Cách kết nối phổ biến nhất hiện nay giữa hai điểm có khoảng cách xa vẫn là Leased Line (tạm gọi là đường thuê bao). Leased Line là các mạch số (digital circuit) kết nối liên tục, được các công ty viễn thông cho thuê, nên có tên là Leased Line. Leased Line được phân làm hai lớp chính là Tx (theo chuẩn của Mỹ và Canada) và Ex (theo chuẩn của châu Ấu, Nam Mỹ và Mehicô), x là mã số chỉ băng thông (bandwidth) của kết nối. Thông số kỹ thuật của các đường truyền Tx và Ex được liệt kê trong bảng dưới.
Hình 2.15: Kênh ảo (VC) và tuyến ảo (VP) trong ATM
CHƯƠNG 3 AN NINH MẠNG 3.1. Tổng quan an ninh mạng.
Khai thác hệ thống thông tin hiệu quả là nhu cầu thiết thực nhất đối với một doanh nghiệp, tính hiệu quả của khai thác thông tin phụ thuộc rất nhiều vào chất lượng thông tin nhận được. Môi trường thông tin doanh nghiệp bên cạnh những mặt lợi ích là những rủi ro gặp phải. Rủi ro có thể bắt nguồn từ nhiều nguyên nhân khác nhau như: Sự rò rỉ thông tin quan trọng ra bên ngoài, sự mất mát & sai khác thông tin quan trọng gây ra bởi tác động của con người. Để ngăn chặn những rủi ro không đáng có cần có những biện pháp để bảo mật, an ninh của doanh nghiệp chống lại những sự tấn công can thiệp từ bên ngoài, những hành vi tác động ở bên trong mạng.
Yêu cầu cấp thiết của an toàn bảo mật thông tin ngày nay, đặc biệt trong môi trường mạng Internet là nhiệm vụ chung của các quốc gia, các tổ chức tham gia trao đổi thông tin trên môi trường mạng. Các tiêu chuẩn an toàn bảo mật được phát triển, ta có thể biết thông qua chuẩn ISO/IEC 17799, RFC 2401, 2402…
• Chiến lược doanh nghiệp: (Xây dựng mô hình quản lý các nguy cơ an ninh thông tin)
o Bảo vệ dữ liệu doanh nghiệp, tài sản doanh nghiệp.
o Xây dựng, và bảo vệ các giao dịch tin cậy với các khách hàng, các đối tác. o Hoạch định các nguy cơ bảo mật
o Xây dựng hệ thống an ninh thông tin cho doanh nghiệp
• Quy trình hoạt động doanh nghiệp: (xây dựng những giải pháp an toàn thông tin)
o An ninh thông tin doanh nghiệp hoạt động liên tục o Giảm thiểu chi phí quản lý và quản trị an ninh thông tin.
o Duy trì chính sách bảo mật thông tin riêng cho từng ứng dụng cụ thể • Ứng dụng doanh nghiệp: (bảo vệ an toàn các ứng dụng doanh nghiệp)
o Quản lý định danh người dùng truy cập, khai thác mạng doanh nghiệp o Tăng cường kiểm tra, giám sát người dùng mạng
o Thực hiện các giải pháp ứng với các mức an ninh thông tin tương xứng o Chủ động triển khai các giải pháp an ninh thông tin ứng dụng công nghệ
mới
• Hạ tầng hệ thống thông tin: (an toàn hạ tầng cơ sở HTTT) o Phát hiện và quản lý xâm nhập trái phép
Chiến lược doanh nghiệp Quy trình hoạt động
doanh nghiệp
Ứng dụng doanh nghiệp
Hạ tầng cơ sở hệ thống thông tin
o Sử dụng các phương pháp mới, công nghệ mới
o Chọn lựa các thành phần xây dựng hệ thống an ninh thông tin o Quản lý an ninh hạ tầng cơ sở HTTT
3.2. An ninh trên hạ tầng cơ sở
3.2.1. Dùng PKI (Public Key Infrastructure).
Cấu trúc hạ tầng mã khoá công cộng (PKI - Public Key Infrastructure - hay còn gọi là Hạ tầng mã khoá bảo mật công cộng hoặc Hạ tầng mã khoá công khai) cùng các tiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập. PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng thực điện tử (digital certificate) cũng như các mã khoá công cộng và cá nhân. Sáng kiến PKI ra đời năm 1995, khi mà các tổ chức công nghiệp và các chính phủ xây dựng các tiêu chuẩn chung dựa trên phương pháp mã hoá để hỗ trợ một hạ tầng bảo mật trên mạng Internet. Tại thời điểm đó, mục tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp cùng các công cụ và lý thuyết cho phép người sử dụng cũng như các tổ chức (doanh nghiệp hoặc phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an toàn trong phạm vi cá nhân và công cộng.
