HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - PHẠM HẢI HƯNG NGHIÊN CỨU GIẢI PHÁP NÂNG CAO ĐỘ AN TOÀN BẢO MẬT CHO HỆ THỐNG THÔNG TIN ỨNG DỤNG TẠI TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG HÀ TÂY Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số: 60.48.01.01 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: …TS.NGUYỄN KHẮC LỊCH……………… Phản biện 1: T.S Hồ Văn Hương Phản biện 2: PGS TS Trịnh Nhật Tiến Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: 11 15 phút, ngày 15 tháng 02 năm 2014 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Ngày cơng nghệ thơng tin có vai trị quan trọng tồn phát triển cá nhân, tổ chức, công ty hay rộng toàn thể nhân loại Song bên cạnh tác dụng tích cực mà cơng nghệ đem lại xuất khía cạnh tiêu cực lớn dựa tảng ứng dụng cơng nghệ thơng tin việc khai thác, sử dụng, lấy cắp thông tin nhạy cảm, tài liệu mật…Do cá nhân, tổ chức đưa công nghệ thông tin vào ứng dụng phải đối mặt với vấn đề tiêu cực xảy Chính nhu cầu thực tiễn ngành Công nghệ thơng tin nói chung quan nơi em cơng tác nói riêng nên em định chọn đề tài “Nghiên cứu giải pháp nâng cao độ an tồn bảo mật cho hệ thống thơng tin ứng dụng trường Cao đẳng Cộng đồng Hà Tây” làm luận văn tốt nghiệp với mong muốn tìm hiểu, nghiên cứu áp dụng giải pháp để đảm bảo nâng cao an toàn bảo mật cho hệ thống thông tin trường Cao đẳng Cộng đồng Hà Tây Toàn luận văn chia làm 03 chương: Chương 1: Tổng quan an tồn bảo mật thơng tin Trong chương đưa số khái niệm liên quan tới an toàn bảo mật cho hệ thống thông tin Chương 2: Biện pháp nâng cao đảm bảo an tồn bảo mật cho hệ thống thơng tin Trình bày nguy gây an toàn hệ thống thông tin, đưa số giải pháp đảm bảo an toàn nghiên cứu sâu vào giải pháp sử dụng firewall Chương 3: Ứng dụng đảm bảo an ninh hệ thống mạng trường Cao đẳng Cộng đồng Hà Tây Nội dung chương giới thiệu trạng mạng thực tế trường Cao đẳng Cộng đồng Hà Tây, đưa đánh giá hệ thống đưa giải pháp để nâng cao độ bảo mật an ninh mạng ứng dụng cho trường Trong q trình làm luận văn khơng thể tránh khỏi số thiếu sót mong nhận đóng góp ý kiến thầy bạn học viên Chương - TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN 1.1 Khái niệm an toàn bảo mật An toàn bảo mật đảm bảo an toàn cho sở hạ tầng thông tin hoạt động truyền thông, đảm bảo toàn vẹn hệ thống thiết bị, mạng lưới, dịch vụ truyền thơng, đảm bảo tồn vẹn, bí mật, khả dụng, qn thơng tin liệu hệ thống thiết bị mạng lưới 1.2 Tấn cơng/ đột nhập Tấn cơng, đột nhập lên hệ thống vi phạm sách an tồn bảo mật hệ thống 1.3 Đặc trưng hệ thống thông tin bảo mật Một hệ thống thông tin bảo mật hệ thống mà thơng tin xử lý phải đảm bảo đặc trưng bí mật, tồn vẹn tính khả dụng 1.3.1 Tính bí mật Tính bí mật thơng tin tính giới hạn đối tượng quyền truy xuất đến thơng tin 1.3.2 Tính toàn vẹn Đặc trưng đảm bảo tồn nguyên vẹn thông tin, loại trừ thay đổi thơng tin có chủ đích hư hỏng, mát thông tin cố thiết bị phần mềm 1.3.3 Tính khả dụng Tính khả dụng thơng tin tính sẵn sàng thơng tin cho nhu cầu truy xuất hợp lệ Tức người quản lý phải đảm bảo cho thông tin luôn