Chương 2 GIẢI PHÁP NÂNG CAO KHẢ NĂNG ATTT CỦA HÀ NỘI PORTAL
2.1 GIẢI PHÁP AN NINH CHO HỆ THỐNG HÀ NỘI PORTAL
STT Nguy cơ Giải pháp
1 Nguy cơ bị tấn công làm tê liệt các Dịch vụ
Cài đặt Firewall
Cảnh báo và ngăn chặn tấn công
2 Virus tấn công Phòng chống Virus
3 Mất an toàn khi truy cập từ xa Mã hóa đường truyền 4 Nguy cơ từ các lỗ hổng của hệ điều hành
và phầm mềm trong hệ thống
Cài đặt Firewall
Cài đặt hệ thống quét lỗ hổng bảo mật
Kiểm tra lỗi trong các website 5 Nguy cơ từ hệ thống chứng thực và
cấp quyền yếu
Giải pháp chứng thực và cấp quyền mạnh
6 Nguy cơ từ việc không có các biện pháp sao lưu và phục hồi dữ liệu.
Giải pháp sao lưu và phục hồi dữ liệu
7 Chính sách sử dụng và quản lý hệ thống Thiết lập chính sách sử dụng và quản lý hệ thống
8 Nguy cơ về an toàn vật lý. Giải pháp về an toàn hệ thống điện, thiên tai
2.1.1 Thực hiện mã hóa đƣờng truyền
Việc trao đổi giữa người dùng và máy chủ thông qua giao dịch trên Web thông thường bằng giao thức HTTP (Hyper Text Tranfer Protocol). Với giao thức này, dữ liệu được truyền trên mạng dưới dạng “clear text”, tức là chưa mã hóa. Nếu hacker thực hiện việc nghe trộm trên được truyền, mọi thông tin nhạy cảm của khách hàng có thể bị lộ, dẫn đến nguy cơ cao về tính an toàn của hệ thống
Giải pháp đảm bảo an toàn cho dữ liệu truyền trên hệ thống mạng có thể dùng giao thức SSL. Dữ liệu trao đổi giữa các máy tính đã được mã hóa ở mức cao, khó có thể giải mã được, khiến cho giao dịch được an toàn, tránh nguy cơ mất mát thông tin trên đường truyền.
2.1.2 Phòng chống Virus
Việc lây lan, phát tán của hầu hết các loại virus hiện nay là lây lan qua mạng. Do đó khả năng phát tán của virus là rất nhanh. Để lây lan, virus thường dựa vào các dịch vụ phổ biến như dịch vụ thư điện tử (email), dịch vụ chia sẻ tài nguyên mạng... hoặc virus có thể tạo ra một “cổng” riêng (backdoor) để lây lan, nhưng phổ biến nhất vẫn là kiểu lây lan thông qua dịch vụ thư điện tử - email.
Để phòng chống và ngăn chặn virus lây lan, chúng ta có thể sử dụng các biện pháp sau:
- Hạn chế việc chia sẻ ổ đĩa một cách bừa bãi, sử dụng các phần mềm trao đổi thông tin chuyên nghiệp sẽ làm giảm khả năng lây lan của các virus qua ổ đĩa chia sẻ.
- Sử dụng Firewall ngăn chặn các giao dịch trên các cổng dịch vụ mà hệ thống không cho phép. Điều này có thể ngăn chặn các loại virus lây lan bằng cách sử dụng backdoor.
- Để ngăn chặn việc virus lây lan qua dịch vụ thư điện tử (email) chúng ta có thể sẽ dụng 1 phần mềm mail scan. Phần mềm này có chức năng đứng ra nhận trước mọi email được gửi ra và gửi vào hệ thống, các email trước khi được gửi tới mail server đều sẽ được phần mềm kiểm tra quét và diệt virus. Do đó, có thể ngăn chặn được việc lây lan của virus qua con đường này.
Ngoài ra, để ngăn chặn nguy cơ phá hoại của virus trên từng máy cá nhân và nguy cơ lây lan từ bên trong mạng, hệ thống mạng cần phải được trang bị các phần mềm diệt virus trên các máy client.
2.1.3 Cài đặt Firewall và hệ thống IDS
Firewall – ta thường gọi là tường lửa, là phần mềm hoặc thiết bị đặc dụng với chức năng bảo mật. Firewall hoạt động theo cơ chế “luôn nghi ngờ”. Chính vì vậy, chế độ mặc định của Firewall là “luôn đóng”. Khi ta muốn mở một dịch vụ nào đó như emai, web, ta sẽ định nghĩa các luật (rule) cho phép tương ứng với dịch vụ. Chính vì vậy Firewall sẽ tránh được việc để mở các dịch vụ không cần thiết, là khe hở để các hacker tấn công vào hệ thống.
