ỨNG DỤNG PHƯƠNG PHÁP LUẬN SÁNG TẠO KHOA HỌC TRONG BẢO MẬT HỆ THỐNG NGÂN HÀNG

ỨNG DỤNG PHƯƠNG PHÁP LUẬN SÁNG TẠO KHOA HỌC TRONG BẢO MẬT HỆ THỐNG NGÂN HÀNG

BỘ MÔN PHƯƠNG PHÁP LUẬN SÁNG TẠO KHOA HỌC

-o0o -Đề tài:

ỨNG DỤNG PHƯƠNG PHÁP LUẬN SÁNG TẠO KHOA HỌC TRONG BẢO

MẬT HỆ THỐNG NGÂN HÀNG

GVHD: GS.TSKH Hoàng Kiếm SVTH: Nguyễn Đình Huy - 06520204

Tp Hồ Chí Minh - Tháng 01 Năm 2010

LỜI CÁM ƠN

Đầu tiên, em xin chân thành cám ơn thầy Hoàng Kiếm đã truyền đạt hết sức nhiệt tình cho chúng em những kiến thức quý báu trong môn Phương pháp luận sáng tạo

khoa học để em hoàn thành đề tài này.

Em cũng xin gửi lời cám ơn chân thành đến các thầy cô trong trường ĐH Công Nghệ Thông Tin đã tận tình giúp đỡ em trong thời gian học vừa qua

Xin cảm ơn tất bạn bè đã và đang động viên, giúp đỡ tôi trong quá trình học tập và hoàn thành đề tài này

TpHCM, ngày 4 tháng 1 năm 2010

Lớp MMT01 Sinh viên thực hiện

Nguyễn Đình Huy

NHẬT XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

LỜI NÓI ĐẦU

Quá trình sáng tạo luôn đồng hành từ xưa tới nay trong quá trình phát triển loài người, nội dung sáng tạo rất phong phú và đa dạng giúp chúng ta không ngừng phát triển Sau khi hoàn thành môn học phương pháp luận sáng tạo của thầy Hoàng Kiếm, nắm bắt hiểu được một số vấn đề, sau đây tôi xin trình bày một số ví dụ về các nguyên tắc sáng tạo áp dụng vào trong tin học và một chuyên đề phân tích về hệ thống bảo mật cho một ngân hàng

Chuyên đề đưa hoàng loạt các giải pháp cho ngân hàng Các giải pháp này đều có áp dụng các nguyên tắc sáng tạo đã trình bày trong môn phương pháp luận sáng tạo Các giải pháp gồm phần cứng, phần mềm, cách phòng chống các cách thức tấn công của hacker và cách phòng chống

MỤC LỤC

LỜI CÁM ƠN 2

NHẬT XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 3

LỜI NÓI ĐẦU 4

MỤC LỤC 5

Phần 1 : Các nguyên tắc áp dụng trong tin học 5

I Nguyên tắc thực hiện sơ bộ : 5 II Nguyên tắc phân nhỏ : 5 III Nguyên tắc kết hợp : 6 IV Nguyên tắc “tách khỏi” : 6 V Nguyên tắc dự phòng : 6 VI Nguyên tắc “chứa trong” : 7 VII Nguyên tắc sao chép (copy) : 7 VIII Nguyên tắc biến hại thành lợi :8 IX Nguyên tắc sử dụng trung gian : 8 X Nguyên tắc tự phục vụ : 8 Phần 2 : Phân tích bảo mật hệ thống ngân hàng 8