sẵn sàng sử dụng có yêu cầu hợp lệ 1.3.4 Tính xác thực Đặc trưng nhằm chứng thực đáng tin cậy thơng tin Tính xác thực gồm có xác thực thực thể xác thực liệu 1.4 Nguyên tắc xây dựng hệ thống bảo mật 1.4.1 Chính sách chế Chính sách bảo mật (Security policy) hệ thống quy định nhằm bảo đảm an toàn hệ thống Cơ chế bảo mật (Security mechanism) hệ thống phương pháp, công cụ, thủ tục…dùng để thực thi quy định sách bảo mật 1.4.2 Các mục tiêu bảo mật hệ thống Các mục tiêu đặt cho hệ thống bảo mật là: - Ngăn chặn : mục tiêu thiết kế ngăn chặn vi phạm sách - Phát : mục tiêu thiết kế tập trung vào kiện vi phạm sách xảy hệ thống - Phục hồi : mục tiêu thiết kế bao gồm chế nhằm chặn đứng vi phạm diễn khắc phục hậu vi phạm cách nhanh chóng với mức độ thiệt hại thấp 1.5 Thực trạng an tồn bảo mật thơng tin tổ chức, quan Hiện số tổ chức quan có quy mơ lớn, có phận chun biệt, có sách chế rõ ràng để đảm bảo an toàn bảo mật cho thông tin Nhưng tổ chức, quan vừa nhỏ việc coi trọng đầu tư cho việc đảm bảo an toàn bảo mật cho hệ thống thơng tin cịn chưa quan tâm tới Việc bảo đảm an toàn thực cách thủ công, rời rạc tùy theo ý thức cá nhân Đa số người sử dụng quan tâm tới việc sử dụng dịch vụ, ứng dụng mạng nhanh, thuận tiện, dễ sử dụng chưa quan tâm tới tính an tồn thơng tin Như khẳng định tình hình an tồn bảo mật thông tin quan, tổ chức nước gặp nhiều thách thức, nhiều mối nguy hiểm tiềm tàng Để đảm bảo an toàn bảo mật thông tin cho tổ chức, quan cải thiện đòi hỏi cần phải thay đổi nhận thức tầm quan trọng an ninh bảo mật thông tin đặc biệt nhận thức ban lãnh đạo, từ xây dựng kế hoạc nâng cao trình độ nguồn nhân lực trang thiết bị cần thiết phục vụ cơng tác an tồn bảo mật thơng tin tổ chức, quan Chương - BIỆN PHÁP NÂNG CAO ĐẢM BẢO AN TOÀN BẢO MẬT CHO HỆ THỐNG THÔNG TIN 2.1 Các nguy gây an tồn bảo mật hệ thống Có thể chia nguy thành nhóm sau: - Truy xuất thông tin trái phép - Phát thông tin sai - Ngăn chặn hoạt động hệ thống - Chiếm quyền điều khiển phần toàn hệ thống 2.2 Các giải pháp đảm bảo an toàn bảo mật hệ thống 2.2.1 Giải pháp kiểm soát truy nhập Kiểm sốt truy nhập q trình người dùng nhận dạng trao quyền truy nhập đến thông tin, hệ thống tài nguyên 2.2.1.1 Kiểm soát truy nhập tùy chọn Kiểm soát truy nhập tùy chọn (Discretionary Access Control - DAC) định nghĩa chế hạn chế truy nhập đến đối tượng dựa thông tin nhận dạng chủ thể nhóm chủ thể 2.2.1.2 Kiểm sốt truy nhập bắt buộc Kiểm soát truy nhập bắt buộc (Mandatory Access Control – MAC) sách truy nhập không nhân sở hữu tài nguyên định mà hệ thống định MAC dùng hệ thống có loại liệu nhạy cảm thơng tin bảo mật quan phủ, quân đội 2.2.1.3 Kiểm soát truy nhập dựa vai trị Kiểm sốt truy nhập dựa vai trị (Role based access control - RBAC) phương pháp điều khiển đảm bảo quyền sử dụng cho người sử dụng thay kiểm sốt truy nhập tùy ý (DAC) kiểm soát truy nhập bắt buộc (MAC) 2.2.1.4 Kiểm soát truy nhập dựa luật Kiểm soát truy nhập dựa luật (Rule based access control) hình thức kiểm sốt truy nhập người dùng vào hệ thống, tài nguyên dựa luật (rules) định nghĩa trước Các luật thiết