Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn MỤC LỤC MỤC LỤC DANH MỤC HÌNH VẼ .3 LỜI NÓI ĐẦU PHẦN I: CƠ SỞ AN TOÀN THÔNG TIN VÀ AN TOÀN MẠNG 1.1 Tổng quan an toàn thông tin bảo vệ thông tin .6 1.1.1 Khái niệm chung an toàn thông tin .6 1.1.2 Một số phương pháp công cụ bảo vệ thông tin .8 1.1.2.1 Các phương tiện máy móc chương trình 1.1.2.2 Các phương tiện mã hóa thông tin 10 1.1.2.3 Các phương pháp vật lý bảo vệ thông tin 11 1.1.2.4 Các biện pháp tổ chức .12 1.1.2.5 Các công cụ bảo vệ thông tin luật pháp .13 1.1.3 Các hiểm họa an toàn thông tin 13 1.1.3.1 Định nghĩa hiểm hoạ an toàn thông tin 13 1.1.3.2 Các hiểm họa điển hình phân tích hiểm họa 14 1.1.3.3 Phân loại hiểm họa 15 1.2 An toàn thông tin mạng máy tính 20 1.2.1 Các nguy đe dọa mạng máy tính phương pháp công mạng 20 1.2.1.1 Tấn công dựa điểm yếu hệ thống 22 1.2.1.2 Các loại công mạng cục 24 1.2.1.3 Smurfing 25 1.2.1.4 Các kiểu công từ chối dịch vụ phân tán 25 1.2.1.5 SPAM giả mạo địa 26 1.2.1.6 Các phương pháp công cách đánh lừa .26 1.2.1.7 Các công định tuyến 27 1.2.2 Phòng chống công mạng 27 1.2.2.1 Các mức bảo vệ an ninh mạng mô hình an ninh mạng 27 1.2.2.2 Các phương pháp phòng vệ, chống công mạng 32 PHẦN 2: QUY TRÌNH XÂY DỰNG 37 HỆ THỐNG MẠNG AN TOÀN 37 2.1 Tiêu chuẩn ISO 17799 37 2.1.1 Định nghĩa tiêu chuẩn ISO 17799 37 2.1.2 Lợi ích tiêu chuẩn ISO 17799 39 2.1.3 Những phần kiểm soát ISO 17799 .40 2.1.3.1 Chính sách an ninh chung .41 2.1.3.2 Tổ chức an toàn thông tin .42 2.1.3.3 Quản lý cố an toàn thông tin 43 2.1.3.4 Xác định, phân cấp quản lý tài nguyên 43 2.1.3.5 An ninh nhân 44 2.1.3.6 An ninh vật lý môi trường 44 2.1.3.7 Quản trị CNTT mạng 45 2.1.3.8 Quản lý truy cập 45 2.1.3.9 Phát triển trì hệ thống 47 GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn 2.1.3.10 Quản lý tính liên tục kinh doanh 47 2.1.3.11 Yếu tố tuân thủ luật pháp 48 2.2 Đề xuất quy trình xây dựng Mô hình mạng an toàn .48 2.2.1 Khảo sát hệ thống 49 2.2.2 Xác định phân loại nguy cơ, rủi ro gây an toàn hệ thống mạng tổ chức .51 2.2.2.1 Các nguy gây an ninh 52 2.2.2.1 Xác định mối đe doạ .53 2.2.2.3 Đánh giá quản lý rủi ro 54 2.2.3 Lập kế hoạch tiến hành xây dựng hệ thống .56 2.2.3.1 Xây dựng biện pháp đảm bảo an toàn an ninh cho hệ thống thông tin 56 2.2.3.2 Xây dựng, quản lý vận hành hệ thống bảo vệ an toàn thông tin theo kế hoạch 59 2.2.4 Kiểm tra đánh giá hoạt động hệ thống 64 2.2.5 Bảo trì nâng cấp hệ thống 65 KẾT LUẬN 68 TÀI LIỆU THAM KHẢO 69 GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn DANH MỤC HÌNH VẼ Hình 1.1: Sơ đồ tổng quan hệ thống mạng .22 Hình 1.2: Các mức bảo vệ an ninh mạng 29 Hình 1.3: Mô hình an ninh mạng dùng mã hóa .31 Hình 1.4: Mô hình an ninh mạng dùng “cửa kiểm soát” 32 Hình 1.5: Sử dụng tường lửa để bảo vệ hệ thống mạng 33 Hình 2.1: Cấu trúc tiêu chuẩn ISO 17799 41 GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn LỜI NÓI ĐẦU Vấn đề an toàn thông tin (ATTT) hình thành từ năm 70 kỷ trước (TK 20) Nó tiến bước dài Mặc dù vậy, khuôn khổ thân vấn đề nhiều toán chưa có lời giải An toàn thông tin vấn đề gắn liền với công nghệ thông tin (CNTT); mà CNTT ngày phát triển nhanh yếu tố quan trọng thúc đẩy kinh tế tri thức hình thành phát triển với xu toàn cầu hóa đầy thời thách thức với loài người Vấn đề an ninh mạng máy tính có tính thời sự, không lĩnh vực kinh tế, trị, quốc phòng, không quan trọng nhà chuyên môn kỹ thuật, nhà quản lý hệ thống, hoạch định sách… mà quan trọng cá nhân sử dụng máy tính có kết nối mạng, kết nối Internet Nhờ phát triển vô mạnh mẽ cách mạng công nghệ thông tin bùng nổ mạng Internet toàn cầu, nguồn tài nguyên thông tin từ địa điểm giới ngày trở nên gắn bó mật thiết, chặt chẽ Đồng thời, hệ thống mạng nói chung Internet nói riêng vô hình chung giữ vai trò hệ thần kinh, liên quan đến yếu tố, thành phần lĩnh vực cuối định việc thông tin, kiểm tra, giám sát, điều hành điều khiển hệ thống-lĩnh vực-xã hội Làm chủ mạng máy tính lĩnh vực an ninh có nghĩa đặc biệt định ổn định phát triển hệ thống Chính vấn đề an toàn mạng máy tính vấn đề quan trọng thực tiễn đòi hỏi cần có giải pháp, phương án tin cậy, đảm bảo an toàn cho hệ thống mạng máy tính Xuất phát từ lý đó, chọn đề tài: “Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn” cho đồ án Nội dung đồ án bao gồm: GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn Phần 1: Cơ sở an toàn thông tin