Header Page of 126 BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC ĐÀ NẴNG LÊ HỒNG MINH NGHIÊN CỨU KIẾN TRÚC AN NINH MẠNG XÂY DỰNG GIẢI PHÁP AN NINH, BẢO MẬT HỆ THỐNG MẠNG THÔNG TIN DIỆN RỘNG CỦA CÁC CƠ QUAN ĐẢNG TỈNH PHÚ YÊN Chuyên ngành : Khoa học máy tính Mã số : 60.48.01 TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT Đà Nẵng - Năm 2012 Footer Page of 126 Header Page of 126 Công trình hoàn thành ĐẠI HỌC ĐÀ NẴNG Người hướng dẫn khoa học: PGS.TSKH Trần Quốc Chiến Phản biện : PGS.TS Lê Văn Sơn Phản biện : TS Lê Xuân Vinh Luận văn bảo vệ Hội đồng chấm Luận văn tốt nghiệp thạc sĩ kỹ thuật họp Đại học Đà Nẵng vào ngày 20 tháng 01 năm 2013 Có thể tìm hiểu luận văn tại: - Trung tâm Thông tin - Học liệu, Đại học Đà Nẵng; - Trung tâm Học liệu, Đại học Đà Nẵng; Footer Page of 126 Header Page of 126 MỞ ĐẦU Tính cấp thiết đề tài Cùng với phát triển vượt bậc công nghệ thông tin, công nghệ vật liệu, giới trải qua cách mạng mới, cách mạng mang lại nhiều thuận lợi, hội thách thức, cách mạng thông tin Cuộc cách mạng tác động đến toàn giới, đến quốc gia, tập đoàn, tổ chức, xí nghiệp, tác động đến lĩnh vực đời sống kinh tế, xã hội việc ứng dụng thành tựu khoa học, thành tựu công nghệ thông tin, sử dụng trang thiết bị tin học, kết nối trao đổi thông tin hệ thống mạng yếu tố tách rời hoạt động tổ chức, quan, đơn vị Tuy nhiên, thực kết nối, trao đổi thông tin hệ thống mạng lợi ích mang lại, xuất số nguy cơ, rủi ro an toàn hệ thống thông tin, sở liệu; nguy cơ, rủi ro ngày đa dạng hơn, tác hại lớn, cá biệt có trường hợp gây ảnh hưởng nghiêm trọng Vì triển khai hệ thống thông tin ứng dụng thành công nghệ thông tin cần xây dựng kiến trúc mạng bảo đảm an toàn, hạn chế nguy cơ, rủi ro hệ thống bảo đảm khai thác tính năng, tiện ích thiết bị hệ thống mang lại Để làm việc cần có nghiên cứu hệ thống mạng, giao thức, dịch vụ, nghiên cứu nguy cơ, rủi ro xảy ra, đồng thời nghiên cứu phương pháp, phương thức, thiết bị bảo vệ, bảo đảm an toàn thông tin, sách thực thi bảo đảm an toàn, bảo mật đáp ứng xây dựng kiến trúc an ninh phù hợp cho hệ thống mạng thông tin, qua xây dựng kiến trúc an ninh thích hợp cho mạng thông tin đảng Footer Page of 126 Header Page of 126 tỉnh Phú Yên (gọi mạng thông tin diện rộng đảng tỉnh Phú Yên) Đó lý cấp thiết đề tài : “Nghiên cứu kiến trúc an ninh mạng, xây dựng giải pháp an ninh, bảo mật hệ thống mạng thông tin diện rộng quan đảng tỉnh Phú Yên” Mục đích nghiên cứu, nhiệm vụ đề tài: - Củng cố kiến thức liên quan mạng, an toàn mạng, bảo mật hệ thống, bảo mật liệu hệ thống thông tin - Xây dựng kiến trúc an ninh cho hệ thống mạng thông tin diện rộng quan đảng tỉnh Phú Yên, đáp ứng: - Có chức thực kiểm tra xác thực - Có khả kiểm tra, ngăn chặn cho phép kết nối - Theo dõi tiến trình, hoạt động xảy mạng - Cho phép bảo mật mã hoá/giải mã liệu, thông tin - Khả diệt virus, worm, spyware - Khả quản lý tận dụng tối đa băng thông hệ thống - Tích hợp nhiều giải pháp bảo vệ khác - Bảo đảm an ninh, an toàn, bảo mật ứng dụng CSDL Đối tƣợng phạm vi nghiên