lập để hệ thống cho phép truy nhập đến tài nguyên cho người dùng thuộc tên miền, dải địa IP… 2.2.2 Giải pháp phát phòng chống đột nhập Giải pháp để phát phòng chống đột nhập thường sử dụng thực tế sử dụng hệ thống IDS (Intrusion Detection System) IPS (Intrusion Prevention System): 2.2.2.1 Hệ thống Intrusion Detection System - IDS Phát đột nhập (Intrusion Detection System – IDS) hệ thống phát dấu hiệu công đột nhập Nhiệm vụ IDS theo dõi hoạt động mạng để tìm dấu hiệu khả nghi cảnh báo cho hệ thống, người quản trị biết Chức hệ thống IDS: chức quan trọng hệ thống IDS giám sát, cảnh báo bảo vệ Kiến trúc hệ thống IDS: hệ thống IDS bao gồm thành phần thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (detection), thành phần phản hồi (respontion) Phân loại hệ thống IDS: Mỗi hệ thống IDS có phạm vi giám sát, kỹ thuật thực khác Do việc phân loại hệ thống IDS/IPS dựa sở phạm vi giám sát kỹ thuật thực 2.2.2.2 Hệ thống Intrusion Prevention System - IPS Phòng chống đột nhập (Intrusion Prevention System – IPS) hệ thống có chức phát đột nhập, công vào hệ thống tự động ngăn chặn cơng Hệ thống IPS thường đặt vành đai mạng để bảo vệ tất thiết bị mạng Kiến trúc hệ thống IPS: hệ thống IPS gồm modul phân tích gói tin, phát cơng phản ứng 2.2.3 Giải pháp mã hóa thơng tin Mã hóa thơng tin kỹ thuật biến đổi thơng tin gốc thành dạng thơng tin bí mật mà có thực thể tham gia xử lý thơng tin cách hợp lệ hiểu 2.2.3.1 Kỹ thuật mã hóa dùng khóa đối xứng Kỹ thuật mã hóa dùng khóa đối xứng hay cịn gọi mã hóa khóa bí mật kỹ thuật sử dụng chung khóa cho hai khâu mã hóa giải mã Do khóa cần giữ bí mật suốt thời gian sử dụng bên gửi bên nhận 2.2.3.2 Kỹ thuật mã hóa dùng khóa bất đối xứng Kỹ thuật mã hóa dùng khóa bất đối xứng hay cịn gọi mã hóa khóa cơng khai kỹ thuật sử dụng cặp khóa, khóa cơng khai dùng để mã hóa khóa bí mật (khóa riêng) dùng để giải mã Với kỹ thuật có khóa bí mật cần giữ bí mật, khóa cơng khai khơng cần giữ bí mật 2.2.4 Giải pháp phịng chống phần mềm độc hại Phần mềm độc hại thuật ngữ bao hàm tất loại phần mềm thiết kế để công làm hại tới hệ thống, máy tính, mạng tài nguyên 2.2.4.1 So sánh với mẫu biết trước Kỹ thuật phân tích file có nghi ngờ bị nhiễm độc, sau so sánh kết với mẫu phần mềm độc hại biết trước, phát đoạn mã độc hại file bị lây nhiễm phần mềm độc hại sau phần mềm bảo vệ cố gắng loại bỏ đoạn mã độc hại khỏi file 2.2.4.2 Nhận dạng hành vi đáng ngờ Nhận dạng hành vi đáng ngờ chức thông minh phần mềm bảo vệ có Với kỹ thuật phần mềm bảo vệ theo dõi hoạt động bất thường hệ thống để phát các phần mềm độc hại chưa biết đến (chưa có sở liệu phần mềm) từ đưa cảnh báo tới người dùng đồng thời tiến hành cô lập phần mềm đáng ngờ để bảo đảm an toàn hệ thống 2.2.4.3 Nhận dạng nhờ kiểm soát liên tục Với kỹ thuật phần mềm bảo vệ thường thực kiểm soát liên tục theo thời gian thực để bảo vệ hệ thống 2.2.4.4 Kết hợp phương thức Kỹ thuật kết hợp nhiều phương thức kiểm soát truy nhập để ngăn chặn phần mềm độc hại xâm nhập hạn chế việc truy xuất sửa đổi sở liệu, kỹ thuật so sánh với mẫu biết trước, kỹ thuật nhận dạng hành