Giờ đây, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy. Và để hiện thực hoá ý tưởng tuyệt vời này, các tiêu chuẩn cần phải được nghiên cứu phát triển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liên kết, xác thực, cấp phép và quản lý. Nhiều chuẩn bảo mật trên mạng Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual Private Network (VPN), chính là kết quả của sáng kiến PKI. Một minh chứng là thuật toán mã hoá bất đối xứng được xây dựng dựa trên phương pháp mã hoá và giải mã thông tin sử dụng hai loại mã khoá: công cộng và cá nhân. Trong trường hợp này, một người sử dụng có thể mã hoá tài liệu của mình với mã khoá bí mật và sau đó giải mã thông tin đó bằng chìa khoá công cộng. Nếu một văn bản có chứa các dữ liệu nhạy cảm và cần phải được truyền một cách bảo mật tới duy nhất một cá nhân, thông thường người gửi mã hoá tài liệu đó bằng mã khoá riêng và người nhận sẽ giải mã sử dụng mã khoá công khai của người gửi. Mã khoá
công khai này có thể được gửi kèm theo tài liệu này hoặc có thể được gửi cho người nhận trước đó.
Bởi sự tồn tại của khá nhiều thuật toán bất đối xứng, các chuẩn công cộng tồn tại và thường xuyên được nghiên cứu cải tiến để phù hợp các thuật toán đó. Có một minh chứng khá đơn giản: Nếu những người sử dụng làm việc ở các tổ chức khác nhau và chỉ có thể truyền thông với nhau qua một mạng công cộng, chẳng hạn Internet, như vậy sẽ cần phải xây dựng các tiêu chuẩn ở từng bước khác nhau. Thứ nhất, cần phải xác định phương thức các chứng thực được phát hành. Một người nhận được xác thực cần phải chấp nhận tính hợp lệ của chứng thực đó và tin tưởng bộ phận thẩm quyền phát hành chứng thực đó. Thứ hai, các chuẩn phải thiết lập phương thức các chứng thực được truyền thông giữa các chủ thể (đơn vị hoặc bộ phận) khác nhau. Email và các dạng truyền thông khác đều dựa trên các tiêu chuẩn công nghệ và thông thường các chuẩn này không nhất thiết phải hỗ trợ PKI. Để hiện thực hoá kịch bản như mô tả ở trên, ta cần phải có các quy tắc và tiêu chuẩn hỗ trợ việc các chứng thực được phát hành bởi các chủ thể có thẩm quyền khác nhau có thể trao đổi và giao dịch giữa các tổ chức khác nhau. Thứ ba, các tiêu chuẩn phải định nghĩa rõ được các thuật toán có thể và phải bao gồm. Cuối cùng, các tiêu chuẩn phải chỉ ra được cách thức duy trì các hạ tầng cấu trúc truyền thông. Bên cạnh đó, chúng cũng phải xây dựng được danh sách người dùng được cấp chứng thực và danh sách những chứng thực bị huỷ bỏ. Hãy quyết định cách thức các thẩm quyền cấp chứng thực khác nhau sẽ được truyền thông với nhau và phương pháp tái lập lại một chứng thực trong trường hợp xảy ra mất mát.
Cấu trúc PKI trong các hạ tầng HTTT được sử dụng trong các ứng dụng mạng. Như khi có website sử dụng SSL/TLS, như khi kết nối và làm việc trong mạng nội bộ sử dụng chuẩn VPN và Point To Point Tunneling Protocol (PPTP), hoặc như khi đang dùng các tính năng mã hoá của IPSec.
PKI có thể đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻ các tài sản trí tuệ của tổ chức doanh nghiệp, cả trong và ngoài phạm vi tổ chức. Tuy nhiên, chi phí và/hoặc sự phức tạp của nó có thể gây ra những rào cản nhất định đối với khả năng ứng dụng.
