Bài giảng phân tích thiết kế an toàn mạng máy tính

Bài giảng phân tích thiết kế an toàn mạng máy tính Bài giảng phân tích thiết kế an toàn mạng máy tính Bài giảng phân tích thiết kế an toàn mạng máy tính Bài giảng phân tích thiết kế an toàn mạng máy tính Bài giảng phân tích thiết kế an toàn mạng máy tính Bài giảng phân tích thiết kế an toàn mạng máy tính

BÀI GIẢNG PTTK AN TOÀN

MẠNG MÁY TÍNH

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA ATTT

Nội dung học

 Tổng quan về thiết kế an toàn mạng máy tính

 Khảo sát và phân tích thiết kế mạng

 Thiết kế hệ thống

 Tối ưu, kiểm thử và lập tài liệu thiết kế

 Một số chuyên đề về PTTK HT mạng AT

GIỚI THIỆU VỀ MÔN HỌC

 Tên môn học: Phân tích thiết kế an toàn mạng

máy tính -

 Thời lượng: 36 tiết (24 LT, 12 BT)

 Thi:

 Thời gian: 90 phút

 Hình thức: viết (Không được sử dụng tài liệu)

 Tài liệu tham khảo:

 Giáo trình PTTK mạng an toàn – HVKTMM

 Cisco Press Top-Down Network Design 3 rd Edition, Aug

2010

 Internet

Thông tin & ATTT

 Thông tin?

 An toàn thông tin?

 An toàn cho hệ thống thông tin?

Kỹ năng mềm cần thiết

 Kỹ năng giao tiếp

 Kỹ năng làm việc nhóm

 Kỹ năng thuyết trình

 Hòa đồng tập thể

 Vv

BÀI TẬP

LỚN

Yêu cầu bài tập lớn

 Chia nhóm 3-4 sinh viên/1 nhóm , làm một chủ

Vai trò, vị trí môn “Phân tích thiết kế

hệ thống ATTT”

Trong nội dung chương trình học

Trong thực tế

Mạng máy tính

 Phân loại:

 Môi trường truyền thông: không dây – có đây

 Góc độ địa lý: LAN, MAN, WAN

 Chức năng: ngang hàng, khách chủ

Lợi ích mạng máy tính

 Tạo khả năng dùng chung tài nguyên cho các người dùng

 Nâng cao hiệu suất cho công việc

 Tiết kiệm chi phí

 Tăng cường bảo mật thông tin

 Việc phát triển mạng máy tính tạo ra nhiều ứng dụng mới

Các thành phần cơ bản của mạng MT

Các biểu tượng thiết bị mạng

Cơ bản về thiết kế mạng máy tính

 Các yêu cầu chung khi thiết kế mạng máy tính

 Thiết kế cơ bản mạng máy tính

 Nguyên lý thiết kế an toàn

Cơ bản về thiết kế mạng máy tính

 Các yêu cầu chung khi thiết kế mạng máy tính

 Yêu cầu về kỹ thuật

 Yêu cầu về hiệu năng

 Yêu cầu về ứng dụng

 Yêu cầu về quản lý mạng

 Yêu cầu về an toàn mạng

 Yêu cầu ràng buộc về tài chính, thời gian thực hiện, nguồn nhân lực, các tài nguyên đã có và khả năng tái sử dụng

Cơ bản về thiết kế mạng máy tính

 Thiết kế cơ bản mạng máy tính

 Phân tích yêu cầu

 Lựa chọn phần cứng

 Lựa chọn phần mềm

 Đánh giá khả năng

 Tính toán giá thành

 Thiết kế mô hình, địa chỉ, giao thức cho mạng

 Triển khai pilot

 Kiểm thử, lập tài liệu thiết kế

Quy trình thiết kế an toàn mạng máy tính

 Cần bổ sung thêm một số bước sau:

 Phân tích và xác định các yêu cầu an toàn

 Xây dựng kế hoạch và các chính sách an toàn

 Thiết kế các cơ chế an toàn

 Phân đoạn cụ thể cơ chế an toàn

 Thiết kế chiến lược quản lý mạng an toàn

 Đánh giá, kiểm thử hệ thống an toàn

NGUYÊN LÝ THIẾT KẾ AN TOÀN

NGUYÊN LÝ THIẾT KẾ AN TOÀN

1 Nguyên lý tối thiểu quyền ưu tiên (Least

Privilege)