vi đáng ngờ… 2.3 Giải pháp firewall ứng dụng nâng cao an toàn bảo mật hệ thống 2.3.1 Giới thiệu firewall 2.3.1.1 Khái niệm 2.3.1.2 Các chức firewall - Quản lý kiểm soát luồng liệu mạng - Xác thực quyền truy cập - Hoạt động thiết bị trung gian - Bảo vệ tài nguyên - Ghi nhận báo cáo kiện 2.3.1.3 Các thành phần firewall Một firewall bao gồm nhiều thành phần sau đây: - Bộ lọc gói tin (Packet Filtering): Bộ lọc gói tin cho phép hay từ chối gói tin mà nhận - Cổng ứng dụng (Application Gateway): cổng ứng dụng thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi proxy service - Cổng vòng (Circuit level gateway): cổng vòng thực chuyển tiếp kết nối TCP mà không thực hành động xử lý hay lọc gói nào, thường sử dụng cho kết nối ngoài, điều giúp che giấu thông tin mạng nội 2.3.1.4 Phân loại firewall Firewall phân loại sau: - Software firewall (firewall mềm): firewall cài đặt hệ điều hành thường đảm nhiệm nhiều vai trò DNS server hay DHCP server - Applicance firewall (firewall cứng): firewall tích hợp sẵn phần cứng chuyên dụng, thiết kế dành riêng cho firewall Ngoài cách phân loại firewall cịn phân loại dựa vào cơng nghệ sử dụng firewall sau: - Personal firewalls: thiết kế để bảo vệ host nhất, thường tích hợp sẵn hệ điều hành - Packet filters: thiết bị thiết kế để lọc gói tin dựa đặc diểm đơn giản gói tin - Network Address Translations (NAT) firewalls - Circuit-level firewall - Proxy firewall - Stateful firewall - Transparent firewall: hoạt động lớp mơ hình OSI hỗ trợ khả lọc gói tin IP 2.3.1.5 Mơ hình kiến trúc firewall Kiến trúc Dual homed host Mơ hình kiến trúc firewall kiểu Dual homed host xây dựng dựa máy tính dual homed host Máy tính dual home host máy tính có it hai card mạng giao tiếp với hai mạng khác nhau, lúc máy tính đóng vai trò router mềm Kiến trúc Screened host Screened host cấu trúc cung cấp dịch vụ từ host bên mạng nội (bastion host) router tách rời với mạng bên Kiến trúc kết hợp hai kỹ thuật packet filtering proxy service Kiến trúc Screened subnet host Kiến trúc screened subnet host bắt nguồn từ kiến trúc screened host cách thêm vào phần an toàn: mạng ngoại vi nhằm cô lập cho mạng nội khỏi mạng bên ngoài, tách bastion host khỏi host khác 10 The Session Initiation protocol Filter: Bộ lọc Session Initiation Protocol tích hợp Forefront TMG, hỗ trợ âm thanh, video thông qua tường lửa Forefront TMG ISP Sharing/Failover: Forefront TMG hỗ trợ kết nối nhiều IPS 2.3.3.3 Các mơ hình triển khai ứng dụng Forefront TMG 2010 Mơ hình Edge firewall Đây mơ hình mà firewall Forefront TMG nối trực tiếp với mạng bên mạng bên ngồi Mơ hình 3-leg Perimeter Với mơ hình firewall Forefront TMG cần tới card mạng: + Card mạng thứ nối với mạng bên + Card thứ hai nối với vùng mạng DMZ + Card thứ ba nối với mạng nội Mô hình back firewall Với mơ hình cần tới hai firewall Forefront TMG, firewall có hai card mạng bố trí sau: - Firewall thứ gọi front-end firewall có card mạng nối với mạng bên card nối với mạng bên - Firewall thứ hai gọi back-end firewall có card mạng nối với DMZ card lại nối với mạng nội Mơ hình Single Network Adapter Mơ hình triển khai firewall có card mạng lúc firewall sử dụng làm Web proxy server 11 Chương - ỨNG DỤNG ĐẢM BẢO AN NINH HỆ THỐNG MẠNG TẠI TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG HÀ TÂY 3.1 Giới thiệu trường Cao đẳng Cộng đồng Hà Tây 3.2 Yêu cầu hệ thống Đưa giải pháp đảm bảo yêu cầu: - Tính ổn định sẵn sàng cao hệ thống - Quản lý lưu lượng vào khỏi hệ thống mạng - Tăng cường bảo mật cho toàn hệ thống mạng - Có thể phát ngăn chặn nguy xâm nhập trái phép - Ngăn chặn, hạn chế chương trình độc hại tải từ Internet - Đảm bảo cho hệ thống server an toàn hoạt động ổn định - Chi phí phù hợp có tính tương thích với hệ thống tại, đáp ứng khả mở rộng tương lai 3.3 Thực trạng mơ hình mạng trường Cao đẳng Cộng đồng Hà Tây 3.3.1 Hiện trạng mạng trường Hệ thống mạng nội trường có 07 khu nhà chính, nối với hệ thống cáp quang Hình 3.1 Sơ đồ hạ tầng mạng nội 12 Đặc điểm hệ thống mạng trường Cao đẳng Cộng đồng Hà Tây: - Các máy server: sử dụng hệ điều hành Windows Server 2003 & 2008 đa phần phục vụ cho người dùng nội - Cơ sở liệu: sử dụng Microsoft SQL Server - Các máy tính cá nhân: chủ yếu sử dụng hệ điều hành Windows XP & Windows - Tồn máy tính mạng sử dụng dải địa Ip 172.16.0.0/16 - Các ứng dụng an tồn thơng tin: chưa có ứng dụng hay thiết bị chuyên dụng, ngoại trừ sử dụng chia tách VLAN khu nhà, hệ thống Wifi khỏi mạng nội sử dụng phầm mềm chống virus BKAV máy tính 3.3.2 Đánh giá hệ thống Dựa đặc trưng hệ thống thông tin bảo mật em đưa đánh giá hệ thống trường sau: Xét tính bí mật, tính tồn vẹn tính xác thực: - Người dùng sử dụng cơng cụ để dị tìm user, mật đăng nhập hệ thống, dò quét lỗ hổng hệ điều hành, ứng dụng - Do chưa có chế độ bảo vệ kiểm sốt lưu lượng vào hệ thống nên người dùng để lộ user mật vơ tình tải cài đặt đoạn mã độc, chương trình gián điệp keylogger từ Internet - Người dùng ln có xu hướng làm việc sử dụng liệu hệ thống server không trường nên việc sử dụng công cụ truy xuất từ xa để làm việc mà không mã hóa dễ dẫn tới tình trạng liệu bị bị nghe đường truyền Xét tính khả dụng: - Người dùng khai thác cạn kiệt băng thơng mạng tải file có kích cỡ lớn, khiến nhu cầu truy xuất vào toàn hệ thống bị ảnh hưởng 13 - Một số người sử dụng sử dụng chương trình cơng làm cạn kiệt tài ngun máy server, tồn thơng tin lưu server tồn người dùng hợp lệ khơng thể truy xuất server khơng cịn tài nguyên để phục vụ - Phần mềm diệt virus máy tính cài sử dụng rải rác, khơng có quản lý tập trung dễ dẫn tới tình trạng phần mềm bị vơ hiệu hóa, cấu hình sai khơng cập nhật Như qua phân tích em khẳng định độ an toàn bảo mật hệ thống mạng trường Cao đẳng Cộng đồng Hà Tây yếu 3.4 Giải pháp đề xuất Các tài nguyên cần bảo vệ sau: - Phần cứng: máy chủ, máy trạm thiết bị mạng - Phần mềm: hệ điều hành máy tính client đặc biệt máy server, chương trình ứng dụng chương trình kế tốn, thi trắc nghiệm, quản lý đào tạo… - Dữ liệu: phần quan trọng cần bảo vệ trường Cao đẳng Cộng đồng Hà Tây Em đề xuất giải pháp nhằm tăng cường tính an tồn, bảo mật cho hệ thống mạng trường Cao đẳng Cộng đồng Hà Tây sau: 3.4.1 Bảo vệ mức