Tải bản đầy đủ (.pdf) (111 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Khoa học xã hội

(Luận văn thạc sĩ) nghiên cứu giải pháp an toàn an ninh thông tin cho các cơ quan tổ chức dựa trên chuẩn ISO 17799 luận văn ths công nghệ thông tin 60 48 15

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.13 MB, 111 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Nguyễn Thị Thành Chung

Nghiên cứu giải pháp an toàn an ninh thông tin cho các
cơ quan tổ chức dựa trên chuẩn ISO – 17799

LUẬN VĂN THẠC SỸ

Hà Nội - 2011


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Nguyễn Thị Thành Chung

Nghiên cứu giải pháp an toàn an ninh thông tin cho các
cơ quan tổ chức dựa trên chuẩn ISO – 17799
Nghành :

Công nghệ thông tin

Chuyên nghành : Truyền dữ liệu và mạng máy tính
Mã số :

60.48.15

LUẬN VĂN THẠC SĨ
CÁN BỘ HƯỚNG DẪN KHOA HỌC :


PGS.TS Trịnh Nhật Tiến

Hà Nội - 2011


MỤC LỤC
Trang phụ bìa
Lời cam đoan
Lời cảm ơn
Mục lục .........................................................................................................1
Danh mục các thuật ngữ và các từ viết tắt ................................................3
Danh mục hình vẽ ........................................................................................ 5
MỞ ĐẦU ......................................................................................................6
Chương 1.
TỔNG QUAN VỀ AN TỒN AN NINH HỆ THỐNG THƠNG TIN ..................... 8
1.1 VẤN ĐỀ AN TỒN AN NINH HỆ THỐNG THƠNG TIN ..............8
1.1.1 Khái niệm An tồn thơng tin ........................................................... 8
1.1.2 Khái niệm An tồn Hệ thống thơng tin............................................8
1.2 CÁC NGUY CƠ VỀ AN TỒN AN NINH THƠNG TIN ..................9
1.2.1 Nguy cơ từ phía con ngƣời .............................................................. 9
1.2.2 Nguy cơ từ phía chính sách ........................................................... 11
1.2.3 Các nguy cơ trên tầng mạng .......................................................... 11
1.2.4 Nguy cơ tầng ứng dụng .................................................................14
1.3 TỔNG QUAN VỀ ISO 17799 ............................................................. 16
1.3.1 Kiểm sốt về chính sách an ninh ................................................... 16
1.3.2 Kiểm sốt về an tồn an ninh cho tổ chức .....................................16
1.3.3 Kiểm soát việc phân loại tài ngun ..............................................17
1.3.4 Kiểm sốt an tồn an ninh đối với cá nhân ....................................17
1.3.5 Kiểm sốt an tồn an ninh về mặt vật lý và mơi trƣờng ................18
1.3.6 Kiểm sốt về quản lý điều khiển, truyền thông ............................. 18

1.3.7 Kiểm soát truy cập .........................................................................19
1.3.8 Kiểm soát việc phát triển, bảo trì hệ thống ....................................20
1.2.9 Kiểm sốt các sự cố an ninh thơng tin……………………………20
1.3.10 Kiểm sốt việc quản lý kế hoạch bảo đảm sự hoạt động liên tục ..20
1.3.11 Kiểm soát sự tuân thủ qui tắc an toàn, an ninh .............................. 21
Chương 2.
HIỆN TRẠNG VỀ AN TỒN AN NINH THƠNG TIN TẠI MỘT SỐ ĐƠN VỊ
TẠI VIỆT NAM ..........................................................................................................22
1


2.1. VẤN ĐỀ AN TỒN AN NINH THƠNG TIN TẠI ĐƠN VỊ A ......22
2.1.1. Hiện trạng hạ tầng mạng và hệ thống bảo mật .............................. 22
2.1.2. Phân tích về các nguy cơ mất an toàn anh ninh ............................. 25
2.2. VẤN ĐỀ AN TỒN AN NINH THƠNG TIN TẠI ĐƠN VỊ B ........28
2.2.1. Hiện trạng hạ tầng mạng và hệ thống bảo vệ thơng tin .................28
2.2.2. Phân tích nguy cơ ..........................................................................29
2.3. NHẬN XÉT CHUNG VỀ HỆ THỐNG BẢO MẬT TẠI CÁC ĐƠN VỊ
……………………………………………………………………….30
2.3.1. Kiểm soát truy cập: ........................................................................30
2.3.2. Các biện pháp phòng chống mã độc hại: .......................................30
2.3.3. Phƣơng án cập nhật các lỗ hổng bảo mật của Microsoft: ..............32
Chương 3.
PHƢƠNG HƢỚNG GIẢI QUYẾT VẤN ĐỀ AN TỒN AN NINH THƠNG TIN
TẠI CÁC ĐƠN VỊ ......................................................................................................33
3.1. ĐỊNH HƢỚNG LỰA CHỌN GIẢI PHÁP, SẢN PHẨM GIẢM BỚT
RỦI RO…… .............................................................................................................33
3.1.1. Chọn lọc hợp lý các sản phẩm ATAN ...........................................33
3.1.2. Nhận xét chung khi đầu tƣ cho hệ thống ATAN ........................... 34
3.1.3. Các sản phẩm ATAN điển hình ..................................................... 36

3.2. LỰA CHỌN GIẢI PHÁP NHẰM GIẢM NHẸ CÁC RỦI RO DO
VIRUS GÂY RA TRÊN HỆ THỐNG CỦA ĐƠN VỊ A. ........................................68
3.2.1. Phƣơng án phòng chống mã độc hại cho mạng máy tính đơn vị A69
3.2.2. Rủi ro, nguy cơ cần đƣợc loại bỏ, giảm nhẹ trong mạng của đơn vị
A khi triển khai hệ thống chống mã độc hại......................................................... 70
3.2.3. Các đặc tính kỹ thuật của giải pháp phòng chống mã độc hại ......71
3.2.4. Đề xuất lựa chọn giải pháp phòng chống mã độc hại .................... 73
3.2.5. Các sản phẩm đƣa vào thử nghiệm trên mạng của đơn vị A .........76
3.3. KẾT QUẢ THỬ NGHIỆM .................................................................81
3.3.1. Phòng chống mã độc hại trên Gateway cho hệ thống email ..........81
3.3.2. Phòng chống mã độc hại trên Máy chủ thƣ điện tử ...................... 83
3.3.3. Phòng chống mã độc hại trên máy chủ và máy trạm ..................... 86
KẾT LUẬN…………. ................................................................................................ 96
TÀI LIỆU THAM KHẢO.......................................................................................... 97
PHỤ LỤC…….. ..........................................................................................................98