I Phân tích sơ bộ hệ thống 8

II Sử dụng các thiết bị trung gian 9

III Sử dụng các nguyên tắc dự phòng, sao chép 10

IV Các thiết bị chứa trong : 10

V Tự phục vụ (tự động cập nhật các bản vá lỗi) 11

VI Tách các mạng : 11

VII Linh động khi gặp các sự cố mạng : 11

VIII Biến hại thành lợi ( dựa vào các nguyện tắc tấn công của hacker) 12

IX Bảo vệ máy chủ, phải kết hợp nhiều hình thức bảo vệ : 12

X Các thao tác theo chu kì 12

XI Phòng chống các cách thức tấn công……… 15

KẾT LUẬN……… ……… 16 TÀI LIỆU THAM KHẢO……… 17

Phần 1 : Các nguyên tắc áp dụng trong tin học

I Nguyên tắc thực hiện sơ bộ :

Thực hiện trước sự thay đổi cần có, hoàn toàn hoặc từng phần, đối với đối tượng

Cần sắp xếp đối tượng trước, sao cho chúng có thể hoạt động từ vị trí thuận lợi nhất, không mất thời gian dịch chuyển

 ví dụ :

1 Khi thiết kế một hệ thống mạng cho một công ty Cần đưa ra các bước thực hiện sơ bộ như : yêu cầu của khách hàng, sơ đổ cấu trúc tòa nhà, sơ

đồ vật lý, sơ đồ logic, phần cứng, phần mềm, kế hoạch thi công và chi phí của dự án Nhằm đáp ứng cho khách hàng về tổng quan của dự án

2 Khi tiến hành làm một project nào đó, cần phải phân tích thiết kế hệ thống nhằm đưa ra các bước cần thực hiện sơ bộ, như là : khi xây dựng một trang web trực tuyến cần phải đưa ra sơ bộ các yêu cầu như : hiện trang xây dựng web, web trực tuyến có cần không, yêu cầu một trang web trực tuyến tốt là như thế nào Có các sơ đồ chức năng : Business

Function Diagram, Sơ đồ dòng dữ liệu DFD (Data Flow Diagram), Mô

hình dữ liệu thực thể ERD (Entity Relationship Diagram), Mô hình quan

hệ và mô tả tiến trình…

II Nguyên tắc phân nhỏ :

Chia đối tượng thành các phần độc lập

Làm đối tượng trở nên tháo lắp được

Tăng mức độ phân nhỏ đối tượng

 Ví dụ :

1 Để hoàn thành một phần mềm nào đó, cần phải phân nhỏ ra từng phân, từng module cho các nhiều hoặc từng nhóm lập trình viên làm theo tiến

độ

2 Công việc của một admin có thể chia nhỏ thành các phần sau để có thể

dễ quản lí và bảo trì : quản lí user, quản lí phần cứng, back up data, cài đặt phần mềm, khắc phục sự cố…

III Nguyên tắc kết hợp :

Kết hợp các đối tượng đồng nhất hoặc các đối tượng dùng cho các hoạt động kế cận

Kết hợp về mặt thời gian các hoạt động đồng nhất hoặc kế cận

 Ví dụ :

1 Sau khi xong tiến độ, kết hợp lại làm ra một phần mềm hoàn chỉnh

2 kết hợp các thiết bị như Router, Firewall, IDS để xây dựng hệ thống mạng an toàn

IV Nguyên tắc “tách khỏi” :

Tách phần gây “phiền phức” (tính chất “phiền phức”) hay ngược lại tách phần duy nhất “cần thiết” (tính chất “cần thiết”) ra khỏi đối tượng

 Ví dụ :

Để một trang web hoàn thiện, tốt , và bề ngoài đẹp, sinh động, người ta tách ra từng phần như : những người viết code thì làm riêng, không ảnh hưởng, đụng chạm công việc với những người thiết kế web

V Nguyên tắc dự phòng :

Bù đắp độ tin cậy không lớn của đối tượng bằng cách chuẩn bị trước các phương tiện báo động, ứng cứu, an toàn

 Ví dụ :

1 Ngày nay các hệ thống máy tính của các cơ quan, doanh nghiệp, nhà nước…luôn có cơ chế dự phòng, đề phòng những vấn đề không lường trước được Nên trong hệ thống luôn có chế độ back up dữ liệu, và có những server để lưu data back up, lưu trữ những thông tin quan trọng

