GIẢI PHÁP AN NINH CHO HỆ THỐNG HÀ NỘI PORTAL

Một phần của tài liệu Nghiên cứu giải pháp an toàn thông tin cho cổng giao tiếp điện tử Hà Nội (Trang 49)

49

STT Nguy cơ Giải pháp

1 Nguy cơ bị tấn công làm tê liệt các Dịch vụ

Cài đặt Firewall

Cảnh báo và ngăn chặn tấn công

2 Virus tấn công Phòng chống Virus

3 Mất an toàn khi truy cập từ xa Mã hóa đường truyền 4 Nguy cơ từ các lỗ hổng của hệ điều hành

và phầm mềm trong hệ thống

Cài đặt Firewall

Cài đặt hệ thống quét lỗ hổng bảo mật

Kiểm tra lỗi trong các website 5 Nguy cơ từ hệ thống chứng thực và

cấp quyền yếu

Giải pháp chứng thực và cấp quyền mạnh

6 Nguy cơ từ việc không có các biện pháp sao lưu và phục hồi dữ liệu.

Giải pháp sao lưu và phục hồi dữ liệu

7 Chính sách sử dụng và quản lý hệ thống Thiết lập chính sách sử dụng và quản lý hệ thống

8 Nguy cơ về an toàn vật lý. Giải pháp về an toàn hệ thống điện, thiên tai

50

2.1.1 Thực hiện mã hóa đƣờng truyền

Việc trao đổi giữa người dùng và máy chủ thông qua giao dịch trên Web thông thường bằng giao thức HTTP (Hyper Text Tranfer Protocol). Với giao thức này, dữ liệu được truyền trên mạng dưới dạng “clear text”, tức là chưa mã hóa. Nếu hacker thực hiện việc nghe trộm trên được truyền, mọi thông tin nhạy cảm của khách hàng có thể bị lộ, dẫn đến nguy cơ cao về tính an toàn của hệ thống

Giải pháp đảm bảo an toàn cho dữ liệu truyền trên hệ thống mạng có thể dùng giao thức SSL. Dữ liệu trao đổi giữa các máy tính đã được mã hóa ở mức cao, khó có thể giải mã được, khiến cho giao dịch được an toàn, tránh nguy cơ mất mát thông tin trên đường truyền.

2.1.2 Phòng chống Virus

Việc lây lan, phát tán của hầu hết các loại virus hiện nay là lây lan qua mạng. Do đó khả năng phát tán của virus là rất nhanh. Để lây lan, virus thường dựa vào các dịch vụ phổ biến như dịch vụ thư điện tử (email), dịch vụ chia sẻ tài nguyên mạng... hoặc virus có thể tạo ra một “cổng” riêng (backdoor) để lây lan, nhưng phổ biến nhất vẫn là kiểu lây lan thông qua dịch vụ thư điện tử - email.

Để phòng chống và ngăn chặn virus lây lan, chúng ta có thể sử dụng các biện pháp sau:

- Hạn chế việc chia sẻ ổ đĩa một cách bừa bãi, sử dụng các phần mềm trao đổi thông tin chuyên nghiệp sẽ làm giảm khả năng lây lan của các virus qua ổ đĩa chia sẻ.

- Sử dụng Firewall ngăn chặn các giao dịch trên các cổng dịch vụ mà hệ thống không cho phép. Điều này có thể ngăn chặn các loại virus lây lan bằng cách sử dụng backdoor.

- Để ngăn chặn việc virus lây lan qua dịch vụ thư điện tử (email) chúng ta có thể sẽ dụng 1 phần mềm mail scan. Phần mềm này có chức năng đứng ra nhận trước mọi email được gửi ra và gửi vào hệ thống, các email trước khi được gửi tới mail server đều sẽ được phần mềm kiểm tra quét và diệt virus. Do đó, có thể ngăn chặn được việc lây lan của virus qua con đường này.

Ngoài ra, để ngăn chặn nguy cơ phá hoại của virus trên từng máy cá nhân và nguy cơ lây lan từ bên trong mạng, hệ thống mạng cần phải được trang bị các phần mềm diệt virus trên các máy client.

51

2.1.3 Cài đặt Firewall và hệ thống IDS

Firewall – ta thường gọi là tường lửa, là phần mềm hoặc thiết bị đặc dụng với chức năng bảo mật. Firewall hoạt động theo cơ chế “luôn nghi ngờ”. Chính vì vậy, chế độ mặc định của Firewall là “luôn đóng”. Khi ta muốn mở một dịch vụ nào đó như emai, web, ta sẽ định nghĩa các luật (rule) cho phép tương ứng với dịch vụ. Chính vì vậy Firewall sẽ tránh được việc để mở các dịch vụ không cần thiết, là khe hở để các hacker tấn công vào hệ thống.

