An toàn và bảo mật thông tin trên mạng máy tính vpubnd tỉnh Bắc Ninh

an toµn vµ b¶o mËt th«ng tin trªn m¹ng m¸y tÝ nh vp ubnd tØ nh b¾c ninh I. C¸c nguy c¬ ®e do¹ hÖ thèng vµ m¹ng m¸y tÝ nh I.1. M« t¶ c¸c nguy c¬ Chóng ta h·y h×nh dung víi mét hÖ thèng th«ng tin (M¹ng LAN, m¹ng INTRANET. . .) ®ang ho¹t ®éng, bçng ®Õn mét ngµy nµo ®ã nã bÞ tª liÖt toµn bé (®iÒu nµy kh«ng ph¶i lµ kh«ng thÓ x¶y ra) bëi mét kÎ ph¸ ho¹i cè t×nh nµo ®ã; hoÆc nhÑ nhµng h¬n b¹n ph¸t hiÖn thÊy c¸c d÷ liÖu quý b¸u cña m×nh bÞ sai l¹c mét c¸ch cè ý, thËm chÝ bÞ mÊt m¸t. HoÆc mét ngµy nµo ®ã b¹n nhËn thÊy c«ng viÖc kinh doanh cña m×nh bÞ thÊt b¹i th¶m h¹i bëi v× th«ng tin trong hÖ thèng cña b¹n bÞ kÎ kh¸c x©m nhËp vµ xem lÐn . . . Xö lý, ph©n tÝch, tæng hîp vµ b¶o mËt th«ng tin lµ hai mÆt cña mét vÊn ®Ò kh«ng thÓ t¸ch rêi nhau. Ngay tõ khi m¸y tÝnh ra ®êi, cïng víi nã lµ sù ph¸t triÓn ngµy cµng lín m¹nh vµ ®a d¹ng cña c¸c hÖ thèng xö lý th«ng tin ng−êi ta ®· nghÜ ngay ®Õn c¸c gi¶i ph¸p ®¶m b¶o an toµn cho hÖ thèng th«ng tin cña m×nh. Víi mét m¹ng m¸y tÝnh b¹n sÏ cã bao nhiªu nguy c¬ bÞ x©m ph¹m ? C©u tr¶ lêi chÝnh x¸c ®ã lµ ë mäi thêi ®iÓm, mäi vÞ trÝ trong hÖ thèng ®Òu cã kh¶ n¨ng xuÊt hiÖn. Chóng ta ph¶i kiÓm so¸t c¸c vÊn ®Ò an toµn m¹ng theo c¸c møc kh¸c nhau ®ã lµ : • Møc m¹ng: Ng¨n chÆn kÎ x©m nhËp bÊt hîp ph¸p vµo hÖ thèng m¹ng. • Møc Server: KiÓm so¸t quyÒn truy cËp, c¸c c¬ chÕ b¶o mËt, qu¸ tr×nh nhËn d¹ng ng−êi dïng, ph©n quyÒn truy cËp, cho phÐp c¸c t¸c vô • Møc CSDL: KiÓm so¸t ai? ®−îc quyÒn nh− thÕ nµo ? víi mçi c¬ së d÷ liÖu. • Møc tr−êng th«ng tin: Trong mçi c¬ së d÷ liÖu kiÓm so¸t ®−îc mçi tr−êng d÷ liÖu chøa th«ng tin kh¸c nhau sÏ cho phÐp c¸c ®èi t−îng kh¸c nhau cã quyÒn truy cËp kh¸c nhau. • Møc mËt m·: M· ho¸ toµn bé file d÷ liÖu theo mét ph−¬ng ph¸p nµo ®ã vµ chØ cho phÐp ng−êi cã “ ch×a kho¸” míi cã thÓ sö dông ®−îc file d÷ liÖu. 73 Theo quan ®iÓm hÖ thèng, mét xÝ nghiÖp (®¬n vÞ kinh tÕ c¬ së) ®−îc thiÕt lËp tõ ba hÖ thèng sau: ‰ HÖ thèng th«ng tin qu¶n lý. ‰ HÖ thèng trî gióp quyÕt ®Þnh. ‰ HÖ thèng c¸c th«ng tin t¸c nghiÖp. Trong ®ã hÖ thèng th«ng tin qu¶n lý ®ãng vai trß trung gian gi÷a hÖ thèng trî gióp quyÕt ®Þnh vµ hÖ thèng th«ng tin t¸c nghiÖp víi chøc n¨ng chñ yÕu lµ thu thËp, xö lý vµ truyÒn tin. Trong thêi gian gÇn ®©y, sè vô x©m nhËp tr¸i phÐp vµo c¸c hÖ thèng th«ng tin qua m¹ng Internet vµ Intranet ngµy cµng t¨ng. Cã nhiÒu nguyªn nh©n dÉn ®Õn viÖc c¸c m¹ng bÞ tÊn c«ng nhiÒu h¬n, trong sè nh÷ng nguyªn chÝnh cã thÓ kÓ ®Õn xu h−íng chuyÓn sang m«i tr−êng tÝnh to¸n client/server (kh¸ch/chñ), c¸c øng dông th−¬ng m¹i ®iÖn tö, viÖc h×nh thµnh c¸c m¹ng Intranet cña c¸c c«ng ty víi viÖc øng dông c«ng nghÖ Internet vµo c¸c m¹ng kiÓu nµy dÉn tíi xo¸ nhoµ ranh giíi gi÷a phÇn bªn ngoµi (Internet) vµ phÇn bªn trong (Intranet) cña m¹ng, t¹o nªn nh÷ng nguy c¬ míi vÒ an toµn th«ng tin. Còng cÇn l−u ý r»ng nh÷ng nguy c¬ mÊt an toµn th«ng tin kh«ng chØ do tÊn c«ng tõ bªn ngoµi mµ mét phÇn lín l¹i chÝnh lµ tõ néi bé: nh©n viªn bÊt m·n, sai sãt cña ng−êi sö dông, ý thøc b¶o mËt kÐm, . . . Internet Ethernet M¸y chñ truyÒn th«ng File Server M¸y chñ C¬ së D÷ liÖu Trung t©m chÝnh Chi nh¸nh ng−êi dïng di ®éng M¸y chñ truyÒn th«ng S¬ ®å tæng quan mét hÖ thèng tin häc Qua s¬ ®å tæng quan mét hÖ thèng tin häc ta cã thÓ thÊy c¸c vÞ trÝ cã nguy c¬ vÒ an toµn d÷ liÖu. C¸c ph−¬ng ph¸p tÊn c«ng vµo hÖ thèng th«ng tin cña nh÷ng kÎ ph¸ ho¹i (hacker) ngµy cµng trë nªn tinh vi, lîi dông nh÷ng ®iÓm yÕu c¬ b¶n cña m«i tr−êng tÝnh to¸n ph©n t¸n. Mét sè c¸c ph−¬ng ph¸p tÊn c«ng th−êng gÆp: 74 • C¸c thñ thuËt quan hÖ: Hacker m¹o nhËn lµ ng−êi trong c¬ quan, ng−êi phô tr¸ch m¹ng hoÆc nh©n viªn an ninh ®Ó hái mËt khÈu cña ng−êi sö dông. Víi nh÷ng m¹ng cã ng−êi sö dông tõ xa th× hacker lÊy lý do quªn mËt khÈu hoÆc bÞ háng ®Üa cøng ®Ó yªu cÇu cÊp l¹i mËt khÈu. • BÎ mËt khÈu: Hacker t×m c¸ch lÊy file mËt khÈu vµ sau ®ã tÊn c«ng b»ng tõ ®iÓn, dùa trªn c¸c thuËt to¸n m· ho¸ mµ c¸c hÖ ®iÒu hµnh sö dông. Nh÷ng mËt khÈu yÕu rÊt dÔ bÞ ph¸t hiÖn b»ng c¸ch nµy. • Virus vµ c¸c ch−¬ng tr×nh tÊn c«ng tõ bªn trong. Hacker cã thÓ sö dông chóng ®Ó thùc hiÖn nh÷ng viÖc nh−: b¾t c¸c ký tù gâ vµo tõ bµn phÝm ®Ó t×m mËt khÈu, chÐp trém file mËt khÈu, thay ®æi quyÒn cña ng−êi sö dông . . . • C¸c c«ng cô tÊn c«ng gi¶ m¹o ®Þa chØ (IP spoofing): hacker cã thÓ dïng nh÷ng c«ng cô nµy ®Ó lµm hÖ thèng t−ëng lÇm m¸y tÝnh cña hacker lµ mét m¸y trong m¹ng néi bé, hoÆc ®Ó xo¸ dÊu vÕt tr¸nh bÞ ph¸t hiÖn. • Phong to¶ dÞch vô (DoS - Denial of Service): kiÓu tÊn c«ng nµy nh»m lµm gi¸n ®o¹n ho¹t ®éng cña m¹ng, vÝ dô g©y lçi cña ch−¬ng tr×nh øng dông ®Ó lµm treo m¸y, t¹o nh÷ng th«ng ®iÖp gi¶ trªn m¹ng ®Ó chiÕm ®−êng truyÒn hoÆc lµm c¹n c«ng suÊt xö lý cña m¸y chñ. I.2. C¸c møc b¶o vÖ an toµn m¹ng V× kh«ng thÓ cã mét gi¶i ph¸p an toµn tuyÖt ®èi nªn ng−êi ta ph¶i sö dông ®ång thêi nhiÒu møc b¶o vÖ kh¸c nhau t¹o thµnh nhiÒu líp "rµo ch¾n" ®èi víi c¸c ho¹t ®éng x©m ph¹m. ViÖc b¶o vÖ th«ng tin trªn m¹ng chñ yÕu lµ b¶o vÖ th«ng tin cÊt gi÷ trªn c¸c m¸y tÝnh, ®Æc biÖt lµ trong c¸c Server cña m¹ng. V× thÕ mäi cè g¾ng tËp trung vµo viÖc x©y dùng c¸c møc "rµo ch¾n" tõ ngoµi vµo trong cho c¸c hÖ thèng kÕt nèi vµo m¹ng. Fire walls Physical protection Informaition Access Rights Login / Password Data encryption 75 • Líp b¶o vÖ trong cïng lµ quyÒn truy nhËp (Access rights) nh»m kiÓm so¸t c¸c tµi nguyªn (th«ng tin) cña m¹ng vµ quyÒn h¹n (cã thÓ thùc hiÖn c¸c thao t¸c g×) trªn tµi nguyªn ®ã. DÜ nhiªn lµ kiÓm so¸t ®−îc cÊu tróc d÷ liÖu cµng chi tiÕt cµng tèt. HiÖn t¹i viÖc kiÓm so¸t th−êng ë møc File • Líp b¶o vÖ tiÕp theo lµ ®¨ng ký tªn / mËt khÈu (Login/Password). Thùc ra ®©y còng lµ kiÓm so¸t quyÒn truy nhËp nh−ng kh«ng ph¶i truy nhËp ë møc th«ng tin mµ ë møc hÖ thèng (tøc lµ truy nhËp vµo m¹ng). §©y lµ ph−¬ng ph¸p b¶o vÖ phæ biÕn nhÊt v× nã ®¬n gi¶n Ýt phÝ tæn vµ rÊt cã hiÖu qu¶. Mçi ng−êi sö dông (kÓ c¶ ng−êi ®−îc quyÒn gi¸m qu¶n m¹ng - supervisor) muèn ®−îc vµo m¹ng ®Ó sö dông c¸c tµi nguyªn cña m¹ng ®Ò ph¶i cã ®¨ng ký tªn vµ mËt khÈu tr−íc. Ng−êi gi¸m qu¶n m¹ng cã tr¸ch nhiÖm qu¶n lý, kiÓm so¸t mäi ho¹t ®éng cña m¹ng vµ x¸c ®Þnh quyÒn truy nhËp ng−êi sö dông kh¸c tuú theo thêi gian vµ kh«ng gian. • §Ó b¶o mËt th«ng tin truyÒn trªn m¹ng, ng−êi ta sö dông c¸c ph−¬ng ph¸p m· ho¸ (Encryption). D÷ liÖu ®−îc biÕn ®æi tõ d¹ng nhËn thøc ®−îc sang d¹ng kh«ng nhËn thøc ®−îc theo mét thuËt to¸n nµo ®ã (t¹o mËt m·) vµ sÏ ®−îc biÕn ®æi ng−îc l¹i (gi¶i m·) ë tr¹m nhËn. §©y lµ líp b¶o vÖ th«ng tin rÊt quan träng vµ ®−îc sö dông réng r·i trong m«i tr−êng m¹ng . • B¶o vÖ vËt lý (Physical Protection) nh»m ng¨n c¶n c¸c truy nhËp vËt lý bÊt hîp ph¸p vµo hÖ thèng. Th−êng dïng c¸c biÖn ph¸p truyÒn thèng nh− ng¨n cÊm tuyÖt ®èi ng−êi kh«ng phËn sù vµo phßng ®Æt m¸y m¹ng, dïng æ kho¸ m¸y tÝnh, hoÆc cµi ®Æt c¬ chÕ b¸o ®éng khi cã truy nhËp vµo hÖ thèng... • §Ó b¶o vÖ tõ xa mét m¸y tÝnh hay cho c¶ mét m¹ng néi bé (Intranet), ng−êi ta th−êng dïng c¸c hÖ thèng ®Æc biÖt lµ t−êng löa (Firewall). Chøc n¨ng cña t−êng löa lµ ng¨n chÆn c¸c truy nhËp tr¸i phÐp (theo danh s¸ch truy nhËp ®· x¸c ®Þnh tr−íc) vµ thËm chÝ cã thÓ läc c¸c gãi tin mµ ta kh«ng muèn göi ®i hoÆc nhËn vµo v× mét lý do nµo ®ã. Ph−¬ng thøc b¶o vÖ nµy ®−îc dïng nhiÒu trong m«i tr−êng liªn m¹ng Internet. II. thiÕt kÕ chÝ nh s¸ch an ninh cho m¹ng KÕ ho¹ch an toµn th«ng tin ph¶i tÝnh ®Õn c¸c nguy c¬ tõ bªn ngoµi vµ tõ trong néi bé, ®ång thêi ph¶i kÕt hîp c¶ c¸c biÖn ph¸p kü thuËt vµ c¸c biÖn ph¸p qu¶n lý. Sau ®©y lµ c¸c b−íc cÇn tiÕn hµnh: 76 • X¸c ®Þnh c¸c yªu cÇu vµ chÝnh s¸ch an toµn th«ng tin: B−íc ®Çu tiªn trong kÕ ho¹ch an toµn th«ng tin lµ x¸c ®Þnh c¸c yªu cÇu truy nhËp vµ tËp hîp nh÷ng dÞch vô cung cÊp cho ng−êi sö dông trong vµ ngoµi c¬ quan, trªn c¬ së ®ã cã ®−îc c¸c chÝnh s¸ch t−¬ng øng. • ThiÕt kÕ an toµn vßng ngoµi: ViÖc thiÕt kÕ dùa trªn c¸c chÝnh s¸ch an toµn ®· x¸c ®Þnh tr−íc. KÕt qu¶ cña b−íc nµy lµ kiÕn tróc m¹ng cïng víi c¸c thµnh phÇn phÇn cøng vµ phÇn mÒm sÏ sö dông. Trong ®ã cÇn ®Æc biÖt chó ý hÖ thèng truy cËp tõ xa vµ c¬ chÕ x¸c thùc ng−êi dïng. • BiÖn ph¸p an toµn cho c¸c m¸y chñ vµ m¸y tr¹m: C¸c biÖn ph¸p an toµn vßng ngoµi, dï ®Çy ®ñ ®Õn ®©u, còng cã thÓ kh«ng ®ñ ®Ó chèng l¹i sù tÊn c«ng, ®Æc biÖt lµ sù tÊn c«ng tõ bªn trong. CÇn ph¶i kiÓm tra c¸c m¸y chñ vµ m¸y tr¹m ®Ó ph¸t hiÖn nh÷ng s¬ hë vÒ b¶o mËt. §èi víi filewall vµ c¸c m¸y chñ ë ngoµi cÇn kiÓm tra nh÷ng d¹ng tÊn c«ng denial of service. • KiÓm tra th−êng kú: CÇn cã kÕ ho¹ch kiÓm tra ®Þnh kú toµn bé hÖ thèng an toµn th«ng tin, ngoµi ra cÇn kiÓm tra l¹i mçi khi cã sù thay ®æi vÒ cÊu h×nh II.1.. KÕ ho¹ch an ninh m¹ng Chóng ta sÏ cÇn mét chÝnh s¸ch an ninh m¹ng nÕu tµi nguyªn vµ th«ng tin cña c«ng ty cÇn ®−îc b¶o vÖ. §a sè c¸c c«ng ty vµ tæ chøc ®Òu cã c¸c th«ng tin riªng, c¸c bÝ mËt c¹nh tranh trªn m¹ng. Nh÷ng th«ng tin nµy còng ph¶i ®−îc b¶o vÖ nh− c¸c tµi s¶n kh¸c cña c«ng ty. §Ó cã mét chÝnh s¸ch an ninh m¹ng hiÖu qu¶ th× chóng ta ph¶i tr¶ lêi ®−îc c©u hái: lo¹i dÞch vô nµo, lo¹i tµi nguyªn nµo ng−êi dïng ®−îc phÐp truy nhËp vµ lo¹i nµo th× bÞ cÊm ? NÕu hiÖn thêi nh÷ng ng−êi dïng trªn m¹ng cña chóng ta vÉn truy nhËp kh«ng h¹n chÕ th× còng t−¬ng ®èi khã kh¨n khi ¸p dông mét chÝnh s¸ch h¹n chÕ truy nhËp cña hä. ChÝnh s¸ch m¹ng kh«ng ph¶i lµ ®Ó lµm gi¶m chøc n¨ng cña tæ chøc chóng ta bëi v× nÕu chÝnh s¸ch Êy lµm h¹n chÕ kh¶ n¨ng thùc hiÖn c«ng viÖc cña ng−êi dïng th× hËu qu¶ sÏ lµ: Nh÷ng ng−êi dïng trªn m¹ng sÏ t×m c¸ch ®Ó bá qua thùc hiÖnchÝnh s¸ch, lµm cho chÝnh s¸ch mÊt hiÖu lùc. 77 II.2. ChÝ nh s¸ch an ninh néi bé Mét tæ chøc cã thÓ cã nhiÒu bé phËn ë nhiÒu n¬i, mçi bé phËn cã m¹ng riªng. NÕu tæ chøc lín th× mçi m¹ng ph¶i cã Ýt nhÊt mét ng−êi qu¶n trÞ m¹ng. NÕu c¸c n¬i kh«ng nèi víi nhau thµnh m¹ng néi bé th× chÝnh s¸ch an ninh còng cã nh÷ng ®iÓm kh¸c nhau. Th«ng th−êng th× tµi nguyªn m¹ng ë mçi n¬i bao gåm: • C¸c tr¹m lµm viÖc • C¸c thiÕt bÞ kÕt nèi: Gateway, Router, Bridge, repeater • C¸c Server • PhÇn mÒm m¹ng vµ phÇn mÒm øng dông • C¸p m¹ng • Th«ng tin trong c¸c tÖp vµ c¸c CSDL ChÝnh s¸ch an ninh t¹i chç ph¶i c©n nh¾c ®Õn viÖc b¶o vÖ c¸c tµi nguyªn nµy. §ång thêi còng ph¶i c©n nh¾c gi÷a c¸c yªu cÇu an ninh víi c¸c yªu cÇu kÕt nèi m¹ng bëi v× mét chÝnh s¸ch b¶o vÖ tèt cho m¹ng nµy l¹i bÊt lîi cho m¹ng kh¸c II.3. Ph−¬ng thøc thiÕt kÕ T¹o ra mét chÝnh s¸ch m¹ng cã nghÜa lµ lËp lªn c¸c thñ tôc vµ kÕ ho¹ch b¶o vÖ tµi nguyªn cña chóng ta khái mÊt m¸t vµ h− h¹i. Mét h−íng tiÕp cËn kh¶ thi lµ tr¶ lêi c¸c c©u hái sau : • Chóng ta muèn b¶o vÖ tµi nguyªn nµo ? • Chóng ta cÇn b¶o vÖ tµi nguyªn trªn khái nh÷ng ng−êi nµo ? • Cã c¸c mèi ®e do¹ nh− thÕ nµo ? • Tµi nguyªn quan träng tíi møc nµo ? • Chóng ta sÏ dïng c¸ch nµo ®Ó b¶o vÖ tµi nguyªn theo c¸ch tiÕt kiÖm vµ hîp lý nhÊt • KiÓm tra l¹i chÝnh s¸ch theo chu kú nµo ®Ó phï hîp víi c¸c thay ®æi vÒ môc ®Ých còng nh− vÒ hiÖn tr¹ng cña m¹ng ? Th−êng th× chi phÝ b¶o vÖ an ninh m¹ng vÉn cßn Ýt h¬n chi phÝ phôc håi l¹i m¹ng khi hiÓm ho¹ x¶y ra. NÕu ng−êi qu¶n trÞ m¹ng kh«ng ®ñ kiÕn thøc vÒ viÖc b¶o vÖ 78 nµy nhÊt thiÕt ph¶i hái nh÷ng ng−êi kh¸c, chuyªn vÒ phÇn tµi nguyªn mµ ng−êi qu¶n trÞ kh«ng biÕt. §ång thêi còng ph¶i cã mét nhãm ng−êi thuéc nhiÒu khu vùc tham gia vµo viÖc thiÕt kÕ chÝnh s¸ch an ninh th× chÝnh s¸ch míi toµn diÖn, cã tÝnh hîp t¸c vµ mäi ng−êi ®Òu chÊp nhËn. II.4. Ph©n tÝ ch nguy c¬ mÊt an ninh Tr−íc khi thiÕt lËp chÝnh s¸ch ta cÇn ph¶i biÕt râ tµi nguyªn nµo cÇn ®−îc b¶o vÖ, tøc lµ tµi nguyªn nµo cã tÇm quan träng lín h¬n ®Ó ®i ®Õn mét gi¶i ph¸p hîp lý vÒ kinh tÕ. §ång thêi ta còng ph¶i x¸c ®Þnh râ ®©u lµ nguån ®e do¹ tíi hÖ thèng. NhiÒu nghiªn cøu cho thÊy r»ng, thiÖt h¹i do nh÷ng kÎ "®ét nhËp bªn ngoµi" vÉn cßn nhá h¬n nhiÒu so víi sù ph¸ ho¹i cña nh÷ng "ng−êi bªn trong". Ph©n tÝch nguy c¬ bao gåm nh÷ng viÖc : • Ta cÇn b¶o vÖ nh÷ng g× ? • Ta cÇn b¶o vÖ nh÷ng tµi nguyªn khái nh÷ng g× ? • Lµm thÕ nµo ®Ó b¶o vÖ ? C¸c nguy c¬ còng ph¶i ®−îc xÕp h¹ng theo tÇm quan träng vµ møc ®é trÇm träng cña thiÖt h¹i. Cã hai hÖ sè sau : 1. Ri lµ nguy c¬ mÊt m¸t tµi nguyªn i 2. Wi lµ tÇm quan träng cña tµi nguyªn i Ri cã c¸c gi¸ trÞ tõ 0.0 ®Õn 1.0 trong ®ã : Ri = 0.0 lµ kh«ng cã nguy c¬ mÊt m¸t tµi nguyªn Ri = 1.0 lµ cã nguy c¬ mÊt m¸t tµi nguyªn cao nhÊt Wi cã c¸c gi¸ trÞ tõ 0.0 ®Õn 1.0 trong ®ã : Wi = 0.0 lµ tµi nguyªn kh«ng cã tÇm quan träng Wi = 1.0 lµ tµi nguyªn cã tÇm quan träng cao nhÊt Khi ®ã träng sè nguy c¬ cña tµi nguyªn lµ tÝch cña hai hÖ sè : WRi = Ri * Wi C¸c hÖ sè kh¸c cÇn xem xÐt lµ tÝnh hiÖu lùc, tÝnh toµn vÑn vµ tÝnh cÈn mËt. TÝnh hiÖu lùc cña mét tµi nguyªn lµ møc ®é quan träng cña viÖc tµi nguyªn ®ã lu«n s½n sµng dïng ®−îc mäi lóc. TÝnh toµn vÑn lµ tÇm quan träng cho c¸c tµi nguyªn 79 CSDL. TÝnh cÈn mËt ¸p dông cho c¸c tµi nguyªn nh− tÖp d÷ liÖu mµ ta cã h¹n chÕ ®−îc truy nhËp tíi chóng. II.5. X¸c ®Þ nh tµi nguyªn cÇn b¶o vÖ Khi thùc hiÖn ph©n tÝch ta còng cÇn x¸c ®Þnh tµi nguyªn nµo cã nguy c¬ bÞ x©m ph¹m. Quan träng lµ ph¶i liÖt kª ®−îc hÕt nh÷ng tµi nguyªn m¹ng cã thÓ bÞ ¶nh h−ëng khi gÆp c¸c vÊn ®Ò vÒ an ninh. 1. PhÇn cøng: Vi xö lý, b¶n m¹ch, bµn phÝm, terminal, tr¹m lµm viÖc, m¸y tÝnh c¸c nh©n, m¸y in, æ ®Üa, ®−êng liªn l¹c, server, router 2. PhÇn mÒm: Ch−¬ng tr×nh nguån, ch−¬ng tr×nh ®èi t−îng, tiÖn Ých,ch−¬ng tr×nh kh¶o s¸t, hÖ ®iÒu hµnh, ch−¬ng tr×nh truyÒn th«ng. 3. D÷ liÖu: Trong khi thùc hiÖn, l−u tr÷ trùc tuyÕn, cÊt gi÷ off-line, backup, c¸c nhËt ký kiÓm tra, CSDL truyÒn trªn c¸c ph−¬ng tiÖn liªn l¹c. 4. Con ng−êi: Ng−êi dïng, ng−êi cÇn ®Ó khëi ®éng hÖ thèng. 5. Tµi liÖu: VÒ ch−¬ng tr×nh , vÒ phÇn cøng, vÒ hÖ thèng, vÒ thñ tôc qu¶n trÞ côc bé. 6. Nguån cung cÊp: giÊy in, c¸c b¶ng biÓu, b¨ng mùc, thiÕt bÞ tõ. II.6. X¸c ®Þ nh mèi ®e do¹ an ninh m¹ng Sau khi ®· x¸c ®Þnh nh÷ng tµi nguyªn nµo cÇn ®−îc b¶o vÖ, chóng ta còng cÇn x¸c ®Þnh xem cã c¸c mèi ®e do¹ nµo nh»m vµo c¸c tµi nguyªn ®ã. Cã thÓ cã nh÷ng mèi ®e do¹ sau: Truy nhËp bÊt hîp ph¸p: ChØ cã nh÷ng ng−êi dïng hîp ph¸p míi cã quyÒn truy nhËp tµi nguyªn m¹ng, khi ®ã ta gäi lµ truy nhËp hîp ph¸p. Cã rÊt nhiÒu d¹ng truy nhËp ®−îc gäi lµ bÊt hîp ph¸p ch¼ng h¹n nh− dïng tµi kho¶n cña ng−êi kh¸c khi kh«ng ®−îc phÐp. Møc ®é trÇm träng cña viÖc truy nhËp bÊt hîp ph¸p tuú thuéc vµo b¶n chÊt vµ møc ®é thiÖt h¹i do truy nhËp ®ã g©y nªn. §Ó lé th«ng tin: 80 §Ó lé th«ng tin do v« t×nh hay cè ý lµ mét mèi ®e do¹ kh¸c. Chóng ta nªn ®Þnh ra c¸c gi¸ trÞ ®Ó ph¶n ¸nh tÇm quan träng cña th«ng tin. VÝ dô ®èi víi c¸c nhµ s¶n xuÊt phÇn mÒm th× ®ã lµ: m· nguån, chi tiÕt thiÕt kÕ, biÓu ®å, th«ng tin c¹nh tranh vÒ s¶n phÈm... NÕu ®Ó lé c¸c th«ng tin quan träng, tæ chøc cña chóng ta cã thÓ bÞ thiÖt h¹i vÒ c¸c mÆt nh− uy tÝn, tÝnh c¹nh tranh, lîi Ých kh¸ch hµng... Tõ chèi cung cÊp dÞch vô: M¹ng th−êng gåm nh÷ng tµi nguyªn quý b¸u nh− m¸y tÝnh, CSDL ... vµ cung cÊp c¸c dÞch vô cho c¶ tæ chøc. §a phÇn ng−êi dïng trªn m¹ng ®Òu phô th−éc vµo c¸c dÞch vô ®Ó thùc hiÖn c«ng viÖc ®−îc hiÖu qu¶. Chóng ta rÊt khã biÕt tr−íc c¸c d¹ng tõ chèi cña mét dÞch vô. Cã thÓ t¹m thêi liÖt kª ra mét sè d¹ng sau: • M¹ng kh«ng dïng ®−îc do mét gãi g©y lçi • M¹ng kh«ng dïng ®−îc do qu¸ t¶i giao th«ng • M¹ng bÞ ph©n m¶nh do mét router quan träng bÞ v« hiÖu ho¸ • Mét virus lµm chËm hÖ thèng do dïng c¸c tµi nguyªn m¹ng • ThiÕt bÞ b¶o vÖ m¹ng bÞ v« hiÖu ho¸ II.1.7. Tr¸ch nhiÖm sö dông m¹ng Ai ®−îc quyÒn dïng tµi nguyªn m¹ng Ta ph¶i liÖt kª tÊt c¶ ng−êi dïng cÇn truy nhËp tíi tµi nguyªn m¹ng. Kh«ng nhÊt thiÕt liÖt kª toµn bé ng−êi dïng. NÕu ph©n nhãm cho ng−êi dïng th× viÖc liÖt kª sÏ ®¬n gi¶n h¬n. §ång thêi ta còng ph¶i liÖt kª mét nhãm ®Æc biÖt gäi lµ c¸c ng−êi dïng bªn ngoµi, ®ã lµ nh÷ng ng−êi truy nhËp tõ mét tr¹m ®¬n lÎ hoÆc tõ mét m¹ng kh¸c. Sö dông tµi nguyªn thÕ nµo cho ®óng ? Sau khi x¸c ®Þnh nh÷ng ng−êi dïng ®−îc phÐp truy nhËp tµi nguyªn m¹ng, chóng ta ph¶i tiÕp tôc x¸c ®Þnh xem c¸c tµi nguyªn ®ã sÏ ®−îc dïng nh− thÕ nµo. Nh− vËy ta ph¶i ®Ò ra ®−êng lèi cho tõng líp ng−êi sö dông nh−: Nh÷ng nhµ ph¸t triÓn phÇn mÒm, sinh viªn, nh÷ng ng−êi ngoµi. Sau ®©y lµ mét sè ®iÒu kho¶n cÇn cã cho ®−êng lèi chØ ®¹o chung: • Sö dông tµi kho¶n ng−êi kh¸c cã ®−îc phÐp kh«ng ? 81 • Cã ®−îc phÐp dïng ch−¬ng tr×nh t×m mËt khÈu kh«ng ? • Cã ®−îc phÐp ng¾t mét dÞch vô kh«ng ? • Cã ®−îc söa ®æi mét tÖp kh«ng thuéc së h÷u nh−ng l¹i cã quyÒn ghi kh«ng ? • Cã ®−îc phÐp cho ng−êi kh¸c dïng tµi kho¶n riªng kh«ng ? Ai cã quyÒn cÊp ph¸t truy nhËp ? ChÝnh s¸ch an ninh m¹ng ph¶i x¸c ®Þnh râ ai cã quyÒn cÊp ph¸t dÞch vô cho ng−êi dïng. §ång thêi còng ph¶i x¸c ®Þnh nh÷ng kiÓu truy nhËp mµ ng−êi dïng cã thÓ cÊp ph¸t l¹i. NÕu ®· biÕt ai lµ ng−êi cã quyÒn cÊp ph¸t truy nhËp th× ta cã thÓ biÕt ®−îc kiÓu truy nhËp ®· ®−îc cÊp ph¸t, biÕt ®−îc ng−êi dïng cã ®−îc cÊp ph¸t qu¸ quyÒn h¹n kh«ng. Ta ph¶i c©n nh¾c hai ®iÒu sau: • Truy nhËp dÞch vô cã ®−îc cÊp ph¸t tõ mét ®iÓm trung t©m kh«ng ? • Ph−¬ng thøc nµo ®−îc dïng ®Ó t¹o tµi kho¶n míi vµ kÕt thóc truy nhËp ? NÕu mét tæ chøc lín mµ kh«ng tËp trung th× tÊt nhiªn lµ cã nhiÒu ®iÓm trung t©m ®Ó cÊp ph¸t truy nhËp, mçi ®iÓm trung t©m ph¶i chÞu tr¸ch nhiÖm cho tÊt c¶ c¸c phÇn mµ nã cÊp ph¸t truy nhËp. Ng−êi dïng cã quyÒn h¹n vµ tr¸ch nhiÖm g× ? Sau ®©y lµ danh s¸ch c¸c ®iÒu kho¶n ¸p dông cho ng−êi dïng: • Ph¶i tu©n thñ mäi ®−êng lèi liªn quan ®Õn viÖc sö dông m¹ng. • Ph¶i chÞu ph¹t nÕu vi ph¹m nh÷ng g× ®−îc coi lµ l¹m dông tµi nguyªn, ¶nh h−ëng ®Õn ho¹t ®éng hÖ thèng. • Ng−êi dïng ®−îc phÐp chia sÎ tµi kho¶n kh«ng ? • Ng−êi dïng cã ®−îc phÐp tiÕt lé mËt khÈu ®Ó ng−êi kh¸c lµm viÖc hé m×nh kh«ng ? • Tu©n theo mäi chÝnh s¸ch vÒ mËt khÈu bao gåm: thêi h¹n thay ®æi mËt khÈu, nh÷ng yªu cÇu ®èi víi mËt khÈu... • Ng−êi dïng cã tr¸ch nhiÖm sao l−u d÷ liÖu cña m×nh kh«ng hay ®©y lµ tr¸ch nhiÖm cña ng−êi qu¶n trÞ ? • HËu qu¶ cña viÖc ng−êi dïng tiÕt lé c¸c th«ng tin ®éc quyÒn, ng−êi nµy sÏ bÞ ph¹t thÕ nµo ? 82 • §¶m b¶o c¸c ®iÒu kho¶n vÒ tÝnh riªng t− cña th− tÝn ®iÖn tö. Ng−êi qu¶n trÞ hÖ thèng cã quyÒn h¹n vµ tr¸ch nhiÖm g× ? Ng−êi qu¶n trÞ hÖ thèng th−êng xuyªn ph¶i thu thËp th«ng tin vÒ c¸c tÖp trong c¸c th− môc riªng cña ng−êi dïng ®Ó t×m hiÓu c¸c vÊn ®Ò hÖ thèng. Ng−îc l¹i, ng−êi dïng ph¶i gi÷ g×n bÝ mËt riªng t− vÒ th«ng tin cña hä. V× thÕ mµ chÝnh s¸ch m¹ng ph¶i x¸c ®Þnh xem ng−êi qu¶n trÞ cã ®−îc phÐp kiÓm tra th− môc cña ng−êi dïng khi cã vi ph¹m an ninh hay kh«ng. NÕu an ninh cã nguy c¬ th× ng−êi qu¶n trÞ ph¶i cã kh¶ n¨ng linh ho¹t ®Ó gi¶i quyÕt vÊn ®Ò. Cßn c¸c ®iÒu kho¶n cã liªn quan kh¸c nh− sau: Ng−êi qu¶n trÞ hÖ thèng cã ®−îc theo dâi hay ®äc c¸c tÖp cña ng−êi dïng víi bÊt cø lý do g× hay kh«ng ? Ng−êi qu¶n trÞ m¹ng cã quyÒn kiÓm tra giao th«ng m¹ng vµ giao th«ng ®Õn tr¹m hay kh«ng ? Ng−êi dïng, ng−êi qu¶n trÞ hÖ thèng, c¸c tæ chøc cã tr¸ch nhiÖm ph¸p lý nµo ®èi víi viÖc truy nhËp tr¸i phÐp tíi d÷ liÖu riªng t− cña ng−êi kh¸c, cña tæ chøc kh¸c? Lµm g× víi c¸c th«ng tin quan träng Theo quan ®iÓm an ninh, c¸c d÷ liÖu cùc kú quan träng ph¶i ®−îc h¹n chÕ, chØ mét sè Ýt m¸y vµ Ýt ng−êi cã thÓ truy nhËp. Tr−íc khi cÊp ph¸t truy nhËp cho mét ng−êi dïng, ph¶i c©n nh¾c xem nÕu anh ta cã kh¶ n¨ng ®ã th× anh ta cã thÓ thu ®−îc c¸c truy nhËp kh¸c kh«ng ? Ngoµi ra còng ph¶i b¸o cho ng−êi dïng biÕt lµ dÞch vô nµo t−¬ng øng víi viÖc l−u tr÷ th«ng tin quan träng cña anh ta. II.1.8. KÕ ho¹ch hµnh ®éng khi chÝ nh s¸ch bÞ vi ph¹m Mçi khi chÝnh s¸ch bÞ vi ph¹m còng cã nghÜa lµ hÖ thèng ®øng tr−íc nguy c¬ mÊt an ninh. Khi ph¸t hiÖn vi ph¹m, chóng ta ph¶i ph©n lo¹i lý do vi ph¹m ch¼ng h¹n nh− do ng−êi dïng cÈu th¶, lçi hoÆc v« ý, kh«ng tu©n thñ chÝnh s¸ch... Ph¶n øng khi cã vi ph¹m Khi vi ph¹m x¶y ra th× mäi ng−êi dïng cã tr¸ch nhiÖm ®Òu ph¶i liªn ®íi. ta ph¶i ®Þnh ra c¸c hµnh ®éng t−¬ng øng víi c¸c kiÓu vi ph¹m. §ång thêi mäi ng−êi ®Òu ph¶i biÕt c¸c quy ®Þnh nµy bÊt kÓ ng−êi trong tæ chøc hoÆc ng−êi ngoµi ®Õn sö dông m¸y. Chóng ta ph¶i l−êng tr−íc tr−êng hîp vi ph¹m kh«ng cè ý ®Ó gi¶i quyÕt linh ho¹t, lËp c¸c sæ ghi chÐp vµ ®Þnh kú xem l¹i ®Ó ph¸t hiÖn c¸c khuynh h−íng vi ph¹m còng nh− ®Ó ®iÒu chØnh c¸c chÝnh s¸ch khi cÇn. 83 Ph¶n øng khi ng−êi dïng côc bé vi ph¹m Ng−êi dïng côc bé cã c¸c vi ph¹m sau: • Vi ph¹m chÝnh s¸ch côc bé. • Vi ph¹m chÝnh s¸ch cña c¸c tæ chøc kh¸c. Tr−êng hîp thø nhÊt chÝnh chóng ta, d−íi quan ®iÓm cña ng−êi qu¶n trÞ hÖ thèng sÏ tiÕn hµnh viÖc xö lý. Trong tr−êng hîp thø hai phøc t¹p h¬n cã thÓ x¶y ra khi kÕt nèi Internet, chóng ta ph¶i xö lý cïng c¸c tæ chøc cã chÝnh s¸ch an ninh bÞ vi ph¹m. ChiÕn l−îc ph¶n øng Chóng ta cã thÓ sö dông mét trong hai chiÕn l−îc sau: • B¶o vÖ vµ xö lý. • Theo dâi vµ truy tè. Trong ®ã, chiÕn l−îc thø nhÊt nªn ®−îc ¸p dông khi m¹ng cña chóng ta dÔ bÞ x©m ph¹m. Môc ®Ých lµ b¶o vÖ m¹ng ngay lËp tøc xö lý, phôc håi vÒ t×nh tr¹ng b×nh th−êng ®Ó ng−êi dïng tiÕp tôc sö dông ®−îc, nh− thÕ ta ph¶i can thiÖp vµo hµnh ®éng cña ng−êi vi ph¹m vµ ng¨n c¶n kh«ng cho truy nhËp n÷a. §«i khi kh«ng thÓ kh«i phôc l¹i ngay th× chóng ta ph¶i c¸h ly c¸c ph©n ®o¹n m¹ng vµ ®ãng hÖ thèng ®Ó kh«ng cho truy nhËp bÊt hîp ph¸p tiÕp tôc. Ii.9. §Þ nh c¸c lçi an ninh Ngoµi viÖc nªu ra nh÷ng g× cÇn b¶o vÖ, chóng ta ph¶i nªu râ nh÷ng lçi g× g©y ra mÊt an ninh vµ lµm c¸ch nµo ®Ó b¶o vÖ khái c¸c lçi ®ã. Tr−íc khi tiÕn hµnh c¸c thñ tôc an ninh, nhÊt ®Þnh chóng ta ph¶i biÕt møc ®é quan träng cña c¸c tµi nguyªn còng nh− møc ®é cña nguy c¬. II.9.1. Lçi ®iÓm truy nhËp Lçi ®iÓm truy nhËp lµ ®iÓm mµ nh÷ng ng−êi dïng kh«ng hîp lÖ cã thÓ ®i vµo hÖ thèng, cµng nhiÒu ®iÓm truy nhËp cµng cã nguy cã mÊt an ninh. II.9.2. Lçi cÊu h×nh hÖ thèng Khi mét kÎ tÊn c«ng th©m nhËp vµo m¹ng, h¾n th−êng t×m c¸ch ph¸ ho¹i c¸c m¸y trªn hÖ thèng. NÕu c¸c m¸y ®−îc cÊu h×nh sai th× hÖ thèng cµng dÔ bÞ ph¸ ho¹i. Lý do cña viÖc cÊu h×nh sai lµ ®é phøc t¹p cña hÖ ®iÒu hµnh, ®é phøc t¹p cña phÇn mÒm ®i kÌm vµ hiÓu biÕt cña ng−êi cã tr¸ch nhiÖm ®Æt cÊu h×nh. Ngoµi 84 ra, mËt khÈu vµ tªn Login dÔ ®o¸n còng lµ mét s¬ hë ®Ó nh÷ kÎ tÊn c«ng cã c¬ héi truy nhËp hÖ thèng. II.9.3. Lçi phÇn mÒm PhÇn mÒm cµng phøc t¹p th× lçi cña nã cµng phøc t¹p. Khã cã phÇn mÒm nµo mµ kh«ng gÆp lçi. Nh÷ng kÎ tÊn c«ng n¾m ®−îc lçi cña phÇn mÒm, nhÊt lµ phÇn mÒm hÖ thèng th× viÖc ph¸ ho¹i còng kh¸ dÔ dµng. Ch¼ng h¹n nÕu dïng hÖ ®iÒu hµnh næi tiÕng th× c¸c lçi an ninh còng næi tiÕng, viÖc dïng ®iÓm yÕu cña phÇn mÒm ®Ó thu ®−îc c¸c truy nhËp −u tiªn kh«ng ph¶i lµ khã. Ng−êi qu¶n trÞ cÇn cã tr¸ch nhiÖm duy tr× c¸c b¶n cËp nhËt, c¸c b¶n söa ®æi còng nh− th«ng b¸o c¸c lçi cho ng−êi s¶n xuÊt ch−¬ng tr×nh. II.9.4. Lçi cña ng−êi dïng néi bé Ng−êi dïng néi bé th−êng cã nhiÒu truy nhËp hÖ thèng h¬n nh÷ng ng−êi bªn ngoµi, nhiÒu truy nhËp tíi phÇn mÒm h¬n phÇn cøng do ®ã ®Ô dµng ph¸ ho¹i hÖ thèng. §a sè c¸c dÞch vô TCP/IP nh− telnet, tfp, rlogin ®Òu cã ®iÓm yÕu lµ truyÒn mËt khÈu trªn m¹ng mµ kh«ng m· ho¸ nªn nÕu lµ ng−êi trong m¹ng th× hä cã kh¶ n¨ng rÊt lín vµ dÔ dµng n¾m ®−îc mËt khÈu víi sù trî gióp cña c¸c ch−¬ng tr×nh ®Æc biÖt. II.9.5. Lçi an ninh vËt lý NÕu m¸y tÝnh kh«ng an toµn vÒ mÆt vËt lý th× c¸c c¬ cÊu an ninh phÇn mÒm dÔ dµng bÞ v−ît qua. NÕu c¸c tr¹m kh«ng cã ai tr«ng coi, d÷ liÖu trªn æ cøng dÔ bÞ xo¸ s¹ch hoÆc nÕu nã ®ang ë chÕ ®é cã quyÒn h¹n c¸o th× quyÒn h¹n nµy cã thÓ bÞ lîi dông lµm nh÷ng viÖc kh«ng ®−îc phÐp. C¸c tµi nguyªn trong c¸c trôc x−¬ng sèng (backbone), ®−êng liªn l¹c, server quan träng... ®Òu ph¶i ®−îc gi÷ trong c¸c khu vùc an toµn vÒ vËt lý. An toµn vËt lý cã nghÜa lµ m¸y ®−îc kho¸ ë trong mét phßng kÝn hoÆc ®Æt ë nh÷ng n¬i ng−êi ngoµi kh«ng thÓ truy nhËp vËt lý tíi d÷ liÖu trong m¸y. II.9.6. Lçi b¶o mËt B¶o mËt mµ chóng ta hiÓu ë ®©y lµ hµnh ®éng gi÷ bÝ mËt mét ®iÒu g×, th«ng tin rÊt dÔ lé ra trong nh÷ng tr−êng hîp sau: Khi th«ng tin l−u trªn m¸y tÝnh. Khi th«ng tin ®ang chuyÓn tíi mét hÖ thèng kh¸c. Khi th«ng tin l−u trªn c¸c b¨ng tõ sao l−u. §èi víi th«ng tin l−u trªn m¸y tÝnh th× viÖc truy nhËp ®−îc truy nhËp bëi quyÒn h¹n tÖp, danh s¸ch ®iÒu khiÓn truy nhËp ALC (Access Control List)... Víi c¸c th«ng tin trªn ®−êng truyÒn th× cã thÓ b¶o vÖ b»ng m· ho¸ hoÆc Gateway t−êng löa. M· ho¸ cã thÓ dïng b¶o vÖ cho c¶ ba tr−êng hîp. Cßn víi c¸c th«ng 85 tin l−u trªn b¨ng tõ th× an ninh vËt lý lµ quan träng, nªn cÊt b¨ng tõ trong tñ b¶o mËt. 86 IIi. bøc t−êng löa. III.1.1. Kh¸i niÖm vÒ bøc t−êng löa. Bøc t−êng löa (Firewall) hiÓu mét c¸ch chung nhÊt, lµ c¬ cÊu ®Ó b¶o vÖ mét m¹ng m¸y tÝnh chèng l¹i sù truy nhËp bÊt hîp ph¸p tõ c¸c (m¹ng) m¸y tÝnh kh¸c. Firewall bao gåm hai c¬ cÊu nh»m: • Ng¨n chÆn truy nhËp bÊt hîp ph¸p. • Cho phÐp truy nhËp sau khi ®· kiÓm tra tÝnh x¸c thùc cña thùc thÓ yªu cÇu truy nhËp. Trªn thùc tÕ, firewall ®−îc thÓ hiÖn rÊt kh¸c nhau: b»ng phÇn mÒm hoÆc phÇn cøng chuyªn dïng, sö