thiết bị Để bảo vệ thiết bị em sử dụng ACL (Access Control List) dùng để lọc gói liệu cách cấu hình quy tắc sách phù hợp q trình gói tin để kiểm sốt quyền truy cập người sử dụng trái phép vào mạng 3.4.2 Bảo vệ lớp truy cập Chia lại dải địa Ip mạng thành vùng riêng biệt sau: + Vùng mạng nội bộ: chứa toàn máy người dùng trường (vùng internal) + Vùng máy server: chứa toàn máy chủ (vùng DMZ ) + Vùng mạng Internet: vùng kết nối trực tiếp Internet (vùng external) 14 Hình 3.2 Mơ hình DMZ Bảo vệ lớp truy cập bao gồm: - Bảo vệ cho đường truy nhập người dùng người dùng có nhu cầu truy cập sử dụng tài nguyên hệ thống từ xa, giúp mã hóa thông tin đường truyền đảm bảo tính tồn vẹn, xác thực thơng tin Giải pháp em hướng tới tạo kênh VPN cho kết nối người dùng từ bên vào hệ thống kết hợp với phương pháp mã hóa SSL, L2TP/Ipsec… - Kiểm soát truy nhập vào hệ thống: có vị trí cần phải kiểm sốt kiểm soát cổng vào mạng kiểm soát truy nhập vào hệ thống server Để kiểm sốt truy nhập giải pháp em hướng tới sử dụng hệ thống firewall kèm theo dị tìm cơng (IDS) để đảm bảo ngăn chặn truy nhập trái phép hay dạng cơng, phá hoại Hình 3.4 Bảo vệ với firewall 15 Với việc kiểm sốt vị trí khác hình 3.4 tất lưu lượng từ mạng nội từ vào kiểm sốt firewall 1, cịn firewall kiểm soát lưu lượng vào hệ thống server Như việc bảo vệ lớp truy cập cần sử dụng VPN firewall kết hợp hệ thống IDS Hiện thị trường có nhiều sản phẩm hãng tiếng Cisco, CheckPoint…có thể cung cấp đáp ứng yêu cầu Trong khuôn khổ luận văn em xin hướng tới việc sử dụng sản phẩm firewall Forefront TMG Microsoft ngồi chức firewall, Forefront TMG cung cấp chức khác VPN IDS Ngoài toàn hệ thống mạng trường sử dụng hệ điều hành Microsoft nên ứng dụng firewall Microsoft dễ dàng có tính tương thích đạt hiệu cao 3.4.3 Bảo vệ hệ điều hành Bảo vệ cho hệ điều hành bao gồm hệ điều hành máy server máy client Bảo vệ bao gồm việc hoạch định xây dựng sách cài đặt, cập nhật bịt lỗ hổng cho hệ điều hành ứng dụng, lưu liệu Ngoài việc hoạch định sử dụng sách trên, giải pháp quan trọng phải sử dụng sử dụng phần mềm phòng chống virus Việc phòng chống virus bao gồm giải pháp triển khai hệ thống server máy client Đối với server: Triển khai ServerProtec tiến hành theo mơ hình 3.5: Hình 3.5 Mơ hình chống virus server 16 Với mơ hình máy cài Normal Server tự động update mẫu virus engine từ Information Server Hệ thống đưa cảnh báo phát thấy bị nhiễm virus, cấu hình bị thay đổi, dịch vụ bị gỡ bỏ, mẫu virus khơng cập nhật kịp thời, hệ thống phòng chống bị sửa đổi Các cảnh báo gửi cho người quản trị theo email, nhắn tin windows event box Các máy client: Mơ hình chống virus máy client sau: Hình 3.6 Mơ hình chống virus cho máy client Với mơ hình máy client tiến hành tự động cập nhật mẫu virus engine từ máy OfficeScan Server 3.4.4 Thử nghiệm đánh giá mơ hình 3.4.4.1 Thử nghiệm Để đảm bảo hệ thống server ln vận hành ổn định, có khả chống lại công từ mạng nội em tiến hành thử nghiệm hệ thống theo bước: - Bước 1: thử nghiệm tốc độ đáp ứng server trước cài đặt mơ hình có công - Bước 2: thử nghiệm tốc độ đáp ứng server