Đề tài quản lý và bảo mật thông tin trong hệ thống bảo mật mạng

TRƯỜNG ĐẠI HỌC KINH TẾ KỸ THUẬTCÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN TIỂU LUẬN KẾT THÚC HỌC PHẦN ĐỀ TÀI: Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng Giảng viên hướng d

TRƯỜNG ĐẠI HỌC KINH TẾ KỸ THUẬT

CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN

TIỂU LUẬN KẾT THÚC HỌC PHẦN

ĐỀ TÀI: Quản lý và bảo mật thông tin trong hệ

thống bảo mật mạng Giảng viên hướng dẫn: Đào Thụy Ánh

Sinh viên thực hiện: Huỳnh Đức Hà Việt Lớp: DHMT15A1HN

Mã sinh viên: 20103200006

HÀ NỘI – 4/2025 MỤC LỤC

LỜI MỞ ĐẦU 3

CHƯƠNG 1: TỔNG QUAN VỀ QUẢN LÝ VÀ BẢO MẬT THÔNG TIN TRONG HỆ THỐNG BẢO MẬT MẠNG 5

1.1 Khái niệm Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng 5

1.2 Kiến trúc tổng quát của Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng 5

1.4 Vai trò của Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng 6

1.5 Các kỹ thuật bảo mật trong Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng 6

1.6 Triển khai bảo mật trong Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng 6

CHƯƠNG 2: QUY TRÌNH QUẢN LÝ VÀ BẢO MẬT THÔNG TIN TRONG HỆ THỐNG BẢO MẬT MẠNG 8

2.1 Giới thiệu quy trình Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng 8

2.2 Các bước trong quy trình Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng 8

2.3 Một số mô hình áp dụng quy trình Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng phổ biến 10

CHƯƠNG 3: MÔ HÌNH MẠNG ĐƠN GIẢN: “FIREWALL VÀ VLAN TRONG QUẢN LÝ BẢO MẬT MẠNG” 11

3.1 Cisco Packet Tracer 11

KẾT LUẬN 16

TÀI LIỆU THAM KHẢO 17

LỜI MỞ ĐẦU

1 Lý do chọn đề tài

Trong thời đại công nghệ thông tin phát triển mạnh mẽ như hiện nay, thông tin đã trở thành một tài sản vô cùng quý giá đối với cá nhân, tổ chức và doanh nghiệp Tuy nhiên, song song với sự phát triển đó là những nguy cơ và thách thức liên quan đến bảo mật

thông tin ngày càng gia tăng, đặc biệt là các cuộc tấn công mạng có chủ đích, lừa đảo, đánh cắp dữ liệu và phá hoại hệ thống Trước thực trạng đó, việc nghiên cứu và triển khai các biện pháp quản lý, bảo mật thông tin trong hệ thống mạng là một yêu cầu cấp thiết nhằm đảm bảo an toàn cho các hoạt động truyền tải, lưu trữ và xử lý dữ

liệu Chính vì vậy, em quyết định chọn đề tài “Quản lý và bảo mật

thông tin trong hệ thống bảo mật mạng” để tìm hiểu rõ hơn về

các giải pháp cũng như thực trạng hiện nay

2 Mục tiêu nghiên cứu

Tìm hiểu các khái niệm cơ bản về bảo mật thông tin và quản lý hệ thống mạng

Phân tích các mối đe dọa phổ biến đối với thông tin trong môi trường mạng

Đánh giá các phương pháp và công nghệ bảo mật hiện nay đang được áp dụng

Đề xuất một số giải pháp nâng cao hiệu quả quản lý và bảo mật thông tin trong hệ thống mạng

3 Phạm vi nghiên cứu

Hệ thống mạng doanh nghiệp hoặc tổ chức vừa và nhỏ

Các phương pháp bảo mật phổ biến như: mã hóa, tường lửa, xác thực người dùng, hệ thống phát hiện xâm nhập (IDS/IPS)

Không đi sâu vào lập trình kỹ thuật chuyên sâu, mà tập trung vào tổng quan quản lý và giải pháp áp dụng trong thực tế

