HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN ====================*****=================== BÀI TẬP MÔN HỌC: LÝ THUYẾT MẬT MÃ VÀ BẢO MẬT THÔNG TIN Giáo viên hướng dẫn: TS Hoàng Tuấn Hảo Học viên thực : Trần Thị Kim Dung Lớp : Cao học CNTT - K23 ĐH Vinh Hà Tĩnh, tháng 06 năm 2012 LỜI NÓI ĐẦU Theo xu hướng phát triển xã hội ngày nay, ngành công nghệ thông tin ngành thiếu, mạng lưới thông tin liên lạc giới ngày phát triển, người muốn cập nhật thông tin cách nhanh xác Dựa vào nhu cầu thực tiễn đó, phát triển hệ thống mạng, nâng cấp hệ thống mạng cũ, đầu tư trang thiết bị tiên tiến để tối ưu hóa thơng tin cách nhanh Việc ứng dụng công nghệ thông tin vào xí nghiệp, quan, trường học yếu tố quan trọng để đưa nước ta sánh vai cường quốc năm châu Đất nước ngày phát triển với nhiều chuyển biến giới nên tin học với người xu tất yếu để hội nhập với công nghiệp Để đảm bảo nguồn thông tin sẵn sàng đáp ứng kịp thời cho nhu cầu truy xuất Vì ta phải quản lý thơng tin cách khoa học thống giúp người dễ dàng trao đổi truy xuất bảo mật thông tin Nhận thấy tầm quan trọng việc quản lý khai thác lĩnh vực nên để hiểu biết sử dụng hệ thống mạng cần thiết Tuy nhiên, bên cạnh việc truy xuất thông tin kịp thời hệ thống mạng thường có lỗ hổng tạo điều kiện cho người khơng có quyền truy cập vào sở liệu xâm nhập Chính tầm quan trọng công việc: “ Đánh giá mức độ an ninh mạng tổ chức ta làm việc” nội dung tập Em xin trình bày nội dung tập hệ thống LAN trường THPT Nguyễn Công Trứ - Nghi Xuân – Hà Tĩnh Bởi tập thực tế, phù hợp với tình hình Giúp em có thêm kinh nghiệm, hiểu biết rõ hệ thống mạng an toàn bảo mật thông tin mạng công việc mà nhiều người không quan tâm chu đáo Với nội dung tập chia làm phần cụ thể sau: PHẦN I: MÔ TẢ HỆ THỐNG MẠNG CỦA TRƯỜNG THPT NGUYỄN CÔNG TRỨ PHẦN II: ĐÁNH GIÁ THỰC TRẠNG, NHỮNG NGUY CƠ BỊ TẤN CÔNG, ĐÁNH GIÁ MỨC ĐỘ THIỆT HẠI NẾU BỊ TẤN CÔNG PHẦN III: CÁC GIẢI PHÁP, CHÍNH SÁCH AN NINH CHO HỆ THỐNG MẠNG Tuy nhiên với vốn kiến thức kinh nghiệm thực tế cịn hạn hẹp nên khơng tránh khỏi sai sót q trình làm Em mong thầy bạn giúp đỡ đóng góp ý kiến để em tiếp thu vốn kiến thức kinh nghiệm hoàn thiện Học viên: Trần Thị Kim Dung NỘI DUNG BÀI TẬP CỤ THỂ: PHẦN I: MÔ TẢ HỆ THỐNG MẠNG CỦA TRƯỜNG THPT I- KẾ HOẠCH TỔ CHỨC, THỰC HIỆN MẠNG LAN TRONG TRƯỜNG THPT NGUYỄN CÔNG TRỨ: Kế hoạch thực hiện: a Mục đích: - Phải xây dựng hệ thống mạng an toàn phải hoạt động tốt  Mạng LAN: phải kết nối tất máy tính phịng lại với nhằm mục đích chia sẻ liệu với  Mạng INTERNET: Máy phòng phải kết nối mạng Internet với mục đích lên mạng để tìm kiếm thơng tin cần thiết cho công việc học tập, không phân biệt máy chủ máy b Thứ tự công việc:  Trên máy server: cần làm công việc sau: Phân vùng partition cho máy thành vùng:  Cài đặt hệ điều hành Windows server 2003 ( có xây dựng Domain- dự tính thay hệ điều hành UNIX), tạo User:  User dành cho admin quản lý Domain  User dành cho giáo viên giảng dạy  Cài đặt phần mềm bảo mật antivirus cho máy Symantec Antivirus (Cài Server)  Cài đặt Driver cần thiết cho máy tính  Cài đặt phần mềm quản lý máy : NetSupport School (bản server)  Cài đặt phần mềm Microsoft Office 2003 (2007, 2010) gõ tiếng việt Unikey  Cài đặt phần mềm phục vụ cho việc học tập  Backup data Symantec Ghost11.5, để restore data  Share liệu để học sinh tự động lấy sử dụng từ máy chủ (Tạo đĩa mạng cho học sinh phòng máy đăng nhập User)  Thiết lập IP tĩnh cho máy chủ  Trên máy client: cần làm công việc sau: Phân vùng partition cho máy thành vùng:  Cài đặt hệ điều hành Windows XP sp2 (gia nhập Domain), đăng nhập User:  User để Admin cài đặt…thiết lập máy  User để học sinh học tập (giáo viên mơn) có đĩa mạng lưu liệu  Cài đặt phần mềm bảo mật antivirus cho máy Symantec Antivirus (Cài client kết nối từ máy chủ)  Cài đặt Driver cần thiết cho máy tính  Cài đặt phần mềm quản lý máy : NetSupport School (bản client)  Cài đặt phần mềm Microsoft Office 2003 gõ tiếng việt Unikey (Vietkey)  Cài đặt phần mềm phục vụ cho việc học tập  Backup data Symantec Ghost11.5, để restore data  Cài đặt chương trình đóng băng Drive Vaccine partition C:// hệ điều hành  Thiết lập IP động cho máy Client Mạng cục LAN hệ truyền thông tốc độ cao thiết kế để kết nối máy tính thiết bị xử lý liệu khác hoạt động với khu vực địa lý nhỏ tầng nhà, nhà nhà liền kề khu vực làm việc trường THPT Nguyễn Công Trứ c: Các thiết bị kết nối: Để hệ thống mạng làm việc trơn tru, hiệu khả kết nối tới hệ thống mạng khác đòi hỏi phải sử dụng thiết bị mạng chuyên dụng Những thiết bị mạng đa dạng phong phú chủng loại dựa thiết bị Repeater, Hub, Switch, Router Gateway thiết bị Repeater Thiết bị HUB Thiết bị Bridge Ethernet Card Thiết bị Router Cáp đồng trục