World Wide Web (WWW) hay Web là một dịch vụ mới nhất và cú hiệu quả nhất trờn Internet. WWW với những đặc trưng của riờng nú cựng với tổ hợp cỏc dịch vụ thụng tin đó biến nú trở thành một dịch vụ rất hữu ớch nhưng lại rất dễ hiểu. Nếu khi bạn cần FTP thỡ Client FTP sẽ cho phộp bạn cú thể truy nhập vào tài nguyờn của FTP. Nếu bạn cần WAIS thỡ Client WAIS sẽ cho phộp bạn truy nhập vào WAIS Server. Nếu là Client Gopher thỡ cú thể nối với Gopher Server. Cũn trỡnh duyệt Web cú thể cho phộp bạn truy nhập vào tất cả cỏc dịch vụ trờn và cũn hơn thế nữa.
Tài liệu WWW được viết bằng ngụn ngữ HTML (HyperText Markup Language) hay cũn gọi là ngụn ngữ siờu văn bản. Dưới dạng nguyờn thủy nú giống như văn bản bỡnh thường nhưng nú cú thờm một số lệnh định dạng. HTML bao gồm nhiều cỏch liờn kết với
cỏc tài nguyờn FTP, Gopher Server, WAIS Server và Web Server. Web Server trao đổi cỏc tài liệu HTML bằng giao thức HTTP (HyperText Transfer Protocol) hay gọi là giao thức truyền siờu văn bản.
Với một cỏch định dạng đặc biệt bởi cỏc lệnh của HTML, ta biết được cú sự liờn kết với siờu văn bản khỏc hay khụng bằng cỏch nhận biết qua việc gạch dưới một cụm từ. Khi đú người dựng chỉ việc kớch chuột thỡ trỡnh duyệt sẽ tự động chuyển tới kết nối đú. Nếu đú là một tài liệu HTML thỡ trỡnh duyệt chỉ đơn giản là hiển thị văn bản đú. Nếu đú là một thư mục của một tài nguyờn FTP thỡ trỡnh duyệt sẽ liệt kờ danh sỏch thư mục và thể hiện nội dụng bằng một loạt cỏc kết nối với tờn sau khi cỏc thư mục con và cỏc tệp đó được liệt kờ đầy đủ trờn thư mục. Khi bạn kớch vào tệp thỡ liờn kết phục hồi thành tệp và hiện chỳng nếu cú thể hoặc truyền nú đến người sử dụng.
Để sử dụng trỡnh duyệt đồ hoạ, người dựng là cỏc cụng ty hay cỏc trường đại học phải kết nối IP vào Internet. Đối với người sử dụng tại nhà riờng thỡ cần kết nối SLIP hoặc PPP để sử dụng trỡnh duyệt đồ hoạ.
Việc dịch vụ WWW cú thể cho phộp kết nối cỏc thụng tin trờn quy mụ lớn, sử dụng đơn giản đó giỳp nú trở thành một dịch vụ quan trọng trờn Internet. Tài liệu HTML cú khả năng cung cấp cỏc nội dung cú giỏ trị và cỏc thụng tin bổ ớch, đơn giản. Chỉ cần một lần kớch chuột là cú thể truy nhập vào cỏc Server thụng tin ở bất cứ đõu.
Phần II: vấn đề an toàn trong mạng máy tính
Chương 1: Khái quát về an toàn mạng
1.1. Cỏc nguy cơ đe doạ hệ thống và mạng mỏy tớnh 1.1.1. Mụ tả cỏc nguy cơ
Chỳng ta hóy hỡnh dung với một hệ thống thụng tin (Mạng LAN, mạng Intranet ...) đang hoạt động, bỗng đến một ngày nào đú nú bị tờ liệt toàn bộ (điều này khụng phải là khụng thể xảy ra) bởi một kẻ phỏ hoại cố tỡnh nào đú; hoặc nhẹ nhàng hơn là phỏt hiện thấy cỏc dữ liệu quý bỏu của mỡnh bị sai lạc một cỏch cố ý, thậm chớ bị mất mỏt. Hoặc một ngày nào đú bạn nhận thấy cụng việc kinh doanh của mỡnh bị thất bại thảm hại bởi vỡ thụng tin trong hệ thống của bạn bị kẻ khỏc xõm nhập và xem lộn ...