2


DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT
ADSL

Asymmetric Digital Subscriber Line

đƣờng dây thuê bao số bất đối
xứng

AD

Active Directory


AV

Antivirus

Phòng chống vi rút

ATAN

An tồn An ninh

ATTT

An tồn thơng tin

Client

Máy khách

CSDL

Cơ sở dữ liệu

CVE

Common

Vulnerabilities

and Danh mục các lỗ hổng và khả


Exposures
DHCP

Dynamic

năng phơi nhiễm
Host

Configuration Giao thức cấu hình động máy chủ

Protocol
DMZ

De-Militarized Zone

Mạng vành đai

DDoS

Distributed Denial of Service

Tấn công từ chối dịch vụ phân tán

DoS

Denial-of-Service

Tấn công từ chối dịch vụ


IP

Internet Protocol

Giao thức Internet

IDS

Intrusion Detection System

Hệ thống phát hiện xâm nhập

IPS

Intrusion Prevention System

Hệ thống chống xâm nhập

ISO 17799
FW

Bộ tiêu chuẩn an ninh thông tin
Firewall

Tƣờng lửa

HĐH
LAN

Hệ điều hành

Local Area Network

Mạng cục bộ
3


NIST

National Institute of Standart and Viện Tiêu chuẩn và Công nghệ
Technology

quốc gia Hoa kỳ

PC

Personal Computer

Máy tính cá nhân

PKI

Public Key Infrastructure

Hạ tầng mã khóa cơng khai

POP3

Post Office Protocol 3

Giao thức để lấy thƣ điện tử từ

máy chủ thƣ điện tử thông qua kết
nối TCP/IP

Server

Máy chủ

SHA

Secure Hash Algorithm

Thuật giải băm an toàn

SMTP

Simple Mail Transfer Protocol

Giao thức truyền thƣ đơn giản

TM

Trend Micro

Hãng Trend Micro

Vd

Ví dụ

RPC


Remote Procedure Call

Gọi thủ tục từ xa

UTC

Coordinated Universal Time

Giờ phối hợp quốc tế

USB

Ổ USB

User

Ngƣời dùng

VLAN

Virtual Local Area Network

Mạng cục bộ ảo

WAN

Wide Area Network

Mạng diện rộng


WSUS

Windows Server Update Services

Hệ thống cập nhật và triển khai
tập trung các miếng vá lỗ hổng
của Windows

4


DANH MỤC HÌNH VẼ
Hình 2-1 Sơ đồ mạng tổng qt của đơn vị A .............................................................. 23
Hình 2-2 Sơ đồ mạng nội bộ của đơn vị A ...................................................................24
Hình 2-3 Sơ đồ mạng tổng quát của đơn vị B .............................................................. 28
Hình 3-1 Phân loại virus của NIST ..............................................................................68
Hình 3-2 Mơ hình hình tháp ......................................................................................... 69
Hình 3-3 Đánh giá của Gartner tháng 12 năm 2007 về các nhà cung cấp giải pháp bảo
vệ Endpoint

75

Hình 3-4 Mơ hình triển khai thử nghiệm qt luồng mail từ ngồi gửi vào ................77
HÌnh 3-5 Mơ hình triển khai thử nghiệm qt mailbox ...............................................77
Hình 3-6 Mơ hình kết nối giữa TMCM với các phần mềm khác .................................79
Hình 3-7 Mơ hình triển khai thử nghiệm giải pháp phịng chống mã độc hại tổng
thể…………………………………………………………………………………….80
Hình 3-8 Thống kê số lƣợng thƣ điện tử đƣợc quét trên hệ thống IMSS..................... 81
Hình 3-9 Kết quả quét virus và Spam trên IMSS ......................................................... 82

Hình 3-10 Kết quả xử lý mã độc hại trên mailbox ....................................................... 83
Hình 3-11 Tổng quan về mã độc hại trên mailbox ....................................................... 84
Hình 3-12 Các địa chỉ email có mã độc hại nhiều nhất trong mạng ............................ 84
Hình 3-14 Kết quả xử lý mã độc hại trên các máy trạm và máy chủ ........................... 86
Hình 3-15 Biểu đồ số lƣợng file nhiễm mã độc hại phát hiện theo ngày ..................... 87
Hình 3-16 Biểu đồ số lƣợng máy bị nhiễm mà độc hại theo ngày ............................... 88
Hình 3-17 25 loại mã độc hại lây nhiễm nhiều nhất trong mạng .................................89
Hình 3-18 Chi tiết các mã độc hại phát hiện trên các máy trạm ..................................90
Hình 3-19 20 máy nhiễm mã độc hại nhiều nhất.......................................................... 91

5


LỜI MỞ ĐẦU
An toàn an ninh (ATAN) cho một hệ thống thông tin là một khái niệm bao hàm
nhiều vấn đề lớn trong đó bao gồm cả ATAN cho tài nguyên phần cứng và tài nguyên
phần mềm trên hệ thống. Việc đảm bảo ATAN thông tin không chỉ là áp dụng các giải
pháp kỹ thuật công nghệ vào hệ thống thơng tin, cần phải có một hành lang pháp lý
làm cơ sở cho việc triển khai, xây dựng các quy định về con người, về quy trình đáp
ứng đúng các quy chế về an toàn an ninh mạng.
Vấn đề đảm bảo tính bí mật đồng nghĩa với việc thơng tin trong q trình xử lý
khơng bị xem trộm, dữ liệu trao đổi trên đường truyền không bị lộ, bị đọc lén, dữ liệu
lưu trữ không bị khai thác trái phép….
Hệ thống thơng tin phải đảm bảo tính tồn vẹn. Với bất kỳ nguyên nhân chủ
quan hay khách quan nào, dữ liệu khi được truyền từ nơi này đến nới khác, hay đang
lưu trữ luôn phải đảm bảo không bị thay đổi, sửa chữa làm sai lệch nội dung thông tin.
Vấn đề kế tiếp là đảm bảo tính sẵn sàng. Hệ thống CNTT phải luôn ở trạng thái
phục vụ tốt nhất, sẵn sàng cung cấp thông tin, dịch vụ,… cho bất kỳ một yêu cầu hợp
pháp nào. Với thiết bị phần cứng, đó là việc đảm bảo thơng suốt trên đường truyền, hệ
thống khơng bị tắc nghẽn, hỏng hóc,…

