Báo cáo An ninh & Bảo mật Dữ liệu MỤC LỤC MỤC LỤC LÝ THUYẾT .2 I Triển khai chiến lược an ninh theo mơ hình 3Ds, thiết kế đề xuất mơ hình an ninh tổng thể với chi tiết lớp theo mơ hình Onion Defense in Depth (Phòng thủ theo chiều sâu) .2 Triển khai chiến lược an ninh .2 Mơ hình đề xuất (Onion Model) II Các công nghệ công cụ áp dụng Các yếu tố cần quan tâm: Kiểm soát theo cấp độ: Qui định sử dụng III Các giao thức an toàn THỰC HÀNH 11 Báo cáo An ninh & Bảo mật Dữ liệu LÝ THUYẾT Đề bài: Phân tích thiết kế xây dựng chiến lược an ninh theo mơ hình Defence in Depth cho ứng dụng thuộc loại Client/Server (Đề xuất ứng dụng thư điện tử E-Mail) I Triển khai chiến lược an ninh theo mơ hình 3Ds, thiết kế đề xuất mơ hình an ninh tổng thể với chi tiết lớp theo mơ hình Onion Defense in Depth (Phịng thủ theo chiều sâu) Đây mơ hình sử dụng nhiều lớp để bảo vệ cho hệ thống để chống lại nhiều mối đe dọa khác gây thêm khó khăn cho kẻ công muốn xâm nhập vào hệ thống Có ba yếu tố tạo thành hệ thống bao gồm: network perimeter (mạng ngoài), internal network (mạng bên trong) nhân tố người Có chi tiết cần phải lưu ý khơng có lớp bảo vệ đủ sức chống lại loại cơng, sức mạnh hệ thống phịng thủ kết hợp sức mạnh lớp bảo vệ, lớp thực nhiệm vụ riêng Triển khai chiến lược an ninh Hiện nay, lĩnh vực an ninh thông tin không ngừng phát triển vấn đề để đảm bảo an ninh khơng thay đổi Trong đó, ngun lý 3Ds - Defence: Bảo vệ  Tăng cường thêm qui định, chức để đảm bảo q trình xử lí, chọn lọc Mail cách xác  Sử dụng Gateway cho mail giúp kiểm sốt số lượng lớn email, tệp đính kèm, virus, spyware hay nội dung không mong muốn Một Báo cáo An ninh & Bảo mật Dữ liệu số thiết bị cịn có khả kiểm tra luồng liệu mã hóa, phân tích nội dung gateway tránh thất thoát liệu quan trọng nội ngồi  Có thể cài đặt phần mềm chống spam thư rác mail server (server chặn spam trước đến inbox người dùng) máy người dùng - Deterrence: Cản trở, gây khó khăn  Xây dựng luật lệ, điều khoản qui định rõ ràng xảy vấn đề  Đảm bảo an toàn cho Cơ sở liệu, thường xuyên lưu, cập nhật hệ thống - Detection: Phát  Sử dụng phần mềm Anti-virus  Có thể triển khai Mail server, nhà cung cấp dịch vụ, hay Mail gateway (tại cổng đường truyền) Ngoài ra, triển khai chiến lược an ninh ta nên lưu ý:  Không thể đảm bảo an ninh tuyệt đối  Ta quản lý rủi ro an ninh  Sử dụng công nghệ chống lại rủi ro để đạt mục tiêu Mơ hình đề xuất (Onion Model) Báo cáo An ninh & Bảo mật Dữ liệu Hình 1: Mơ hình an ninh - Quyền truy nhập (Access Right): Đây mức bảo vệ sâu nhằm kiểm soát tài nguyên mạng, kiểm soát mức độ file việc xác định quyền hạn người dung nhà quản trị định như: đọc (Only Read), ghi (Only Write) hay thực thi (Execute) - Đăng nhập/Mật (Login/Password): Đây lớp bảo vệ mức độ truy nhập thông tin mức độ hệ thống sử dụng phổ biến đơn giản tốn Nhà quản trị cần cho người dùng Username Password kiểm soát hoạt động mạng thơng qua hình