Xử lý, phõn tớch, tổng hợp và bảo mật thụng tin là hai mặt của một vấn đề khụng thể tỏch rời nhau. Ngay từ khi mỏy tớnh ra đời, cựng với nú là sự phỏt triển ngày càng lớn mạnh và đa dạng của cỏc hệ thống xử lý thụng tin người ta đó nghĩ ngay đến cỏc giải phỏp đảm bảo an toàn cho hệ thống thụng tin của mỡnh.
Với một mạng mỏy tớnh bạn sẽ cú bao nhiờu nguy cơ bị xõm phạm ? Cõu trả lời chớnh xỏc đú là ở mọi thời điểm, mọi vị trớ trong hệ thống đều cú khả năng xuất hiện.
Chỳng ta phải kiểm soỏt cỏc vấn đề an toàn mạng theo cỏc mức khỏc nhau đú là : Mức mạng: Ngăn chặn kẻ xõm nhập bất hợp phỏp vào hệ thống mạng.
Mức Server: Kiểm soỏt quyền truy cập, cỏc cơ chế bảo mật, quỏ trỡnh nhận dạng người dựng, phõn quyền truy cập, cho phộp cỏc tỏc vụ
Mức CSDL: Kiểm soỏt ai? được quyền như thế nào ? với mỗi cơ sở dữ liệu.
Mức trường thụng tin: Trong mỗi cơ sở dữ liệu kiểm soỏt được mỗi trường dữ liệu chứa thụng tin khỏc nhau sẽ cho phộp cỏc đối tượng khỏc nhau cú quyền truy cập khỏc nhau.
Mức mật mó: Mó hoỏ toàn bộ file dữ liệu theo một phương phỏp nào đú và chỉ cho phộp người cú “ chỡa khoỏ” mới cú thể sử dụng được file dữ liệu.
Theo quan điểm hệ thống, một xớ nghiệp (đơn vị kinh tế cơ sở) được thiết lập từ ba hệ thống sau:
- Hệ thống thụng tin quản lý.
- Hệ thống trợ giỳp quyết định.
- Hệ thống cỏc thụng tin tỏc nghiệp.
Trong đú hệ thống thụng tin quản lý đúng vai trũ trung gian giữa hệ thống trợ giỳp quyết định và hệ thống thụng tin tỏc nghiệp với chức năng chủ yếu là thu thập, xử lý và truyền tin.
Trong thời gian gần đõy, số vụ xõm nhập trỏi phộp vào cỏc hệ thống thụng tin qua mạng Internet và Intranet ngày càng tăng. Cú nhiều nguyờn nhõn dẫn đến việc cỏc mạng bị tấn cụng nhiều hơn, trong số những nguyờn chớnh cú thể kể đến xu hướng chuyển sang mụi trường tớnh toỏn Client/Server (khỏch/chủ), cỏc ứng dụng thương mại điện tử, việc hỡnh thành cỏc mạng Intranet của cỏc cụng ty với việc ứng dụng cụng nghệ Internet vào cỏc mạng kiểu này dẫn tới xoỏ nhoà ranh giới giữa phần bờn ngoài (Internet) và phần bờn trong (Intranet) của mạng, tạo nờn những nguy cơ mới về an toàn thụng tin. Cũng cần lưu ý rằng những nguy cơ mất an toàn thụng tin khụng chỉ do tấn cụng từ bờn ngoài mà một phần lớn lại chớnh là từ nội bộ: nhõn viờn bất món, sai sút của người sử dụng, ý thức bảo mật kộm,…
Qua sơ đồ tổng quan một hệ thống tin học (hỡnh 34), ta cú thể thấy cỏc vị trớ cú nguy cơ về an toàn dữ liệu. Cỏc phương phỏp tấn cụng vào hệ thống thụng tin của những kẻ phỏ hoại (hacker) ngày càng trở nờn tinh vi, lợi dụng những điểm yếu cơ bản của mụi trường tớnh toỏn phõn tỏn. Một số cỏc phương phỏp tấn cụng thường gặp:
- Cỏc thủ thuật quan hệ: Hacker mạo nhận là người trong cơ quan, người phụ trỏch mạng hoặc nhõn viờn an ninh để hỏi mật khẩu của người sử dụng. Với những mạng cú người sử dụng từ xa thỡ hacker lấy lý do quờn mật khẩu hoặc bị hỏng đĩa cứng để yờu cầu cấp lại mật khẩu.