cài đặt mơ hình xuất công Để thử nghiệm công đánh giá tốc độ đáp ứng em sử dụng sử dụng hệ điều hành Back Track cơng theo hình thức DoS Máy bị cơng sử dụng hệ điều hành Windows Server 2008 có địa IP 10.35.10.3 Máy sử dụng công máy client sử dụng BackTrack R3 với địa IP 10.35.10.14 17 Tiến hành sau: Bước 1: - Kiểm tra thời gian đáp ứng server chưa bị công lệnh ping máy client: Hình 3.7 Tốc độ đáp ứng trước chưa bị công Ta thấy thời gian đáp ứng trung bình 100 gói tin 1.343ms Trên máy server thực kiểm tra tài nguyên máy cửa sổ Task Manager Windows: Hình 3.8 Tài nguyên server chưa bị công Khi chưa công CPU sử dụng khoảng 24%, card mạng sử dụng 0.86%, nhớ 15% Thực công: 18 Trên máy client sử dụng công cụ hping3 để công DoS server: Hình 3.9 Thực DoS từ máy client Khi server kiểm tra tài nguyên Task Manager sau: Tài nguyên card mạng Hình 3.10 Tài nguyên server bắt đầu bị công Ta thấy tài nguyên CPU card mạng server thay đổi nhanh bắt đầu có công: card mạng từ 0.86%  37.42%, CPU từ 24%  51% Lúc thực ping để kiểm tra tốc độ đáp ứng server từ máy client để kiểm tra tốc độ đáp ứng server: 19 Hình 3.12 Tốc độ đáp ứng server bắt đầu công Tốc độ đáp ứng server giảm nhiều với 100 gói tin truyền 49 gói chiếm 49%, thời gian đáp ứng trung bình 63.334ms Nhận thấy bị công tài nguyên server tăng nhiều, khả đáp ứng yêu cầu từ máy client nhiên chậm, số lượng gói tin cao Sau khoảng phút tài nguyên cpu server tăng vọt, máy có tượng treo Hình 3.13 Tài ngun server bị cơng phút Kết thúc bước em nhận xét server bị cơng khả đáp ứng yêu cầu chậm, tỉ lệ gói tin bị cao Bước 2: Thử nghiệm hệ thống có firewall Lúc địa IP máy server đổi sang vùng DMZ 10.30.10.2 Thực ping để kiểm tra tốc độ đáp ứng hệ thống có firewall: 20 Hình 3.14 Tốc độ đáp ứng có firewall So sánh với tốc độ hệ thống trước có firewall ta thấy thay đổi từ tốc độ đáp ứng trung bình từ 1.343ms  1.607ms Thực công từ máy client: Trên firewall Forefront TMG nhận thấy có cảnh báo từ chối kết nối thực xóa gói tin: Hình 3.16 Từ chối kết nối Forefront TMG 21 Trên máy client thực ping để kiểm tra tốc độ đáp ứng server có cơng: Hình 3.17 Tốc độ đáp ứng server có cơng Khi có hệ thống firewall bảo vệ, tốc độ đáp ứng server nhanh 1.341ms, trung bình 16.714ms, cao 417.098ms Như sau trình thử nghiệm với 100 gói tin biểu diễn dạng đồ thị sau: 70 60 Tốc độ đáp ứng trung bình (millisecond) 50 40 Số gói tin bị 30 20 10 Chưa có firewall Có firewall Hình 3.18 Đồ thị so sánh tốc độ đáp ứng server Nhận xét: So với chưa có firewall, thời gian đáp ứng server cao, số gói tin bị lớn (chiếm 50%) Sau chia tách hệ thống server khỏi mạng nội cài đặt firewall bảo vệ, bị công thời gian đáp ứng server giàm nhiều so với chưa có firewall (từ 63.334ms  16.714ms) tỉ lệ gói tin chiếm 10% Như theo đánh giá 22 em việc ứng dụng firewall vào bảo vệ hệ thống server giúp hệ thống server hồn tồn tránh khỏi bị cơng, giảm tỉ lệ gói tin thời gian đáp ứng xuống nhiều, giúp cho server kéo dài thời gian phục vụ người dùng đưa cảnh báo cho người quản trị biết hệ thống bị công 3.4.4.2 Đánh giá giải pháp Với giải pháp