cứu - Nghiên cứu kiến trúc mạng thông tin, nguy cơ, rủi ro hệ thống mạng thông tin, giải pháp nhằm đảm bảo an ninh, bảo vệ, bảo mật liệu, cân tải, từ đề xuất xây dựng kiến trúc an ninh cho hệ thống mạng thông tin diện rộng quan đảng tỉnh Phú Yên - Phạm vi nghiên cứu:các mạng thông tin diện rộng (WAN), mạng cục (LAN), mạng riêng ảo VLAN, mạng không dây (WIFI) , cụ thể mạng thông tin diện rộng đảng tỉnh Phú Yên Phƣơng pháp nghiên cứu: Thực 02 phương pháp nghiên cứu yếu, là: Footer Page of 126 Header Page of 126 Nghiên cứu lý thuyết: lý thuyết mạng, lý thuyết chuyển mạch, cân tải, lý thuyết an toàn bảo mật thông tin Nghiên cứu thực nghiệm: thực nghiệm hệ thống mạng cụ thể (hệ thống mạng thông tin diện rộng quan đảng; hệ thống thông tin, phủ điện tử) Bên cạnh đó, trình nghiên cứu sử dụng số phương pháp khác như: phương pháp phân tích, phương pháp tổng hợp, phương pháp nội suy nhằm đạt kết tốt Ý nghĩa khoa học thực tiễn đề tài a Ý nghĩa khoa học: - Trình bày, hệ thống hóa, củng cố kiến thức mạng, kiến thức bảo mật thông tin mạng, lý thuyết phương pháp bảo mật, xây dựng tối ưu hóa hệ thống mạng thông tin - Trình bày, đề xuất xây dựng kiến trúc mạng kiến trúc an ninh mạng cách hợp lý cho quan đảng tỉnh Phú Yên b Ý nghĩa thực tiễn: - Giải toán kiến trúc phù hợp cho hệ thống mạng thông tin, bảo đảm an toàn, bảo mật thông tin, liệu chống nguy công mạng - Xây dựng kiến trúc mạng, kiến trúc an ninh hợp lý, ổn định cho hệ thống mạng thông tin diện rộng đảng tỉnh Phú Yên Cấu trúc luận văn Luận văn tổ chức thành chương sau: Chƣơng - Tổng quan kiến trúc, mô hình nguy hệ thống mạng thông tin Chƣơng – Kiến trúc an ninh mạng Chƣơng – Xây dựng giải pháp an ninh, bảo mật hệ thống mạng thông tin diện rộng quan Đảng tỉnh Phú Yên Footer Page of 126 Header Page of 126 CHƢƠNG TỔNG QUAN KIẾN TRÚC, MÔ HÌNH VÀ CÁC NGUY CƠ AN NINH ĐỐI VỚI HỆ THỐNG MẠNG THÔNG TIN 1.1 TỔNG QUAN KIẾN TRÚC, MÔ HÌNH CÁC HỆ THỐNG MẠNG THÔNG TIN 1.1.1 Khái niệm hệ thống mạng thông tin Hệ thống mạng thông tin hệ thống mạng lưới máy tính thiết bị xử lý mạng kết nối với đường truyền vật lý tuân theo kiến trúc định nhằm mục đích chia sẻ thông tin, tài nguyên sức mạnh xử lý 1.1.2 Kiến trúc mạng a Định nghĩa Kiến trúc mạng máy tính tổng thể khái niệm bao gồm cấu trúc hình học (Topology) (tập) thực thể hệ thống mạng máy tính tập giao thức (Protocol) Hình : Mô hình kiến trúc mạng máy tính b Cấu trúc mạng Cấu trúc mạng (Topology) cấu trúc hình học không gian mạng, cách bố trí vị trí vật lý phần tử mạng cách thức kết nối chúng lại với Có hai kiểu cấu trúc mạng điển hình: kiểu điểm - điểm (Point to Point) kiểu đa điểm (Multi Point) c Giao thức mạng (Protocol) Tập hợp quy tắc (và thủ tục) cho phép việc trao đổi thông tin mạng thực thể hệ thống mạng thực cách đắn có hiệu Footer Page of 126 Header Page of 126 Giao thức mạng gồm thành phần cú pháp ngữ nghĩa, có chức chủ yếu sau: đóng gói, phân đoạn hợp lại, điều khiển liên kết, giám sát, điều khiển lưu lượng, điều khiển lỗi, đồng hoá, địa hoá Các giao thức phổ biến