Ngoài ra, với việc đặt các luật, Firewall có thể giúp ngăn chặn các kiểu tấn như: - Kiểu tấn công Ping of Death
- Giả mạo địa chỉ IP (IP spoofing) - Tấn công dạng SYN
- …
Đề xuất sử dụng thiết bị Firewall và IDS của hãng Cisco. Sau khi mua thiết bị thì sẽ cấu hình và lắp đặt theo mô hình trong mục 2.2 dưới đây.
2.1.4 Cài đặt hệ thống quét lỗ hổng bảo mật và kiểm tra lỗi trong các website
Một hệ thống không bao giờ có thể coi là hoàn hảo và an toàn tại mọi thời điểm. Hệ thống sẽ luôn luôn xuất hiện mới các lỗ hổng cả về phần mềm và phần cứng, đó là điều không thể tránh khỏi. Chúng ta sẽ phải kiểm soát được những nguy cơ này. Điều này được thực hiện thông qua các hệ thống phần mềm và phần cứng chuyên dụng, chuyên dùng để quét các lỗ hổng bảo mật. Sau khi phát hiện ra lỗ hổng mới, ta sẽ có các hành động phù hợp để khắc phục.
Tuy nhiên, quan trọng hơn đó là thiết lập một chính sách để duy trì thường xuyên việc làm này, kịp thời khi có lỗ hổng mới xuất hiện. Chúng tôi sẽ tư vấn cho trong việc thiết lập chính sách, quy định cụ thể về việc phát hiện các lỗ hổng bảo mật và cập nhật các bản vá lỗi.
Các hệ thống website thương mại điện tử trên Internet luôn là mục tiêu cho các tin tặc tấn công. Việc xây dựng website an toàn là điều hết sức cần thiết. Nếu bị tấn công, thì đơn vị chủ quản của website sẽ bị thiệt hại rất lớn về mặt kinh tế, xã hội, và một phần nữa không thể tính đến đó chính là danh tiếng của đơn vị bị tổn hại nghiêm trọng.
Mã nguồn của website, đặc biệt là những đoạn mã truy vấn CSDL sẽ được các chuyên gia về an ninh tiến hành kiểm tra các đoạn mã này để tìm ra những sơ hở mà hacker có thể lợi dụng được, nhất là những lỗi như SQL Injection, Cross Site Scripting…, qua đó đưa ra cách khắc phục.
Đề xuất sử dụng gói giải pháp phần mềm quét lỗ hổng bảo mật của hãng Synmantec.
2.1.5 Giải pháp sao lƣu và phục hồi dữ liệu
Một số phương pháp sao lưu, phục hồi dữ liệu như: - Lưu trữ trên Tape
- Cài đặt RAID
- Lập kế hoạch sao lưu định kỳ, thực hiện lưu trữ dữ liệu sao lưu ở nơi khác để đảm bảo an toàn phòng tránh cháy nổ, thiên tai.
2.1.6 Thiết lập chính sách sử dụng và quản lý hệ thống
Các chính sách sử dụng và quản lý hệ thống, các chính sách này gồm có: - Kế hoạch thực hiện khi xảy ra sự cố
- Chính sách về bảo mật các thiết bị mạng Router, switch. - Chính sách theo dõi mức độ an toàn hệ thống thường xuyên.
- Chính sách nội bộ về sử dụng: mạng không dây, bảo mật cá nhân, chứng thực, cấp quyền truy nhập.
2.1.7 Giải pháp về an toàn hệ thống điện, thiên tai
Hệ thống an toàn về mặt vật lý, bao gồm:
- Công suất: tư vấn tính toán công suất của các thiết bị, đảm bảo họat động an toàn và ổn định.
- Cảnh báo nhiệt độ: tư vấn lắp đặt hệ thống đảm bảo nhiệt độ trong giới hạn cho phép, có thông báo cho người quản trị khi nhiệt độ ngoài khoảng cho phép.
- Chống sét: tư vấn thiết kế hệ thống chống sét phù hợp tiêu chuẩn, đảm bảo an toàn.
2.2 MÔ HÌNH GIẢI PHÁP MẠNG CHO HÀ NỘI PORTAL 2.2.1 Phân chia các khu vực mạng