Tại trụ sở của chi nhánh, mạng được chia thành nhiều VLAN khác nhau theo chức năng. Việc chia VLAN sẽ làm tăng hiệu năng của hệ thống, giảm các sự cố
về Virus, giảm vùng broadcast, phân tách hệ thống rỏ ràng để thuận tiện cho việc quản lý giám sát cụ thể.
Do đặc điểm hoạt động của một chi nhánh ngân hàng như của Vietinbank chỉ có các kết nối từ chi nhánh đi lên các trung tâm vùng, và từ trung tâm vùng về DC và DR. Không có các kết nối trực tiếp ra ngoài internet. Do đó việc tấn công từ
ngoài mạng internet là hầu như không có. Các kết nối đi Internet rất hạn chế. Chỉ
là truy cập web qua Proxy Server đặt trên trung ương.
Những kẻ tấn công bên ngoài khi muốn truy nhập vào hệ thống bên trong phải đi qua vùng này sau khi vượt qua bức tường lửa thứ nhất(Proxy) và cho dù có khống chế được Proxy Server nhưng cũng không thể xâm nhập vào mạng bên trong.
Hệ thống giám sát bên trong đặt tại vùng DMZ có khả năng giám sát được lưu lượng giữa vùng DMZ với bên ngoài và giữa vùng DMZ với mạng bên trong.
97
Do đó nếu được giám sát một cách cẩn thận bất cứ một cuộc tấn công hay thâm nhập vào hệ thống bên trong chúng ta đều có thể phát hiện được.
Từ mô hình ta thấy rằng, những nguy cơ tấn công hệ thống có thể xuất phát từ
những vị trí sau:
– Người dùng trong mạng nội bộ
– Người dùng từ các mạng khác trong hệ thống. – Tấn công mạng từ Internet là hầu như không có.
Đối với nguồn tấn công xuất phát từ bên trong, việc kiểm soát các cuộc tấn công này sẽ rất khó khăn, vì vậy, việc giáo dục ý thức và đưa ra các hình thức kỹ luật nghiêm khắc có thể là phương án đối phó hữu hiệu nhất.
Để hạn chế những cuộc tấn công bên trong thông qua việc phát tán virus, worm hay trojan từ các mạng khác trong công ty, biện phát tối ưu nhất là sử dụng các phần mềm diệt virus. Các phần mềm diệt virus có thể dùng như Synmatec, Trendmicro, Norton Antivirus ...hay BKAV.
Tuy nhiên, vì quy mô và những đặc điểm của mạng chi nhánh như của các ngân hàng, chúng ta nên sử dụng các phần mền nước ngoài như Trenmicro hay Synmatec... vì các phần mềm này được viết dựa trên cơ chế Client/Server, có khả năng bảo vệ máy trạm khỏi nguy cơ bị Virus , Worm một cách hiệu quả và
đặc biệt do được viết dựa trên mô hình Client /Server này nên các máy trạm client có thể cập nhật các mẫu Virus, Worm mới một cách nhanh chóng do đó bảo vệ máy trạm là rất hiệu quả.
Để hạn chế việc tấn công từ chối dịch vụ do xuất phát từ các mạng khác, các chi nhánh con, biện pháp tối ưu là cấu hình router và Firewall ASA đúng. Với chính sách là những cho đi qua những lưu lượng cần thiết, rõ ràng và từ chối tất cả
những cái còn lại. Do đó hạn chế được việc sử dụng các địa chỉ giả hay không tồn tại nhằm thực hiện các cuộc tấn công DoS hay DDoS.
Từ mô hình chúng ta cũng có thể thấy rằng, để đảm bảo an toàn cao cho một hệ
98
người phải có ý thức tốt thì nó đòi hỏi phải sử dụng rất nhiều thành phần, công nghệ khác nhau. Vấn đề đặt ra ởđây là làm sao dung hoà được giữa nhu cầu về
an toàn mạng và chi phí để đạt được nó. Điều đó sẽ phải tuỳ thuộc vào từng công ty, tổ chức cụ thể, mục đích và cơ chế hoạt động...mà từđó có các thay đổi phù hợp.