gồm : Giao thức Ethernet, giao thức Token Ring (IEEE802.5), giao thức AppleTalk, giao thức ATM, giao thức IPX/SPX (gồm 02 giao thức IPX SPX), giao thức UDP giao thức TCP/IP (là giao thức ứng dụng mạng) 1.1.3 Phân loại hệ thống mạng thông tin a Phân loại theo khoảng cách địa lý Mạng máy tính phân thành loại mạng phổ biến như: mạng cục (LAN), mạng đô thị (MAN), mạng diện rộng (WAN), mạng toàn cầu (INTERNET) b Phân loại dựa theo kỹ thuật chuyển mạch: Dựa theo kỹ thuật chuyển mạch có loại: mạng chuyển mạch kênh, mạng chuyển mạch thông báo mạng chuyển mạch gói 1.1.4 Mô hình xử lý liệu hệ thống mạng a Mô hình khách chủ (Client/Server) Mô hình khách chủ (Client/Server) mô hình phân chia thao tác thành hai phần: phía Client cung cấp cho người sử dụng giao diện để yêu cầu dịch vụ từ mạng phía Server tiếp nhận yêu cầu từ phía Client cung cấp dịch vụ cách thông suốt cho người sử dụng Mô hình mở rộng Mô hình khách chủ mô hình Client/Server nhiều lớp, trình xử lý phân tán lớp khác (lớp khách (client), lớp giao dich (bussiness) lớp liệu (Data source)) Mô hình thích hợp cho việc tổ chức hệ thống thông tin mạng Internet/ Intranet b Mô hình ngang hàng (per – to – per) Footer Page of 126 Header Page of 126 Mô hình ngang hàng mô hình mà tất máy có quyền ngang máy vừa máy chủ đồng thời máy khách, thực chia sẻ tài nguyên không phụ thuộc vào c Mô hình lai Client-Server Peer-to-Peer Mô hình lai kết hợp Client-Server Peer-to-Peer, qua tận dụng tính năng, hiệu loại mạng Hình 10: Mô hình lai Server/Client nhiều lớp d Mô hình phân tán Các máy trạm sử dụng tài nguyên, liệu, ứng dụng phân tán mạng, máy phục vụ phân tán rộng khắp cho phép sử dụng lúc, nơi Hình 1.21: Mô hình xử lý phân tán 1.1.5 Dịch vụ bản, thông dụng mạng a Dịch vụ phân giải tên miền (DNS: Domain names system) Hệ thống cho phép thiết lập phân giải tương ứng địa IP tên miền Footer Page of 126 Header Page of 126 b Dịch vụ truyền tệp (FTP: file transfer protocol) Dịch vụ truyền tệp (FTP) dịch vụ cho phép chuyển tệp liệu máy tính khác mạng c Dịch vụ World Wide Web World Wide Web (WWW hay Web) dịch vụ tích hợp, thiết lập khai thác hiệu thông tin điện tử WWW có khả tích hợp dịch vụ khác FTP, Email, cho phép truy nhập vào tất dịch vụ d Dịch vụ Telnet rlogin - Dịch vụ truy nhập từ xa Telnet : cho phép người sử dụng đăng nhập từ xa vào hệ thống từ thiết bị đầu cuối mạng - rlogin (đăng nhập mạng từ xa – remote login): Tương tự telnet e Dịch vụ Thư điện tử (Email) Dịch vụ thư điện tử dịch vụ thông dụng hệ thống mạng, hoạt động giống hệ thống thư bưu cho phép người dùng gửi nhận thư điện tử, thông tin liệu mạng f Xu hướng phát triển mạng dịch vụ mạng - Mạng hệ (Next Generation Networks - NGN) hội tụ mạng lưới: mạng thoại PSTN; mạng số liệu (Internet); mạng không dây, di động cố định - Mạng tốc độ cao Băng rộng hệ thống mạng có tốc độ truyền dẫn lớn so với mạng ISDN tốc độ – lớn 1,5 Mb/s - Điện toán đám mây" (Cloud Computing): mô hình điện toán cho phép truy cập qua mạng để lựa chọn sử dụng tài nguyên tính toán theo nhu cầu cách