Sinh viên:Nguyễn Đăng LongMã SV: pa00156Nhiệm vụ xây dựng chính sách bảo mật được đặt lên đầu tiên trong lộ trình xây dựng hệ thống an toàn thông tin cho một tổ chức hay doanh nghiệp.Hiện trạng của việc xây dựng hệ thống bảo mật thông tin (BMTT)Thông tin là một trong những tài sản quan trọng, quý giá đối với tổ chức doanh nhiệp. Những rủi ro đối với các thông tin như bị lộ, bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động, đến uy tín, đến chiến lược của tổ chức, doanh nghiệp. Vì vậy, mục tiêu đưa ra là cần phải bảo vệ an toàn thông tin, đảm bảo tính bí mật thông tin (confidentiality), tính toàn vẹn thông tin (integrity), tính sẵn sàng thông tin (availabiltiy). Việc đảm bảo được các yếu tố trên sẽ giúp tổ chức, doanh nghiệp bảo vệ tính bảo mật của thông tin, chống lại việc thay đổi, phá hủy hay mất mát thông tin.Tại Việt Nam, các tổ chức doanh nghiệp cũng đã xây dựng các giải pháp để đảm bảo an toàn hệ thống như trang bị hệ thống tường lửa (Firewall), hệ thống chống xâm nhập (IPS), hệ thống phòng chống virus (Antivirus),… Tuy nhiên, tất cả chỉ đơn thuần là giải pháp công nghệ. Câu hỏi đặt ra là hệ thống đã được trang bị giải pháp bảo mật nhưng mức độ an toàn đến đâu, giải pháp đã tốt chưa, đã đầy đủ chưa. Tổ chức thực hiện giải pháp đã tốt hay chưa, con người thực hiện giải pháp như thế nào, họ đã ý thức các vấn đề về an toàn thông tin và đã được gán trách nhiệm phải đảm bảo an toàn hệ thống thông tin chưa? Thông thường, các giải pháp lúc xây dựng xong thì tốt nhưng chỉ sau một thời gian hoạt động sẽ bộc lộ nhiều điểm yếu mà nguyên nhân chính là do yếu tố con người.Hạ tầng công nghệ thông tin xây dựng tốt, hệ thống bảo mật xây dựng tốt nhưng sau khi đưa vào sử dụng, chất lượng sẽ phụ thuộc vào chính bản thân đối tượng sử dụng nó, họ có tuân thủ theo đúng giải pháp hay không, trách nhiệm của họ thế nào, ý thức ra làm sao. Chúng ta biết bảo mật đi kèm với việc mang lại sự không thuận tiện cho người dùng và dễ dàng làm cho họ từ bỏ các biện pháp bảo mật. Tuy nhiên, trong các tổ chức doanh nghiệp, an toàn thông tin luôn phải được đưa lên hàng đầu và tất cả các thành viên đều phải tuân thủ điều này.Vai trò của chính sách BMTTĐể đảm bảo an toàn hệ thống, cần phải có các yếu tố sau:•Con người•Quy trình•Giải pháp•Các tiêu chuẩn quốc tếHiện tại các tổ chức doanh nghiệp mới thực hiện ở việc xây dựng giải pháp, còn các yếu tố khác như con người, qui trình, tiêu chuẩn quốc tế chưa được chú trọng. Các yếu tố đó chưa tốt và chưa gắn kết, chưa được giám sát bởi còn thiếu một yếu tố rất quan trọng, đó là chính sách BMTT.Chính sách bảo mật là tài liệu cấp cao đặc thù, tập hợp các luật đặc biệt của tổ chức, doanh nghiệp như những yêu cầu, quy định mà những người của tổ chức, doanh nghiệp đó phải thực hiện để đạt được các mục tiêu về an toàn thông tin. Chính sách bảo mật sẽ được người đứng đầu tổ chức doanh nghiệp phê chuẩn và ban hành thực hiện. Nó được ví như bộ luật của tổ chức, doanh nghiệp mà mọi thành viên trong tổ chức, các đối tác, khách hàng quan hệ đều phải tuân thủ. Chính sách bảo mật sẽ là tiền đề để doanh nghiệp xây dựng các giải pháp bảo mật, xây dựng những quy trình đảm bảo an toàn hệ thống, đưa ra các hướng dẫn thực hiện, gắn kết yếu tố con người, quản trị, công nghệ để thực hiện mục tiêu an toàn hệ thống. Đồng thời chính sách bảo mật cũng đưa ra nhận thức về an toàn thông tin, gán trách nhiệm về an toàn cho các thành viên của tổ chức doanh nghiệp, từ đó đảm bảo hệ thống được vận hành đúng quy trình, an toàn hơn.Chính sách BMTT là cốt lõi, là trung tâm để có thể bắt đầu xây dựng các giải pháp an toàn thông tin.Từ bộ chính sách bảo mật, ngoài việc sẽ đưa ra được giải pháp an ninh toàn diện còn gắn với ý thức, trách nhiệm của thành viên trong tổ chức doanh nghiệp về an toàn thông tin. Từ lâu, hậu quả của việc không xây dựng chính sách BMTT mà chỉ có giải pháp an ninh đã khiến cho giải pháp trở nên không toàn diện và hiệu quả.Mô hình Topdown trong chính sách BMTTThực tế là hiện nay, trong các tổ chức doanh nghiệp, chúng ta thấy đều xuất hiện “chính sách ngầm” về BMTT. Ví dụ như không được cài sniffer (phần mềm nghe lén) trong mạng, không được gửi email mạo danh, không được sao chép tài liệu ra ngoài, không được dùng phần mềm không có bản quyền... Những chính sách này đều bàn thảo không chính thức, không được ban hành, và phổ biến rộng rãi. Điều này làm cho chính sách không còn hiệu lực, không gắn ý thức an toàn thông tin tới từng thành viên, không quy được trách nhiệm về pháp lý và trong nhiều trường hợp có thể còn xung đột với các văn bản ban hành.Hiện tại, các tổ chức doanh nghiệp chỉ mới đưa ra các giải pháp công nghệ là chính và chưa xây dựng cùng với chính sách bảo mật. Mô hình mà họ đang xây dựng là theo mô hình bottomup. Tức là xây dựng hạ tầng thông tin, giải pháp bảo mật trước rồi sau đó mới xây dựng chính sách bảo mật. Chính vì vậy, các giải pháp công nghệ xây dựng đều không toàn diện, thiếu đâu vá đấy, không mang tính tổng thể đồng bộ, chi phí cao. Ví dụ: Đề xuất xây dựng hệ thống bảo mật mạng firewall, ips nhưng sau đó do hệ thống máy tính bị virus, tổ chức lại đề xuất giải pháp diệt virus. Khi thấy hệ thống không kiểm soát được việc truy cập mạng, lại đề xuất giải pháp kiểm soát truy cập mạng NAC. Điều này thể hiện sự thiếu toàn diện, chiến lược. Hay tại trung ương xây dựng giải pháp này nhưng tại chi nhánh của họ thì lại xây dựng giải pháp kiểu khác, đây là biểu hiện của sự không đồng bộ.Theo khuyến cáo của các tổ chức trên thế giới, để xây dựng hệ thống an toàn thì nên xây dựng theo mô hình topdown tức là phải xây dựng chính sách bảo mật trước. Tổ chức thực thi theo chính sách bảo mật bao gồm con người, quy trình, giải pháp công nghệ, vật lý. Phương pháp này đạt được tính toàn diện, đồng bộ và lâu dài.Trong các tài liệu chuẩn về an toàn thông tin như ISO27001 hay COBIT, nhiệm vụ xây dựng chính sách bảo mật đều được đặt lên đầu tiên trong lộ trình xây dựng hệ thống an toàn thông tin.Chính sách bảo mật tác động đến toàn bộ hệ thống bao gồm phần mềm, phần cứng, truy cập, con người, các kết nối, hệ thống mạng, hạ tầng viễn thông. Để xây dựng được một bộ chính sách bảo mật tốt, trước tiên chúng ta cần xác định được các tài nguyên trong hệ thống, đánh giá mức độ quan trọng, phân loại chúng. Chỉ khi xác định được đủ các tài nguyên thì bộ chính sách viết ra mới bao quát được toàn bộ tất cả những gì cần phải bảo vệ. Bước tiếp theo sẽ là đánh giá các chức năng, quy trình hoạt động sử dụng các tài nguyên, sau đó, xác định tài nguyên nào cần bảo vệ. Từ đó đưa ra các chính sách bảo mật bảo vệ các tài nguyên đó.
