ỨNG DỤNG PHƯƠNG PHÁP LUẬN SÁNG TẠO KHOA HỌC TRONG BẢO MẬT HỆ THỐNG NGÂN HÀNG
ĐẠI HỌC QUỐC GIA TPHCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THƠNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG BỘ MÔN PHƯƠNG PHÁP LUẬN SÁNG TẠO KHOA HỌC -o0o - Đề tài: ỨNG DỤNG PHƯƠNG PHÁP LUẬN SÁNG TẠO KHOA HỌC TRONG BẢO MẬT HỆ THỐNG NGÂN HÀNG GVHD: GS.TSKH Hồng Kiếm SVTH: Nguyễn Đình Huy - 06520204 MMT01 –Nguyễn Đình Huy Tp Hồ Chí Minh - Tháng 01 Năm 2010 LỜI CÁM ƠN Đầu tiên, em xin chân thành cám ơn thầy Hoàng Kiếm truyền đạt nhiệt tình cho chúng em kiến thức quý báu môn Phương pháp luận sáng tạo khoa học để em hoàn thành đề tài Em xin gửi lời cám ơn chân thành đến thầy cô trường ĐH Công Nghệ Thông Tin tận tình giúp đỡ em thời gian học vừa qua Xin cảm ơn tất bạn bè động viên, giúp đỡ tơi q trình học tập hoàn thành đề tài TpHCM, ngày tháng năm 2010 Lớp MMT01 Sinh viên thực Nguyễn Đình Huy MMT01 –Nguyễn Đình Huy MMT01 –Nguyễn Đình Huy NHẬT XÉT CỦA GIÁO VIÊN HƯỚNG DẪN MMT01 –Nguyễn Đình Huy LỜI NĨI ĐẦU Q trình sáng tạo ln đồng hành từ xưa tới q trình phát triển lồi người, nội dung sáng tạo phong phú đa dạng giúp khơng ngừng phát triển Sau hồn thành mơn học phương pháp luận sáng tạo thầy Hoàng Kiếm, nắm bắt hiểu số vấn đề, sau xin trình bày số ví dụ ngun tắc sáng tạo áp dụng vào tin học chuyên đề phân tích hệ thống bảo mật cho ngân hàng Chuyên đề đưa hoàng loạt giải pháp cho ngân hàng Các giải pháp có áp dụng ngun tắc sáng tạo trình bày môn phương pháp luận sáng tạo Các giải pháp gồm phần cứng, phần mềm, cách phòng chống cách thức cơng hacker cách phịng chống MMT01 –Nguyễn Đình Huy MỤC LỤC LỜI CÁM ƠN .2 NHẬT XÉT CỦA GIÁO VIÊN HƯỚNG DẪN .4 LỜI NÓI ĐẦU .5 MỤC LỤC .6 Phần : Các nguyên tắc áp dụng tin học .8 I Nguyên tắc thực sơ : II Nguyên tắc phân nhỏ : III Nguyên tắc kết hợp : IV Nguyên tắc “tách khỏi” : V Nguyên tắc dự phòng : VI Nguyên tắc “chứa trong” : .10 VII Nguyên tắc chép (copy) : 10 VIII Nguyên tắc biến hại thành lợi : 11 IX Nguyên tắc sử dụng trung gian : 11 X Nguyên tắc tự phục vụ : 11 Phần : Phân tích bảo mật hệ thống ngân hàng 12 MMT01 –Nguyễn Đình Huy Phương pháp giảm thiểu công Mail Relay .17 KẾT LUẬN 18 TÀI LIỆU THAM KHẢO 19 Phần : Các nguyên tắc áp dụng tin học MMT01 –Nguyễn Đình Huy I Nguyên tắc thực sơ : Thực hiện trước sự thay đổi cần có, hoàn toàn hoặc từng phần, đối với đối tượng Cần sắp xếp đối tượng trước, cho chúng có thể hoạt động từ vị trí thuận lợi nhất, khơng mất thời gian dịch chủn ví dụ : Khi thiết kế hệ thống mạng cho công ty Cần đưa bước thực sơ : yêu cầu khách hàng, sơ đổ cấu trúc tòa nhà, sơ đồ vật lý, sơ đồ logic, phần cứng, phần mềm, kế hoạch thi công chi phí dự án Nhằm đáp ứng cho khách hàng tổng quan dự án Khi tiến hành làm project đó, cần phải phân tích thiết kế hệ thống nhằm đưa bước cần thực sơ bộ, : xây dựng trang web trực tuyến cần phải đưa sơ yêu cầu : trang xây dựng web, web trực tuyến có cần khơng, u cầu trang web trực tuyến tốt Có sơ đồ chức : Business Function Diagram, Sơ đồ dịng liệu DFD (Data Flow Diagram), Mơ hình liệu thực thể ERD (Entity Relationship Diagram), Mơ hình quan hệ mơ tả tiến trình… II Ngun tắc phân nhỏ : Chia đối tượng thành các phần độc lập Làm đối tượng trở nên tháo lắp được Tăng mức đợ phân nhỏ đới tượng Ví dụ : Để hồn thành phần mềm đó, cần phải phân nhỏ phân, module cho nhiều nhóm lập trình viên làm theo tiến độ Cơng việc admin chia nhỏ thành phần sau để dễ quản lí bảo trì : quản lí user, quản lí phần cứng, back up data, cài đặt phần mềm, khắc phục cố… III Nguyên tắc kết hợp : MMT01 –Nguyễn Đình Huy Kết hợp các đới tượng đồng nhất hoặc các đối tượng dùng cho các hoạt động kế cận Kết hợp về mặt thời gian các hoạt đợng đờng nhất hoặc kế cận Ví dụ : Sau xong tiến độ, kết hợp lại làm phần mềm hoàn chỉnh kết hợp thiết bị Router, Firewall, IDS để xây dựng hệ thống mạng an toàn IV Nguyên tắc “tách khỏi” : Tách phần gây “phiền phức” (tính chất “phiền phức”) hay ngược lại tách phần nhất “cần thiết” (tính chất “cần thiết”) khỏi đới tượng Ví dụ : Để trang web hoàn thiện, tốt , bề đẹp, sinh động, người ta tách phần : người viết code làm riêng, không ảnh hưởng, đụng chạm công việc với người thiết kế web V Nguyên tắc dự phòng : Bù đắp độ tin cậy không lớn của đối tượng bằng cách chuẩn bị trước các phương tiện báo động, ứng cứu, an toàn Ví dụ : Ngày hệ thống máy tính quan, doanh nghiệp, nhà nước…ln có chế dự phịng, đề phịng vấn đề không lường trước Nên hệ thống ln có chế độ back up liệu, có server để lưu data back up, lưu trữ thông tin quan trọng Microsoft hộ trợ soft back up liệu hệ điều hành, giúp người dùng lưu liệu Trong hệ thống lớn, có Server ln dự trù, có cố phần cứng hay phần mềm lấy Server sử dụng, giúp hệ thống ổn định Ngồi doanh nghiệp cơng ty lớn, hệ thống ngân hàng ln có đường th bao internet dự phòng VI Nguyên tắc “chứa trong” : MMT01 –Nguyễn Đình Huy Mợt đới tượng được đặt bên đối tượng khác và bản thân nó lại chứa đối tượng thứ ba Một đối tượng chuyển động xun śt bên đới tượng khác Ví dụ : Các hacker hay lợi dụng việc gửi email có virus nhằm cơng nạn nhân Để tạo hệ thống mạng ảo máy tính, ta cho chạy máy ảo bên máy thật Hệ điều hành microsoft ln có chứa soft nhỏ, cần thiết : paint, notepad, calculator… Các server mail, web server… đặt vùng an toàn, vùng DMZ Đảm bảo liệu, hạn chế công hacker VII Nguyên tắc chép (copy) : Thay vì sử dụng những cái không được phép, phức tạp, đắt tiền, không tiện lợi hoặc dễ vỡ, sử dụng bản Thay thế đối tượng hoặc hệ các đối tượng bằng bản quang học (ảnh, hình vẽ) với các tỷ lệ cần thiết Nếu không thể sử dụng bản quang học ở vùng biẻu kiến (vùng ánh sáng nhìn thấy được bằng mắt thường), chuyển sang sử dụng các bản hờng ngoại hoặc tử ngoại Ví dụ : Các hệ điều hành cung cấp chế chép (copy) data, Từ vẽ, in mạch, cơng ty phần cứng tạo sản phẩm phần cứng, board mạch…như VIII Nguyên tắc biến hại thành lợi : Sử dụng những tác nhân có hại (thí dụ tác động có hại của môi trường) để thu được hiệu ứng có lợi Khắc phục tác nhân có hại bằng cách kết hợp nó với tác nhân có hại khác Tăng cường tác nhân có hại đến mức nó khơng còn có hại nữa 10 MMT01 –Nguyễn Đình Huy Ví dụ : Việc server để lộ port 445,139…, gây nguy hiểm cho hệ thống hacker cơng vào port Chính vậy, an tồn hệ thống, admin quản trị dùng chế honeypot để mở hàng loạt port, làm cho hacker khó phát port thật, port giả IX Nguyên tắc sử dụng trung gian : Sử dụng đới tượng trung gian, chủn tiếp Ví dụ : Các hacker sử dụng trojan, virus… để lấy thông tin, hay phá hoại hệ thống liệu nạn nhân Để an toàn cho hệ thống mạng bên trong, Firewall, Proxy, Router có tích hợp chế NAT server Bên dùng địa IP thiết bị mạng X Nguyên tắc tự phục vụ : Đối tượng phải tự phục vụ bằng cách thực hiện các thao tác phụ trợ, sửa chữa Sử dụng phế liệu, chát thải, lượng dư Ví dụ : Các máy tính có khả năng, chế tự phục vụ vận hành Như máy tính ln có tản nhiệt tích hợp, gắn liền vào máy mục đích làm mát cho CPU, Mainboard Phần : Phân tích bảo mật hệ thống ngân hàng I Phân tích sơ hệ thống 11 MMT01 –Nguyễn Đình Huy Để xây dựng hệ thống tốt hoàn chỉnh, cần phải đưa bước thực sơ sau, đồng phải chia nhỏ giải pháp để định hướng cụ thể phần hoàn thành Giới thiệu, đưa trước tổng thể : - Xác định kẽ hở nguy cho hệ thống mạng - Mô tả cấu trúc tổng quát hệ thống - Phân hệ máy chủ ứng dụng Nắm rõ cấu trúc mạng ngân hàng mối đe dọa tiềm Phân tích sách bảo mật - Xác định tài nguyên cần bảo vệ - Xác định mối đe doạ hệ thống - Xác định trách nhiệm mức độ sử dụng người sử dụng mạng - Xác định cơng cụ để thực thi sách bảo mật Xác định trách nhiệm người hệ thống với sách bảo mật Xác định hành động sách bảo mật bị xâm phạm Đề xuất giải pháp bảo mật - Giải pháp Firewall đề nghị cho ngân hàng - Giải pháp phát chống xâm nhập IDS - Giải pháp phát phòng chống Virus - Giải pháp sử dụng InterScan VirusWall khuyến nghị cho ngân hàng - II Công nghệ giải pháp Firewall khuyến nghị Hệ thống dị tìm lỗi bảo mật khuyến nghị cho tòan hệ thống (Scanner) Sử dụng thiết bị trung gian 12 MMT01 –Nguyễn Đình Huy Hệ thống sử dụng thiết bị Cisco Router kết nối mạng kết nối chi nhánh với Để hạn chế lưu lượng, chống tác nhân bên mạng, lọc gói tin khơng an tồn, hệ thống sử dụng Firewall Ngày hầu hết Router Cisco có kết hợp Firewall Mạng nội bên mạng, phải qua thiết bị trung gian Router, Proxy…Mà thiết bị có chế NAT, PAT bên nên sử dụng địa IP Để phục vụ cho user cơng tác xa, ngồi ngân hàng muốn lấy liệu từ hệ thống hệ thống cung cấp chế VPN Đây bước trung gian để user kết nối với hệ thống Các hacker sử dụng, điều khiển hệ thống mạng bot net trung gian để tiến hành công D.O.S trang web, hệ thống làm cho tê liệt, gây hậu nghiêm trọng Việc sử dụng Firewall có ý nghĩa cần thiết, hạn chế phần cách công Attacker Handlers Agent s traffic flood Victim III Sử dụng nguyên tắc dự phịng, chép 13 MMT01 –Nguyễn Đình Huy Các đường kết nối vật lý chi nhánh ngân hàng ln có hai đường dây, đường dây dự phịng cho cố khơng lường trước Ngồi có Server dự trữ, back up sở liệu, CSDL lõi toàn hệ thống bảo mật thơng tin, tồn thơng tin quan trọng mang tính chất sống tập trung CSDL Khi hệ thống khơng ổn định hay có vấn đề trục trặc, ta restore lại data Dùng thiết bị phần cứng giống : ổ cứng, firewall… để chép liệu có cố lấy ổ cứng thay Dùng hai hay nhiều Firewall, router giống để