Cáp quang 2- Các bước thiết kế: 2.1 Phân tích yêu cầu sử dụng - Xác định mục tiêu sử dụng LAN: Ai sử dụng LAN yêu cầu dung lượng trao đổi liệu loại hình dịch vụ, thời gian đáp ứng…, yêu cầu phát triển LAN tương lai, xác định chủ sở hữu quản trị LAN - Xác định số lượng nút mạng thời tương lai (rất lớn 1000 nút, vừa 100 nút nhỏ 10 nút) Trên sở số lượn nút mạng, có phương thức phân cấp, chọn kỹ thuật chuyển mạch, chọn kỹ thuật chuyển mạch - Dựa vào mô hình phịng ban để phân đoạn vật lý để đảm bảo hai yêu cầu an ninh thông tin đảm bảo chất lượng dịch vụ - Dựa vào mơ hình Topo lựa chọn công nghệ cáp - Dự báo yêu cầu mở rộng 2.2 Lựa chọn thiết bị phần cứng Dựa phân tích yêu cầu kinh phí dự kiến cho việc triển khai, lựa chọn nhà cung cấp thiết bị lớn Cisco, Nortel, 3COM, Intel… Các công nghệ tiên tiến phù hợp với điều kiện Việt Nam (kinh tế kỹ thuật) có thị trường, có tương lai gần.Các cơng nghệ có khả mở rộng Phần cứng chia làm phần: hạ tầng kết nối (hệ thống cáp), thiết bị nối (hub, switch, bridge, router), thiết bị xử lý (các loại server, loại máy in, thiết bị lưu trữ…) 2.3 Lựa chọn phần mềm - Lựa chọn hệ điều hành Unix (AIX, OSP, HP, Solais,…), Linux, Windows dựa yêu cầu xử lý số lượng giao dịch, đáp ứng giao dịch, đáp ứng thời gian thực, kinh phí, an ninh an tồn - Lựa chọn công cụ phát triển ứng dụng phần mềm phần mềm quản trị sở liệu (Oracle, Informix, SQL, Lotusnote,…) phần mềm portal Websphere,… - Lựa chọn phần mềm mạng thư điện tử (Sendmail, PostOffice, Netscape,…), Webserver (Apache, IIS,…) - Lựa chọn phần mềm đảm bảo an ninh an toàn mạng phần mềm tường lửa (PIX, Checkpoint, Netfilter,…), phần mềm chống virut (VirutWall, NAV,…) phần mềm chống đột nhập phần mềm quét lỗ hổng an ninh mạng - Lựa chọn phần mềm quản lý quản trị mạng 2.4 Khảo sát thực tế trường THPT Nguyễn Công Trứ 2.4.1 Sơ đồ khảo sát thực tế Hình 2.1: Sơ đồ khảo sát thực tế 2.4.2 Yêu cầu hệ thống Yêu cầu phòng lắp đặt hệ thống mạng: - Thực hành tin: 20 máy tính nối mạng - VP Cơng đồn: máy tính nối mạng - Thư viện: máy tính nối mạng - Kế tốn: máy tính nối mạng máy in - Phó hiệu trưởng: máy tính nối mạng - Phó hiệu trưởng: máy tính nối mạng - Hiệu trưởng: máy tính nối mạng - Hội Đồng: máy tính nối mạng - Thiết kế hệ thống mạng theo mơ hình Client-Server - Tất máy tính hệ thống mạng giao tiếp với - Tất máy tính có cấu hình mạnh - Monitor: Samsung 19’’ 2.4.3 Sơ đồ logic Hình 2.2: Sơ đồ logic 2.4.4 Kế hoạch phân bố IP VLAN Bảng 2.1 Thông tin Vlan Vla n_ID Tên Vlan Ghi Vlan Không dùng 10 Vlan 10 Phòng thực hành tin 20 Vlan 20 Văn phịng cơng đồn 30 Vlan 30 P Thư viện 40 Vlan 40 P Kế toán 50 Vlan 50 P Phó hiệu trưởng 60 Vlan 60 P Phó hiệu trưởng 70 Vlan 70 P Hiệu trưởng 80 Vlan 80 P Bảo vệ 90 Vlan 90 P Hôi đồng 100 Vlan 100 Giảng đường A 110 Vlan 110 Giảng đường B 120 Vlan 120 Giảng đường C 2.4.5 Sơ đồ vật lý dây Hình 2.3: Khu nhà Hiệu Bộ Hình 2.4: Giảng đường A Hình 2.5: Giảng đường B Hình 2.6: Giảng đường C 2.4.6 Dự kiến xây dựng hệ thống đường mạng Bảng 2.2 Hệ thống đường mạng Số mạng nút Số PC Số STT Tên phòng Thực hành tin 02 20 120m VP Cơng Đồn 02 01 25m Thư viện 02 01 20m Kế toán 02 01 35m Phó hiệu trưởng 02 01 30m Phó hiệu trưởng 02 01 25m Hiệu trưởng 02 01 20m Bảo vệ 02 01 10m Hội đồng 02 01 35m 10 Giảng đường A 12 01 60m 11 Giảng đường B 20 01 100m 12 Giảng đường C 16 01 mét 80m dây 2.4.7 Thông tin địa IP Bảng 2.3 Thông tin IP VLAN Tên VLAN Dải địa IP Vlan 192.168.1.2 – 192.168.1.254 10 Vlan 10 192.168.10.2 – 192.168.10.254 20 Vlan 20 192.168.20.2 – 192.168.20.254 30 Vlan 30 192.168.30.2 – 192.168.30.254 40 Vlan 40 192.168.40.2 – 192.168.40.254 50 Vlan 50 192.168.50.2 – 192.168.50.254 60 Vlan 60 192.168.60.2 – 192.168.60.254 70 Vlan 70 192.168.70.2 – 192.168.70.254 80 Vlan 80 192.168.80.2 – 192.168.80.254 90 Vlan 90 192.168.90.2 – 192.168.90.254 100 Vlan 100 192.168.100.2 – 192.168.100.254 110 Vlan 110 192.168.110.2 – 192.168.110.254 120 Vlan 120 192.168.120.2 – 192.168.120.254 ID II- CẤU HÌNH VÀ QUẢN TRỊ HỆ THỐNG 1: Sơ đồ DEMO Hình 3.1: Sơ đồ Demo : Kết cấu hình 2.1 : Show Vlan 2.2 : Vlan Access – list 2.2.1 Ping từ PC Hiệu trưởng đến PC Phó hiệu trưởng 10 Lỗ hỏng loại B: Cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hỏng loại thường có ứng dụng hệ thống, dẫn đến lộ thông tin yêu cầu bảo mật Lỗ hỏng loại có mức độ nguy hiểm lỗ hỏng loại C, cho phép người sử dụng nội chiếm quyền cao truy nhập không hợp pháp Những lỗ hỏng loại hường xuất dịch vụ hệ thống Người sử dụng local hiểu người có quyền truy nhập vào hệ thống với số quyền hạn định Một số lỗ hỏng loại B thường xuất ứng dụng lỗ hỏng trình Sendmail hệ điều hành Unix, Linux… hay lỗi tràn đệm chương trình viết C Những chương trình viết C thường