 Nguyên lý tối thiểu quyền ưu tiên phát biểu rằng chủ thể sử dụng (người sử dụng hoặc chương trình máy tính) chỉ nên được trao những quyền ưu tiên mà họ thật sự cần thiết để hoàn thành tác vụ của mình…

NGUYÊN LÝ THIẾT KẾ AN TOÀN

2 Nguyên lý ngầm định đảm bảo hoạt động safe defaults)

(fail- Nguyên lý ngầm định bảo đảm hoạt động phát biểu rằng trừ phi chủ thể sử dụng được trao quyền truy cập (ngầm định) đến đối tượng còn không thì nó bị

từ chối truy cập đến đối tượng đó

 Nếu một tác vụ không thể hoàn thành thì hệ thống phải trở về trạng thái như khi tác vụ bắt đầu

NGUYÊN LÝ THIẾT KẾ AN TOÀN

3 Nguyên lý thiết kế tiết kiệm và đơn giản

(economy of mechanism):

 Nguyên lý thiết kế tiết kiệm và đơn giản phát biểu rằng các cơ chế an toàn nên càng được thiết kế đơn giản càng tốt

4 Nguyên lý kiểm soát đầy đủ (complete

mediation):

 Nguyên lý kiểm soát đầy đủ yêu cầu sao cho tất cả các truy cập đến các đối tượng đều được kiểm tra để đảm bảo rằng chúng là được cho phép

NGUYÊN LÝ THIẾT KẾ AN TOÀN

5 Nguyên lý thiết kế mở (open design):

 Nguyên lý thiết kế mở phát biểu rằng an toàn của một cơ chế không nên phụ thuộc vào bí mật của thiết kế hay cài đặt của nó

6 Nguyên lý tách nhỏ quyền ưu tiên (separation

of privilege):

 Nguyên lý tách nhỏ quyền ưu tiên phát biểu rằng một hệ thống không nên trao quyền chỉ dựa trên một điều kiện đơn lẻ

NGUYÊN LÝ THIẾT KẾ AN TOÀN

7 Nguyên lý cơ chế tối thiểu chia sẻ (least

common mechanism):

 Nguyên lý cơ chế tối thiểu chia sẻ phát biểu rằng các cơ chế được sử dụng để truy cập đến các tài nguyên không nên cho chia sẻ

8 Nguyên lý thuận tiện truy cập (psychological acceptability):

 Nguyên lý thuận tiện truy cập phát biểu rằng các cơ chế an toàn không nên làm cho tài nguyên khó truy cập hơn so với trường hợp mà các cơ chế an toàn không có mặt

NGUYÊN LÝ THIẾT KẾ AN TOÀN

9 Nguyên lý phân tầng bảo vệ (defense in

depth):

 Nguyên lý phân tầng bảo vệ cho rằng không nên chỉ dựa vào một tầng bảo vệ bất kỳ để đạt được an toàn đa cơ chế an toàn có thể giúp cho đạt được

an toàn cao hơn là chỉ có đơn cơ chế an toàn

10 Nguyên lý kiểm tra mọi giả thiết an toàn

(question assumptions):

 Nguyên lý kiểm tra hay thẩm tra mọi giả thiết an

toàn thường kiểm tra lại tất cả các giả thiết về các tác nhân đe dọa, tài sản máy tính và đặc biệt là môi trường của hệ thống

Q & A

BÀI GIẢNG PTTK AN TOÀN

MẠNG MÁY TÍNH

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA ATTT

KHẢO SÁT, PHÂN TÍCH

 Khảo sát mạng

 Xác định và phân tích các mục tiêu cơ bản

 Phân tích mục tiêu hoạt động

 Phân tích mục tiêu kỹ thuật

Khảo sát mạng

Mục tiêu:

 Khảo sát đánh giá sự hoạt động của hệ

thống cũ

 Đề xuất mục tiêu, ưu tiên cho hệ thống mới

 Đề xuất ý tưởng cho giải pháp mới

 Vạch kế hoạch cho dự án

 Lập báo cáo về khảo sát và xác định tính khả thi

Khảo sát mạng

Cách thức thực hiện:

 Tìm hiểu mục tiêu hoạt động của đơn vị, chiến lược phát triển của đơn vị, công việc thực hiện để đạt mục tiêu

 Tiếp cận với nghiệp vụ chuyên môn, môi

trường của hệ thống

 Tìm hiểu vai trò, chức năng, nhiệm vụ và cách thức hoạt động của hệ thống…

Khảo sát mạng Cách thức thực hiện:

Thông tin về nguồn dữ liệu bên trong và bên ngoài (Các dạng dữ liệu, nội dung, dung

lượng, kích thước):

 Các hồ sơ, sổ sách, tập tin

 Biểu mẫu, báo cáo, qui tắc, quy định, công thức

 Các qui định ràng buộc lên dữ liệu

 Các sự kiện tác động lên dữ liệu…

Khảo sát mạng Cách thức thực hiện:

 Tìm hiểu về xử lý: Thời gian, cách thức thực hiện, và thực hiện bởi ai đối với việc tạo ra, di chuyển, biến đổi và được lưu trữ Các vấn đề cụ thể cần tìm hiểu:

 Phương pháp: cách thức thực hiện xử lý dữ liệu

 Tần suất: số lần thực hiện trong một đơn vị thời gian

 Khối lượng: độ lớn thông tin thực hiện

 Độ phức tạp

 Độ chính xác: độ chính xác của kết quả thực hiện

 Thứ tự và các phụ thuộc khác giữa các hoạt động truy xuất dữ liệu khác nhau

Khảo sát mạng

Ngoài ra còn tìm hiểu về:

 Các chính sách, hướng dẫn mô tả hoạt động quản lý, và môi trường hệ thống

 Cơ chế và giải pháp đảm bảo an toàn cho hệ thống

 Các phương tiện, tài nguyên sử dụng (phần cứng, phần mềm, trang thiết bị,…)

 Trình độ chuyên môn sử dụng vi tính của các đối tượng

Khảo sát mạng

 Các phương pháp khảo sát phổ biến:

Quan sát theo dõi

Phỏng vấn

Điều tra

 Khảo sát mạng

 Xác định và phân tích các mục tiêu cơ bản

 Phân tích mục tiêu hoạt động

 Phân tích mục tiêu kỹ thuật

1.1 Phân tích mục tiêu hoạt động

 Các mục tiêu thương mại cơ bản khi xây dựng mạng mới:

 Tăng doanh thu và lợi nhuận

 Tăng thị phần

 Mở rộng thị trường mới

 Tăng cao tính cạnh tranh trong cùng thị trường

 Giảm giá thành

 Tăng năng suất lao động của nhân viên

 Giảm thời gian vòng đời phát triển sản phẩm

 Sử dụng trong thời gian cho phép

 Đề xuất các dịch vụ mới cho khách hàng

 Đề xuất các hỗ trợ mới tốt hơn cho khách hàng…

KHẢO SÁT, PHÂN TÍCH

1.1 Phân tích mục tiêu hoạt động…

 Các mục tiêu thương mại cơ bản khi xây dựng mạng mới:

 Kết nối các thành phần (Nhà đầu tư, khách hàng, đối tác, nhà cung cấp, nhân viên vv )

 Tránh sự gián đoạn hoạt động gây ra bởi các thảm họa

tự nhiên và không tự nhiên

 Hiện đại hóa các công nghệ đã lạc hậu

 Giảm chi phí mạng và hệ thống viễn thông, bao gồm cả các mạng dùng cho thoại, dữ liệu, và hình ảnh

 Làm cho trung tâm dữ liệu hiệu quả hơn trong việc sử dụng nguồn, cáp, rack, bộ nhớ và mạng WAN

KHẢO SÁT, PHÂN TÍCH

1.1 Phân tích mục tiêu hoạt động

 Danh sách các việc cần thực hiện:

 Tìm hiểu lĩnh vực hoạt động của khách hàng

 Tìm hiểu cơ cấu tổ chức của khách hàng

 Hiểu được các mục tiêu hoạt động của khách hàng và mục tiêu chính của dự án thiết kế hệ thống mạng

 Đảm bảo khách hàng nắm bắt được các vấn đề quan trọng

 Hiểu được tiêu chí của thành công và nguyên nhân của thất bại

 Nắm bắt được phạm vi thực hiện dự án

 Xác định được các ứng dụng mạng của khách hàng…

KHẢO SÁT, PHÂN TÍCH

1.1 Phân tích mục tiêu hoạt động…

 Danh sách các việc cần thực hiện:

 Hiểu được chính sách của khách hàng đối với các nhà sản xuất thiết bị, phần mềm, giao thức, nền tảng hoạt động, chính sách đối với việc thiết kế thực thi hệ thống vv