thức Mỗi truy cập, hệ thống kiểm tra tài khoản thấy hợp lệ cho đăng nhập Báo cáo An ninh & Bảo mật Dữ liệu - Host (Operation Systems of Servers): Có thể sử dụng Anti-virus, nâng cấp mức độ quản lí hệ thống máy chủ server/phịng làm việc - Mã hóa liệu (Data Encryption): Sử dụng phương pháp mã hóa liệu bên phát thực giải mã bên thu, bên thu mã hóa xác có khóa mã hóa bên phát cung cấp Ngồi thực phân vùng mạng với ACL (Access Control List) - Bảo vệ vật lí (Physical Protect): Đây hình thức, sách hay điều luật ngăn chặn nguy truy nhập vật lí bất hợp pháp vào hệ thống ngăn cấm tuyệt đối người khơng phận vào phịng đặt máy mạng (dùng ổ khóa máy tính, camera theo dõi hay cài đặt chế thơng báo có truy nhập lạ vào hệ thống,…) - Kiến trúc mạng ngồi (có thể sử dụng Firewall, Router, Switches,…): Giúp ngăn chặn truy nhập trái phép (theo danh sách truy nhập cho phép xác định trước) lọc gói tin mà ta khơng muốn gửi nhận vào lí Và tích hợp khả chống cơng từ bên ngồi II Các cơng nghệ cơng cụ áp dụng Các yếu tố cần quan tâm: - Vấn đề người: Chúng ta cần phải quan tâm xem phép tham gia vào hệ thống mạng, họ có trách nhiệm Ở mức độ vật lí người khơng có thẩm Báo cáo An ninh & Bảo mật Dữ liệu quyền vào phịng máy họ thực số hành vi phá hoại mức độ vật lí hệ thống - Kiến trúc mạng: Xây dựng nâng cấp mạng để phù hợp với trạng sở hạ tầng nay, tăng cường bảo mật an ninh truy cập hệ thống mạng - Phần cứng phần mềm: Xem xét, nghiên cứu tính tương thích phần cứng phần mềm để đảm bảo an toàn cho hệ thống,… Kiểm soát theo cấp độ: - Mức mạng:  Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng, sử dụng Firewalls cho khu vực an ninh khác  Phân chia thành khu vực an ninh khác hệ thống mạng (external, DMZ, internal, …) phân vùng mạng ACL (Access Control List) để việc quản lí khắc phục vấn đề tối ưu  Nên tích hợp thêm cách theo dõi ngăn ngừa rủi ro hệ thống với IDS(Intrusion Detection System) IPS (Stateful Packet Inspection) - Mức Server: Kiểm soát quyền truy cập, chế bảo mật, trình nhận dạng xác thực mã người dùng, phân quyền truy cập, cho phép tác vụ tùy theo cấp độ - Mức Cơ sở liệu: Sẽ quy định kiểm soát cấp cho người quyền truy cập CSDL Ngoài ra, nên thường xuyên backup lại liệu để tránh mát có xảy cố Báo cáo An ninh & Bảo mật Dữ liệu - Mức trường thông tin: Trong CSDL kiểm sốt trường liệu chứa thơng tin khác cho phép đối tượng khác có quyền truy cập khác - Mức mật mã: Mã hóa tồn file liệu theo phương pháp cho phép người có “chìa khóa” sử dụng file liệu Qui định sử dụng Đối với hệ thống mạng, không nên cài đặt sử dụng chế độ an tồn cho dù mạnh, mà nên lắp đặt hay sử dụng nhiều chế an tồn khác để chúng hỗ trợ lần giúp đảm bảo an toàn mức cao Chúng ta cung cấp số loại tài khoản dành cho người dùng đăng nhập vào hệ thống như: Người quản trị (Administrator), người cấp quyền (tạo quy định, luật lệ), người thực (có thể thực nhiệm vụ quy định trước), người xem (có thể xem khu vực cho phép, không tác động đến liệu) Ngồi ra, đặt quy định, giải pháp bảo mật giúp người quản trị quản lí hệ thống cách kín đáo an toàn như:  Đặt tên hệ thống hay tên tài khoản dạng bí mật, quy định ngầm với nhau, gây cản trở cho hacker xâm nhập vào hệ thống  Hệ thống nên trang bị phần mềm giúp phát ngăn chăn trường hợp có IP lạ xuất hiện, có ý định phá hoại sử dụng mã code để nhập kèm đăng nhập giúp tăng tính bảo mật Báo cáo An ninh & Bảo mật Dữ liệu III Các giao thức an toàn - Đối với giao thức mạng: Các giao thức chuẩn (ở tầng mạng vận chuyển) sử dụng rộng rãi như: giao thức TCP/IP, giao thức SNA IBM, OSI, ISDN, X.25 giao thức LAN-to-LAN NetBIOS TCP/IP version sử dụng chủ yếu Nhưng tồn số lỗ hổng mà kẻ cơng lợi dụng Spoofing ( giả mạo IP), session guessing highjacking (chiếm dụng phiên làm việc) authentication or encryption (khơng xác thực mã hóa SYN floofding)…  Vì nên sử dụng giao thức TCP/IP version thiết kế với IPSec (giúp mã hóa xác thực lớp mạng), SSL (Secure Sockets Layer), authenticaton encryption mạnh mẽ Có thể chống lại spoofing, data integrity (tính tồn vẹn liệu), confidentiality (bảo mật) privacy (bí mật) - Đối với Wireless: Hiện liệu mã hóa xác thực theo chuẩn Wireless Equivalent Privacy (WEP) thiết bị theo chuẩn 802.11a,b,g sử dụng thuật toán mã hóa dịng RC4 với khóa 64-128 bits Bắt đầu từ chuẩn 802.11i, thiết bị WLAN sử dụng TKIP EAP thay cho WEP với khả mạnh - Ứng dụng: Cần phải thêm đặc quyền (privileges), quyền admin thiêt lập cấu hình, updates(bug fixes), tích hợp với an ninh hệ điều hành, trao đổi liệu qua mạng - Người dùng: Tránh chủ quan, không download cài đặt phần mềm không rõ nguồn gốc nên trang bị thêm cho kiến thức an ninh bảo mật  Ngồi ra, sử dụng số phương pháp chứng thực như: Báo cáo An ninh & Bảo mật Dữ liệu  Chứng thực tay (tất tài khoản tạo người quản trị)  Chứng thực qua POP3 Server (dùng account POP3 server để chứng thực)  Chứng thực thơng qua Databasse bên ngồi (sử dụng bảng sở liệu bên để kiểm tra tên đăng nhập mật đưa hợp lệ)  Chứng thực thông qua CAS (Central Authentication Service, giúp xác thực nhiều loại thông tin tên truy câp/mật khẩu, chứng khóa cơng khai X509,… để xác thực thông tin người dùng khác nhau) Phân công thực thành viên nhóm:  Nguyễn Đình Quốc Anh: - Tìm hiểu triển khai chiến lược an ninh, đề xuất mơ hình an ninh tổng thể - Lựa chọn công nghệ cơng cụ để áp dụng cho mơ hình  Đào Quang Dũng: - Xây dựng quy định phân quyền người sử dụng hệ thống - Đề xuất giao thức an toàn trao đổi đảm bảo liệu ứng dụng - Hỗ trợ việc viết chương trình mơ sơ đồ trao đổi khóa  Hồng Quốc Phong: - Xây dựng chương trình mơ sơ đồ trao đổi khóa cơng khai vá công theo kiểu người trung gian Báo cáo An ninh & Bảo mật Dữ liệu THỰC HÀNH Dưới số hình ảnh chương trình code 10 Báo cáo An ninh & Bảo mật Dữ liệu 11 Báo cáo An ninh & Bảo mật Dữ liệu 12 Báo cáo An ninh & Bảo mật Dữ liệu 13