sử dụng đệm – vùng nhớ sử dụng để lưu liệu trước xử lý Những người lập trình thường sử dụng vùng đệm nhớ trước gán khoảng khơng gian nhớ cho khối liệu Ví dụ: người sử dụng viết chương trình nhập trường tên người sử dụng ; qui định trường dài 20 ký tự Do họ khai báo : Char first_name [20]; Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập liệu, trước tiên liệu lưu vùng đệm; người sử dụng nhập vào 35 ký tự, xảy tượng tràn vùng đệm kết 15 ký tự dư thừa nằm vị trí khơng kiểm sốt nhớ Đối với kẻ cơng lợi dụng lỗ hỏng để nhập vào ký tự đặc biệt để thực số lệnh đặc biệt hệ thống Thông thường, lỗ hỏng thường lợi dụng người sử dụng hệ thống để đạt quyền root khơng hợp lệ Việc kiểm sốt chặt chẽ cấu hình hệ thống chương trình hạn chế lỗ hỏng loại B Lỗ hỏng loại A: Cho phép người sử dụng truy nhập vào hệ thống bất hợp pháp Lỗ hỏng loại nguy hiểm, làm phá huỷ toàn hệ thống Các lỗ hỏng loại A có mức độ nguy hiểm; đe dọa tính toàn vẹn bảo mật hệ thống Các lỗ hỏng loại thường xuất hệ thống quản trị yếu khơng kiểm sốt cấu hình mạng Những lỗ hỏng loại nguy hiểm tồn sẵn có phần mềm sử dụng; người quản trị không hiểu sâu dịch vụ phần mềm sử dụng bỏ qua điểm yếu Đối với hệ thống cũ, thường xuyên phải kiểm tra thông báo nhóm tin bảo mật mạng để phát lỗ hỏng loại Một loạt chương trình phiên cũ thường sử dụng có lỗ hỏng loại A : FTP, Sendmail,… b Ảnh hưởng lỗ hỏng bảo mật mạng Internet Phần trình bày số trường hợp có lỗ hỏng bảo mật, kẻ cơng lợi dụng lỗ hỏng để tạo lỗ hỏng khác tạo thành chuỗi mắt xích lỗ hỏng Ví dụ : Một kẻ phá hoại muốn xâm nhập vào hệ thống mà khơng có tài khoản truy nhập hợp lệ hệ thống Trong trường hợp này, trước tiên kẻ phá hoại tìm điểm yếu hệ thống, từ sách bảo mật, sử dụng cơng cụ dị tìm thơng tin hệ thống để đạt quyền truy nhập vào hệ thống; sau mục tiêu thứ đạt được, kẻ phá hoại tiếp tục tìm hiểu dịch vụ hệ thống, nắm bắt điểm yếu thực hành động phá hoại tinh vi 19 Tuy nhiên, lỗ hỏng nguy hiểm đến hệ thống Có nhiều thông báo liên quan đến lỗ hỏng bảo mật mạng, hầu hết số lỗ hỏng loại C không đặc biệt nguy hiểm hệ thống Ví dụ: lỗ hỏng sendmail thông báo mạng, ảnh hưởng tồn hệ thống Khi thơng báo lỗ hỏng khẳng định chắn, nhóm tin đưa số phương pháp để khắc phục hệ thống Các kiểu công Tấn công trực tiếp Những công trực tiếp thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp công cổ điển dị tìm tên người sử dụng mật Đây phương pháp đơn giản, dễ thực khơng địi hỏi điều kiện đặc biệt để bắt đầu Kẻ cơng dựa vào thông tin mà chúng biết tên người dùng, ngày sinh, địa chỉ, số nhà v.v để đoán mật dựa chương trình tự động hố việc dị tìm mật Trong số trường hợp, khả thành cơng phương pháp lên tới 30% Phương pháp sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công tiếp tục để chiếm quyền truy nhập.Trong số trường hợp phương pháp cho phép kẻ cơng có quyền người quản trị hệ thống Nghe trộm Việc nghe trộm thông tin mạng đem lại thơng tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống, thông qua chương trình cho phép Những thơng tin dễ dàng lấy Internet Giả mạo địa Việc giả mạo địa IP thực thông qua việc sử dụng khả dẫn đường trực tiếp Với cách công này, kẻ cơng gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi Vô hiệu chức hệ thống Đây kểu công nhằm tê liệt hệ thống, khơng cho thực chức mà thiết kế Kiểu công ngăn chặn được, phương tiện tổ chức công phương tiện để làm việc truy nhập thơng tin mạng Ví dụ sử dụng lệnh “ping” với tốc độ cao có thể, buộc hệ thống tiêu hao tồn tốc độ tính tốn khả mạng để trả lời lệnh này, khơng cịn tài ngun để thực cơng việc có ích khác Lỗi người quản trị hệ thống Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thường tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội Tấn công vào yếu tố người Kẻ cơng liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi 20 Nói chung yếu tố người điểm yếu hệ thống bảo vệ có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an toàn hệ thống bảo vệ Các biện pháp phát hệ thống bị công Không có hệ thống đảm bảo an tồn tuyệt đối, dịch vụ có lỗ hỏng bảo mật tiềm tàng Người quản trị hệ thống nghiên cứu, xác định lỗ hỏng bảo mật mà phải thực biện pháp kiểm tra hệ thống có dấu hiệu cơng hay không Một số biện pháp cụ thể : Kiểm tra dấu hiệu hệ thống bị công : Hệ thống thường bị treo thông báo lỗi khơng rõ ràng Khó xác định ngun nhân thiếu thông tin liên quan Trước tiên, xác định nguyên nhân có phải phần cứng hay khơng, khơng phải nghĩ đến khả máy tính bị cơng Kiểm tra tài khoản người dùng lạ, với tài khoản có ID khơng Kiểm tra xuất tập tin lạ Người quản trị hệ thống nên có thói quen đặt tên tập theo mẫu định để dễ dàng phát tập tin lạ Kiểm tra thời gian thay đổi hệ thống Kiểm tra hiệu