LỜI CẢM ƠN
Sau khoảng thời gian học tập và rèn luyện tại khoa Công Nghệ Thông Tin
- Đại học Thái Nguyên, đến nay em đã kết thúc khóa học. Em xin bày tỏ lòng
cám ơn sâu sắc tới Ban Chủ Nhiệm Khoa, các thầy cô giáo đã tận tình giảng dạy,
trang bị cho chúng em những vốn kiến thức và kinh nghiệm quý báu, cung cấp
cho chúng em những điều kiện và môi trường học tập tốt nhất.
Để hoàn thành được tốt đồ án này, em xin gửi lời cảm ơn chân thành đến
thầy giáo Nguyễn Tiến Thành - giảng viên khoa Công Nghệ Thông Tin Đại học
Thái Nguyên, và Phòng An Ninh Hệ Thống- Trung Tâm Công Nghệ Thông Tin-
Ngân Hàng Công Thương Việt Nam đã trực tiếp hướng dẫn và tạo điều kiện giúp
đỡ em trong thời gian thực hiện đồ án. Cảm ơn gia đình, bạn bè đã tạo điều kiện
tốt nhất để em có thể hoàn thành đồ án này.
Thái Nguyên ngày 5, tháng 6 năm 2009.
Sinh viên
Vương Thị Dung
VI.2. Đe dọa có cấu trúc và không cấu trúc...........................................................15
VI.3. Những kiểu tấn công bảo mật mạng ..............................................................16
VI.3.1 Tấn công thăm dò:...........................................................................16
VI.3.2. Tấn công truy xuất..........................................................................17
VI.3.3. Tấn công kiểu DoS........................................................................19
VII. Giải pháp bảo mật ..............................................................................................22
VII.1 Thiết kế giải pháp bảo mật............................................................................22
VII.2 Bánh lái bảo mật của Cisco...........................................................................22
VII.3. Danh sách kiểm tra bảo mật.........................................................................24
CHƯƠNG II GIỚI THIỆU FIREWALL .........................................................26
I. Tổng quan firewall .................................................................................................26
I.1 Định nghĩa firewall...........................................................................................26
I.2. Chức năng bảo vệ của firewall.........................................................................27
I.3 Điều khiển luồng và mô hình tham chiếu OSI...................................................29
I.3.1 Tổng quan về mô hình tham chiếu OSI...............................................30
I.3.2 Firewall và mô hình tham chiếu OSI .................................................31
I.4 Những kiểu firewall..........................................................................................32
I.4.1 Firewall lọc gói .................................................................................32
I.4.2 Firewall stateful ...............................................................................37
I.4.3 Application gateway firewall.............................................................48
I.4.4 Firewall dịch địa chỉ..........................................................................51
I.4.5 Firewall host-based ...........................................................................56
I.4.6. Firewall lai ghép ...............................................................................59
I.5 Firewall và những dịch vụ khác ........................................................................60
II Thiết kế bảo mật ....................................................................................................61
II.1 Hướng dẫn thiết kế..........................................................................................61
II.2 Miền DMZ.....................................................................................................64 II.3. Những thành phần bổ sung cho hệ thống firewall ...........................................66
MỞ ĐẦU
Với sự phát triển nhanh của mạng Internet, bảo mật thông tin trở lên vô
cùng cấp bách để có được những thông tin giá trị và tin cậy. Người quản lý nhận
thấy việc đầu tư cho an ninh không chỉ là lợi lớn mà còn là rất cần thiết. Các
công ty nhận ra sự cần thiết của việc tạo ra và tuân theo chính sách bảo mật thông
tin, bởi vậy, người IT chuyên nghiệp luôn luôn bị thách thức để bảo vệ mạng của
họ với firewall và tạo mạng riêng ảo VPN để cung cấp sự an toàn cho các giao
dịch được mã hóa qua hạ tầng Internet công cộng dễ bị tấn công.
Firewall đã trở thành một trong những công nghệ đầu tiên bảo vệ mạng và
chống lại truy nhập trái phép. Kế hoạch bảo mật yêu cầu sự kết hợp hài hòa của
con người, xử lý, và công nghệ để giảm rủi ro. Và firewall cũng là một công cụ
bảo mật giá trị để thực hiện nhiệm vụ này. Ngày nay, khi thiết kế và xây dựng
mạng sử dụng firewall là tất yếu cho nhiều mô hình ở giai đoạn cuối. Nhận ra
điều này, Cisco System đã phát triển và tiếp tục cải thiện với PIX firewall. Hệ
thống này đã đạt được thị trường lớn bởi đã chứng minh được chức năng pha trộn
hoàn hảo của hiệu suất và sự mềm dẻo.
Cũng như bao công ty khác trên thế giới sử dụng Internet để giao dịch.
Ngân hàng, mỗi phút có hàng nghìn giao dịch trị giá tiền tỉ được thực hiện. Chính
vì vậy, nhiều hacker luôn tìm những lỗ hổng bảo mật trong ngân hàng để tấn
CHƯƠNG I CÁC VẤN ĐỀ VỀ AN NINH MẠNG
Càng ngày càng có nhiều vụ tấn công từ worms, virus, và các hiểm họa
khác từ mạng, vì vậy bảo mật là vấn đề chính trong mạng ngày nay. Trong
khoảng 10 tới 15 năm trước, bảo mật là vấn đề đơn giản dựa trên các giải pháp
đơn giản. Lúc đó, chỉ có ít trường học và chính phủ kết nối Internet. Password
sử dụng để bảo vệ account, và firewall lọc gói đơn giản được dùng để giới hạn
luồng lưu lượng. Tuy nhiên, thế giới ngày nay thì khác biệt hơn rất nhiều so với
thập kỷ trước. Sự bùng nổ của Internet, sự tăng nhanh của phần mềm ứng dụng
và sự khéo léo của hacker, bảo mật trở thành vấn đề phức tạp mà phải có yêu
cầu giải pháp bảo mật cấp cao để đối phó với nó. Giải pháp bảo mật phải có khả
năng đối phó với các hiểm họa bảo mật đến từ mạng. Nhưng nó cũng phải cho
phép công ty tiếp tục đạt được những mục tiêu kinh doanh và phải đủ mềm dẻo
để thích nghi với những công nghệ và mô hình mạng thay đổi
I. Kế hoạch bảo mật
Hầu hết những nhiệm vụ khó khăn liên quan tới bảo mật là giai đoạn lập kế
hoạch. Là khi cần phát triển những giải pháp cho việc kinh doanh và bảo mật
của công ty. Khi nghiên cứu mạng và xác định những vùng ít đảm bảo và vùng
then chốt hợp thành, cần phải tiến tới một kế hoạch bảo mật từ viễn cảnh khác
nhau:
Mục tiêu kinh doanh và những yêu cầu của người dùng.
Con người và chính trị.
Kỹ thuật đưa ra
hiện giải pháp bảo mật cho chính sách và mục tiêu của công ty.
III. Mục tiêu bảo mật
Bảo mật mạng để nhằm đạt được các mục tiêu sau:
Sự tin cậy
Giúp người nhận hiểu nội dung thông điệp.
- Người gửi mã hóa thông điệp.
- Người nhận giải mã thông điệp.
- Sự bí mật : ẩn “ai đang làm gì với ai với nội dung gì”.
Sự xác thực
Để người gửi và người nhận chứng thực nhau. Sự toàn vẹn
Người nhận và người gửi, muốn đảm bảo thông điệp không bị
thay đổi trong quá trình truyền, hay sau quá trình truyền mà
không được phát hiện.
Sự sẵn sàng cho truy cập
Đảm bảo dịch vụ luôn sẵn sàng cho người dùng có thể truy
xuất, hay sử dụng dịch vụ.
Giải pháp bảo mật ngày càng trở nên phức tạp, đặc biệt trong mạng
doanh nghiệp lớn. Để trợ giúp làm đơn giản hóa những tiến trình, giải pháp bảo
mật tốt nên có những mục tiêu sau:
Tạo những chính sách bảo mật riêng rẽ, dựa trên kế hoạch và mục đích
kinh doanh của công ty
Chính sách bảo mật nên đưa ra lựa chọn sản phẩm và giải pháp bảo mật.
Quản lý bảo mật nên tập trung dưới một tổ chức riêng biệt.
Đầu tiên, việc tạo chính sách bảo mật gắn liền với quy mô của công ty. Chính
sách nên dựa trên kế hoạch và mục tiêu kinh doanh. Nó nên đảm bảo đủ linh
hoạt để cho phép công ty đạt được mục đích kinh doanh, trong khi vẫn bảo vệ
tài nguyên của công ty ở giá hiệu quả.
yếu kém trong cả chính sách kinh doanh và bảo mật. Ví dụ của yếu
kém này là không viết chính sách bảo mật. Nếu không có chính sách,
thì ép buộc thực hiện bằng cách nào?
- Yếu kém trong công nghệ máy tính: Những yếu kém này bao gồm
yếu kém bảo mật trong giao thức, như TCP/IP và IPX, cũng như hệ
điều hành, như UNIX, Novell NetWare, và Windows.
- Yếu kém trong cấu hình thiết bị: Những yếu kém này bao gồm cài
đặt, cấu hình, và quản lý thiết bị mạng. Ví dụ không gán password
cho cổng console của router Cisco.
IV. Xác định chính sách bảo mật
Yếu kém đầu tiên liên quan tới xác định chính sách kinh doanh và bảo
mật. Nhiều công ty thiếu chính sách bảo mật hay kinh doanh có trường hợp
thiếu cả hai. Công ty để phát triển với mục tiêu kinh doanh, cần có kế hoạch
kinh doanh tốt rõ ràng bao gồm mục tiêu kinh doanh và chính sách. Mặt khác,
để thực hiện và duy trì giải pháp bảo mật tốt để trợ giúp công ty phác thảo mục tiêu trong kế hoạch kinh doanh của nó. Cần phát triển chính sách bảo mật tốt.
Chính sách bảo mật nên dựa trên kế hoạch kinh doanh. Điều này đảm bảo rằng
kế hoạch bảo mật luôn giới hạn cách công ty thực hiện kinh doanh hằng ngày,
và kế hoạch bảo mật đó cho phép công ty đạt được mục tiêu kinh doanh.
IV.1. Chính sách kinh doanh và bảo mật
Ở mức nhỏ nhất, chính sách bảo mật nên đặt ra các câu hỏi như:
- Bảo mật cái gì?
- Bảo mật bằng cách nào?
- Mức độ bảo vệ được sử dụng là bao nhiêu ?
Thậm chí nghĩ 3 câu hỏi này là đơn giản, mạng doanh nghiệp, có rất
nhiều thiết bị như hàng nghìn PC, và 400 server…..Tuy nhiên, khi trả lời nên
lập chính sách và kế hoạch kinh doanh của công ty, để đảm bảo rằng giải pháp
bảo mật đề xuất không cản trở công ty đạt được những mục tiêu đề ra.
như cập nhật server file hay thay đổi danh sách điều khiển truy xuất trên router
sử dụng để lọc luồng, nhưng không được ảnh hưởng tới những dịch vụ của
nhân viên hay tài nguyên, hay tạo ra các vấn đề bảo mật.
Bởi vậy, trước khi có thay đổi mạng, cần viết tài liệu cho nó và trước khi trình
bày tới người có quyền quyết định, thường bao gồm người quản trị mạng và
nhân viên trong các phòng khác nhau. Phòng ban này có thể đề xuất xuất những
thay đổi và ảnh hưởng của nó tới mạng. Dựa trên thông tin này, sẽ đưa ra yêu
cầu thay đổi hay xác định rõ sự thay đổi đưa ra vào 2:00 a.m làm tối giảm ảnh
hưởng của nó.
Thường xuyên nhìn thấy tình huống trong thực tế, khi người quản trị người tùy
tiện thay đổi cấu hình trên thiết bị mạng, không có tài liệu cho thay đổi này. Sẽ
tạo ra các lỗ hỏng bảo mật.
IV.5 Khôi phục sau thảm họa
Khi nghĩ tới kế hoạch khôi phục thảm họa, đầu tiên là những thảm họa
tự nhiên như bão, lũ, hỏa hoạn. Kế hoạch khôi phục sau thảm họa được thực
hiện một giải pháp dự phòng khi trường hợp tồi tệ nhất xảy ra.
Kế hoạch khôi phục thảm họa quan tâm tới những tấn công và những hiểm họa
đê dọa bảo mật. Như là, công ty bán sản phẩm qua dịch vụ thương mại điện tử. Đây là thu nhập chính. Điều gì sẽ xảy ra nếu hacker làm lụt mạng với luồng dữ
liệu vô ích, có thể ảnh hưởng tới dịch vụ mà đang cung cấp và có thể thậm chí
phá sản một số hay tất cả Web server? Phương án giải quyết nào sẽ đưa ra nếu
server thương mại điện tử bị hack và nó mất tới 2 hay 3 ngày để nó hoạt động
trở lại? Công ty chuẩn bị những gì để đối phó với nó? Kế hoạch hành động chi
tiết để đối phó là gì?
Một kế hoạch khôi phục sau tai họa, nên có hệ thống dự phòng đặt ở vùng khác
mà có thể chuyển nó dễ dàng trong vài giờ, nếu không là vài phút. Đặt tài
nguyên trong tòa nhà tách biệt, có thể bảo vệ chống lại các thảm họa tự nhiên.
Kế hoạch khôi phục thảm họa tốt và chi tiết.
- Microsoft window 95, 98, NT, XP, 2003
- UNIX, LINUX
- Novell netware
Một nền tảng của hầu hết các mục tiêu là UNIX bởi vì mã nguồn cho nhiều
UNIX thêm vào, như Linux và FreeBSD, là miễn phí. Điều này làm hacker dễ
dàng tìm ra điểm yếu bảo mật vì hacker có thể nghiên cứu cẩn thận mã nguồn.
Bởi vì tính phổ biến của Microsoft như desktop, hacker cũng tìm tới nhiều hệ
điều hành khác nhau của Microsoft. Như là, sử dụng Microsoft Window 2000
Professional cho nhiều nhà kinh doanh và cá nhân. Có thể download bản vá bảo
mật cho hệ thống này, đưa ra nhiều ý tưởng về cách hacker bận rộn trong việc
tìm khai thác những lỗ hỏng bảo mật trong window.
V.3. Yếu kém của thiết bị mạng
Yếu kém của thiết bị mạng là nói đến điểm yếu trong các thiết bị như
router, switch, firewall. Thường gặp những vấn đề khó khăn khi xây dựng cơ chế bảo mật trong những thiết bị này, như việc sử dụng password, hay thực hiện xác
thực, và đặc điểm bảo mật nào hỗ trợ để thực hiện.
V.4. Yếu kém trong việc cấu hình thiết bị
Yếu kém bảo mật nữa có liên quan đến vấn đề cấu hình thiết bị. Điểm yếu
trong cấu hình thiết bị là một vấn đề khó đối phó nhất bởi vì những điểm yếu này
do lỗi con người cấu hình hay hiểu nhầm về cách thiết cấu hình thiết bị. Khi nói
về thiết bị mạng, nói về mọi thứ kết nối tới mạng, từ PC hay server file, tới
router, switch, firewall, hay sản phẩm khác.
Quan tâm lớn nhất về điều khiển truy nhập tới thiết bị mạng. Tất cả account
người dùng phải bảo mật password. Điều này nghĩa rằng, một số thiết bị mà sử
dụng account mặc định, cũng nên thay đổi password. Việc đặt password cũng
nên xem xét password được gán cho các account này:
- Chúng có dễ đoán quá không?
- Có thường xuyên thay đổi password không?
Khi thiết kế giải pháp bảo mật phải xem xét các tài nguyên bên
trong nào cần bảo mật.
VI.2. Đe dọa có cấu trúc và không cấu trúc
Phương thức phổ biến của đe dọa bảo mật thường ở 2 loại sau:
- Đe dọa không có cấu trúc
- Đe dọa có cấu trúc
Đe dọa bảo mật không có cấu trúc: Thường là phát sinh từ
những người thiếu kinh nghiêm. Giải pháp bảo mật tốt dễ dàng cản
trở kiểu tấn công này. Nhiều công cụ trên Internet có thể được sử
dụng phát hiện những tấn công tới mạng công ty. Bao gồm công cụ
quét cổng, công cụ quét địa chỉ, nhiều công cụ khác. Hầu hết những
công cụ thăm dò này được làm là do tò mò nhiều hơn so với mục
đích phá hoại.
Đe dọa có cấu trúc: Nó được thực hiện bởi người có kỹ thuật cao,
người cố đạt được truy xuất tới mạng. Hacker tạo ra hay sử dụng
một số công cụ rất phức tạp tinh vi để đột nhập vào mạng, phá vỡ
dịch vụ chạy trên mạng. Ví dụ làm lụt ICMP. Người ít kỹ năng
hacking có lẽ sẽ gửi lụt ping từ cùng một máy nguồn, làm dễ dàng dò tìm ra thủ phạm. Hacker kinh nghiệm, sẽ thử ẩn nguồn của gói
ICMP bởi thay đổi địa chỉ nguồn trong gói gọi là spoofing (lừa
đảo), cũng như thực hiện tấn công từ vài nguồn khác nhau. Để tìm
ra thủ phạm hacker kinh nghiệm sẽ mất khá nhiều thời gian.
Hình 2 Chỉ ví dụ đơn giản về tấn công spoofing phức tạp. Trong ví dụ, hacker
thay đổi địa chỉ nguồn gói ICMP thành Server C, thiết bị mà hacker đang tấn
công. Anh ta gửi gói tới cả Server A và Server B. Hình 2
trường hợp tồi tệ nhất sẽ xóa mọi thứ trên ổ cứng. Những kiểu truy tấn công truy
xuất bao gồm có:
Tấn công truy xuất trái phép
Trong dạng cơ bản nhất của tấn công truy xuất, hacker cố gắng truy
nhập bất hợp pháp tới thiết bị trong mạng. điều này được gọi như là tấn
công truy xuất trái phép. Khi thực hiện loại tấn công này, hacker có thể sử
dụng nhiều công cụ, bao gồm có
- Đoán password cho account nổi tiếng, như tổ chức và người quản trị.
- Sử dụng công cụ phân tích giao thức và thực hiện tấn công nghe trộm
để nghiên cứu password không được mã hóa.
- Truy xuất file password và sử dụng chương trình trộm password.
- Sử dụng công việc có tính xã hội.
Cách thức cuối cùng mang tính chất xã hội, có lẽ đây là cách dễ nhất cho
hacker đạt được truy xuất trái phép tới tài nguyên trên mạng. Với tư cách là kĩ sư hệ thống hacker gọi người sử dụng khác nhau trong mạng và giả
vờ là người quản lý mạng. Hacker nói với người dùng về một số bảo mật
mạng hư cấu và sử dụng lừa đảo có tính chất khéo léo và thu thập thông
tin từ người dùng. Sau đó hacker có thể sử dụng để truy xuất tài nguyên
trên mạng, Cách khác là hacker giả vờ là người dùng và có thể gọi người
quản trị và giả vờ như là anh ta quên password.
Tấn công bằng Virus, Trojan horse, và Worm
Virus, worms, Trojan horses là những tấn công được biết nhiều nhất trên
hệ thống máy tính, vì tác động rất nhiều tới người sử dụng. Nhiều quan
điểm về định nghĩa 3 kiểu tấn công này. Thường thì, virus là chương trình
hay mẩu mã mà được tải lên hay chạy trên máy tính mà mọi người không
biết. Nhiều virus cũng tái tạo chúng tới làm tăng sự phá hoại của chúng.
Không giống như bugs, virus là do con người tạo ra. Worm là chương
trình mà tái tạo nó qua mạng với mục đích làm hại, như phá hoại hệ thống
và giữ nó trong nơi bảo đảm. Thường bao gồm những file như file thực thi, và
file cấu hình trên snapshot này. Sau đó chạy phân tích định kỳ với phần mềm
kiểm tra ứng dụng, so sánh với file hiện tại tên server với cái đã bảo đảm. Nếu có
sự khác nhau, ứng dụng sẽ thông báo. Sự khác nhau có thể chỉ ra tấn công truy
xuất xuất hiện, có thể với tấn công worm hay Trojan horse, và đó là một file đã
đặt lại với file của hacker.
VI.3.3. Tấn công kiểu DoS
Hacker sử dụng nhiều kiểu tấn công từ DoS để chống lại mạng của bạn.
Một số ảnh hưởng này thực hiện trên phần dịch vụ chạy trên server, một số trầm
trọng có thể ảnh hưởng tới tất cả các máy trên đoạn mạng. Bởi vì có hàng trăm
tấn công DoS, sau đây là danh sách những tấn công từ chối dịch vụ phổ biến.
- Tấn công ứng dụng đơn giản là tấn công chống lại ứng dụng chạy
trên server. Hacker thường tấn công ứng dụng phổ biến như web
server IIS của Microsoft, web browser như Microsoft Internet
Explorer và Netscape Navigator, và ứng dụng email như Sendmail
và Microsoft Exchange và Outlook bởi vì nó được sử dụng rộng
rãi. Hacker thử với những thuật toán khác nhau, như chạy tràn bộ đệm, và bomb email, làm tắt hệ thống hay gửi thông tin trở lại
hacker để sử dụng cho kiểu tấn công khác.
- Email bomb là kiểu tấn công mà hacker sử dụng tài nguyên email
trên hệ thống hay có thể là làm hại server email bảo mật. Hacker
bình thường thường giửi thông điệp lớn tới server email của bạn,
hy vọng lấp đầy khoảng đĩa và làm sụp nó. Một hacker giỏi, sử
dụng bao gồm trojan horse, virus, worm gắn vào email. Nếu người
dùng mở chúng ra chúng có thể phá hủy hệ thống hay mở lỗ hổng
bảo mật mà cho phép hacker tấn công tới thiết bị mạng.
- Thỉnh thoảng hacker sử dụng kịch bản java hay ActiveX tạo applet
độc. Khi tải tới máy tính của người dùng, những applet này có thể
ACL trên router Cisco, hay sử dụng hệ thống firewall như PIX, hay đặc điểm
firewall Cisco IOS thiết lập sẵn trên router Cisco. Đặc điểm firewall trên router
Cisco thiết lập hỗ trợ một đặc điểm gọi là Context based Access Control, mà thực
hiện firewall trên router. Bảo vệ hệ thống của khỏi applet độc, nên sử dụng hệ
thống firewall, như router Cisco hay PIX.
Cũng xem xét sử dụng IDS. Giải pháp IDS nghiên cứu lưu lượng và dựa trên nội
dung, phần lớp lưu lượng khi có tấn công hay không. Thuận lợi lớn của sử dụng
IDS là có thể tìm thấy tấn công thăm dò và dò tìm, báo động về vấn đề hacking
đang xuất hiện. Cisco có nhiều giải pháp IDS, nó có thể làm bạn thực hiện một
đặc điểm gọi là block IP hay shunning. Với bocking, khi Cisco IDS tìm thấy tấn
công, nó có thể log Cisco PIX hay router và thêm luật lọc tới block tấn công.
Ngăn cản tấn công định tuyến, có thể sử dụng giao thức định tuyến mà dựng lên
với sự xác thực, như RIPv2, EIGRP, OSPF, IS-IS, BGP. Những giao thức này sử
dụng thuật toán hashing MD5, tạo chữ ký số duy nhất mà thêm tới tất cả thông
tin định tuyến. Cấu hình lọc để cho phép cập nhật định tuyến từ những nguồn
định tuyến chắc chắn. Tuy nhiên, nếu hacker xem xét tiến trình này, thường thay
đổi địa chỉ nguồn để phù hợp địa chỉ mà xác định trong danh sách truy nhật cho
phép của bạn. Nếu router đặt trong vành đai mạng của bạn, bạn cân nhắc sử
dụng giao thức định tuyến tĩnh thay vì sử dụng định tuyến động . Cuối cùng, nên giữ thiết bị mạng luôn kiểm tra mở rộng, và logs lưu vết bảo mật
đưa ra. Nghiên cứu kỹ theo chu kỳ, nghiên cứu về tấn công DoS. Nếu mạnh thì
bạn sử dụng hệ thống phân tích log.
VII. Giải pháp bảo mật
VII.1 Thiết kế giải pháp bảo mật
Hacker là nguyên nhân mạng bị phá hủy theo nhiều cách. Bởi vậy, cần
thiết kế giải pháp bảo mật để đối phó với những đe dọa này. Giải pháp này cũng
dễ duy trì và đủ mềm dẻo để xử lý khi có thay đổi trong mạng, có một danh sách
kiểm tra đơn giản mà mô tả trong giải pháp bảo mật.
mạng. Với nhiều thuật toán ngăn cản, nhưng cũng bao gồm bảo mật vật lý
bao gồm khóa lại hay di chuyển những phần chính mà người dùng hay người
lạ có thể dùng tay đặt lên tài nguyên quan trọng trong mạng. Một số giải pháp
mà nên cân nhắc thực hiện xác thực qua sử dụng password một lần, thẻ smart,
và xác thực server, sử dụng firewall để lọc lưu lượng, sử dụng VPN để mã
hóa lưu lượng, và luôn cập nhật lỗ hổng bảo mật trong thiết bị và đảm bảo
rằng chúng luôn vá lỗ hổng bảo mật.
2. Theo dõi bảo mật
Khi đặt giải pháp bảo mật ở nơi nào, bước tiếp theo là theo dõi mạng để
đảm bảo rằng không có lỗ thủng bảo mật nào được tìm thấy. Một công cụ phổ
biến mà nhiều công ty sử dụng là IDS. Những thiết bị này có thể cho bạn theo
dõi lưu lượng và tìm kiếm tấn công. Giải pháp bảo mật là không tốt nếu không
theo dõi nó.
3. Kiểm tra bảo mật
Kiểm tra bảo mật định kỳ, kiểm tra bao gồm kiểm tra tấn công thăm dò
quét mạng và dò tìm cổng cũng như kiểm tra trên log bảo mật của thiết bị
mạng.
4. Nâng cấp bảo mật
Bước cuối cùng là nghiên cứu kết quả của việc theo dõi và kiểm tra, sử
dụng thông tin này để làm những thay đổi với hệ thống mạng hay cải thiện hệ
thống bảo mật. Mặt khác, nên sử dụng thông tin này để sửa chính sách bảo mật.
Sau khi hoàn thành 4 bước này, công việc chưa kết thúc. Mà phải trở lại bước
1 và bắt đầu. Phải lặp lại tiến trình này liên tục, sửa đổi chính sách bảo mật, và
giải pháp bảo mật để nhìn thấy những đe dọa bảo mật phát triển và tồn tại.
VII.3. Danh sách kiểm tra bảo mật
Hệ thống bảo mật Internet đã được phát triển một khái niệm tương tự với
Copyright: Tài liệu đại học ©