Luận văn bảo mật cho doanh nghiệp và Ứng dụng mã nguồn mở trong bảo mật cho doanh nghiệp

1.2.2.1 Yêu cầu chung, Các tổ hức nên thiết lập, thực thị, vận hành, giám sal, xét lại, bảo trì và cải thiện một hệ thống quản lý an toàn thông tm được tải liệu hóa trong ngữ cảnh to

Trang 1

TRUONG DAI HOC BACH KHOA HA NOI

a g0o— ~

LUẬN VĂN THẠC SỸ KHOA HỌC

BẢO MẬT CHO DOANH NGHIỆP VÀ ỨNG

DUNG MA NGUON MO TRONG BAO MAT CHO

DOANH NGHIEP

NGANH: ĐIỆN TỬ VIỄN THÔNG

MA SO:

TRAN NGOC SON

Người hướng din khoa hoc: PGS.TS NGUYEN VIET HUONG

Hà Nội 2007

Trang 2

TMục lục

DANH SÁCH HÌNH V

DAT VANDE

CHƯƠNG k CÁC CHUẢN AN TOAN THONG TIN

1.1 GIỎI THIỆU CHUNG

1.2 CHUẨN ISO/EEC 27001:2005 -

1.2.1 Giới thiệu về ISƠ/IEC 27001:2005

1.2.2 Hệ thông quản lý an toàn thông tin

1.2.2.1 Yêu cầu chưng,

1.2.3.2 Quân lý tài nguyên

1.2.4 Kiểm tra chất lượng ISMS bên trong

1.2.5 Xem xét lại quản lý của ISMS

1.2.5.1 Tổng quan

1.2.5.2 Đầu vào quả trình xét lại

1.2.5.3 Đầu ra của quá Irình xét lại

1.2.6 Cải thiện ISMS -

1.2.6.1 Cải thiên liên tục

1.2.6.2 Hành đông sửa lỗi

1.2.6.3 Hành động ngăn cản

1.3.1 Giới thiệu về chưẳn ISƠ/IEC 17799:2000

1.3.2 Chính sách an tuần (hông tin -

1.3.3 Bão mật có tổ chức "—

1.3.3.1 Cơ sở hạ tẳng an toàn thong tin peste

1.3.3.2 An toàn trong việc truy cập bởi tổ chức thứ ba

1.3.3.3 Thuê nhân lực bên ngoài —¬

1.3.4 Phân loại và kiểm soát tài nguyên

1.3.4.1 Định trách nhiệm dỗi với tải nguyên son

1.3.4.3 Phân loại thang tin

1.3.6 Bảo mật nhân sự

1.3.5.1 An toàn trong xác dịnh công việc và thi nguyêu

1.3.5.2 Đảo [ao người dùng,

1.3.5.3 Đôi phó với các sự cổ an toàn thông tin setenv

1.3.6 Án toàn vật lý và môi trường

1.3.6.1 Vùng an toàn thông tin:

1.3.6.2 An Loàn thiết bị -

1.3.6.3 Những điều khiển elung

1.3.7 Quản lý vận hành và truyền (hông,

Trang 3

3.7.6 An Loàn thông tm và xử lý cả : phương tiện lưu trữ

1.3.7.7 Sự trao đổi thông tín và phần mềm

1.3.8, Điều khiển truy xuất

1.381 Yêu cân kinh doanh của quản lý truy cập

1.3.8.2 Quân lý truy cập người dùng

1.3.8.3 Trách nhiệm người dùng,

1.3.8.4 Kiêm soát truy cập mạng,

1.3.8.5 Quân lý truy cập hệ điều hành

1.3.8.6 Kiểm soát truy cập ứng đụng ¬

1.3.8.7 Giám sắt việc truy cập và sử dụng hệ (hông

1.3.9 Bão đưỡng vả phát triển hệ thống

1.3.9.1 Những yêu cầu an toàn cứa các hệ thông

1.3.9.2 An Loan trong cac hệ tng ung i cg

1.3.9.3 Các quân lý mã hóa -

1.3.9.4 An Loan cac file hệ thong

1.3.9.5 An toàn trong thứ tục phát triển và hỗ trợ

1.3.10 Quản lý liên tạc tắc nghiệp

1.3.11 Sự tuân thủ