Trang 1TRƯỜNG CAO ĐẲNG THỰC HÀNH
FPT - POLYTECHNIC
BÁO CÁO ASSIGNMENT MÔN COM3022
Lớp: PT09301 Sinh viên thực hiện: NGUYỄN ĐĂNG LONG
Tên SV/mã sinh viên:PA00156 Giáo viên hướng dẫn: LÊ THANH HẢI
Trang 2Sinh viên:Nguyễn Đăng Long
Mã SV: pa00156
Nhiệm vụ xây dựng chính sách bảo mật được đặt lên đầu tiên trong lộ trình xây dựng hệ thống an toàn thông tin cho một tổ chức hay doanh nghiệp.
Hiện trạng của việc xây dựng hệ thống bảo mật thông tin (BMTT)
Thông tin là một trong những tài sản quan trọng, quý giá đối với tổ chức doanh nhiệp Những rủi ro đối với các thông tin như bị lộ, bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động, đến uy tín, đến chiến lược của tổ chức, doanh nghiệp Vì vậy, mục tiêu đưa ra là cần phải bảo
vệ an toàn thông tin, đảm bảo tính bí mật thông tin (confidentiality), tính toàn vẹn thông tin (integrity), tính sẵn sàng thông tin (availabiltiy) Việc đảm bảo được các yếu tố trên sẽ giúp tổ chức, doanh nghiệp bảo vệ tính bảo mật của thông tin, chống lại việc thay đổi, phá hủy hay mất mát thông tin
Tại Việt Nam, các tổ chức doanh nghiệp cũng đã xây dựng các giải pháp để đảm bảo an toàn hệ thống như trang bị hệ thống tường lửa (Firewall), hệ thống chống xâm nhập (IPS), hệ thống phòng chống virus (Antivirus),… Tuy nhiên, tất cả chỉ đơn thuần là giải pháp công nghệ Câu hỏi đặt ra là hệ thống
đã được trang bị giải pháp bảo mật nhưng mức độ an toàn đến đâu, giải pháp
đã tốt chưa, đã đầy đủ chưa Tổ chức thực hiện giải pháp đã tốt hay chưa, con người thực hiện giải pháp như thế nào, họ đã ý thức các vấn đề về an toàn thông tin và đã được gán trách nhiệm phải đảm bảo an toàn hệ thống thông tin chưa? Thông thường, các giải pháp lúc xây dựng xong thì tốt nhưng chỉ sau một thời gian hoạt động sẽ bộc lộ nhiều điểm yếu mà nguyên nhân chính là
do yếu tố con người
Hạ tầng công nghệ thông tin xây dựng tốt, hệ thống bảo mật xây dựng tốt nhưng sau khi đưa vào sử dụng, chất lượng sẽ phụ thuộc vào chính bản thân đối tượng sử dụng nó, họ có tuân thủ theo đúng giải pháp hay không, trách nhiệm của họ thế nào, ý thức ra làm sao Chúng ta biết bảo mật đi kèm với việc mang lại sự không thuận tiện cho người dùng và dễ dàng làm cho họ từ
bỏ các biện pháp bảo mật Tuy nhiên, trong các tổ chức doanh nghiệp, an toàn thông tin luôn phải được đưa lên hàng đầu và tất cả các thành viên đều phải tuân thủ điều này
Vai trò của chính sách BMTT
Để đảm bảo an toàn hệ thống, cần phải có các yếu tố sau:
Con người
Trang 3 Quy trình
Giải pháp
Các tiêu chuẩn quốc tế
Hiện tại các tổ chức doanh nghiệp mới thực hiện ở việc xây dựng giải pháp, còn các yếu tố khác như con người, qui trình, tiêu chuẩn quốc tế chưa được chú trọng Các yếu tố đó chưa tốt và chưa gắn kết, chưa được giám sát bởi còn thiếu một yếu tố rất quan trọng, đó là chính sách BMTT
Chính sách bảo mật là tài liệu cấp cao đặc thù, tập hợp các luật đặc biệt của tổ chức, doanh nghiệp như những yêu cầu, quy định mà những người của tổ chức, doanh nghiệp đó phải thực hiện để đạt được các mục tiêu về an toàn thông tin Chính sách bảo mật sẽ được người đứng đầu tổ chức doanh nghiệp phê chuẩn và ban hành thực hiện Nó được ví như bộ luật của tổ chức, doanh nghiệp mà mọi thành viên trong tổ chức, các đối tác, khách hàng quan hệ đều phải tuân thủ Chính sách bảo mật sẽ là tiền đề để doanh nghiệp xây dựng các giải pháp bảo mật, xây dựng những quy trình đảm bảo an toàn hệ thống, đưa
