ̣c.

Biện pháp quản lý (1)

Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành.




Biện pháp quản lý (2)

Phòng vâ ̣n hành: thu thâ ̣p cấ u hiǹ h.
Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh.

Đối tượng của bài đo và các thu c tính
Đối tượng

Cấ u hình an ninh trên trên thiế t bi ̣ma ̣ng ở tầ ng truy nhâ ̣p (switch lớp
2, thiế t bi ̣đinh
̣ tuyế n không dây).


16
Thuộc tính

Các cấ u hiǹ h quản lý đề câ ̣p trong mu ̣c 3.6.2

Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n])
Số đo cơ bản

Đố i với switch lớp 2
acc-shutdown
acc-dhcpsnooping
acc-DAI
acc-portsecurity
acc-IPSouceGuard

acc-IPv6
acc-BPDUGuard
Đố i với thiế t bi đi
̣ nh
̣ tuyế n không dây
wl-SSID
wl-SimplePass
wl-MAC
wl-Default

Phương pháp đo

So sánh cấ u hình mẫu (khuyế n nghi)̣ với cấ u hình hiê ̣n ta ̣i xem có
khớp nhau hay không

Loại phương pháp đo

Khách quan: định lượng dựa trên các quy tắc số học.

Thang giá trị

Có/Không
Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣
Không: là không thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣

Loại thang giá trị
Đơn vị đo
Thông tin đặc tả về số đo dẫn xuất
Số đo dẫn xuất
Hàm đo lường

Thông tin đặc tả về chỉ báo
Chỉ báo

Có/Không

Mô hình phân tích
Thông tin đặc tả về tiêu chí quyết định
Tiêu chí quyết định

Theo thang giá tri ̣là “Có”/”Không”.

Kết quả bài đo
Giải thích chỉ báo

Mô tả ý nghiã từng tham số cấ u hình trên thiế t bi tầ
̣ ng truy nhâ ̣p

Định dạng hồ sơ đo

Báo cáo dưới da ̣ng văn bản

Các bên liên quan
Người trách nhiệm bài đo

Nhân viên phòng An toàn thông tin


17
Người xem xét kết quả đo


Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT trong
doanh nghiê ̣p.

Người sở hữu thông tin

Phòng An toàn thông tin

Bộ phận thu thập thông tin

Phòng vâ ̣n hành

Bộ phận trao đổi thông tin

Phòng vâ ̣n hành; Phòng An toàn thông tin

Tần suất thực hiện
Tần suất thu thập dữ liệu

Tùy theo chiń h sách an toàn bảo mâ ̣t thông tin của tổ chức.

Tần suất phân tích dữ liệu

Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức.

5.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối và tầng loĩ
Đối với cấu hình thiết bị tầng phân phối/lõi, sẽ thực hiện kiểm tra những vấn đề lỗi sau:
GIẢI THÍCH

TÊN CÁC THÀNH
PHẦN

Thông tin chung của bài đo
Tên bài đo

Đo các tham số về cấ u hin
̣ ̉ tầ ng phân
̀ h an ninh trên thiế t bi ơ
phố i/tầ ng lõi.

Số hiệu

Distribution-Core-Device-Check

Mục đích

Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi ̣tầ ng truy nhâ ̣p xem có
tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không.

Mục tiêu biện pháp quản lý

Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi ̣tầ ng truy nhâ ̣p xem có
tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không, để từ
đó có biê ̣n pháp khắ c phu ̣c.

Biện pháp quản lý (1)

Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành.



Biện pháp quản lý (2)


Phòng vâ ̣n hành: thu thâ ̣p cấ u hiǹ h.
Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh.

Đối tượng của bài đo và các thu c tính
Đối tượng

Cấ u hình an ninh trên trên thiế t bi ̣ma ̣ng ở tầ ng phân phố i/tầ ng lõi
(thiế t bi đi
n ma ̣ch lớp 3)
̣ nh
̣ tuyế n, thiế t bi chuyể
̣

Thuộc tính

Các cấ u hiǹ h quản lý đề câ ̣p trong mu ̣c 3.6.3

Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n])
Số đo cơ bản

Core-Passive-Int
Core-Routing-Info

Phương pháp đo

So sánh cấ u hình mẫu (khuyế n nghi)̣ với cấ u hình hiê ̣n ta ̣i xem có
khớp nhau hay không

Loại phương pháp đo


Khách quan: định lượng dựa trên các quy tắc số học.