4 Phương pháp nghiên cứu

Phương pháp thu thập tài liệu: Tìm kiếm tài liệu từ sách, báo, internet, và các công

trình nghiên cứu có liên quan

Phương pháp phân tích – tổng hợp: Phân tích thông tin thu thập được, tổng hợp các

mô hình và giải pháp bảo mật hiệu quả

Phương pháp so sánh – đánh giá: So sánh các giải pháp bảo mật hiện có, đánh giá

ưu – nhược điểm để đưa ra kiến nghị phù hợp

5 Ý nghĩa của đề tài

Việc nghiên cứu đề tài này không chỉ giúp nâng cao nhận thức về tầm quan trọng của bảo mật thông tin, mà còn góp phần định hướng cho cá nhân, tổ chức trong việc xây dựng hệ thống bảo mật mạng hiệu quả Đề tài cũng giúp người học hiểu rõ hơn về các rủi ro trong môi trường mạng và cách thức quản lý thông tin an toàn, từ đó hỗ trợ cho công việc thực tế trong lĩnh vực công nghệ thông tin và an toàn mạng

CHƯƠNG 1: TỔNG QUAN VỀ QUẢN LÝ VÀ BẢO MẬT THÔNG TIN TRONG HỆ THỐNG BẢO MẬT MẠNG 1.1 Khái niệm Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng

Quản lý thông tin trong hệ thống mạng là quá trình tổ chức, kiểm

soát và giám sát việc sử dụng thông tin nhằm đảm bảo thông tin được lưu trữ, truy cập và xử lý một cách hợp lý, hiệu quả và đúng đối tượng

Bảo mật thông tin là tập hợp các biện pháp kỹ thuật và tổ chức

nhằm đảm bảo thông tin không bị truy cập trái phép, bị thay đổi hoặc bị phá hủy Trong môi trường mạng, bảo mật thông tin bao gồm cả bảo vệ phần mềm, phần cứng, dữ liệu và người dùng khỏi các mối đe dọa

Hệ thống bảo mật mạng là tập hợp các thiết bị, phần mềm và quy

trình hoạt động phối hợp nhằm bảo vệ hệ thống mạng khỏi các cuộc tấn công, truy cập trái phép và thất thoát thông tin

1.2 Kiến trúc tổng quát của Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng

Một hệ thống quản lý và bảo mật thông tin thường bao gồm các thành phần sau:

 Lớp bảo vệ vật lý: Bao gồm các thiết bị phần cứng, hệ thống

kiểm soát truy cập vật lý vào trung tâm dữ liệu

 Lớp mạng: Sử dụng các thiết bị như tường lửa (firewall), bộ định

tuyến (router), hệ thống phát hiện và ngăn chặn xâm nhập

(IDS/IPS)

 Lớp hệ điều hành và máy chủ: Cấu hình bảo mật hệ điều hành,

cập nhật bản vá, kiểm soát truy cập hệ thống

 Lớp ứng dụng: Bảo vệ các phần mềm ứng dụng khỏi tấn công

như SQL Injection, XSS, …

 Lớp dữ liệu: Mã hóa, phân quyền truy cập và sao lưu dữ liệu.

 Hệ thống quản lý bảo mật tập trung (SIEM): Thu thập, phân

tích và phản ứng với các sự kiện bảo mật trong toàn hệ thống

1.3 Vấn đề bảo mật trong Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng

Một số vấn đề nổi bật thường gặp:

 Tấn công mạng (Cyber Attacks): Như DDoS, Phishing,

Malware, Ransomware

 Truy cập trái phép: Người dùng không có quyền vẫn có thể truy

cập vào dữ liệu quan trọng

 Rò rỉ thông tin: Do sai sót trong quản lý hoặc bị đánh cắp từ nội

bộ

 Thiếu chính sách và quy trình bảo mật rõ ràng.

 Thiếu nhận thức của người dùng: Người dùng có thể vô tình

thực hiện các hành động gây rủi ro

1.4 Vai trò của Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng

Đảm bảo an toàn thông tin: Giúp hệ thống tránh bị xâm nhập, rò

rỉ hay mất mát dữ liệu

Tăng độ tin cậy của hệ thống: Doanh nghiệp và người dùng tin

tưởng vào hệ thống bảo mật

Đáp ứng yêu cầu pháp lý và tiêu chuẩn quốc tế: Ví dụ như

ISO/IEC 27001, GDPR,

Tối ưu hóa hoạt động quản lý: Hệ thống giám sát, phân quyền và

kiểm soát chặt chẽ giúp giảm thiểu rủi ro

1.5 Các kỹ thuật bảo mật trong Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng

Mã hóa (Encryption): Bảo vệ dữ liệu khi truyền tải và lưu trữ.

Xác thực (Authentication): Sử dụng mật khẩu, OTP, xác thực đa

yếu tố (MFA)

Phân quyền truy cập (Access Control): Gán quyền theo vai trò

người dùng (RBAC)

Tường lửa (Firewall): Lọc lưu lượng truy cập bất hợp pháp.

IDS/IPS: Phát hiện và ngăn chặn hành vi xâm nhập bất thường VPN: Mạng riêng ảo giúp kết nối an toàn qua môi trường Internet Backup và Recovery: Sao lưu định kỳ và kế hoạch phục hồi dữ liệu

sau sự cố

1.6 Triển khai bảo mật trong Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng

Việc triển khai bảo mật trong quản lý và bảo mật thông tin trong hệ thống bảo mật mạng bao gồm:

 Đánh giá rủi ro (Risk Assessment): Xác định tài sản cần bảo

vệ và mối đe dọa tương ứng

 Xây dựng chính sách bảo mật (Security Policy): Đặt ra các

quy định rõ ràng về truy cập, lưu trữ và xử lý thông tin

 Thiết kế kiến trúc bảo mật: Áp dụng các mô hình như Zero

Trust, Defense in Depth,

 Triển khai giải pháp kỹ thuật: Firewall, IDS/IPS, mã hóa, giám

sát mạng,

 Đào tạo và nâng cao nhận thức người dùng: Giúp người dùng

hiểu và thực hiện đúng các quy định bảo mật

 Giám sát và cập nhật liên tục: Theo dõi hệ thống, phát hiện lỗ

hổng và cập nhật bản vá bảo mật

CHƯƠNG 2: QUY TRÌNH QUẢN LÝ VÀ BẢO MẬT THÔNG

TIN TRONG HỆ THỐNG BẢO MẬT MẠNG

2.1 Giới thiệu quy trình Quản lý và bảo mật thông tin trong

hệ thống bảo mật mạng

Quy trình quản lý và bảo mật thông tin trong hệ thống mạng là chuỗi các hoạt động nhằm đảm bảo thông tin được bảo vệ một cách toàn diện trong suốt vòng đời của nó từ khi được tạo ra, lưu trữ, truyền tải cho đến khi bị tiêu hủy Quy trình này không chỉ bao gồm các giải pháp kỹ thuật, mà còn là sự phối hợp giữa chính sách, con người và công nghệ để phòng ngừa, phát hiện, phản ứng và phục hồi sau các sự cố an ninh mạng

Quy trình bảo mật hiệu quả giúp:

 Hạn chế rủi ro rò rỉ hoặc mất mát dữ liệu

 Đảm bảo hệ thống hoạt động ổn định, an toàn

 Tuân thủ các tiêu chuẩn, quy định pháp lý hiện hành

2.2 Các bước trong quy trình Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng

2.2.1 Phân tích và đánh giá rủi ro

Mục đích của bước này là xác định:

 Những tài sản thông tin nào cần bảo vệ (dữ liệu khách hàng, tài liệu mật, hệ thống máy chủ, v.v.)

 Các mối đe dọa tiềm ẩn (tấn công từ bên ngoài, nội bộ, lỗi hệ thống, thiên tai,…)

 Mức độ tác động của rủi ro nếu xảy ra (thấp, trung bình, cao)

Công cụ hỗ trợ: SWOT, Ma trận rủi ro, tiêu chuẩn ISO 27005.