 Biết được chi phí cho xây dựng hệ thống

 Biết được lịch thực hiện dự án

 Biết được trình độ chuyên môn kỹ thuật của khách hàng

và các vấn đề liên quan

 Có trao đổi với nhân viên phụ trách đào tạo của khách hàng

 Nhận thức được vấn đề chính trị có thể ảnh hưởng đến việc thiết kế

KHẢO SÁT, PHÂN TÍCH

 Xác định và phân tích các mục tiêu cơ bản

 Phân tích mục tiêu hoạt động

 Phân tích mục tiêu kỹ thuật

1.2 Phân tích mục tiêu kỹ thuật

1.2 Phân tích mục tiêu kỹ thuật

1.2.1 Khả năng mở rộng

 Khi thiết kế phải tính toán đến khả năng mở rộng

của mạng về quy mô mạng

 bổ sung thêm người dùng, ứng dụng, các

website, mở rộng kết nối mạng, tăng tốc độ mạng

 Kế hoạch cho mở rộng: thiết kế mạng phải lên kế hoạch mở rộng mạng trong phạm vi 2 năm (hoặc 5

năm)…

KHẢO SÁT, PHÂN TÍCH

1.2.1 Khả năng mở rộng

 Có thể sử dụng một danh sách các câu hỏi

để phân tích những mục tiêu kỹ thuật cho việc

mở rộng:

 Có bao nhiêu website sẽ được thêm vào trong

năm tới? hai năm tới?

 Bao nhiêu người dùng sẽ truy cập vào trong mạng trong năm tới? hai năm tới?

 Bao nhiêu server sẽ được thêm vào mạng công ty trong năm tới? hai năm tới?

 Vv…

 Các thông số để tính tính sẵn sàng mục tiêu của hệ thống:

 MTBF (Mean time between failure) : thời gian trung bình xảy ra lỗi

 MTTR (Mean time to repair) : thời gian trung bình khắc phục lỗi

 Tính sẵn sàng = MTBF/(MTBF+MTTR)…

KHẢO SÁT, PHÂN TÍCH

 Khả năng sẵn sàng tương ứng với vấn đề dự phòng: giải

pháp để nâng cao khả năng sẵn sàng của mạng Dự phòng

có nghĩa là thêm liên kết hoặc thiết bị tới một mạng tương tự

để tránh thời gian chết của mạng khi có sự cố xảy ra…

 Khả năng sẵn sàng ~ khả năng phục hồi (resiliency) - là vấn

đề đưa hoạt động mạng trở lại bình thường khi có các sự cố xảy ra như sự vi phạm an ninh, các thảm họa tự nhiên, lỗi của con người và lỗi phần mềm, phần cứng và hỏng hóc

Phần lớn các tổ chức cần có một kế hoạch để cho hoạt động kinh doanh và kỹ thuật diễn ra bình thường sau một thảm

họa tự nhiên như lũ lụt, cháy, động đất, khủng bố…

NGHIÊN CỨU TÀI LIỆU VÀ TRẢ LỜI

 Khi xác định yêu cầu về hiệu năng mạng, cần

phải phân tích những yếu tố nào? Hãy phân biệt những yếu tố đó

 Những vấn đề ảnh hưởng tới thông lượng là gì?

 Có thể tối ưu thông lượng ứng dụng để tăng tính hiệu suất mạng bằng cách nào? Ưu nhược điểm của phương pháp đó

 Throughput: lượng dữ liệu được truyền tải thành công giữa 2 node trong một khoảng thời gian, thường là giây

 Delay: Thời gian giữa một frame được truyền từ một node và phân phối frame đó tới một nơi khác trong

mạng

 Response time: Thời gian từ lúc yêu cầu một dịch vụ mạng cho đến khi được đáp ứng yêu cầu đó…

KHẢO SÁT, PHÂN TÍCH

 Thông lượng

 Đơn vị đo : pps – Packets per second, cps –

cells per second đối với thiết bị ATM

 Thông lượng tầng ứng dụng thường được đo bằng KBps-Kilobytes per second hoặc MBps

 Những vấn đề ảnh hưở ng đến thông lượng cần quan tâm:

 Tỉ lệ truyền lỗi giữa các điểm đầu cuối

 Các hàm giao thức như bắt tay, cửa sổ và các phản hồi

 Các tham biến giao thức như kích cỡ Frame

KHẢO SÁT, PHÂN TÍCH

 Những vấn đề ảnh hưởng đến thông lượng …

 Mất gói dữ liệu tại các thiết bị liên mạng

 Nhân tố hiệu năng của máy chủ và máy trạm:

 Tốc độ truy cập đĩa

 Kích cỡ bộ nhớ đệm

 Hiệu năng trình điều khiển thiết bị

 Hiệu năng của bus máy tính

 Hiệu năng của CPU

 Hiệu năng của bộ nhớ

 Yếu tố hệ điều hành

 Ứng dụng và các các lỗi của ứng dụng…

 Sự sắp xếp lại có thể xảy ra trong nhiều tình huống

bao gồm cả việc sử dụng chuyển mạch song song trong các thiết bị mạng và sử dụng song song các liên kết giữa các thiết bị định tuyến

 Để tính độ chính xác: đo ở các máy đầu cuối , có thể

sử dụng bộ công cụ phân tích giao thức ở thiết bị

đầu cuối để phát hiện sự sắp xếp lại các gói tin…

KHẢO SÁT, PHÂN TÍCH

 Hiệu quả : chi phí cần thiết để truyền một đơn vị dữ liệu , chi phí bị ảnh hưởng do tỉ lệ đụng độ, qua mã thông báo, báo cáo lỗi, thay đổi lộ trình, sự phản hồi, Frame có

header lớn, một thiết kế mạng kém,…

 Mạng Ethernet chia sẻ là không hiệu quả khi mà tỉ lệ (collision) đụng độ cao…

 Trong một số trường hợp tối ưu thông lượng ứng

dụng để tăng tính hiệu suất mạng thông qua sử dụng

frame có kích thước lớn , đồng thời cũng tối ưu được băng thông

 Quản lý hiệu năng (performance management): phân tích lưu lượng và hành vi ứng dụng để tối ưu mạng, xem xét các mức yêu cầu, lên kế hoạch cho việc mở rộng

 Quản lý an toàn (security management): quản lý, kiểm thử

an toàn và bảo vệ chính sách, duy trì quản lý mật khẩu, Xác thực, cấp quyền và quản lý phân phối khóa

KHẢO SÁT, PHÂN TÍCH

1.2.5 Khả năng tương thích

 Một thiết kế mạng phải có khả năng tương thích với

hệ thống mạng đã tồn tại từ trước nhằm giảm thiểu chi phí

 Trong mạng campus, giá cả thấp thường là mục tiêu chính, để tiết kiệm chi phí có thể sử dụng lại các thiết bị

như switch, router…

 Trong mạng doanh nghiệp thì khả năng sẵn sàng

thường quan trọng hơn là chi phí

 Xác định và phân tích các mục tiêu cơ bản

 Phân tích mục tiêu hoạt động

 Phân tích mục tiêu kỹ thuật

1.3 Xác định các đặc tính mạng hiện có

 Tìm hiểu hạ tầng mạng hiện tại

 Lập tài liệu phác họa sơ đồ mạng

 Xây dựng một sơ đồ về các dịch vụ mạng

 Lập tài liệu phác họa mô hình logic của mạng

 Tìm hiểu về tên và địa chỉ mạng

 Đặc tính cơ sở hạng tầng mạng logic bao gồm tài liệu về việc đặt tên và địa chỉ của từng thiết bị

mạng…

KHẢO SÁT, PHÂN TÍCH

1.3 Xác định các đặc tính mạng hiện có

 Đặc tính về dây và môi trường

 Những đặc tính về kết nối và môi trường giúp người thiết kế đáp ứng được các yêu cầu của thiết kế cho khả năng mở rộng và tính sẵn sàng, nó cũng giúp người thiết kế hiểu được thiết kế dây cáp trong mạng hiện có

 Sơ đồ mạng cung cấp thông tin về việc kết nối giữa các tòa nhà, nó bao gồm thông tin loại cáp, công nghệ được sử dụng Trong sơ đồ cũng sẽ chỉ rõ

khoảng cách giữa các tòa nhà, thông tin về khoảng cách giúp ta chọn loại cáp tương ứng

 Xác định và phân tích các mục tiêu cơ bản

 Phân tích mục tiêu hoạt động

 Phân tích mục tiêu kỹ thuật

KHẢO SÁT, PHÂN TÍCH

1.4 Kiểm tra khả năng hoạt động của mạng

 Cần thiết lập đường cơ sở cho mạng vì đường cơ sở mạng để xác định đặc tính của mạng trong điều kiện

các vấn đề mạng

 Hiệu suất mạng: Hiệu suất đối với một ứng dụng hoặc một giao thức là sử dụng băng thông hiệu quả Hiệu suất ảnh hưởng bởi kích thước frame, windows, flow control và cơ chế phục hồi lỗi…