Những vấn đề phức tạp có thể được hiểu như sau: Đa phần các giao dịch truyền thông của doanh nghiệp với khách hàng, chính quyền và các đối tác khác đều được diễn ra một cách điện tử. Khi ta nhận thức được tất cả các kênh khác nhau trong các giao dịch đó, ta sẽ là một trong số ít các chuyên gia IT giỏi nhất. Một khi ta mở cánh cửa đối với email, phải thừa nhận rằng mọi thứ có thể gửi đi sẽ được gửi đi, không kể đó là giữa các đối tác, trong nội bộ công ty hay thậm chí vượt qua “ranh giới” công ty. Một ví dụ trong số đó là một người nhận "bên ngoài" có tên trong dòng Cc có thể nhận được một tài liệu mật và gửi nó trên các kênh không an toàn khác. Khi có ý định giải quyết vấn đề này hoặc các vấn đề khác tương tự, một công việc quan trọng là cần phải quyết định về mức độ mở rộng của “biên giới" bảo mật, những tài sản " bạn phải bảo vệ, và mức độ bất hợp lý bạn sẽ phải áp dụng đối với những người dùng”.
Ngày nay, một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưa được tìm thấy. Từ góc độ giải pháp công nghệ, điều này làm cho việc chọn lựa trở nên đơn giản hơn. Nhiều hãng khác cũng cung cấp các giải pháp PKI, song nếu doanh nghiệp đã từng được đầu tư cho các công nghệ của Microsoft, thì có thể sẽ tận dụng được những lợi thế mà tập đoàn này hỗ trợ. Với những cải tiến lớn với PKI trong Windows XP Professional (dành cho máy trạm) và Windows Server (dành cho máy chủ) Microsoft đưa ra giải pháp có thể giải quyết được các vấn đề chính liên quan tới một chính sách bảo mật PKI. Những tính năng này, cùng khả năng quản lý và liên kết PKI, đã được tích hợp vào hệ điều hành và các ứng dụng có liên quan.
PKI cho phép tạo ra một quan hệ tin cậy giữa các chứng thực của các tổ chức khác nhau và giải pháp PKI của Windows Server 2003 cũng bao gồm tính năng này. Nó giúp các doanh nghiệp bắt đầu với một phạm vi quan hệ tin cậy không lớn và cho phép mở rộng phạm vi này trong tương lai.
3.2.2. Dùng RSAKhái niệm RSA: Khái niệm RSA:
RSA là một hệ thống bảo mật khoá công cộng cho cả hai cơ chế mã hoá và xác thực; nó được phát minh vào năm 1977 bởi Ron Rivest, Adi Shamir, và
Leonard Adleman. RSA được ứng dụng trong cả hai lĩnh vực an ninh thông tin là Mã hoá RSA privacy và Xác thực RSA.
Mã hoá RSA privacy: Giả định rằng người A muốn gửi cho người B một bản tin m, A tạo một văn bản dạng mã hoá c tạo bởi (c=me mod n), e và n là khoá công cộng của người B. Người A gửi c cho người B. Để giải mã, người B thực hiện m=cd mod n; Mối liên hệ giữa e và d đảm bảo rằng người B khôi phục đúng n. Vì chỉ người B biết d, do vậy chỉ người B có thể giải mã.
Xác thực RSA: Giả định người A muốn gửi cho người B bản tin m theo cái cách mà người B được đảm bảo rằng bản tin là tin cậy và được gửi từ người A. người A tạo một dạng chữ ký số hoá s bởi công thức: s=md mod n, d và n là khoá riêng của người A. Người A gửi m và s cho người B. Để xác minh lại chữ ký số, người B dùng công thức m=se mod n dựa trên bản tin m nhận được, e và n là khóa công cộng của người A.
Vì thế, mã hoá và xác thực có thể được sử dụng mà không cần phải chia sẻ khoá riêng, mỗi người chỉ dùng khoá công cộng của người khác và khoá riêng của chính mình. Bất kỳ người nào có thể gửi một bản tin đã mã hoá hoặc xác minh lại bản tin đã được xác nhận chữ ký số, bằng cách chỉ dùng khoá chung, nhưng chỉ người nào đó có được khoá riêng đúng thì có thể giải mã hoặc xác thực bản tin.