Các tính năng đạt được đối với mô hình mạng trên:
Các tính năng Firewall:
– Thông lượng Firewall cao, có thểđạt được 150Mbps. – Có thể hỗ trợ 10.000 kết nối đồng thời.
– Firewall có tích hợp sẵn tính năng IPS chống đánh phá.
Các tính năng kỹ thuật:
– Kiểm soát truy cập
o Kiểm soát truy nhập vào ra từ bên ngoài (các partner) vào mạng và ngược lại.
o Kiểm soát được truy nhập vào ra từ mạng chi nhánh. – Biên dịch địa chỉ
o Dịch địa chỉ các máy bên trong mạng DMZ sang các địa chỉ thực bên ngoài.
o Dịch các địa chỉ máy bên trong mạng nội bộ ra một địa chỉ mạng duy nhất là địa chỉ card mạng bên ngoài Firewall.
– Chống tấn công
o Có thể hạn chếđược các cuộc tấn công như DoS, DDoS và một số
loại tấn công khác.
o Các mẫu virus mới nhất được cập nhật tựđộng cho toàn mạng.
o Các bản vá lỗi cho hệ điều hành(WINDOWS) được tự động cập nhật cho tất cả các client trong mạng. Do đó tránh được các cuộc tấn công bằng cách khai thác điểm yếu cực kỳ hiệu quả.
99
KẾT LUẬN
Qua bản luận văn trên em đã tìm hiểu được một số vấn đề về an minh mạng máy tính, quá trình giao tiếp của các thực thể trong mạng máy tính, các điểm yếu trong mạng cũng vai trò quan trọng của các phương pháp mã hoá. Các phương pháp, dấu hiệu tấn công và một số phương án biện pháp đối phó với các cuộc tấn công đó.
Tuy nhiên, do thời gian hạn chế, hơn nữa vấn đề nêu ra trong luận văn cũng là một vấn đề khá phức tạp, nên bài luận văn này không tránh khỏi những thiếu sót. Nhiều dấu hiệu tấn công phức tạp chưa được giải quyết. Trong thời gian tới, với sự bổ sung đầy đủ hơn về kiến thức và thời gian, em hy vọng sẽ hoàn thiện thêm và nghiên cứu sâu hơn vềđề tài này.
Một lần nữa, em xin chân thành cảm ơn thầy giáo TS Phạm Văn Bình đã tận tình hướng dẫn, giúp đỡ em thực hiện bản luận văn tốt nghiệp này. Cảm ơn các thầy cô, bạn bè, đồng nghiệp đã đóng góp ý kiến để bản luận văn được hoàn thiện hơn.
100
TÀI LIỆU THAM KHẢO
[1]. Dương Bảo Ninh: Mạng máy tính, Giáo trình mạng máy tính năm 2009.
[2] Vũ Quốc Thành: Dự báo an toàn thông tin 2009 và các vấn đề doanh nghiệp cần quan tâm, Hiệp hội An toàn thông tin Việt Nam (VNISA).
[3] Tổng cục kỹ thuật – Bộ công an: An ninh mạng máy tính năm 2008, an ninh mạng ngành tài chính ngân hàng
Nguyễn Thúc Hải: Mạng máy tính và các hệ thống mở, Nhà xuất bản giáo dục năm 1997.
[4]. Vũ Duy Lợi: Mạng thông tin máy tính, Kiến trúc, nguyên tắc và hiệu suất hoạt động, Nhà xuất bản thế giới năm 2002.
[5]. VN-GUIDE: Bảo mật trên mạng, Bí quyết và Giải pháp, Nhà xuất bản thống kê.
[6]. David R. Mirza Amrza, Ido Dubrawsky: Hack Proofing your Network.
[7]. Stuart McClure, Joel Scambray and George Kurtz: Hacking Exposed (Fourth Edition).