2 Microsoft cũng hộ trợ soft back up dữ liệu trong các hệ điều hành, giúp người dùng có thể lưu dữ liệu

3 Trong các hệ thống lớn, có những Server luôn được dự trù, khi có sự cố phần cứng hay phần mềm thì lấy những Server này sử dụng, giúp hệ thống ổn định Ngoài ra các doanh nghiệp công ty lớn, hệ thống ngân hàng luôn có các đường thuê bao internet dự phòng

VI Nguyên tắc “chứa trong” :

Một đối tượng được đặt bên trong đối tượng khác và bản thân nó lại chứa đối tượng thứ ba

Một đối tượng chuyển động xuyên suốt bên trong đối tượng khác

 Ví dụ :

1 Các hacker hay lợi dụng việc gửi những email có virus nhằm tấn công các nạn nhân

2 Để tạo hệ thống mạng ảo trong một máy tính, ta có thể cho chạy các máy

ảo bên trong các máy thật

3 Hệ điều hành của các microsoft luôn có chứa các soft nhỏ, cần thiết như : paint, notepad, calculator…

4 Các server mail, web server… luôn được đặt trong một vùng an toàn, vùng DMZ Đảm bảo dữ liệu, hạn chế các cuộc tấn công của hacker

VII Nguyên tắc sao chép (copy) :

Thay vì sử dụng những cái không được phép, phức tạp, đắt tiền, không tiện lợi hoặc dễ vỡ, sử dụng bản sao

Thay thế đối tượng hoặc hệ các đối tượng bằng bản sao quang học (ảnh, hình vẽ) với các tỷ lệ cần thiết

Nếu không thể sử dụng bản sao quang học ở vùng biẻu kiến (vùng ánh sáng nhìn thấy được bằng mắt thường), chuyển sang sử dụng các bản sao hồng ngoại hoặc tử ngoại

 Ví dụ :

1 Các hệ điều hành luôn cung cấp cơ chế sao chép (copy) data,

2 Từ các bản vẽ, bản in mạch, các công ty phần cứng có thể tạo ra các sản phẩm như phần cứng, các board mạch…như nhau

VIII Nguyên tắc biến hại thành lợi :

Sử dụng những tác nhân có hại (thí dụ tác động có hại của môi trường) để thu được hiệu ứng có lợi

Khắc phục tác nhân có hại bằng cách kết hợp nó với tác nhân có hại khác Tăng cường tác nhân có hại đến mức nó không còn có hại nữa

 Ví dụ :

Việc các server để lộ các port như 445,139…, có thể gây nguy hiểm cho các hệ thống bởi các hacker có thể tấn công vào các port này Chính vì vậy, để cho an toàn hệ thống, các admin quản trị có thể dùng cơ chế honeypot để mở hàng loạt các port, làm cho hacker khó phát hiện port nào là thật, port nào giả

IX Nguyên tắc sử dụng trung gian :

Sử dụng đối tượng trung gian, chuyển tiếp

 Ví dụ :

1 Các hacker sử dụng các trojan, virus… để lấy các thông tin, hay phá hoại

hệ thống dữ liệu của nạn nhân

2 Để an toàn cho hệ thống mạng bên trong, các Firewall, Proxy, Router có tích hợp cơ chế NAT server Bên trong dùng các địa chỉ IP của các thiết

bị này đi ra ngoài mạng

X Nguyên tắc tự phục vụ :

Đối tượng phải tự phục vụ bằng cách thực hiện các thao tác phụ trợ, sửa chữa

Sử dụng phế liệu, chát thải, năng lượng dư

 Ví dụ :

Các máy tính có khả năng, cơ chế tự phục vụ vận hành Như máy tính luôn có

bộ tản nhiệt được tích hợp, gắn liền vào máy mục đích làm mát cho CPU, Mainboard

Phần 2 : Phân tích bảo mật hệ thống ngân hàng

I Phân tích sơ bộ hệ thống.