hệ thống : Sử dụng tiện ích theo dõi tài nguyên tiến trình hoạt động hệ thống Kiểm tra hoạt động dịch vụ hệ thống cung cấp Kiểm tra truy nhập hệ thống tài khoản thông thường, đề phòng trường hợp tài khoản bị truy nhập trái phép thay đổi quyền hạn mà người sử dụng hợp pháp khơng kiểm sốt Kiểm tra file liên quan đến cấu hình mạng dịch vụ, bỏ dịch vụ không cần thiết Kiểm tra phiên sendmaill, /bin/mail, ftp, tham gia nhóm tin bảo mật để có thơng tin lỗ hỏng dịch vụ sử dụng Các biện pháp kết hợp với tạo nên sách bảo mật hệ thống Các nguy an toàn liệu  Mất liệu hư hỏng vật lý:  Các cố hư hỏng thiết bị lưu trữ  Mạng bị hư hỏng thiên tai, hoả hoạn  Hư hỏng cố nguồn điện  Mất liệu hư hỏng hệ thống điều hành  Dữ liệu bị sửa đổi cách bất hợp pháp chí bị đánh cắp Hacker dùng cơng cụ hack có sẵn mạng Trojan để đột kích vào hệ thống lấy cắp mật admin để có quyền tuyệt đối sửa đổi, làm hỏng liệu quan trọng Ngồi chúng cịn lấy cắp liệu quan trọng khơng có biện pháp bảo vệ CSDL hợp lý  ĐÁNH GIÁ MỨC ĐỘ THIỆT HẠI NẾU HỆ THỐNG MẠNG BỊ TẤN CÔNG: Cơ chế bảo mật bên giúp việc quản lý bảo mật hệ thống tốt Bằng cách kiểm tra toàn hoạt động hệ thống, chế sách bảo mật xây dựng, trình xử lý thơng tin, chế bảo mật bên cung cấp thông tin cách chi tiết tương tự 21 việc khảo sát kỹ lưỡng phạm vi mức sâu hơn, chí bao gồm việc tự phá mã mật dùng công cụ phân tích hệ thống để kiểm tra tính tương thích sách bảo mật tương lai Thẩm định tính rủi ro hệ thống Khi thẩm định tính rủi ro hệ thống, sử dụng cơng thức sau: Tính rủi ro = Giá trị thơng tin * Mức độ lỗ hổng * Khả thông tin Để lấy kết bước đầu (các giá trị, báo cáo chế bảo mật ngồi, sách bảo mật) tập trung vào số mặt thường đề cập Sau đó, bắt đầu với số câu hỏi sau:  Cơ chế bảo mật cũ hệ thống có đề rõ ràng cung cấp đủ biện pháp bảo mật chưa?  Kết từ chế bảo mật bên ngồi có đồng so với sách bảo mật tồn hệ thống khơng?  Có mục cần sửa lại chế bảo mật mà khơng rõ sách bảo mật không?  Hệ thống bảo mật tác dụng hoàn cảnh rủi ro cao nào?  Giá trị, thơng tin mang tính rủi ro cao nhất? Nguy bị công nhất? Các câu trả lời cung cấp nhìn tồn diện cho việc phân tích tồn sách bảo mật Hệ thống Có lẽ, thơng tin quan trọng lấy trình kết hợp giá trị kiểm tra tính rủi ro tương ứng Theo giá trị thơng tin, tìm thấy giải pháp mơ tả tồn u cầu, Tổ chức tạo danh sách quan tâm lỗ hổng bảo mật PHẦN III: KIẾN NGHỊ CÁC GIẢI PHÁP, CHÍNH SÁCH AN NINH CHO HỆ THỐNG MẠNG I: Một số công cụ an ninh –an toàn mạng Thực an ninh – an toàn từ cổng truy nhập dùng tường lửa Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực sách đồng ý từ chối dịch vụ lưu lượng vào khỏi mạng Tường lửa sử dụng để xác thực người sử dụng nhằm đảm bảo chắn họ người họ khai báo trước cấp quyền truy nhập tài nguyên mạng Tường lửa sử dụng để phân chia mạng thành phân đoạn mạng thiết lập nhiều tầng an ninh khác phân đoạn mạng khác để đảm bảo tài nguyên quan trọng bảo vệ tốt hơn, đồng thời tường lửa cịn hạn chế lưu lượng điều khiển lưu lượng cho phép chúng đến nơi chúng phép đến Chúng ta tìm hiểu kỹ phần chương sau Mã mật thông tin Mật mã (Cryptography) q trình chuyển đổi thơng tin gốc sang dạng mã hố Có hai cách tiếp cận để bảo vệ thơng tin mật mã : theo đường truyền từ mút-đến-mút (End-to-End) Trong cách thứ nhất, thông tin mã hoá để bảo vệ đường truyền hai nút khơng quan tâm đến nguồn đích thơng tin Ưu điểm cách bí mật luồng 22 thơng tin nguồn đích ngăn chặn tồn vi phạm nhằm phân tích thơng tin mạng Nhược điểm thơng tin mã hố đường truyền nên đòi hỏi nút phải bảo vệ tốt Ngược lại, cách thứ hai, thông tin bảo vệ tồn đường từ nguồn tới đích Thơng tin mã hố tạo giải mã đến đích Ưu điểm tiếp cận người sử dụng dùng mà khơng ảnh hưởng tới người sử dụng khác Nhược điểm phương pháp có liệu người sử dụng mã hố, cịn thơng tin điều khiển phải giữ ngun để xử lý nút Giải thuật DES mã hoá khối 64bits văn gốc thành 64 bits văn mật khoá Khoá gồm 64 bits 56 bits dùng mã hố bits cịn lại dùng để kiểm sốt lỗi Một khối liệu cần mã hoá phải trải qua q trình xử lý : Hốn vị khởi đầu, tính tốn phụ thuộc khố hốn vị đảo ngược hốn vị khởi đầu Hình 1.1 : Mơ hình mật mã đối xứng Phương pháp sử dụng khố cơng khai : Các phương pháp mật mã dùng khố cho mã hố lẫn giải mã, địi hỏi người gửi người nhận phải biết khoá giữ bí mật Tồn phương pháp làm để phân phối khoá cách an tồn, đặc biệt mơi trường nhiều người sử dụng Để khắc phục, người ta thường sử dụng phương pháp mã hố khố, khố cơng khai để mã hố mã bí mật để giải mã Mặc dù hai khoá thực thao tác ngược khơng thể suy khố bí mật từ khố cơng khai ngược lại nhờ hàm toán học đặc biệt gọi hàm sập bẫy chiều Đặc điểm hàm phải biết cách xây dựng hàm suy nghịch đảo Giải thuật RSA dựa nhận xét sau : phân tích thừa số nguyên tố tích số nguyên tố lớn cựu kỳ khó khăn Vì vậy, tích hai số ngun tố cơng khai cịn hai số ngun tố lớn dùng để tạo khố giải mã mà khơng sợ bị an tồn Trong giải thuật RSA trạm lựa chọn ngẫu nhiên số nguyên tố lớn p, q nhân chúng với để có tích n=p.q (p,q giữu bí mật) Hình 1.2 : Mơ hình mật mã khơng đối xứng CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG Chúng ta coi dịch vụ bảo vệ thơng tin “bản sao” thao tác bảo vệ tài liệu vật lý Các tài liệu vật lý có chữ kí thơng tin ngày tạo Chúng bảo vệ 23 nhằm chống lại việc đọc trộm, giả mạo, phá hủy…Chúng cơng chứng, chứng thực, ghi âm, chụp ảnh… Tuy nhiên có điểm khác tài liệu điện tử tài liệu giấy: Ta phân biệt tài liệu giấy nguyên tài liệu chép Nhưng tài liệu điện tử dãy bit nên phân đâu tài liệu “nguyên bản” đâu tài liệu chép Một thay đổi tài liệu giấy để lại dấu vết vết xóa, tẩy…Tuy nhiên thay đổi tài liệu điện tử hồn tồn khơng để lại dấu vết Dưới dịch vụ bảo vệ thông tin mạng máy tính a Dịch vụ bí mật (Confidentiality) Dịch vụ bí mật bảo đảm thơng tin hệ thống máy tính thơng tin truyền đọc bên ủy Thao tác đọc bao gồm in, hiển thị,…Nói cách khác, dịch vụ bí mật bảo vệ liệu truyền chống lại công bị động nhằm khám phá nội dung thơng báo Thơng tin bảo vệ tất liệu truyền hai người dùng khoảng thời gian thông báo lẻ hay số trường thông báo Dịch vụ cịn cung cấp khả bảo vệ luồng thơng tin khỏi bị cơng phân tích tình b Dịch vụ xác thực (Authentication) Dịch vụ xác thực đảm bảo việc truyền thông xác thực nghĩa người gửi người nhận không bị mạo danh Trong trường hợp có thơng báo đơn tín hiệu cảnh báo, tín hiệu chng, dịch vụ xác thực đảm bảo với bên nhận thông báo đến từ bên nêu danh Trong trường hợp có giao dịch xảy ra, dịch vụ xác thực đảm bảo hai bên giao dịch xác thực khơng có kẻ giả danh làm bên trao đổi Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc thông báo nhận dạng với định danh c Dịch vụ toàn vẹn (Integrity) Dịch vụ tồn vẹn địi hỏi tài ngun hệ thống máy tính thơng tin truyền không bị sử đổi trái phép Việc sửa đổi bao gồm thao tác viết, thay đổi, thay đổi trạng thái, xóa thơng báo, tạo thơng báo, làm trể dùng lại thông báo truyền Dịch vụ tồn vẹn áp dụng cho thơng báo, luồng thông báo hay số trường thơng báo Dịch vụ tồn vẹn định hướng kết nối (connection-oriented) áp dụng cho luồng thơng báo bảo đảm thơng báo nhận có nội dung giống gửi, không bị nhân bản, chèn, sửa đổi, thay đổi trật tự hay dùng lại kể hủy hoại số liệu Như dịch vụ toàn vẹn định hướng kết nối quan tâm đến việc thay đổi thông báo từ chối dịch vụ Mặt khác, dịch vụ toàn vẹn phi kết nối quan tâm đến việc sử đổi thông báo Dịch vụ toàn vẹn thiên phát ngăn chặn d Không thể chối bỏ (Nonrepudiation) Dịch vụ chối bỏ ngăn chặn người gửi hay người nhận chối bỏ thông báo truyền Khi thông báo gửi người nhận chứng minh người gửi nêu danh gửi 24 Khi thơng báo nhận được, người gửi chứng minh thơng báo nhận người nhận hợp pháp e Kiểm soát truy nhập (Access control) Kiểm soát truy nhập khả hạn chế kiểm soát truy nhập đến hệ thống máy tính ứng dụng theo đường truyền thông Mỗi thực thể muốn truy nhập đuề phải định danh hay xác nhận có quyền truy nhập phù hợp f Sẵn sàng phục vụ (Availability) Sẵn sàng phục vụ đòi hỏi tài nguyên hệ thống máy tính ln sẵn sàng bên ủy quyền cần thiết Các công làm giảm khả sẵn sàng phục vụ chương trình phần mềm tài nguyên phần cứng mạng máy tính Các phần mềm hoạt động sai chức gây hậu không lường trước Các mối đe dọa chủ yếu tới an toàn hệ thống mạng xuất phát từ tính mở kênh truyền thơng (chúng cổng dùng cho truyền thông hợp pháp tiến trình client, server) hậu làm cho hệ thống bị công Chúng ta phải thừa nhận kênh truyền thông, tất mức phần cứng phần mềm hệ thống chịu nguy hiểm mối đe dọa Biện pháp để ngăn chặn kiểu công là: - Xây dựng kênh truyền thơng an tồn để tránh việc nghe trộm - Thiết kế giao thức xác nhận lẫn máy khách hàng máy chủ: + Các máy chủ phải đảm bảo máy khách hàng máy người dùng mà chúng đòi hỏi + Các máy khách hàng phải đảm bảo máy chủ cung cấp dịch vụ đặc trưng máy chủ ủy quyền cho dịch vụ + Đảm bảo kênh truyền thơng “tươi” nhằm tránh việc dùng lại thông báo II- CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG 2.1: Mã hóa Việc mã hóa thơng báo có vai trị sau: Nó dùng để che dấu thơng tin mật đặt hệ thống Như biết, kênh truyền thông vật lý bị công nghe trộm xuyên tạc thông báo Theo truyền thống, việc trao đổi thư từ mật mã dùng hoạt động quân sự, tình báo Điều dựa nguyên tắc thông báo mã hóa với khóa mã xác định giải mã người biết khóa ngược tương ứng Nó dùng để hỗ trợ cho chế truyền thông xác thực cặp người dùng hợp pháp mà ta gọi người ủy nhiệm (Principal) Một người ủy nhiệm sau giải mã thành công thông báo cách dùng khóa dịch xác định thừa nhận thơng báo xác thực chứa vài giá trị mong muốn Từ người nhận suy người gửi thơng báo có khóa mã tương ứng Như ác khóa giữ bí mật việc giả mã thành cơng xác thực thông báo đến từ người gửi xác định 25 Nó dùng để cài đặt chế chữ kí số Chữ kí số có vai trị quan trọng chữ kí thơng thường việc xác nhận với thành viên thứ ba thông báo không bị thay đổi thông báo tạo người ủy nhiệm đặc biệt Khả để cung cấp chữ kí số dựa nguyên tắc : có việc có người ủy nhiệm người gửi thực làm cịn người khác khơng thể Điều đạt việc địi hỏi thành viên thứ tin cậy mà có chứng định danh người yêu cầu để mã thông báo để mã dạng ngắn thông báo gọi digest tương tự checksum Thơng báo digest mã đóng vai trị chữ kí kèm với thơng báo 2.2:Cơ chế sát thực Trong hệ thống nhiều người dùng tập trung chế xác thực thường đơn giản Định danh người dùng xác thực việc kiểm tra mật phiên giao dịch Cách tiếp cận dựa vào chế quản lí tài nguyên hệt thống nhân hệ điều hành Nó chặn tất phiên giao dịch cách giả mạo người khác Trong mạng máy tính, việc xác thực biện pháp mà nhờ định danh máy chủ máy khách hàng xác minh đáng tin cậy Cơ chế dùng để đạt điều dựa quyền sở hữu khóa mã Từ thực tế người ủy nhiệm có quyền sở hữu khóa bí mật, suy người ủy nhiệm người có định danh mà địi hỏi Việc sở hữu mật bí mật dùng để xác nhận định danh người sở hữu Các dịch vụ xác thực dựa vào việc dùng mật mã có độ an tồn cao Dịch vụ phân phối khóa có chức tạo, lưu giữ phân phối tất khóa mật mã cần thiết cho tất người dùng mạng 2.3: Các chế điều khiển truy nhập Các chế điều khiển truy nhập dùng để đảm bảo có số người dùng gán quyền truy nhập đến tài ngun thơng tin (tệp, tiến trình, cổng truyền thông…) tài nguyên phần cứng (máy chủ, processor, Gateway…) Các chế điều khiển truy nhập xảy hệ điều hành đa người dùng không phân tán Trong UNIX hệ thống nhiều người dùng khác, tệp tài nguyên thông tin chia xẻ quan trọng chế điều khiển truy nhập cung cấp phép người dùng quản lí số tệp bí mật để chia xẻ chúng cách thức điều khiển 2.4: Mạng riêng ảo (VPN) Việc sử dụng VPN để cung cấp cho thành viên truy cập tới tài nguyên hệ thống từ nhà hay nơi làm việc khác với mức bảo mật cao, hiệu trình truyền thông làm tăng hiệu hoạt động thành viên Tuy nhiên, khơng có điều khơng kèm rủi ro Bất kỳ thời điểm VPN thiết lập, cần phải mở rộng phạm vi kiểm sốt bảo mật hệ thống tới tồn nút kết nối với VPN Để đảm bảo mức bảo mật cho hệ thống này, người sử dụng phải thực đầy đủ sách bảo mật hệ thống Điều thực qua việc sử dụng hướng dẫn nhà sản xuất dịch vụ VPN hạn chế ứng dụng chạy nhà, cổng mạng mở, loại bỏ khả chia kênh liệu, thiết lập hệ thống bảo vệ virus chạy hệ thống từ xa Tất công việc giúp giảm thiểu tính rủi ro Điều quan trọng hệ thống phải đối mặt với đe doạ nguy bị công từ hệ thống khác 26 III: GIẢI PHÁP TỔNG THỂ CHO AN TỒN THƠNG TIN TRÊN MẠNG Khi nói đến giải pháp tổng thể cho an tồn thơng tin mạng, chuyên gia nhấn mạnh thực tế khơng có thứ an tồn tuyệt đối Hệ thống bảo vệ có chắn đến đâu có lúc bị vơ hiệu hóa kẻ phá hoại điêu luyện kĩ xảo có đủ thời gian Chưa kể nhiều trường hợp kẻ phá hoại lại nằm nội quan có mạng cần bảo vệ Từ thấy vấn đề an tồn mạng máy tính thực tế chạy tiếp sức không ngừng không dám khẳng định có đích cuối hay không 1.1: Các mức bảo vệ thông tin mạng Vì khơng thể có giải pháp an tồn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều lớp “rào chắn” hoạt động xâm phạm Ngoài việc bảo vệ thông tin đường truyền, cịn phải bảo vệ thơng tin cất giữ máy tính, đặc biệt máy chủ mạng Bởi số biện pháp nhằm chống lại việc công vào thông tin đường truyền, cố gắng phải tập trung vào việc xây dựng mức “rào chắn” từ vào cho hệ thống kết nối vào mạng Hình 1.3 mơ tả lớp “rào chắn” thông dụng để bảo vệ thơng tin mạng máy tính: Thơng tin Quyền truy nhập Login/password Mã hóa liệu Bảo vệ vật lý Firewall Hình 2: Các mức bảo vệ thơng tin mạng máy tính • Quyền truy nhập: Lớp bảo vệ quyền truy nhập nhằm kiểm sốt tài ngun thơng tin mạng quyền hạn người sử dụng tài nguyên Hiện việc kiểm sốt thường mức tệp • Đăng kí tên mật khẩu: Lớp bảo vệ đăng kí tên/ mật (login/password) Thực lớp kiểm sốt quyền truy nhập, khơng phải truy nhập mức thông tin mà mức hệ thống Đây phương pháp bảo vệ phổ biến đơn giản, phí tổn hiệu Mỗi người sử 27 dụng, kể người quản trị mạng muốn vào mạng để sử dụng tài nguyên mạng phải đăng kí tên mật trước Người quản trị mạng có trách nhiệm quản lí, kiểm sốt hoạt động mạng xác định quyền truy nhập người sử dụng khác tùy theo thời gian không gian, nghĩa người sử dụng phép vào mạng thời điểm từ vị trí xác định Về lí thuyết, người giữ kín tên mật đăng kí khơng xảy truy nhập trái phép Song điều khó đảm bảo thực tế nhiều nguyên nhân, chẳng hạn người sử dụng thiếu cẩn thận chọn mật trùng với ngày sinh, tên người thân ghi mật giấy…Điều làm giảm hiệu lớp bảo vệ Có thể khắc phục nhiều cách người quản trị có trách nhiệm đặt mật khẩu, thay đổi mật theo thời gian… • Mã hóa liệu; Để bảo mật thông tin truyền mạng, người ta sử dụng phương pháp mã hóa Dữ liệu biến đổi từ dạng nhận thức sang dạng không nhận thức theo thuật tốn (lập mã) biến đổi ngược lại (dịch mã) nơi nhận Đây lớp bảo vệ thông tin quan trọng sử dụng rộng rãi môi trường mạng • Bảo vệ vật lý Nhằm ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống Người ta thường dùng biện pháp truyền thống cấm tuyệt đối người khơng phận vào phịng đặt máy mạng, dùng ổ khóa máy tính (ngắt nguồn điện đến hình bàn phím giữ liên lạc trực tuyến máy tính với mạng, cài chế báo động có truy nhập vào hệ thống) dùng trạm khơng có ổ đĩa mềm… • Bức tường lửa (Firewall) Để bảo vệ từ xa máy tính cho mạng nội bộ, người ta thường dùng hệ thống đặc biệt tường lửa Chức tường lửa ngăn chặn thâm nhập trái phép (theo danh sách truy nhập xác định trước) chí “lọc” bỏ gói tin mà ta khơng muốn gửi nhận lí Phương thức sử dụng nhiều môi trường mạng Internet Một cách tiếp cận khác việc xây dựng giải pháp tổng thể an tồn thơng tin mạng máy tính đưa phương pháp phương tiện bảo vệ thông tin 3.2: Các phương pháp phương tiện bảo vệ thông tin Trong giai đoạn đầu tiên, người ta cho việc bảo vệ thơng tin hệ thống thơng tin tính tốn thực tương đối dễ dàng, túy chương trình phần mềm Chính phương tiện chương trình có kèm theo việc bổ sung biện pháp tổ chức cần thiết phát triển cách đáng kể Nhưng lúc riêng phương tiện tỏ đảm bảo chắn việc bảo vệ thơng tin thiết bị kỹ thuật đa năng, chí hệ thống kĩ thuật lại phát triển cách mạnh mẽ Từ cần thiết phải triển khai cách đồng tất phương tiện bảo vệ thông tin Các phương pháp bảo vệ thơng tin bao gồm • Các chướng ngại: Chướng ngại nhằm ngăn cản kẻ cơng tiếp cận thơng tin bảo vệ • Điều khiển tiếp cận: Điều khiển tiếp cận phương pháp bảo vệ thơng tin cách kiểm sốt việc sử dụng tất tài nguyên hệ thống Trong mạng máy tính cần xây dựng qui định rõ ràng 28 chặt chẽ chế độ làm việc người sử dụng, kĩ thuật viên sử dụng chương trình phần mềm, sở liệu thiết bị mang tin Cần phải quy định thời gian làm việc tuần, ngày cho người sử dụng nhân viên kĩ thuật mạng Trong thời gian làm việc, cần phải xác định danh mục tài nguyên mạng phép tiếp cận trình tự tiếp cận chúng Cần thiết phải có danh sách cá nhân quyền sử dụng phương tiện kĩ thuật, chương trình Với ngân hàng liệu người ta danh sách người sử dụng dược quyền tiếp cận Đối với thiết bị mang tin, phải xác định chặt chẽ vị trí lưu giữ thường xuyên, danh sách cá nhân có quyền nhận thiết bị Các chướng ngại Vật lý Điều khiển Mã hóa thơng tin Chương trình Quy định Tổ chức Cướng Luật pháp Kích thích Các phương pháp bảo vệ Máy móc Đạo đức Các phương tiện bảo vệ Hình 3: Các phương pháp phương tiện bảo vệ thơng tin • Mã hóa thơng tin: Là phương pháp bảo vệ thơng tin mạng máy tính cách dùng phương pháp mật mã để che dấu thông tin mật Dạng bảo vệ sử dụng rộng rãi trình truyền lưu giữ thông tin Khi truyền tin theo kênh truyền công khai việc mã hóa phương pháp để bảo vệ thơng tin • Các qui định: Các qui định nhằm tránh cách tối đa khả tiếp cận phi pháp thông tin hệ thống xử lí tự động Để bảo vệ cách có hiệu cần phải quy định cách chặt chẽ kiến trúc hệ thống thông tin tính tốn, lược đồ cơng nghệ việc xử lí tự động thơng tin cần bảo vệ , tổ chức đảm bảo điều kiện làm việc tất nhân viên xử lí thơng tin… • Cưỡng bức: Là phương pháp bảo vệ bắt buộc người sử dụng nhân viên hệ thống phải tn theo ngun tắc xử lí sử dụng thơng tin cần bảo vệ áp lực hình phạt tài trách nhiệm hình 29 • Kích thích: Là biện pháp động viên giáo dục ý thức, tính tự giác vấn đề bảo vệ thông tin người sử dụng Các phương pháp bảo vệ thông tin xét thường thực cách sử dụng phương tiện bảo vệ khác nhau, đồng thời phương tiện bảo vệ phân chia thành phương tiện kĩ thuật, phương tiện chương trình, tổ chức, luật pháp đạo đức Các phương tiện bảo vệ tất biện pháp tổ chức kỹ thuật Các biện pháp tổ chức pháp lí thực trình thiết kế vận hành hệ thống thông tin Các biện pháp tổ chức cần quan tâm cáh đầy đủ trình thiết kế, xây dựng hoạt động hệ thống Các phương tiện luật pháp bao gồm điều khoản luật pháp nhà nước qui định nguyên tắc sử dụng xử lí thơng tin, việc tiếp cận có hạn chế thơng tin biện pháp xử lí vi phạm ngun tắc Q trình xây dựng hệ thống bảo vệ thông tin trải qua nhiều giai đoạn Trong giai đoạn đầu phương tiện chương trình chiếm ưu phát triển cịn đến giai đoạn hai tất phương tiện bảo vệ quan tâm Nhưng đến giai đoạn ba hình thành