thiết kế để nâng cao độ bảo mật an tồn trên, mơ hình mạng trường Cao đẳng Cộng đồng Hà Tây đạt yếu tố an ninh sau: - Hệ thống mạng nội trường tổ chức phân thành tầng lớp với chiến lược sách khác lớp, giúp làm tăng mức độ an ninh cho hệ thống mạng - Kết nối từ người dùng xa thực hiên qua Site-to-Site VPN mã hóa an tồn đường truyền - Kiểm sốt tồn lưu lượng mạng vào hệ thống thông qua firewall đặt đầu mạng vào - Phát ngăn chặn thâm nhập bất hợp pháp vào hệ thống thông qua hệ thống phát ngăn chặn xâm nhập Forefront TMG - Bảo vệ hệ thống server client khỏi lan truyền phá hoại virus thơng qua mơ hình diệt virus cho server client 23 KẾT LUẬN VÀ KIẾN NGHỊ Đảm bảo an tồn, bảo mật cho hệ thống thơng tin tổ chức, quan, doanh nghiệp, cá nhân ngày vấn đề quan trọng Để đưa giải pháp đáp ứng cho tình điều khó khăn Việc nghiên cứu đưa giải pháp trường hợp phải dựa sở yêu cầu thực tế hệ thống xây dựng nên phương pháp tối ưu Với hướng nghiên cứu luận văn “ Nghiên cứu giải pháp nâng cao độ an tồn bào mật cho hệ thống thơng tin ứng dụng trường Cao đẳng Cộng đồng Hà Tây” luận văn đạt nội dung sau: - Đã tìm hiểu, nghiên cứu đặc trưng hệ thống thông tin bảo mật, nguyên tắc xây dựng hệ thống bảo mật - Nghiên cứu số nguy gây an toàn cho hệ thống giải pháp để đảm bảo an toàn cho hệ thống - Đi sâu nghiên cứu giải pháp firewall, đặc biệt firewall Frorefront TMG 2010 Microsoft - Đưa giải pháp ứng dụng cài đặt phần mơ hình trường Cao đẳng Cộng đồng Hà Tây Bên cạnh kết đạt được, luân văn số hạn chế việc nghiên cứu số phương pháp dừng lại mức phân tích, đánh giá, đưa nhận xét đa phần dựa góc nhìn chủ quan tác giả đưa định lựa chọn giải pháp cho hệ thống có điểm chưa thích hợp, thời gian vận hành thử nghiệm mơ hình ngắn nên chưa thể đánh giá cách khách quan xác Hướng phát triển luận văn: Ngày ngồi hình thức thăm dị, cơng xâm nhập mạng biết cịn nhiều lỗ hổng, hình thức công âm thầm khác mà chưa công khai phát ra, việc ứng dụng mô hình tường lửa để đảm bảo an tồn, bảo mật cho hệ thống không đủ, cần phải nghiên cứu áp dụng nhiều phương pháp cải tiến để 24 bảo vệ hệ thống trước nguy cơng ln xảy lúc Luận văn tương lại hướng tới: - Nghiên cứu giải pháp dựa mơ hình Role Based Access Control giúp kiểm sốt truy nhập tường lửa tốt - Nghiên cứu sâu giải pháp mã hóa liệu, mã hóa đường truyền giúp nâng cao bảo mật kết nối VPN - Hướng tới xây dựng giải pháp phịng chống cơng DDoS, để đảm bảo hệ thống máy chủ vận hành tốt, đáp ứng yêu cầu mở rộng tương lai ... hiểu, nghiên cứu áp dụng giải pháp để đảm bảo nâng cao an toàn bảo mật cho hệ thống thông tin trường Cao đẳng Cộng đồng Hà Tây Toàn luận văn chia làm 03 chương: Chương 1: Tổng quan an tồn bảo mật. .. nghiên cứu đặc trưng hệ thống thông tin bảo mật, nguyên tắc xây dựng hệ thống bảo mật - Nghiên cứu số nguy gây an toàn cho hệ thống giải pháp để đảm bảo an toàn cho hệ thống - Đi sâu nghiên cứu. .. nghệ thơng tin nói chung quan nơi em cơng tác nói riêng nên em định chọn đề tài ? ?Nghiên cứu giải pháp nâng cao độ an toàn bảo mật cho hệ thống thông tin ứng dụng trường Cao đẳng Cộng đồng Hà Tây? ??