Ngoài ra, với việc đặt các luật, Firewall có thể giúp ngăn chặn các kiểu tấn như: - Kiểu tấn công Ping of Death

- Giả mạo địa chỉ IP (IP spoofing) - Tấn công dạng SYN

- …

Đề xuất sử dụng thiết bị Firewall và IDS của hãng Cisco. Sau khi mua thiết bị thì sẽ cấu hình và lắp đặt theo mô hình trong mục 2.2 dưới đây.

2.1.4 Cài đặt hệ thống quét lỗ hổng bảo mật và kiểm tra lỗi trong các website

Một hệ thống không bao giờ có thể coi là hoàn hảo và an toàn tại mọi thời điểm. Hệ thống sẽ luôn luôn xuất hiện mới các lỗ hổng cả về phần mềm và phần cứng, đó là điều không thể tránh khỏi. Chúng ta sẽ phải kiểm soát được những nguy cơ này. Điều này được thực hiện thông qua các hệ thống phần mềm và phần cứng chuyên dụng, chuyên dùng để quét các lỗ hổng bảo mật. Sau khi phát hiện ra lỗ hổng mới, ta sẽ có các hành động phù hợp để khắc phục.

Tuy nhiên, quan trọng hơn đó là thiết lập một chính sách để duy trì thường xuyên việc làm này, kịp thời khi có lỗ hổng mới xuất hiện. Chúng tôi sẽ tư vấn cho trong việc thiết lập chính sách, quy định cụ thể về việc phát hiện các lỗ hổng bảo mật và cập nhật các bản vá lỗi.

Các hệ thống website thương mại điện tử trên Internet luôn là mục tiêu cho các tin tặc tấn công. Việc xây dựng website an toàn là điều hết sức cần thiết. Nếu bị tấn công, thì đơn vị chủ quản của website sẽ bị thiệt hại rất lớn về mặt kinh tế, xã hội, và một phần nữa không thể tính đến đó chính là danh tiếng của đơn vị bị tổn hại nghiêm trọng.

52 Mã nguồn của website, đặc biệt là những đoạn mã truy vấn CSDL sẽ được các chuyên gia về an ninh tiến hành kiểm tra các đoạn mã này để tìm ra những sơ hở mà hacker có thể lợi dụng được, nhất là những lỗi như SQL Injection, Cross Site Scripting…, qua đó đưa ra cách khắc phục.

Đề xuất sử dụng gói giải pháp phần mềm quét lỗ hổng bảo mật của hãng Synmantec.

2.1.5 Giải pháp sao lƣu và phục hồi dữ liệu

Một số phương pháp sao lưu, phục hồi dữ liệu như: - Lưu trữ trên Tape

- Cài đặt RAID

- Lập kế hoạch sao lưu định kỳ, thực hiện lưu trữ dữ liệu sao lưu ở nơi khác để đảm bảo an toàn phòng tránh cháy nổ, thiên tai.

2.1.6 Thiết lập chính sách sử dụng và quản lý hệ thống

Các chính sách sử dụng và quản lý hệ thống, các chính sách này gồm có: - Kế hoạch thực hiện khi xảy ra sự cố

- Chính sách về bảo mật các thiết bị mạng Router, switch. - Chính sách theo dõi mức độ an toàn hệ thống thường xuyên.

- Chính sách nội bộ về sử dụng: mạng không dây, bảo mật cá nhân, chứng thực, cấp quyền truy nhập.

2.1.7 Giải pháp về an toàn hệ thống điện, thiên tai

Hệ thống an toàn về mặt vật lý, bao gồm:

- Công suất: tư vấn tính toán công suất của các thiết bị, đảm bảo họat động an toàn và ổn định.

- Cảnh báo nhiệt độ: tư vấn lắp đặt hệ thống đảm bảo nhiệt độ trong giới hạn cho phép, có thông báo cho người quản trị khi nhiệt độ ngoài khoảng cho phép.

- Chống sét: tư vấn thiết kế hệ thống chống sét phù hợp tiêu chuẩn, đảm bảo an toàn.

53

2.2 MÔ HÌNH GIẢI PHÁP MẠNG CHO HÀ NỘI PORTAL 2.2.1 Phân chia các khu vực mạng 2.2.1 Phân chia các khu vực mạng

Với việc áp dụng một số thiết bị, giải pháp ở trên thì mô hình giải pháp mạng của HN Portal trong thời gian tới sẽ được thực hiện như sau:

Việc thiết kế phân chia mạng thành các phân đoạn, và module hoá các khối chức năng sẽ tạo điều kiện dễ dàng cho việc triển khai mạng, công tác quản trị và vận hành bảo dưỡng sau này, đồng thời tăng cường an toàn, an ninh toàn mạng.