thuận tiện nhanh chóng; đồng thời cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ dàng, giảm thiểu giao tiếp với nhà cung cấp Footer Page of 126 Header Page 10 of 126 1.2 CÁC NGUY CƠ AN NINH, AN TOÀN ĐỐI VỚI HỆ THỐNG THÔNG TIN 1.2.1 Lỗ hổng bảo mật Là điểm yếu, lỗi tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống…gồm: a Lỗ hổng hệ thống Có loại lỗ hổng: loại C, loại B lỗ hổng loại A b Lỗ hổng ứng dụng Các lỗ hổng bảo mật tồn dịch vụ Sendmail, web, ftp hệ điều hành mạng ứng dụng mà qua xâm nhập vào hệ thống cách bất hợp pháp c Lỗ hổng sách quản trị mạng, sử dụng Là lỗ hổng sách, sử dụng, tạo kẽ hở cho phép kẻ công truy nhập công toàn hệ thống lỗi không tuân thủ sách bảo mật, bất cẩn quản lý, sử dụng tài nguyên… 1.2.2 Virus, sâu, mã độc hại, phần mềm gián điệp a Virus máy tính Virus máy tính chương trình hay đoạn mã thiết kế tự nhân tự chép vào đối tượng lây nhiễm khác Xâm nhập vào hệ thống qua: máy tính, email, file, ổ đĩa USB…hoặc qua lỗ hổng phần mềm ứng dụng,… b Sâu (worm), mã độc (malware, badware) - Sâu máy tính: loại chương trình máy tính độc lập có khả tự nhân giống virus máy tính - Mã độc hại: định nghĩa chương trình (program) chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn tính sẵn sàng hệ thống Footer Page 10 of 126 Header Page 12 of 126 10 c Một số phương thức công khác - Nghe trộm: phương thức thông qua chương trình đặc biệt cho phép sử dụng hạ tầng truyền thông mạng như: đường truyền, vỉ giao tiếp mạng (Network Interface Card-NIC) để nhận thông tin truyền mạng sau chiết, tách thông tin cần lấy - Giả mạo địa : việc giả mạo địa IP đối tượng cần gửi nhận - Quyét cổng (Scanner): phương pháp sử dụng chương trình rà soát phát số hiệu cổng (Port), dịch vụ sử dụng hệ thống, ghi lại đáp ứng (response) hệ thống xa - Bẻ khoá mật (Password Cracker): sử dụng chương trình có khả giải mã mật mã hoá vô hiệu hoá chức bảo vệ mật hệ thống - Sniffer: công cụ "tóm bắt" thông tin lưu chuyển mạng để "đánh hơi" thông tin trao đổi có giá trị 1.2.4 Các nguy khác a Nguy từ người dùng Một nguy từ người dùng trình thao tác máy tính quản lý tài nguyên sử dụng b Thư rác, thư quảng cáo Các thư rác, thư quảng cáo thường loại thư điện tử vô bổ gửi tới từ nhiều nguồn khác chứa virus, biến thể phần mềm gián điệp… Footer Page 12 of 126 Header Page 13 of 126 11 CHƢƠNG KIẾN TRÚC AN NINH MẠNG 2.1 CÁC YÊU CẦU CHUNG CHO MỘT HỆ THỐNG AN NINH, BẢO MẬT - Tính xác thực (Authentification): Kiểm tra tính tin cậy thực thể giao tiếp mạng - Tính khả dụng (Availability): đặc tính mà thông tin, tài nguyên mạng thực thể hợp pháp tiếp cận sử dụng theo yêu cầu cho phép - Tính bảo mật (Confidentialy): đặc tính thông tin, tài nguyên bảo đảm bí mật, không tiết lộ không uỷ quyền, cấp phép - Tính toàn vẹn (Integrity): Là đặc tính thông tin mạng quyền sử dụng thay đổi, biến đổi - Tính chối bỏ (Nonreputation): Trong trình trao đổi thông tin hệ thống mạng thực thể tham gia chối bỏ phủ nhận thao tác cam kết thực 2.2 CÁC GIẢI PHÁP AN TOÀN BẢO VỆ, BẢO MẬT THÔNG TIN VÀ DỮ LIỆU 