Để xây dựng một hệ thống tốt hoàn chỉnh, cần phải đưa ra các bước thực hiện

sơ bộ như sau, đồng phải chia nhỏ từng giải pháp trên để định hướng cụ thể từng phần sẽ hoàn thành

1 Giới thiệu, đưa ra trước được tổng thể về :

- Xác định các kẽ hở và nguy cơ cho hệ thống mạng

- Mô tả cấu trúc tổng quát hệ thống

- Phân hệ máy chủ ứng dụng

2 Nắm rõ cấu trúc mạng của ngân hàng và các mối đe dọa tiềm năng

3 Phân tích các chính sách bảo mật

- Xác định trách nhiệm của mọi người trong hệ thống với chính sách bảo mật

- Xác định các tài nguyên cần được bảo vệ

- Xác định các mối đe doạ đối với hệ thống

- Xác định trách nhiệm và mức độ sử dụng của từng người sử dụng trong mạng

- Xác định các công cụ để thực thi các chính sách bảo mật

- Xác định các hành động khi chính sách bảo mật bị xâm phạm

4 Đề xuất giải pháp bảo mật

- Công nghệ và giải pháp Firewall khuyến nghị

- Giải pháp Firewall đề nghị cho ngân hàng

- Giải pháp phát hiện và chống xâm nhập IDS

- Giải pháp phát hiện và phòng chống Virus

- Giải pháp sử dụng InterScan VirusWall khuyến nghị cho ngân hàng

- Hệ thống dò tìm lỗi bảo mật khuyến nghị cho tòan hệ thống

(Scanner)

II Sử dụng các thiết bị trung gian.

1 Hệ thống sử dụng các thiết bị của Cisco như các Router kết nối ra mạng và kết nối các chi nhánh với nhau Để hạn chế các lưu lượng, chống các tác nhân bên ngoài mạng, lọc các gói tin không an toàn, hệ thống sử dụng Firewall Ngày nay hầu hết các Router của Cisco có kết hợp Firewall

2 Mạng nội bộ bên trong khi đi ra ngoài mạng, phải đi qua các thiết bị trung gian như Router, Proxy…Mà các thiết bị này có cơ chế NAT, PAT bên trong nên sẽ sử dụng các địa chỉ IP này

3 Để phục vụ cho các user công tác xa, ngoài ngân hàng muốn lấy dữ liệu từ

hệ thống của mình thì hệ thống cung cấp cơ chế VPN Đây là bước trung gian để user kết nối với hệ thống

4 Các hacker có thể sử dụng, điều khiển một hệ thống mạng bot net trung gian

để tiến hành tấn công D.O.S trang web, hệ thống làm cho tê liệt, có thể gây

ra các hậu quả nghiêm trọng Việc sử dụng Firewall có ý nghĩa cần thiết, có thể hạn chế một phần cách tấn công này

III Sử dụng các nguyên tắc dự phòng, sao chép

1 Các đường kết nối vật lý giữa các chi nhánh của ngân hàng luôn có hai đường dây, một đường dây chính và một dự phòng cho những sự cố không lường trước được

2 Ngoài ra có các Server dự trữ, back up các cơ sở dữ liệu, CSDL là lõi của toàn bộ hệ thống bảo mật thông tin, toàn bộ thông tin quan trọng mang tính chất sống còn được tập trung trên các CSDL

3 Khi hệ thống không ổn định hay có vấn đề gì trục trặc, ta có thể restore lại data

4 Dùng các thiết bị phần cứng giống nhau như : ổ cứng, firewall… để sao chép dữ liệu khi có sự cố có thể lấy ổ cứng ra thay thế Dùng hai hay nhiều Firewall, router giống nhau để có thể cân bằng tải cho hệ thống

IV Các thiết bị chứa trong :

Agent s

Victim

Attacker

Handlers

traffic flood

1 Vùng server farm chứa server quan trọng của hệ thống như Database

server, Application server, Report server, Web Server

2 Vùng này phải có độ an toàn cao nên được đặt trong các hệ thống bảo mật cao như vùng DMZ ( đặt trong IDS, Firewall…) Ngoài ra các máy Server quan trọng có chứa các phần mềm antivirus bên trong Nhằm đảm bảo tuyệt đối an toàn

3 Với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó

V Tự phục vụ (tự động cập nhật các bản vá lỗi).

