tìm hiểu và triển khai symantec endpoint protection cho sở lao động hải dương

Cụthể: Bản báo cáo thứ 8 về Bảo mật Security Intelligence Report- SIRv8 được Microsoft công bố cho thấy tội phạm mạng ngày càng trở nên tinh vi hơn khi thực hiện việc mô hình hóahoạt độn

LỜI NÓI ĐẦU

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóng mộtvai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ được tính chính xác,thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biếtđược nó Khi ta chưa có thông tin, hoặc việc sử dụng hệ thống thông tin chưa phải làphương tiện duy nhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xemthường Nhưng một khi nhìn nhận tới mức độ quan trọng của tính bền hệ thống và giá trịđích thực của thông tin đang có thì chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật

hệ thống thông tin Để đảm bảo được tính an toàn và bảo mật cho một hệ thống cầnphải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người Cùng với xuhướng phát triển của mạng Internet ngày nay vấn đề an ninh mạng đặt ra hết sức quantrọng Ảnh hưởng tới hoạt động kinh doanh của các doanh nghiệp trên thế giới nói chung

và Việt Nam nói riêng Chính vì lí do đó nhóm em đã thực hiện đề tài cho đồ án 5 “tìmhiểu và triển khai Symantec EndPoint Protection cho sở Lao động tỉnh Hải Dương”, nhằmgiới thiệu mô hình mạng được bảo mật cho doanh nghiệp

Nội dung bao gồm:

Chương 1: Tổng quan an ninh mạng

Chương 2: Tổng quan về Symantec EndPoint Protection

Chương 3: Triển khai Symantec EndPoint Protection cho đơn vị

Nhóm SV thực hiện:

Nguyễn Thị Cương Trần Văn Hoàng

Nguyễn Khánh Mai

LỜI CẢM ƠN

Khi công nghệ thông tin phát triển mạnh mẽ như ngày nay có nhiều vấn đề đặt rađối với việc quản lý, chia sẻ tài nguyên và đặc biệt là vấn đề bảo mật được đặt ra là cấpthiết, đảm bảo an toàn và toàn vẹn dữ liệu cho hệ thống Ảnh hưởng rất lớn với sự hoạtđộng của các tổ chức chính phủ, doanh nghiệp

Sau khi nghiên cứu và thực hiện đề tài “Tìm hiểu và triển khai Symantec EndPoint

Protection cho sở Lao động tỉnh Hải Dương” nhóm chúng em đã thu được những kết

quả đáng kể như: giúp chúng em ứng dụng các kiến thức về mạng đã được học, củng cố

và nâng cao các kiến thức cơ bản về mạng, học hỏi được kinh nghiệm trong quá trìnhkhảo sát thực tế tại đơn vị, biết được nhu cầu phổ biến của các đơn vị, công ty hay doanhnghiệp là gì, tập trở thành một kỹ sư thiết kế mạng chuyên nghiệp Không chỉ vậy mà cácthành viên trong nhóm chúng em còn tiếp thu được những kinh nghiệm quý báu để làmviệc nhóm một cách hiệu quả cao như: cách tổ chức, phân công công việc cho các thànhviên một cách hợp lý có hiệu quả, sắp xếp thời gian làm việc cụ thể, phát huy tinh thầnđồng đội, giúp đỡ lẫn nhau, cùng nhau tranh luận trong công việc

Đây là một đề tài rất hay mang tính thiết thực cao Nhóm chúng em đã nghiên cứu

và cố gắng thiết kế một hệ thống mạng cho đơn vị hoàn chỉnh nhất bằng hết khả năng củamình Tuy đã cố gắng hết sức song chắc chắn đề tài này không tránh khỏi những thiết sót.Chúng em rất mong nhận được sự thông cảm và chỉ bảo tận tình của quý Thầy cô và cácbạn

Chúng em xin bày tỏ lòng biết ơn chân thành nhất đến thầy Vi Hoài Nam đã tận

tâm chỉ bảo và hướng dẫn tận tình trong suốt thời gian nhóm chúng em thực hiện đề tàinày!

TRƯỜNG ĐẠI HỌC SPKT HƯNG YÊN CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT

Ngành đào tạo: Công nghệ thông tin

Chuyên ngành: Mạng máy tính và truyền thông

Khóa học: 2009 – 2013

Tên đề tài: TÌM HIỂU VÀ TRIỂN KHAI SYMANTEC ENDPOINT PROTECTION

CHO SỞ LAO ĐỘNG HẢI DƯƠNG

Mục tiêu đề tài:

- Tìm hiểu và triển khai Symantec EndPoint Protection cho đơn vị

Nội dung cần hoàn thành:

- Có được sản phẩm hệ thống mạng hoàn chỉnh cho đơn vị

Thời gian thực hiện: Ngày giao: , ngày hoàn thành:

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 1

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

MỤC LỤC

CHƯƠNG 1: TỔNG QUAN AN NINH MẠNG 7

1.1 Hiện trạng an ninh mạng 7

1.1.1 An ninh mạng thế giới 7

1.1.2 An ninh mạng của Việt Nam 8

1.1.3 Nguy cơ và thách thức Việt Nam đang đối mặt 11

1.1.4 Giải pháp cho an ninh mạng Việt Nam 13

1.1.5 Xu hướng phát triển 14

1.2 Một số hiểm họa tấn công mạng 15

1.2.1 Virus 15

1.2.2 Worm 15

1.2.3 Trojan Horse 16

1.2.4 Spyware 16

1.2.5 Tấn công DoS 17

1.2.6 Malware 17

1.2.7 Adware 18

1.2.8 Dựa vào yếu tố con người 18

1.3 Hoạt động của an ninh mạng 19

1.4 Các tiêu chí đánh giá về an ninh mạng 20

1.4.1 Đánh giá trên phương diện vật lý 20

1.4.2 Đánh giá trên phương diện logic 20

CHƯƠNG 2: TỔNG QUAN VỀ SYMANTEC ENDPOINT PROTECTION 22

2.1 Giới thiệu về Symantec Endpoint Protection 22

2.2 Mô tả chung về Symantec EndPoint Protection 23

2.3 Các giải pháp bảo mật tích hợp trên Symantec Endpoint Protection 25

2.4 Lợi ích của Symantec Endpoint Protection 29

2.5 Yêu cầu về hệ thống 32

2.5.1 Máy tính khách hàng 32

2.5.2 Máy tính chạy Management Console 32

2.5.3 Server Management 33

2.6 Một số thông tin về Symantec Endpoint Protection 33

2.6.1 Các phiên bản lịch sử của Symantec Endpoint Protection 33

2.6.2 Symantec vá lỗ hổng trong phần mềm diệt virus 34

2.6.3 Symantec tăng cường hoạt động tại Việt Nam 34

2.7 Symantec Endpoint Protection Manager - Giải pháp phòng chống Virus cho mô hình mạng doanh nghiệp 34

CHƯƠNG 3: TRIỂN KHAI SYMANTEC ENDPOINT PROTECTION CHO BỘ LAO ĐỘNG- THƯƠNG BINH VÀ XÃ HỘI TỈNH HẢI DƯƠNG 35

3.1 Tổng quan về sở lao động – thương binh và xã hội tỉnh Hải Dương 35

3.1.1 Sơ lược vể đơn vị 35

3.1.2 Sơ đồ logic của đơn vị 36

3.1.3 Cấu trúc OU và Group 38

3.2 Yêu cầu của khách hàng 39

3.3 Triển khai SEP cho đơn vị 40

3.4 Demo 42

CHƯƠNG 1: TỔNG QUAN AN NINH MẠNG 1.1 Hiện trạng an ninh mạng

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóng mộtvai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ được tính chính xác,thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biếtđược nó Khi ta chưa có thông tin, hoặc việc sử dụng hệ thống thông tin chưa phải làphương tiện duy nhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôi khi bị xemthường Nhưng một khi nhìn nhận tới mức độ quan trọng của tính bền hệ thống và giá trịđích thực của thông tin đang có thì chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật

hệ thống thông tin Để đảm bảo được tính an toàn và bảo mật cho một hệ thống cầnphải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người

1.1.1 An ninh mạng thế giới

Theo Microsoft, tình hình an ninh mạng ngày càng phức tạp và tiềm ẩn nhiều nguy cơ Cụthể:

Bản báo cáo thứ 8 về Bảo mật (Security Intelligence Report- SIRv8) được Microsoft công

bố cho thấy tội phạm mạng ngày càng trở nên tinh vi hơn khi thực hiện việc mô hình hóahoạt động của chúng dưới dạng các quy trình nghiệp vụ phổ biến để lừa người sử dụngnhằm đánh cắp và gian lận các thông tin quan trọng

Bản báo cáo lần này sử dụng số liệu thu thập được từ khoảng 500 triệu máy tính trên toàn thế giới để tổng hợp thông tin về các nguy cơ tân công an ninh mạng toàn cầu diễn ra trong nửa cuối năm 2009

Báo cáo cho thấy tội phạm mạng đang tiếp tục nâng cao năng lực triển khai tấn công của chúng, bao gồm cả việc “sản phẩm hóa” và bổ sung thêm nhiều tính năng vào các mã độc nhằm tấn công vào những đối tượng cụ thể

Mới đây, các nhà nghiên cứu bảo mật thuộc Phòng thí nghiệm An ninh Websense

(Websense Security Labs™) có trụ sở đặt tại thành phố San Diego (Mỹ) đã chính thức ra mắt báo cáo “Dự đoán an ninh năm 2013” (“Websense® 2013 Security Predictions”), nêubật các mối đe dọa và những thách thức trên không gian mạng mà thế giới sẽ phải đối mặttrong năm 2013 Theo đó, Websense đã dự đoán 7 xu hướng phát triển làm cơ sở cho các

tổ chức và doanh nghiệp trên thế giới xem xét lại hệ thống phòng thủ hiện tại, xác định các điểm còn yếu kém và đưa ra các biện pháp tự phòng vệ phù hợp

Được biết, các thông tin này có nguồn gốc chủ yếu từ mạng lưới Websense Threat

Seeker®, kết hợp với các phân tích chuyên sâu về xu hướng phát triển công nghệ.Theo

đó, 7 xu hướng phát triển của các mối nguy bao gồm:

- Tiếp tục gia tăng xu hướng tấn công vào các ứng dụng nền tảng web

- Các mối nguy mới nhằm vào nhiều nền tảng, bao gồm cả thiết bị di động

- Các mối nguy hướng đến môi trường ảo hóa

- Xuất hiện các mối nguy mới nhằm vào hệ thống thư điện tử

1.1.2 An ninh mạng của Việt Nam

Thực trạng An ninh mạng Việt Nam năm 2011, cũng không nằm ngoài xu hướng của thế giới, đã có hàng nghìn webite bị tin tặc nước ngoài tấn công, hình thức tấn công

đa dạng, ít để lại dấu vết

Theo thống kê của hiệp hội An toàn thông tin Việt Nam – VNISA, thì tấn công từ chối dịch vụ năm 2011 tăng 70% so với năm 2010, tấn công mạng thì tăng ba lần so với 2010.

Theo đánh giá của hãng Symantec, số lượng máy chủ hosting độc hại nhiều thứ 11 trên thế giới và không gian mạng Việt Nam đã trở thành nơi “ưa thích” của giới hacker thế giới và là “ổ máy tính ma” lớn nhất thế giới

Công bố mới nhất của Tập đoàn bảo vệ bảo mật máy tính quốc tế Symantec cho biết, ViệtNam hiện đứng thứ 11 trên toàn cầu về nguy cơ bị tấn công mạng

Số lượng các vụ tấn công có chủ đích gia tăng từ 77 cuộc lên đến trên 82 cuộc mỗi ngày Năm 2011, Bkav ghi nhận có 64,2 triệu máy tính của Việt Nam bị nhiễm virus và 2.245 website của cơ quan doanh nghiệp bị tấn công, có 38.900 dòng virus xuất hiện mới và lây lan

Ngay sáu tháng đầu năm 2011, đã có hàng trăm website bị các hacker nước ngoài tấn công, chiếm quyền điều khiển, thay đổi giao diện trong đó có các website của Bộ Nông nghiệp, Bộ Ngoại giao…

Ngày 8-11-2011, hacker đã tấn công và chiếm quyền trang web của Sở Văn hóa-Thể thao

và Du lịch tỉnh Nam Định và để lại một trang trắng với dòng chữ "Đừng hỏi vì sao bị hack mà hãy hỏi thành phố bạn đã ra quyết định gì."

Và ngày 6-2 vừa qua, ngay cả website của trung tâm an ninh mạng Bkav cũng bị hacker tấn công Nhóm hacker Anonymous đã liên tục tấn công và chỉ ra nhiều lỗi bảo mật của website này

Năm 2011, đã có 38.961 dòng virus xuất hiện mới, lây lan nhiều nhất là virusW32.Sality.PE Virus này đã lây nhiễm trên 4,2 triệu lượt máy tính

Hình 1.1-Số lượng các website bị tấn công trong năm 2011

Cũng trong năm 2011, đã có 2.245 website của các cơ quan, doanh nghiệp tại ViệtNam bị tấn công Trung bình mỗi tháng có 187 website bị tấn công

Theo số liệu về tình hình virus và an ninh mạng năm 2011 thì W32.Sality.PE đứng đầu vềcác cuộc tấn công mạng

Hơn 4,2 triệu lượt máy tính tại Việt Nam đã bị nhiễm virus siêu đa hìnhW32.Sality.PE trong năm 2011, như vậy trung bình mỗi ngày có thêm 11.000 máy tính bịnhiễm loại virus này Virus Sality đã len lỏi vào mọi ngóc ngách trong các hệ thống mạngmáy tính tại Việt Nam Trong thực tế, khi kiểm tra bất kỳ hệ thống nào, các chuyên giacủa Bkav hầu như đều phát hiện sự tồn tại của Sality Không chỉ là virus lây lan nhiềunhất năm 2011, đây thực sự là quả “bom nổ chậm”, sẵn sàng phát nổ gây ảnh hưởng đếnhàng triệu máy tính trong thời gian tới

Trong báo cáo virut máy tính mới nhất của Kaspersky, Việt Nam vẫn chưa phải là nướcđứng đầu về các nguy cơ an ninh mạng mà mới chỉ nằm trong Top 20 mối đe dọa các loại

Mặc dù chưa phải là nguồn lây nhiễm hay là đối tượng bị tấn công nhiều nhất,nhưng Việt Nam vẫn không thể lơi là tăng cường phòng thủ cho “ngôi nhà số” của mình.Với hơn 1.500 cổng thông tin tại Việt Nam bị tin tặc kiểm soát, phát tán mã độc và chiếmquyền điều khiển trong năm 2011 cho thấy vẫn còn nhiều lổ hổng rất lớn trong công tác

an toàn thông tin cần phải được khắc phục

1.1.3 Nguy cơ và thách thức Việt Nam đang đối mặt

Việc bảo an toàn thông tin mạng của các tổ chức, doanh nghiệp Việt Nam vẫn còn nhiều hạn chế:

Thứ nhất, tình trạng thờ ơ với công tác đảm bảo an ninh mạng của các cơ quan tổ chức ở

Việt Nam đã diễn ra trong một thời gian dài mà hầu như không có sự thay đổi Trong khi

đó, phương thức và cách thức tấn công ngày càng trở nên dễ dàng và phổ biến đối với các tin tặc Chỉ với những công cụ sẵn có trên mạng, tin tặc có thể khai thác và tấn công vào

hệ thống các website của Việt Nam mà các đợt tấn công diễn ra thời gian qua là một minh

chứng Trong tháng 5 và tháng 6/2011, tin tặc liên tục triển khai các đợt tấn công dồn dập vào máy chủ công ty phân phối FPT, 200 website tiếng Việt, trong đó có khoảng 10%

là website của các cơ quan thuộc Chính phủ Và mới đây, có ít nhất 85.000 máy tính tại Việt Nam bị tấn công, nằm trong mạng botnet Ramnit và bị lấy cắp dữ liệu Khi bị tấn

công, phản ứng của quản trị các website cũng rất khác nhau nhưng đa phần là khá lúng túng

Thứ hai, là sự thiếu đầu tư về nhân lực CNTT Các doanh nghiệp (DN) đang phải đương

đầu với sự thiếu hụt về nhân lực CNTT và hiểu biết về tội phạm mạng Hiện nay, phần lớn các DN Việt Nam chưa có sự đầu tư đúng mức về công nghệ bảo mật cũng như về con người do chi phí cho lĩnh vực này khá cao Các công ty viết phần mềm chưa quan tâmđến an toàn hệ thống và đầu tư cho an ninh mạng chưa đủ ngưỡng Người quản trị mạng chưa làm tốt công việc của mình: đặt mật khẩu yếu, mở nhiều dịch vụ không cần thiết; các DN và tổ chức ở Việt Nam thường đầu tư dưới 10% chi phí CNTT cho bảo mật - một

tỷ lệ dưới mức đảm bảo an toàn cho hệ thống thông tin

Nguyên nhân của thực trạng này là thiếu những chuyên gia về an ninh mạng, những chuyên viên phụ trách về an toàn thông tin; Thiếu qui trình ứng cứu, khắc phục sự cố, qui định khai thác sử dụng mạng máy tính một cách an toàn, bảo mật; một phần do lãnh đạo các cơ quan, DN Việt Nam chưa thực sự coi trọng vấn đề an ninh mạng, chưa đầu tư đúngmức cho vấn đề bảo mật, một phần do tại Việt Nam hiện nay chưa có nhiều trường đào tạo chuyên biệt về an toàn thông tin, chưa có nhiều khóa học cung cấp cho học viên đầy

đủ các kiến thức chuyên môn, các kỹ năng phòng chống tin tặc từ căn bản đến chuyên sâu

Do đó mạng máy tính Việt Nam vẫn là mục tiêu của tấn công của các loại hình tội phạm mạng trên thế giới

Chưa có cơ quan chuyên trách đủ mạnh để ngăn chặn các loại hình tấn công mạng

Theo một số chuyên gia, trong trường hợp có chiến tranh xảy ra, tấn công mạng là một trong những vũ khí được sử dụng trong pha đầu tiên của chiến dịch Do đó các nước trên thế giới như Mỹ, Trung Quốc, Australia, Singapore,…đã chủ động thành lập các cơ quan chuyên trách nhằm đảm bảo an ninh mạng quốc gia

Tại Việt Nam mặc dù có một số cơ quan xử lý các vấn đề liên quan đến sự cố mạng nhưng chưa có một cơ quan thực sự chuyên trách để đảm bảo an ninh mạng quốc gia

Luật về tội phạm công nghệ cao chưa đủ sức răn đe

Vấn đề xử lý các loại tội phạm về an ninh mạng từ trước đến nay luôn gặp khó khăn vì thiếu chế tài, luật pháp chưa đủ mạnh để răn đe tin tặc Vấn đề này đã được nhắc đến nhiều lần và đã đặt ra cho các cơ quan quản lý một nhu cầu cấp bách phải hoàn thiện hệ thống luật pháp có liên quan đến tội phạm công nghệ cao Thời gian vừa qua đã có nhiều

nỗ lực từ phía các cơ quan quản lý nhà nước nhằm bổ sung cho các thiếu sót này như: Nghị định 63/2007/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực CNTT, nghị định 90/2008/NĐ-CP về chống thư rác

1.1.4 Giải pháp cho an ninh mạng Việt Nam

Tăng cường đảm bảo an ninh mạng trong các tổ chức DN, nâng cao ý thức người dùng

Các cơ quan nhà nước và tổ chức DN chủ động, tích cực trển khai quyết định của 63/QĐ- TTCP về Phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020 Khuyến khích các cơ quan tổ chức thực hiện các chuẩn về an toàn CNTT (ISO 27001), tăng cường đào tạo an mạng đối với cán bộ quản trị mạng

Tăng cường nhận thức đối với công tác an ninh mạng cho các cơ quan, tổ chức, cá

nhân….để chủ động phòng ngừa đối với các hoạt động tấn công mạng, đảm bảo an ninh quốc gia

Thành lập các cơ quan chuyên trách về an ninh mạng cấp quốc gia

Theo thống kê của quốc tế, hiện có 20 quốc gia có khả năng phát triển chiến tranh mạng,

10 nước sẵn sàng làm việc này Nhận thức rõ tầm quan trọng của an toàn an ninh thông tin, nhiều Bộ ngành đã thành lập các cơ quan chuyên trách hoạt động trong lĩnh vực này

Ví dụ: Bộ Công an đã thành lập một số Cục chức năng liên quan như Cục H49 - Công nghệ tin học, Cục Phòng chống tội phạm công nghệ cao - C50, Cục Bảo vệ chính trị VII - A68, Cục An ninh thông tin, truyền thông - A87…Tuy nhiên đứng ở bình diện quốc gia,

để đối phó với các cuộc tấn công có qui mô lớn, đảm bảo an toàn Internet, ATTT Nhà nước, cần hình thành cơ quan chuyên trách cấp quốc gia có nhiệm vụ nghiên cứu, đề xuất các giải pháp kỹ thuật để điều phối chung, ứng đối kịp thời với các cuộc tấn công này

Hoàn thiện pháp lý để xử lý các vấn đề liên quan đến tội phạm công nghệ cao.

Hiện nay các bộ ngành có liên quan đang phối hợp để sửa đổi, bổ sung các nội dung có liên quan đến tội phạm mạng trong bộ luật Hình sự nhằm đủ sức răn đe, xử lý các loại tội phạm công nghệ cao

Theo kinh nghiệm của các nước trên thế giới thì nên có một luật "thẳng" riêng ("direct law" – là loại luật mà trong đó đề cập đến tất cả hành vi chi tiết và mức độ xử lý tương

ứng ngay từ thời điểm ban hành, không có nghị định hay thông tư hướng dẫn) liên quan đến việc xử lý tội phạm mạng nói riêng và tội phạm công nghệ cao nói chung.

Đẩy mạnh hợp tác quốc tế trong việc đấu tranh, ngăn chặn các hoạt động tội phạm công nghệ cao

Những vấn đề “an ninh phi truyền thống” hay tội phạm công nghệ cao đã vượt khỏi phạm

vi lợi ích an ninh quốc gia của một nước, trở thành những thách thức mang tính toàn cầu,

bởi lẽ hoạt động của tội này là “không biên giới” (Trong nhiều trường hợp nạn nhân của tin tặc nằm ở nhiều nước khác, công cụ sử dụng của tin tặc cũng ở nhiều nước khác nhau) Chính vì vậy, cuộc đấu tranh với loại hình tội phạm này đòi hỏi phải có sự nỗ lực

chung của cộng đồng quốc tế bằng những giải pháp và bước đi hài hòa kết hợp kinh tế, chính trị, ngoại giao, pháp luật, khoa học kỹ thuật và các mặt khác

1.1.5 Xu hướng phát triển

Việc tấn công mạng phát triển ngày càng tinh vi và phức tạp.

Các hãng bảo mật không ngừng nâng cấp các sản phẩm nhằm ngăn việc khai thác các lỗ hổng bảo mật, do đó các mã độc sẽ ngày càng độc hơn, nhiều lỗ hổng zeroday được khai thác

Bên cạnh đó các hình thức tấn công mạng có khả năng được tổ chức bài bản hơn, xuất hiện nhiều phần mềm gián điệp phục vụ cho các mục đích, ý đồ của các cá nhân tổ chức

An ninh mạng của các nước tiếp tục được tăng cường và phối hợp

Một số nước trên thế giới đã thành lập các đơn vị chuyên trách để đảm bảo an ninh mạng cho quốc gia như Mỹ, Trung Quốc, Singapore, Australia,… Ngoài việc tăng cường khả năng đối phó với các loại hình tấn công mạng, các nước cũng tăng cường liên kết để đối phó với các hình thức tội phạm mạng và tấn công trên mạng

15/9, Mỹ và Australia đã bổ sung vấn đề hợp tác chống chiến tranh mạng vào văn kiện phòng thủ chung nhằm đối phó với những thách thức mới trong thế kỷ 21 Bộ trưởng Quốc phòng Australia Stephen Smith cho rằng an ninh mạng là "một thách thức chủ yếu, xuyên quốc gia trong thế kỷ 21".

Từ tháng 11/2002 đến nay, “an ninh phi truyền thống” trong đó có an ninh mạng là một hướng hợp tác mới được các nước ASEAN triển khai có hiệu quả với các nước đối thoại, nhất là với Trung Quốc, Nhật Bản, Hàn Quốc, Mỹ, EU và các tổ chức quốc tế trong hợp tác đấu tranh chống tội phạm xuyên quốc gia

Có sự chuyển hướng sang các thiết bị điện thoại thông minh, điện toán đám mây và mạng

xã hội

Năm 2011 tiếp tục đánh dấu sự phát triển và mở rộng của các dịch vụ đám mây, điện toán

di động và mạng xã hội Dự báo trong năm 2012, các dịch vụ này sẽ tiếp tục phát triển vượt bậc tạo nên một hướng chính mới cho công nghiệp CNTT, nhưng đồng thời cũng tiềm ẩn nhiều nguy cơ mới về an ninh bảo mật (Hiện nay đã phát hiện ra một số virus chạy trên điện thoại sử dụng hệ điều hành Android, )

1.2 Một số hiểm họa tấn công mạng

1.2.1 Virus

Virus máy tính là một chương trình có thể tự động nhân bản và lây truyền từ máynày sang máy khác bất chấp sự cho phép của người dùng Chương trình nguồn virus vàcác bản copy của nó có thể tự biến thể.Virus chỉ có thể lây nhiễm từ máy này sang máykhác khi máy tính có giao tiếp với nguồn gây bệnh thông qua các phương thức trao đổi dữliệu như qua đĩa mềm, CD hoặc USB, đặc biệt trong trường hợp trao đổi qua hệ thốngmạng

1.2.2 Worm

Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hổng bảo mậttrêncác máy tính khác để khai thác các điểm yếu và nhân rộng Worm có thể tái tạo độc

lập và rất nhanh chóng.Worm khác với virus trong hai cách chính: Virus cần một máychủ để đính kèm và thực hiện, và sâu không yêu cầu một máychủ.Virus và sâu thườnggây ra các loại khác nhau của sự hủy diệt.Virus, một khi chúng đang cư trú trong bộ nhớ,thường xóa và sửa đổi các tập tinquan trọng trên máy tính bị nhiễm bệnh Tuy nhiên,Worms có xu hướng mạng trung tâm hơn so với máy tính trung tâm Worms có thể tái tạomột cách nhanh chóng bằng cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn

dữ liệu Worms cũng có thểchứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà cóthể giao một máy tính mục tiêu cho các trạng thái của một zombie Zombie là một máytính có bị xâm phạm vàhiện đang được kiểm soát bởi những kẻ tấn công mạng Zombiesthường được sử dụng để khởi động các cuộc tấn công mạng khác Một bộ sưu tập lớncác zombie dưới sự điều khiển của kẻ tấn công được gọi là một "botnet" Botnets có thểphát triển được khá lớn Botnet được xác định đã lớn hơn 100.000 máy tính zombie

1.2.3 Trojan Horse

Trojan là một file xuất hiện một cách vô hại trước khi thi hành Trái ngược vớiVirus Trojan không chèn các đoạn mã lệnh vào các file khác.Trojan thường đợc gắn vàocác chương trình trò chơi hoặc phần mềm miễn phí, vô thưởng vô phạt Khi một ứngdụng đợc thực thi thì Trojan cũng đồng thời thực hiện nhiệm vụ của nó Nhiều máytính cá nhân khi kết nối Internet là điềukiện thuận lợi để bị lây nhiễm Trojan Ngày nayTrojan đợc cài đặt như là một bộ phận của phần mềm thâm nhập vào cửa sau của hệ thống

và từ đó phát hiện các lỗ hổng bảo mật

1.2.4 Spyware

Spyware là các ứng dụng phần mềm có thể tham gia vào một cuộc tấn công mạng.Spyware là một ứng dụng cài đặt và vẫn còn để ẩn trên máy tính hoặc máy tính xách taymục tiêu Một khi các ứng dụng phần mềm gián điệp đã được bí mật cài đặt, phần mềmgián điệp bắt thông tin về những người dùng đang làm với máy tính của họ Một số thôngtin bị bắt bao gồm các trang web truy cập, e-mail gửi đi và mật khẩu sử dụng Những kẻtấn công đó có thể sử dụng mật khẩu và thông tin bắt được để đi vào mạng để khởi độngmột cuộc tấn công mạng Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tấncông mạng, phầnmềm gián điệp cũng có thể được sử dụng để thu thập thông tin có thể

được bán mộtcách bí mật Thông tin này, một lần mua, có thể được sử dụng bởi một kẻtấn công khác đó là "khai thác dữ liệu" để sử dụng trong việc lập kế hoạch cho một cuộctấn công mạng khác

1.2.5 Tấn công DoS

Một cuộc tấn công dạng Từ-chối-Dịch-vụ /Denial-of-Service (DoS) được thiết kế để ngăntrở hoặc chặn đứng các họat động thông thường của một trang web, máy chủ hoặc tàinguyên mạng khác Tin tặc có thể dùng nhiều cách khác nhau để thực hiện các cuộc tấncông này Một phương pháp phổ biến là gửi đến nhiều yêu cầu liên tục vượt quá khả năng

xử lý của máy chủ Việc này sẽ làm cho máy chủ chạy chậm hơn bình thường (website sẽmất nhiều thời gian hơn để mở ra hoặc xử lý thông tin) và có thể phá huỷ hòan tòan máychủ (dẫn đến tất cả website trên máy chủ đều bị đánh sập)

Một cuộc tấn công dạng Từ-chối-Dịch-vụ-Phân-tán/ Distributed-Denial-of-Service(DdoS) chỉ khác ở chỗ được thực hiện bằng cách sử dụng nhiều máy tính khác nhau.Hacker thường sử dụng một máy tính đã bị xâm nhập, gọi là “máy chủ”, để điều khiển cácmáy bị xâm nhậm khác, gọi là “zombie” (xác chết biết đi), để thực hiện cuộc tấn công Cảmáy chủ và zombie đều bị hacker xâm nhập bằng cách cài Trojan hay mã độc, thông qua

lỗ hổng của một ứng dụng nào đó trên máy

1.2.6 Malware

Malware – viết tắt của malicious software (phần mềm độc hại) – là một thuật ngữ chỉ bất

kì chương trình phần mềm nào được tạo ra để thực hiện các hành động trái phép vàthường là có hại Viruses, backdoors, keyloggers, ăn cắp mật khẩu và các chương trìnhTrojan khác, Word và Excel macro viruses, boot sector viruses, script viruses (batch,windows shell, java, vv ) Trojans, crimeware, spyware và adware chỉ là một vài ví dụ vềcác phần mềm được coi là độc hại

Trước đây chỉ cần gọi “virus” hoặc “Trojan” là đủ, nhưng hiện nay các phương pháp gâynhiễm đều phát triển cả về số lượng lẫn tính chất, vì vậy thuật ngữ “virus” và “trojan”

không còn là định nghĩa đầy đủ và thỏa đáng để chỉ tất cả các lọai chương trình biếntướng nữa

1.2.7 Adware

Adware là một thuật ngữ áp dụng chung cho các chương trình quảng cáo hoặc cácphần mềm quảng cáo (thường dưới dạng pop-up banner) Adware thường được cài vàocác phần mềm miễn phí hoặc phần mềm chia sẻ: nếu bạn tải một phần mềm miễn phí,Adware sẽ tự động được cài đặt trên máy tính của bạn mà không cần sự cho phép của bạn.Đôi khi một Trojan sẽ bí mật tải phần mềm adware từ trang web nào đó về và cài vào máytính của bạn

Các trình duyệt web không được cập nhật thường xuyên sẽ chứa nhiều lỗ hổng, nhữngtrình duyệt này dễ bị gài các lọai công cụ của hacker (thường được gọi là BrowserHijackers- kẻ đánh chiếm trình duyệt) có chức năng tải và cài đặt phần mềm adware vàomáy tính của bạn Browser Hijackers có thể thay đổi các cài đặt của trình duyệt, chuyểnđường dẫn web gõ sai hoặc không đầy đủ tới một website nào khác, hoặc thay đổi trangchủ mặc định Chúng cũng có thể chuyển hướng tìm kiếm website sang những trang webtrả -tiền-mới-được-xem

Thông thường, các phần mềm adware không để lại bất kỳ dấu vết nào trong hệ thống:không có trong danh sách Start | Programs, không để lại biểu tượng trong khay hệ thống

và không để lại dấu vết trong danh sách công việc Chúng ít khi đi kèm công cụ gỡ bỏ càiđặt, nếu người dùng cố gắng gỡ bỏ bằng tay sẽ ảnh hưởng và gây lỗi cho các chương trìnhgốc

1.2.8 Dựa vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một ngườisửdụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệthống,hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấncông khác.Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữuhiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêucầu bảo mật

để đề cao cảnh giác với những hiện tượng đáng nghi Nói chung yếu tố con người là mộtđiểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thầnhợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ

1.3 Hoạt động của an ninh mạng

An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập hợp cácrào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau Ngay cả khi một giảipháp gặp sự cố thì giải pháp khác vẫn bảo vệ được công ty và dữ liệu của bạn trước đadạng các loại tấn công mạng

Các lớp an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà bạn dựa vào để tiếnhành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ trước các tấn công Cụ thể là,

An ninh Mạng:

 Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài Các tấn công có

thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoài tường lửa của doanh nghiệpcủa bạn Một hệ thống an ninh hiệu quả sẽ giám sát tất cả các hoạt động mạng, cảnh báo

về những hành động vi phạm và thực hiện những phản ứng thích hợp

 Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc nào Nhân viên có thể truy cập vào mạng từ nhà hoặc trên đường đi với sự đảm bảo rằng

hoạt động truyền thông của họ vẫn được riêng tư và được bảo vệ

 Kiểm soát truy cập thông tin bằng cách xác định chính xác người dùng và hệ thống của họ Các doanh nghiệp có thể đặt ra các quy tắc của riêng họ về truy cập dữ

liệu Phê duyệt hoặc từ chối có thể được cấp trên cơ sở danh tính người dùng, chức năngcông việc hoặc các tiêu chí kinh doanh cụ thể khác

 Giúp bạn trở nên tin cậy hơn Bởi vì các công nghệ an ninh cho phép hệ thống của

bạn ngăn chặn những dạng tấn công đã biết và thích ứng với những dạng tấn công mới, nhân viên, khách hàng và các doanh nghiệp có thể an tâm rằng dữ liệu của họ được an toàn

1.4 Các tiêu chí đánh giá về an ninh mạng

Để đảm bảo an ninh cho mạng, cần phải xây dựng một số tiêu chuẩnđánh giá mức độ anninh an toàn mạng Một số tiêu chuẩn đã được thừa nhậnlà thước đo mức độ an ninhmạng

1.4.1 Đánh giá trên phương diện vật lý

An toàn thiết bị

Các thiết bị sử dụng trong mạng cần đáp ứng được các yêu cầu sau:

- Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khả năng thay thế nóngtừng phần hoặc toàn phần (hot-plug, hot-swap)

- Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm

- Yêu cầu nguồn điện, có dự phòng trong tình huống mất đột ngột

- Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ,chống sét, phòngchống cháy nổ, vv

1.4.2 Đánh giá trên phương diện logic

Đánh giá theo phương diện này có thể chia thành các yếu tố cơ bản sau:

Tính bí mật, tin cậy (Condifidentislity)

Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn công bị động Có thểdùng vàimức bảo vệ để chống lại kiểu tấn công này Dịch vụ rộng nhất là bảovệ mọi dữ liệu củangười sử dụng truyền giữa hai người dùng trong một khoảng thời gian Nếu một kênh ảođược thiết lập giữa hai hệ thống, mức bảovệ rộng sẽ ngăn chặn sự rò rỉ của bất kỳ dữ liệunào truyền trên kênh đó.Cấu trúc hẹp hơn của dịch vụ này bao gồm việc bảo vệ một bảntin riêng lẻ hay những trường hợp cụ thể bên trong một bản tin Khía cạnh khác của tin bímật là việc bảo vệ lưu lượng khỏi việc phân tích Điều này làm cho những kẻ tấn công

không thể quan sát được tần suất, độ dài của nguồn và đích hoặcnhững đặc điểm kháccủa lưu lượng trên một phương tiện giao tiếp.

Tính xác thực (Authentication)

Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy Trongtrường hợp một bản tin đơn lẻ, ví dụ như một tín hiệu báo động hay cảnh báo,chức năng của dịch vụ ủy quyền là đảm bảo bên nhận rằng bản tin là từ nguồn mà nó xácnhận là đúng Trong trường hợp một tương tác đang xảy ra, ví dụ kết nối của một đầucuối đến máy chủ, có hai vấn đề sau:

- Thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đáng tin Mỗi chúng là một thực thể được xác nhận

- Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối là không bị gâynhiễu do một thực thể thứ ba có thể giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không được cho phép

Tính toàn vẹn (Integrity)

Cùng với tính bí mật, toàn vẹn có thể áp dụng cho một luồng các bản tin,một bảntin riêng biệt hoặc những trường lựa chọn trong bản tin Một lần nữa, phương thức có íchnhất và dễ dàng nhất là bảo vệ toàn bộ luồng dữ liệu Một dịch vụ toàn vẹn hướng kết nối,liên quan tới luồng dữ liệu, đảm bảo rằng các bản tin nhận được cũng như gửi không có

sự trùng lặp, chèn, sửa,hoán vị hoặc tái sử dụng Việc hủy dữ liệu này cũng được bao gồmtrong dịch vụ này Vì vậy, dịch vụ toàn vẹn hướng kết nối phá hủy được cả sự thay đổiluồng dữ liệu và cả từ chối dữ liệu Mặt khác, một dịch vụ toàn vẹn không kết nối, liênquan tới từng bản tin riêng lẻ, không quan tâm tới bất kỳ một hoàn cảnh rộng nào,chỉ cung cấp sự bảo vệ chống lại sửa đổi bản tin Chúng ta có thể phân biệt giữa dịch vụ

có và không có phục hồi Bởi vì dịch vụ toàn vẹn liên quan tới tấn công chủ động,chúng ta quan tâm tới phát hiện hơn là ngăn chặn Nếu một sự vi phạm toàn vẹn đượcphát hiện, thì phầndịch vụ đơn giản là báo cáo sự vi phạm này và một vài nhữngphần của phầnmềm hoặc sự ngăn chặn của con người sẽ được yêu cầu để khôi phục từnhữngvi phạm đó Có những cơ chế giành sẵn để khôi phục lại những mất mátcủa việc toàn vẹn dữ liệu

Không thể phủ nhận (Non repudiation)

Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối bỏ

1 bản tin đã được truyền Vì vậy, khi một bản tin được gửi đi, bên nhận có thể chứngminh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp Hoàn toàn tương tự,khi một bản tin được nhận, bên gửi có thểchứng minh được bản tin đó đúng thật đượcnhận bởi người nhận hợp lệ

Khả năng điều khiển truy nhập (Access Control)

Trong hoàn cảnh của an ninh mạng, điều khiển truy cập là khả năng hạnchế cáctruy nhập với máy chủ thông qua đường truyền thông Để đạt được việc điều khiển này,mỗi một thực thể cố gắng đạt được quyền truy nhập cần phải được nhận diện, hoặc đượcxác nhận sao cho quyền truy nhập có thểđược đáp ứng nhu cầu đối với từng người

Tính khả dụng, sẵn sàng (Availability)

Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứlúc nào mong muốn trong vòng một khoảng thời gian cho phép Cáccuộc tấn công khácnhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàngcủa dịch vụ Tính khả dụng củadịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của hệ thống docác cuộc tấn công gây ra nghiêm trọng cho hệ thống Một cuộc tấn công structuredthành công có thểgây nên sự phá hủy cho toàn hệ thống

CHƯƠNG 2: TỔNG QUAN VỀ SYMANTEC ENDPOINT PROTECTION 2.1 Giới thiệu về Symantec Endpoint Protection

Một hệ thống mạng hoạt động ổn định phụ thuộc rất nhiều yếu tố, tùy thuộc vào công tác quản lý của người quản trị viên, quy mô tổ chức, thiết bị, con người, nguyên tắc bảo mật, tác nhân bên ngoài…Và 1 yếu tố mà hầu hết quản trị viên nào cũng ưu tiên triển khai là hệ thống ngăn ngừa và loại trừ virus máy tính (AntiVirus)

Ngày nay virus máy tính phát triển và phát tán một cách nhanh chóng và tinh vi, những phương pháp bảo mật truyền thống đơn giản hầu như đều bị qua mặt, liên tiếp những bản cập nhật vá lỗi của các hãng sản xuất phần mềm đươc đưa ra nhằm chống lại sự thâm

nhập thông qua lỗ hổng bảo mật Như vậy vấn đề bảo vệ máy tính người dùng và hệ thốngmạng tránh những nguy cơ tấn công, lây nhiễm virus hoặc bị chiếm quyền kiểm soát là 1 vấn đề cấp thiết trong giải pháp bảo mật hệ thống.

Một trong những hãng phần mềm phòng chống virus uy tín nhất hiện nay có thể kể đến là Symantec, và dòng sản phẩm gần đây được nhiều hệ thống sử dụng là Symantec EndpointProtection Symantec Endpoint Protection cung cấp một giải pháp bảo mật tích hợp bảo

vệ hệ thống chống lại các cuộc tấn công tinh vi và lẫn tránh của virus Symantec EndpointProtection còn đảm bảo cho các thiết bị đầu cuối khả năng tự bảo vệ chủ động đối với những mối đe dọa xác định hoặc không xác định của virus với khả năng phòng chống nâng cao

2.2 Mô tả chung về Symantec EndPoint Protection

Symantec Endpoint Protection cho Macintosh và Windows, có sẵn qua IUware, kết hợp công nghệ từ các sản phẩm Symantec trước đây:

 Chống virus và spyware: Antivirus và chống spyware quét phát hiện virus và các

nguy cơ bảo mật khác, bao gồm cả phần mềm gián điệp, phần mềm quảng cáo, và các file khác, mà có thể đặt một máy tính hoặc một mạng lưới có nguy cơ

 Tường lửa cá nhân: tường lửa Symantec Endpoint Protection cung cấp một rào

cản giữa các máy tính và Internet, ngăn chặn người sử dụng trái phép truy cập vào máy tính và mạng Nó phát hiện hacker tấn công có thể xảy ra, bảo vệ thông tin cá nhân, và loại bỏ các nguồn lưu lượng truy cập mạng không mong muốn

 Phòng chống xâm nhập: Hệ thống phòng chống xâm nhập (IPS) là lớp thứ hai

Symantec Endpoint Protection của khách hàng quốc phòng sau khi các bức tường lửa Hệ thống phòng chống xâm nhập là một hệ thống dựa trên mạng Nếu được phát hiện, một cuộc tấn công được biết đến một hoặc nhiều công nghệ phòng chống xâm nhập có thể tự động ngăn chặn nó

 Quét mối đe dọa chủ động quét mối đe dọa chủ động sử dụng công nghệ tự động

phát hiện các mối đe dọa chưa biết Quá trình quét heuristic phân tích hành vi của một ứng dụng hoặc quá trình để xác định xem nó thể hiện đặc điểm của các mối đedọa, chẳng hạn như Trojan, sâu, hoặc keyloggers Loại bảo vệ này đôi khi được gọi

là bảo vệ zero-day

 Thiết bị và kiểm soát ứng dụng: kiểm soát thiết bị cấp được thực hiện bằng cách

sử dụng bộ quy tắc mà chặn hoặc cho phép truy cập từ các thiết bị, chẳng hạn như USB, hồng ngoại, FireWire, SCSI, cổng nối tiếp, cổng song song Kiểm soát ở cấp ứng dụng được thực hiện bằng cách sử dụng bộ quy tắc chặn hoặc cho phép các ứng dụng cố gắng truy cập vào tài nguyên hệ thống

 Kernel-level rootkit bảo vệ: Symantec Endpoint Protection mở rộng bảo vệ

rootkit để phát hiện và sửa chữa các rootkit cấp hạt nhân Rootkit là chương trình

ẩn từ hệ điều hành của máy tính và có thể được sử dụng cho các mục đích độc hại

 Dựa trên vai trò quản lý: quản trị viên khác nhau có thể truy cập vào các cấp độ

khác nhau của hệ thống quản lý dựa trên vai trò và trách nhiệm của mình

 Nhóm cập nhật nhà cung cấp: Symantec Endpoint Protection khách hàng có thể

được cấu hình để cung cấp chữ ký và cập nhật nội dung cho các khách hàng trong một nhóm Khi khách hàng được cấu hình theo cách này, chúng được gọi là nhóm các nhà cung cấp bản cập nhật Nhóm cập nhật nhà cung cấp không phải là trong nhóm hoặc các nhóm mà họ cập nhật

 Đến từ nhận thức: Symantec Endpoint Protection mở rộng hỗ trợ nâng cao nhận

thức vị trí cấp độ nhóm Mỗi nhóm có thể được chia thành nhiều địa điểm khác nhau, và khi một khách hàng tại địa điểm đó, chính sách có thể được áp dụng cho

vị trí đó

 Thiết lập dựa trên chính sách: Chính sách kiểm soát hầu hết các cài đặt khách

hàng, và có thể được áp dụng xuống đến cấp độ vị trí