ra các hướng dẫn thực hiện, gắn kết yếu tố con người, quản trị, công nghệ để thực hiện mục tiêu an toàn hệ thống Đồng thời chính sách bảo mật cũng đưa
ra nhận thức về an toàn thông tin, gán trách nhiệm về an toàn cho các thành viên của tổ chức doanh nghiệp, từ đó đảm bảo hệ thống được vận hành đúng quy trình, an toàn hơn
Chính sách BMTT là cốt lõi, là trung tâm để có thể bắt đầu xây dựng các giải pháp an toàn thông tin
Từ bộ chính sách bảo mật, ngoài việc sẽ đưa ra được giải pháp an ninh toàn diện còn gắn với ý thức, trách nhiệm của thành viên trong tổ chức doanh nghiệp về an toàn thông tin Từ lâu, hậu quả của việc không xây dựng chính sách BMTT mà chỉ có giải pháp an ninh đã khiến cho giải pháp trở nên không toàn diện và hiệu quả
Mô hình Top-down trong chính sách BMTT
Thực tế là hiện nay, trong các tổ chức doanh nghiệp, chúng ta thấy đều xuất hiện “chính sách ngầm” về BMTT Ví dụ như không được cài sniffer (phần mềm nghe lén) trong mạng, không được gửi e-mail mạo danh, không được sao chép tài liệu ra ngoài, không được dùng phần mềm không có bản quyền Những chính sách này đều bàn thảo không chính thức, không được ban hành,
và phổ biến rộng rãi Điều này làm cho chính sách không còn hiệu lực, không gắn ý thức an toàn thông tin tới từng thành viên, không quy được trách nhiệm
về pháp lý và trong nhiều trường hợp có thể còn xung đột với các văn bản ban hành
Trang 4Hiện tại, các tổ chức doanh nghiệp chỉ mới đưa ra các giải pháp công nghệ là chính và chưa xây dựng cùng với chính sách bảo mật Mô hình mà họ đang xây dựng là theo mô hình bottom-up Tức là xây dựng hạ tầng thông tin, giải pháp bảo mật trước rồi sau đó mới xây dựng chính sách bảo mật Chính vì vậy, các giải pháp công nghệ xây dựng đều không toàn diện, thiếu đâu vá đấy, không mang tính tổng thể đồng bộ, chi phí cao Ví dụ: Đề xuất xây dựng
hệ thống bảo mật mạng firewall, ips nhưng sau đó do hệ thống máy tính bị virus, tổ chức lại đề xuất giải pháp diệt virus Khi thấy hệ thống không kiểm soát được việc truy cập mạng, lại đề xuất giải pháp kiểm soát truy cập mạng NAC Điều này thể hiện sự thiếu toàn diện, chiến lược Hay tại trung ương xây dựng giải pháp này nhưng tại chi nhánh của họ thì lại xây dựng giải pháp kiểu khác, đây là biểu hiện của sự không đồng bộ
Theo khuyến cáo của các tổ chức trên thế giới, để xây dựng hệ thống an toàn thì nên xây dựng theo mô hình top-down tức là phải xây dựng chính sách bảo mật trước Tổ chức thực thi theo chính sách bảo mật bao gồm con người, quy trình, giải pháp công nghệ, vật lý Phương pháp này đạt được tính toàn diện, đồng bộ và lâu dài
Trong các tài liệu chuẩn về an toàn thông tin như ISO27001 hay COBIT, nhiệm vụ xây dựng chính sách bảo mật đều được đặt lên đầu tiên trong lộ trình xây dựng hệ thống an toàn thông tin
Chính sách bảo mật tác động đến toàn bộ hệ thống bao gồm phần mềm, phần cứng, truy cập, con người, các kết nối, hệ thống mạng, hạ tầng viễn thông Để xây dựng được một bộ chính sách bảo mật tốt, trước tiên chúng ta cần xác định được các tài nguyên trong hệ thống, đánh giá mức độ quan trọng, phân loại chúng Chỉ khi xác định được đủ các tài nguyên thì bộ chính sách viết ra mới bao quát được toàn bộ tất cả những gì cần phải bảo vệ Bước tiếp theo sẽ