Đối tượng tham gia hệ thống CNTT phải đảm bảo tính xác thực. Việc xác thực
ở đây được thể hiện trong 2 yêu cầu: Xác thực người sử dụng tham gia hệ thống và xác
thực dữ liệu do người sử dụng luân chuyển trên hệ thống. Phải có những biện pháp tối
ưu để chống lại việc lộ mật khẩu, xác định đúng quyền hạn của người tham gia giao
dịch trong hệ thống, không để xảy ra tình trạng giả mạo giữa các bên tham gia trao đổi
thơng tin.
Việc đảm bảo tính chống từ chối cũng là một yếu tố quan trọng trong việc đảm
bảo ATAN cho hệ thống CNTT. Hệ thống phải có biện pháp giám sát, đảm bảo một
đối tượng khi tham gia trao đổi thơng tin thì khơng thể từ chối, phủ nhận việc mình đã
phát hành hay sửa đổi thơng tin.
Ngoài việc đáp ứng 5 yếu tố kể trên, hệ thống ATAN còn cần phải được kiểm
tra, đánh giá thường xun, định kỳ, qua đó có được đánh giá chính xác về khả năng
ATAN của hệ thống. Cần phải đặt ra một chiến lược cụ thể, song song với việc phát
triển hạ tầng CNTT, với các ứng dụng, dịch vụ hoạt động trên hạ tầng đó.
6


Hiện nay, hầu hết các cơ quan tổ chức đều đã trang bị cho mình hạ tầng mạng
cùng các hệ thống công nghệ thông tin phục vụ các yêu cầu tác nghiệp phù hợp với
đặc thù công việc của từng đơn vị. Vấn đề đảm bảo an toàn an ninh mạng, bảo mật dữ
liệu được nhiều đơn vị quan tâm và sẵn sàng đầu tư kinh phí thực hiện. Các khuyến
nghị nêu ra các định hướng để lựa chọn giải pháp, đồng thời đưa ra các kinh nghiệm
thực tiễn phục vụ công tác quản lý ATAN hệ thống thông tin cho các cơ quan tổ chức,
dựa trên tiêu chuẩn quốc tế ISO-17799 - tiêu chuẩn để đánh giá khả năng An tồn, An
ninh cho một hệ thống Cơng nghệ thơng tin
Luận văn gồm 03 chương:
Chƣơng 1: Tổng quan về An tồn an ninh hệ thống thơng tin
Trình bày một số khái niệm về an tồn thơng tin và chuẩn ISO 17799.
Chƣơng 2: Hiện trạng an tồn an ninh thơng tin tại một số đơn vị tại Việt
Nam

Khảo sát hạ tầng mạng, hiện trạng hệ thống an toàn an ninh tạo một số đơn vị và
phân tích các nguy cơ/rủi ro.
Chƣơng 3: Phƣơng hƣớng giải quyết vấn đề an ninh an toàn tại các đơn vị
Giới thiệu định hướng lựa chọn giải pháp, sản phẩm bao gồm:
1/ Cách phân cấp nguy cơ và điểm yếu
2/ Các định hướng lựa chọn giải pháp và sản phẩm giảm bớt rủi ro.
3/ Đề xuất giải pháp nhằm làm giảm nhẹ rủi ro do mã độc hại gây ra trên hệ
thống của đơn vị đã khảo sát.
Cuối cùng, để có được bản luận văn này, tơi xin bày tỏ lịng biết ơn sâu sắc tới
các thầy cô giáo của Trường Đại học Công nghệ, Khoa Công nghệ Thông tin, Ban
Giám hiệu Trường Đại học Công nghệ đã hết sức tạo điều kiện, động viên và truyền
thụ các kiến thức bổ ích. Đặc biệt tơi xin gửi lời cám ơn chân thành đến thầy giáo
PGS.TS Trịnh Nhật Tiến cùng các đồng nghiệp tại Công ty Misoft, Công ty Mi2, Bộ
Ngoại giao, Bộ Công thương, Bộ Nội vụ, Kiểm tốn nhà nước… đã tận tình giúp đỡ để
tơi có thể hồn thành luận văn.

7


Chương 1.
TỔNG QUAN VỀ AN TOÀN AN NINH HỆ THỐNG THƠNG TIN
1.1 VẤN ĐỀ AN TỒN AN NINH HỆ THỐNG THƠNG TIN
1.1.1 Khái niệm An tồn thơng tin
An tồn thơng tin nghĩa là thông tin được bảo vệ, các hệ thống và những dịch
vụ có khả năng chống lại những tai họa, lỗi và sự tác động không mong đợi, các thay
đổi tác động đến độ an toàn của hệ thống dừng ở mức nhỏ nhất.
Hệ thống có một trong các đặc điểm sau là khơng an tồn:
- Các thơng tin dữ liệu trong hệ thống bị người không được quyền truy nhập
tìm cách lấy và sử dụng (thơng tin bị rị rỉ).
- Các thơng tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung

(thông tin bị xáo trộn).
1.1.2 Khái niệm An toàn Hệ thống thơng tin
An tồn an ninh (ATAN) cho một hệ thống thông tin là một khái niệm bao hàm
nhiều vấn đề lớn trong đó bao gồm cả ATAN cho tài nguyên phần cứng và tài nguyên
phần mềm trên hệ thống. Một hệ thống CNTT đảm bảo ATAN thông tin cần đảm bảo
5 nội dung chính sau:
 Đảm bảo tính bí mật (Confidentiality)
 Đảm bảo tính tồn vẹn (Integrity)
 Đảm bảo tính sẵn sàng (Availability)
 Đảm bảo tính xác thực (Authentication)
 Đảm bảo tính chống từ chối (Non-repudiation)
An tồn của một hệ thống thông tin thực chất là sự đảm bảo an ninh ở mức độ
chấp nhận được. Muốn hệ thống thông tin an tồn thì trước hết phải có sự đảm bảo
thông tin trên cơ sở mạng truyền dữ liệu thông suốt. Hiện nay, khái niệm An tồn
thơng tin bao gồm cả khái niệm Bảo mật nội dung thông tin. Như vậy, an tồn bảo mật
hệ thống thơng tin là đảm bảo hoạt động lưu thơng và bí mật về nội dung thông tin
được truyền tải cho những thành phần của hệ thống ở mức độ chấp nhận được.