- Bẻ mật khẩu: Hacker tỡm cỏch lấy file mật khẩu và sau đú tấn cụng bằng từ điển, dựa trờn cỏc thuật toỏn mó hoỏ mà cỏc hệ điều hành sử dụng. Những mật khẩu yếu rất dễ bị phỏt hiện bằng cỏch này.
- Virus và cỏc chương trỡnh tấn cụng từ bờn trong. Hacker cú thể sử dụng chỳng để thực hiện những việc như: bắt cỏc ký tự gừ vào từ bàn phớm để tỡm mật khẩu, chộp trộm file mật khẩu, thay đổi quyền của người sử dụng ...
- Cỏc cụng cụ tấn cụng giả mạo địa chỉ (IP spoofing): hacker cú thể dựng những cụng cụ này để làm hệ thống tưởng lầm mỏy tớnh của hacker là một mỏy trong mạng nội bộ, hoặc để xoỏ dấu vết trỏnh bị phỏt hiện.
Hỡnh 34: Sơ đồ tổng quan một hệ thống tin học
- Phong toả dịch vụ (DoS – Denial of Service): kiểu tấn cụng này nhằm làm giỏn đoạn hoạt động của mạng, Vớ Dụ gõy lỗi của chương trỡnh ứng dụng để làm treo mỏy, tạo những thụng điệp giả trờn mạng để chiếm đường truyền hoặc làm cạn cụng suất xử lý của mỏy chủ.
1.1.2. Cỏc mức bảo vệ an toàn mạng
Vỡ khụng thể cú một giải phỏp an toàn tuyệt đối nờn người ta phải sử dụng đồng thời nhiều mức bảo vệ khỏc nhau tạo thành nhiều lớp “rào chắn” đối với cỏc hoạt động xõm phạm. Việc bảo vệ thụng tin trờn mạng chủ yếu là bảo vệ thụng tin cất giữ trờn cỏc mỏy tớnh, đặc biệt là trong cỏc Server của mạng. Vỡ thế mọi cố gắng tập trung vào việc xõy dựng cỏc mức “rào chắn” từ ngoài vào trong cho cỏc hệ thống kết nối vào mạng.
1.2. Phõn tớch cỏc mức an toàn mạng
Hỡnh 35: Cỏc mức an toàn mạng
1.2.1. Quyền truy nhập (Access Rights)
Đõy là lớp bảo vệ sõu nhất, nhằm kiểm soỏt cỏc tài nguyờn (thụng tin) của mạng và quyền hạn (cú thể thực hiện cỏc thao tỏc gỡ) trờn tài nguyờn đú. Dĩ nhiờn là kiểm soỏt được cấu trỳc dữ liệu càng chi tiết càng tốt. Hiện tại việc kiểm soỏt thường ở mức tệp tin (file), và việc xỏc lập cỏc quyền thường do người quản trị mạng quyết định. Quyền hạn trờn tập tin là những thao tỏc mà người sử dụng cú thể thực hiện được trờn tệp tin đú: chỉ đọc, được phộp thay đổi … Tuy nhiờn, kiểm soỏt được cấu trỳc dữ liệu càng chi tiết thỡ mức độ an toàn càng cao.
1.2.2. Đăng nhập/Mật khẩu (Login/Password)
Lớp bảo vệ này thực ra cũng là kiểm soỏt quyền truy nhập nhưng khụng phải truy nhập ở mức thụng tin mà ở mức hệ thống (tức là truy nhập vào mạng). Đõy là phương phỏp bảo vệ phổ biến nhất vỡ nú đơn giản ớt phớ tổn và rất cú hiệu quả. Mỗi người sử dụng (kể cả người quản trị mạng) muốn được vào mạng để sử dụng cỏc tài nguyờn của mạng đều phải cú tờn đăng ký và mật khẩu. Người quản trị mạng cú trỏch nhiệm quản lý, kiểm soỏt mọi hoạt động của mạng và xỏc định quyền truy nhập người sử dụng khỏc tuỳ theo thời gian và khụng gian. Nghĩa là một người sử dụng trờn mạng chỉ cú thể được phộp truy nhập vào mạng ở một thời gian và một vị trớ nhất định.