an toàn mạng: bao gồm khái niệm ATTT, nguyên tắc ATTT, hiểm họa ATTT hệ thống mạng máy tính Phần 2: Tìm hiều chuẩn ISO 17799 thiết lập, thi hành, giám sát, thao tác, trì hoàn thiện hệ thống quản lý an toàn thông tin Và từ đề xuất quy trình xây dựng hệ thống mạng an toàn thông tin Phần 3: Demo: quy trình xây dựng hệ thống mạng an toàn cho công ty vừa nhỏ Tôi xin chân thành bày tỏ lòng cảm ơn sâu sắc tới thầy giáo Nguyễn Đức Tâm, người trực tiếp hướng dẫn giúp đỡ suốt trình nghiên cứu, hoàn thành đồ án GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn PHẦN I: CƠ SỞ AN TOÀN THÔNG TIN VÀ AN TOÀN MẠNG 1.1 Tổng quan an toàn thông tin bảo vệ thông tin 1.1.1 Khái niệm chung an toàn thông tin Thông tin loại tài sản, loại tài sản quan trọng khác doanh nghiệp, có giá trị cho tổ chức cần có nhu cầu bảo vệ thích hợp An toàn thông tin bảo vệ thông tin trước nguy an toàn nhằm đảm bảo tính liên tục hoạt động kinh doanh doanh nghiệp, giảm thiểu phá hoại doanh nghiệp gia tăng tới mức tối đa hội kinh doanh đầu tư phát triển An toàn nghĩa thông tin bảo vệ, hệ thống dịch vụ có khả chống lại tai họa, lỗi tác động không mong đợi, thay đổi tác động đến độ an toàn hệ thống nhỏ Đảm bảo an toàn tiêu chất lượng hệ thống truyền tin số Thông tin tồn nhiều dạng Thông tin in viết giấy, lưu trữ dạng điện tử, truyền qua bưu điện dùng thư điện tử, trình diễn phim, nói đàm thoại Nhưng cho dù thông tin tồn dạng nữa, thông tin đuợc đưa với mục đích chia sẻ lưu trữ, cần bảo vệ thích hợp Để đảm bảo thông tin an toàn, cần đảm bảo số yếu tố sau đây: - Đảm bảo tính bí mật (Confidential): đảm bảo thông tin hệ thống máy tính thông tin truyền đọc người ủy Thao tác đọc bao gồm in, hiển thị… Nói cách khác, đảm bảo tính bí mật bảo vệ liệu truyền chống lại công bị động nhằm khám phá nội dung thông báo GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn - Đảm bảo tính toàn vẹn (Intergrity): bảo vệ tính xác, đầy đủ thông tin phương pháp xử lý Đảm bảo tính toàn vẹn đòi hỏi tài nguyên hệ thống máy tính thông tin truyền không bị sửa đổi trái phép Việc sửa đổi bao gồm thao tác viết, thay đổi, thay đổi trạng thái, xóa thông báo, tạo thông báo, làm trễ dừng lại thông báo truyền - Đảm bảo tính sẵn sàng (Availability): sẵn sàng phục vụ đòi hỏi tài nguyên hệ thông mạng máy tính sẵn sàng bên ủy quyền cần thiết Các công làm giảm khả sẵn sàng phục vụ chương trình phần mềm tài nguyên phần cứng mạng máy tính Các phần mềm hoạt động sai chức gây hậu không lường trước Mặc dù, đảm bảo an toàn cách toàn diện, giảm bớt rủi ro tác động từ hoạt động lĩnh vực kinh tế- xã hội Khi tổ chức tiến hành đánh giá rủi ro cân nhắc kỹ lưỡng biện pháp đối phó ATTT, họ nhận điều rằng: giải pháp công nghệ (kỹ thuật) đơn cung cấp đầy đủ an toàn Những sản phẩm Anti-virus, Firewall công cụ bảo mật khác cung cấp an toàn thiết yếu cho hầu hết tổ chức Chúng ta phải nhận định cách đắn ATTT mắt xích liên kết yếu tố công nghệ yếu tố người - Về yếu tố công nghệ, bao gồm sản phẩm Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành ứng dụng (trình duyệt Internet phần mềm nhận email từ máy trạm) - Về yếu tố người, người sử dụng máy tính, người làm việc với thông tin sử dụng máy tính công việc Hệ thống có đặc điểm sau không an toàn: Các thông tin liệu hệ thống bị người không quyền truy nhập tìm cách lấy sử dụng (thông tin bị rò rỉ) Các thông tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)… GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn Thông tin có giá trị cao đảm bảo tính xác kịp thời, hệ thống cung cấp thông tin có giá trị thực chức hệ thống đảm bảo hoạt động đắn Một mục tiêu an toàn bảo mật công nghệ thông tin đưa số tiêu chuẩn an toàn mà ứng dụng tiêu chuẩn an toàn giúp loại trừ giảm bớt nguy hiểm Do kỹ thuật truyền nhận xử lý thông tin ngày phát triển đáp ứng yêu cầu ngày cao nên hệ thống đạt tới độ an toàn Quản lý an toàn rủi ro gắn chặt với quản lý chất lượng Khi đánh giá độ an toàn thông tin cần phải dựa phân tích rủi ro, tăng an toàn cách giảm tối thiểu rủi ro Các đánh giá cần hài hòa với đặc tính, cấu trúc hệ thống trình kiểm tra chất lượng 1.1.2 Một số phương pháp công cụ bảo vệ thông tin 1.1.2.1 Các phương tiện máy móc chương trình Các thiết bị máy móc bao gồm: thiết bị điện tử, thiết bị - điện tử, thiết bị quang - điện tử thiết bị khác có khả hoành thành chức bảo vệ hệ thống Chúng đưa vào hệ thống thiết bị