Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 101 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
101
Dung lượng
2,73 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI -o0o— - LUẬN VĂN THẠC SỸ KHOA HỌC BẢO MẬT CHO DOANH NGHIỆP VÀ ỨNG DỤNG MÃ NGUỒN MỞ TRONG BẢO MẬT CHO DOANH NGHIỆP NGÀNH: ĐIỆN TỬ VIỄN THÔNG MÃ SỐ: TRẦN NGỌC SƠN Người hướng dẫn khoa học: PGS.TS NGUYỄN VIỆT HƯƠNG Hà Nội 2007 Trang Mục lục Mục lục DANH SÁCH HÌNH VẼ ĐẶT VẤN ĐỀ CHƯƠNG I: CÁC CHUẨN AN TỒN THƠNG TIN 1.1 GIỚI THIỆU CHUNG .6 1.2 CHUẨN ISO/IEC 27001:2005 1.2.1 Giới thiệu ISO/IEC 27001:2005 .8 1.2.2 Hệ thống quản lý an tồn thơng tin .9 1.2.2.1 Yêu cầu chung 1.2.2.2 Thiết lập quản lý hệ thống an tồn thơng tin 1.2.2.3 Các yêu cầu tài liệu 13 1.2.3 Trách nhiệm quản lý 14 1.2.3.1 Giao phó quản lý 14 1.2.3.2 Quản lý tài nguyên 15 1.2.4 Kiểm tra chất lượng ISMS bên 15 1.2.5 Xem xét lại quản lý ISMS 16 1.2.5.1 Tổng quan 16 1.2.5.2 Đầu vào trình xét lại 16 1.2.5.3 Đầu trình xét lại 16 1.2.6 Cải thiện ISMS 17 1.2.6.1 Cải thiện liên tục 17 1.2.6.2 Hành động sửa lỗi 17 1.2.6.3 Hành động ngăn cản 18 1.3 CHUẨN ISO/IEC 17799:2000 18 1.3.1 Giới thiệu chuẩn ISO/IEC 17799:2000 18 1.3.2 Chính sách an tồn thơng tin 18 1.3.3 Bảo mật có tổ chức 20 1.3.3.1 Cơ sở hạ tầng an tồn thơng tin 20 1.3.3.2 An toàn việc truy cập tổ chức thứ ba 20 1.3.3.3 Thuê nhân lực bên 21 1.3.4 Phân loại kiểm soát tài nguyên 22 1.3.4.1 Định trách nhiệm tài nguyên 22 1.3.4.2 Phân loại thông tin 22 1.3.5 Bảo mật nhân .22 1.3.5.1 An toàn xác định công việc tài nguyên 22 1.3.5.2 Đào tạo người dùng 23 1.3.5.3 Đối phó với cố an tồn thơng tin 23 1.3.6 An toàn vật lý môi trường 23 1.3.6.1 Vùng an tồn thơng tin: 23 1.3.6.2 An toàn thiết bị 24 1.3.6.3 Những điều khiển chung 24 1.3.7 Quản lý vận hành truyền thông .24 Trang 1.3.7.1 Quy trình /thủ tục vận hành trách nhiệm 24 1.3.7.2 Lập kế hoạch đáp ứng hệ thống 25 1.3.7.3 Bảo vệ trước phần mềm nguy hiểm 25 1.3.7.4 Quản lý 25 1.3.7.5 Quản lý mạng 25 1.3.7.6 An tồn thơng tin xử lý phương tiện lưu trữ 26 1.3.7.7 Sự trao đổi thông tin phần mềm 26 1.3.8 Điều khiển truy xuất 26 1.3.8.1 Yêu cầu kinh doanh quản lý truy cập 26 1.3.8.2 Quản lý truy cập người dùng 26 1.3.8.3 Trách nhiệm người dùng 27 1.3.8.4 Kiểm soát truy cập mạng 27 1.3.8.5 Quản lý truy cập hệ điều hành 27 1.3.8.6 Kiểm soát truy cập ứng dụng 28 1.3.8.7 Giám sát việc truy cập sử dụng hệ thống 28 1.3.9 Bảo dưỡng phát triển hệ thống 29 1.3.9.1 Những yêu cầu an toàn hệ thống 29 1.3.9.2 An toàn hệ thống ứng dụng 29 1.3.9.3 Các quản lý mã hóa 29 1.3.9.4 An toàn file hệ thống 29 1.3.9.5 An toàn thủ tục phát triển hỗ trợ 30 1.3.10 Quản lý liên tục tác nghiệp 30 1.3.11 Sự tuân thủ 30 1.3.11.1 Tuân thủ yêu cầu luật pháp 30 1.3.11.2 Xem xét lại sách tuân thủ công nghệ 31 1.3.11.3 Xem xét việc kiểm định hệ thống 31 1.4 NHẬN XÉT .31 CHƯƠNG III: AN TỒN THƠNG TIN TRONG DOANH NGHIỆP 