Mật khẩu cú thể cú cỏc dạng như: mật khẩu cho từng nhúm người sử dụng, mật khẩu cho từng cỏ nhõn sử dụng riờng biệt, mật khẩu được thay đổi mỗi lần truy cập hệ thống, … Một nhà quản trị khi tạo mật khẩu trờn hệ thống và cho từng người sử dụng phải tuõn thủ những nguyờn tắc sau để đảm bảo an toàn cho người sử dụng cũng như cho cả hệ thống
Mật khẩu khụng được là tờn riờng hoặc sắp xếp theo dạng viết tờn hay sự hoỏn vị của tờn.
Bức tường lửa (Firewall) Bảo vệ vật lý (Physical Protect) Mó húa dữ liệu(Data Encryption) Đăng nhập/Mật khẩu (Login/Password)
Quyển truy nhập (Access Right) Thụng tin (Information)
Mật khẩu khụng thể giống như một từ, một ngữ mà phải là một tập hợp cỏc kớ tự tựy ý và khụng được ớt hơn 6 kớ tự.
Mật khẩu khụng được toàn là kớ tự hay số mà phải kết hợp cả kớ tự và số.
Lớp bảo vệ này đạt hiệu quả rất cao, trỏnh được cỏc truy nhập trỏi phộp nếu mỗi người sử dụng đều giữ được bớ mật về tờn Đăng nhập và Mật khẩu của mỡnh. Nhưng trờn thực tế, do nhiều lý do khụng đảm bảo được bớ mật của mật khẩu, do vậy làm giảm hiệu quả của nú rất nhiều.
1.2.3. Mó húa dữ liệu (Data Encryption)
Để bảo mật thụng tin truyền trờn mạng, người ta sử dụng cỏc phương phỏp mó hoỏ (Encryption). Dữ liệu được biến đổi từ dạng nhận thức được sang dạng khụng nhận thức được theo một thuật toỏn nào đú (tạo mật mó) và sẽ được biến đổi ngược lại (giải mó) ở trạm nhận. Đõy là lớp bảo vệ thụng tin rất quan trọng và được sử dụng rộng rói trong mụi trường mạng .
1.2.4. Bảo vệ vật lý (Physical Protection)
Đõy là lớp bảo vệ rất quan trọng, nhằm ngăn cản cỏc truy nhập vật lý bất hợp phỏp vào hệ thống. Thường dựng cỏc biện phỏp truyền thống như ngăn cấm tuyệt đối người khụng phận sự vào phũng đặt mỏy mạng, dựng ổ khoỏ mỏy tớnh, hoặc cài đặt cơ chế bỏo động khi cú truy nhập vào hệ thống ...
1.2.5. Bức tường lửa (Firewall)
Để bảo vệ từ xa một mỏy tớnh hay cho cả một mạng nội bộ (Intranet), người ta thường dựng cỏc hệ thống đặc biệt là tường lửa (Firewall). Chức năng của tường lửa là ngăn chặn cỏc truy nhập trỏi phộp (theo danh sỏch truy nhập đó xỏc định trước) và thậm chớ cú thể lọc cỏc gúi tin mà ta khụng muốn gửi đi hoặc nhận vào vỡ một lý do nào đú. Phương thức bảo vệ này được dựng nhiều trong mụi trường liờn mạng Internet.
Chương 2: Các biện pháp bảo vệ an toàn hệ thống
Trước khi thiết kế một chớnh sỏch bảo vệ an toàn cho một hệ thống, người thiết kế phải tỡm hiểu một số biện phỏp cơ bản được dựng làm nguyờn tắc để xõy dựng một hệ thống an ninh như sau:
2.1. Quyền hạn tối thiểu (Least Privilege)
Một nguyờn tắc cơ bản nhất của an toàn núi chung là trao quyền tối thiểu. Cú nghĩa là: Bất kỳ một đối tượng nào trờn mạng chỉ nờn cú những quyền hạn nhất định mà đối tượng đú cần phải cú để thực hiện cỏc nhiệm vụ của mỡnh và chỉ cú những quyền đú mà thụi. Đõy là nguyờn tắc quan trọng nhằm hạn chế sự phụ bày cho người ngoài lợi dụng đột nhập và hạn chế sự phỏ hủy nếu cú đột nhập xảy ra.