1.3.11.1 Tuân thủ các yêu cầu luật pháp - nee

121.2 Xem xét lại chính sách và tuân thủ công nghệ

1.3.11.3 Xem xét việc kiểm định hệ thông

CHUONG I AN LOAN THONG TIN TRONG DOANL NGI

2.1 YÊU CAU BAO MÁT TRONG DOANH NGHIỆP

2.2 NOI DUNG BAO MAT TRONG DOANH NGHIỆP

2.2.L Đănh giá an toàn thông tin

2.2.1.1 Đánh giá nội bộ

3.2.1.2 Dánh giá từ bên ngoài

2.1.2 Phân loại và quân lý tài nguyễ:

2.2.7 Điều khiển truy xuất trong đoanh neh -

2.2.7.1 Quản lý truy xuất nội bộ

3.2.7.3 Quận lý truy xuất bên ngoài

Trang 4

Có thể kể ra đây những chuẩn quốc tế có liên quan đến vấn đề bảo mật và

an toàn thông tin:

đường truyền (MAC)

+ 1XO 9564-1:2002: Bảo mật và quản bp số nhận dạng cá nhân (PÚN) -

ung dụng trong ngân hàng

*® ISO/IHU 0707:1900; A4ã nhận thực tin nhẫn

« ISOMEC 9798:1997: Nhận thực (bực thể

*® _1SO/1EC 10118:2000: Các hàm bấm

+ 1SO/IEC TR 13594:1905: Bảo mật lớp thấp

+ 1SO/IHC HCD 14888: Chữ lý điện tả (đang xây dựng)

«© ISOAEC 15408:2005: Tiéu chi danh gia bao mai thang tin

* ISOMEC TR 15443:2005: Khung cơ cầu cho đảm bảo an toàn thông

tin

«_ISOMNC 15946:2002: Công nghệ mã hỏa dựa trên dường cong clipse

"_1SO/IEC TR 15947:2002: Khung cơ cấu trong phải hiện xâm nhập

«© ISOAEC 17799:2005: Quy tắc thục tién trong quản ly an tean thong

fin

«© ISOMEC 18028:2006: Bao mat mang IT

« ISOAKC TR 18044:2004: Quản lý tình hudng an toàn théng tin

* ISOARC 18045:2005: Phương pháp đánh giá an toàn thông tin

« ISOMEC 27001:2005: Cie hệ thông quân lý an toàn thông tin.

Trang 5

2.2.7.3 Quin ly ha tang mang

228, ‘An todn méi trường và hệ thông -

2.8.1 Môi trường thông tin trong doanh nghiệp 2.2.8.2 An Loin hé thống - -

CHUONG III: UNG DUNG PHAN MEM MA NCUON MO TRONG BAO MAT 69

3.1 GIỚI THIỆU CHUNG

3.1.1 Tường lửa — Proxy -

3.111 1pfable Erewall Builder

3.1.1.2TPCep

3.1.1.3 Squid

3.1.2 Hệ thống quản lý mạng

3.1.2.1 Giao thức quản lý mạng lon giản Ó

3.1.2.2 Hệ thông quản lý mạng OpanNMS,

3.1.3 Phát hiện xâm nhập

3.1.3.1 Hệ thông phát hiện xâm nhập lagi

3.1.3.2 Cac tink năng và phạm vi ứng dụng cửa Snort

3.1.4 Xác thực - Ủy quyền — Tính toán

3.1.4.1 Quay số xá thực từ xa trong địch vụ người dùng

3.1.4.2 FreeRadius

3.1.6 Mạng riêng áo -

3.1.5.1 Giới thiệu về mạng riêng ảo

3.1.6 Chứng thực diện tử

3.1.6.1 Thuat toan chit ky sé - DSA - -

2 Ứng dụng chữ ký điện tứ trong báo một ứng dụng W3

cũng cự kiểm tra, đảnh giá, phân tich an (nan théng Lin 7

Trang 6

các lễ chức phi lợi nhuận Chuẩn gững xác định các yêu edu cho việc thực thi các điểu khiển bảo mật tùy theo yêu cầu của các tổ chức độc lập hoặc

