Giải pháp phần cứng

Một phần của tài liệu (Luận văn đại học thương mại) giải pháp đảm bảo an toàn cho hệ thống thông tin của công ty TNHH máy và thiết bị công nghiệp việt nam (Trang 41 - 49)

3.3. Giải pháp nâng cao an toàn và bảo mật cho hệ thống thông tin của doanh

3.3.1. Giải pháp phần cứng

3.3.1.1. Các giải pháp bảo vệ bằng tường lửa phần cứng (FireWall)

Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó.

Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo khơng có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng.

Hình 3.1: Tường lửa cho hệ thống mạng

Firewall phần cứng là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall.

Trước khi một gói tin Internet đến máy tính, thì Firewall phần cứng sẽ giám sát các gói tin và kiểm tra xem nó đến từ đâu. Nó cũng kiểm tra nếu địa chỉ IP hoặc tiêu đề có thể tin cậy được.

Tường lửa phần cứng được được thiết kế để tối ưu cho firewall, có khả năng tích hợp thêm các chức năng bổ sung khó khăn hơn firewall mềm, chẳng hạn như chức năng kiểm soát thư rác đối với firewall mềm chỉ cần cài đặt chức năng này như một ứng dụng cịn đối với firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức năng này.

Firewall của Cisco:

Đối với các dòng sản phẩm firewall của Cisco - dịng sản phẩm được rất nhiều doanh nghiệp có quy mơ hoạt động nhỏ và vừa sử dụng, nổi trội bởi các tính năng và giá thành phù hợp. Cisco mới đây đã giới thiệu một thế hệ firewall hoàn toàn mới tên gọi first threat-focused Next-Generation Firewall (NGFW) được thiết kế đặc biệt có khả năng phát hiện và ngăn chặn các cuộc tấn công. Thế hệ firewall Cisco ASA với FirePOWER Services mới theo hãng cung cấp khả năng nhận thức theo ngữ cảnh và điều khiển linh động để đánh giá các mối đe dọa, phối hợp thơng tin và tối ưu hóa phịng thủ nhằm bảo vệ hệ thống mạng cho người dùng.

Thế hệ firewall mới của Cisco cũng được tích hợp tính năng kiểm sốt ứng dụng, hệ thống phịng chống xâm nhập thế hệ mới Next-Generation Intrusion Prevention

Systems (NGIPS) cùng với giải pháp phòng chống malware tiên tiến Advanced Malware Protection (AMP) từ SourceFire.

Theo Cisco, thiết bị firewall mới của hãng là một thiết bị duy nhất được thể kết hợp tường lửa, tính năng kiểm sốt ứng dụng với khả năng phòng chống xâm nhập và phát hiện các cuộc tấn cơng. Điều này có nghĩa là thiết bị của hãng sẽ giúp các tổ chức đơn giản hóa kiến trúc bảo mật cho mình mà cịn tiết kiệm được đáng kể chi phí cũng như giảm bớt số lượng thiết bị bảo mật cần quản lý và triển khai.

Trong bối cảnh hiện tại với các cuộc tấn công vào các hệ thống điều khiển/ngành công nghiệp và sự phát triển của các băng nhóm tội phạm mạng tinh vi, các tổ chức cần phải chủ động để có thể kiểm sốt từng thay đổi dù rất nhỏ từ mơi trường nhằm có những biện pháp bảo vệ tức thời. Các thiết bị phần cứng Cisco ASA with FirePOWER Services thực sự là một bước tiến bộ trong thị trường NGFW, giúp tăng cường bảo vệ theo thời gian thực từ data center, hệ thống mạng cho đến từng thiết bị đầu cuối của khách hàng.

Cisco cho biết, khách hàng có thể chọn mua các thiết bị firewall Cisco ASA mới kèm giấy phép FirePOWER; hoặc các khách hàng đang sở hữu các firewall ASA 5500-X hay 5585-X series có thể mua thêm giấy phép sử dụng FirePOWER cho hệ thống của mình.

Một mơi trường cấu hình chung làm đơn giản hóa cơng việc quản lý và làm giảm chi phí đào tạo, trong khi thiết bị phần cứng chung của họ sản phẩm này làm giảm chi phí dự phịng. Hiện tại, Cisco chiếm khoảng ¼ thị phần sản phẩm firewall trên thị trường.