cân tải cho hệ thống IV Các thiết bị chứa : Vùng server farm chứa server quan trọng hệ thống Database server, Application server, Report server, Web Server Vùng phải có độ an toàn cao nên đặt hệ thống bảo mật cao vùng DMZ ( đặt IDS, Firewall…) Ngồi máy Server quan trọng có chứa phần mềm antivirus bên Nhằm đảm bảo tuyệt đối an tồn Với hình thức gắn thêm đoạn script mail hacker gây công Spam lúc với khả công gián tiếp đến máy chủ Database nội công D.o.S vào mục tiêu V Tự phục vụ (tự động cập nhật vá lỗi) DNS Server điểm yếu toàn loại máy chủ ứng dụng hệ thống quan trọng hệ thống máy chủ Việc công chiếm quyền điều khiển máy chủ phục vụ DNS phá hoại nguy hiểm liên quan đến toàn hoạt động hệ thống truyền thông mạng Luôn cập nhật phiên có sửa lỗi hệ thống phần mềm DNS 14 MMT01 –Nguyễn Đình Huy Nhằm tránh truy cập bất hợp pháp từ bên ngoài, phần mềm software cài đặt máy chủ, hệ thống phải cho tự động cập nhật liên tục vá lỗi VI Tách mạng : Nhằm mục đích an tồn cho Server mạng Lan, nên chia mạng Tách khỏi máy chủ chứa liệu quan trọng(Database server, Web server phục vụ khách hàng,…) mạng riêng - Server Farm máy chủ truy cập public (Web server, mail server,…) mạng riêng-DMZ Tách mạng LAN, chi nhánh mạng riệng biệt VII Linh động gặp cố mạng : Có khả giám sát hoạt động tồn hệ thống có khả tự động thay đổi cấu hình, khắc phục kẽ hở nhanh chóng Tại khu vực cung cấp máy chủ truy nhập cần bố trí tường lửa (Firewall) kèm dị tìm cơng (IDS) đảm bảo ngăn chặn truy nhập trái phép hay dạng công từ cổng vào mạng, điều cần thiết việc sử dụng thiết bị hỗ trợ cho kết nối truy nhập đồng thời lại có kết nối Internet VIII Biến hại thành lợi ( dựa vào nguyện tắc công hacker) Port số tự nhiên đựợc gói TCP UDP header, chương trình có cổng riêng dùng để truyền nhận liệu (port) Mỗi dịch vụ có số port mặc định, ví dụ FTP có port mặc định 21, web service có port mặc định 80, POP3 110, SMTP 25 Do hacker thường lợi dụng port mở hay không, cách dùng tools quét, nhằm thu thập thông tin để công Ngân hàng nên dựa vào điểm dùng honey pot để tạo hàng loạt port ảo, Server liệu ảo Gây khó khăn cho hacker 15 MMT01 –Nguyễn Đình Huy IX Bảo vệ máy chủ, phải kết hợp nhiều hình thức bảo vệ : Bảo mật thơng tin máy chủ : đảm bảo tính mã hố, tính tồn vẹn xác thực thơng tin Quản trị truy nhập vào máy chủ: áp dụng công nghệ tiên tiến smart card, Token… Chống truy nhập trái phép: sử dụng dị tìm IDS để phát báo động kịp thời có cơng hay truy nhập trái phép vào hệ thống máy chủ Đặt vùng an toàn (DMZ) Theo dõi file log để phát xâm nhập Theo dõi hoạt động tiến trình user hệ thống Chống lại công vào hệ điều hành server Phát dị tìm bất hợp pháp, thay đổi cấu hình dẫn tới an tồn hệ thống, hành vi thay đổi nội dung trang Web, công DoS, hành vi tạo backdoor không làm ảnh hưởng đến tốc độ xử lý CPU X Các thao tác theo chu kì Log định hướng đến server chuyên dụng xử lý log Log cảnh báo ổ đĩa cứng trống thấp reset lại log theo thông số người quản trị định nghĩa Đặt thời gian chuyển file log đến server xử lý log theo chu kỳ Thông tin log bao gồm người sử dụng dịch vụ, thời gian kết nối, đích đến, độ dài phiên kết nối, hành động … Người quản trị lọc file log để định kiện lưu tâm đến bảo mật hệ thống 16 MMT01 –Nguyễn Đình Huy Tự động backup data, update data theo chu kì định người quản trị cấu hình XI Phịng chống cách thức cơng Có thể cấm packet sniffer số cách sau: - Authentication - Dùng switch thay Bridge hay hub: hạn chế gói broadcast mạng - Các công cụ Anti-sniffer: công cụ phát có mặt packet siffer mạng - Mã hóa: Tất thơng tin lưu chuyển mạng mã hóa Khi đó, hacker dùng packet sniffer bắt gói liệu mã hóa Cisco dùng giao thức IPSec để mã hoá liệu Phương pháp giảm thiểu công password: - Giới han số lần login sai - Đặt password dài - Cấm truy cập vào thiết bị, serever từ xa thông qua giao thức không an toàn FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa Phương pháp giảm thiểu công Mail Relay - Giới hạn dung lương Mail box - Sử dụng phương thức chống Relay Spam công cụ bảo mật cho SMTP server, đặt password cho SMTP - Sử dụng gateway SMTP riêng Phương thức công hệ thống DNS - Hạn chế tối đa dịch vụ khác hệ thống máy chủ DNS - Cài đặt hệ thống IDS Host cho hệ thống DNS - Luôn cập nhật phiên có sửa lỗi hệ thống phần mềm DNS 17 MMT01 –Nguyễn Đình Huy KẾT LUẬN Đề tài trình bày đạt kết sau : Đưa chế công hacker cách phịng chống Nêu mơ hình hệ thống mạng ngân hàng Các nguyên tắc, thủ thuật sáng tạo ứng dụng việc xây dựng hệ thống mạng có chế bảo mật cho ngân hàng 18 MMT01 –Nguyễn Đình Huy Do giới hạn thời gian tài liệu nên đề tài cịn nhiều hạn chế, thời gian tới có điều kiện đề tài phát triển hoàn chỉnh phần trình xây dựng hệ thống bảo mật cho ngân hàng TÀI LIỆU THAM KHẢO Tiếng Việt: [1] Phan Dũng – Giáo trình sơ cấp tóm tắt: Phương pháp luận sáng tạo khoa học – kỹ thuật giải vấn đề định – Trung tâm sáng tạo KHKT – TpHCM.1994 [2] Phan Dũng – Giới thiệu: Phương pháp luận sáng tạo đổi (quyển sách ‘Sáng tạo đổi mới’ ) – Trung tâm Sáng tạo KHKT (TSK) – TpHCM 2004 19 MMT01 –Nguyễn Đình Huy [3] Vũ Cao Đàm – Phương pháp luận nghiên cứu khoa học – Nhà xuất Đại học Hà Nội – 2001 [4] Hoàng Kiếm – Giải tốn máy tính I, II, III – Nhà xuất Giáo dục – 2001, 2002, 2004 Tiếng Anh: [5] Fabb – How to write essays, disertation, and thesis – 1993 [6] Altshuller G.S – The Innovation Algorithm: TRIZ, the Theory of Invention Problem Solving – Technical Innovation Center – 1998 Website: [7] http://en.wikipedia.org/wiki/Document_management_system [8] http://www.freepatentsonline.com/ [9] http://www.patentstorm.us/ 20 ... tắc sáng tạo áp dụng vào tin học chuyên đề phân tích hệ thống bảo mật cho ngân hàng Chuyên đề đưa hoàng loạt giải pháp cho ngân hàng Các giải pháp có áp dụng ngun tắc sáng tạo trình bày mơn phương. .. ngân hàng - II Công nghệ giải pháp Firewall khuyến nghị Hệ thống dị tìm lỗi bảo mật khuyến nghị cho tòan hệ thống (Scanner) Sử dụng thiết bị trung gian 12 MMT01 –Nguyễn Đình Huy Hệ thống sử dụng. .. thiệu: Phương pháp luận sáng tạo đổi (quyển sách ? ?Sáng tạo đổi mới’ ) – Trung tâm Sáng tạo KHKT (TSK) – TpHCM 2004 19 MMT01 –Nguyễn Đình Huy [3] Vũ Cao Đàm – Phương pháp luận nghiên cứu khoa học