Thang giá trị

Có/Không
- Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣


18
- Không: là không thực hiê ̣n cấ u hiǹ h tham số quản lý thiế t bi ̣
Loại thang giá trị
Đơn vị đo
Thông tin đặc tả về số đo dẫn xuất
Số đo dẫn xuất
Hàm đo lường
Thông tin đặc tả về chỉ báo
Chỉ báo

Có/Không

Mô hình phân tích
Thông tin đặc tả về tiêu chí quyết định
Tiêu chí quyết định

Theo thang giá tri ̣là “Có”/”Không”.

Kết quả bài đo
Giải thích chỉ báo


Mô tả ý nghiã từng tham số cấ u hiǹ h trên thiế t bi tầ
̣ ng phân phố i và
tầ ng lỗi

Định dạng hồ sơ đo

Báo cáo dưới da ̣ng văn bản

Các bên liên quan
Người trách nhiệm bài đo

Nhân viên phòng An toàn thông tin

Người xem xét kết quả đo

Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT trong
doanh nghiê ̣p.

Người sở hữu thông tin

Phòng An toàn thông tin

Bộ phận thu thập thông tin

Phòng vâ ̣n hành

Bộ phận trao đổi thông tin

Phòng vâ ̣n hành; Phòng An toàn thông tin


Tần suất thực hiện
Tần suất thu thập dữ liệu

Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức.

Tần suất phân tích dữ liệu

Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức.

5.5 Xuấ t báo cáo đường cơ sở an ninh
Sau khi so sánh giữa cấu hình đang hoạt động và cấu hình mẫu, chúng ta sẽ biết được cấu hình trên các
thiết bị có tuân thủ đúng với chính sách an ninh của doanh nghiệp/ tổ chức đặt ra hay không. Kết quả
báo cáo có 2 trạng thái là “Đạt” hoặc “Không đạt”
Luâ ̣n văn có xây dựng công cu ̣ đánh giá cấ u hình an ninh. Ưu điể m của công cu ̣ này so với các công cu ̣
của Cisco đó là:
- Có thể đánh giá cấ u hình an ninh của nhiề u thiế t bi ̣
- Xuấ t báo cáo tổ ng hợp phân tích tình trạng cấ u hình an ninh của toàn bộ mạng


19

5.6 Những vấ n đề đa ̣t đươ ̣c của luâ ̣n văn và những tồ n ta ̣i
Những vấ n đề đa ̣t đươ ̣c:
- Phân tích đươ ̣c tầ m quan tro ̣ng của viê ̣c quản lý cấ u hình trong công tác đảm bảo an toàn cho hê ̣ thố ng
ma ̣ng máy tính của doanh nghiê ̣p.
- Làm rõ đươ ̣c những lỗi cấ u hin
̣ ̣ng, những nguy cơ có thể xảy ra khi
̀ h an ninh trên thiế t bi ma
để tồ n ta ̣i những lỗi này; cách cấ u hin
̀ h khắ c phu ̣c lỗi.

- Đề xuấ t đươ ̣c phương pháp thu thâ ̣p cấ u hình tâ ̣p trung
- Đề xuấ t đươ ̣c phương pháp đánh giá lỗi cấ u hình.
- Xây dựng chương trin
̀ h đánh giá cấ u lỗi cấ u hiǹ h
Những vấ n đề còn tồ n ta ̣i
- Luâ ̣n văn mới chỉ đề câ ̣p đế n mô hình ma ̣ng ta ̣i mô ̣t điạ điể m, chưa mở rô ̣ng viê ̣c khảo sát hê ̣ thố ng
ma ̣ng có nhiề u chi nhánh.
- Thiế t bi ̣đề câ ̣p đế n trong luâ ̣n văn là của hañ g Cisco. Thực tế ở Viê ̣t Nam hiê ̣n nay các doanh nghiê ̣p
sử du ̣ng thiế t bi ̣ của nhiề u hãng, ví du ̣ Juniper v.v. Vì vâ ̣y cầ n xem xét đế n đă ̣c điể m cấ u hiǹ h an ninh
trên các thiế t bi ̣ của các hañ g khác nhau. Luâ ̣n văn cũng mới đề câ ̣p đế n các thiế t bi ̣ cơ bản (Switch,
Router, wireless router). Trong hê ̣ thố ng ma ̣ng còn những thiế t bi ̣ như Firewall, Server,…Vì vâ ̣y cầ n
tiế p tu ̣c nghiên cứu những thiế t bi na
̣ ̀ y để đưa ra cấ u hiǹ h an ninh phù hơ ̣p.
- Những lỗi cấ u hin
̀ h đươ ̣c chỉ ra trong luâ ̣n văn là những lỗi cấ u hiǹ h cơ bản, thường gă ̣p. Còn nhiề u
các tham số cấ u hình an ninh cầ n đươ ̣c xem xét thêm để tăng cường tính an ninh cho thiế t bi.̣