độc lập thành phần hệ thống Có thể kể thiết bị máy móc điển hình như: - Các ghi đặc biệt để lưu giữ “danh thiếp” bảo vệ: mật khẩu, mã nhận dạng, bí danh độ mật… - Các sinh mã dùng cho việc sinh mã tự động nhận dạng thiết bị (ví dụ thuê bao) đưa vào hoạt động - Thiết bị đo đặc trưng sinh trắc người (giọng nói, vân tay…) để nhận dạng người - Sơ đồ ngắt truyền tin đường truyền với mục đích kiểm tra chu kỳ nơi tin đến - Nhóm thiết bị mã hóa (các máy mã, chương trình mã hóa thông tin) Đây thành tựu đặc biệt có ý nghĩa to lớn bảo vệ thông tin GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn - Kỹ thuật tường lửa (Firewall) Ra đời năm gần đáp ứng nhu cầu bảo vệ thông tin mạng máy tính Đó thiết bị tổng hợp liên quan tới công nghệ mạng, kỹ thuật mật mã, kỹ thuật an toàn, giao thức an toàn, hệ điều hành… Nó tập hợp phần cứng phần mềm nhằm đảm bảo khống chế khai thác an toàn mạng, bảo vệ an toàn cổng mạng nội - Kỹ thuật mạng riêng ảo (Vitual Private Network – VPN) Mạng riêng ảo hiểu thông qua mạng công cộng (thường Internet) thiết lập kết nối tạm thời, an toàn; đường an toàn, ổn định xuyên qua mạng lưới công cộng phức tạp Mạng riêng ảo hỗ trợ thuê bao xa, chi nhánh công ty, bạn hàng thương mại thiết lập kết nối an toàn, tin cậy bảo đảm truyền dẫn an toàn liệu Mạng riêng ảo tăng cường bảo mật liệu, đảm bảo thông tin truyền dẫn qua mạng công cộng cho dù người khác thu không bị lọt; xác nhận thông tin chứng thực nhận dạng thuê bao; khống chế khai thác (thuê bao khác có quyền hạn khai thác khác nhau) Các phương tiện chương trình bảo vệ thông tin bao gồm: Các chương trình đặc biệt đặc trách chức bảo vệ thành phần bảo đảm chương trình cho hệ thống Bảo vệ chương trình dạng phổ biến Nó có tính tổng hợp mềm dẻo cao, đơn giản thực tiễn, thay đổi, phát triển, nâng cấp dễ dàng Có thể chia nhóm chương trình bảo vệ sau: - Nhận dạng thiết bị kỹ thuật (các Terminal, thiết bị điều khiển từ vào – máy tính điện tử, vật mang tin…), toán khách hàng mảng liệu dùng - Xác định quyền thiết bị kỹ thuật (ngày thời gian làm việc, nhiệm vụ cho phép thực hiện, mảng liệu dùng…) khách hàng - Kiểm soát công việc thiết bị kỹ thuật khách hàng GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn - Kiểm toán công việc thiết bị, kỹ thuật khách hàng, việc xử lý thông tin hạn chế (có độ mật) - Xóa thông tin nhớ sau dùng - Báo động có hành động bất hợp pháp - Các chương trình trợ giúp nhiệm vụ khác kiểm tra công việc chế bảo vệ, cung cấp độ mật cho tài liệu đầu 1.1.2.2 Các phương tiện mã hóa thông tin Các chương trình mã hóa thông tin tạo thành nhóm đặc biệt nghiên cứu toàn diện Sử dụng mật mã để mã hóa thông tin biến đổi thông tin cần bảo vệ dạng mà bề xác định nội dung thực thông tin Người ta coi dạng bảo vệ tin cậy (đôi nhất) bảo vệ thông tin Các hướng nghiên cứu gồm: - Lựa chọn mã pháp tối ưu để phủ kín thông tin tin cậy - Luận chứng cách thực mã pháp hệ thống - Thiết lập luật dùng phương pháp mật mã bảo vệ thông tin hệ thống - Đánh giá hiệu suất bảo vệ mật mã Những thành tựu lĩnh vực bảo vệ mật mã liệt kê sau: Chỉ rõ đòi hỏi tới hệ mật (mã pháp) dùng để bảo vệ thông tin hệ thống, đủ độ bền vững (tin cậy), dễ mã giải mã, tính độc lập mã giải mã dạng thể thông tin máy, nhạy cảm với sai sót nhỏ mã, có khả xử lý thông tin mã máy tính, độ dư thông tin mã nhỏ… Đáp ứng tương đối tốt đòi hỏi mã pháp thay thế, chuyển bị, Gamma, mã đại số… Người ta cho đặc biệt hiệu dùng mã pháp kết hợp với (ví dụ: Gamma, chuyển vị Gamma…) Mỗi mã pháp kể thực hệ thống máy tính điện tử chương trình máy mã chuyên dụng Thực chương GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 10 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn thông tin có liên quan tới hoạt động tài nguyên tổ chức Kết việc đánh giá giúp hướng dẫn định hành động quản lý độ ưu tiên thích hợp nhằm quản lý nguy cơ/rủi ro bảo mật thông tin, vận dụng công cụ lựa chọn để bảo vệ trước nguy cơ/rủi ro Tiến trình đánh giá rủi ro lựa chọn giải pháp/công cụ cần khoảng thời gian để tiến hành cho nhiều phần/bộ phận khác tổ chức hệ thống thông tin riêng biệt Căn mức độ rủi ro tài nguyên, đề xuất giải pháp (công nghệ phi công nghệ) để giảm nhẹ loại trừ rủi ro theo nguyên tắc: - Giảm nhẹ/loại trừ nguy mức - Giảm nhẹ/loại trừ điểm yếu mức - Tối thiểu hoá tài nguyên hệ thống Kết việc đánh giá hướng dẫn xác định hành động quản lý tương ứng mức độ ưu tiên