PHƢƠNG PHÁP GIẢI QUYẾT BÀI TOÁN CẤP QUYỀN

Một phần của tài liệu Vấn đề an toàn thông tin trong Cơ sở dữ liệu Quốc gia Kinh tế Công nghiệp và Thương mại - Bộ Công thương (Trang 62)

NGƢỜI SỬ DỤNG CÁC THÔNG TIN TRONG HỆ THỐNG 4.2.1. Ngƣời sử dụng và nhóm ngƣời sử dụng

4.2.1.1. Danh sách nhóm ngƣời sử dụng, ngƣời sử dụng

Hình 4.4: Người sử dụng và nhóm người sử dụng.

(Nguồn: Cơ sở dữ liệu Quốc gia kinh tế công nghiệp và thương mại)

4.2.1.2. Phân nhóm các đối tƣợng khai thác, sử dụng

1/. Nhóm A: Lãnh đạo Bộ Công Thương đóng vai trò là đối tượng sử dụng cao nhất

của CSDL, bao gồm:

- Khai thác, sử dụng tất cả số liệu, thông tin có trong CSDL. - Tạo lập các số liệu mang tính tổng hợp, thống kê theo nhu cầu.

- Sử dụng công cụ, tiện ích của hệ thống để xem hoặc nhận các báo cáo, phân tích tổng hợp được gửi từ các đơn vị, chuyên viên cấp dưới.

2/. Nhóm B: Các đơn vị chức năng của Bộ; các đơn vị chức năng của Bộ đóng vai

trò là đối tượng sử dụng chính của CSDL.

- Khai thác, sử dụng số liệu theo từng lĩnh vực, thông tin có trong CSDL. - Tạo lập các số liệu mang tính tổng hợp, thống kê theo nhu cầu.

- Dùng các công cụ, tiện ích của hệ thống để phân tích và xử lý dữ liệu, tạo lập các báo cáo, phân tích tổng hợp phục vụ cho công tác điều hành quản lý.

3/. Nhóm C: Sở Công Thương.

- Khai thác, sử dụng số liệu, thông tin được phân quyền có trong CSDL. - Tạo lập các số liệu mang tính tổng hợp, thống kê theo nhu cầu.

- Gửi báo cáo cho các cấp quản lý.

4/. Nhóm D: Các đơn vị khác; các doanh nghiệp, tập đoàn, tổng công ty trực thuộc

Bộ Công Thương.

5/. Nhóm E: Các đối tượng khác như hiệp hội, doanh nghiệp, tổ chức liên quan.

4.2.2. Một số biện pháp bảo vệ mật khẩu

4.2.2.1. Bảo vệ mật khẩu đối với ngƣời dùng

Người dùng cần tuân thủ các tiêu chuẩn lựa chọn mật khẩu như: + Không sử dụng các từ có trong từ điển.

+ Không ghi lại mật khẩu. + Không tiết lộ mật khẩu.

+ Thường xuyên thay đổi mật khẩu.

4.2.2.2. Mật khẩu dùng một lần

Là loại mật khẩu thay đổi mỗi lần được sử dụng, thực chất đây là hệ thống xác nhận người dùng bằng hỏi đáp, hàm cho từng người dùng là cố định, nhưng các tham số của mỗi lần xác nhận là khác nhau, do vậy câu trả lời của người dùng là khác nhau.

4.2.2.3. Bảo vệ mật khẩu lƣu trong máy

File mật khẩu trong máy được mã hóa để chống lại việc truy nhập và lấy cắp. Thường dùng hai cách là mã hóa truyền thống và mã hóa một chiều.

+ Mã hóa truyền thống: Toàn bộ tập tin hoặc chỉ trường mật khẩu được mã hóa. Khi nhận được mật khẩu của người dùng, mật khẩu lưu trữ được giải mã và so sánh.

+ Mã hóa một chiều: Khắc phục điểm yếu trên, các mật khẩu đăng ký được mã hóa một chiều và lưu giữ, khi người dùng nhập mật khẩu, nó sẽ được mã hóa và so sánh với bản mã lưu trữ.

4.3. PHƢƠNG PHÁP GIẢI QUYẾT BÀI TOÁN TẠO HÀNH LANG RIÊNG CHO THÔNG TIN ĐI LẠI HÀNH LANG RIÊNG CHO THÔNG TIN ĐI LẠI (adsbygoogle = window.adsbygoogle || []).push({});

4.3.1. Tổng quan về mạng ảo riêng (VPN)

4.3.1.1. Khái niệm VPN

VPN không phải là giao thức, không phải là phần mềm máy tính. Đó là một chuẩn công nghệ, cung cấp sự liên lạc an toàn giữa hai thực thể được thực hiện bằng cách mã hóa liên lạc trên một mạng không an toàn (ví dụ Internet). Giải pháp mạng riêng ảo - VPN được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu).

+ Trong mạng VPN:

- Về cơ bản, VPN giả lập một mạng riêng trên một mạng công cộng (ví dụ như mạng Internet). Sở dĩ nó được gọi là “ảo” bởi vì nó dựa trên các liên kết ảo (không có sự hiện diện vật lý của các liên kết này) khác với các liên kết được thiết lập trên đường thuê bao riêng. Các liên kết ảo thực chất là các dòng dữ liệu lưu chuyển trên mạng công cộng.

- Dữ liệu được đóng gói, header được cung cấp các thông tin định tuyến. - Để đảm bảo đây là kết nối “riêng”, dữ liệu được mã hóa. Các gói tin bị chặn trên mạng không thể giải mã được nếu không có khóa giải mã.

- Khi một bản tin (message) được gửi qua mạng công khai, nó được chuyển qua một số máy tính, Router, Switch hay một số thiết bị tương tự, trước khi đến được đích. Trong quá trình vận chuyển, thông điệp có thể bị chặn lại, bị sửa đổi hoặc bị đánh cắp. Thiết lập VPN hay thực chất cung cấp sự liên lạc an toàn giữa hai thực thể được thực hiện bằng cách mã hóa liên lạc trên một mạng không an toàn sẽ bảo đảm những yêu cầu an ninh mạng sau:

 Riêng tư (Privacy): Người không được phép không thể hiểu được sự liên lạc.

 Toàn vẹn (Intergrity): Người không được phép không thể sửa đổi sự liên lạc.

- Mã hóa là việc chuyển dữ liệu có thể đọc được, về một định dạng khó thể đọc được. Mã hóa theo thuật toán mã hóa và khóa bí mật, thường hỗ trợ mã đối xứng và không đối xứng.

- Đường hầm: là kết nối giữa hai điểm cuối khi cần thiết. Kết nối này là kết nối “ảo”, không phụ thuộc vào cấu trúc vật lý của mạng. Đường hầm VPN là đường hầm động, nghĩa là khi có nhu cầu trao đổi thông tin thì mới kết nối.

- Định đường hầm: là một phương pháp sử dụng hạ tầng liên mạng để truyền dữ liệu của mạng này trên mạng khác. Dữ liệu chuyển tải qua mạng được đóng gói với một giao thức khác. Thay vì truyền đi gói tin được tạo ra ban đầu, giao thức tạo đường hầm đóng gói tin với một header bổ sung. Header này cung cấp thông tin định tuyến để gói tin có thể truyền đi trên mạng. Đóng gói thực chất là mã hóa gói dữ liệu gốc và thêm tiêu đề chứa thông tin định tuyến cho gói tin để có thể truyền qua mạng Internet. Đường hầm cũng là một đặc tính ảo trong VPN. Các công nghệ đường hầm được dùng phổ biến hiện nay cho truy cập VPN gồm có: PPTP, L2F, L2TP hoặc IP Sec, GRE (Generic Route Encapsulation).

- Gói tin được tạo định tuyến và truyền giữa các điểm qua mạng chung. Đường đi logic giữa điểm đầu và điểm cuối được gọi là đường hầm (Tunnel). Để thiết lập kết nối “đường hầm”, máy chủ và máy khách phải sử dụng chung một giao thức đường hầm. Khi gói tin tới đích, nó được giải mã trả về nội dung ban đầu.

- Chất lượng dịch vụ (QoS - Quality of Service): Thỏa thuận về chất lượng dịch vụ thường định ra một giới hạn cho phép về độ trễ trung bình của gói tin trong mạng. Ngoài ra, thỏa thuận này được phát triển thông qua các dịch vụ cụ thể với nhà cung cấp.

+ Tóm lại, VPN có thể nói gắn gọn là sự kết hợp của:

4.3.1.2. Các loại VPN

Theo mục tiêu ứng dụng, VPN chủ yếu được phân thành hai loại:

+ VPN Site – To – Remote: Hỗ trợ cho những người dùng từ xa hay đối tác có thể truy cập vào mạng công ty qua đường kết nối với ISP địa phương để vào Internet.

+ VPN Site – To – Site: Kết nối từ văn phòng chi nhánh đến văn phòng của công ty thông qua đường nối Lease Line hay DSL.

1/. VPN truy cập từ xa (Remote Access VPN)

+ VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo, là một kết nối người dùng đến LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ. Nhà cung cấp tạo ra một máy chủ truy cập mạng và cung cấp cho người sử dụng từ xa một phần mềm cho máy tính của họ. Sau đó, người sử dụng liên hệ với máy chủ truy nhập mạng và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.

Đây là kiểu mạng riêng ảo cho phép người dùng có thể thiết lập một kết nối tới máy chủ của tổ chức bằng cách sử dụng cơ sở hạ tầng được cung cấp bởi ISP. Nó cho phép người dùng có thể kết nối tới Intranet hoặc Extranet của công ty bất cứ khi nào và bất cứ ở đâu. Người dùng được phép truy cập vào tài nguyên của tổ chức như là họ kết nối trực tiếp (về mặt vật lý) vào mạng của công ty. Đường truyền trong VPN loại này có thể là tương tự, quay số hay DSL, IP di động và cáp để nối người dùng di động, máy tính từ xa hay các văn phòng lại với nhau.

2/. VPN điểm-nối-điểm (site-to-site)

VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet.

+ Mạng riêng ảo Intranet (Intranet VPN):

Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có một mạng LAN. Khi đó họ có thể xây dựng một VPN intranet để kết nối các LAN đó vào trong một mạng riêng thống nhất.

+ Mạng riêng ảo Extranet (Extranet VPN):

Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ: một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng riêng ảo Extranet để kết nối LAN của công ty mình với LAN công ty khác và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên.

4.3.1.3. Các thành phần cần thiết tạo nên một VPN

VPN bao gồm 4 thành phần chính: Internet, Security Gateway, Security Policy Server và Certificate Authority. (adsbygoogle = window.adsbygoogle || []).push({});

1/. Internet: Bao gồm các nhà cung cấp dịch vụ Internet với các thiết bị lớn, cao cấp,

hiện đại. Các ISP có thể được phân cấp thành nhiều lớp: bậc 1, bậc2,…

2/. Security Gateway: Được đặt giữa các mạng công cộng và mạng riêng, ngăn chặn

xâm phạm trái phép vào mạng riêng. Chúng cung cấp khả năng tạo đường hầm và mã hóa dữ liệu trước khi chuyển đến mạng công cộng. Thường là các bộ định tuyến, tường lửa, phần mềm tích hợp VPN và phần mềm VPN.

3/. Security Policy Server: Máy chủ bảo quản các danh sách điều khiển truy cập và

thông tin khác liên quan đến người dùng mà cổng nối dùng để xác định lưu lượng nào được phép.

4/. Certificate Authority: Máy server hoặc đơn vị thứ 3 để cấp và kiểm soát CA.

Hiện nay có nhiều loại công nghệ, giải pháp VPN, tuy nhiên các giải pháp VPN đều phải đáp ứng các yêu cầu:

1/. Xác thực ngƣời dùng (User Authentication): Cung cấp cơ chế chứng thực

người dùng, nghĩa là chỉ cho phép người dùng hợp lệ kết nối và truy cập hệ thống VPN.

2/. Điều khiển truy cập (Access Controlling): Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên VPN.

3/. Mã hóa dữ liệu (Data Encryption): Cung cấp giải pháp mã hóa dữ liệu trong

quá trình truyền nhằm đảm bảo tính bảo mật và toàn vẹn dữ liệu.

4/. Quản lý khóa (Key Management): Cung cấp giải pháp quản lý các khóa dùng

trong quá trình mã hóa và giải mã dữ liệu.

4.3.1.4. Các giao thức trong tạo đƣờng hầm

1/. Giao thức PPP (Point to Point Protocol)

+ PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng của mạng qua một loạt các điểm liên kết được thực hiện một cách dễ dàng. Một điểm ưa thích của PPP là nó không hạn chế tỷ lệ truyền dữ liệu.

+ Ngoài việc đóng gói các dữ liệu theo giao thức IP, không theo giao thức IP và việc truyền nó qua một loạt các điểm liên kết, PPP cũng chịu trách nhiệm về các chức năng sau:

- Chỉ định và quản trị các gói IP thành các gói không IP. - Cấu hình và kiểm tra các liên kết đã thiết lập.

- Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu. - Phát hiện lỗi trong khi truyền dữ liệu.

- Dồn kênh các giao thức mạng lớp hai.

- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ.

2/. Giao thức đƣờng hầm điểm (PPTP)

Giao thức đường hầm điểm nối điểm là giao thức VPN tầng 2 dựa trên giao thức điểm nối điểm PPP (Point to Point Protocol). PPTP định nghĩa một phương pháp mới trong việc vận chuyển lưu lượng VPN thông qua một mạng chung không an toàn. Giống PPP, PPTP cũng không hỗ trợ đa kết nối, tất cả các kết nối PPTP đều ở dạng điểm - điểm.

- Thiết lập và kết thúc các kết nối vật lý giữa hai đầu cuối thông tin. - Xác thực PPTP ở máy trạm.

3/. Chuyển tiếp tầng 2 (Layer Two Tunneling Protocol)

+ L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM (Asynchronous Transfer Mode), Frame Relay (FR), và PPP.

+ L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như driver và hệ điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng Intranet cũng không cần triển khai thêm các phần mềm chuyên biệt.

+ L2TP cho phép người dùng từ xa truy cập vào mạng thông qua mạng công cộng với một địa chỉ IP chưa đăng ký. (adsbygoogle = window.adsbygoogle || []).push({});

+ Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng chính (host network gateways). Do đó, ISP không cần giữ dữ liệu xác nhận hoặc quyền truy cập của người dùng từ xa. Hơn nữa, mạng riêng intranet có thể định nghĩa những chính sách truy cập riêng cho chính bản thân. Điều này làm qui trình xử lý của việc thiết lập tunnel nhanh hơn so với giao thức tạo tunnel trước đây.

4/. IPSec

+ IPSec là giao thức tầng 3 hỗ trợ việc truyền số liệu một cách an toàn qua mạng IP. Chế độ đường hầm IPSec đóng gói và mã hóa toàn bộ gói IP cho việc truyền dữ liệu an toàn qua mạng IP công cộng. Gói dữ liệu sau mã hóa được gắn thêm header chưa mã hóa để truyền tới điểm đích. Tại điểm đích, khi nhận được gói tin, quá trình được thực hiện ngược lại.

+ IPSec là một bộ giao thức chuẩn, nhằm cung cấp khả năng xác thực, bảo đảm tính toàn vẹn và tính bí mật của dữ liệu khi truyền trên mạng. Nó cung cấp khả năng bảo mật cho IP và các lớp cao hơn. IPSec cung cấp khả năng an toàn dữ liệu ở mức gói tin.

+ Nó thực hiện bảo vệ dữ liệu bằng cách mã hóa dữ liệu trước khi truyền và giải mã dữ liệu khi nhận được.

+ IPSec có thể hoạt động ở 2 chế độ khác nhau: chế độ đường hầm và chế độ vận chuyển. Đối với chế độ vận chuyển thì IPSec chỉ bảo vệ phần dữ liệu của gói tin IP còn trong chế độ đường hầm thì toàn bộ gói tin IP được IPSec bảo vệ. IPSec thực hiện điều này bằng cách chèn thêm phần IPSec header vào trong gói tin IP trước khi truyền đi.

+ Trong chế độ đường hầm thì gói tin IP gốc được đóng gói hoàn toàn bởi một gói tin IP khác với phần IP header mới thêm vào xác định gửi dữ liệu đến điểm cuối của kênh.

+ Để bảo đảm tính toàn vẹn của gói tin IP, IPSec dùng cơ chế băm sử dụng thuật toán băm MD5 dựa trên một khóa bí mật và nội dung của gói tin IP.

+ Để đảm bảo tính bí mật của gói tin IP, IPSec sử dụng các thuật toán mã hóa đối xứng. IPSec chuẩn yêu cầu sử dụng hoặc là thuật toán DES hoặc là NULL.

+ Để máy tính ở hai đầu của đường hầm có thể trao đổi dữ liệu được với nhau

Một phần của tài liệu Vấn đề an toàn thông tin trong Cơ sở dữ liệu Quốc gia Kinh tế Công nghiệp và Thương mại - Bộ Công thương (Trang 62)

(100 trang)