Kết quả của bước này là một bản đồ rủi ro, giúp ưu tiên các biện

pháp bảo vệ phù hợp với mức độ nghiêm trọng của từng rủi ro

2.2.2 Thiết kế kiến trúc

Dựa trên kết quả đánh giá rủi ro, kiến trúc bảo mật được thiết kế

theo nguyên tắc "Defense in Depth" (phòng thủ nhiều lớp), bao

gồm:

 Cấu trúc phân vùng mạng nội bộ (DMZ, LAN, WAN,…)

 Xây dựng sơ đồ triển khai firewall, router, switch bảo mật

 Định danh và xác thực người dùng (SSO, MFA)

 Áp dụng các lớp bảo mật từ vật lý đến ứng dụng

 Lựa chọn giải pháp: SIEM, DLP, NAC, VPN,…

Việc thiết kế kiến trúc cần bảo đảm hiệu quả bảo mật mà không làm ảnh hưởng tới hiệu năng hệ thống.

2.2.3 Triển khai các cơ chế

Sau khi có kiến trúc, bước này tiến hành cài đặt và cấu hình các hệ thống bảo mật:

 Tường lửa (Firewall): Lọc gói tin ra vào hệ thống.

 Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS).

 Chính sách phân quyền người dùng (RBAC, ACL).

 Giải pháp mã hóa dữ liệu: AES, RSA, SSL/TLS.

 Chống virus, malware, spyware.

 Cấu hình sao lưu, phục hồi dữ liệu.

Cần có hướng dẫn sử dụng và đào tạo người dùng để đảm bảo

cơ chế bảo mật phát huy hiệu quả

2.2.4 Kiểm tra và đánh giá bảo mật định kỳ

Việc kiểm tra giúp phát hiện lỗ hổng, điểm yếu trong hệ thống:

 Kiểm tra hệ thống định kỳ (audit): Nhật ký truy cập, log hệ

thống, sự kiện bất thường

 Penetration testing: Mô phỏng tấn công để kiểm tra khả năng

phòng thủ

 So sánh với tiêu chuẩn bảo mật hiện hành: ISO/IEC 27001,

NIST, PCI DSS,…

 Báo cáo đánh giá cần ghi rõ các điểm chưa đạt, từ đó đề xuất

phương án khắc phục

2.2.5 Cập nhật và ứng phó sự cố

Dù hệ thống có bảo mật đến đâu thì vẫn có khả năng xảy ra sự cố,

do đó:

 Cập nhật bản vá lỗ hổng phần mềm thường xuyên.

 Xây dựng quy trình ứng phó sự cố (Incident Response):

Phát hiện – Phân tích – Khoanh vùng – Giải quyết – Báo cáo – Khôi phục

 Phân công đội ứng phó sự cố (SOC – Security Operation

Center).

 Rút kinh nghiệm sau sự cố: Báo cáo phân tích nguyên nhân,

điều chỉnh chính sách

2.3 Một số mô hình áp dụng quy trình Quản lý và bảo mật thông tin trong hệ thống bảo mật mạng phổ biến

Mô hình bảo mật theo tiêu chuẩn ISO/IEC 27001

 Là tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin (ISMS)

 Cung cấp khung pháp lý và quy trình từ xác định rủi ro đến thiết kế,

Mô hình Defense in Depth

 Phòng thủ nhiều lớp: từ vật lý, mạng, hệ điều hành, đến ứng dụng

và dữ liệu

 Mỗi lớp là một rào cản ngăn tấn công lan rộng

Mô hình Zero Trust (Không tin tưởng mặc định)

 Không tin tưởng bất kỳ ai, dù bên trong hay bên ngoài hệ thống

 Mọi truy cập đều cần xác thực, giám sát và phân quyền chi tiết

Mô hình NIST Cybersecurity Framework

 Gồm 5 chức năng chính: Identify – Protect – Detect – Respond – Recover

 Linh hoạt, có thể áp dụng với nhiều loại hình doanh nghiệp

CHƯƠNG 3: MÔ HÌNH MẠNG ĐƠN GIẢN: “FIREWALL VÀ

VLAN TRONG QUẢN LÝ BẢO MẬT MẠNG”