8


1.2 CÁC NGUY CƠ VỀ AN TỒN AN NINH THƠNG TIN
1.2.1 Nguy cơ từ phía con ngƣời
Nguy cơ từ phía con người là các sự kiện gây ra bởi con người, bao gồm vơ ý
(lỗi nhập liệu,…) hay cố tình (tấn cơng mạng, đăng tải các phần mềm có hại, truy cập
trái phép thông tin mật,…)

 Động cơ và các hành vi của nguy cơ:
Bảng sau chỉ ra các động cơ và các phương pháp phá hoại do con người. Thơng
tin này sẽ giúp ích cho các cơ quan tổ chức biết được mơi trường có nguy cơ về con

người và tùy biến các biên bản về nguy cơ do yếu tố con người. Thêm vào đó, xun
suốt q trình thu thập thông tin, việc kiểm duyệt các vụ xâm phạm hệ thống, biên bản
sai phạm bảo mật, biên bản ghi sự cố, và các cuộc phỏng vấn các quản trị viên hệ
thống và bộ phận hỗ trợ, đều góp phần vào việc xác định các nguồn gốc nguy cơ có
thể gây hại cho hệ thống và dữ liệu và đó có thể là các vấn đề quan tâm, nơi các điểm
yếu hiện hữu
Bảng 1: Nguồn gốc nguy cơ, Động cơ và Hành vi
Nguồn gốc nguy cơ
Hacker, cracker

Động cơ

Hành vi

- Thách thức

- Hacking

- Lòng tự trọng

- Social Engineering

- Nổi loạn

- Xâm nhập hệ thống
- Truy cập hệ thống trái phép

Tội phạm vi tính

- Phá hủy thơng tin


- Tội phạm vi tính

- Phổ biến thơng tin bất - Các hành vi lừa gạt (giả mạo, ngăn
hợp pháp

chặn)

- Ăn trộm tiền

- Mua chuộc thông tin

- Thay đổi dữ liệu trái - Lừa bịp
phép
Khủng bố

- Thư

- Xâm nhập hệ thống
nặc

danh - Đặt bom/khủng bố

(blackmail)

- Chiến tranh thông tin

- Phá hủy

- Tấn công hệ thống (tấn công từ


- Khai thác

chối dịch vụ phân tán)

- Trả thù

- Thâm nhập hệ thống
9


- Quấy nhiễu hệ thống
Tình

báo

(các - Ưu thế cạnh tranh

- Khai thác kinh tế

cơng ty, chính phủ - Tình báo kinh tế

- Ăn cắp thông tin

nước

- Xâm phạm quyền riêng tư cá nhân

ngồi,


các

mối quan tâm khác

- Social engineering

của chính phủ)

- Thâm nhập hệ thống
- Truy cập trái phép hệ thống (truy
cập thông tin đã được phân loại,
và/hoặc liên quan tới cơng nghệ)

Những người tấn - Tị mị

- Sỉ vả một nhân viên

cơng

phía

bên - Lịng tự trọng

- Thư nặc danh (blackmail)

trong

(thiếu

đào - Trí tuệ


- Duyệt thơng tin

tạo, bất mãn, dã - Ăn cắp tiền

- Lạm dụng máy tính

tâm, cẩu thả, dối - Trả thù

- Ăn trộm và phạm lỗi

trá, hoặc nhân viên - Những lỗi vô ý (lỗi - Mua chuộc thơng tin
đã bị sa thải)

nhập liệu, lỗi lập trình)

- Nhập dữ liệu đã bị hỏng hoặc sai
- Các mã độc hại (virus, logic bom,
Trojan)
- Bán thông tin cá nhân
- Lỗi hệ thống
- Xâm nhập hệ thống
- Phá hủy hệ thống
- Truy cập trái phép hệ thống

Sau khi xác định các nguồn đe dọa thì các tấn cơng có thể được thực hiện. Bản
liệt kê các nguồn đe dọa tiềm ẩn nên được điều chỉnh tùy theo cơ quan/tổ chức và mơi
trường vận hành của từng cơ quan/tổ chức (ví dụ: các thói quen sử dụng vi tính của
người dùng). Rất nhiều tổ chức và chính phủ đã xác định được các nguy cơ biết trước.
Các công cụ phát hiện xâm nhập đang ngày càng trở nên phổ biến, các tổ chức và

chính phủ liên tục thu thập dữ liệu sau các sự kiện an ninh bảo mật, vì thế tăng cường
khả năng đánh giá các nguy cơ. Các nguồn thông tin bao gồm:
-

Các cơ quan tình báo
10


-

Trung tâm khắc phục sự cố liên bang (Federal Computer Incident Response
Center or FedCIRC)

-

Các phương tiện thông tin đại chúng, cụ thể là các website như:
www.securityfocus.com, www.securitywatch.com, www.securityportal.com và
www.sans.org

1.2.2 Nguy cơ từ phía chính sách
Hiện tại các cơ quan tổ chức chưa có một chính sách nào về An tồn an ninh
cho hệ thống công nghệ thông tin. Như đã biết, để bảo vệ an tồn thơng tin, các đơn vị
cần phải kết hợp các biện pháp kỹ thuật với các biện pháp quản lý, kiểm soát. Trách
nhiệm thiết lập và thực hiện các công việc và nhiệm vụ khác nhau địi hỏi phải có một
chính sách quản lý từ mức cao xuống mức thấp.
Nếu khơng có một chính sách đầy đủ, rõ ràng thì việc thực hiện các tiêu chuẩn
và thủ tục là khơng thể. Một chính sách tổng thể sẽ giúp đơn vị thi hành các thủ tục
đúng đắn dựa trên các tiêu chuẩn được công nhận và triển khai rộng rãi, thực tiễn và
hiệu quả.
Nguy cơ không có chính sách sẽ là nguy cơ cao nhất, ảnh hưởng tới tồn bộ hệ

thống thơng tin, vì chính sách là nền tảng cho mọi vấn đề: thiết lập, sửa đổi, quản lý,
vận hành, kiểm tra, bảo trì … cho hệ thống thơng tin. Khơng có chính sách thì hệ
thống hồn tồn thiếu tính đồng bộ, chun nghiệp và sẽ phải vất vả và tốn thời gian,
công sức và tiền bạc, mỗi khi có một vấn đề xảy ra cần phải giải quyết. Có được một
chính sách sẽ tiết kiệm được thời gian, tiền bạc và công sức để xử lý mọi vấn đề tương
tự khi chúng lại xảy ra.
1.2.3 Các nguy cơ trên tầng mạng
1.2.3.1 Các nguy cơ tấn công xâm nhập mạng trái phép
Mạng của các đơn vị cần phải đối mặt với các nguy cơ gây mất an ninh từ
Internet, từ các mạng bên ngoài, PC nội bộ. Các tấn cơng, xâm nhập thường có mục
tiêu chính cuối cùng là các máy chủ. Tấn công vào máy chủ thường gây nên thiệt hại
lớn nhất cho hệ thống. Việc tấn cơng vào các máy chủ có thể phải qua các bước trung
gian là tấn công vào các máy trạm với sự bảo mật kém chặt chẽ hơn. Đối với mạng đã
có Firewall, Hacker và các con sâu trên Internet (worm) vẫn có thể xâm nhập bằng
cách thực hiện kết nối tới các cổng dịch vụ hợp lệ.
Các nguy cơ tấn công bao gồm:
11