32 2.1 YÊU CẦU BẢO MẬT TRONG DOANH NGHIỆP .32 2.2 NỘI DUNG BẢO MẬT TRONG DOANH NGHIỆP 33 2.2.1 Đánh giá an tồn thơng tin .34 2.2.1.1 Đánh giá nội 34 2.2.1.2 Đánh giá từ bên 35 2.2.2 Phân loại quản lý tài nguyên 36 2.2.3 Xây dựng sách .38 2.2.4 Liên kết bảo mật 40 2.2.5 Quản lý người dùng 42 2.2.6 Quản lý mã hóa liệu 43 2.2.6.1 Quản lý liệu 43 2.2.6.2 Mã hóa liệu 46 2.2.7 Điều khiển truy xuất doanh nghiệp .58 2.2.7.1 Quản lý truy xuất nội 58 2.2.7.2 Quản lý truy xuất bên 60 Trang 2.2.7.3 Quản lý hạ tầng mạng 63 2.2.8 An tồn mơi trường hệ thống .64 2.2.8.1 Môi trường thông tin doanh nghiệp 64 2.2.8.2 An toàn hệ thống 65 2.2.9 Giám sát, khơi phục trì 67 CHƯƠNG III: ỨNG DỤNG PHẦN MỀM MÃ NGUỒN MỞ TRONG BẢO MẬT 69 3.1 GIỚI THIỆU CHUNG .69 3.1.1 Tường lửa – Proxy .70 3.1.1.1 IpTable – Firewall Builder 70 3.1.1.2 IPCop 72 3.1.1.3 Squid 73 3.1.2 Hệ thống quản lý mạng 74 3.1.2.1 Giao thức quản lý mạng đơn giản (SNMP) 74 3.1.2.2 Hệ thống quản lý mạng OpenNMS 75 3.1.3 Phát xâm nhập 77 3.1.3.1 Hệ thống phát xâm nhập 77 3.1.3.2 Các tính phạm vi ứng dụng Snort 78 3.1.4 Xác thực - Ủy quyền – Tính tốn 79 3.1.4.1 Quay số xác thực từ xa dịch vụ người dùng 79 3.1.4.2 FreeRadius 80 3.1.5 Mạng riêng ảo 81 3.1.5.1 Giới thiệu mạng riêng ảo 81 3.1.6 Chứng thực điện tử 84 3.1.6.1 Thuật toán ký số - DSA 84 3.1.6.2 Ứng dụng chữ ký điện tử bảo mật ứng dụng WEB 86 3.1.7 Các công cụ kiểm tra, đánh giá, phân tích an tồn thơng tin 87 3.2 MƠ HÌNH ỨNG DỤNG 90 3.2.1 Giới thiệu 90 3.2.2 Một số mơ hình mẫu 91 3.2.2.1 Mơ hình văn phòng nhỏ(Home Office) 91 3.1.2.2 Mơ hình đầy đủ 91 3.2.2.3 Mơ hình kết hợp 92 3.3 NHẬN XÉT .92 CHƯƠNG IV: KẾT LUẬN 94 4.1 ĐÁNH GIÁ CHUNG .94 4.2 KIẾN NGHỊ VÀ ĐỀ XUẤT 97 TÀI LIỆU THAM KHẢO 99 PHỤ LỤC Trang DANH SÁCH HÌNH VẼ Hình 1.1: Mơ hình PDCA Hình 2.1: Đánh giá hệ quán trị sở liệu 45 Hình 2.2: Nguyên tắc lưu phục hồi liệu 46 Hình 2.3: Sơ đồ thuật tốn mã hóa AES 51 Hình 2.4: Sơ đồ thuật tốn mở rộng khóa AES 54 Hình 2.5: Sơ đồ thuật tốn giải mã 55 Hình 2.6: Mơ hình sử dụng chữ ký điện tử 61 Hình 2.7: Đánh giá chung chương trình diệt virus 65 Hình 3.1: Mơ hình hoạt động IPTables 70 Hình 3.2: Luật IPTables 71 Hình 3.3: Luật IPTables FirewallBuilder 71 Hình 3.4: Mơ hình mạng sử dụng IPCop 73 Hình 3.5: Mơ hình SNMP 74 Hình 3.6: Cấu trúc gói tin SNMP 75 Hình 3.7: Giao diện OPenNMS 77 Hình 3.8: Mơ hình sử dụng VPN 82 Hình 3.9: Ví dụ VPN 82 Hình 3.10: Máy chủ VPN 84 Hình 3.11: Chứng số tự ký 87 Hình 3.12: Quét cổng với nmap 98 Hình 3.13: Kiểm tra lỗ hổng Nessus 98 Hình 3.14: Đánh giá an tồn session id ứng dụng web 89 Hình 3.15: Bắt tin dạng ký tự 90 Hình 3.16: Mơ hình văn phịng nhỏ 91 Hình 3.17: Mơ hình sử dụng sản phẩm nguồn mở 91 Hình 3.18: Mơ hình kết hợp 92 Trang ĐẶT VẤN ĐỀ Đối với tổ chức hay doanh nghiệp, thông tin đánh giá dạng tài sản tài nguyên q giá Thơng tin tảng phương tiện đảm bảo bền vững phát triển tổ chức