1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC

TIỂU LUẬN MÔN HỌC
AN NINH MẠNG
Nội dung:
MÔ HÌNH BẢO MẬT MẠNG
Network Security Model (NSM)

Giảng viên:

PGS, TSKH. Hoàng Đăng Hải Nhóm thực hiện: Nguyễn Vũ Quang
Nguyễn Quốc Chính

Bài tiểu luận này dựa trên một nghiên cứu của Phòng đọc về bảo mật mạng
(SANS Information Security Reading Room) của Học viện SANS (SysAdmin,
Audit, Network, Security) là học viện hàng đầu về bảo mật mạng. Nội dung nghiên
cứu có thể tham khảo tại:
/>security-model_32843
3

MỤC LỤC
1. Giới thiệu 4
1.1 Giới thiệu mô hình An ninh Mạng (Network Security Model - NSM) 4
1.2 Tại sao chúng ta cần một mô hình bảo mật mạng? 5
2. Tìm hiểu mô hình bảy lớp NMS: Lớp vật lý 6
2.1 Lớp vật lý là gì? 6
2.2 Các phần tử của lớp vật lý 6
3. Tìm hiểu mô hình bảy lớp NSM: Lớp VLAN 7
3.1 Lớp VLAN là gì? 7
3.2 Thực hiện an ninh VLAN 7
3.3 Tại sao lớp VLAN là quan trọng trong bảo mật? 7
4. Tìm hiều mô hình bảy lớp NSM: Lớp ACL 8
4.1 Lớp ACL là gì? 8
4.2 Thực hiện bảo mật lớp ACL 8
4.3 Tại sao lớp ACl quan trọng với công tác bảo mật? 9
5. Tìm hiểu mô hình lớp NSM: Lớp phần mềm 9
5.1 Lớp phần mềm là gì? 9
5.2 Thực hiên bảo mật phần mềm 9
5.3 Tại sao lớp phần mềm lại quan trọng đối với bảo mật mạng? 10
6. Tìm hiểu mô hình bảy lớp NSM: Lớp người dùng 10
6.1 Thế nào là lớp người dùng? 10
6.2 Thực hiện bảo mật người dùng 10
6.3 Tại sao lớp người dùng lại quan trọng trong vấn đề bảo mật? 11

ngày nay đều có cấu trúc dựa trên nó. Nhưng cũng giống như mô hình OSI không
bao giờ đủ với chúng ta, chúng ta nhận thấy rằng chúng ta đang thiếu một tiêu
chuẩn mà tất cả các chuyên gia an ninh mạng có thể tuân thủ, một mô hình an ninh
mạng (NSM). Ngày nay mạng lưới tinh vi và phức tạp cung cấp các nội dung cơ
bản cho NSM.
Mô hình an ninh mạng (NMS) đề xuất ở đây là mô hình bảy lớp rằng thực
hiện việc chia các nhiệm vụ khó khăn của an ninh hạ Lớp mạng thành bảy phần có
thể quản lý. Mô hình là tổng quát và có thể áp dụng tới tất cả các thành phần và các
thiết bị an ninh. Sự phát triển của NSM là quan trọng bởi vì sự thống nhất là cần
thiết trong các mạng bảo mật, chỉ có sự thống nhất là cần thiết trong kiến trúc của
mạng lưới với sự phát triển của mô hình OSI. Khi một cuộc tấn công trên mạng có
đã thành công, nó sẽ dễ dàng hơn để xác định vị trí các vấn đề cơ bản và sửa lỗi
với việc sử dụng của NSM.
NSM sẽ cung cấp một cách để giảng dạy và thực hiện đo đạc các biện pháp
an ninh mạng cơ bản và các thiết bị cũng như xác định vị trí các vấn đề có thể cho
phép một cuộc tấn công thành công. Theo truyền thống chúng ta làm việc từ phía
dưới lên để xác định lớp nào bị lỗi trên mô hình OSI, nhưng trên NSM, chúng ta sẽ
làm việc từ trên xuống để xác định lớp nào bị lỗi. Xem NSM (Hình 1.1). Một khi
lớp bị lỗi được tìm thấy, chúng ta có thể xác định rằng tất cả các lớp ở trên này lớp
cũng bị lỗi. Một chuyên gia an ninh mạng sẽ có đầy đủ các quyền để nhanh chóng
xác định nếu máy chủ khác có thể đã bị xâm nhập với đến từng lớp và biết làm thế
nào để bảo vệ nó chống lại cùng một kiểu tấn công trong tương lai.
Thông qua bài tiểu luận này, chúng tôi sẽ làm việc từ trên xuống dưới để
miêu tả từng lớp là gì và cách để các lớp của NMS làm việc với nhau để hoàn toàn
hoàn thành việc bảo mật mạng.
5
Hình 1.1 – Mô hình an ninh mạng


Điều quan trọng nhất của lớp vật lý là an ninh vật lý. An ninh vật lý được áp
dụng để ngăn chặn kẻ tấn công truy cập vào thiết bị để có được các dữ liệu được
lưu trữ trên máy chủ, máy tính, hoặc các phương tiện khác. An ninh vật lý là lớp
đầu tiên được lựa chọn bởi vì nó là một điểm làm ngắt quãng cho bất kỳ mạng nào.
Trong bất kỳ kịch bản cung cấp các thiết bị khác, chẳng hạn như các tường lửa, sẽ
không giúp an ninh của bạn nếu lớp vật lý bị tấn công. Vì lý do này, chúng ta có
thể nói rằng nếu các lớp bên dưới lớp vật lý bị hỏng thì lớp vật lý đã bị hỏng bởi vì
những kẻ tấn công sẽ có thể thao tác dữ liệu như thể họ đã xâm nhập các thiết bị.
An ninh vật lý có nhiều hình thức bao gồm cả thiết kế trang web, các thiết bị kiểm
soát truy cập, báo động, hoặc máy ảnh.
Lớp vật lý là một trong những lớp đơn giản nhất để bảo mật bởi vì nó không
đòi hỏi khái niệm kỹ thuật tiên tiến để làm như vậy. Một công ty có thể được thuê
để cài đặt một hệ thống báo động, hoặc một nhân viên có thể được thuê để đứng
như một người bảo vệ an ninh. Chúng tôi sẽ tìm hiểu các thiết bị lớp vật lý có thể
chứa trong phần tiếp theo.

2.2 Các phần tử của lớp vật lý

Hình thức đầu tiên của an ninh vật lý bao gồm thiết kế vị trí. Thiết kế vị trí
bao gồm các đặc điểm được đặt trên nền đất xung quanh bên ngoài của tòa nhà.
Một số các thiết bị này bao gồm hàng rào, dây thép gai, tín hiệu cảnh báo, hàng rào
kim loại hoặc bê tông và đèn chiếu sáng. Những hình thức bảo mật không phải lúc
nào cũng thiết thực trừ khi phương tiện có chứa dữ liệu nhạy cảm cao.
Hình thức thứ hai của an ninh vật lý bao gồm các thiết bị điều khiển truy
nhập. Các thiết bị điều khiển truy nhập bao gồm cửa, cửa ra vào, và các khóa cơ
khí hoặc khóa điện tử. Khóa có thể có vẻ cổ xưa, nhưng chúng thực sự đang có
hiệu quả chi phí nhất để tăng cường an ninh. Cửa khóa nên được đặt trước tất cả
các khu vực mà có thể chứa các máy chủ hoặc có khả năng chứa máy chủ.
Các hình thức thứ ba của an ninh vật lý là chuông báo động. Chuông báo

đặt một bộ phận kế toán trên một VLAN riêng biệt với bộ phận tiếp thị là một
quyết định thông minh bởi vì họ không phải chia sẻ cùng một dữ liệu. Điều này
chia các mạng lưới vào các khu vực kém an toàn hơn và an toàn hơn. Trong phần
tiếp theo chúng ta sẽ thảo luận về việc thực hiện của VLAN.

3.2 Thực hiện an ninh VLAN

Bước đầu tiên trong việc thực hiện VLAN là xác định các mạng công cộng
và mạng riêng tư. Bất kỳ thiết bị phải giao tiếp với bên ngoài nào nên được đặt trên
VLAN công cộng. Ví dụ này bao gồm các máy chủ web, máy chủ FTP bên ngoài,
và các máy chủ DNS bên ngoài. Bước tiếp theo là đặt các thiết bị nội bộ trên
VLAN riêng tư, mà nó có thể được chia thành các VLAN người dùng nội bộ và
VLAN máy chủ nội bộ. Bước cuối cùng là chia người sử dụng VLAN nội bộ và
các VLAN máy chủ nội bộ bởi bộ phân và nhóm các dữ liệu tương ứng.

3.3 Tại sao lớp VLAN là quan trọng trong bảo mật?

Các VLAN là một lớp cơ bản cho NSM vì một mạng lưới mà không có phân
đoạn chứa một cụm máy chủ và các thiết bị thì không có bất kỳ sự rõ ràng nào
trong tổ chức. Các VLAN được sử dụng để thực hiện các danh sách điều khiển truy
8

nhập để bảo vệ dữ liệu từ những người dùng không cần truy cập vào nó. Mặc dù
các VLAN có thể được thực hiện độc lập đối với ACL, điều quan trọng là cần lưu
ý rằng chúng cũng bắt tay với nhau. Người ta thường sẽ thêm các ACL vào một
VLAN để hạn chế, hoặc cấp phép, truy cập đến/từ phân khúc đó. Lý do chính mà
hai lớp này tồn tại độc lập với nhau là bởi vì VLAN có thể thay đổi mà không thay
đổi các ACL đi cùng với chúng. Điều này cũng tương tự ngược lại.
VLAN cũng là một cách tốt để tìm thấy một máy chủ khai thác. Bằng cách
nhìn thấy lưu lượng truy nhập tăng đến từ một VLAN cụ thể, một chuyên gia an

Hầu như tất cả các chuyên gia bảo mật mạng tập trung vào viết ACL từ chối
truy nhập vào bên trong mạng của công ty nhìn từ phía internet và phía ngoài mạng
9

nội bộ. Vấn đề là cả hai ví dụ trên đều là luồng đến, nhiều chuyên gia không tập
trung vào luồng đi, Các chuyên gia bảo mật nên tập trung vào luồng cả luồng đi và
đến. Chẳng hạn như, các bộ điều khiển Domain nên cho phép các cổng 445, 135 và
139 truy nhập vào mạng nội bộ, nhưng cấm đối với internet, việc cho vào nên thực
hiện nhưng cấm luồng dự liệu ra.
Chuyên gia bảo mật nên biết cổng nào nên cho phép và cổng nào không cho
phép ra và vào. Cần biết cả cổng nguồn và cổng đích. Chẳng hạn, chuyên gia bảo
mật nên biết các cổng tạm thời thường lớn hơn 1023, chúng là các cổng ra đến
miền DMZ từ internet với cổng đích tương đương với dịch vụ đặt tại DMZ. Ngược
lại, chỉ những hoạt động mà cổng nguồn tương đương với dịch vụ đang chạy trên
DMZ hướng ra internet với cổng đích trong khoảng tạm thời kể trên được cho
phép.

4.3 Tại sao lớp ACl quan trọng với công tác bảo mật?

Các lớp ACL là phần quan trọng đối với NSM bởi vì chúng có khả năng cho
phép hay từ chối lưu lượng đối với các dịch vụ có thể nhìn thấy hay không nhìn
thấy bởi các mạng khác. Các lớp ACL đồng thời bảo vệ lớp phần mềm bằng cách
khóa việc truy nhập vào dịch vụ mà các đối tượng trên mạng có thể nhìn thấy
nhưng không truy nhập được vào. Điều này nghĩa là phân cấp truy nhập vào miền
điều khiển nội tại. Khi có tấn công mạng xảy ra, các lớp ACL có thể sử dụng để
tuân thủ và hạn chế thiệt hại có thể xảy ra với các máy tính.

5. Tìm hiểu mô hình lớp NSM: Lớp phần mềm

5.1 Lớp phần mềm là gì?

phần mềm đồng thời cũng giúp bảo vệ lớp người dùng. Nếu một máy trạm được
cập nhật các bản vá và cấu hình đúng, thì các tấn công về phía người dùng như
malicious sẽ không đạt được. Phần mềm được vá và cấu hình phải vô hiệu hóa
malicious để bảo vệ lớp người dùng.

6. Tìm hiểu mô hình bảy lớp NSM: Lớp người dùng

6.1 Thế nào là lớp người dùng?

Lớp người dùng tập trung vào đào tạo và nâng cao hiểu biết của người dùng
về bảo mật trên mạng. Người dùng phải nắm các khái niệm cơ bản về bảo mật
mạng. Họ đồng thời phải nắm các ứng dụng nên hoặc không nên cài đặt trên hệ
thống của họ; cũng vậy, họ phải hình dung hệ thống chạy bình thường như thế nào.
Chúng ta sẽ tìm hiểu sự hiểu biết về an ninh mạng có thể hỗ trợ các chuyên gia bảo
mật trong việc xác định có vấn đề về an minh mạng như thế nào.

6.2 Thực hiện bảo mật người dùng

Cách cơ bản nhất để thực hiện bảo mật người dùng là đào tạo người dùng
những ứng dụng cần tránh và hệ thống chạy ổn định là như thế nào. Các ứng dụng
ngang hàng có thể là sự khác biệt giữa một máy sạch và một máy bị nhiểm. Vì các
chuyên gia biết được nhiều loại malware chứa trong file hay các ứng dụng đã được
tải về thông qua các máy khách. Đào tạo người dùng dạng hiểu biết này để tránh
các lây nhiểm có thể có.
Đào tạo người dùng hệ thống họ làm việc như thế nào rất quan trọng bởi vì
nếu họ biết chức năng của hệ thống họ đang dùng họ có thể phát hiện ra vấn đề. Ví
11

dụ, nếu một ngày hệ thống của họ chạy chậm hơn người dùng sẽ phát hiện hiện
tượng này và báo cho chuyên gia bảo mật. chuyên gia bảo mật phải kiểm tra với

với kiến thức và kỹ năng hơn sâu hơn và cao hơn. Sẽ là quan trọng nếu các nhà
quản trị mạng có thể dạy các nhân viên về các thực hành an ninh. Các nhà quản trị
cũng nên trao đổi hiệu quả với các mong muốn của người sử dụng hoặc các vấn đề
đối với các chuyên gia an ninh mạng. Điều này đảm bảo rằng, các vấn đề được giải
quyết nhanh chóng nhất có thể, và rằng các chuyên gia an ninh mạng không gặp
quá nhiều khó khăn khi làm việc với người sử dụng.

12

7.3 Tại sao lớp quản trị quan trọng đối với an ninh thông tin?

Lớp quản trị quan trọng đối với NMS bởi vì nếu Lớp quản trị bị tổn thương,
một tài khoản quản trị sẽ rất có thể bị tấn công. Điều này là rất nguy hại bởi vì nó
sẽ cho phép kẻ tấn công quyền để truy nhập và sửa chữa các dữ liệu mật và nhạy
cảm. Lớp quản trị được đặt trên Lớp phòng IT, bởi vì một khi Lớp phòng IT bị
xâm phạm, thì sẽ là không quan trọng khi Lớp quản trị vẫn an toàn. Đa số các
hacker sẽ nhắm đến Lớp quản trị trước khi nhắm đến tần phòng IT bởi vì Lớp
phòng IT bao gồm các người sử dụng có khả năng nhận biết cuộc tấn công.

8. Tìm hiểu mô hình bảy lớp NSM: Lớp Phòng công nghệ thông tin

8.1 Lớp phòng công nghệ thông tin là gì?

Lớp phòng IT bao gồm tất cả các chuyên gia an ninh mạng, kỹ thuật mạng,
kiến trúc sư, và các chuyên gia hỗ trợ. Tất cả những người này sẽ vận hành và bảo
trì mạng và các máy máy tính trên mạng đó. Lớp phòng IT giống như Lớp quản trị
ngoại trừ Lớp IT có các tài khoản để truy nhập tới bất kỳ thiết bị nào trên mạng. Ví
dụ, một người sử dụng Lớp IT có thể có quyền truy nhập, đọc, viết, chỉnh sửa đối
với cấu trúc bảng dữ liệu, trong khi một nhà quản trị mạng hay người sử dụng chỉ
có truy nhập đọc, ghi, sửa đối với các bản ghi trong cấu trúc bảng.

thiểu hay hạn chế tác hại của các cuộc tấn công mà đã xảy ra. Cuối cùng, chúng ta
sẽ quan tâm làm thế nào để hiện thực NSM trên một mạng mới.

9.1 Kiến trúc của mô hình an ninh mạng và những điểm tương đồng với mô
hình OSI
Mỗi lớp của NSM được xây dựng trên lớp dưới nó, rất giống với mô hình
OSI, nếu một lớp có vấn đề hay thất bại trong thực hiện một tác vụ nào đó, tất các
các lớp trên cũng sẽ còn không hoạt động đúng nữa. Chúng ta sẽ quan sát NSM với
mo hình OSI đảo như được trình bày ở Hình 9.1 để xem chúng có lien hệ và khác
nhau thế nào.
Mức đầu tiên là Lớp vật lý của NSM và Lớp vật lý của mô hình OSI. Cả hai
đều làm việc với các vấn đề/khía cạnh vật lý của mạng. Lớp vật lý của NSM giải
quyết các an ninh vật lý trong khi Lớp vật lý của mô hình OSI quan tâm đến các
kết nối mạng vật lý.
Mức thứ hai là Lớp VLAN của NSM và Lớp kết nối số liệu của mô hình
OSI. Cả hai làm việc giống nhau bằng việc địa chỉ hóa MAC và VLANs. Lớp
VLAN của NSM giải quyết phân vùng (segmentation) VLAN. Nó chia các
switches và segments dựa trên Lớp kết nối số liệu của mô hình OSI bao gồm cả
đánh địa chỉ MAC.
14

Mức thứ ba là Lớp ACL của NSM và Lớp mạng của mô hình OSI. Cả hai
hoạt động giống nhau với việc đánh địa chỉ IP và LANs. Lớp ACL của NSM giải
quyết việc hiện thực ACL để cho phép hay từ chối truy nhập dựa trên Lớp mạng
của mô hình OSI, tại Lớp mạng này có bao gồm việc đánh địa chỉ IP.
Mức thứ tư là Lớp phần mềm của NSM và Lớp giao vận của mô hình OSI.
Cả hai giải quyết các vấn đề kết nối thực trên mạng từ host tới host. Lớp phần mềm

được. các biện pháp này có thể là máy quay, nhân viên bảo vệ hay một hệ thống
cảnh báo.

9.2.2 Tấn công mạng riêng ảo
15 Thứ đến, chúng ta sẽ quan tâm đến tấn công mạng riêng ảo (VLAN attack).
Chúng ta sẽ giả sử rằng kẻ tấn công đã khai thác được Lớp vật lý và có một máy
tính xách tay kết nối vào trong mạng để quét các máy có khả năng bị tổn thương
với lỗi MS03-026. />026.mspx
Bởi vì kẻ tấn công có máy tính nằm trong mạng cục bộ, anh ta sẽ cố gắng
khai thác các thiết bị trên mạng con mà anh ta đang ở đó. Kẻ tấn công chỉ cố gắng
làm lây nhiễm mạng nội bộ bởi vì việc quét các mạng con khác sẽ làm cho anh ta
trở lên dễ bị phát hiện và điều này có thể cũng làm anh ta mất nhiều thời gian hơn.
Nếu các máy chủ không được phân vùng từ mạng nội bộ với việc sử dụng của
VLAN, kẻ tấn công có một cách trực tiếp để quét máy chủ. Các VLANs đúng sẽ
bắt hacker phải quét nhiều mạng. Một khi Lớp VLAN bị thất bại, chúng ta biết
rằng Lớp vật lý cũng đã thất bại.

9.2.3 Tấn công danh sách điều khiển truy nhập ACL

Thứ ba, chúng ta sẽ xem xét tấn công ACL (Access Control List). Một nhà
quản trị mạng cấu hình ACLs trên một thiết bị inbound từ mạng Internet tới một
máy chủ web, có thể bao gồm một cở sở dữ liệu MS SQL của những người xem
website. Kẻ tấn công biết rằng, máy chủ web tồn tại và quét đại chỉ địa chỉ IP với
các cổng mở. ACLs đã không được thiết lập đúng cho nên kẻ tấn công thực tế đã
quét toàn bộ. Các ACL đúng, như là chỉ cho phép cổng 80 họat động có thể phòng
tránh được thất bại Lớp ACL này. Nó sẽ không vấn đề gì nữa nếu web server ở
trên một mạng khác ( thông qua việc sử dụng của VLANs) bởi vì kẻ tấn công có

chương trình root kit đã tự động chạy ở nền. Chương trình này sẽ lấy thông tin về
username cũng như mật khẩu của nhà quản trị và gửi cho kẻ tấn công bằng một
cách nào đó. Thông tin tài khoản này sẽ cho phép kẻ tấn công có rất nhiều quyền
để khai thác, và sẽ rất nguy hiểm.

9.3 Làm thế nào để mô hình an ninh mạng được sử dụng để hạn chế một cuộc
tấn công

Trong mục này chúng ta sẽ xem xét làm thế nào để mô hình an ninh mạng có
thể được sử dụng để giảm thiểu tác hại của một cuộc tấn công đã xảy ra. Chúng ta
sẽ nghiên cứu một ví dụ cụ thể, tuy nhiên, khái niệm vẫn như giữ nguyên và chỉ
Lớp đầu tiên thay đổi. Lỗi khai thác chúng ta sẽ xem xét là MS03-026 lỗi tại Lớp
phần mềm. Lỗi này cho phép truy nhập từ xa tới một thiết bị chạy Windows qua
một số lỗi tại các cổng hay dịch vụ của Windows. Bời vì sự tấn công là ngay tại
Lớp phần mềm, nên Lớp này là Lớp bị khai thác. Chúng ta sẽ cần phải đi qua các
Lớp từ đỉnh tới đáy để giảm thiểu tác hại của cuộc tấn công.

9.3.1 Bước hạn chế đầu tiên

Chúng ta sẽ bắt đầu với Lớp vật lý bằng việc khoanh vùng và cách ly các
máy bị nhiễm và xác định kiểu phần mềm độc hại tấn công gì đang chạy trên hệ
thống bằng việc chạy các bộ dò tìm (detector) cũng như các phần mềm diệt virus.
Chúng ta cũng sẽ xem xét đã có kẽ hở phần cứng nào không để từ đó kẻ tấn công
làm lây nhiễm các máy khác tại cùng thời điểm. Một khi quá trình này hoàn tất,
chúng ta sẽ xem xét mạng VLAN và cáx c máy trong nó. Ở đây chúng ta sẽ tìm các
hosts khác có thể bị lây nhiễm. Chúng ta sẽ xử lý các máy này tương tự máy đầu
17

tiên. Những máy bị lây nhiễm này sẽ được cách ly ra khỏi mạng và quét để tìm các
phần mềm độc hại. Tiếp đó, chúng ta sẽ xem xét các ACLs được sử dụng ở các bộ

bản nên được mở rộng để bao gồm các ACL mới hơn. An ninh vật lý cũng nên
được tăng cường để đối phó được các cuộc tấn công trong tương lai. Ví dụ là, các
khóa mới sẽ được sử dụng, bao gồm nâng cấp từ khóa cơ thông thường lên ID
Badges có các bộ nhận dạng vô tuyến (RFID) bên trong để xác thực những ai được
thâm nhập vào các vùng khu vực cấm.

9.4.2 Hiện thực NSM ở cái nhìn sâu và chi tiết hơn

18

Bước đầu tiên là thực thi tất cả các Lớp ở mức cơ bản. Bộ phận IT, phòng
quản trị và tất các các users phải được củng cố và đào tạo thêm về phần an ninh
mạng. Việc đào tạo này phải tương đối dễ hiểu cho người ngoài phòng IT và kỹ
thuật sâu hơn đối với phòng IT. Sau đó tất các phần mềm phải được kiểm tra và
cập nhật các bản mới nhất. Ở Lớp ACL, các chuyên gia an ninh mạng phải kiểm
tra xem nếu các ACL đang được sử dụng, chúng phải được kiểm tra và xác định để
xem xét các khác biệt. Nếu không có các ACL, các chuyên gia an ninh mạng nên
bắt đầu tạo các ACL tổng quát. Thứ đến, trong Lớp VLAN, các VLANs phải được
kiểm tra xem chúng có đang được sử dụng …. Tại điểm này, nếu không có VLAN
nào đang được sử dụng, các VLAN khái quát nên được tạo ra. Cuối cùng, các
chuyên gia an ninh mạng nên kiểm tra xem có các vấn đề an ninh vật lý, nếu có,
họ phải thực thi một số biện pháp an ninh cần thiết.
Bước thứ hai là bắt đầu làm việc với các Lớp chi tiết hơn. Điều này nghĩa là
phòng IT, các nhà quản trị, cũng như những người sử dụng nên bắt đầu tìm hiểu
hơn nữa về an ninh mạng, và các tác động của các hoạt động hàng ngày. Điều này
sẽ đảm bảo rằng, lớp người dung (human layer) sẽ tốt hơn vì mọi người ở phòng IT
đến các người sử dụng đểu có kinh nghiệm làm việc về an ninh mạng
Mặc dù phòng thong tin nên được đào tạo với các kiến thức nền tảng kỹ
thuật, Lớp người sử dụng (user layer) phải tương đối dễ hiệu và không nặng quá về
mặt kỹ thuật để người sử dụng không phải tốn quá nhiều thời gian hay công sức để

được địa chỉ hóa.
Tại vị trí này, mô hình an ninh mạng sẽ được kiểm tra bởi một kiểm tra (test)
thâm nhập để tìm bất kỳ các mạo hiểm (exploit) hoặc các lỗ hổng mà có thể đã
gây ra lỗi. Nó sẽ được thông báo rằng có một kiểm tra thâm nhập sẽ luôn được
thực hiện bởi vì nó sẽ chạy mọi kiểu kiểm tra cần thiết cho việc tìm ra các lỗ hổng.
Nếu bất cứ các mạo hiểm được tìm thấy từ kiểm tra thâm nhập thì các kết quả này
sẽ được xử lý như thể chúng là một break-in thật và NSM đã bị chọc thủng.
Tóm lại, chuyên gia an ninh mạng sẽ quan sát tại các lối đi để cập nhật các
lớp theo các mở rộng của công ty. Việc nén hoặc giãn các ACL hoặc VLAN theo
yêu cầu, việc cải tiến sự bảo mật vật lý, việc tìm kiếm các phiên bản phần mềm
mới sẵn có cũng như việc chạy các test sẽ đảm bảo rằng không có các phần mềm
ứng dụng trái phép nào đang chạy trong các hệ thống. Việc huấn luyện cho tất cả
các bộ phận IT, các bộ phận quản lý, và các bộ phận người sử dụng nên được duy
trì để bảo đảm rằng các nhân viên mới sẽ biết về an ninh mạng cũng như bồi dưỡng
các nhân viên cũ.
Chiến lược này sẽ bảo đảm rằng tất cả các lớp luôn luôn đặt trong sự quan
sát kỹ lưỡng và chúng trở nên an toàn. Vì nó là một chu kỳ tồn tại, nên ở đây sẽ có
một điểm mà ở đó bất kỳ một mô hình an ninh mạng nào trở nên lỗi thời và cần
được làm lại để theo kịp sự phát triển của một công ty cũng như các đòi hỏi cao
của kỹ thuật bảo mật. Không có bộ timeline nào sẽ được đưa đến chu kỳ tồn tại;
thời điểm nó diễn ra dựa vào chính công ty. Một công ty nhỏ hơn sẽ có chu kỳ tồn
tại dài hơn nhưng lại biến động hơn vì nó sẽ dễ dàng và có chi phí hiệu quả hơn
trong việc thay đổi một cách đồng thời các phần của mô hình an ninh mạng. Một
công ty lớn hơn sẽ có chu kỳ tồn tại ngắn hơn nhưng lại cố định hơn vì nó sẽ dễ
dàng hơn trong việc thay đổi các chi tiết nhỏ trong mô hình an ninh mạng mà
không gây phá vỡ dịch vụ. Điều này không áp dụng cho mọi trường hợp và cũng
có những trường hợp mà ở đó một công ty nhỏ hơn lại muốn hướng tới một chu kỳ
tồn tại riêng biệt hơn cả những gì mà một công ty lớn muốn dùng. Ví dụ, nếu một
công ty nhỏ có 24x7 hoạt động thì nó sẽ cần phải nhắm đến một công ty lớn hơn
trên cơ sở chu kỳ tồn tại để quản lý 24x7 hoạt động đó.