1/ Các hành vi dò quét
Bất cứ sự xâm nhập vào một môi trường mạng nào đều bắt đầu bằng cách thăm
dị để tập hợp thơng tin người dùng, cấu trúc hệ thống bên trong và các điểm yếu bảo
mật.Việc thăm dò được tiến hành theo các bước thăm dò thụ động (thu thập các thông
tin được công khai) và thăm dị chủ động (sử dụng các cơng cụ để tìm kiếm thơng tin
trên máy nạn nhân). Các cơng cụ dị qt được các hacker chun nghiệp thiết kế và
cơng bố rộng rãi trên Internet. Các công cụ thường hay dùng: Nmap, Essential
Network tools,… thực hiện các hành động Port Scan, Ping Sweep, Packet Sniffer,
DNS Zone Transfer…
2/ Các tấn công từ chối dịch vụ (Denial of Service Attacks)
Kiểu tấn công này cịn gọi là tấn cơng từ chối dịch vụ. Đây là kiểu tấn cơng khó

phịng chống nhất và trên thế giới vẫn chưa có cách phịng chống triệt để. Nguyên tắc
chung của cách tấn công này là hacker sẽ gửi liên tục nhiều yêu cầu phục vụ đến máy
nạn nhân. Máy bị tấn công sẽ phải trả lời tất cả yêu cầu này. Khi yêu cầu gửi đến quá
nhiều, máy bị tấn công sẽ không phục vụ kịp dẫn đến việc đáp ứng yêu cầu của các
máy hợp lệ sẽ bị chậm trễ, thậm chí ngừng hẳn. Máy bị tấn cơng sẽ bị ngừng hoạt
động hoặc thậm chí cho phép hacker nắm quyền điều khiển.
3/ Các hành vi khai thác lỗ hổng bảo mật
Các hệ điều hành, CSDL, các ứng dụng ln có những điểm yếu xuất hiện hàng
tuần thậm trí hàng ngày. Những điểm yếu này thường xuyên được công bố rộng rãi
trên nhiều website về bảo mật. Do vậy các điểm yếu của hệ thống là nguyên nhân
chính của các tấn cơng, một thống kê cho thấy hơn 90% các tấn công đều dựa trên các
lỗ hổng bảo mật đã được công bố. Đối với một hệ thống mạng có nhiều máy chủ, máy
trạm, việc cập nhật các bản vá lỗ hổng bảo mật là một công việc địi hỏi tốn nhiều thời
gian, khó có thể làm triệt để với các loại hệ điều hành, các loại CSDL hay ứng dụng,
như vậy việc tồn tại các lỗ hổng bảo mật tại một số điểm trên mạng là một điều chắc
chắn. Những hành vi khai thác các lỗ hổng bảo mật này và tấn công vào mạng là một
mối đe doạ nghiêm trọng tới an ninh hệ thống.

12


4/ Các tấn công kiểu con ngựa thành Troy (Trojan Horse Attacks)
Tấn công này sử dụng các phần mềm được nguỵ trang để đánh lừa người sử
dụng hoặc hệ thống, cung cấp những thơng tin hữu ích hoặc để lộ những điểm yếu về
bảo mật. Ví dụ kinh điển là giả đăng nhập vào một hệ thống mạng và yêu cầu người sử
dụng cung cấp thông tin về mail address, username, pass, rồi gửi các thơng tin đó cho
hacker.
5/ Các tấn công vào ứng dụng (Application-Level Attacks)
Đây là các tấn công nhằm vào các phần mềm ứng dụng mức dịch vụ. Thông
thường các tấn công này, nếu thành công, cho phép kẻ xâm nhập nắm được quyền điều

khiển các dịch vụ và thậm chí cả quyền điều khiển máy chủ bị tấn công.
1.2.3.2 Các nguy cơ về Virus
Các con đường mà virus máy tính có thể xâm nhập vào như sau:

 Từ Internet vào các máy tính bên trong mạng khi kết nối vào mạng Internet.
 Do người dùng sao chép dữ liệu từ đĩa mềm, thiết bị lưu trữ bên ngồi có
nhiễm Virus.

 Từ chính các máy đã lây nhiễm virus trong mạng lây lan sang nhau.
 Virus xâm nhập thông qua e-mail.
Con đường lây nhiễm virus của các virus thế hệ mới chủ yếu lây nhiễm qua
email và thông qua hệ thống mạng, lỗ hổng hệ điều hành. Mục tiêu bị virus tấn công
ngày càng mở rộng, không chỉ đơn thuần là các máy tính đơn lẻ nữa. Mục tiêu ưa thích
của virus máy tính thế hệ mới là băng thơng mạng và số lượng lớn máy tính.
Tốc độ lây nhiễm ngày càng khủng khiếp, chỉ trong vòng vài giờ chúng đã có
thể phát tán tới hàng triệu máy tính đi cùng là khả năng gây bùng nổ virus trong mạng
cũng cao không kém.
Tổn thất do Virus gây ra ngày càng lớn, con số thống kê về thiệt hại do virus
gây ra năm sau cao hơn hẳn năm trước, ngồi ra các virus hiện nay khơng chỉ gây ra
tổn thất đối với mục tiêu bị lây nhiễm mà chúng còn gây ra mối nguy hiểm khác bằng
cách sử dụng hệ thống bị lây nhiễm như một công cụ để tấn công đồng loạt vào các
mục tiêu khác.
Kỹ thuật tấn công của virus hiện nay là các kỹ thuật rất tiên tiến, chúng sử dụng
các biện pháp, kỹ thuật hỗn hợp chứ không đơn thuần, đơn giản như trước. Một virus
13


mới có thể lây nhiễm vào hệ thống rồi phá hoại hệ thống, nhưng chúng còn mở các
cổng hậu (backdoor) để cho các hacker hoặc một chương trình tấn cơng khác tấn công
vào hệ thống.