3.1 Cisco Packet Tracer

3.1.1 Giới thiệu phần mềm Cisco Packet Tracer

Cisco Packet Tracer là phần mềm mô phỏng mạng được phát triển bởi Cisco Systems, hỗ trợ mô phỏng cấu hình mạng, thiết bị router, switch, cũng như các thiết bị IoT như cảm biến, camera, đèn, cửa thông minh, Đây là công cụ lý tưởng cho sinh viên và người học mạng máy tính có thể thực hành mà không cần phần cứng thật

3.1.2 Yêu cầu hệ thống

Trước khi cài đặt, cần đảm bảo máy tính đáp ứng các yêu cầu sau:

Hệ điều hành: Windows 10/11, macOS 10.14 trở lên, hoặc Ubuntu

20.04 LTS trở lên

RAM: Tối thiểu 4 GB (khuyến nghị 8 GB).

Ổ cứng: Trống ít nhất 1 GB.

CPU: core I5 trở lên.

3.1.3 Cài đặt phần mềm

Đối với Windows:

 Mở file exe vừa tải

 Nhấn Next liên tục và chấp nhận điều khoản.

 Hoàn tất cài đặt, khởi động phần mềm từ Desktop hoặc Start Menu

Đối với macOS:

 Mở file dmg, kéo biểu tượng Packet Tracer vào thư mục Applications

 Chạy ứng dụng và cho phép quyền truy cập khi được yêu cầu

3.2 Mô hình mạng đơn giản

3.2.1 Thiết bị cần dùng trong Packet Tracer và sơ đồ kết nối

1 Switch Layer 2 (Switch0)

1 Router (Router0)

2 PC người dùng (PC1, PC2)

1 PC quản trị viên (AdminPC)

Dây cáp thẳng (copper straight-through)

Sơ đồ kết nối

Tên thiết

bị

Loại thiết bị Cổng kết nối Kêt nối tới

PC1 PC FasrEthernet0

PC2 PC FasrEthernet0

AdminPC PC FasrEthernet0

Switch0 Switch (2960) Fa0/1

Fa0/2 Fa0/24

PC1 PC2 Router Gig0/0 Router Router (e.g

2911)

GigabitEthernet0/

0 GigabitEthernet0/

2

Switch0 Fa0/24 AdminPC

3.2.2 Cấu hình VLAN trên Switch

Bước 1: Truy cập vào Switch

Switch> enable

Switch# configure terminal

Bước 2: Tạo VLAN 10 cho người dùng

Switch(config)# vlan 10

Switch(config-vlan)# name USERS

Switch(config-vlan)# exit

Bước 3: Gán PC1 và PC2 vào VLAN 10

Switch(config)# interface fastEthernet 0/1

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 10 Switch(config-if)# exit

Switch(config)# interface fastEthernet 0/2

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 10 Switch(config-if)# exit

Bước 4: Cấu hình trunk (Switch <-> Router)

Switch(config)# interface fastEthernet 0/24 Switch(config-if)# switchport mode trunk

Switch(config-if)# exit

3.2.3 Cấu hình Router với Sub-interfaces (định tuyến liên VLAN)

Bước 1: Truy cập router

Router> enable

Router# configure terminal

Bước 2: Tạo sub-interface cho VLAN 10

Router(config)# interface gigabitEthernet 0/0.10

Router(config-subif)# encapsulation dot1Q 10

Router(config-subif)# ip address 192.168.10.1 255.255.255.0 Router(config-subif)# exit

Bước 3: Cấu hình IP cho cổng GigabitEthernet 0/2 (kết nối AdminPC)

Router(config)# interface gigabitEthernet 0/2

Router(config-if)# ip address 192.168.20.1 255.255.255.0

Router(config-if)# no shutdown

Router(config-if)# exit

Bước 4: Bật cổng trunk chính

Router(config)# interface gigabitEthernet 0/0

Router(config-if)# no shutdown

Router(config-if)# exit

3.2.4 Thiết lập ACL để chặn người dùng truy cập AdminPC

ACL chỉ cho phép VLAN 10 không được truy cập VLAN 20

Router(config)# access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

Router(config)# access-list 100 permit ip any any

Gắn ACL vào sub-interface VLAN 10 (Gig0/0.10)

Router(config)# interface gigabitEthernet 0/0.10

Router(config-subif)# ip access-group 100 in