rõ rệt khuynh hướng sau: Tạo thiết bị có chức bảo vệ Xây dựng phương tiện bảo vệ phức hợp thực vài chức bảo vệ khác Thống chuẩn hóa phương tiện bảo vệ 3.3 Thực đào tạo người sử dụng: Ban đầu, hỗ trợ cần thiết đúc rút lại lên kế hoạch hoàn chỉnh cho dự án bảo mật Đây bước quan trọng mang tính chiến lược hệ thống vấn đề bảo mật Các chi tiết kỹ thuật mô tả thay đổi theo môi trường, cơng nghệ, kỹ liên quan, ngồi có phần khơng nằm việc thực thi bảo mật khơng coi nhẹ, đào tạo Để đảm bảo thành công bảo mật từ lúc đầu, người sử dụng phải có hiểu biết cần thiết sách bảo mật, gồm có:  Kỹ hệ thống bảo mật mới, thủ tục  Hiểu biết sách tài sản, liệu quan trọng hệ thống  Hiểu quy trình bắt buộc mới, sách bảo mật hệ thống Nói tóm lại, khơng địi hỏi người sử dụng có kỹ bản, mà địi hỏi họ phải biết họ làm cần thiết với sách bảo mật hệ thống 3.4 Tiếp tục kiểm tra, phân tích thực Hầu hết mong đợi hệ thống bảo mật chạy ổn định, điều khiển hệ thống nắm bắt luồng liệu hệ thống Q trình phân tích, tổng hợp thông tin, kiện từ firewall, IDS’s, VPN, router, server ứng dụng cách để kiểm tra hiệu hệ thống bảo mật cách để kiểm tra hầu hết vi phạm sách bảo mật lỗi thông thường mắc phải với hệ thống 3.5 Mơ hình tiến trình an tồn mạng: gồm nội dung sau:  Kỹ thuật an toàn: (Security engineering): Vấn đề xây dựng hệ thống đảm bảo tin cậy đối mặt với nguy rủi ro thông tin  Kỹ thuật an toàn: yêu cầu thành thạo nhiều vấn đề chuyên mơn, từ mật mã an tồn mạng tới hiểu biết áp dụng giải pháp tâm lý, vấn đề tổ chức 30 Kiến nghị giải pháp áp dụng mật mã, khóa, chữ ký số cho ứng dụng tác nghiệp nhằm đảm bảo an toàn, an ninh thông tin, Hiện trường THPT Nguyễn Công Trứ sử dụng chương trình ứng dụng phục vụ cho công tác đào tạo, quản lý học sinh, quản lý nhân sự, quản lý điểm, quản lý tiền lương, quản lý thi tốt nghiệp, quản lý PEMIS, EMIS, VEMIS… Các chương trình tác nghiệp Eoffices (văn phịng điện tử), hệ thống Email, Website nhiều đơn vị… Các sở khác trường triển khai hệ thống mạng VPN (mạng riêng ảo) kết nối với Bộ, Sở GD ĐT Hà Tĩnh trường THPT tồn tỉnh Tất chương trình cần bảo mật cao, giải pháp cho ứng dụng xây dựng hệ thống chứng số cung cấp cho ứng dụng kết nối đường truyền Giải pháp sử dụng mã hóa Public key Giải pháp sử dụng IPSec cho kết nối VPN + Từ đặc điểm hệ thống chữ ký số mang lại là: - Bảo mật liệu; - Xác định danh tính; - Tính tồn vẹn liệu; 31 - Tính khơng chối bỏ trách nhiệm + Từ thực trạng áp dụng chứng số quan, doanh nghiệp + Từ nhu cầu thực tế nhà trường ứng dụng tác nghiệp Tôi xin đưa đề xuất áp dụng số phương pháp chữ ký số: + Ứng dụng cho máy chủ Web, Mail: Chứng thư số SSL SSL(Secure Socket Layer) với nhà trường tự tạo CA riêng biệt cấp cho người dùng mạng nội + Đối với hệ thống kết nối với sở khác dùng VPN Áp dụng phương thức xác thực mã hóa IP sec + Đối với máy cá nhân mạng nội Áp dụng phương thức xác thực mã hóa IP sec 32 KẾT LUẬN: Trên thực tế không tồn giải pháp an tồn Khơng có ai, tài liệu cung cấp hết lỗ hổng hệ thống khơng có nhà sản xuất cung cấp đủ cơng cụ cần thiết Cách tốt nhẫt sử dụng kết hợp giải pháp, sản phẩm nhằm tạo chế bảo mật đa năng, đa tầng Vấn đề cốt lõi ta vận dụng cho tốt? Trên cách thiết kế hệ thống mạng Lan trường THPT nơi công tác Tuy nhiên với thực trạng chung giới vấn đề an tồn bảo mật thơng tin CSDL, trường em đứng trước nhiều nguy thách thức bảo mật thông tin Cho nên qua môn học “Lý thuyết mật mã bảo mật thông tin” với việc hoàn thành tập thực tế giúp em hiểu rõ tầm quan trọng bảo mật thông tin hệ thống, biết nguy cơ, thiệt hại hệ thống bị công Với vai trò người quản trị mạng sở em thiết nghĩ cần phải trau dồi chuyên môn, học tập để nâng cao kiến thức từ có bước đi, cách thức làm việc tốt Cũng trình em xây dựng hoàn thành tập qua môn học thiếu hướng dẫn dạy thầy Hoàng Tuấn Hảo Em xin chân thành cảm ơn Thầy giáo: TS Hoàng Tuấn Hảo nhiệt tình hướng dẫn truyền đạt kiến thức cho chúng em hoàn thành tốt tập Và xin gửi lời cảm ơn chân thành đến bạn bè đồng nghiệp lớp k23 cao học CNTT – Đại học Vinh hỗ trợ giúp đỡ em nhiều Xin chân thành cảm ơn! Học Viên: Trần Thị Kim Dung 33 ... hệ thống mạng trường THPT Nguyễn Công Trứ, không dám chắn hệ thống mạng ổn với biện pháp bảo mật Hệ thống mạng trường em khơng nằm ngồi luồng Vì vậy, người quản trị hệ thống mạng sử dụng hệ thống. .. tầm quan trọng công việc: “ Đánh giá mức độ an ninh mạng tổ chức ta làm việc” nội dung tập Em xin trình bày nội dung tập hệ thống LAN trường THPT Nguyễn Công Trứ - Nghi Xuân – Hà Tĩnh Bởi tập thực... THỂ: PHẦN I: MÔ TẢ HỆ THỐNG MẠNG CỦA TRƯỜNG THPT I- KẾ HOẠCH TỔ CHỨC, THỰC HIỆN MẠNG LAN TRONG TRƯỜNG THPT NGUYỄN CÔNG TRỨ: Kế hoạch thực hiện: a Mục đích: - Phải xây dựng hệ thống mạng an toàn