1.2.4 Nguy cơ tầng ứng dụng
Các nguy cơ tấn công vào tầng ứng dụng gồm:
1.2.4.1 Đánh cắp định danh (Credential Theft)
Kẻ tấn công truy cập trái phép vào ứng dụng khơng có cơ chế bảo vệ dùng
username và password hoặc sử dụng password yếu. Kẻ tấn cơng có thể sử dụng các
cơng cụ sniffer để “đánh hơi” và ăn cắp mật khẩu của người dùng trong quá trình xác
thực đăng nhập vào ứng dụng.
Để ngăn chặn nguy cơ này cần sử dụng phương pháp mã hoá mật khẩu khi xác
thực.
1.2.4.2 Functional Manipulation
Đây là một hành vi trong một tấn cơng mà kẻ xâm nhập có thể thao tác với ứng
dụng và sử dụng các tính năng không được phép.
1.2.4.3 Lộ thông tin (Data Exposure)
Nguy cơ bị lộ hoặc bị thay đổi các thông tin nhạy cảm đối với các user truy cập
trái phép. Các tấn công trong trường hợp này có thể xuất phát từ bên trong hoặc bên
ngồi hệ thống.
1.2.4.4 Tấn cơng từ chối dịch vụ tầng tứng dụng (Application DoS)
Tấn công từ chối dịch vụ tầng ứng dụng (Application DOS) - Việc tấn công từ
chối dịch vụ vào tầng ứng dụng sẽ làm giảm khả năng phục vụ của hệ thống hoặc làm
cho hệ thống ngừng hoạt động.
Để giảm bớt nguy cơ tấn công vào tầng ứng dụng cần sử dụng các firewall
thông minh có khả năng chống tấn cơng tầng ứng dụng.
1.2.4.5 Nguy cơ về virus
Nguy cơ này chủ yếu bắt nguồn qua việc giao dịch thư điện tử, download
chương trình từ Internet, lây lan virus qua các thư mục chia sẻ trong mạng nội bộ…
Để giải quyết vấn đề này cần có giải pháp tổng thể để phòng chống virus tại tất
cả các điểm có nguy cơ lây nhiễm và lan truyền virus.

14



1.2.4.6 Nguy cơ do các ứng dụng trong hệ thống
Nguy cơ bị tấn công dựa vào điểm yếu của các ứng dụng trong hệ thống. Nguy
cơ này xuất phát từ các điểm yếu nằm trong các ứng dụng. Hầu hết các ứng dụng đều
ngầm chứa những lỗ hổng an ninh, các lỗ hổng đều có nguy cơ bị khai thác để tấn
cơng vào hệ thống. Vì vậy cần thường xun theo dõi thông tin từ nhà cung cấp sản
phẩm để có những biện pháp kịp thời nếu có bản sửa lỗi hoặc cập nhật từ nhà cung
cấp. Quét điểm yếu tầng ứng dụng là cách hiệu quả để tìm ra các lỗ hổng an ninh. Các
cơng cụ dị qt điểm yếu cần được chạy thường xuyên. Nguyên tắc hoạt động chung
của các cơng cụ dị qt điểm yếu là tấn công thử vào ứng dụng dựa trên một tập các
dấu hiệu (signatures) và các thuật toán.

15


1.3 TỔNG QUAN VỀ ISO 17799
ISO-17799 là tiêu chuẩn quốc tế để đánh giá khả năng An toàn, An ninh cho
một hệ thống Công nghệ thông tin. Tiêu chuẩn này đề cập tới 11 vấn đề cần phải được
kiểm soát để đảm bảo an toàn an ninh cho một hệ thống Cơng nghệ thơng tin.
1.3.1 Kiểm sốt về chính sách an ninh
Kiểm sốt về chính sách an ninh (Security Policy Control) chỉ ra việc phải có
sự ủng hộ của hệ thống quản lý và các nhà quản lý, cùng với các cam kết nội bộ và các
chỉ dẫn nhằm đạt được các mục tiêu về an toàn an ninh cho hệ thống thơng tin. Kiểm
sốt về chính sách an ninh bao gồm:
 Thành lập các tài liệu về chính sách an toàn an ninh: các chỉ dẫn, các các
thủ tục, các chỉ dẫn về thiết lập hệ thống, các chính sách bắt buộc về an toàn an ninh.
 Xác định quyền hạn đối với việc thiết lập chính sách an toàn an ninh và chu
kỳ cho việc tái kiểm tra chính sách.
1.3.2 Kiểm sốt về an tồn an ninh cho tổ chức
Kiểm sốt về an tồn an ninh thơng tin cho tổ chức (Organisational Security

Control) chỉ ra việc cần phải có một khung điều hành-quản lý nhằm xây dựng, duy trì
và quản trị hạ tầng về an tồn an ninh. Việc kiểm soát này bao gồm:
 Thành lập một Ban có trách nhiệm soạn thảo và ban hành các qui định về
quản lý an tồn thơng tin trong tổ chức.
 Bổ nhiệm chức danh "Quản trị hệ thống an toàn - an ninh thơng tin", có
nhiệm vụ thực thi và điều phối các hoạt động về đảm bảo an toàn an ninh cho hệ thống
thông tin.
 Phân định trách nhiệm về an tồn an ninh thơng tin trong tổ chức, việc phân
định này phải được xác định cho từng vị trí cụ thể trong cơ quan/tổ chức.
 Mọi thay đổi đối với hệ thống an tồn an ninh thơng tin đều phải được xem
xét và đánh giá một cách kỹ lưỡng bởi những người có thẩm quyền.
 Liên hệ chặt chẽ với các chuyên gia độc lập về an toàn an ninh để có được
các ý kiến độc lập cho cơ quan/tổ chức.
 Tạo cơ chế cho phép các chuyên gia độc lập bên ngoài tổ chức đánh giá
mức độ hoàn thiện của hệ thống.

16


 Tạo cơ chế cho phép các đối tác hoạt động kết hợp với hệ thống của cơ
quan/tổ chức nhưng phải dựa trên các yêu cầu chặt chẽ.
 Đối với các hoạt động "outsourcing", phải có các cam kết rõ ràng và cụ thể
về an tồn an ninh.
1.3.3 Kiểm sốt việc phân loại tài nguyên
Kiểm soát việc phân loại tài nguyên (Asset Classification and Control) chỉ ra
năng lực bảo vệ của hạ tầng an toàn - an ninh đối với các tài nguyên của tổ chức. Kiểm
soát này bao gồm:
 Duy trì cơ chế để kiểm sốt và liệt kê các tài nguyên hiện có, chỉ ra ai đang
sử dụng và sở hữu tài nguyên nào.
 Tạo ra cơ chế để phân loại tài nguyên dựa trên yêu cầu về công việc.

