1 BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC ĐÀ NẴNG LÊ HỒNG MINH NGHIÊN CỨU KIẾN TRÚC AN NINH MẠNG XÂY DỰNG GIẢI PHÁP AN NINH, BẢO MẬT HỆ THỐNG MẠNG THÔNG TIN DIỆN RỘNG CỦA CÁC CƠ QUAN ĐẢNG TỈNH PHÚ YÊN Chuyên ngành : Khoa học máy tính Mã số : 60.48.01 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT Đà Nẵng - Năm 2012 N CHAT LUONG download : add luanvanchat@a Cơng trình hồn thành ĐẠI HỌC ĐÀ NẴNG Người hướng dẫn khoa học: PGS.TSKH Trần Quốc Chiến Phản biện : PGS.TS Lê Văn Sơn Phản biện : TS Lê Xuân Vinh Luận văn bảo vệ Hội đồng chấm Luận văn tốt nghiệp thạc sĩ kỹ thuật họp Đại học Đà Nẵng vào ngày 20 tháng 01 năm 2013 Có thể tìm hiểu luận văn tại: - Trung tâm Thông tin - Học liệu, Đại học Đà Nẵng; - Trung tâm Học liệu, Đại học Đà Nẵng; N CHAT LUONG download : add luanvanchat@a MỞ ĐẦU Tính cấp thiết đề tài Cùng với phát triển vượt bậc công nghệ thông tin, công nghệ vật liệu, giới trải qua cách mạng mới, cách mạng mang lại nhiều thuận lợi, hội thách thức, cách mạng thông tin Cuộc cách mạng tác động đến toàn giới, đến quốc gia, tập đồn, tổ chức, xí nghiệp, tác động đến lĩnh vực đời sống kinh tế, xã hội việc ứng dụng thành tựu khoa học, thành tựu công nghệ thông tin, sử dụng trang thiết bị tin học, kết nối trao đổi thông tin hệ thống mạng yếu tố tách rời hoạt động tổ chức, quan, đơn vị Tuy nhiên, thực kết nối, trao đổi thơng tin hệ thống mạng ngồi lợi ích mang lại, xuất số nguy cơ, rủi ro an toàn hệ thống thông tin, sở liệu; nguy cơ, rủi ro ngày đa dạng hơn, tác hại lớn, cá biệt có trường hợp gây ảnh hưởng nghiêm trọng Vì triển khai hệ thống thơng tin ứng dụng thành công nghệ thông tin cần xây dựng kiến trúc mạng bảo đảm an toàn, hạn chế nguy cơ, rủi ro hệ thống bảo đảm khai thác tính năng, tiện ích thiết bị hệ thống mang lại Để làm việc cần có nghiên cứu hệ thống mạng, giao thức, dịch vụ, nghiên cứu nguy cơ, rủi ro xảy ra, đồng thời nghiên cứu phương pháp, phương thức, thiết bị bảo vệ, bảo đảm an tồn thơng tin, sách thực thi bảo đảm an toàn, bảo mật đáp ứng xây dựng kiến trúc an ninh phù hợp cho hệ thống mạng thơng tin, qua xây dựng kiến trúc an ninh thích hợp cho mạng thơng tin đảng N CHAT LUONG download : add luanvanchat@a tỉnh Phú Yên (gọi mạng thông tin diện rộng đảng tỉnh Phú n) Đó lý cấp thiết đề tài : “Nghiên cứu kiến trúc an ninh mạng, xây dựng giải pháp an ninh, bảo mật hệ thống mạng thông tin diện rộng quan đảng tỉnh Phú Yên” Mục đích nghiên cứu, nhiệm vụ đề tài: - Củng cố kiến thức liên quan mạng, an toàn mạng, bảo mật hệ thống, bảo mật liệu hệ thống thông tin - Xây dựng kiến trúc an ninh cho hệ thống mạng thông tin diện rộng quan đảng tỉnh Phú Yên, đáp ứng: - Có chức thực kiểm tra xác thực - Có khả kiểm tra, ngăn chặn cho phép kết nối - Theo dõi tiến trình, hoạt động xảy mạng - Cho phép bảo mật mã hố/giải mã liệu, thơng tin - Khả diệt virus, worm, spyware - Khả quản lý tận dụng tối đa băng thông hệ thống - Tích hợp nhiều giải pháp bảo vệ khác - Bảo đảm an ninh, an toàn, bảo mật ứng dụng CSDL Đối tƣợng phạm vi nghiên cứu - Nghiên cứu kiến trúc mạng thông tin, nguy cơ, rủi ro hệ thống mạng thông tin, giải pháp nhằm đảm bảo an ninh, bảo vệ, bảo mật liệu, cân tải, từ đề xuất xây dựng kiến trúc an ninh cho hệ thống mạng thông tin diện rộng quan đảng tỉnh Phú Yên - Phạm vi nghiên cứu:các mạng thông tin diện rộng (WAN), mạng cục (LAN), mạng riêng ảo VLAN, mạng không dây (WIFI) , cụ thể mạng thông tin diện rộng đảng tỉnh Phú Yên Phƣơng pháp nghiên cứu: Thực 02 phương pháp nghiên cứu yếu, là: N CHAT LUONG download : add luanvanchat@a Nghiên cứu lý thuyết: lý thuyết mạng, lý thuyết chuyển mạch, cân tải, lý thuyết an tồn bảo mật thơng tin Nghiên cứu thực nghiệm: thực nghiệm hệ thống mạng cụ thể (hệ thống mạng thông tin diện rộng quan đảng; hệ thống thơng tin, phủ điện tử) Bên cạnh đó, q trình nghiên cứu sử dụng số phương pháp khác như: phương pháp phân tích, phương pháp tổng hợp, phương pháp nội suy nhằm đạt kết tốt Ý nghĩa khoa học thực tiễn đề tài a Ý nghĩa khoa học: - Trình bày, hệ thống hóa, củng cố kiến thức mạng, kiến thức bảo mật thông tin mạng, lý thuyết phương pháp bảo mật, xây dựng tối ưu hóa hệ thống mạng thơng tin - Trình bày, đề xuất xây dựng kiến trúc mạng kiến trúc an ninh mạng cách hợp lý cho quan đảng tỉnh Phú Yên b Ý nghĩa thực tiễn: - Giải toán kiến trúc phù hợp cho hệ thống mạng thơng tin, bảo đảm an tồn, bảo mật thông tin, liệu chống nguy công mạng - Xây dựng kiến trúc mạng, kiến trúc an ninh hợp lý, ổn định cho hệ thống mạng thông tin diện rộng đảng tỉnh Phú Yên Cấu trúc luận văn Luận văn tổ chức thành chương sau: Chƣơng - Tổng quan kiến trúc, mơ hình nguy hệ thống mạng thông tin Chƣơng – Kiến trúc an ninh mạng Chƣơng – Xây dựng giải pháp an ninh, bảo mật hệ thống mạng thông tin diện rộng quan Đảng tỉnh Phú Yên N CHAT LUONG download : add luanvanchat@a CHƢƠNG TỔNG QUAN KIẾN TRÚC, MƠ HÌNH VÀ CÁC NGUY CƠ AN NINH ĐỐI VỚI HỆ THỐNG MẠNG THÔNG TIN 1.1 TỔNG QUAN KIẾN TRÚC, MƠ HÌNH CÁC HỆ THỐNG MẠNG THƠNG TIN 1.1.1 Khái niệm hệ thống mạng thơng tin Hệ thống mạng thông tin hệ thống mạng lưới máy tính thiết bị xử lý mạng kết nối với đường truyền vật lý tuân theo kiến trúc định nhằm mục đích chia sẻ thông tin, tài nguyên sức mạnh xử lý 1.1.2 Kiến trúc mạng a Định nghĩa Kiến trúc mạng máy tính tổng thể khái niệm bao gồm cấu trúc hình học (Topology) (tập) thực thể hệ thống mạng máy tính tập giao thức (Protocol) Hình : Mơ hình kiến trúc mạng máy tính b Cấu trúc mạng Cấu trúc mạng (Topology) cấu trúc hình học khơng gian mạng, cách bố trí vị trí vật lý phần tử mạng cách thức kết nối chúng lại với Có hai kiểu cấu trúc mạng điển hình: kiểu điểm - điểm (Point to Point) kiểu đa điểm (Multi Point) c Giao thức mạng (Protocol) Tập hợp quy tắc (và thủ tục) cho phép việc trao đổi thông tin mạng thực thể hệ thống mạng thực cách đắn có hiệu N CHAT LUONG download : add luanvanchat@a Giao thức mạng gồm thành phần cú pháp ngữ nghĩa, có chức chủ yếu sau: đóng gói, phân đoạn hợp lại, điều khiển liên kết, giám sát, điều khiển lưu lượng, điều khiển lỗi, đồng hoá, địa hoá Các giao thức phổ biến gồm : Giao thức Ethernet, giao thức Token Ring (IEEE802.5), giao thức AppleTalk, giao thức ATM, giao thức IPX/SPX (gồm 02 giao thức IPX SPX), giao thức UDP giao thức TCP/IP (là giao thức ứng dụng mạng) 1.1.3 Phân loại hệ thống mạng thông tin a Phân loại theo khoảng cách địa lý Mạng máy tính phân thành loại mạng phổ biến như: mạng cục (LAN), mạng đô thị (MAN), mạng diện rộng (WAN), mạng toàn cầu (INTERNET) b Phân loại dựa theo kỹ thuật chuyển mạch: Dựa theo kỹ thuật chuyển mạch có loại: mạng chuyển mạch kênh, mạng chuyển mạch thông báo mạng chuyển mạch gói 1.1.4 Mơ hình xử lý liệu hệ thống mạng a Mơ hình khách chủ (Client/Server) Mơ hình khách chủ (Client/Server) mơ hình phân chia thao tác thành hai phần: phía Client cung cấp cho người sử dụng giao diện để yêu cầu dịch vụ từ mạng phía Server tiếp nhận yêu cầu từ phía Client cung cấp dịch vụ cách thông suốt cho người sử dụng Mơ hình mở rộng Mơ hình khách chủ mơ hình Client/Server nhiều lớp, q trình xử lý phân tán lớp khác (lớp khách (client), lớp giao dich (bussiness) lớp liệu (Data source)) Mơ hình thích hợp cho việc tổ chức hệ thống thông tin mạng Internet/ Intranet b Mô hình ngang hàng (per – to – per) N CHAT LUONG download : add luanvanchat@a Mơ hình ngang hàng mơ hình mà tất máy có quyền ngang máy vừa máy chủ đồng thời máy khách, thực chia sẻ tài ngun khơng phụ thuộc vào c Mơ hình lai Client-Server Peer-to-Peer Mơ hình lai kết hợp Client-Server Peer-to-Peer, qua tận dụng tính năng, hiệu loại mạng Hình 10: Mơ hình lai Server/Client nhiều lớp d Mơ hình phân tán Các máy trạm sử dụng tài nguyên, liệu, ứng dụng phân tán mạng, máy phục vụ phân tán rộng khắp cho phép sử dụng lúc, nơi Hình 1.21: Mơ hình xử lý phân tán 1.1.5 Dịch vụ bản, thông dụng mạng a Dịch vụ phân giải tên miền (DNS: Domain names system) Hệ thống cho phép thiết lập phân giải tương ứng địa IP tên miền N CHAT LUONG download : add luanvanchat@a b Dịch vụ truyền tệp (FTP: file transfer protocol) Dịch vụ truyền tệp (FTP) dịch vụ cho phép chuyển tệp liệu máy tính khác mạng c Dịch vụ World Wide Web World Wide Web (WWW hay Web) dịch vụ tích hợp, thiết lập khai thác hiệu thông tin điện tử WWW có khả tích hợp dịch vụ khác FTP, Email, cho phép truy nhập vào tất dịch vụ d Dịch vụ Telnet rlogin - Dịch vụ truy nhập từ xa Telnet : cho phép người sử dụng đăng nhập từ xa vào hệ thống từ thiết bị đầu cuối mạng - rlogin (đăng nhập mạng từ xa – remote login): Tương tự telnet e Dịch vụ Thư điện tử (Email) Dịch vụ thư điện tử dịch vụ thông dụng hệ thống mạng, hoạt động giống hệ thống thư bưu cho phép người dùng gửi nhận thư điện tử, thông tin liệu mạng f Xu hướng phát triển mạng dịch vụ mạng - Mạng hệ (Next Generation Networks - NGN) hội tụ mạng lưới: mạng thoại PSTN; mạng số liệu (Internet); mạng không dây, di động cố định - Mạng tốc độ cao Băng rộng hệ thống mạng có tốc độ truyền dẫn lớn so với mạng ISDN tốc độ – lớn 1,5 Mb/s - Điện toán đám mây" (Cloud Computing): mơ hình điện tốn cho phép truy cập qua mạng để lựa chọn sử dụng tài ngun tính tốn theo nhu cầu cách thuận tiện nhanh chóng; đồng thời cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu giao tiếp với nhà cung cấp N CHAT LUONG download : add luanvanchat@a 1.2 CÁC NGUY CƠ AN NINH, AN TỒN ĐỐI VỚI HỆ THỐNG THƠNG TIN 1.2.1 Lỗ hổng bảo mật Là điểm yếu, lỗi tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống…gồm: a Lỗ hổng hệ thống Có loại lỗ hổng: loại C, loại B lỗ hổng loại A b Lỗ hổng ứng dụng Các lỗ hổng bảo mật tồn dịch vụ Sendmail, web, ftp hệ điều hành mạng ứng dụng mà qua xâm nhập vào hệ thống cách bất hợp pháp c Lỗ hổng sách quản trị mạng, sử dụng Là lỗ hổng sách, sử dụng, tạo kẽ hở cho phép kẻ công truy nhập cơng tồn hệ thống lỗi khơng tn thủ sách bảo mật, bất cẩn quản lý, sử dụng tài nguyên… 1.2.2 Virus, sâu, mã độc hại, phần mềm gián điệp a Virus máy tính Virus máy tính chương trình hay đoạn mã thiết kế tự nhân tự chép vào đối tượng lây nhiễm khác Xâm nhập vào hệ thống qua: máy tính, email, file, ổ đĩa USB…hoặc qua lỗ hổng phần mềm ứng dụng,… b Sâu (worm), mã độc (malware, badware) - Sâu máy tính: loại chương trình máy tính độc lập có khả tự nhân giống virus máy tính - Mã độc hại: định nghĩa chương trình (program) chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống N CHAT LUONG download : add luanvanchat@a 10 c Một số phương thức công khác - Nghe trộm: phương thức thông qua chương trình đặc biệt cho phép sử dụng hạ tầng truyền thông mạng như: đường truyền, vỉ giao tiếp mạng (Network Interface Card-NIC) để nhận thông tin truyền mạng sau chiết, tách thơng tin cần lấy - Giả mạo địa : việc giả mạo địa IP đối tượng cần gửi nhận - Quyét cổng (Scanner): phương pháp sử dụng chương trình rà sốt phát số hiệu cổng (Port), dịch vụ sử dụng hệ thống, ghi lại đáp ứng (response) hệ thống xa - Bẻ khoá mật (Password Cracker): sử dụng chương trình có khả giải mã mật mã hố vơ hiệu hố chức bảo vệ mật hệ thống - Sniffer: cơng cụ "tóm bắt" thơng tin lưu chuyển mạng để "đánh hơi" thông tin trao đổi có giá trị 1.2.4 Các nguy khác a Nguy từ người dùng Một nguy từ người dùng trình thao tác máy tính quản lý tài nguyên sử dụng b Thư rác, thư quảng cáo Các thư rác, thư quảng cáo thường loại thư điện tử vô bổ gửi tới từ nhiều nguồn khác chứa virus, biến thể phần mềm gián điệp… N CHAT LUONG download : add luanvanchat@a 11 CHƢƠNG KIẾN TRÚC AN NINH MẠNG 2.1 CÁC YÊU CẦU CHUNG CHO MỘT HỆ THỐNG AN NINH, BẢO MẬT - Tính xác thực (Authentification): Kiểm tra tính tin cậy thực thể giao tiếp mạng - Tính khả dụng (Availability): đặc tính mà thơng tin, tài ngun mạng thực thể hợp pháp tiếp cận sử dụng theo yêu cầu cho phép - Tính bảo mật (Confidentialy): đặc tính thơng tin, tài ngun bảo đảm bí mật, khơng tiết lộ khơng uỷ quyền, cấp phép - Tính tồn vẹn (Integrity): Là đặc tính thơng tin mạng khơng có quyền sử dụng khơng thể thay đổi, biến đổi - Tính khơng thể chối bỏ (Nonreputation): Trong q trình trao đổi thơng tin hệ thống mạng thực thể tham gia chối bỏ phủ nhận thao tác cam kết thực 2.2 CÁC GIẢI PHÁP AN TOÀN BẢO VỆ, BẢO MẬT THÔNG TIN VÀ DỮ LIỆU 2.2.1 Giải pháp kiểm tra xác thực ngƣời dùng Giải pháp kiểm tra xác thực người dùng bảo đảm tính đắn với đối tượng kết nối, kiểm tra thông tin trình truy nhập vào hệ thống Các phương thức xác thực phổ biến: xác thực dựa tài khoản người dùng (User Name Password), thẻ (Tokens), phương pháp nhận dạng sinh trắc học (Biometrics), xác thực đa nhân tố (xác thực kết hợp-Multi-Factor Authentication), xác thực lẫn (xác thực chéo - Mutual Authentication) N CHAT LUONG download : add luanvanchat@a 12 Mô hình xác thực mơ tả sau: Hình 1: Mơ hình xác thực định danh kết nối, người dùng Sơ đồ thuật tốn: Hình 2: Thuật tốn xác thực định danh kết nối, người dùng 2.2.2 Giải pháp ngăn chặn kiểm tra thực thi kết nối cấp phát quyền truy xuất, sử dụng tài nguyên; theo dõi, giám sát tiến trình, hoạt động hệ thống a Giải pháp ngăn chặn, kiểm tra gói tin Hình 3: Mơ hình kiểm sốt truy nhập N CHAT LUONG download : add luanvanchat@a 13 Giải pháp sử dụng chế kiểm soát truy nhập, thiết bị nhằm ngăn chặn truy nhập không hợp lệ từ mạng ngồi vào mạng trong, (cơng cụ tiêu biểu tường lửa) Mơ hình cụ thể hình 2.3 Thuật toán tổng quát kiểm soát ngăn chặn kết nối, truyền tải liệu dịch vụ sử dụng công cụ tường lửa - Input: Dữ liệu vào/ra, dịch vụ sử dụng hệ thống - Output: Dữ liệu phép vào/ra, dịch vụ sử dụng - Thuật toán: Hình 2.5: Sơ đồ thuật tốn tổng qt tường lửa b Giải pháp phân quyền truy xuất tài nguyên Việc kiểm tra ngăn chặn cho phép truy cập sử dụng nguyên hệ thống thực sau: Hình 7: Mơ hình kiểm tra phân quyền truy xuất Thuật toán giải pháp kiểm tra phân quyền truy xuất tài nguyên: Input: thông tin đăng nhập, yêu cầu (tài nguyên, dịch vụ, thực thi ứng dụng…); Output: Kết thực thi lệnh nhập N CHAT LUONG download : add luanvanchat@a 14 Hình 8: Sơ đồ thuật toán kiểm tra ngăn chặn, kiểm tra kết nối c Giải pháp hệ thống ủy quyền - Hệ thống ủy quyền (Proxy): chương trình đặc biệt cài đặt máy chủ cổng mạng phân quyền cho ứng dụng, định cấu hình ủy quyền cho phép sử dụng số dịch vụ, ứng dụng Người sử dung qua proxy server thay cho máy chủ thật mà người sử dụng cần giao tiếp Hình 2.9: Mơ hình hệ thống ủy quyền d Giải pháp xây dựng, sử dụng hệ thống theo dõi, giám sát Hệ thống theo dõi hệ thống theo dõi, giám sát lưu thơng mạng có khả nhận biết hoạt động khả nghi, xâm nhập trái phép hệ thống mạng, kết nối trực tiếp với hệ thống N CHAT LUONG download : add luanvanchat@a 15 theo dõi Có mơ hình theo dõi: trực tiếp thơng qua hệ thống ủy quyền Thuật tốn trao đổi thông tin thực theo dõi hệ thống: - Input: lệnh theo dõi hệ thống - Output: Kết liệu hệ thống - Sơ đồ Hình 2.12: Sơ đồ thuật toán theo dõi hệ thống 2.2.3 Bảo mật mã hoá, giải mã liệu, sử dụng chứng thƣ số (chữ ký điện tử) a Mã hố, giải mã liệu Mã hố q trình thực che dấu thông tin cách sử dụng thuật tốn, giải mã q trình sử thuật tốn phục hồi lại liệu mã hóa Mật mã (hệ mật mã) cơng cụ phục vụ cho q trình chuyển đối thơng tin gốc sang dạng mã hóa Có hai cách tiếp cận để bảo vệ thông tin mật mã: theo đường truyền (Link Oriented Security) từ mút-đến-mút (End-to-End) Quy trình mã hóa/giải mã liệu: N CHAT LUONG download : add luanvanchat@a 16 - Dữ liệu mã hóa/giải mã theo quy trình hình 2.9: Hình 2.15: Quy trình mã hóa/giải mã liệu Với: M liệu gốc; E hàm mã hóa; D hàm giải mã, C Dữ liệu mã hóa, Ke khóa mã; Kd khóa giải mã, ta có q trình: mã hóa C = EKe(M) giải mã: M = DKd(C) =DKd(EKe(M)) - Hiện phổ biến có hai hệ mã hóa/giải mã liệu chính, là: + Mật mã đối xứng: hay gọi thuật toán mã hoá cổ điển thuật toán mà khố mã hố tính tốn từ khố giải mã Hình 16: Mơ hình mật mã đối xứng (dùng chung khóa K) Tiêu biểu thuật toán tiêu chuẩn DES với Input: rõ M = m1m2…m64, khóa 64 bit K = k1k2…k64 (bao gờm cả bit chẵn lẻ , việc thêm bit chẵn lẻ cho các đoạn khóa bit có số bit lẻ) Output: mã 64 bit C = c1c2…c64 + Mật mã bất đối xứng (không đối xứng): dùng khóa riêng biệt cho hai trình mã hố giải mã, có khóa phổ biến cơng khai (public key hay PU) giữ bí mật (private key hay PR) Hình 18: Mơ hình mật mã khơng đối xứng Giải thuật tiêu biểu cho mã bất đối xứng giải thuật RSA Q e d trình mã hóa giải mã là: C = M mod n M = C mod n với N CHAT LUONG download : add luanvanchat@a 17 gốc M khối mã C, khóa cơng khai KU = {e,n} khóa riêng KR = {d,n} b Chứng thư số (chữ ký điện tử): Chữ ký điện tử (Digital Signature) dựa kỹ thuật sử dụng mã hóa khóa cơng khai Mỗi bên có cặp khóa gồm khóa bí mật, hay riêng tư (Private Key) khóa cơng khai (Public Key) Quá trình ký văn : Hình 21: Mơ hình mơ tả q trình ký Q trình nhận: Hình 22: Mơ hình mơ tả q trình nhận thông tin ký 2.2.4 Phân tán liệu, cân tải - Phân tán liệu: Một phương pháp bảo mật thông tin, liệu thân thông tin dư liệu phân tán, chia đặt trạm khác mạng - Cân tải: Cho phép chuyển mạch cân tải N CHAT LUONG download : add luanvanchat@a 18 2.2.5 Giải pháp xây dựng hệ tự động diệt Virus, kiểm soát, loại bỏ, ngăn chặn phần mềm, mã độc, cập nhập kiểm tra lỗ hổng hệ thống a Hệ thống cập nhập, kiểm tra lỗ hổng hệ thống Là hệ thống phép cập nhập thêm tính bảo mật, loại bỏ lỗ hổng sản phẩm b Giải pháp áp dụng hệ tự động diệt virus, ngăn mã độc hại Hệ thống tự động diệt virus có khả đối phó đe doạ từ virus cách hữu hiệu, cập nhập tính cho hệ thống 2.3 XÂY DỰNG KIẾN TRÚC AN NINH TÍCH HỢP CHO HỆ THỐNG MẠNG 2.3.1 Nguyên tắc xây dựng - Có chức thực kiểm tra xác thực - Có khả kiểm tra, ngăn chặn cho phép kết nối - Theo dõi tiến trình, hoạt động xảy mạng - Cho phép bảo mật mã hoá/giải mã liệu, thông tin - Khả diệt virus, worm, spyware - Khả quản lý tận dụng tối đa băng thơng hệ thống - Tích hợp nhiều giải pháp bảo vệ khác 2.3.2 Kiến trúc an ninh tích hợp a Hệ thống bảo vệ, chống công, giám sát hệ thống Hệ thống bảo vệ, chống công ISS (internet/intranet security system) bao gồm: Hệ thống bảo vệ ISS): làm việc, cài đặt tường lửa (cả tường lửa cứng/mềm); Modul quản lý ISS: thực giao diện người sử dụng phần tử ISS Hệ thống giám sát : cho phép dị tìm, giám sát, chống xâm nhập trái phép vào hệ thống phân mạng bên hệ thống b Hệ thống cung cấp ứng dụng, dịch vụ N CHAT LUONG download : add luanvanchat@a 19 Cung