1 DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ

2 Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS

3 Nhằm tránh các sự truy cập bất hợp pháp từ bên ngoài, các phần mềm software cài đặt trên các máy chủ, hệ thống phải luôn cho tự động cập nhật liên tục các bản vá lỗi

VI Tách các mạng :

Nhằm mục đích an toàn cho các Server và mạng Lan, nên chia các mạng

1 Tách khỏi các máy chủ chứa các dữ liệu quan trọng(Database server, Web server phục vụ khách hàng,…) ra một mạng riêng - Server Farm và các máy chủ truy cập public (Web server, mail server,…) ra một mạng riêng-DMZ

2 Tách các mạng LAN, chi nhánh ra từng mạng riệng biệt

VII Linh động khi gặp các sự cố mạng :

1 Có khả năng giám sát hoạt động của toàn bộ hệ thống và có khả năng tự động thay đổi cấu hình, khắc phục các kẽ hở nhanh chóng

2 Tại các khu vực cung cấp các máy chủ truy nhập cần bố trí các bức tường lửa (Firewall) kèm các bộ dò tìm tấn công (IDS) đảm bảo ngăn chặn các truy nhập trái phép hay các dạng tấn công ngay từ cổng vào mạng, điều này là rất cần thiết bởi việc sử dụng các thiết bị hỗ trợ cho các kết nối truy nhập đồng thời lại có kết nối đi Internet

VIII Biến hại thành lợi ( dựa vào các nguyện tắc tấn công của hacker)

1 Port là 1 số tự nhiên đựợc gói ở trong TCP và UDP header, mỗi chương trình này có 1 cổng riêng dùng để truyền và nhận dữ liệu (port) Mỗi dịch

vụ có 1 số port mặc định, ví dụ FTP có port mặc định là 21, web service

có port mặc định là 80, POP3 là 110, SMTP là 25

2 Do vậy hacker thường lợi dụng các port này mở hay không, bằng cách dùng các tools quét, nhằm thu thập thông tin để tấn công

3 Ngân hàng nên dựa vào điểm này dùng honey pot để tạo ra hàng loạt port

ảo, Server dữ liệu ảo Gây khó khăn cho hacker

IX Bảo vệ máy chủ, phải kết hợp nhiều hình thức bảo vệ :

1 Bảo mật thông tin trên máy chủ : đảm bảo tính mã hoá, tính toàn vẹn và xác thực của thông tin

2 Quản trị truy nhập vào máy chủ: áp dụng các công nghệ tiên tiến như smart card, Token…

3 Chống truy nhập trái phép: sử dụng các bộ dò tìm IDS để phát hiện và báo động kịp thời khi có tấn công hay truy nhập trái phép vào hệ thống máy chủ

4 Đặt trong vùng an toàn (DMZ)

5 Theo dõi file log để phát hiện xâm nhập

6 Theo dõi hoạt động của các tiến trình và các user trên hệ thống

7 Chống lại các tấn công vào hệ điều hành của server

8 Phát hiện các dò tìm bất hợp pháp, các thay đổi cấu hình dẫn tới mất an toàn hệ thống, các hành vi thay đổi nội dung trang Web, các cuộc tấn công DoS, các hành vi tạo ra backdoor

9 không làm ảnh hưởng đến tốc độ xử lý của CPU

X Các thao tác theo chu kì.

1 Log sẽ được định hướng đến server chuyên dụng xử lý log

2 Log được cảnh báo khi ổ đĩa cứng trống còn thấp và sẽ reset lại log theo những thông số do người quản trị định nghĩa