hay doanh nghiệp Đã có nhiều doanh nghiệp tổ chức giới phải ghánh chịu hậu nặng nề rủi an tồn thơng tin đem lại Rõ ràng việc thực thi biện pháp bảo mật cho hệ thống thông tin doanh nghiệp hay tổ chức u cầu có tính bắt buộc Tuy nhiên việc thực thi giải pháp mua sản phẩm bảo mật tác động lớn đến chi phí kinh doanh hay hoạt động doanh nghiệp, tổ chức Vì việc lựa chọn giải pháp bảo mật sử dụng mã nguồn mở cho doanh nghiệp dựa tảng bảo mật chung chuẩn bảo mật đem lại lợi ích thiết thực bảo mật chi phí kinh doanh hoạt động cho doanh nghiệp, tổ chức Tuy nhiên, sản phẩm mã nguồn mở sử dụng cách đơn lẻ ứng dụng cho nhu cầu xác định Bên cạnh việc phát triển sản phẩm mã nguồn mở theo hướng tự phát không thực đánh giá cách chi tiết Hơn nữa, thực thi an toàn thơng tin cho doanh nghiệp địi hỏi phải có quy trình tham khảo đầy đủ, việc sử dụng sản phầm mã nguồn mở cần phải tuân theo quy trình hướng dẫn tham khảo Vì nội dung luận văn đề cập đến chuẩn thực thi an tồn thơng tin doanh nghiệp phạm vi áp dụng sản phẩm mã nguồn mở bảo mật thông tin doanh nghiệp Trang CHƯƠNG I CÁC CHUẨN AN TỒN THƠNG TIN Bảo mật khơng vấn đề riêng mà quan tâm toàn giới Việc thực thi bảo mật yêu cầu phải tuân thủ theo nguyên tắc quy tắc định Trong chương này, viết sẽ: Giới thiệu hệ thống chuẩn quốc tế liên quan đến bảo Sơ lược quy định thực thi an tồn thơng tin Sơ lược quản lý an tồn thơng tin mật 1.1 GIỚI THIỆU CHUNG ISO – tên viết tắt tổ chức chuẩn quốc tế IEC – tên viết tắt hiệp hội điện tử quốc tế cấu thành hệ thống chuẩn đặc biệt cho chuẩn hóa quốc tế Các quốc gia thành viên ISO hay IEC tham gia vào trình phát triển chuẩn quốc tế thông qua hội đồng kỹ thuật thiết lập tổ chức tương ứng để làm việc với mảng khác hoạt động kỹ thuật Các hội đồng kỹ thuật ISO IEC cộng tác phần mà hai quan tâm Các tổ chức quốc tế khác, thuộc phủ hay phi phủ, hợp tác với ISO IEC tham gia vào cơng việc chuẩn hóa Trong lĩnh vực công nghệ thông tin ISO IEC thiết lập hội đồng kỹ thuật chung: ISO/IEC JTC Các chuẩn quốc tế tóm lược theo luật đưa dẫn ISO/IEC Nhiệm vụ JTC (Joint Technical Committee) chuẩn bị chuẩn quốc tế Phác thảo chuẩn quốc tế từ JTC lưu chuyển qua thành phần cấp quốc gia để bầu chọn đánh giá Để có chấp thuận chuẩn quốc tế, chuẩn phải 70% thành viên cấp quốc gia tán thành Trang Có thể kể chuẩn quốc tế có liên quan đến vấn đề bảo mật an tồn thơng tin: ISO/IEC 8802-11:2005/Amd 6:2006: Bảo mật cho điều khiển truy xuất đường truyền (MAC) ISO 9564-1:2002: Bảo mật quản lý số nhận dạng cá nhân (PIN) - ứng dụng ngân hàng ISO/IEC 9579:2000: Bảo mật cho truy cập liệu từ xa ISO/IEC 9797:1999: Mã nhận thực tin nhắn ISO/IEC 9798:1997: Nhận thực thực thể ISO/IEC 10118:2000: Các hàm băm ISO/IEC 11770:1996: Quản lý khóa ISO/IEC TR 13594:1995: Bảo mật lớp thấp ISO/IEC FCD 14888: Chữ ký điện tử (đang xây dựng) ISO/IEC 15408:2005: Tiêu chí đánh giá bảo mật thơng tin ISO/IEC