[8]. Syngress -- Mission Critical Internet Security. Các Website: http://us.trendmicro.com/us/products/enterprise/interscan-web-security-suite/ http://us.trendmicro.com/us/products/enterprise/interscan-messaging-security-suite/ http://forum.athena.edu.vn/iso-17799-27001/146-tieu-chua-n-iso-17799-a.html http://www.hvaonline.net http://www.quantrimang.com http://www.codeguru.com http://www.codeproject.com http://www.cisco.com
101 MỤC LỤC LỜI CAM ĐOAN ...1 DANH MỤC VIẾT TẮT ...2 DANH MỤC HÌNH...2 DANH MỤC BẢNG...2 MỞĐẦU… ...2
CHƯƠNG 1. LÝ THUYẾT CHUNG VỀ MẠNG MÁY TÍNH...2
1.1. KHÁI QUÁT MẠNG MÁY TÍNH ...2
1.2. GIAO THỨC MẠNG TCP/IP ...2 1.3. MỘT SỐ DỊCH VỤ MẠNG TRONG LĨNH VỰC NGÂN HÀNG ...2 1.3.1. Dịch vụ Home-banking...2 1.3.2. Dịch vụ Internet-banking ...2 1.3.3. Dịch vụ Chuyển tiền kiều hối online ...2 1.3.4. Dịch vụ SMS-banking...2
CHƯƠNG 2. CÁC VẤN ĐỀ VỀ AN NINH MẠNG MÁY TÍNH ...2
2.1. TÌNH HÌNH AN NINH MẠNG MÁY TÍNH HIỆN NAY...2
2.2. AN NINH MẠNG NGÀNH TÀI CHÍNH NGÂN HÀNG ...2
2.2.1. Vấn đề an ninh các website ngành ngân hàng ...2
2.2.2. Tội phạm thẻ gia tăng...2
2.2.3. Virus ảnh hưởng lớn đến hoạt động nghiệp vụ của Ngành...2
2.3. CÁC LĨNH VỰC AN NINH MẠNG MÁY TÍNH...2
2.3.1. An toàn mạng(Network Security)...2
2.3.2. An toàn ứng dụng(Application Security)...2
2.3.3. An toàn hệ thống(System Security) ...2
2.4. CÁC HÌNH THỨC TẤN CÔNG MẠNG...2
2.4.1. Do thám mạng...2
2.4.2. Xâm nhập bất hợp pháp ...2
2.4.3. Tấn công từ chối dịch vụ(Denial of Service)...2
2.4.4. Distributed DoS(DDoS)...2
CHƯƠNG 3. CÁC GIAO THỨC VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG...2
3.1. CÁC GIAO THỨC TĂNG CƯỜNG BẢO MẬT CHO TCP/IP...2
102
3.1.2. Giao thức bảo mật IPSec...2
3.1.3. Secure Socket Layer...2
3.2. MỘT SỐ CÔNG NGHỆĐẢM BẢO AN TOÀN MẠNG ...2
3.2.1. Bức tường lửa (Firewall)...2
3.2.2. Máy chủ uỷ quyền (Proxy Server) ...2
CHƯƠNG 4. THIẾT KẾ BẢO MẬT CHO HỆ THỐNG MẠNG TẠI CHI NHÁNH VIETINBANK...2
4.1. THIẾT KẾ BẢO MẬT CHO MỘT HỆ THỐNG MẠNG ...2
4.1.1. Chính sách an ninh mạng (network security policy)...2
4.1.2. Các yêu cầu an ninh cần đảm bảo...2
4.1.3. Kiến trúc chung của một hệ thống bảo mật ...2
4.1.4. Chức năng các thành phần trong hệ thống...2
4.2. THIẾT KẾ MÔ HÌNH MẠNG CÓ KHẢ NĂNG ĐẢM BẢO AN TOÀN CHO MỘT CHI NHÁNH CỦA VIETINBANK. ...2
4.2.1. Môi trường mạng hiện có...2
4.2.2. Yêu cầu ...2
4.2.3. Thiết kế mô hình mạng ...2
4.2.4. Cấu hình bảo mật cho hệ thống...2
4.2.5. Phân tích đánh giá mô hình...2
KẾT LUẬN ...2