là đánh giá các chức năng, quy trình hoạt động sử dụng các tài nguyên, sau
đó, xác định tài nguyên nào cần bảo vệ Từ đó đưa ra các chính sách bảo mật bảo vệ các tài nguyên đó
Kết luận
Như vậy, để đảm bảo an toàn hệ thống thông tin, chúng ta không những phải
có giải pháp mà cần có con người, quy trình và cần áp dụng các tiêu chuẩn an toàn Sự kết hợp giữa các yếu tố này để vận hành, quản trị nâng cấp hệ thống được an toàn hơn, những điều này đều xuất phát từ chính sách bảo mật của tổ chức doanh nghiệp Đó là trung tâm tiền đề để thực hiện:
Xây dựng quy trình an toàn thông tin
Xây dựng các giải pháp an toàn thông tin
Áp dụng các tiêu chuẩn an toàn thông tin
Trang 5 Đưa ra các hướng dẫn thực hiện an toàn thông tin
Đưa ý thức an toàn thông tin vào các thành viên tổ chức
Đưa trách nhiệm an toàn thông tin vào các thành viên tổ chức
Tránh việc vi phạm an toàn thông tin dẫn tới vi phạm pháp luật
Tất cả những điều đó thể hiện chính sách bảo mật là rất quan trọng đối với tổ chức, doanh nghiệp, cần phải có bộ chính sách bảo mật thông tin và phải xây dựng hệ thống theo mô hình top-down
Về Quản Lý Phiên Bản
Quản lý phiên bản (mã nguồn) là gì, tại sao bạn nên quan tâm? Quản lý phiên bản là một hệ thống lưu trữ các thay đổi của một tập tin (file) hoặc tập hợp các tập tin theo thời gian, do đó nó giúp bạn có thể quay lại một phiên bản xác định nào đó sau này Mặc dù các ví dụ trong cuốn sách này sử dụng mã nguồn của phần mềm là đối tượng cho quản lý phiên bản, song trong thực thế bất kỳ loại file nào trên máy tính cũng có thể được sử dụng cho quản lý phiên bản
Nếu bạn là một nhà thiết kế đồ hoạ hoặc thiết kế website, bạn muốn lưu trữ tất cả các phiên bản của một bức ảnh hoặc bố cục (cái mà chắc chắn bạn cần), thì sử dụng một Hệ Thống Quản Lý phiên bản (Version Control System - VCS) là một cách làm rất khôn ngoan Một VCS cho phép bạn: khôi phục lại phiên bản cũ của các file, khôi phục lại phiên bản cũ của toàn bộ dự án, xem lại các thay đổi đã được thực hiện theo thời gian, xem ai là người thực hiện thay đổi cuối cùng có thể gây ra sự cố, hay xem ai là người đã gây ra sự cố đó
và còn nhiều hơn thế nữa Sử dụng VCS còn đồng nghĩa với việc khi bạn làm rối tung mọi thứ lên hay vô tình xoá mất các file đi, bạn có khôi phục lại chúng một cách dễ dàng Hơn nữa, tất cả quá trình này có thể được thực hiện rất nhanh chóng và không hề tốn quá nhiều công sức
Hệ Thống Quản Lý Phiên Bản Cục Bộ
Nhiều người chọn phương pháp quản lý phiên bản bằng cách copy các file sang một thư mục khác (có thể là các thư mục được đặt tên theo thời gian, nếu họ thông minh) Đây là một phương pháp rất phổ biến bởi vì nó rất đơn giản, tuy nhiên nó cũng rất dễ gây ra lỗi Bạn sẽ rất dễ quên rằng bạn đang ở trong thư mục nào hay vô tình sửa hoặc sao chép nhầm file mà bạn không muốn
Để giải quyết vấn đề này, từ lâu các lập trình viên đã phát triển các phiên bản VCS cục bộ có chứa một database đơn giản lưu trữ tất cả các sự thay đổi của các files dưới sự kiểm soát thay đổi (xem Hình 1-1)
Trang 6Hình 1-1 Mô hình quản lý phiên bản cục bộ.
Một trong những hệ thống quản lý phiên bản phổ biến hơn có tên là rcs vẫn còn được sử dụng ở nhiều máy tính cho tới bây giờ Ngay cả hệ điều hành Mac OS X nổi tiếng cũng đưa vào các lệnh rcs khi bạn cài đặt Developer Tools (Các công cụ dành cho lập trình viên) Phần mềm này cơ bản hoạt động bằng cách lưu giữ các bản vá (những sự thay đổi giữa các file) từ phiên bản này qua phiên bản khác ở một định dạng đặc biệt được lưu trên ổ cứng; nó có thể tái tạo lại bất kỳ file nào ở bất kỳ thời điểm nào bằng cách gộp tất cả các bản vá lại với nhau
Hệ Thống Quản Lý Phiên Bản Tập Trung
Vấn đề nghiêm trọng tiếp theo mà mọi người thường mắc phải là họ cần cộng tác với các lập trình viên khác trong hệ thống Để vượt qua trở ngại này, Hệ Thống Quản Lý Phiên Bản Tập Trung (Centralized Version Control Systems
- CVCSs) được phát triển Các hệ thống này, ví dụ như CVS, Subversion, và Perforce, bao gồm một máy chủ có chứa tất cả các tập tin đã được "phiên bản hoá" (versioned), và danh sách các máy khách có quyền thay đổi các tập tin này trên máy chủ trung tâm đó Trong vòng nhiều năm, mô hình này đã trở thành tiêu chuẩn cho việc quản lý phiên bản (xem Hình 1-2)
Trang 7Hình 1-2 Mô hình quản lý phiên bản tập trung.
Mô hình này cung cấp rất nhiều lợi thế, đặc biết so với việc quản lý cục bộ
Ví dụ, tất cả người dùng đều biết một phần nào đó những việc mà những người khác trong dự án đang làm Người quản lý có quyền quản lý ai có thể làm gì theo ý muốn; và việc này dễ dàng hơn nhiều so với việc phải quản lý ở từng cơ sở dử liệu ở từng máy riêng biệt
Tuy nhiên, mô hình này cũng có những bất cập nghiêm trọng Dễ nhận thấy nhất đó là "sự cố tập trung" mà máy chủ trung tâm mắc phải Nếu máy chủ đó không hoạt động trong một giờ, nghĩa là trong khoảng thời gian đó không ai
có thể cộng tác với những người còn lại hoặc lưu trữ các thay đổi đã được phiên bản hoá của bất kỳ tập tin nào mà người đó đang thao tác Nếu ổ cứng lưu trữ cơ sở dữ liệu trung tâm bị hỏng, và các sao lưu dự phòng chưa được tạo ra tính đến thời điểm đó, bạn sẽ mất toàn bộ lịch sử của dự án đó, ngoại trừ những phiên bản cục bộ mà người dùng có được trên máy tính cá nhân Các hệ thống quản lý phiên bản cục bộ phải đối diện với vấn đề tương tự như thế này mỗi khi toàn bộ lịch sử của dự án được lưu ở một nơi, bạn có nguy cơ mất tất cả
Hệ Thống Quản Lý Phiên Bản Phân Tán
Đã tới lúc cần tới các Hệ Thống Quản Lý Phiên Bản Phân Tán - Distributed Version Control Systems (DVCSs) Trong các DVCS (ví dụ như Git,
Mercurial, Bazaar hay Darcs), các máy khách không chỉ "check out" (sao chép về máy cục bộ) phiên bản mới nhất của các tập tin: chúng sao chép (mirror) toàn bộ kho chứa (repository) Chính vì vậy nếu như một máy chủ nào mà các hệ thống quản lý phiên bản này (mỗi máy khách là một hệ thống riêng biệt) đang cộng tác ngừng hoạt động, thì kho chứa từ bất kỳ máy khách
Trang 8nào cũng có thể dùng để sao chép ngược trở lại máy chủ để khôi phục lại toàn
bộ hệ thống Mỗi checkout thực sự là một bản sao đầy đủ của tất cả dữ liệu (xem Hình 1-3)
Hình 1-3 Mô hình quản lý phiên bản phân tán
Ngoài ra, phần lớn các hệ thống này xử lý rất tốt việc quản lý nhiều kho chứa
từ xa, vì thế bạn có thể cộng tác với nhiều nhóm người khác nhau theo những cách khác nhau trong cùng một dự án Việc này cho phép bạn cài đặt nhiều loại "tiến trình công việc" (workflow) không thể thực hiện được với các hệ thống tập trung, ví dụ như các mô hình phân cấp
Phát hiện và khắc phục lỗ hổng bảo mật:
Phát hiện:
Quét mạng
Quét ñiểm yếu
Kiểm tra log
Kiểm tra tính toàn vẹn file
Phát hiện virus
Chống tấn công quay số
Chống tấn công vào access point
Trang 9Đảm bảo tính riêng tư ( Confidentiality ) – ðảm bảo tính riêng tư của thông tin: Bảo vệ dữ liệu
ñược truyền tải khỏi các tấn công thụ ñộng – Tương ứng với hình thức phát hiện nội dung thông ñiệp
( release of message content ) có một vài phương pháp
bảo vệ ñường truyền:
Bảo vệ mọi dữ liệu ñược truyền giữa hai người sử dụng tại mọi
thời ñiểm: – Thiết lập ñường truyền ảo giữa hai hệ thống và ngăn chặn mọi hình thức phát hiện nội dung thông ñiệp
Bảo vệ các thông ñiệp ñơn lẻ hoặc một số trường ñơn lẻ của
thông ñiệp – Không thực sự hữu ích; – Trong nhiều trường hợp khá phức tạp; – Yêu cầu chi phí lớn khi thực hiện – ðảm bảo tính riêng tư: bảo vệ luồng thông tin trao ñổi khỏi
các thao tác phân tích
Yêu cầu: phía tấn công không thể phát hiện ñược các ñặc
ñiểm của quá trình truyền tin: – Nguồn và ñích của thông tin; – Tần suất, ñộ dài; – Các thông số khác của luồng thông tin
ðảm bảo tính xác thực ( Authentication ) – Dịch vụ ñảm bảo tính xác thực: Khẳng ñịnh các bên tham gia vào quá trình truyền tin ñược xác
thực và ñáng tin cậy – ðối với các thông ñiệp ñơn lẻ:
Các thông báo, báo hiệu: dịch vụ xác thực: – ðảm bảo cho bên nhận rằng các thông ñiệp ñược ñưa ra từ những
nguồn ñáng tin cậy
– ðối với những liên kết trực tuyến, có hai khía cạnh
cần phải chú ý tới:
Tại thời ñiểm khởi tạo kết nối, dịch vụ xác thực phải hai
thực thể tham gia vào trao ñổi thông tin phải ñược ủy
quyền
Dịch vụ cần khẳng ñịnh rằng kết nối không bị can thiệp
Trang 10bởi một bên thứ ba Trong ñó bên thứ ba này có thể giả
mạo một trong hai bên ñược ủy quyền ñể có thể tham
giâ vào quá trình truyền tin và thu nhận các thông ñiệp
ðảm bảo tính sẵn sàng ( Availability ) – Tấn công phá hủy tính sẵn sàng của
hệ thống:
Thực hiện các thao tác vật lý tác ñộng lên hệ thống – Dịch vụ ñảm bảo tín sẵn sàng phải:
Ngăn chặn các ảnh hưởng lên thông tin trong hệ thống;
Phục hồi khả năng phục vụ của các phần tử hệ thống trong
thời gian nhanh nhất
ðảm bảo tính toàn vẹn ( Integrity ) – ðảm bảo tính toàn vẹn cũng có thể áp dụng cho luồng
thông ñiệp, một thông ñiệp hoặc một số trường ñược
lựa chọn của thông ñiệp – Phương pháp hữu ích nhất là trực tiếp bảo vệ luồng
thông ñiệp – ðảm bảo tính toàn vẹn:
Dịch vụ bảo ñảm tính toàn vẹn dữ liệu hướng liên kết;
Dịch vụ bảo ñảm tính toàn vẹn hướng không liên kết
– Tất cả các kỹ thuật ñảm bảo an toàn hệ thống truyền tin
ñều có hai thành phần:
Quá trình truyền tải có bảo mật thông tin ñược gửi – Ví dụ: mật mã thông ñiệp sẽ làm cho kẻ tấn công không thể ñọc
ñược thông ñiệp – Thêm vào thông ñiệp những thông tin ñược tổng hợp từ nội dung
thông ñiệp Các thông tin này có tác dụng xác ñịnh người gửi
Một số thông tin mật sẽ ñược chia sẻ giữa hai bên truyền tin – Các thông tin này ñược coi là bí mật với ñối phương – Ví dụ: khóa mật mã ñược dùng kết hợp với quá trình truyền ñể mã
hóa thông ñiệp khi gửi và giải mã thông ñiệp khi nhận
CÁC BIỆN PHÁP PHÁT HIỆN HỆ THỐNG BỊ TẤN CÔNG:
