Cac Nguy Cơ Bao Mat e Nhan vién : e Những nhân viên bất mãn trong công ty có thể gây ra hậu quả không lường trước được đôi với mạng máy tính như: truy cập dữ liệu trái phép, thay đối
Trang 1| An Toan Bao Mat He Thong Thong Tin |
Chương 6 : BẢO MẬT HỆ
THỐNG MẠNG MAY TĨNH
Giảng viên : Nguyễn Minh Thành
E-mail : thanhnm.itc@itc.edu.vn
Trang 2
Mục Lục
I Các nguy cơ bảo mật
Il Phát triển chính sách
ii Tổ chức hệ thông mạng
IV Tính sẵn sàng của hệ thống
Trang 3
I Cac Nguy Cơ Bao Mat
e Các nguy cơ có thể do người, sự vật hay những điều kiện khách quan có thể gây ra một cách cô ý hoặc vô tình làm ảnh hưởng đến mạng máy tính
- Một số nguy cơ thường øặp như: lỗi và phá hoại, trộm, nhân viên hay kẻ xấu (hacker) tân công
Trang 4
I Cac Nguy Cơ Bao Mat
s Lỗi - phá hoại:
e Do con người: nhân viên quản lý dữ liệu, nhà lập trình,
quản lý hệ thông có thể gây ra những lỗi vô tình Chang
hạn như quên bật firewall, lỗ hỏng hệ điêu hành, lỗi lập
trình quản lý mạng Vì vậy phải cần chú ý đến các lỗi thường gặp để ngăn chặn phá hoại
Trang 5I Cac Nguy Cơ Bao Mat
e Trom:
e Théng tin lién lac rat dé gap van dé trom, co thé trom ttr bén ngoai hay tu bén trong
se Ví dụ như trộm tài khoản từ nhà băng, trộm dữ liệu quan
trọng và bí mật Ngoài ra cân chú ý đến việc bị trộm phân cung
Trang 6I Cac Nguy Cơ Bao Mat
e Nhan vién :
e Những nhân viên bất mãn trong công ty có thể gây ra hậu quả không lường trước được đôi với mạng máy tính như:
truy cập dữ liệu trái phép, thay đối hoặc xóa đữ liệu, hủy
cơ sở dữ liệu hay chương trình và phá hủy phân cứng hay
các linh kiện
Trang 7
I Cac Nguy Cơ Bao Mat
e Hacker:
e Là môi nguy hiểm thật sự cho hau hét cac hé thong máy tính có nôi mạng Mặc dù hacker gây thiệt hại ít hơn nhân viên bat mãn nhưng vấn đề hacker vẫn còn tram trọng và phô biến
e Hacker cé thé gay nguy hiểm băng cách ăn cắp dữ liệu và
phá hoại làm tê liệt cả một hệ thông
Trang 8II Phát Triển Các Chính Sách
s Chính sách (policy) : miêu tả cách thông tin được truy cập hay không truy cập bởi các nhóm người dùng hay từng người dùng cụ thể
e Cân phải xác định đây đủ các chính sách cho một hệ thông,
nếu không sẽ gây ra các lỗ hồng bảo mật trong chính sách
và qua đó hacker có thể tân công
e Các chính sách được đặc tả trên văn bản để lưu trữ và sửa chữa khi có sự cô
Trang 9
II Phát Triển Các Chính Sách
e Phân lớp dữ liệu : dữ liệu của hệ thông phải được phân
chia thành nhiêu lớp theo mức độ truy cập của dữ liệu (hay các nhóm người dùng truy cập dữ liệu)
e Phân lớp người dùng : người dùng hệ thông cũng phải được phân chia thành các nhóm theo chức năng của từng nhóm Đối với từng nhóm, xác định các quyên trên từng nhóm dữ liệu trên dựa vào các chính sách
trên
Trang 10
II Phát Triển Các Chính Sách
e Tinh nhất quán trong dữ liệu :
e Đôi khi những chính sách sẽ gây ra sự không nhất quán trong dữ liệu Vì vậy, khi xây dựng các chính sách cho hệ thông cân phải kiểm tra tính nhất quán của dữ liệu
« Ví dụ : chính sách yêu câu dữ liệu A chỉ cho phép nhóm người dùng X (trong hệ thông) truy cập, nhóm Y không được truy cập Nhưng một chính sách khác lại cho các khách hàng (người ko thuộc hệ thống) truy cập A
© > Mau thuẫn trong chính sách
Trang 11II Phát Triển Các Chính Sách
e Chọn lựa các cơ chế thực thi thích hợp cho từng chính
sách :
e Ma hoa
e Các giao thức
e Access Control
Trang 12
III Tổ Chức Hệ Thống Mạng
©
e Xay dựng hệ thông mạng dựa vào đặc tả (yêu câu) của
hệ thông cùng với các chính sách đã xác định
e Dua vào đặc tả (yêu câu) : xác định số lượng server,
số lượng máy tính, các thiết bị kết nỗi, mô hình kết
nôi
- Dựa vào chính sách bảo mật : xác định sô lượng firewall, vi tri dat server trong mo hinh bao mat,
phương thức lưu trữ dữ liệu
Trang 13
III Tổ Chức Hệ Thống Mạng
e« Một ví dụ vê tô chức hệ thông mạng
DMZ
Internet :
Outer firewall}
INTERNAL (com data subne ` ustomer data subnet)
—
/Íne internal — subnet internal
{ Inner firewall |
Trang 14
Z
IV Tính Sẵn Sàng
©
s Một hệ thông mạng được bảo mật tốt ngoài việc bảo về
dữ liệu và tài nguyên, còn phải đảm bảo khả năng sẵn
sàng truy cập ở mọi thời điểm
e Tat ca moi hệ thông đều có khả năng bị tân công
denial-of-service Đây là một phương thức tân công băng cách gởi hàng loạt thông điệp đến Server, làm cho Server không thê xử lý kịp thời Khi có người dùng thực sự gởi yêu câu đên sẽ bị từ chôi
Trang 15
Z
IV Tính Sẵn Sàng
« Một số giải pháp dé đảm bảo tính sẵn sàng cho hệ
thông :
se Sử dụng Host trung gian : router, bộ lọc lưu lượng mạng
e Kiểm soát trạng thái IP mạng