20
Những tồ n ta ̣i của luâ ̣n văn cũng chính là những vấ n đề mà luâ ̣n văn cầ n nghiên cứu phát triể n thêm để
hoàn thiê ̣n.
6. Kế t luâ ̣n
Luâ ̣n văn “Xây dựng phương pháp thu thập và đánh giá số liê ̣u lỗi cấ u hình của mạng máy tính” tâ ̣p
trung vào viê ̣c phân tích và đánh giá xem cấ u hình an ninh trên các thiế t bi ̣ ha ̣ tầ ng ma ̣ng của mô ̣t tổ
chức, doanh nghiê ̣p có tuân thủ theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức đó hay không.
Để giải quyế t vấ n đề trên, luâ ̣n văn khảo sát mô ̣t mô hiǹ h ma ̣ng máy tiń h điể n hiǹ h, đươ ̣c sử du ̣ng phổ
biế n ta ̣i các doanh nghiê ̣p. Tiế p đó luâ ̣n văn liê ̣t kê những lỗi cấ u hiǹ h an ninh mà người quản tri ̣ma ̣ng
thường mắ c phải trong khi cấ u hiǹ h các thiế t bi ma
̣ ̣ng; những lỗi cấ u hình này sẽ ta ̣o ra những điể m yế u
gì; cách thức kẻ tấ n công khai thác những điể m yế u này như thế nào; hâ ̣u quả xảy ra là gì.

Sau khi đã chỉ ra những điể m yế u nêu trên, luâ ̣n văn đề xuấ t phương pháp thu thâ ̣p số liê ̣u cấ u hiǹ h từ
các thiế t bi trên
hê ̣ thố ng ma ̣ng, đảm bảo tiń h đơn giản, thuâ ̣n tiê ̣n, chiń h xác. Phương pháp thu thâ ̣p cấ u
̣
hình đươ ̣c đưa ra dựa trên giải pháp về quy trình, con người, kỹ thuâ ̣t.
Sau khi đã thu thâ ̣p đươ ̣c số liê ̣u cấ u hình luâ ̣n văn đề xuấ t phương pháp đánh giá cấ u hình để xem cấ u
hiǹ h đó có tuân thủ theo các khuyế n nghi ̣an ninh hay không. Luâ ̣n văn đề xuấ t cách tiế p câ ̣n đánh giá
theo Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 ISO/IEC 27004:2014. Tiêu chuẩn này cung cấp
hướng dẫn về việc phát triển và sử dụng các số đo và bài đo để đánh giá hiệu lực của một hệ thống quản
lý an toàn thông tin Phương pháp chung là so sánh cấ u hình đang hoa ̣t đô ̣ng với mẫu cấ u hình an ninh
khuyế n nghi.̣ Nế u có sự khác biê ̣t thì đánh dấ u la ̣i và cầ n có giải triǹ h.
Để hoàn thiê ̣n luâ ̣n văn này, tôi xin chân thành cám ơn sự chỉ bảo hướng dẫn nhiê ̣t tình của giảng viên
hướng dẫn là TS Lê Đức Phong , sự quan tâm chỉ bảo giúp đỡ của các thầ y cô Trường ĐHCN-ĐHQGHN.


21
TÀ I LIỆU THAM KHẢO
Tiế ng Viêṭ
1. PGS.TS Trinh
̣ Nhâ ̣t Tiế n (2014), Giáo trình mâ ̣t mã và an toàn dữ liê ̣u, Đa ̣i ho ̣c công nghê ̣,
ĐHQGHN.
2. TS. Nguyễn Đa ̣i Tho ̣ (2013), Bài giảng an toàn ma ̣ng, Đa ̣i ho ̣c công nghê ̣, ĐHGHN.
3. Bô ̣ khoa ho ̣c công nghê ̣ (2014), Tiêu chuẩ n quố c gia TCVN 10542:2014, công nghệ thông tin
- các kỹ thuật an toàn - quản lý an toàn thông tin - đo lường.
4. />6. />7. />Tiế ng Anh
8. Jing Zhang, Zakir Durumeric, Michael Bailey, Mingyan Liu, Manish Karir (2014), On the
mismanagement and maliciousness of networks.
9. “Hackers focus on misconfigured networks,” 1023366976.html.
10. />11. />12. />13. CompTIA Security+
14. />15. />16. />



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×