NGHIÊN CỨU GIẢI PHÁP NÂNG CAO ĐỘ AN TOÀN BẢO MẬT CHO HỆ THỐNG THÔNG TIN ỨNG DỤNG TẠI TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG HÀ TÂYChương 1: Tổng quan về an toàn bảo mật thông tin.Trong chương sẽ đưa ra một số khái niệm liên quan tới an toàn bảo mật cho hệ thống thông tin.Chương 2: Biện pháp nâng cao đảm bảo an toàn bảo mật cho hệ thống thông tin.Chương 3: Ứng dụng đảm bảo an ninh hệ thống mạng tại trường Cao đẳng Cộng đồng Hà Tây.
Trang 2Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: …TS.NGUYỄN KHẮC LỊCH………
Phản biện 1: T.S Hồ Văn Hương
Phản biện 2: PGS TS Trịnh Nhật Tiến
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: 11 giờ 15 phút, ngày 15 tháng 02 năm 2014
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
Trang 3Chính vì những nhu cầu trên thực tiễn như trên của ngành Công nghệ thông tin nói
chung và của cơ quan nơi em công tác nói riêng nên em đã quyết định chọn đề tài “Nghiên
cứu giải pháp nâng cao độ an toàn bảo mật cho hệ thống thông tin ứng dụng tại trường Cao đẳng Cộng đồng Hà Tây” làm luận văn tốt nghiệp với mong muốn tìm hiểu,
nghiên cứu và áp dụng được các giải pháp để đảm bảo nâng cao được an toàn bảo mật cho
hệ thống thông tin tại trường Cao đẳng Cộng đồng Hà Tây Toàn bộ luận văn được chia làm
03 chương:
Chương 1: Tổng quan về an toàn bảo mật thông tin
Trong chương sẽ đưa ra một số khái niệm liên quan tới an toàn bảo mật cho hệ thống thông tin
Chương 2: Biện pháp nâng cao đảm bảo an toàn bảo mật cho hệ thống thông tin
Trình bày về các nguy cơ gây mất an toàn hệ thống thông tin, đưa ra một số các giải pháp đảm bảo an toàn và nghiên cứu sâu vào giải pháp sử dụng firewall
Chương 3: Ứng dụng đảm bảo an ninh hệ thống mạng tại trường Cao đẳng Cộng đồng Hà Tây
Nội dung của chương là giới thiệu hiện trạng mạng thực tế tại trường Cao đẳng Cộng đồng Hà Tây, đưa ra đánh giá về hệ thống hiện tại và đưa ra giải pháp để nâng cao độ bảo mật và an ninh mạng ứng dụng cho trường
Trong quá trình làm luận văn không thể tránh khỏi một số các thiếu sót rất mong nhận được sự đóng góp ý kiến của các thầy cô và các bạn học viên
Trang 4Chương 1 - TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN 1.1 Khái niệm về an toàn bảo mật
An toàn bảo mật là đảm bảo an toàn cho cơ sở hạ tầng thông tin và các hoạt động truyền thông, đảm bảo sự toàn vẹn của hệ thống thiết bị, mạng lưới, các dịch vụ truyền thông, đảm bảo sự toàn vẹn, bí mật, khả dụng, nhất quán của thông tin dữ liệu trong hệ thống thiết bị và trên mạng lưới
1.2 Tấn công/ đột nhập là gì
Tấn công, đột nhập lên một hệ thống là một sự vi phạm chính sách an toàn bảo mật của hệ thống đó
1.3 Đặc trưng của một hệ thống thông tin bảo mật
Một hệ thống thông tin bảo mật là một hệ thống mà thông tin được xử lý trên nó phải đảm bảo các đặc trưng bí mật, toàn vẹn và tính khả dụng
1.3.4 Tính xác thực
Đặc trưng này nhằm chứng thực sự đáng tin cậy của thông tin Tính xác thực gồm có xác thực thực thể và xác thực dữ liệu
Trang 51.4 Nguyên tắc xây dựng một hệ thống bảo mật
1.4.2 Các mục tiêu của bảo mật hệ thống
Các mục tiêu cơ bản được đặt ra cho một hệ thống bảo mật là:
- Ngăn chặn : mục tiêu thiết kế là ngăn chặn các vi phạm đối với chính sách
- Phát hiện : mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính sách đã và đang xảy ra trên hệ thống
- Phục hồi : mục tiêu thiết kế bao gồm các cơ chế nhằm chặn đứng các vi phạm đang diễn ra hoặc khắc phục hậu quả của vi phạm một cách nhanh chóng nhất với mức độ thiệt hại thấp nhất
1.5 Thực trạng an toàn bảo mật thông tin tại các tổ chức, cơ quan
Hiện nay trong một số các tổ chức và cơ quan có quy mô lớn, đã có những bộ phận chuyên biệt, có những chính sách và cơ chế rõ ràng để đảm bảo an toàn bảo mật cho thông tin Nhưng tại các tổ chức, cơ quan vừa và nhỏ việc coi trọng và đầu tư cho việc đảm bảo an toàn bảo mật cho hệ thống thông tin còn chưa được quan tâm tới Việc bảo đảm an toàn được thực hiện một cách thủ công, rời rạc tùy theo ý thức của từng cá nhân Đa số người sử dụng chỉ quan tâm tới việc sử dụng dịch vụ, các ứng dụng trên mạng nhanh, thuận tiện, dễ
sử dụng chứ chưa quan tâm tới tính an toàn của thông tin
Như vậy có thể khẳng định hiện nay tình hình an toàn bảo mật thông tin tại các cơ quan, tổ chức trong nước đang gặp rất nhiều thách thức, nhiều các mối nguy hiểm tiềm tàng
Để đảm bảo an toàn bảo mật thông tin cho các tổ chức, cơ quan được cải thiện đòi hỏi cần phải thay đổi được nhận thức về tầm quan trọng của an ninh bảo mật thông tin đặc biệt là nhận thức của ban lãnh đạo, từ đó xây dựng các kế hoạc nâng cao trình độ nguồn nhân lực
và trang thiết bị cần thiết phục vụ công tác an toàn bảo mật thông tin trong tổ chức, cơ quan
Trang 6Chương 2 - BIỆN PHÁP NÂNG CAO ĐẢM BẢO AN TOÀN BẢO
MẬT CHO HỆ THỐNG THÔNG TIN
2.1 Các nguy cơ gây mất an toàn bảo mật hệ thống
Có thể chia các nguy cơ thành các nhóm sau:
- Truy xuất thông tin trái phép
- Phát thông tin sai
- Ngăn chặn hoạt động của hệ thống
- Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống
2.2 Các giải pháp đảm bảo an toàn bảo mật hệ thống
2.2.1 Giải pháp kiểm soát truy nhập
Kiểm soát truy nhập là quá trình trong đó người dùng được nhận dạng và trao quyền truy nhập đến các thông tin, các hệ thống và tài nguyên
2.2.1.1 Kiểm soát truy nhập tùy chọn
Kiểm soát truy nhập tùy chọn (Discretionary Access Control - DAC) được định nghĩa là các cơ chế hạn chế truy nhập đến các đối tượng dựa trên thông tin nhận dạng của các chủ thể hoặc nhóm các chủ thể
2.2.1.2 Kiểm soát truy nhập bắt buộc
Kiểm soát truy nhập bắt buộc (Mandatory Access Control – MAC) là một chính sách truy nhập không do các nhân sở hữu tài nguyên quyết định mà do hệ thống quyết định MAC được dùng trong hệ thống có những loại dữ liệu nhạy cảm như các thông tin bảo mật trong cơ quan chính phủ, quân đội
2.2.1.3 Kiểm soát truy nhập dựa trên vai trò
Kiểm soát truy nhập dựa trên vai trò (Role based access control - RBAC) là một phương pháp điều khiển và đảm bảo quyền sử dụng cho người sử dụng có thể thay thế kiểm soát truy nhập tùy ý (DAC) và kiểm soát truy nhập bắt buộc (MAC)
2.2.1.4 Kiểm soát truy nhập dựa trên luật
Kiểm soát truy nhập dựa trên luật (Rule based access control) là hình thức kiểm soát truy nhập của người dùng vào hệ thống, tài nguyên dựa trên các luật (rules) đã được định