Hệ thống Cổng giao tiếp điện tử Hà Nội được xây dựng trên mô hình DMZ (Demilitarized Zone ) có tính đến việc lắp đặt hệ thống liên thông với hệ thống mạng của Trung tâm giao dịch CNTT Hà Nội đặt tại K1 Hào Nam, Đống Đa, Hà Nội.

Mạng được phân chia làm 3 khu vực chính (DMZ, LAN, Dial-Up) được bảo mật bằng firewall và được chia thành các VLAN riêng bởi switch trung tâm để tăng cường tính bảo mật và mở rộng của hệ thống sau này. Khu vực mạng nội bộ – LAN và khu vực Dial-Up là vùng mạng được bảo vệ và không thể nhìn thấy từ bên ngoài. Khu vực DMZ được chia đôi thành hai khu vực là front-end và back-end có chức năng và mức bảo vệ khác nhau.

54

1/. Khu vực DMZ

Khu vực mạng DMZ bao gồm hai vùng với mức bảo mật khác nhau là front-end và back-end.

Khu vực mạng Front_end là khu vực cung cấp các dịch vụ Public, các trang Web cung cấp dịch vụ thông tin của trung tâm Hà Nội Portal hoặc web server của các sở ban ngành; và các máy chủ cung cấp các dịch vụ Internet ISP(Mail Relay, DNS). Các trang Web cung cấp dịch vụ chủ yếu thường thiết kế là các máy chủ Web bao gồm các trang Web tĩnh, các công cụ móc nối dữ liệu đến các máy chủ dữ liệu ở khu vực Databaser Server bên trong.

Mục đích của khu vực Front_end là nơi đặt các máy chủ web dùng chung cho các đơn vị thành viên và máy chủ chính cho web site chính của Hà Nội Portal. Những đơn vị thành viên không có khả năng mua sắm máy chủ riêng sẽ đặt website của họ ở đây.

Các máy chủ tại khu vực Front-End và cổng giao tiếp bên trong của Firewall được gán các địa chỉ IP dùng riêng (private IP, RFC 1918) gọi là các địa chỉ giả. Sử dụng kỹ thuật NAT (Network Address Tranlation) trên Firewall để ánh xạ các địa chỉ IP thật vào địa chỉ IP giả tương ứng của các máy chủ . Như vậy người dùng từ bên ngoài truy cập vào các dịch vụ trên các máy chủ qua địa chỉ thật, tính năng NAT trên Firewall sẽ biên dịch địa chỉ này thành địa chỉ giả đã được thực sự gán cho máy chủ đó.

- Từ ngoài Internet có thể đến được khu vực mạng Front-end

- Từ mạng Front-end có thể ra ngoài Internet, và có thể truy nhập đến khu vực Databaser Server.

Thường các cổng dịch vụ cho phép truyền thông giữa khu vực Front-end và mạng Internet là: HTTP (80), FTP(21), POP3(110), SMTP (25). Trong quá trình vận hành, nếu có các dịch vụ đặc biệt cần các cổng dịch vụ khác thì người quản trị mạng sẽ xem xét và mở dịch vụ đó trên Firewall.

55

56 Khu vực Back_end của DMZ có mức độ bảo mật cao hơn khu vực Front_end. Đây là khu vực chứa các máy chủ lưu trữ CSDL cho các dịch vụ của toàn bộ hệ thống, máy chủ DNS cho mạng nội bộ, máy chủ xác thực truy nhập... Khu vực này cũng có thể để các máy CSDL của các sở ban ngành, và mở các cổng như FTP để các đơn vị có thể truyền dữ liệu về máy này.

Khu vực Back-end còn là nơi cho phép các đơn vị thành viên có máy chủ riêng có thể đặt máy chủ CSDL của họ ở đây. Các đơn vị thành viên có thể được cấp nhiều quyền hơn để quản trị máy chủ của mình từ xa, ví dụ như có thể mở cổng 22 truy xuất vào Back_end cho các nhà quản trị của đơn vị thành viên thực hiện công việc quản trị máy chủ của mình thông qua dịch vụ SSH (điều này có thể thiết lập trên firewall bằng cách chỉ mở một cổng nào đó với một địa chỉ IP xác định cho người quản trị mạng của sở ban ngành).

Máy chủ mail (POP3, IMAP) phục vụ các thuê bao của Hà Nội Portal được đặt ở vùng Back-end vì lý do bảo mật cao. Quá trình gửi và nhận mail với bên ngoài phải chạy qua mail relay ở khu vực Front-End. Việc gửi và nhận mail của thuê bao sẽ được Mail Transfer Agent kiểm chứng thông tin xác thực thuê bao qua kho dữ liệu thư mục LDAP. Do tần suất truy vấn có thể rất cao, bản LDAP chính (master LDAP) sẽ được cài đặt trên máy chủ Mail với cấu hình mạnh. Không cần thiết phải đầu tư một máy chủ chỉ để phục vụ dịch vụ thư mục (LDAP).