cho vấn đề quản lý rủi ro an toàn thông tin, cho việc triển khai quy tắc lựa chọn để bảo vệ rủi ro Quá trình đánh giá rủi ro lựa chọn quy tắc cần thực nhiều lần nhằm bao quát toàn phận khác tổ chức hệ thống thông tin cá nhân Đó vấn đề quan trọng để tiến hành cách định kỳ nhằm xem xét lại rủi ro an toàn quy tắc triển khai để: - Đưa thay đổi yêu cầu mức độ ưu tiên kinh doanh - Rà soát nguy mối đe dọa - Xác nhận lại quy tắc hiệu thích hợp Việc xem xét nên thực mức độ khác chiều sâu phụ thuộc vào kết đánh giá lần trước việc thay đổi mức độ rủi ro mà nhà quản lý sẵn sàng cho việc chấp nhận Đánh giá rủi ro thường tiến hành mức độ cao, quyền ưu tiên tài nguyên lĩnh vực có nguy rủi ro cao, sau đến mức độ cụ thể hơn, cuối đến rủi ro cụ thể GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 55 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn Các yêu cầu an toàn thông tin xác định phương pháp định giá rủi ro an toàn Vấn đề chi phí kiểm soát cần cân nhắc kỹ lưỡng thiệt hại kinh doanh tính an toàn Các kỹ thuật định giá rủi ro áp dụng tổ chức, phận tổ chức, hệ thống thông tin cá nhân, thành phần hệ thống xác định dịch vụ, … mang tính chất khả thi, thực tế hữu ích Sau xác định khả khai thác điểm yếu mối đe dọa, ta phân tích hiểu rõ tầm ảnh hưởng chúng tới hệ thống thông tin nói riêng tổ chức nói chung Trước phân tích ảnh hưởng cần có thông tin sau: - Tiêu chí hệ thống (ví dụ: quy trình thực thi hệ thống) - Độ quan trọng liệu hệ thống (ví dụ: tầm quan trọng giá trị hệ thống quan/tổ chức) - Độ nhạy cảm liệu hệ thống Các thông tin thu thập từ tài liệu tổ chức, ví dụ tài liệu đánh giá độ quan trọng tài nguyên thông tin – tài liệu đánh giá độ quan trọng nhạy cảm tài nguyên thông tin (ví dụ: phần cứng, phần mềm, hệ thống, dịch vụ tài nguyên liên quan đến công nghệ) hỗ trợ cho tiêu chí tổ chức Nếu tài liệu độ nhạy cảm liệu hệ thống xác định dựa mức bảo vệ để trì tính sẵn sàng, toàn vẹn bí mật liệu hệ thống Phỏng vấn người quản lý hệ thống hay thông tin phương pháp đánh giá phân tích ảnh hưởng 2.2.3 Lập kế hoạch tiến hành xây dựng hệ thống 2.2.3.1 Xây dựng biện pháp đảm bảo an toàn an ninh cho hệ thống thông tin Một giải pháp an toàn an ninh thông tin dù cấp độ cần có tổng thể biện pháp kiểm soát An toàn an ninh bao gồm: quản lý, vận hành kỹ thuật Các biện pháp quản lý thường đề cập tới việc quản lý giải GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 56 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn pháp vầ an toàn an ninh quản lý rủi ro Các biện pháp kiểm soát vận hành thường người thực Các biện pháp kiểm soát kỹ thuật biện kiểm soát an ninh hệ thống tự động thực biện pháp phải gắn liền, thực song song với biện pháp kiểm soát quản lý vận hành hệ thống Chỉ có biện pháp kỹ thuật đơn không đủ, cần giám sát điều phối biện pháp quản lý Cũng giống quan/tổ chức trang bị cho hệ thống phòng chống virus tân tiến, đại sách quản lý vận hành lại lỏng lẻo, không thống nhất, cho phép nhiều máy tính truy cập Internet phần mềm phòng chống virus nguy công bắt nguồn từ máy tính thiếu quản lý Việc xây dựng biện pháp đảm bảo an toàn an ninh cho hệ thống thông tin bao gồm: - Xây dựng biện pháp quản lý vận hành: + Nâng cao ý thức an toàn thông tin: cần bảo đảm cho tất người sử dụng (bao gồm người quản lý cán cấp cao) nắm rõ kiến thức bảo mật hệ thống thông tin trước cho phép truy nhập sử dụng hệ thống + Đào tạo nhân sự: Tổ chức xác định nhân với vai trò quan trọng an toàn hệ thống thông tin trách nhiệm, lập tài liệu vai trò trách nhiệm đó, tiến hành đào tạo đầy đủ trước tiến hành hoạt động quản lý hay kỹ thuật nghiệp vụ + Thiết lập cấu hình: Tổ chức thiết lập cấu hình chặt chẽ cho sản phẩm an toàn thông tin trì yêu cầu hoạt động hệ thống thông tin Các thành phần hệ thống thông tin sau cài đặt cần cấu hình chặt chẽ Cấu hình chuẩn cách tốt để quản lý cấu hình cho hệ thống, cầu hình chuẩn hỗ trợ trình rà soát tính an toàn hệ thống + Cung cấp quyền thấp nhất: Các hệ thống thông tin có khả cung cấp nhiều chức dịch vụ Một số chúng cung cấp mặc định, không cần thiết để hỗ trợ hoạt động thiết yếu tổ chức Các chức GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 57 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn dịch vụ cung cấp hệ thống thông tin phải xem xét cẩn thận để xác định chức năng, dịch vụ giới hạn.