nhóm các tô chức

ISMS được thiết kế để đăm bão sự lựa chọn các điều khiến anh ninh một

cách đầy đủ và cân đổi mà có thể bảo vệ các tải sẵn thông tin và tạo niễm tin

cho oác đối táo Trong quá trình thiết kế các điều khiển an loan thong tin

I8O/IEC 17799 có thể ding dé hướng dẫn thực thì @ham khảo mục TI)

ISO/IEC 17799 cũng được nhắc đến trong tài liệu của chuẩn ISO/IEC 27001 như lả tham khảo chuẩn hóa ISP/IEC 17799 dược giới thiệu ở phần tiếp tho

sẽ bễ xung các quy tắc thực tiễn của quần lý an toàn thông tin

1.2.2 Hệ thắng quản lý an toàn thông tin

1.2.2.1 Yêu cầu chung,

Các tổ hức nên thiết lập, thực thị, vận hành, giám sal, xét lại, bảo trì và cải

thiện một hệ thống quản lý an toàn thông tm được tải liệu hóa trong ngữ cảnh

toàn bộ các hoạt động của tổ chức và các rủi ro mà nó phải đối mặt, Với các

mục đích của chuẩn quốc tế này quá trình sử dụng trên mô hình PDCA được thể hiện ở trên

1.2.2.2 Thiết lập và quản lý hệ thông an toàn thông tin

Thiết lập ISMS

Tô chức nên thực hiện các nội dung sau:

a)Xác dinh phạm vì và giới hạn của hệ thống quản lý an toản thông on

theo các đặc diém hoạt dông của tổ chức, daanh nghiệp, vị trí, tài sẵn, công,

nghệ và bao gồm các chỉ tiết cho các loại trừ ngoái phạm vi

bỳPĐinh nghĩa một chính sách thco các dặc tỉnh của tổ chức, doanh nghiệp,

vị trí, tái sản, công nghệ của tổ chức/doanh nghiệp trên trong đó

2 Bao gém cdc khung cho việc thiết lập các mạc tiêu và thiết lập toàn bộ

dịnh hướng và các nguyên tắc cho các hoạt động liên quan đến an toàn

thông tin,

Trang 7

nảy được chuẩn bị để cung cấp một mô hình cho việc thiết lập, thực thị, vận

hành, giám sát, xem lại, bảo trì và cải thiện hệ thống quản lý an toàn thông tin

(SMS-Iformation Security Xianagement Svstem),

Quá trình tiếp cận quần lý an toàn thông tin thể hiện trong chuẩn ISO/IEC

27001 khuyến khích người dùng chuẫn nhân mạnh sự quan trong của

1 Hiểu được các yêu cầu an toàn thông tin trong một tổ chức và thiết lập

chính sách vả các đối tượng cho an toàn thông tin

2 Thực thi và vận hành các điều khiển để quản lý dé quản lý các rủi ro về

an toàn thông tin trong toàn bộ các rủi ro kinh doanh của tổ chức

3 Giam sat và xem xét lại tỉnh năng và hiệu quá của TSM§

4 Tiếp tục cải thiện dựa trên các mục tiêu đánh giá và đo kiểm

-Act: Lap kế

hoạch- Ihực hiện-Kiểm tra-Hành đông) Mô hình được minh họa như sau:

Chuẩn TSO 27001 sử dụng mỗ hình PDCA (Plan-Do-Chí

c&từh cơ tất Hiền hạn —— ` pie tor gla

Chuẩn ISO/IEC 27001 có thể áp đụng cho tất cả các mô hình LỄ chức hay

doanh nghiệp ví dụ như các doanh nghiệp thương mại, các tổ chức chỉnh phủ,

Trang 8

Hình 1.1: Mô hình PDCA

DANH SÁCH HÌNH VẼ

Tĩnh 2.1: Đánh giá các hệ quán trị cơ sở dữ liệu

Tiình 2.2: Nguyên tắc sao lưu và phục hồi đữ liệu

Trình 2.3: Sơ đồ thuật toán mã hóa AS

Hình 24 Sơ để thuật toán mở rộng khỏa trong AES

Hình 25: Sơ dễ thuật toán giải mã

Hình 2.6: Mô hình sử dụng chữ ký diễn tử

Hình 2.7: Đánh giá chung các chương trình điệt virus

Hình 3.1: Mô hình hoạt động của IPTables

7: Gian diện cla OPenNMS

8: Mé hinh sit dung VPN 9: Vidu vé VPN

10: Máy chii VPN

11: Chimg chỉ số tự ky 12: Quét cổng với nman

13: Kiếm tra lỗ hổng bằng Nessus

.14: Dánh giá an toàn của session id trong img dụng w web 15: Bắt bản tin dạng ký tự thuận

16: Mô hình văn phòng nhỏ

17: Mõ hình sử dụng các sản phẩm nguồn mứ

18: Mõ hình kết hợp

Trang 9

DAT VAN DE

Dai vi mai tổ chức hay doanh nghiệp, thông tin được đánh giá lả một trong,

những dạng tài sản cũng như tải nguyên quý giá nhất 1hông tin chính lả nên

tang và là phương tiện đảm bảo sự bền vững cũng như sự phát triển của các tổ

chức hay doanh nghiệp Đã có nhiều doanh nghiệp và tổ chức trên thể giới

phải ghánh chịu những hậu quả nặng né do những rủi do trong an toàn thông

tin dem lai

Rõ ràng việc thực thị các biễn pháp bảo mật cho hệ thống thông tin dỗi với

mỗi doanh nghiệp hay tổ chức là một yêu cầu có tính bắt buộc Tuy nhiên

việc thực thi các giải pháp vả mua các sẵn phẩm bảo mật dôi khi tác động rất

lớn đến chỉ phí kinh doanh hay hoạt động của các doanh nghiệp, tổ chức Vì

vậy việc lựa chọn giải pháp bảo mật sử đụng mã nguồn mổ cho doanh nghiện

dựa trên nền tảng bảo mật chung và các chuẩn bảo mật sẽ dem lại những lợi

ích thiết thực về bảo mật vả chỉ phí kinh doanh hoạt động cho các doanh

nghiệp, tổ chức

'Tuy nhiên, các sản phẩm mã nguồn mở hiện nay mới sử dụng một cách

đơn lẻ và ứng dụng cho một nhu câu xác định Bên cạnh đó việc phát triển các

sản phẩm mã nguồn mở luôn đi theo hướng tự phải và không được thựo hiện

đánh giá một cách chỉ tiết Hơn nữa, thực thi an toàn thông tin cho doanh

nghiệp đỏi hồi phải ó quy trình và sự tham khảo đây đủ, việ sử dụng các sẵn

phẩm mă nguồn mớứ cũng cần phải Luân theo những quy trình va các hướng

dẫn tham khảo dó Vì vậy nội dung chính của bản luận văn để cập đến các

chuẩn thực thi an toàn thông tin trong doanh nghiệp cũng như phạm vì áp

dụng của các sản phẫm mã nguồn mở trong bảo mật thông tin doanh nghiệp

Trang 10

*® _1SO/1EC 10118:2000: Các hàm bấm

tin

fin

Trang 11

DAT VAN DE

tin dem lai

Trang 12

10: Máy chii VPN

Trang 13

10: Máy chii VPN

Trang 14

-Act: Lap kế

Trang 15

DAT VAN DE

tin dem lai

Trang 16

-Act: Lap kế

Trang 17

3.1.1.2TPCep

3.1.1.3 Squid

3.1.4.2 FreeRadius

Trang 18

Thiết lập ISMS

thông tin,

Trang 19

CHƯƠNG I

CAC CHUAN AN TOAN THONG TIN

Bao mật không chỉ là vấn đề của một riêng ai mà đó là sự quan tâm của toàn

thể giới Việc thực thi bão mật yêu cầu phải tuân thủ theo nhưng nguyên tắc

và quy tắc nhất định Trong chương nảy, bài viết sẽ:

> Giới thiệu về hệ thống các chuẩn quốc tế liên quan đến bảo

mật

> Sơ lược về các quy định trong thực thì an toàn thông tin

> _ Sơ lược về quản lý an toàn thông tin

ISO tên viết tắt của tô chức chuẩn quôc tế và IEC tên viết tất của hiệp hội

diện tử quốc tế cầu thành một hệ thống chuẩn dặc biệt cho chuẩn hóa quố

Các quốc gia là thành viên của ISO hay IEC tham gia vào quá trinh phát triển của các chuẩn quốc tế thông qua các hội đồng kỹ thuật thiết lập bởi các tổ

chức tương ứng dé lam việc với các mảng khác nhau trong hoạt đông kỹ

thuật Các hội đồng kỹ thuật ISO và IEC cộng tác trên các phần mà cả hai đếu

quan tâm Các tổ chức quốc tế khác, thuộc chỉnh phủ hay phi chính phủ, hợp

tac voi ISO và IBC cũng tham gia vào cỗng việc chuẩn hóa Irong lĩnh vực

công nghệ thông tin ISO và ILUC thiết lập một hội đông kỹ thuật chung

ISOVTEC JTC 1

Các chuẩn quốc tế được tóm lược theo các luật đưa ra bởi các chỉ dẫn

ISO/ILC Nhiém vụ chính của ITC (Joint Technical Committee) 14 chuẩn bị

các chuẩn quốc tễ Phác thảo của các chuẩn quốc tế từ JTC được lưu chuyển

qua các thành phần cấp quốc gia để bầu chon và đánh giá Dễ có được sự chấp

thuận như một chuẩn quốc tổ, một chuẩn phải được íL nhất 70% các thành

viên cap quốc gia tán thành.

Trang 20

10: Máy chii VPN

Trang 21

-Act: Lap kế

Trang 22

-Act: Lap kế

Trang 23

3.1.1.2TPCep

3.1.1.3 Squid

3.1.4.2 FreeRadius

Trang 24

DAT VAN DE

tin dem lai

Trang 25

Thiết lập ISMS

thông tin,

Trang 26

10: Máy chii VPN

Trang 27

DAT VAN DE

tin dem lai

Trang 28

10: Máy chii VPN

Trang 29

DAT VAN DE

tin dem lai

Trang 30

Thiết lập ISMS

thông tin,

Trang 31

CHƯƠNG I

mật

ISOVTEC JTC 1

Trang 32

*® _1SO/1EC 10118:2000: Các hàm bấm

tin

fin

Trang 33

3.1.1.2TPCep

3.1.1.3 Squid

3.1.4.2 FreeRadius

Trang 34

3.1.1.2TPCep

3.1.1.3 Squid

3.1.4.2 FreeRadius

Trang 35

-Act: Lap kế

Trang 36

CHƯƠNG I

mật

ISOVTEC JTC 1

Trang 37

Thiết lập ISMS

thông tin,

Tiêu đề	Luận Văn Bảo Mật Cho Doanh Nghiệp Và Ứng Dụng Mã Nguồn Mở Trong Bảo Mật Cho Doanh Nghiệp
Tác giả	Tran Ngoc Son
Người hướng dẫn	PGS.TS. Nguyen Viet Huong
Trường học	Trường Đại Học Bách Khoa Hà Nội
Chuyên ngành	Điện Tử Viễn Thông
Thể loại	Luận văn thạc sĩ
Năm xuất bản	2007
Thành phố	Hà Nội

Định dạng
Số trang	75
Dung lượng	230 KB