TR 15443:2005: Khung cấu cho đảm bảo an tồn thơng tin ISO/IEC 15946:2002: Cơng nghệ mã hóa dựa đường cong elipse ISO/IEC TR 15947:2002: Khung cấu phát xâm nhập ISO/IEC 17799:2005: Quy tắc thực tiễn quản lý an tồn thơng tin ISO/IEC 18028:2006: Bảo mật mạng IT ISO/IEC 18031:2005: Sinh bit ngẫu nhiên ISO/IEC 18033:2005: Các thuật tốn mã hóa ISO/IEC TR 18044:2004: Quản lý tình an tồn thơng tin ISO/IEC 18045:2005: Phương pháp đánh giá an tồn thơng tin ISO/IEC 27001:2005: Các hệ thống quản lý an tồn thơng tin Trang 1.2 CHUẨN ISO/IEC 27001:2005 1.2.1 Giới thiệu ISO/IEC 27001:2005 ISO/IEC 270001 chuẩn bị hội đồng kỹ thuật ISO/IEC JTC Chuẩn chuẩn bị để cung cấp mơ hình cho việc thiết lập, thực thi, vận hành, giám sát, xem lại, bảo trì cải thiện hệ thống quản lý an tồn thơng tin (ISMS-Information Security Management System) Quá trình tiếp cận quản lý an tồn thơng tin thể chuẩn ISO/IEC 27001 khuyến khích người dùng chuẩn nhấn mạnh quan trọng : Hiểu yêu cầu an toàn thơng tin tổ chức thiết lập sách đối tượng cho an tồn thơng tin Thực thi vận hành điều khiển để quản lý để quản lý rủi ro an tồn thơng tin tồn rủi ro kinh doanh tổ chức Giám sát xem xét lại tính hiệu ISMS Tiếp tục cải thiện dựa mục tiêu đánh giá đo kiểm Chuẩn ISO 27001 sử dụng mơ hình PDCA (Plan-Do-Check-Act: Lập kế hoạch-Thực hiện-Kiểm tra-Hành động) Mơ hình minh họa sau: Hình 1.1: Mơ hình PDCA Chuẩn ISO/IEC 27001 áp dụng cho tất mơ hình tổ chức hay doanh nghiệp ví dụ doanh nghiệp thương mại, tổ chức phủ, Trang tổ chức phi lợi nhuận…Chuẩn xác định yêu cầu cho việc thực thi điều khiển bảo mật tùy theo yêu cầu tổ chức độc lập nhóm tổ chức ISMS thiết kế để đảm bảo lựa chọn điều khiển anh ninh cách đầy đủ cân đối mà bảo vệ tài sản thơng tin tạo niềm tin cho đối tác Trong q trình thiết kế điều khiển an tồn thơng tin ISO/IEC 17799 dùng để hướng dẫn thực thi (tham khảo mục II) ISO/IEC 17799 nhắc đến tài liệu chuẩn ISO/IEC 27001 tham khảo chuẩn hóa ISP/IEC 17799 giới thiệu phần bổ xung quy tắc thực tiễn quản lý an tồn thơng tin 1.2.2 Hệ thống quản lý an tồn thơng tin 1.2.2.1 u cầu chung Các tổ chức nên thiết lập, thực thi, vận hành, giám sát, xét lại, bảo trì cải thiện hệ thống quản lý an tồn thơng tin tài liệu hóa ngữ cảnh tồn hoạt động tổ chức rủi ro mà phải đối mặt Với mục đích chuẩn quốc tế q trình sử dụng mơ hình PDCA thể 1.2.2.2 Thiết lập quản lý hệ thống an tồn thơng tin Thiết lập ISMS Tổ chức nên thực nội dung sau: a)Xác định phạm vi giới hạn hệ thống quản lý an tồn thơng tin theo đặc điểm hoạt động tổ chức, doanh nghiệp, vị trí, tài sản, công nghệ bao gồm chi tiết cho loại trừ ngồi phạm vi b)Định nghĩa sách theo đặc tính tổ chức, doanh nghiệp, vị trí, tái sản, cơng nghệ tổ chức/doanh nghiệp đó: o Bao gồm khung cho việc thiết lập mục tiêu thiết lập toàn định hướng nguyên tắc cho hoạt động liên quan đến an tồn thơng tin Trang 86 để xem r’ s’ có thoả mãn 0