( Ví dụ Voice Over Internet Protocol, Instant Messaging, File Transfer Protocol, Hyper Text Transfer Protocol, file sharing) Việc giới hạn chức dịch vụ làm giảm đáng kể khả bị công hệ thống thông tin + Kế hoạch cho trường hợp khẩn cấp: Tổ chức phát triển thực thi kế hoạch cho trường hợp khẩn cấp, định rõ vai trò, trách nhiệm, cá nhân phân công phụ trách bao gồm thông tin liên lạc, hoạt động liên quan với việc phục hồi hệ thống thông tin sau có cố làm hư hại Rà soát kế hoạch phân phát kế hoạch đến cá nhân có vai trò then chốt + Xử lý giám sát cố: Tổ chức chuẩn bị khả xử lý cố bảo mật Khả bao gồm công việc: chuẩn bị, phát phân tích, ngăn chặn, loại bỏ phục hồi sau cố Tổ chức cần chuẩn bị khả sử dụng công cụ hỗ trợ trình xử lý cố Bên cạnh đó, cần theo dõi ghi lại xác cố bảo mật hệ thống thông tin - Xây dựng biện pháp quản lý kỹ thuật: + Quản lý tài khoản: Quản lý tài khoản bao gồm nhận dạng loại tài khoản (tức cá nhân, nhóm hệ thống), xây dựng tiêu chí thành viên nhóm, trình cấp phép liên quan Tổ chức nhận dạng người sử dụng phép hệ thống thông tin định quyền, đặc quyền truy nhập Tổ chức cho phép giám sát việc sử dụng tài khoản khách/ tài khoản nặc danh loại bỏ/vô hiệu hóa/quản lý tài khoản không cần thiết + Áp đặt điều khiển truy xuất: Các quy chế điều khiển truy xuất phương thức áp đặt truy xuất bắt buộc khác tổ chức triển khai để điều khiển truy nhập người dùng ( tiến trình/chương hoạt động đại diện cho người dùng) đối tượng (ví dụ thiết bị, file, ghi, tiến trình, chương trình, …) hệ thống thông tin + Xác thực định danh người dùng: Xác thực định danh người dùng thực qua việc sử dụng mật khẩu, token, sinh trắc học xác thực đa yếu tố, số trường hợp tổ hợp yếu tố Có thể thực thêm GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 58 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn chế xác thực định danh mức ứng dụng để cung cấp thêm tính an toàn xác thực + Giới hạn số lần đăng nhập: Hệ thống thông tin giới hạn số hữu hạn lần đăng nhập sai liên tiếp Hệ thống tự động khóa tài khoản/cô lập tài khoản khoảng thời gian định trước tiếp tục cho đăng nhập liên tục đăng nhập sai vượt số lần quy định + Truy nhập từ xa: Tổ chức lập tài liệu, theo dõi, kiểm soát tất phương pháp truy nhập từ xa (chẳng hạn, quay số, Internet) tới hệ thống thông tin bao gồm truy nhập từ xa cho chức đặc quyền Cần có trình kiểm tra, cho phép ứng với phương pháp truy nhập từ xa cho phép người thật cần thiết truy nhập từ xa vào hệ thống Tổ chức triển khai chế tự động để hỗ trợ cho việc giám sát điều khiển phương pháp truy nhập từ xa Tổ chức kiểm soát tất truy nhập từ xa thông qua điểm điều khiển truy nhập + Hạn chế truy nhập thông qua mạng không dây: Tổ chức: thiết lập phương pháp hạn chế truy cập mạng không dây; lập tài liệu, giám sát, điều khiển truy nhập không dây tới hệ thống thông tin Tổ chức sử dụng chứng thực mã hóa để bảo vệ truy nhập không dây tới hệ thống thông tin + Ghi nhận, quản lý bảo vệ ghi nhật ký: Hệ thống thông tin cần ghi nhận đầy đủ thông tin ghi nhật ký để xác định kiện xảy ra, nguồn gốc kết kiện Hệ thống thông tin ghi nhận kiện sau: trình đăng nhập hệ thống, thao tác cấu hình hệ thống, trình truy xuất hệ thống Bên cạnh cần có chế bảo vệ lưu giữ nhật ký khoảng thời gian định 2.2.3.2 Xây dựng, quản lý vận hành hệ thống bảo vệ an toàn thông tin theo kế hoạch Một yêu cầu bảo mật thiết lập, giải pháp/công cụ phải lựa chọn thực thi nhằm đảm bảo nguy bảo mật GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 59 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn giảm xuống mức chấp nhận (ở ta cam đoan nguy bảo mật không mức chấp nhận yêu cầu) Các giải pháp/công cụ lựa chọn từ tài liệu ISO 17799 từ tài liệu bảo mật khác, có thể, giải pháp/bộ công cụ cần phát triển nhằm đáp ứng yêu cầu đặc biệt tổ chức Có nhiều cách để quản lý nguy bảo mật ISO 17799 nhữn tài liệu cung cấp cách tiếp cận chung Tuy nhiên, cần hiểu số giải pháp/khuyến nghị ISO 17799 không khả dụng hệ thống môi trường thông tin tổ chức, quan khác Ví dụ mục 8.1.4 (tài liệu ISO 17799) mô tả phận sự, chức vụ nên chia tách nhằm hạn chế lạm dụng chức vụ Khuyến nghị có lẽ không khả thi quan, tổ chức quy mô nhỏ Một ví dụ khác mục 9.7 12.1 (tài liệu ISO 17799) có mô tả việc sử dụng hệ thống giám sát thu thập thông tin sử dụng Các giải pháp khuyến nghị, ví dụ ghi lại kiện mà người dùng thực hiện, xung đột với luật bảo vệ quyền riêng tư cá nhân Tóm lại, điều kiện