2.2.1 Giải pháp kiểm tra xác thực ngƣời dùng Giải pháp kiểm tra xác thực người dùng bảo đảm tính đắn với đối tượng kết nối, kiểm tra thông tin trình truy nhập vào hệ thống Các phương thức xác thực phổ biến: xác thực dựa tài khoản người dùng (User Name Password), thẻ (Tokens), phương pháp nhận dạng sinh trắc học (Biometrics), xác thực đa nhân tố (xác thực kết hợp-Multi-Factor Authentication), xác thực lẫn (xác thực chéo - Mutual Authentication) Footer Page 13 of 126 Header Page 14 of 126 12 Mô hình xác thực mô tả sau: Hình 1: Mô hình xác thực định danh kết nối, người dùng Sơ đồ thuật toán: Hình 2: Thuật toán xác thực định danh kết nối, người dùng 2.2.2 Giải pháp ngăn chặn kiểm tra thực thi kết nối cấp phát quyền truy xuất, sử dụng tài nguyên; theo dõi, giám sát tiến trình, hoạt động hệ thống a Giải pháp ngăn chặn, kiểm tra gói tin Hình 3: Mô hình kiểm soát truy nhập Footer Page 14 of 126 Header Page 15 of 126 13 Giải pháp sử dụng chế kiểm soát truy nhập, thiết bị nhằm ngăn chặn truy nhập không hợp lệ từ mạng vào mạng trong, (công cụ tiêu biểu tường lửa) Mô hình cụ thể hình 2.3 Thuật toán tổng quát kiểm soát ngăn chặn kết nối, truyền tải liệu dịch vụ sử dụng công cụ tường lửa - Input: Dữ liệu vào/ra, dịch vụ sử dụng hệ thống - Output: Dữ liệu phép vào/ra, dịch vụ sử dụng - Thuật toán: Hình 2.5: Sơ đồ thuật toán tổng quát tường lửa b Giải pháp phân quyền truy xuất tài nguyên Việc kiểm tra ngăn chặn cho phép truy cập sử dụng nguyên hệ thống thực sau: Hình 7: Mô hình kiểm tra phân quyền truy xuất Thuật toán giải pháp kiểm tra phân quyền truy xuất tài nguyên: Input: thông tin đăng nhập, yêu cầu (tài nguyên, dịch vụ, thực thi ứng dụng…); Output: Kết thực thi lệnh nhập Footer Page 15 of 126 Header Page 16 of 126 14 Hình 8: Sơ đồ thuật toán kiểm tra ngăn chặn, kiểm tra kết nối c Giải pháp hệ thống ủy quyền - Hệ thống ủy quyền (Proxy): chương trình đặc biệt cài đặt máy chủ cổng mạng phân quyền cho ứng dụng, định cấu hình ủy quyền cho phép sử dụng số dịch vụ, ứng dụng Người sử dung qua proxy server thay cho máy chủ thật mà người sử dụng cần giao tiếp Hình 2.9: Mô hình hệ thống ủy quyền d Giải pháp xây dựng, sử dụng hệ thống theo dõi, giám sát Hệ thống theo dõi hệ thống theo dõi, giám sát lưu thông mạng có khả nhận biết hoạt động khả nghi, xâm nhập trái phép hệ thống mạng, kết nối trực tiếp với hệ thống Footer Page 16 of 126 Header Page 17 of 126 15 theo dõi Có mô hình theo dõi: trực tiếp thông qua hệ thống ủy quyền Thuật toán trao đổi thông tin thực theo dõi hệ thống: - Input: lệnh theo dõi hệ thống - Output: Kết liệu hệ thống - Sơ đồ Hình 2.12: Sơ đồ thuật toán theo dõi hệ thống 2.2.3 Bảo mật mã hoá, giải mã liệu, sử dụng chứng thƣ số (chữ ký điện tử) a Mã hoá, giải mã liệu Mã hoá trình thực che dấu thông tin cách sử dụng thuật toán, giải mã trình sử thuật toán phục hồi lại liệu mã hóa Mật mã (hệ mật mã) công cụ phục vụ cho trình chuyển đối thông tin gốc sang dạng mã hóa Có hai cách tiếp cận để bảo vệ thông tin mật mã: theo đường truyền (Link Oriented Security) từ mút-đến-mút (End-to-End) Quy trình mã hóa/giải mã liệu: Footer Page 17 of 126 Header Page 18 of 126 16 - Dữ liệu mã hóa/giải mã theo quy trình hình 2.9: Hình 2.15: Quy trình mã hóa/giải mã liệu Với: M liệu gốc; E hàm mã hóa; D hàm giải mã, C Dữ liệu mã hóa, Ke khóa mã; Kd khóa giải mã, ta có trình: mã hóa C = EKe(M) giải mã: M = DKd(C) =DKd(EKe(M)) - Hiện phổ biến có hai hệ mã hóa/giải mã liệu chính, là: + Mật mã đối xứng: hay gọi thuật toán mã hoá cổ điển thuật toán mà khoá mã hoá tính toán từ khoá giải mã Hình 16: Mô hình mật mã đối xứng (dùng chung khóa K) Tiêu biểu thuật toán tiêu chuẩn DES với Input: rõ M = m1m2…m64, khóa 64 bit K = k1k2…k64 (bao gồm cả bit chẵn lẻ , việc thêm bit chẵn lẻ cho các đoạn khóa bit có số bit lẻ) Output: mã 64 bit C = c1c2…c64 + Mật mã bất đối xứng (không đối xứng): dùng khóa riêng biệt cho hai trình mã hoá giải mã, có khóa phổ biến công khai (public key hay PU) giữ bí mật (private key hay PR) Hình 18: Mô hình mật mã không đối xứng Giải thuật tiêu biểu cho mã bất đối xứng giải thuật RSA Quá e d trình mã hóa giải mã là: C = M mod n M = C mod n với Footer Page 18 of 126 Header Page 19 of 126 17 gốc M khối mã C, khóa công khai KU = {e,n} khóa riêng KR = {d,n} b Chứng thư số (chữ ký điện tử): Chữ ký điện tử (Digital Signature) dựa kỹ thuật sử dụng mã hóa khóa công khai Mỗi bên có cặp khóa gồm khóa bí mật, hay riêng tư (Private Key) khóa công khai (Public Key) Quá trình ký văn : Hình 21: Mô hình mô tả trình ký Quá trình nhận: Hình 22: Mô hình mô tả trình nhận thông tin ký 2.2.4 Phân tán liệu, cân tải - Phân tán liệu: Một phương pháp bảo mật thông tin, liệu thân thông tin dư liệu phân tán, chia đặt trạm khác mạng - Cân tải: Cho phép chuyển mạch cân tải Footer Page 19 of 126 Header Page 20 of 126 18 2.2.5 Giải pháp xây dựng hệ tự động diệt Virus, kiểm soát, loại bỏ, ngăn chặn phần mềm, mã độc, cập nhập kiểm tra lỗ hổng hệ thống a Hệ thống cập nhập, kiểm tra lỗ hổng hệ thống Là hệ thống phép cập nhập thêm tính bảo mật, loại bỏ lỗ hổng sản phẩm b Giải pháp áp dụng hệ tự động diệt virus, ngăn mã độc hại Hệ thống tự động diệt virus có khả đối phó đe doạ từ virus cách hữu hiệu, cập nhập tính cho hệ thống 2.3 XÂY DỰNG KIẾN TRÚC AN NINH TÍCH HỢP CHO HỆ THỐNG MẠNG 2.3.1 Nguyên tắc xây dựng - Có chức thực kiểm tra xác thực - Có khả kiểm tra, ngăn chặn cho phép kết nối - Theo dõi tiến trình, hoạt động xảy mạng - Cho phép bảo mật mã hoá/giải mã liệu, thông tin - Khả diệt virus, worm, spyware - Khả quản lý tận dụng tối đa băng thông hệ thống - Tích hợp nhiều giải pháp bảo vệ khác 2.3.2 Kiến trúc an ninh tích hợp a Hệ thống bảo vệ, chống công, giám sát hệ thống Hệ thống bảo vệ, chống công ISS (internet/intranet security system) bao gồm: Hệ thống bảo vệ ISS): làm việc, cài đặt tường lửa (cả tường lửa cứng/mềm); Modul quản lý ISS: thực giao diện người sử dụng phần tử ISS Hệ thống giám sát : cho phép dò tìm, giám sát, chống xâm nhập trái phép vào hệ thống phân mạng bên hệ thống b Hệ thống cung cấp ứng dụng, dịch vụ Footer Page 20 of 126 