Như vậy, mọi người sử dụng đều khụng nhất thiết được trao quyền truy nhập mọi dich vụ Internet, đọc và sửa đổi tất cả cỏc file trong hệ thống … Người quản trị hệ thống khụng nhất thiết phải biết cỏc mật khẩu Root hoặc mật khẩu của mọi người sử dụng …
Nhiều vấn đề an toàn trờn mạng Internet bị xem là thất bại khi thực hiện nguyờn tắc Quyền hạn tối thiểu. Vỡ vậy, cỏc chương trỡnh đặc quyền phải được đơn giản đến mức cú thể và nếu một chương trỡnh phức tạp, ta phải tỡm cỏch chia nhỏ và cụ lập từng phần mà nú yờu cầu quyền hạn.
2.2. Bảo vệ theo chiều sõu (Defense in Depth)
Đối với mỗi hệ thống, khụng nờn cài đặt và chỉ sử dụng một chế độ an toàn cho dự nú cú thể rất mạnh, mà nờn lắp đặt nhiều cơ chế an toàn để chỳng cú thể hỗ trợ lẫn nhau.
2.3. Nỳt thắt (Choke Point)
Một nỳt thắt bắt buộc những kẻ đột nhập phải đi qua một lối hẹp mà chỳng ta cú thể kiểm soỏt và điều khiển được. Trong cơ chế an toàn mạng, Firewall nằm giữa hệ thống mạng của ta và mạng Internet, nú chớnh là một nỳt thắt. Khi đú, bất kỳ ai muốn truy nhập vào hệ thống cũng phải đi qua nú, vỡ vậy, ta cú thể theo dừi, quản lý được.
Nhưng một nỳt thắt cũng sẽ trở nờn vụ dụng nếu cú một đường khỏc vào hệ thống mà khụng cần đi qua nú (trong mụi trường mạng, cũn cú những đường Dial–up khụng được bảo vệ khỏc cú thể truy nhập được vào hệ thống)
2.4. Điểm xung yếu nhất (Weakest Link)
Một nguyờn tắc cơ bản khỏc của an toàn là: “Một dõy xớch chỉ chắc chắn khi mắt nối yếu nhất được làm chắc chắn”. Khi muốn thõm nhập vào hệ thống của chỳng ta, kẻ đột nhập thường tỡm điểm yếu nhất để tấn cụng vào đú. Do vậy, với từng hệ thống, cần phải biết điểm yếu nhất để cú phương ỏn bảo vệ.
Trong mụ hỡnh Host Security, giữa nỳt thắt và đường yếu nhất cú mối quan hệ và tỏc động lẫn nhau. Một hệ thống mà khụng cú điểm thắt cú nghĩa là nú cú rất nhiều đường vào, ra và do đú cú nhiều điểm xung yếu. Một hệ thống như vậy đũi hỏi phải cú phương ỏn bảo vệ phức tạp, tốn kộm hơn.
2.5. Hỏng trong an toàn (Fail–Safe Stance)
Nếu một hệ thống chẳng may bị hỏng thỡ nú phải được hỏng theo một cỏch nào đú để ngăn chặn những kẻ lợi dụng tấn cụng vào hệ thống hỏng đú. Đương nhiờn, việc hỏng trong an toàn cũng hủy bỏ sự truy nhập hợp phỏp của người sử dụng cho tới khi hệ thống được khụi phục lại.
Nguyờn tắc này cũng được ỏp dụng trong nhiều lĩnh vực. Chẳng hạn, cửa ra vào tự động được thiết kế để cú thể chuyển sang mở bằng tay khi nguồn điện cung cấp bị ngắt để trỏnh giữ người bờn trong.
Default deny Stance: Chỳ trọng vào những cỏi được phộp và ngăn chặn tất cả những cỏi cũn lại. Ngầm định là ngăn chặn tất cả mọi thứ và sau đú quyết định những cỏi được phộp.