Trang 7nghĩa trước Các luật có thể được thiết lập để hệ thống cho phép truy nhập đến các tài nguyên của mình cho người dùng thuộc một tên miền, một dải địa chỉ IP…
2.2.2 Giải pháp phát hiện và phòng chống đột nhập
Giải pháp để phát hiện và phòng chống đột nhập thường được sử dụng trong thực tế
là sử dụng hệ thống IDS (Intrusion Detection System) và IPS (Intrusion Prevention System):
2.2.2.1 Hệ thống Intrusion Detection System - IDS
Phát hiện đột nhập (Intrusion Detection System – IDS) là hệ thống phát hiện các dấu hiệu của tấn công đột nhập Nhiệm vụ của IDS là theo dõi các hoạt động trên mạng để tìm
ra các dấu hiệu khả nghi và cảnh báo cho hệ thống, người quản trị biết được
Chức năng hệ thống IDS: chức năng quan trọng nhất của một hệ thống IDS là giám
sát, cảnh báo và bảo vệ
Kiến trúc của hệ thống IDS: một hệ thống IDS bao gồm các thành phần chính là
thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (detection), thành phần phản hồi (respontion)
Phân loại hệ thống IDS:
Mỗi hệ thống IDS có một phạm vi giám sát, một kỹ thuật thực hiện khác nhau Do vậy việc phân loại hệ thống IDS/IPS cũng được dựa trên 2 cơ sở là phạm vi giám sát và kỹ thuật thực hiện
2.2.2.2 Hệ thống Intrusion Prevention System - IPS
Phòng chống đột nhập (Intrusion Prevention System – IPS) là hệ thống có chức năng phát hiện đột nhập, các cuộc tấn công vào hệ thống và tự động ngăn chặn các cuộc tấn công
đó Hệ thống IPS thường được đặt ở vành đai mạng để bảo vệ tất cả các thiết bị trong mạng
Kiến trúc hệ thống IPS: hệ thống IPS gồm 3 modul chính là phân tích gói tin, phát
hiện tấn công và phản ứng
2.2.3 Giải pháp mã hóa thông tin
Mã hóa thông tin là kỹ thuật biến đổi thông tin gốc thành dạng thông tin bí mật mà chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới có thể hiểu được
Trang 82.2.3.1 Kỹ thuật mã hóa dùng khóa đối xứng
Kỹ thuật mã hóa dùng khóa đối xứng hay còn gọi là mã hóa khóa bí mật là kỹ thuật
sử dụng chung một khóa duy nhất cho cả hai khâu mã hóa và giải mã Do vậy khóa cần được giữ bí mật trong suốt thời gian sử dụng giữa cả bên gửi và bên nhận
2.2.3.2 Kỹ thuật mã hóa dùng khóa bất đối xứng
Kỹ thuật mã hóa dùng khóa bất đối xứng hay còn gọi là mã hóa khóa công khai là kỹ thuật sử dụng một cặp khóa, trong đó khóa công khai dùng để mã hóa và khóa bí mật (khóa riêng) dùng để giải mã Với kỹ thuật này chỉ có khóa bí mật cần được giữ bí mật, khóa công khai không cần giữ bí mật
2.2.4 Giải pháp phòng chống các phần mềm độc hại
Phần mềm độc hại là một thuật ngữ bao hàm tất cả các loại phần mềm được thiết kế
để tấn công làm hại tới hệ thống, máy tính, mạng hoặc các tài nguyên
2.2.4.1 So sánh với mẫu biết trước
Kỹ thuật này sẽ phân tích các file có nghi ngờ là bị nhiễm độc, sau đó so sánh kết quả với các mẫu của phần mềm độc hại đã biết trước, nếu phát hiện một đoạn mã độc hại thì file
đó có thể bị lây nhiễm các phần mềm độc hại và sau đó phần mềm bảo vệ sẽ cố gắng loại bỏ đoạn mã độc hại khỏi file
2.2.4.2 Nhận dạng hành vi đáng ngờ
Nhận dạng hành vi đáng ngờ là một chức năng thông minh không phải phần mềm bảo vệ nào cũng có Với kỹ thuật này phần mềm bảo vệ sẽ theo dõi sự hoạt động bất thường của hệ thống để có thể phát hiện ra các các phần mềm độc hại chưa được biết đến (chưa có trong cơ sở dữ liệu của phần mềm) từ đó đưa ra cảnh báo tới người dùng và đồng thời tiến hành cô lập các phần mềm đáng ngờ để bảo đảm an toàn hệ thống
2.2.4.3 Nhận dạng nhờ kiểm soát liên tục
Với kỹ thuật này phần mềm bảo vệ thường thực hiện kiểm soát liên tục theo thời gian thực để bảo vệ hệ thống
2.2.4.4 Kết hợp mọi phương thức
Kỹ thuật này sẽ kết hợp nhiều phương thức như kiểm soát truy nhập để ngăn chặn các phần mềm độc hại xâm nhập và hạn chế việc truy xuất sửa đổi cơ sở dữ liệu, kỹ thuật so sánh với mẫu biết trước, kỹ thuật nhận dạng hành vi đáng ngờ…
Trang 92.3 Giải pháp firewall ứng dụng nâng cao an toàn bảo mật hệ thống
2.3.1 Giới thiệu về firewall
2.3.1.1 Khái niệm
2.3.1.2 Các chức năng chính của firewall
- Quản lý và kiểm soát luồng dữ liệu trên mạng
- Xác thực quyền truy cập
- Hoạt động như một thiết bị trung gian
- Bảo vệ tài nguyên
- Ghi nhận và báo cáo các sự kiện
2.3.1.3 Các thành phần cơ bản của firewall
Một firewall bao gồm một hoặc nhiều thành phần sau đây:
- Bộ lọc gói tin (Packet Filtering): Bộ lọc gói tin cho phép hay từ chối gói tin mà nó nhận được
- Cổng ứng dụng (Application Gateway): cổng ứng dụng được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là proxy service
- Cổng vòng (Circuit level gateway): cổng vòng thực hiện chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói nào, nó thường được sử dụng cho những kết nối ra ngoài, điều này giúp che giấu thông tin về mạng nội bộ
2.3.1.4 Phân loại firewall
Firewall có thể được phân loại như sau:
- Software firewall (firewall mềm): là những firewall được cài đặt trên một hệ điều hành thường có thể đảm nhiệm nhiều vai trò như một DNS server hay DHCP server
- Applicance firewall (firewall cứng): là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall
Ngoài cách phân loại như trên firewall còn có thể phân loại dựa vào các công nghệ
sử dụng trong firewall như sau:
Trang 10- Personal firewalls: được thiết kế để bảo vệ một host duy nhất, thường được tích hợp sẵn trong các hệ điều hành
- Packet filters: là thiết bị được thiết kế để lọc gói tin dựa trên những đặc diểm đơn giản của gói tin
- Network Address Translations (NAT) firewalls
2.3.1.5 Mô hình kiến trúc của firewall
Kiến trúc Dual homed host
Mô hình kiến trúc firewall kiểu Dual homed host được xây dựng dựa trên máy tính dual homed host Máy tính dual home host là một máy tính có it nhất hai card mạng giao tiếp với hai mạng khác nhau, lúc này máy tính này đóng vai trò là router mềm
Kiến trúc Screened host
Screened host là cấu trúc cung cấp các dịch vụ từ một host bên trong mạng nội bộ (bastion host) và một router tách rời với mạng bên ngoài Kiến trúc này kết hợp hai kỹ thuật
là packet filtering và proxy service
Kiến trúc Screened subnet host
Kiến trúc screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi nhằm cô lập cho mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host khác
Trang 11là Microsoft forefront Threat Management Gateway 2010
2.3.2.2 Các tính năng chính
Internet access prortection (proxy): Firewall Forefront TMG sẽ hoạt động như một
proxy server giữa máy client trong mạng nội bộ và nguồn tài nguyên trên Internet
Hoạt động như một VPN Server: Forefront TMG ngoài tính năng firewall còn
được tích hợp dịch vụ VPN bao gồm các chức năng đầy đủ của VPN
Windows Server 2008 R2 64 bit Support
Web antivirus and anti-Malware Support: có thể phát hiện và cô lập nội dung
độc hại trong lưu lượng HTTP truy cập trước khi nó được truyền tới máy client
URL Filtering: Các tính năng lọc URL cho phép thực thi các chính sách an ninh và
nâng cao năng suất
HTTPS Inspection: cho phép quan sát trong giao thức SSL bắt nguồn từ các máy
tính trong mạng nội bộ
E-Mail anti-Malware and anti-Spam Support: Forefront TMG cung cấp một giao
diện để kiểm soát lưu lượng mail, chống thư rác và các tính năng chống phần mềm độc hại
Network Intrusion prevention: Một hệ thống ngăn chặn xâm nhập (IPS) là một
công cụ rất phổ biến, chủ yếu bởi vì nó có thể được sử dụng như một biện pháp chủ động
để phát hiện sự xâm nhập
Trang 12The Session Initiation protocol Filter: Bộ lọc Session Initiation Protocol được tích
hợp trong Forefront TMG, hỗ trợ âm thanh, video thông qua tường lửa Forefront TMG
ISP Sharing/Failover: Forefront TMG hỗ trợ kết nối nhiều IPS
2.3.3.3 Các mô hình triển khai ứng dụng Forefront TMG 2010
Mô hình Edge firewall
Đây là mô hình mà firewall Forefront TMG sẽ được nối trực tiếp với mạng bên trong
và mạng bên ngoài
Mô hình 3-leg Perimeter
Với mô hình này firewall Forefront TMG cần tới 3 card mạng:
+ Card mạng thứ nhất nối với mạng bên ngoài
+ Card thứ hai nối với vùng mạng DMZ
+ Card thứ ba nối với mạng nội bộ
Mô hình back firewall
Với mô hình này cần tới hai firewall Forefront TMG, mỗi firewall có hai card mạng được bố trí như sau:
- Firewall thứ nhất được gọi là front-end firewall có một card mạng nối với mạng bên ngoài và một card nối với mạng bên trong
- Firewall thứ hai được gọi là back-end firewall có một card mạng nối với DMZ và card còn lại nối với mạng nội bộ
Mô hình Single Network Adapter
Mô hình này được triển khai khi firewall chỉ có một card mạng và lúc này firewall được sử dụng làm Web proxy server
Trang 13Chương 3 - ỨNG DỤNG ĐẢM BẢO AN NINH HỆ THỐNG MẠNG
TẠI TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG HÀ TÂY
3.1 Giới thiệu về trường Cao đẳng Cộng đồng Hà Tây
3.2 Yêu cầu của hệ thống
Đưa ra giải pháp đảm bảo được các yêu cầu:
- Tính ổn định và sẵn sàng cao của hệ thống
- Quản lý được các lưu lượng đi vào và ra khỏi hệ thống mạng
- Tăng cường bảo mật cho toàn hệ thống mạng
- Có thể phát hiện và ngăn chặn các nguy cơ xâm nhập trái phép
- Ngăn chặn, hạn chế các chương trình độc hại được tải về từ Internet
- Đảm bảo cho hệ thống server an toàn và hoạt động ổn định
- Chi phí phù hợp và có tính tương thích với hệ thống hiện tại, đáp ứng được khả năng mở rộng trong tương lai
3.3 Thực trạng mô hình mạng tại trường Cao đẳng Cộng đồng Hà Tây
3.3.1 Hiện trạng mạng tại trường
Hệ thống mạng nội bộ của trường có 07 khu nhà chính, được nối với nhau bằng hệ thống cáp quang
Hình 3.1 Sơ đồ hạ tầng mạng nội bộ
