QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC

QUẢN TRỊ AN NINH MẠNG
Mục tiêu
Mục tiêu của quản trị an ninh mạng là loại trừ mọi sự thâm nhập trái phép vào tài
nguyên mạng và phá hoại mạng. Công việc bắt đầu bằng việc xây dựng một chính
sách đảm bảo an ninh mạng cho toàn cơ quan và hệ thống đảm bảo thực thi nó. Tiếp
đó là công việc hàng ngày ngăn chặn mọi hành vi xâm phạm trái phép và chu trình cập
nhật định kỳ các thông tin về an ninh mạng.
I.
Chính sách đảm bảo an ninh mạng và các phương pháp.
Phát triển một chiến lược an toàn. Chiến lược an toàn không được dựa trên sản phẩm
hay công nghệ hiện tại hoặc tương lai. Nó phải được dựa trên nhu cầu chức năng và
những hiểm hoạ đe doạ tổ chức. Phần hóc búa nhất tròn phần phát triển chiến lược an
toàn là cần xác định xem phải đảm bảo ana toàn cho cái gi, và ngăn ngừa ai. An toàn
có giá của nó, mỗi lần nâng cấp ana toàn phải trả giá về độ phức tạp khi truy cập, mất
thêm thời gian và hạn chế năng lực truyền thông. Trước khi phát triển một chiến lược
thì điều quan trong là phải hiểu biết khái niệm về hiểm hoạ, khi nói về hiểm họa đối
với sự an toàn thì phải nhớ rằng hiểm hoạ gồm cả số liệu khách quan và nhận thức chủ
quan dựa trên tâm lý cá nhân.
Về lý thuyết công thức cơ bản để xét về các yếu tố khách quan khá đơn giản. Ta chỉ
cần ước lượng về mức độ quan trọng của thông tin đối với những người không được
phép biết, về mức độ họ phải trả giá khi vi phạm luật pháp để lấy thông tin và về thiệt
hại của cơ quan khi mất thông tin. Cho nên mục tiêu là phải đảm bảo giá trị của thông
tin được bảo vệ cao hơn chi phí để bảo mật thông tin.
Trong thực tế công thức này phức tạp hơn vì giá trị của thông tin thường là một khái
niệm chủ quan và gía trị đối với người phá hoại có khi không phải ở bản thân tin tức
mà chỉ vì mục đích khiêu khích hoặc báo thù. Một vấn đề là cần bảo mật nhưng không
nên tốn kém qúa nhiều cho việc bảo mật thông tin mà đối thủ có thể lâý qua những con
QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC


cho việc ghi vào một chương trình điều khiển tự động việc truy cập. Khi một người
dùng muốn truy cập một thông tin nào đó thì thoạt tiên hệ thống xem xét xem đó là ai.
Khi người này cần thông tin cụ thể nào thì phần mềm kiểm tra xem bảng ưu tiên để
xem anh ta có được phép hay không. Hệ thống này không những đơn giản việc quản lý
những người truy cập mà còn làm đơn giản việc truy cập cho người dùng. Chính là
nhờ có bảng ưu tiên mà người dùng chỉ phải xưng danh một lần chứ không phải mỗi
lần khi truy cập lại xưng danh.
Một trong những cách khi xây dựng bảng ưu tiên của xí nghiệp là xác định độ mịn của
các trường. Đứng về phía quan điểm quá trình thì nên xếp các người dùng thành từng
lớp riêng biệt và quyết định theo lớp hơn là theo cá nhân. Tương tự cũng nên xếp
thông tin theo lớp và quyết định theo lớp hơn là theo thông tin riêng biệt. Về lý thuyết
đây là việc thích ứng thông tin với lớp người dùng. Để cho có hiệu quả, khi xây dựng
bảng ưu tiên cho nên có sự tham gia của các tổ chức tạo ra và quản lý thông tin.
Các phương pháp chủ yếu trong quản trị an ninh mạng là xác thực người dùng và kiểm
soát truy nhập, mã hoá dữ liệu, kiểm soát truy cập router, bức tường lửa và quản lý
truy cập từ xa.
1. Xác thực người dùng và quản lý truy cập
Cần thiết lập cơ chế xác thực người dùng và kiểm soát truy cập vào các tài nguyên
mạng. Thông thường quá trình đăng nhập mạng thực hiện việc xác nhận người dùng
bằng cách kiểm tra tên (userID) và mật khẩu theo một cơ sở dữ liệu người đã được
thiết lập từ trước và luôn được cập nhật. Việc kiểm soát truy cập giới hạn phạm vi và
quyền truy cập tài nguyên mạng cho những người dùng đã được quyền vào mạng.
2. Mã hoá dữ liệu
Khoá mã công nghệ quan trọng nhất cho sự an toàn của mạng. Ngoài sự bảo vệ thông
tin đang truyền tải nó còn những công dụng khác nữa là đảm bảo sự toàn vẹn của nội
dung thông tin trong tài liệu hay hợp đồng hợp pháp kháckhi hai bên đã đi đến thoả
QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC

thuận. Một vài kiểu khoá mã dùng những phần cứng đặc biệt, nhưng cũng có khi chỉ
hoàn toàn là phần mềm.


Bức tường lửa (Firewall)
Sơ bộ có thể chia Firewall thành các dạng sau:
1) Bộ lọc chần (Screening Filter) sử dụng router để nối mạng riêng với bên ngoài.
Loại này kiểm tra điạ chỉ IP các gói dữ liệu đi qua để kiểm soát việc truy cập từ
bên ngoài vào các máy và ports ở mạng riêng bên trong, đồng thời hạn chế việc
truy nhập từ trong ra ngoài. Tuy nhiên chúng không có khả năng kiểm soát truy
cập ở mức ứng dụng.
2) Bastion chuyển bản tin từ/đến những người sử dụng có thẩm quyền và từ chối
phục vụ những người khác. Loại này có thể kiểm tra truy nhập ở mức (layer)
người sử dụng hay mức ứng dụng. Tuy nhiên giá thành sẽ cao khi số người sử
dụng tăng lên, ngoài ra kẻ phá hoại có thể tìm cách biết được thông tin để giả
mạo người sử dụng có thẩm quyền, chui vào mạng bên trong.
3) Phối hợp hai kỹ thuật nêu trên để tạo ra độ mềm dẻo và hiệu quả an ninh tối đa.
QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC

Về mặt vật lý Firewall bao gồm một hay nhiều máy chủ kết nối với các bộ dẫn đường
hoặc có chức năng dẫn đường. Hiện nay nhiều sản phẩm Firewall được đưa ra để tạo
cổng kết nối mạng bảo mật (Secured Network Gateway-SNG). Những tính năng chính
của Firewall được SNG hỗ trợ trong cụ thể hoá các dịch vụ sau:
1) Đường hầm IP bảo mật (Secured IP tunnels)-thường dùng để kết nối mạng nội
bộ nhằm phân tần, sử dụng đường truyền công cộng. Các gói dữ liệu IP cùng
headers ở đầu gửi được đóng trong một gói mới (encapsulation) và được mã
hoá trước khi truyền đi. Firewall ở đầu nhận sẽ bóc gói ra (giải mã) và trả lại dữ

Seamless, transparent access
• Vorlfy connection information
• Monitor TCP to set up dynamic UDP filltering
• Roveals & uses internal IP addresses
• Trust based upon IP address
Expert Filter
3) Máy chủ uỷ quyền – nhận yêu cầu của người dùng trong mạng nội bộ, rồi thực
hiện kết nối với thông tin bên ngoài. Như vậy có thể kiểm soát được người
dùng (và hạn chế các ứng dụng họ yêu cầu) trước khi gửi các yêu cầu ra ngoài
mạng và giấu được địa chỉ ở mạng trong (chỉ công khai ra ngoài điạ chỉ
Firewall). Tương tự có thể kiểm soát và cho phép người dùng bên ngoài vào
khai thác tài nguyên thông tin ở mạng bên trong.

QUẢN TRỊ AN NINH MẠNG TATA Jsc. - CIC• Non- transparent
• Hides internal IP addresses (outbound)
• Trust granted to authenticated inđviual
Application proxy gateway
4) Máy chủ SOCKS – nhận yêu cầu của người dùng mạng bên trong có phần mềm
client đã được máy SOCKS hoá và kết nối anh ta với các ứng dụng bên ngoài.
So với máy chủ uỷ quyền phương thức này tiện hơn cho người dùng mạng bên
trong, giảm tải trên Firewall nhưng không thích hợp để kiểm tra người dùng bên