Ứng dụng RSA:
Các sản phẩm RSA ngày nay đã trở nên phổ biến trong tất cả các lĩnh vực quan tâm đến giải pháp an ninh thông tin như: RSA securID authentication, Smart Card & USB tokens, Digital Certificate, Quản lý truy nhập Web, RSA Mobile …
Công nghệ RSA Mobile:
Công nghệ RSA Mobile là một giải pháp xác thực tiên tiến mà bảo vệ truy cập tới các tài nguyên thông tin trên web bằng cách cung cấp giải pháp xác thực hai yếu tố (Two-factor user authentication) thông qua việc sử dụng các thiết bị mobile phones và PDA. Được thiết kế để bảo vệ các ứng dụng B2C và B2B, phần mềm RSA Mobile yêu cầu người dùng định danh chính họ với hai yếu tố riêng biệt của từng người – cái mà họ biết (số PIN – Personal Identification
Number) và cái mà họ có (mã truy cập sử dụng một lần được gửi tới mobile phone hoặc PDA của họ) - trước khi họ được cấp quyền tới một trang web được bảo vệ. Với phần mềm RSA Mobile, các doanh nghiệp có thể nhận dạng một cách chắc chắn người dùng và cung cấp các dịch vụ quan trọng một cách riêng tư (confidently), thuận tiện và an toàn cho người dùng ở bất cứ địa điểm nào, tại bất kỳ thời gian nào. Lợi ích của người dùng là từ việc đăng nhập hệ thống đơn giản, loại trừ việc phải ghi nhớ quá nhiều mật khẩu hoặc phải sử dụng nhiều loại card khác nhau.
Bảo vệ truy cập tới các ứng dụng web: Công nghệ RSA Mobile cung cấp một cách thuận lợi để bảo vệ các tài nguyên web (web resources) bằng giải pháp xác thực hai yếu tố. Thông qua trình duyệt web (browser), người dùng yêu cầu truy cập tới một tài nguyên web mà được bảo vệ bởi phần mềm RSA Moblie Agent bằng cách gửi tên và số PIN riêng của người dùng, phần mềm RSA Mobile Agent sẽ tạo ra một mã truy cập sử dụng một lần riêng cho mỗi người dùng và gửi nó tới mobile phone hoặc PDA của họ dưới dạng SMS hoặc tin nhắn. Người dùng nhập mã truy cập này vào trình duyệt để hoàn tất quá trình xác thực. Server RSA Mobile Authentication quản lý quá trình xác thực. Khi người
dùng gửi thông tin xác thực tới, server này xác định thông tin có hợp lệ hay không.
Giải pháp bảo mật được công nhận: Công nghệ RSA Mobile được xây dựng trên kỹ thuật đồng bộ thời gian (time-synchronous) và thuật toán (algorithms) đã được công nhận và đã được sử dụng thành công trong nhiều năm bởi hàng triệu người dùng. Mã truy cập RSA Mobile được gửi tới mobile phone hoặc PDA của người dùng bằng cách sử dụng các thuật toán mã hoá như với mã hoá đường thoại. Phần mềm RSA Mobile còn tiến hành thêm một bước là yêu cầu người dùng nhập mã truy cập của họ vào đúng trình duyệt web mà họ đã dùng để đưa ra yêu cầu truy cập, điều này ngăn chặn một ai đó đánh cắp được mã truy cập có thể sử dụng nó để truy cập bất hợp pháp trên một máy tính khác.
Hỗ trợ nhiều phương thức xác thực :Công nghệ RSA Mobile cung cấp cho người quản trị khả năng chuyển đổi phương thức xác thực cho các tài nguyên khác nhau. Ví dụ, một vài tài nguyên có thể sử dụng các phương thức xác thực như sử dụng RSA token hoặc mật khẩu. Khả năng hỗ trợ nhiều phương thức xác thực cho phép người quản trị có thể xác định một cách linh hoạt phương thức xác thực thích hợp trong các hoàn cảnh khác nhau. Các hàm xác thực API được cung cấp với phần mềm RSA Mobile trao cho người quản trị khả năng tích hợp một cách dễ dàng các giao diện xác thực đã có vào sản phẩm RSA Mobile.
3.2.3. Dùng Firewall.
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm