ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA
ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA
--------------------------
DỰ ÁN
DỰ ÁN
QUY HOẠCH CƠ SỞ DỮ LIỆU VÀ HẠ TẦNG CÔNG NGHỆ THÔNG TIN
QUY HOẠCH CƠ SỞ DỮ LIỆU VÀ HẠ TẦNG CÔNG NGHỆ THÔNG TIN
TỈNH KHÁNH HÒA
TỈNH KHÁNH HÒA
TÀI LIỆU
PHÂN TÍCH THIẾT KẾ
GIẢI PHÁP ĐẢM BẢO AN NINH
THÔNG TIN HỆ THỐNG
(Mã số: KHCN-RD - 2004 – 018)
Đơn vị thực hiện : Công ty Phần mềm và Truyền thông VASC
Tổng công ty Bưu chính Viễn thông Việt nam
Địa chỉ : 99 Triệu Việt Vương – Hà Nội
Điện thoại : 84.4.9782235
HÀ NỘI – 2005
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
THUẬT NGỮ
THUẬT NGỮ
Thuật ngữ Diễn giải
Hệ thống
thông tin
Máy tính, thiết bị mạng, hệ thống mạng, các ứng dụng
triển khai trên mạng.
Máy chủ Trong phạm vi của tài liệu , máy chủ ở đây được xem
là các máy chủ thuộc mạng của Khánh Hòa.
Máy trạm Các máy tính kết nối với mạng nội bộ của Trung tâm
xử lý dữ liệu (kết nối trực tiếp hoặc kết nối từ xa).
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Mật khẩu
truy nhập
Là mã số bí mật của người sử dụng được cung cấp
kèm với tên truy nhập. Mã số này có thể thay đổi bởi
chính người sử dụng hoặc người quản trị.
Sao lưu dữ
liệu
Biện pháp lưu trữ thêm một hoặc nhiều bản sao của dữ
liệu trên hệ thống để có thể sử dụng lại trong các
trường hợp cần thiết hoặc có sự cố.
Tài nguyên
mạng
File dữ liệu, thư mục, ổ đĩa, máy in được cài đặt, thiết
lập tại máy chủ hoặc 1 máy tính nào đó trên mạng.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 2
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
MỤC LỤC
MỤC LỤC
MỞ ĐẦU...............................................................................................4
CHƯƠNG 1 ..............................................................6
SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO AN TOÀN THÔNG TIN TRÊN THẾ
GIỚI VÀ VIỆT NAM.................................................................................6
CHƯƠNG 2 .............................................................12
NGHIÊN CỨU, PHÂN TÍCH CÁC ĐẶC THÙ AN TOÀN THÔNG TIN12
CHƯƠNG 3 .............................................................21
CÁC BƯỚC THỰC THI AN TOÀN BẢO MẬT CHO HỆ THỐNG......21
CHƯƠNG 4 .............................................................27
GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN CHO HỆ THỐNG.....27
CHƯƠNG 5 .............................................................41
thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và
quá trình kiểm tra chất lượng.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 4
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Tài liệu này được xây dựng nhằm nghiên cứu, phân tích các đặc
thù an toàn thông tin trên cơ sở hạ tầng kỹ thuật CNTT đã quy hoạch.
Từ đó xác định rõ các yêu cầu cụ thể về an ninh thông tin cần bảo đảm
cho hệ thống. Nghiên cứu, phân tích các lỗ hổng bảo mật, khả năng
"nghe trộm" và các hình thức tấn công vào các hệ thống cơ sở dữ liệu.
Từ đó xác định và thống kê các nguy cơ cụ thể, mức độ nguy hại và
giải pháp phòng, tránh trên môi trường mạng đa người dùng, trên
Internet và tại các bộ phận quản trị, quản lý hệ thống, với các mức độ
cụ thể cho: hệ thống, mạng và CSDL.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 5
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Chương 1
Chương 1
SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO AN
SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO ANTOÀN THÔNG TIN TRÊN THẾ GIỚI VÀ
TOÀN THÔNG TIN TRÊN THẾ GIỚI VÀVIỆT NAM
sau sẽ là giây.
1.2
1.2
AN NINH BẢO MẬT TẠI VIỆT NAM
AN NINH BẢO MẬT TẠI VIỆT NAM
Bấy lâu nay, dư luận không còn xôn xao với những chuyện các
nhóm hacker trong và ngoài nước thi nhau tấn công các trang web báo
điện tử, trang thông tin các tổ chức, doanh nghiệp... Nhưng liệu rằng
dưới mặt hồ bình yên đó có hiện hữu những đợt sóng ngầm? Xin khẳng
định là có, và điều đáng nói hơn là những cơn sóng ngầm trên lĩnh vực
an ninh mạng máy tính ở nước ta đang diễn ra muôn hình vạn trạng.
Một ví dụ rất nhỏ là việc hàng giờ, hàng ngày, virus phá hoại dữ
liệu, hệ thống mạng máy tính của các doanh nghiệp, tổ chức trên khắp
phạm vi toàn quốc. Thiệt hại không nhỏ về hạ tầng là một chuyện, đình
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 7
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
trệ công việc lại là chuyện lớn hơn khi đã có rất nhiều công việc hàng
ngày của chúng ta phụ thuộc vào máy tính và mạng máy tính. Chỉ có
điều là virus, hacker cứ tấn công, còn các doanh nghiệp cứ khắc phục,
coi như một sự bình thường, mà ít ai để ý đến các vấn đề phòng chống
hiệu quả. Ông Vũ Bảo Thạch- phó giám đốc công ty phần mềm Misoft
cho biết: "Đã từng xảy ra những sự cố CNTT thế nhưng thông thường
các cơ quan đều không nhìn nhận đúng về thiệt hại của nó. Chúng ta
đang thiếu những thống kê về thiệt hại do hacker, do sự cố, và sự mất
an toàn hệ thống thông tin, đã gây thiệt hại về kinh tế, về cơ hội giao
dịch kinh doanh, năng suất lao động trong các tổ chức của chính chúng
ta. Thiếu các con số thống kê này thị trường CNTT sẽ không có cơ
khai thác hay chúng ta đang không biết phải cần bao nhiêu tiền của và
cần như thế nào?".
Đối với phần đa các doanh nghiệp, tổ chức, đầu tư cho CNTT
virus máy tính. Ngay tại Mỹ, cũng có tới 35% doanh nghiệp nhỏ không
sử dụng bức tường lửa. Ian Loh - Giám đốc EMC Nam Á cho biết:"
Mọi người sử dụng rất nhiều tiền để bảo vệ tiền mặt nhưng vẫn chưa
đủ để bảo vệ các trung tâm dữ liệu nơi mà các luồng giao dịch phi tiền
mặt đổ đến. Các bạn sẽ thấy mọi người giao dịch sử dụng thẻ thông
minh hay séc, đó thực sự là dữ liệu nhị phân của hai con số 1 và 0.
Thông tin hiện nay thực sự là tiền bạc ai cũng biết điều đó, nhưng ngày
mai tiền bạc là thông tin, không còn tiền mặt như các giao dịch thông
thường".
Một điều rõ ràng là nguy cơ đối đầu với các mối nguy hiểm trên
Internet ngày một gia tăng. Bản thân, các hình thức tấn công trên
Internet ngày một đa dạng, tinh vi và phức tạp. Giải pháp đưa ra là sự
cần thiết phải có một chiến lược giảm thiểu nguy cơ tấn công của virus
và sâu máy tính.
Thứ hai là một kiến trúc an ninh có khả năng cô lập những lỗi đã
biết và chưa biết của hệ thống. Và cuối cùng cách tiếp cận với vấn đề
an ninh giờ đây đã phải thay đổi nhiều so với trước kia. Một hệ thống
phòng thủ hiện đại phải nhiều tầng nhiều lớp, chủ động, tự động. TS
Đỗ Cao Bảo- Giám đốc công ty Hệ thống thông tin FPT cho biết:
"Chúng tôi rất tâm đắc với triết lý bảo mật: Thứ nhất, bảo mật phải
nhiều tầng, nhiều lớp, chứ một lớp không đủ. Thứ 2, bảo mật sử dụng
nhiều công nghệ. Với công nghệ của một hãng nếu hacker biết thì hoàn
toàn có thể phá được. Chính vì vậy ta phải dùng nhiều công nghệ khác
để bảo vệ hệ thống. Thứ 3, bảo mật phải là một quá trình liên tục".
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 9
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Tại triển lãm ICT Finance 2004 mới đây, nhiều hãng đã mang
tới không chỉ các sản phẩm, công nghệ mới mà cả những giải pháp
tổng thể về an ninh, bảo mật mạng máy tính. Đáng chú ý là hệ thống
phòng chống thông minh của Checkpoint.
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
chặn lập tức cuộc tấn công đó. Hệ thống ngoài khả năng phát hiện ra
cuộc tấn công bằng cách thông báo nó còn ngăn chặn được các cuộc
tấn công trực tiếp vào hệ thống. Hệ thống sẽ ngừng kết nối khi nhận
thấy có người đang tấn công. Không những thế hệ thống sẽ tự động
ngăn chặn trực tiếp các cuộc tấn công mà không cần bất cứ sự can
thiệp của người quản lý hệ thống".
FPT còn mang đến triển lãm một điểm lý thú khác, đó là cách
tiếp cận phổ biến trên thế giới, nhưng rất mới ở nước ta: cung cấp dịch
vụ an ninh, bảo mật hệ thống thông tin. Nghĩa là ngoài các chủng loại
thiết bị phần cứng, phần mềm, giải pháp tổng thể, FPT còn sẽ cung cấp
dịch vụ tư vấn, dịch vụ an ninh, bảo mật cho các hệ thống máy tính các
doanh nghiệp, tổ chức. Đây cũng có thể xem là một bước đi tạo ưu thế
cạnh tranh của FPT trong một thị trường đang lên này. TS Đỗ Cao
Bảo- Giám đốc công ty hệ thống thông tin FPT nói :" Quan trọng nhất
trong bảo mật là chúng tôi muốn đưa đến một thông điệp bảo mật
không phải là một thiết bị cũng không thuần tuý là một giải pháp. Nó
là sự kết hợp giữa thiết bị, giải pháp và dịch vụ. Lý do rất đơn giản vì
hôm nay, chúng ta bảo mật hệ thống thông tin tốt, thì hacker lại tìm
những thủ thuật mới công nghệ, phương cách tấn công mới. Như vậy,
bảo mật phải nghĩ ra những quy trình mới, những luật mới để bảo mật.
Vì vậy, bảo mật là dịch vụ được quá trình lặp không ngừng và dịch vụ
nhiều khi còn tốn kém hơn thiết bị đầu tư ban đầu".
An ninh, bảo mật mạng máy tính đã trở thành một phần không
thể thiếu trong các hệ thống CNTT các tổ chức doanh nghiệp. Vấn đề
là thời gian qua, chúng ta đã quan tâm tới vấn đề này đến đâu và tương
lai, chúng ta đã có kế hoạch, chiến lược như thế nào của các tổ chức,
doanh nghiệp nhằm đảm bảo cho các hệ thống thông tin vận hành một
cách trơn tru, phát huy tối đa các ứng dụng CNTT- truyền thông.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 11
• Việc bảo vệ các hồ sơ của tổ chức.
• Việc tuân thủ pháp luật về bảo vệ dữ liệu.
• Việc tuân thủ chính sách về an ninh hệ thống của toàn bộ các
đơn vị, thành phần tham gia vào hệ thống.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 12
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
2.2
2.2
NHU CẦU BẢO VỆ THÔNG TIN
NHU CẦU BẢO VỆ THÔNG TIN
Nguyên nhân mất an toàn thông tin:
Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ
hữu hiệu trong sản xuất kinh doanh, đã trở thành đối tượng cho nhiều
người tấn công với các mục đích khác nhau. Đôi khi, cũng chỉ đơn giản
là để thử tài hoặc đùa bỡn với người khác.
Cùng với sự phát triển không ngừng của Internet và các dịch vụ
trên Internet, số lượng các vụ tấn công trên Internet cũng tăng theo cấp
số nhân. Trong khi các phương tiện thông tin đại chúng ngày càng
nhắc nhiều đến Internet với những khả năng truy nhập thông tin dường
như đến vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều
đến vấn đề bảo đảm an ninh và an toàn dữ liệu cho các máy tính được
kết nối vào mạng Internet.
Những vụ tấn công nhằm vào tất cả các máy tính có mặt trên
Internet, các máy tính của tất cả các công ty lớn như AT&T, IBM, các
trường đại học, các cơ quan nhà nước, các tổ chức quân sự, nhà băng...
Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị
tấn công). Hơn nữa, những con số này chỉ là phần nổi của tảng băng
chìm. Một phần rất lớn các vụ tấn công không được thông báo, vì
nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản
những người quản trị hệ thống không hề hay biết những cuộc tấn công
• Tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng
cho người có thẩm quyền khi có yêu cầu truy nhập thông tin
vào đúng thời điểm cần thiết
• Tính không thể từ chối: Thông tin được cam kết về mặt pháp
luật của người cung cấp.
Trong các yêu cầu này, thông thường yêu cầu về bảo mật được
coi là yêu cầu số 1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay
cả khi những thông tin này không được giữ bí mật, thì những yêu cầu
về tính toàn vẹn cũng rất quan trọng. không một cá nhân, một tổ chức
nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin
mà không biết về tính đúng đắn của những thông tin đó.
2.2.2
2.2.2
Bảo vệ các tài nguyên sử dụng trên mạng
Bảo vệ các tài nguyên sử dụng trên mạng
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công,
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 14
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy
này để phục vụ cho mục đích của mình như chạy các chương trình dò
mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục
tấn công các hệ thống khác vv...
2.2.3
2.2.3
Bảo vệ danh tiếng cơ quan
Bảo vệ danh tiếng cơ quan
Một phần lớn các cuộc tấn công không được thông báo rộng rãi,
và một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan,
đặc biệt là các công ty lớn và các cơ quan quan trọng trong bộ máy nhà
nước. Trong trường hợp người quản trị hệ thống chỉ được biết đến sau
những năm gần đây. Sự cố Y2K, Internet và thương mại điện tử ngày
càng phát triển đã góp phần làm tăng khả năng tấn công vào hệ thống.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 15
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
Thật may là các tập đoàn và các chính phủ đã có những quan tâm đáp
lại, họ phần nào đã hiểu rõ sự nguy hiểm và sức mạnh của các tổ chức
gián điệp và nhận ra khả năng bị tấn công là rất lớn. Khách hàng sẽ
không đầu tư vào đơn vị của bạn nếu hệ thống thông tin là không an
toàn. Tuy nhiên, việc quản lý và thực thi an toàn thông tin là rất khó
khăn.
2.3.1.2
2.3.1.2
Nguyên nhân dẫn đến các lỗ hổng về an toàn trong máy tính
Nguyên nhân dẫn đến các lỗ hổng về an toàn trong máy tínhDựa trên ý kiến của 1,850 nhà quản lý và các chuyên gia bảo
mật máy tính trong cuộc hội thảo tại SANS99 và hội thảo về bảo mật
máy tính liên bang tại Baltimore 7-14/05/1999 người ta đã đưa ra bảy
sai lầm hay gặp nhất dẫn đến các lỗ hổng về an toàn trong máy tính.
• Sai lầm thứ nhất: Đặt những người thiếu đào tạo về bảo mật
vào vị trí duy trì tính bảo mật mà không đào tạo thêm đồng thời
cũng không cho họ thời gian hợp lý để có thể thực hiện công
việc.
• Sai lầm thứ hai: Thiếu sự hiểu biết về mối quan hệ của bảo mật
thông tin và nghiệp vụ - Họ hiểu một cách máy móc về bảo mật
mà không thấy được hậu quả của sự thiếu bảo mật thông tin.
• Sai lầm thứ ba: Giải pháp sai lệch khi thực hiện thao tác bảo
mật: sửa nhanh một vài lỗi và không theo một qui trình tối thiểu
để đảm bảo lỗi đã được sửa.
2.4
CÁC KIỂU TẤN CÔNG MẠNG
CÁC KIỂU TẤN CÔNG MẠNG
2.4.1
2.4.1
Tấn công trực tiếp
Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong
giai đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương
pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây là
phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện
đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin
như tên người dùng, ngày sinh, địa chỉ, số nhà vv… để đoán mật khẩu.
Trong trường hợp có được danh sách người sử dụng và những thông
tin về môi trường làm việc, có một trương trình tự động hoá về việc dò
tìm mật khẩu này. Một trương trình có thể dễ dàng lấy được từ
Internet để giải các mật khẩu đã mã hoá của các hệ thống Unix có tên
là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo
những quy tắc do ngời dùng tự định nghĩa. Trong một số trường hợp,
khả năng thành công của phương pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 17
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và
vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp
phương pháp này cho phép kẻ tấn công có được quyền của người quản
trị hệ thống (Root hay Administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương
pháp này là ví dụ với chương trình sendmail và chương trình rlogin của
hệ điều hành UNIX:
Giả mạo địa chỉ
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử
dụng khả năng dẫn đường trực tiếp (source-routing). Với cách tấn công
này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ
IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được
coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà
các gói tin IP phải gửi đi.
2.4.4
2.4.4
Vô hiệu hóa các chức năng của hệ thống
Vô hiệu hóa các chức năng của hệ thống
Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực
hiện chức năng theo thiết kế. Kiểu tấn công này không thể ngăn chặn
được, do những phương tiện tổ chức tấn công cũng chính là các ph-
ương tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng
lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn
bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này,
không còn các tài nguyên để thực hiện những công việc có ích khác.
2.4.5
2.4.5
Lỗi của ngư
Lỗi của ngư
ời quản trị hệ thống
ời quản trị hệ thống
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy
nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho
phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.
2.4.6
2.4.6
Tấn công vào yếu tố con ng
MẬT CHO HỆ THỐNG
MẬT CHO HỆ THỐNG
Phần này trình bày các hoạt động, biện pháp nhằm tăng cường
tính an toàn, bảo mật cho hệ thống mạng máy tính theo các mức khác
nhau. Đặc điểm của các biện pháp này là chi phí thực hiện thấp và hiệu
quả đã được chứng minh thông qua việc triển khai thực tế ở nhiều đơn
vị khác nhau. Tiêu chí của các hành động, biện pháp này là: chi phí
thấp, hiệu quả cao.
Để có được danh sách các hoạt động đem lại hiệu quả cao, cần
xác định rõ các nhân tố tối thiểu về an toàn bảo mật cho một hệ thống
và mạng cùng với các kiến thức quản trị và kỹ năng để thực hiện các
hoạt động tăng cường an toàn bảo mật.
3.1
3.1
CÁC HOẠT ĐỘNG BẢO MẬT Ở MỨC MỘT
CÁC HOẠT ĐỘNG BẢO MẬT Ở MỨC MỘT
Ở mức một, người thực thi bảo mật, quản trị hệ thống & mạng
thực hiện làm cho môi trường mạng, máy tính ít bị lỗ hổng bảo mật
hơn vì đã được sửa lỗi bằng các bản sửa lỗi hoặc bằng các biện pháp
kỹ thuật. Mỗi một hành động thường được đảm bảo và điều khiển bởi
một chính sách tương ứng.
• Thực hiện các cảnh báo ngay lập tức (trực tuyến) để nhắc nhở,
thông báo mỗi người dùng trong mạng các quy tắc sử dụng mỗi
khi truy nhập vào hệ thống của tổ chức. Không có các cảnh báo
như vậy, các kẻ tấn công bên trong và bên ngoài tổ chức có thể
không bị buộc tội khi họ bị bắt.
• Thực hiện một mạng lưới bảo vệ, lọc, phát hiện và tiêu diệt
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 21
không có tường lửa thì cũng như ngôi nhà của bạn có cửa mà
không có khóa.
• Thiết lập danh sách điều khiển truy cập (ACL) trên bộ định
tuyến. Bộ định tuyến có thể đóng vai trò như một tầng bảo vệ
nữa cho hệ thống.
• Rà quét mạng để hình thành và duy trì một bản sơ đồ mạng đầy
đủ cập nhật.
• Sử dụng phần mềm kiểm tra lỗ hổng bảo mật mạng để khóa
chặn bất kỳ một lỗ hổng bảo mật mức một và sửa chữa các lỗi
tìm được.
• Cài đặt các bản sửa lỗi hệ thống và ứng dụng mới nhất, vô hiệu
hóa hoặc kiểm soát chặt chẽ các dịch vụ không cần thiết, và
kiểm soát chặt chẽ đến từng hệ điều hành.
• Hình thành vành đai máy chủ.
• Thực hiện cơ chế đảm bảo tập tin (cryptographic fingerprinting)
để nhận biết được tập tin nào bị thay đổi sau một vụ tấn công.
• Tuyển chọn hình thành một nhóm phản ứng với các tình trạng
khẩn cấp và xây dựng các thủ tục được sử dụng để đối phó với
các cuộc tấn công.
Đối với nhiều tổ chức nhỏ và đối với các tổ chức mà nghiệp vụ
không phụ thuộc vào cơ sở hạ tầng thương mại thông qua Internet hoặc
công việc hoạt động trên một mạng dùng chung tin cậy, thì các hành
động an toàn bảo mật mức một có thể đã đủ hiệu quả khi cùng được sử
dụng với một hệ thống giám sát thông tin ra ngoài nhằm đảm bảo vấn
đề sẽ nhanh chóng được phát hiện và khắc phục. Đối với hầu hết các tổ
chức lớn, việc có được độ tin cậy rộng nghĩa là đòi hỏi mức độ an toàn
bảo mật ở mức độ cao hơn.
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 23
Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống
3.2
Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 24
Copyright: Tài liệu đại học ©