 Dán nhãn và phân loại tài nguyên theo chuẩn thống nhất.
 Quản lý việc sử dụng, di chuyển, loại bỏ các tài nguyên theo qui định thống
nhất.
1.3.4 Kiểm sốt an tồn an ninh đối với cá nhân
Kiểm sốt an ninh đối với cá nhân (Personnel Security Control) chỉ ra năng lực
của tổ chức trong việc giảm nhẹ rủi ro về an tồn an ninh thơng tin do cá nhân gây ra.
 Lập ra chính sách truy nhập và sử dụng tài nguyên phù hợp với qui tắc, qui
định của cơ quan/tổ chức. Chính sách này có thể dựa trên sự kết hợp giữa chức trách
nhiệm vụ của cá nhân với chính sách phân loại tài nguyên.
 Từng cá nhân phải được hiểu rõ ràng về trách nhiệm đối với an tồn an ninh
thơng tin bằng các chỉ dẫn và cam kết.
 Công nhân viên phải được hiểu rõ về trách nhiệm của họ đối với an toàn an ninh thông tin như một điều kiện tuyển dụng.
 Đào tạo nâng cao nhận thức về an toàn an ninh thông tin là điều kiện bắt
buộc đối với tất cả các nhân viên.
 Có biện pháp xử lý đối với các vi phạm về chính sách an tồn an ninh thông
tin.

17


1.3.5 Kiểm sốt an tồn an ninh về mặt vật lý và mơi trƣờng
Kiểm sốt an tồn an ninh về mặt vật lý và môi trƣờng (Physical and
Environmental Security Control) chỉ ra viện phải tiên liệu trước các ảnh hưởng về vật
lý và mơi trường đến an tồn an ninh hệ thống thơng tin. Việc kiểm sốt này bao gồm:
 Nên thiết lập và phân tích các giả thiết đối với tổn hại do môi trường gây ra
(động đất, lũ lụt, ...)
 Nên có giả thiết và định nghĩa rõ ràng về các biện pháp bảo vệ về mặt vật lý
vịng ngồi, phân chia thành các vùng được bảo vệ trên cơ sở yêu cầu của cơ quan/tổ
chức.
 Kiểm soát quyền ra/vào cơ quan/tổ chức theo một bảng phân loại.

 Các thiết bị nên được lắp đặt trong sự tiên liệu truớc các ảnh hưởng của mơi
trường.
 Có cơ chế kiểm sốt an ninh ở vịng ngồi đối với việc di chuyển tài nguyên
 Có các qui tắc, qui định về kiểm soát bảo vệ các thiết bị lưu dữ liệu, bảo vệ
màn hình khi rời khỏi máy tính,...
1.3.6 Kiểm sốt về quản lý điều khiển, truyền thơng
Kiểm sốt về quản lý điều khiển và quản lý truyền thông (Communications
and Operations Management) chỉ ra khả năng của một tổ chức trong đảm bảo chính
xác và an tồn q trình vận hành của các tài nguyên trong cơ quan/tổ chức. Hành
động này bao gồm:
 Thiết lập qui trình vận hành: là tập hợp hồn chỉnh các qui trình tn thủ
theo các chính sách và tiêu chuẩn của cơ quan/tổ chức.
 Kiểm sốt việc thay đổi và cấu hình lại các hệ thống bảo đảm an tồn an
ninh.
 Có cơ chế để kịp thời đối phó với các sự cố mất an tồn thơng tin.
 Phân chia trách nhiệm rõ ràng và luân chuyển vai trò nhằm giảm thiểu khả
năng bị lộ bí mật do thơng đồng bởi các nhân viên xấu.
 Có cơ chế theo dõi và kế hoạch đảm bảo tính hoạt động liên tục của tổ
chức.
 Có phương pháp luận trong việc đánh giá độ bí mật, độ tồn vẹn, độ sẵn
sàng của hệ thống thông tin, ba yếu tố trên phải tiếp tục được đảm bảo sau mỗi thay
đổi của hệ thống an toàn an ninh.
18


 Kiểm soát các hành động giảm nhẹ sự xâm nhập của các đoạn mã phá hoại.
 Thiết lập các chính sách, các tiêu chuẩn, các hướng dẫn, các qui trình để
duy trì các hoạt động quản trị (ví dụ như backup theo định kỳ, ghi log).
 Kiểm soát, điều hành một cách an toàn-bảo mật hạ tầng mạng.
 Quản lý và kiểm soát chặt chẽ việc sử dụng và loại bỏ các thiết bị lưu trữ

thông tin cũng như tài liệu.
 Quản lý và kiểm soát chặt chẽ việc trao đổi/truyền thơng tin.
1.3.7 Kiểm sốt truy cập
Kiểm sốt truy cập (Access Control) chỉ ra khả năng của cơ quan/tổ chức
trong việc kiểm soát sự truy cập vào các tài nguyên theo yêu cầu công việc và theo yêu
cầu bảo mật, bao gồm:
 Có chính sách quản lý việc truy cập vào tài nguyên của cơ quan/tổ chức
theo yêu cầu công việc và yêu cầu thông tin của từng cá nhân .
 Có cơ chế để:
-

Đăng ký hoặc loại bỏ user.

-

Kiểm tra kiểm sốt q trình truy cập và quyền hạn truy cập.

-

Quản trị mật khẩu.

 Thiết lập chính sách và cơ chế thích hợp để kiểm sốt truy cập mạng:
-

Xác thực ở các điểm truy cập.

-

Xác thực cho những người dùng bên ngoài cơ quan/tổ chức.


-

Định nghĩa rõ ràng về chính sách định tuyến .

-

Kiểm sốt việc bảo vệ thiết bị mạng.

-

Duy trì việc phân tách mạng thành các vùng khác nhau.

-

Kiểm soát việc kết nối và truy cập mạng.

-

Duy trì chế độ an tồn an ninh cho các dịch vụ mạng.

 Thiết lập cơ chế kiểm soát truy cập vào máy chủ nhằm:
-

Tự động nhận diện kết nối từ trạm làm việc.

-

Bảo mật khi đăng cập.

-


Xác thực người sử dụng.

-

Quản lý mật khẩu đăng cập.

-

Bảo vệ các tài nguyên hệ thống.

-

Giới hạn khả năng thao tác của user.
19


 Có chính sách để giới hạn quyền truy cập ứng dụng dựa trên quyền hạn và
mức độ phân quyền của người sử dụng.
 Có cơ chế để theo dõi các hành động truy cập hệ thống và phát hiện các
truy cập bất hợp pháp.
 Thiết lập chính sách và tiêu chuẩn chỉ ra việc bảo vệ tài nguyên, bảo mật
truy cập và trách nhiệm của những người sử dụng kết nối từ bên ngồi hệ thống.
1.3.8 Kiểm sốt việc phát triển, bảo trì hệ thống
Kiểm sốt việc phát triển và bảo trì hệ thống (System Development and
Maintenance Control) chỉ ra khả năng của cơ quan/tổ chức đảm bảo chắc chắn rằng hệ
thống an tồn an ninh thơng tin phối hợp hoạt động chặt chẽ với nhau và được bảo
hành, bảo trì tốt. Kiểm sốt này bao gồm:
 Phải có những yêu cầu xác định trước về an toàn an ninh đối với những hệ
thống thiết bị mới phát triển hoặc những hệ thống thiết bị mới trang bị.