cấp dịch vụ hệ thống cho loại ứng dụng, yêu cầu cụ thể người dùng, hệ thống c Hệ thống bảo đảm kết nối Kết nối hệ thống bên hệ thống với kết nối đến hệ thống mạng diện rộng, mạng toàn cầu d Hệ thống sách, vấn đề người Hệ thống sách tập hợp quy tắc áp dụng cho người tham gia quản trị mạng, người tham gia sử dụng tài nguyên dịch vụ mạng 2.3.3 Mơ hình kiến trúc tích hợp đề nghị a Mơ hình Hình 26: Mơ hình kiến trúc tích hợp phân mạng chức b Yêu cầu trang thiết bị, phần mềm * Trang thiết bị: Sử dụng thiết bị chuyên dùng * Phần mềm: Các phần mềm bảo mật, tường lửa, CSDL… c Một số câu lệnh, luật truy cập xây dựng cấu hình hệ thống N CHAT LUONG download : add luanvanchat@a 20 CHƢƠNG XÂY DỰNG GIẢI PHÁP AN NINH, BẢO MẬT HỆ THỐNG MẠNG THÔNG TIN DIỆN RỘNG CỦA CÁC CƠ QUAN ĐẢNG TỈNH PHÚ YÊN 3.1 PHÂN TÍCH HỆ THỐNG MẠNG THÔNG TIN DIỆN RỘNG CỦA CÁC CƠ QUAN ĐẢNG TỈNH PHÚ N 3.1.1 Mơ hình tổ chức quan Đảng tỉnh Phú n Mơ hình tổ chưc: Hình 1: Mơ hình cấu tổ chức Tỉnh ủy Phú Yên 3.1.2 Hệ thống thông tin, ứng dụng sở liệu a Quan hệ thơng tin - Mơ hình tổng thể: tổng hợp mối quan hệ thông tin quan đảng tỉnh b Hệ thống thông tin, hệ thống ứng dụng CSDL Bao gồm hệ thống tin điều hành tác nghiệp, hệ thống thông tin chuyên ngành, hệ thống thông tin cung cấp dịch vụ, hệ thống chương trình, phần mềm ứng dụng … c Hệ thống kết nối Các quan kết nối cáp đồng công nghệ ADSL; nội đơn vị kết nối mạng cục cáp xoắn đôi RJ45 d Mô hình tổng thể hệ thống thơng tin N CHAT LUONG download : add luanvanchat@a 21 Hình 3.3: Mơ hình tổng thể hệ thống thông tin cấp tỉnh Mô hình tổng thể cấp huyện tương tự cấp tỉnh với quy mô quản lý nhỏ 3.2 PHÂN TÍCH CÁC NGUY CƠ, RỦI RO HIỆN HỮU ĐỐI VỚI HỆ THỐNG MẠNG 3.2.1 Nguy an ninh, an toàn hệ thống hệ thống Hệ thống đường truyền kết nối diện rộng đến cấp xã, phường, thị trấn nên khả bảo mật kém, tính an tồn khơng cao 3.2.2 Nguy an ninh với ứng dụng, dịch vụ, sở liệu Nguy hệ thống thông tin phụ thuộc vào mạng LAN mạng WAN việc sử dụng chương trình có lỗ hổng bảo mật, chương trình bẻ khóa, chứa mã độc 3.2.3 Các nguy an ninh xây dựng sách, vấn đề ngƣời sử dụng Xây dựng sách anh ninh, sách sử dụng, quản lý trang thiết bị, tham gia hệ thống mạng chưa quy định chặt chẽ , hành vi sử dụng người sử dụng khai thác trang thiết bị, dịch vụ, ứng dụng hệ thống, đơn vị cấp huyện, cấp xã 3.3 XÂY DỰNG HỆ THỐNG AN NINH, BẢO MẬT CHO HỆ THỐNG MẠNG THÔNG TIN DIỆN RỘNG CỦA ĐẢNG TỈNH PHÚ YÊN N CHAT LUONG download : add luanvanchat@a 22 3.3.1 Nguyên tắc xây dựng giải pháp Áp dụng nguyên tắc xây dựng kiến trúc an ninh tích hợp cho hệ thống mạng (phần trên), có bổ sung số đặc thù cho hệ thống 3.3.2 Giải pháp - Ap dụng kiến trúc tích hợp chia hệ thống thành phân loại mạng chính: Phân mạng truy cập, kết nối; phân mạng phục vụ; phân mạng bảo mật, giám sát hệ thống Bao gồm hệ thống: Hệ thống bảo vệ, chống công ISS (internet/intranaet security system); hệ thống giám sát IPS/IDS (Intrusion Prevention System/Intrusion Detection system); hệ thống cung cấp dịch vụ mạng; hệ thống phòng chống virus; hệ thống chứng thư số, mã hóa tài liệu 3.4 MƠ HÌNH THỰC HIỆN 3.4.1 Kiến trúc hệ thống a Cấp tỉnh Chia thành phân hệ mạng: phân hệ mạng thiết bị bảo vệ, phân mạng máy chủ hệ thống, dịch vụ, phân mạng máy chủ ứng dụng, sở liệu, phân mạng người dùng b Cấp huyện, thị thành ủy Chia thành phân hệ mạng: phân hệ mạng định tuyến, thiết bị truyền thông, bảo mật; phân mạng máy chủ hệ thống, dịch vụ, ứng dụng, sở liệu, phân mạng người dùng Hình 6: Mơ hình mạng đơn vị cấp huyện, thị, thành ủy N CHAT LUONG download : add luanvanchat@a 23 c Mô hình tổng thể Kết hợp hệ thống mạng đơn vị tạo thành mạng thông tin diện rộng đảng tỉnh Phú Yên Hình 8: Kiến trúc mạng tin học diện rộng đảng tỉnh Phú Yên 3.4.2 Thiết lập cấu hình thiết bị, cài đặt phần mềm Sau xây dựng mơ hình kết nối, để hoàn thiện hệ thống kiến trúc mạng thơng tin tiếp tục cài đặt, cấu hình thiết bị hệ thống mạng thông tin diện rộng theo tính năng, yêu cầu, xây dựng sách an ninh phù hợp a Cấp tỉnh Cấu hình thiết bị, cài đặt thiết lập hệ thống theo mô hinh triển khai ứng dụng khác b Cấp huyện thị, thành phố thực tương tự cấp tỉnh c Các đảng ủy khối thiết lập cấu hình thiết lập tường lửa ứng dụng N CHAT LUONG download : add luanvanchat@a 24 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Sau thời gian thực hiện, luận văn hoàn thành, đạt số kết định Theo chúng tơi trình bày hệ thống kiến thức mạng hệ thống mạng thông tin nguy cơ, rủi ro hệ thống mạng, đưa số giải pháp bảo đảm an ninh, an toàn cho hệ thống mạng, bảo đảm an tồn an ninh thơng tin mạng Thơng qua tìm hiểu, nghiên cứu mơ hình kiến trúc an ninh cho hệ thống mạng thông tin, áp dụng xây dựng kiến trúc an ninh, giải pháp an ninh, bảo mật cho hệ thống mạng thông tin diện rộng đảng tỉnh Phú Yên đưa vào hoạt động có hiệu quả, bảo đảm hệ thống hoạt động an toàn, ổn định Do thời gian vốn kiến thức có hạn nên việc thực luận văn đạt kết tương đối theo yêu cầu đề tài đưa ra, đề tài dùng lại mức khái niệm lý thuyết chung, cịn rộng chưa có kết chun sâu, cịn áp dụng mơ hình có sẵn Do hướng phát triển thực nghiên cứu sâu hệ thống, đưa giải pháp toàn diện hơn, an toàn xây dựng công cụ mạnh giúp cho việc quản trị, điều hành hệ thống, việc bảo đảm, bảo vệ an tồn cho thơng tin, liệu, tài nguyên hệ thống mạng, tận dụng, khai thác nhiều nưa tính hệ thống trang thiết bị trang bị, đồng thời cung cấp nhiều tiện ích cho người dùng N CHAT LUONG download : add luanvanchat@a ... Tổng quan kiến trúc, mơ hình nguy hệ thống mạng thông tin Chƣơng – Kiến trúc an ninh mạng Chƣơng – Xây dựng giải pháp an ninh, bảo mật hệ thống mạng thông tin diện rộng quan Đảng tỉnh Phú Yên N... luanvanchat@a tỉnh Phú Yên (gọi mạng thông tin diện rộng đảng tỉnh Phú n) Đó lý cấp thiết đề tài : ? ?Nghiên cứu kiến trúc an ninh mạng, xây dựng giải pháp an ninh, bảo mật hệ thống mạng thông tin diện rộng. .. xuất xây dựng kiến trúc an ninh cho hệ thống mạng thông tin diện rộng quan đảng tỉnh Phú Yên - Phạm vi nghiên cứu: các mạng thông tin diện rộng (WAN), mạng cục (LAN), mạng riêng ảo VLAN, mạng