Việt Nam, ISO 17799 nên áp dụng cách linh hoạt, điều khoản dựa khuyến nghị gốc cần có điều chỉnh cho thích hợp với môi trường cụ thể quan, tổ chức vốn có quy mô không lớn Mềm dẻo áp dụng khuyến cáo tổ chức ISO cho đơn vị triển khai quy địng ISO ban hành Các giải pháp nên lựa chọn dựa việc cân chi phí thực thiệt hại cố bảo mật xảy Tuy nhiên cần ý đến yếu tố phi vật chất/tiền tệ giảm uy tín, lòng tin … Trên thực tế không tồn giải pháp an toàn, bảo mật thông tin dạng “plug and play” cho tổ chức đặc biệt phải đảm bảo luật thương mại tồn phải tương thích ứng dụng, liệu có sẵn Không có tài liệu lường hết lỗ hổng hệ thống nhà sản xuất cung cấp đủ công cụ bảo đảm tuyệt đối an toàn cho hệ thống Cách tốt sử dụng kết hợp giải pháp, sản phẩm nhằm tạo chế bảo mật đa GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 60 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn Firewall: xem xét lựa chọn sản phẩm Firewall hợp lý đưa vào hoạt động phù hợp với sách công ty việc trình bảo mật hệ thống Firewall giải pháp phần cứng phần mềm kết hợp hai Nhiệm vụ Firewall ngăn chặn công trực tiếp vào thông tin quan trọng hệ thống, kiểm soát thông tin vào hệ thống Việc lựa chọn Firewall thích hợp cho hệ thống dễ dàng Các Firewall phụ thuộc môi trường, cấu hình mạng, ứng dụng cụ thể Khi xem xét lựa chọn Firewall, cần tập trung tìm hiểu chức Firewall, tính lọc địa chỉ, gói tin… Hệ thống kiểm tra xâm nhập mạng (IDS): Một Firewall gọi tốt lọc tạo khả kiểm soát gói tin qua Và nơi mà hệ thống IDS nhập Nếu xem Firewall đập ngăn nước, ta ví IDS hệ thống điều khiển luồng nước hệ thống xả nước khác Một IDS không liên quan tới công việc điều khiển hướng gói tin mà có nhiệm vụ phân tích gói tin mà Firewall cho phép qua, tìm kiếm dấu hiệu cống biết mà kiểm tra hay ngăn chặn Firewall IDS tương ứng với việc bảo vệ đằng sau Firewall, cung cấp việc chứng thực thông tin cần thiết để đảm bảo chắn cho Firewall hoạt động hiệu Phần mềm Anti-Virus: phần mềm Anti-Virus nên cài toàn máy trạm (workstation), máy chủ (server), hệ thống hỗ trợ dịch vụ hầu hết nơi chứa liệu quan trọng vào Hai vấn đề quan trọng để xem xét đặt yêu cầu nhà sản xuất Anti-Virus quản lý nhiều máy chủ máy trạm toàn phạm vi công ty khả nhà cung cấp có đối phó đe dọa từ virus hay không Mạng riêng ảo (VPN): Việc sử dụng VPN để cung cấp cho nhân viên hay cộng truy cập tới tài nguyên công ty từ nhà hay nơi làm việc khác với mức bảo mật cao, hiệu trình truyền thông, làm tăng hiệu sản xuất nhân viên Tuy nhiên, điều không kèm rủi ro Bất kỳ thời điểm VPN thiết lập, bạn phải mở GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 61 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn rộng phạm vi kiểm soát bảo mật công ty tới toàn nút kết nối với VPN Để đảm bảo mức bảo mật cho hệ thống này, người sử dụng phải thực đầy đủ sách bảo mật công ty Điều thực qua việc sử dụng hướng dẫn nhà sản xuất dịch vụ VPN hạn chế ứng dụng chạy nhà, cổng mạng mở, loại bỏ khả chia kênh liệu, thiết lập hệ thống bảo vệ virus chạy hệ thống từ xa, tất công việc giúp giảm thiểu rủi ro Điều quan trọng công ty phải đối mặt với đe dọa việc kiện cáo mạng họ hay hệ thống sử dụng để công công ty khác Các hệ điều hành: Sự lựa chọn hệ điều hành ứng dụng trình đòi hỏi phải có cân nhắc kỹ Chọn hệ điều hành Microsoft hay UNIX, nhiều trường hợp, thường ấn tượng nhân sản phẩm Khi lựa chọn hệ điều hành, thông tin nhà sản xuất không quan trọng nhà sản xuất làm thực tế, khả bảo trì hay dễ dàng thực với tài liệu kèm Bất kỳ hệ điều hành từ năm trước đểu đảm bảo theo tiêu chuẩn ngày nay, việc giữ máy chủ, ứng dụng bạn cập nhật thường xuyên đảm bảo giảm thiểu khả rủi ro hệ thống Khi lựa chọn hệ điều hành, cần tìm hiểu không tiêu chuẩn thông thường quản trị, hiệu năng, tính chứng thực mà phải xem xét khả áp dụng hệ điều hành với hệ thống Một hệ điều hành cung cấp chế bảo mật tốt tương thích với ứng dụng chạy bên DNS hay WebServer, hệ điều hành khác có nhiều chức tốt hệ thống application, database hay email server Trong bước này, tập hợp tiếp cận bảo vệ an toàn phân loại bao gồm thủ tục chế an toàn chuẩn Các ưu điểm nhược điểm loại bảo vệ với hệ thống khảo sát Các nhân tố điển hình thường người ta định hướng việc tìm kiếm giải pháp bảo vệ an toàn thường bao gồm: ảnh hưởng cực tiểu lên tính sử dụng; tác động nhỏ GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 62 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn lên hoạt động hệ thống; giá thấp; tác động tới ứng dụng có thủ tục tồn Một giải pháp bảo vệ lựa chọn, chúng phải tích hợp vào hệ thống Sự tích hợp phải thực theo cách cho không mang vào hệ khả bị công Điều quan trọng triệt tiêu hậu hiểm hoạ này, lại đem vào loại hiểm hoạ tiềm ẩn hệ Tổ chức đội ngũ cán nhân viên chuyên trách đủ lực đảm bảo an toàn an ninh cho hệ thống thông tin xây dựng hệ thống theo kế hoạch Tiến trình cài đặt cấu hình phần mềm phải tuân thủ theo sơ đồ thiết kế mạng luận lý mô tả Việc phân quyền cho người dùng theo chiến lược khai thác quản lý tài nguyên mạng Sau tiến hành cài đặt xong, cần vận hành quản lý chặt chẽ trang thiết bị, phần mềm theo quy định đặt Cần đảm bảo toàn thủ tục an ninh khu vực trách nhiệm họ phải thực xác Hơn nữa, toàn khu vực tổ chức nên xem xét việc soát xét đặn để đảm bảo tuân thủ với sách tiêu chuẩn an ninh Điều bao gồm: a) hệ thống thông tin; b) nhà cung cấp hệ thống; c) chủ sở hữu thông tin tài sản thông tin; d) người sử dụng; e) nhà quản lý Thực việc giáo dục cho nhân viên, cán tổ chức Đây bước quan trọng mang tính chiến lược công ty vấn đề bảo mật Các chi tiết kỹ thuật mô tả thay đổi theo môi trường, công nghệ, kỹ liên quan, có phần không nằm việc thực thi bảo mật không coi nhẹ, giáo dục Để đảm bảo thành công bảo mật từ lúc đầu, người sử dụng phải có giáo dục cần thiết sách, gồm có: - Kỹ hệ thống bảo mật mới, thủ tục GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 63 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn - Hiểu biết sách tài sản, liệu quan trọng công ty, doanh nghiệp - Hiểu thủ tục bắt buộc mới, sách bảo mật công ty Nói tóm lại, không đòi hỏi người sử dụng có kỹ bản, mà đòi hỏi học phải biết họ làm cần thiết với sách công ty Thực thông báo hướng dẫn tới người sử dụng để đảm bảo người hiểu thực theo yêu cầu cần thiết việc thực yêu cầu 2.2.4 Kiểm tra đánh giá hoạt động hệ thống Hệ thống an toàn an ninh thông tin cần kiểm tra, đánh giá thường xuyên, định kỳ, qua có đánh giá xác khả an toàn an ninh thông tin hệ thống Kiểm tra hoạt động dịch vụ, khả truy cập người dùng vào dịch vụ mức độ an toàn hệ thống Nội dung kiểm thử cần dựa vào bảng đặc tả yêu cầu hệ thống xác định ban đầu Cần thường xuyên kiểm tra, giám sát hoạt động hệ thống bảo vệ an toàn an ninh thông tin nói riêng toàn hệ thống thông tin nói chung Hầu hết mong đợi hệ thống bảo mật chạy ổn định, điều khiển hệ thống nắm bắt luồng liệu hệ thống Quá trình phân tích, tổng hợp thông tin, kiện từ firewall, IDPS, VPN, router, server, ứng dụng cách để kiểm tra hiệu hệ thống bảo mật, cách để kiểm tra hầu hết vi phạm sách lỗi thông thường mắc phải với hệ thống Các hệ thống thông tin nên kiểm tra đặn việc tuân thủ tiêu chuẩn an ninh Việc kiểm tra tuân thủ kỹ thuật gồm kiểm tra hệ thống hoạt động để đảm bảo kiểm soát phần cứng phần mềm thực xác Loại kiểm tra việc tuân thủ yêu cầu chuyên gia trợ giúp kỹ thuật Nên thực thủ công (hỗ trợ công cụ phần mềm thích hợp cần) kỹ sư hệ thống có kinh nghiệm GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 64 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn gói phần mềm tự động mà đưa báo cáo kỹ thuật thể chuyên gia kỹ thuật Kiểm tra việc tuân thủ gồm, ví dụ kiểm tra thủ tục truy cập, tiến hành chuyên gia độc lập đặc biệt ký kết mục đích Điều hữu ích việc phát khả bị công hệ thống để kiểm tra kiểm soát ngăn ngừa truy cập trái phép khả bị công có hiệu Cảnh báo nên sử dụng trường hợp thành công kiểm tra thủ tục truy cập dẫn đến tổn hại an ninh hệ thống lợi dụng không cố ý khả dễ bị công khác Mọi kiểm tra việc tuân thủ kỹ thuật nên tiến hành giám sát người có thẩm quyền, thạo việc Báo cáo tổng kết tình hình theo định kỳ 2.2.5 Bảo trì nâng cấp hệ thống Thường xuyên kiểm tra bảo trì hệ thống bảo vệ an toàn an ninh thông tin nói riêng hệ thống mạng tổ chức nói chung Mạng sau cài đặt, vận hành cần bảo trì để khắc phục vấn đề phát sinh xảy tiến trình thiết kế, cài đặt vận hành hệ thống Công việc bảo trì hệ thống mạng máy tính bao gồm công việc: • Cập nhật chương trình chống virus cho toàn hệ thống theo định kỳ, thời gian cập nhật phụ thuộc vào nhà sản xuất phần mềm chống virus sử dụng hệ thống mạng máy tính công ty • Kiểm tra độ an toàn bảo mật liệu hệ thống • Kiểm tra chế backup liệu có hoạt động tốt cài đặt hay không • Cài đặt phần mềm yêu cầu thêm