 Phải có chính sách, tiêu chuẩn và qui trình cho việc sử dụng và bảo trì của
hệ thống kiểm sốt mã hố.
 Có cơ chế để kiểm sốt truy nhập vào dữ liệu và phần mềm, kiểm sốt tính
tồn vẹn của phần mềm và dữ liệu bao gồm các tiến trình để theo dõi, đánh giá, và
phối hợp chặt chẽ trong việc nâng cấp cũng như vá các lỗ hổng bảo mật.
 Tích hợp các thành phần kiểm sốt việc trao đổi, các kỹ thuật ghi log vào
quá trình phát triển để đảm bảo tính chất an tồn khi phát triển hệ thống.
1.3.9 Kiểm sốt các sự cố an ninh thơng tin
Kiểm sốt các sự cố an ninh thơng tin (Information Security Incident
Management Control) là khả năng kiểm soát và đưa ra phương án xử lý các tình huống
gây mất an ninh thông tin. Các công việc phải thực hiện bao gồm:
 Lập báo cáo về các sự kiện an ninh thông tin và các điểm yếu.
 Quản lý các sư cố an ninh thông tin và phương án khắc phục.
1.3.10 Kiểm soát việc quản lý kế hoạch bảo đảm sự hoạt động liên tục
Kiểm soát việc quản lý kế hoạch bảo đảm sự hoạt động liên tục của cơ quan/tổ
chức (Business Continuity Management Control) là khả năng ngăn ngừa việc gián
đoạn các hoạt động của cơ quan/tổ chức do các sự cố về hệ thống thông tin. Bao gồm:
 Lập kế hoạch hoạt động liên tục trên cơ sở phân tích các yêu cầu tác động
đến tính liên tục trong hoạt động.

20


 Có phương thức kiểm tra khả năng hoạt động liên tục của tổ chức, phải văn
bản hoá phương thức kiểm tra.
 Xác định rõ ràng các chủ thể và đối tượng của kế hoạch đảm bảo liên tục
hoạt động của cơ quan/tổ chức. Liên tục đánh giá và duy trì kế hoạch này.
1.3.11 Kiểm sốt sự tn thủ qui tắc an tồn, an ninh
Kiểm sốt sự tn thủ qui tắc an toàn an ninh (Compliance Control) chỉ ra khả
năng của cơ quan/tổ chức trong việc liên tục tuân thủ các qui định, qui tắc, cam kết về

yêu cầu an toàn an ninh, bao gồm:
 Nâng cao nhận thức về:
-

Thiết lập các qui chế liên quan đến an toàn an ninh thơng tin.

-

Bảo vệ sở hữu trí tuệ.

-

Bảo vệ các tài liệu lưu trữ của tổ chức.

-

Đảm bảo bí mật của dữ liệu cá nhân.

-

Phòng chống việc lạm dụng hệ thống thơng tin.

-

Qui tắc mã hố.

-

Thu thập chứng cứ.


 u cầu về kỹ thuật: thiết lập cơ chế về kỹ thuật để thực thi việc kiểm tra
chính sách an ninh và sự hoàn chỉnh của hệ thống an toàn an ninh.
 Kiểm soát/kiểm toán hệ thống nhằm kiểm soát được tối đa về hiệu quả sử
dụng của hệ thống, giảm thiểu sự cố.

21


Chương 2.
HIỆN TRẠNG VỀ AN TỒN AN NINH THƠNG TIN TẠI MỘT SỐ ĐƠN
VỊ TẠI VIỆT NAM
2.1.

VẤN ĐỀ AN TOÀN AN NINH THÔNG TIN TẠI ĐƠN VỊ A

2.1.1. Hiện trạng hạ tầng mạng và hệ thống bảo mật
Hiện trạng mạng thơng tin của Trụ sở chính của đơn vị A về cơ bản được chia
làm 2 nhóm mạng:
 Mạng kết nối Internet/WAN
 Mạng nội bộ không kết nối Internet
1/ Hệ thống mạng có kết nối Internet bao gồm các thành phần nhƣ sau:
 Kết nối Internet: có 2 đường Leased Line và 4 đường ADSL của ISP.
 Trong mạng đã phân chia làm các vùng cơ bản như:
o Vùng kết nối Internet, kết nối tới các đơn vị khác
o Vùng DMZ public các dịch vụ: Web, mail, máy chủ xác thực.
o Vùng mạng LAN có chia VLAN để tách khối văn phòng và khối các
máy chủ quản lý và cung cấp dịch vụ nội bộ
 Mạng Trụ sở chính đơn vị A kết nối với các đơn vị qua cáp quang nếu trong
phạm vi Hà Nội, ADSL cho các đơn vị ở xa. Các đơn vị kết nối về Trung tâm
qua hình thức VPN.

 Các thiết bị mạng cơ bản đã có Routers, Switch, Model LeasedLine, ADSL…
 Tổng số máy trạm trong mạng là ~100 PCs. Máy chủ có ~20 Servers.
2/ Về bảo mật, hệ thống mạng Trụ sở chính đơn vị A cơ bản đã có:
 Đã phân tách được các vùng mạng cơ bản như DMZ, Server Farm, vùng Mạng
LAN bằng hệ thống Firewall.
 Firewall bảo vệ Internet hiện đang dùng Check Point Firewall chạy trên Nokia.
 Firewall bảo vệ vùng ServerFarm hiện đang dùng Cisco PIX 525
 Thiết bị phát hiện và chống tấn công xâm nhập hiện đang dùng là Proventia
Network IPS GX4004 của IBM ISS
 Các đơn vị đều có Firewall bảo vệ mạng LAN và làm VPN về Trung tâm.
 Các máy trạm và máy chủ cài đặt nhiều phần mềm diệt virus đơn lẻ khác nhau:
BKAV, Symantec, AVG.

22


3/ Sơ đồ mạng tổng quát:

Hình 2-1 Sơ đồ mạng tổng quát của đơn vị A

4/ Hệ thống mạng nội bộ khơng kết nối Internet:
 Các máy tính, máy chủ kết nối ngang hàng với nhau trong mạng. Khơng có kết
nối Internet.
 Các ứng dụng hệ thống ban gồm DNS, DHCP, AD Server chỉ phục vụ riêng
trong nội bộ mạng.
 Mạng thông tin nội bộ hiện nay được sử dụng vào việc tra cứu và nghiên cứu
nội bộ.

23



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×