Nhằm bảo vệ an toàn, các quy tắc sau sẽ được áp dụng với khu vực này:

- Từ ngoài Internet không thể truy nhập đến khu vực mạng Database Server và ngược lại.

- Từ khu vực mạng này có thể truy nhập đến khu vực Front-end và khu vực mạng nội bộ (để đề phòng tấn công từ mạng nội bộ chỉ những máy hạn chế được mở các cổng cho phép kết nối với các máy database server).

Các cổng dịch vụ cho phép truyền thông giữa khu vực mạng này với các mạng khác là:

- Các cổng giao thức truyền CSDL (chẳng hạn: SQL 1433, Oracle 1521,...) - Các cổng cần thiết cho việc quản trị các Server từ khu vực mạng nội bộ (SSH

57

2/. Khu vực mạng Dial-up

Có một số phương thức kết nối từ các sở ban ngành về trung tâm mạng như: Sử dụng đường leased line ISDN hoặc ASDL nhưng phương thức này cần thiết bị đầu cuối đặt tại đơn vị (router hoặc modem NT1), hơn nữa phương thức này được sử dụng khi lưu lượng truyền thông là rất lớn (2M). Đối với các sở ban ngành thì lưu lượng thông tin trao đổi với mạng trung tâm không lớn lắm và không liên tục nên phương thức này không kinh tế và không khả thi.

Các sở ban ngành kết nối về trung tâm mạng bằng đường PSTN là hợp lý nhất, đối với các đơn vị yêu cầu trao đổi thông tin lớn có thể sử dụng đường leased line quay số 64K.

Để bảo đảm an toàn, các máy chủ trong vùng dial-up được cấp một dải ip riêng, không nhìn thấy các máy trong mạng LAN và các máy chủ ở khu vực Back-End, nhưng nhìn thấy các máy public trong vùng Front-End. Chức năng của khu vực Dial- up như sau:

- Cung cấp dịch vụ truy cập từ xa qua điện thoại vào hệ thống. Qua dịch vụ này người dùng sử dụng được các dịch vụ Internet/Intranet của hệ thống.

- Cung cấp dịch vụ cập nhật thông tin cho các đơn vị thành viên tham gia Hà Nội Portal để cập nhật dữ liệu lên mạng.

- Cung cấp dịch vụ e-mail cho thuê bao của Hà Nội Portal , thực chất là các đơn vị thành viên.

- Cung cấp dịch vụ truy cập Internet cho các đơn vị thành viên.

- Các đơn vị thành viên kết nối vào vùng Dial-Up hình thành nên một mạng diện rộng liên ngành.

Thiết bị RAS cho phép các đơn vị thành viên quay số trực tiếp vào Hà Nội Portal. Đây là kết nối dùng riêng, ưu tiên chỉ cấp tài khoản cho các đơn vị thành viên. Các đơn vị thành viên vẫn có thể truy xuất, cập nhật dữ liệu, quản trị máy chủ của mình từ hướng Internet hoặc quay số vào RAS. Tuy nhiên vẫn cần đầu tư một thiết bị RAS dung lượng nhỏ tạo một cửa kết nối ưu tiên. Thiết bị RAS dự kiến sẽ có 16 cổng analog

58

3/. Khu vực mạng LAN

Khu vực mạng LAN là khu vực có mức security cao nhất, an toàn nhất. Các máy chủ trong mạng này cũng sử dụng địa chỉ Internet dùng riêng (Private IP). Mạng này giữ các chức năng :

- Kiểm soát hoạt động toàn hệ thống.

- Sao lưu (back up) dữ liệu trên các máy chủ của mạng DMZ. - Các máy làm việc (work station) trong mạng nội bộ.

Máy chủ Backup vừa là chỗ sao lưu trung tâm cho toàn mạng, vừa lưu giữ trên đĩa cứng một phiên bản tốt nhất có thể cho website của từng đơn vị thành viên. Trong trường hợp website của đơn vị thành viên bị tấn công, xóa mất dữ liệu, sẽ khôi phục lại dữ liệu cho website đó từ dữ liệu trên máy Backup trong thời gian nhanh nhất.

59

2.2.2 Bảo mật qua các thiết bị phần cứng

Một phần của tài liệu Nghiên cứu giải pháp an toàn thông tin cho cổng giao tiếp điện tử Hà Nội (Trang 49)

Tải bản đầy đủ (PDF)

(111 trang)