Header Page 21 of 126 19 Cung cấp dịch vụ hệ thống cho loại ứng dụng, yêu cầu cụ thể người dùng, hệ thống c Hệ thống bảo đảm kết nối Kết nối hệ thống bên hệ thống với kết nối đến hệ thống mạng diện rộng, mạng toàn cầu d Hệ thống sách, vấn đề người Hệ thống sách tập hợp quy tắc áp dụng cho người tham gia quản trị mạng, người tham gia sử dụng tài nguyên dịch vụ mạng 2.3.3 Mô hình kiến trúc tích hợp đề nghị a Mô hình Hình 26: Mô hình kiến trúc tích hợp phân mạng chức b Yêu cầu trang thiết bị, phần mềm * Trang thiết bị: Sử dụng thiết bị chuyên dùng * Phần mềm: Các phần mềm bảo mật, tường lửa, CSDL… c Một số câu lệnh, luật truy cập xây dựng cấu hình hệ thống Footer Page 21 of 126 Header Page 22 of 126 20 CHƢƠNG XÂY DỰNG GIẢI PHÁP AN NINH, BẢO MẬT HỆ THỐNG MẠNG THÔNG TIN DIỆN RỘNG CỦA CÁC CƠ QUAN ĐẢNG TỈNH PHÚ YÊN 3.1 PHÂN TÍCH HỆ THỐNG MẠNG THÔNG TIN DIỆN RỘNG CỦA CÁC CƠ QUAN ĐẢNG TỈNH PHÚ YÊN 3.1.1 Mô hình tổ chức quan Đảng tỉnh Phú Yên Mô hình tổ chưc: Hình 1: Mô hình cấu tổ chức Tỉnh ủy Phú Yên 3.1.2 Hệ thống thông tin, ứng dụng sở liệu a Quan hệ thông tin - Mô hình tổng thể: tổng hợp mối quan hệ thông tin quan đảng tỉnh b Hệ thống thông tin, hệ thống ứng dụng CSDL Bao gồm hệ thống tin điều hành tác nghiệp, hệ thống thông tin chuyên ngành, hệ thống thông tin cung cấp dịch vụ, hệ thống chương trình, phần mềm ứng dụng … c Hệ thống kết nối Các quan kết nối cáp đồng công nghệ ADSL; nội đơn vị kết nối mạng cục cáp xoắn đôi RJ45 d Mô hình tổng thể hệ thống thông tin Footer Page 22 of 126 Header Page 23 of 126 21 Hình 3.3: Mô hình tổng thể hệ thống thông tin cấp tỉnh Mô hình tổng thể cấp huyện tương tự cấp tỉnh với quy mô quản lý nhỏ 3.2 PHÂN TÍCH CÁC NGUY CƠ, RỦI RO HIỆN HỮU ĐỐI VỚI HỆ THỐNG MẠNG 3.2.1 Nguy an ninh, an toàn hệ thống hệ thống Hệ thống đường truyền kết nối diện rộng đến cấp xã, phường, thị trấn nên khả bảo mật kém, tính an toàn không cao 3.2.2 Nguy an ninh với ứng dụng, dịch vụ, sở liệu Nguy hệ thống thông tin phụ thuộc vào mạng LAN mạng WAN việc sử dụng chương trình có lỗ hổng bảo mật, chương trình bẻ khóa, chứa mã độc 3.2.3 Các nguy an ninh xây dựng sách, vấn đề ngƣời sử dụng Xây dựng sách anh ninh, sách sử dụng, quản lý trang thiết bị, tham gia hệ thống mạng chưa quy định chặt chẽ , hành vi sử dụng người sử dụng khai thác trang thiết bị, dịch vụ, ứng dụng hệ thống, đơn vị cấp huyện, cấp xã 3.3 XÂY DỰNG HỆ THỐNG AN NINH, BẢO MẬT CHO HỆ THỐNG MẠNG THÔNG TIN DIỆN RỘNG CỦA ĐẢNG TỈNH PHÚ YÊN Footer Page 23 of 126 Header Page 24 of 126 22 3.3.1 Nguyên tắc xây dựng giải pháp Áp dụng nguyên tắc xây dựng kiến trúc an ninh tích hợp cho hệ thống mạng (phần trên), có bổ sung số đặc thù cho hệ thống 3.3.2 Giải pháp - Ap dụng kiến trúc tích hợp chia hệ thống thành phân loại mạng chính: Phân mạng truy cập, kết nối; phân mạng phục vụ; phân mạng bảo mật, giám sát hệ thống Bao gồm hệ thống: Hệ thống bảo vệ, chống công ISS (internet/intranaet security system); hệ thống giám sát IPS/IDS (Intrusion Prevention System/Intrusion Detection system); hệ thống cung cấp