3.3.1.2. Giao thức bảo mật đường truyền

Trong an tồn bảo mật HTTT thì đảm bảo đường truyền là một trong những vấn đề khá được quan tâm. Trong đó có 2 giáo thức cơ bản là IPsec và SSL

Thiết lập các nguyên tắc cho nội dung gửi đi

Tường lửa có thể thực hiện khóa chặn lưu lượng và khơng cho gửi vào, ra khỏi mạng. Chúng cũng có thể cho phép một số lưu lượng nào đó có thể rời mạng. Dữ liệu của cơng ty có thể được gửi ra bên ngồi hoặc nó có thể được gửi ra một cửa ảo thơng qua email, tính năng chia sẻ file ngang hàng,…Cơng ty có thể thiết lập tường lửa để khóa một số kiểu giao thức gửi ra, chẳng hạn như những giao thức được sử dụng bởi phần mềm P2P.

Có thể thiết lập máy chủ mail sao cho nó khóa chặn việc gửi các đính kèm gửi đi. Ngồi ra bạn có thể khóa nội dung gửi đi bởi các từ khóa bằng các thiết bị, phần mềm hoặc dịch vụ lọc nội dung như: Microsoft, ForeFront technologies, McAfee’s, Google’s Postini.

Dưới đây là một số giao thức bảo mật đường truyền:

-Giao thức WEP- Wired Equivalent Privacy.

WEP được thiết kế để đảm bảo tính bảo mật cho mạng khơng dây đạt mức độ như mạng nối cáp truyền thống. WEP cung cấp bảo mật cho dữ liệu trên mạng khơng dây qua phương thức mã hóa sử dụng thuật tốn đối xứng RC4. Thuật tốn RC4 cho phép chiều dài khóa thay đổi và có thể lên đến 256bit. Hiện nay, đa số các thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128 bit.

Đối với công ty TNHH máy và thiết bị cơng nghiệp Việt Nam hiện tại nên sử dụng WEP có độ dài khóa 128 bit.

Do WEP sử dụng RC4, một thuật tốn sử dụng phương thức mã hóa dịng, nên cần một cơ chế đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả giống nhau sau khi được mã hóa hai lần khác nhau. Đây là một yếu tố quan trọng trong vấn đề mã hóa dữ liệu nhằm hạn chế khả năng suy đốn khóa của Hacker. Để đạt được mục đích trên, sử dụng RC4 cùng giá trị Initialization Vector (IV) nên có các vấn đề: cùng IV gây nên vấn đề va chạm, dễ dàng phát hiện IV và bẻ khóa WEP, tấn cơng thụ động phát triển càng gây khó khăn cho người bảo mật dữ liệu. Giải pháp WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ bảo mật cho WEP như việc sử dụng khóa WEP có độ dài 128 bit sẽ gia tăng số lượng gói dữ liệu Hacker cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP.

- Giao thức SSL.

SSL (Secure Sockets Layer) là một giao thức (protocol) cho phép bạn truyền đạt thơng tin một cách bảo mật và an tồn qua mạng. SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên toàn thế giới, nó bảo vệ HTTT và dữ liệu truyền đi trên mơi trường internet được an tồn., là tiêu chuẩn của cơng nghệ bảo mật, truyền thơng mã hố giữa máy chủ Web server và trình duyệt (browser). Tiêu chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng

đều riêng tư và toàn vẹn. SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên tồn thế giới, nó bảo vệ dữ liệu truyền đi trên mơi trường internet được an tồn.

Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà khơng có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền. Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm sốt nào đối với đường đi của dữ liệu hay có thể kiểm sốt được liệu có ai đó thâm nhập vào thơng tin trên đường truyền. Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an tồn:

- Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng.

- Mã hố: đảm bảo thơng tin khơng thể bị truy cập bởi đối tượng thứ ba. Để loại trừ việc nghe trộm những thơng tin “nhạy cảm” khi nó được truyền qua Internet, dữ liệu phải được mã hố để khơng thể bị đọc được bởi những người khác ngoài người gửi và người nhận.

- Tồn vẹn dữ liệu: đảm bảo thơng tin khơng bị sai lệch và nó phải thể hiện chính xác thơng tin gốc gửi đến.

Với việc sử dụng SSL, các Web site có thể cung cấp khả năng bảo mật thơng tin, xác thực và toàn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các browser và Web server, cho phép người sử dụng làm việc với các trang Web ở chế độ an toàn. Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa sẽ xuất hiện trên thanh trạng thái của cửa sổ browser

Được phát triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL) đã được sử dụng rộng rãi trên World Wide Web trong việc xác thực và mã hố thơng tin giữa client và server. Tổ chức IETF (Internet Engineering Task Force ) đã chuẩn hoá SSL và đặt lại tên là TLS (Transport Layer Security). Mặc dù là có sự thay đổi về tên nhưng TSL chỉ là một phiên bản mới của SSL. Phiên bản TSL 1.0 tương đương với phiên bản SSL 3.1. Tuy nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn.

SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP (Hyper Text Transport Protocol),

IMAP (Internet Messaging Access Protocol) và FTP (File Transport Protocol). Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL được sử dụng chính cho các giao dịch trên Web.

SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối. Lúc này, phía browser sử dụng các kỹ thuật mã hố cơng khai để chắc chắn rằng certificate và public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của client. Điều này rất quan trọng đối với người dùng. Ví dụ như khi gửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệu server sẽ nhận thơng tin này có đúng là server mà họ định gửi đến khơng.

Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối. Phía server cũng sử dụng các kỹ thuật mã hố cơng khai để kiểm tra xem certificate và public ID của server có giá trị hay khơng và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng đối với các nhà cung cấp. Ví dụ như khi một ngân hàng định gửi các thơng tin tài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra định danh của người nhận.

Mã hố kết nối: Tất cả các thơng tin trao đổi giữa client và server được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư. Ngồi ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hố cịn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu. ( đó là các thuật tốn băm – hash algorithm).

Giao thức SSL bao gồm 2 giao thức con: giao thức SSL record và giao thức SSL handshake. Giao thức SSL record xác định các định dạng dùng để truyền dữ liệu. Giao thức SSL handshake (gọi là giao thức bắt tay) sẽ sử dụng SSL record protocol để trao đổi một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL.

Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm:

- DES (Data Encryption Standard) là một thuật tốn mã hố có chiều dài khố là 56 bit.

- 3-DES (Triple-DES): là thuật tốn mã hố có độ dài khố gấp 3 lần độ dài khố trong mã hoá DES.

- DSA (Digital Signature Algorithm): là một phần trong chuẩn về xác thực số đang được được chính phủ Mỹ sử dụng.

- KEA (Key Exchange Algorithm) là một thuật tốn trao đổi khố đang được chính phủ Mỹ sử dụng.

- MD5 (Message Digest algorithm) được phát thiển bởi Rivest.

- RSA: là thuật tốn mã hố cơng khai dùng cho cả q trình xác thực và mã hố dữ liệu được Rivest, Shamir, and Adleman phát triển.

- RSA key exchange: là thuật toán trao đổi khoá dùng trong SSL dựa trên thuật toán RSA.

- RC2 and RC4: là các thuật toán mã hoá được phát triển bởi Rivest dùng cho RSA Data Security.

- SHA-1 (Secure Hash Algorithm): là một thuật tốn băm đang được chính phủ Mỹ sử dụng.

Khi một client và server trao đổi thông tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hố mạnh nhất có thể và sử dụng chúng trong phiên giao dịch SSL

3.3.1.3. Thiết lập lại hệ thống mạng cho công ty

Hiện tại công ty đang sử dụng hệ thống mạng LAN vậy nên để nâng cao tính bảo mật hơn cho HTTT thì cơng ty nên thay đổi từ mạng LAN sang INTRANET.

Sơ đồ 3.2: Mạng intranet thiết kế cho cơng ty

Bên cạnh đó việc xây dựng những khu ODC và nhưng khu OPEN là cần thiết. Hệ thống mạng INTRANET đươch đặt trong những khu ODC là nơi làm việc cũng như chứa các thiết bị có thơng tin bảo mật của cơng ty, còn những khu OPEN là nơi sẽ được phịng kỹ thuật cung cấp 1 dải mạng trong đó cấp quyền truy cập vào trang web của công ty cũng như quyền truy cập vào một số trang web khác phụ vụ công việc. Ở khu OPEN thông tin chỉ liên quan đến chăm sóc khách hàng, dịch vụ... Khơng chứa những thông tin bảo mật như thơng tin khách hàng, hợp đồng... Ngồi ra, việc sử dụng các thiết bị truyền phát dữ liệu cũng như sử dụng ổ USB cũng là những hoạt động được giám sát nghiêm ngặt tại công ty, để sử dụng các hoạt động nay nhân viên phải gửi yêu cầu cho bên kỹ thuật để được sự cho phép.

Từ đó việc an tồn thơng tin trong cơng ty sẽ được đảm bảo hơn và hạn chế tối đa việc mất mát tài nguyên cũng như gây thiệt hại nặng nề cho doanh nghiệp.

Một phần của tài liệu (Luận văn đại học thương mại) giải pháp đảm bảo an toàn cho hệ thống thông tin của công ty TNHH máy và thiết bị công nghiệp việt nam (Trang 41 - 49)

Tải bản đầy đủ (PDF)

(79 trang)