nhân viên sử dụng máy trạm nhằm đáp ứng nhu cầu sử dụng máy nhân viên GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 65 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn • Tối ưu hóa tốc độ máy tính: loại bỏ chương trình thường trú không sử dụng, dọn dẹp liệu rác file hệ thống theo định kỳ hàng tuần… • Vệ sinh tất thiết bị toàn hệ thống theo định kỳ năm lần Các hệ điều hành (Windows, Macintosh, Linux) có lỗ hổng bảo mật cấp độ khác nhau, ứng dụng PC tiềm ẩn chứa điểm yếu bảo mật Các nguy công luôn tìm cách khai thác điểm yếu bảo mật để nhằm công phá hoại kiểm soát máy tính Việc kiểm soát “vá” lỗ hổng bảo mật hành động quan trọng việc ngặn chặn loại trừ nguy hệ thống máy tính Có thể liên hệ trực tiếp với web site nhà sản xuất để tải xuống vá sử dụng dịch vụ quản lý vá tập trung quan, hệ thống hoạt động Cần phải thường xuyên kiểm soát việc xuất vá cài đặt việc tự động kết nối để tải xuống cài đặt vá Nên lưu ý điểm yếu ứng dụng (của trình duyệt, trình soạn thảo, ) gây nguy hiểm không điểm yếu hệ điều hành Cần nhanh chóng mở rộng, nâng cấp thay đổi cần thiết Lưu ý rằng, toàn trình thiết kế an toàn hệ thống lặp lại độ mạo hiểm hệ thống đánh giá chấp nhận Thông thường, trình thực vài lần lặp phân loại khả bị công, đánh giá độ mạo hiểm tích hợp bảo vệ độ mạo hiểm giảm xuống cách phù hợp Ngoài đòi hỏi phần bước trước phải lặp lại (chứ tất bước) Ví dụ, bước thứ thường lặp lại khảo sát kỹ lưỡng thực để rõ thành tố hệ thống Như quy trình thiết kế an toàn hệ thống đòi hỏi phải tiến hành nhận biết phân loại khả bị công kênh rò rỉ thông tin, kênh an toàn hệ thống Đó trình phân GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 66 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn tích an toàn hệ thống Như bước rõ, phân tích an toàn hệ thống phải dùng phép phân loại hiểm hoạ, khả bị công công; phải cố gắng tìm kênh an toàn tập trung vào nguyên nhân sinh chúng Và mục đích an toàn đề giải pháp, phương án loại trừ nguyên nhân này, triệt tiêu khả bị công bịt kín kênh rò rỉ an toàn GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 67 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn KẾT LUẬN Đề tài bảo đảm an toàn thông tin mối quan tâm hàng đầu nhà quản trị mạng nói riêng nhà tin học nói chung Để xây dựng hệ thống mạng mà tránh khỏi công không thể, xây dựng hệ thống mạng có tính an toàn cao theo yêu cầu cụ thể Để xây dựng hệ thống mạng vậy, người quản trị mạng phải nắm rõ kiến thức mạng an toàn mạng cần có quy trình xây dựng hệ thống mạng an toàn cụ thể để đảm bảo yêu cầu tổ chức, doanh nghiệp Dựa kiến thức chung an toàn mạng an toàn thông tin nói chung, đề tài đưa quy trình phần thiết kế tổng quát mà nhà quản trị mạng tham khảo để xây dựng hệ thông mạng an toàn Đề tài “Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn” đưa giải nội dung chủ yếu liên quan đến việc xây dựng quy trình hệ thống mạng an toàn, kết rút trình làm đồ án sau: - Đã phân tích tổng quan an toàn thông tin nguy an toàn mạng thông tin máy tính, nêu bật khả an toàn, phương pháp phòng vệ cho mạng máy tính - Đã nghiên cứu đề xuất quy trình tổng quát để xây dựng hệ thống mạng an toàn Do điều kiện khách quan, luận văn không tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp, bổ sung hoàn thiện thêm GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 68 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn TÀI LIỆU THAM KHẢO [1] International Standard ISO/IEC 17799 [2] Giáo trình thực hành an toàn mạng - Học viện Kỹ thuật mật mã [3] Giáo trình an toàn mạng máy tính - Học viện Kỹ thuật mật mã [4] Giáo trình an toàn hệ điều hành - Học viện Kỹ thuật mật mã [5] Quản lý an toàn thông tin theo chuẩn ISO 17799 – Phùng Mạnh Hải, Vishield JSC GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng 69 ... tác, trì hoàn thiện hệ thống quản lý an toàn thông tin Và từ đề xuất quy trình xây dựng hệ thống mạng an toàn thông tin Phần 3: Demo: quy trình xây dựng hệ thống mạng an toàn cho công ty vừa... đỡ suốt trình nghiên cứu, hoàn thành đồ án GVHD: Nguyễn Đức Tâm SV: Bùi Sỹ Hùng Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn PHẦN I: CƠ SỞ AN TOÀN THÔNG TIN VÀ AN TOÀN MẠNG 1.1... Bùi Sỹ Hùng 21 Nghiên cứu đề xuất quy trình xây dựng hệ thống mạng an toàn Hình 1.1: Sơ đồ tổng quan hệ thống mạng Qua sơ đồ tổng quan hệ thống tin học ta thấy vị trí có nguy an toàn liệu Các