dịch vụ mạng; hệ thống phòng chống virus; hệ thống chứng thư số, mã hóa tài liệu 3.4 MÔ HÌNH THỰC HIỆN 3.4.1 Kiến trúc hệ thống a Cấp tỉnh Chia thành phân hệ mạng: phân hệ mạng thiết bị bảo vệ, phân mạng máy chủ hệ thống, dịch vụ, phân mạng máy chủ ứng dụng, sở liệu, phân mạng người dùng b Cấp huyện, thị thành ủy Chia thành phân hệ mạng: phân hệ mạng định tuyến, thiết bị truyền thông, bảo mật; phân mạng máy chủ hệ thống, dịch vụ, ứng dụng, sở liệu, phân mạng người dùng Hình 6: Mô hình mạng đơn vị cấp huyện, thị, thành ủy Footer Page 24 of 126 Header Page 25 of 126 23 c Mô hình tổng thể Kết hợp hệ thống mạng đơn vị tạo thành mạng thông tin diện rộng đảng tỉnh Phú Yên Hình 8: Kiến trúc mạng tin học diện rộng đảng tỉnh Phú Yên 3.4.2 Thiết lập cấu hình thiết bị, cài đặt phần mềm Sau xây dựng mô hình kết nối, để hoàn thiện hệ thống kiến trúc mạng thông tin tiếp tục cài đặt, cấu hình thiết bị hệ thống mạng thông tin diện rộng theo tính năng, yêu cầu, xây dựng sách an ninh phù hợp a Cấp tỉnh Cấu hình thiết bị, cài đặt thiết lập hệ thống theo mô hinh triển khai ứng dụng khác b Cấp huyện thị, thành phố thực tương tự cấp tỉnh c Các đảng ủy khối thiết lập cấu hình thiết lập tường lửa ứng dụng Footer Page 25 of 126 Header Page 26 of 126 24 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Sau thời gian thực hiện, luận văn hoàn thành, đạt số kết định Theo trình bày hệ thống kiến thức mạng hệ thống mạng thông tin nguy cơ, rủi ro hệ thống mạng, đưa số giải pháp bảo đảm an ninh, an toàn cho hệ thống mạng, bảo đảm an toàn an ninh thông tin mạng Thông qua tìm hiểu, nghiên cứu mô hình kiến trúc an ninh cho hệ thống mạng thông tin, áp dụng xây dựng kiến trúc an ninh, giải pháp an ninh, bảo mật cho hệ thống mạng thông tin diện rộng đảng tỉnh Phú Yên đưa vào hoạt động có hiệu quả, bảo đảm hệ thống hoạt động an toàn, ổn định Do thời gian vốn kiến thức có hạn nên việc thực luận văn đạt kết tương đối theo yêu cầu đề tài đưa ra, đề tài dùng lại mức khái niệm lý thuyết chung, rộng chưa có kết chuyên sâu, áp dụng mô hình có sẵn Do hướng phát triển thực nghiên cứu sâu hệ thống, đưa giải pháp toàn diện hơn, an toàn xây dựng công cụ mạnh giúp cho việc quản trị, điều hành hệ thống, việc bảo đảm, bảo vệ an toàn cho thông tin, liệu, tài nguyên hệ thống mạng, tận dụng, khai thác nhiều nưa tính hệ thống trang thiết bị trang bị, đồng thời cung cấp nhiều tiện ích cho người dùng Footer Page 26 of 126 ... 126 tỉnh Phú Yên (gọi mạng thông tin diện rộng đảng tỉnh Phú Yên) Đó lý cấp thiết đề tài : Nghiên cứu kiến trúc an ninh mạng, xây dựng giải pháp an ninh, bảo mật hệ thống mạng thông tin diện rộng. .. cho hệ thống mạng, bảo đảm an toàn an ninh thông tin mạng Thông qua tìm hiểu, nghiên cứu mô hình kiến trúc an ninh cho hệ thống mạng thông tin, áp dụng xây dựng kiến trúc an ninh, giải pháp an ninh, ... xuất xây dựng kiến trúc an ninh cho hệ thống mạng thông tin diện rộng quan đảng tỉnh Phú Yên - Phạm vi nghiên cứu: các mạng thông tin diện rộng (WAN), mạng cục (LAN), mạng riêng ảo VLAN, mạng