PHÂN TÍCH THIẾT KẾ GIẢI PHÁP ĐẢM BẢO AN NINH THÔNG TIN HỆ THỐNG

PHÂN TÍCH THIẾT KẾ GIẢI PHÁP ĐẢM BẢO AN NINH THÔNG TIN HỆ THỐNG

THÔNG TIN HỆ THỐNG

(Mã số: KHCN-RD - 2004 – 018)

Đơn vị thực hiện : Công ty Phần mềm và Truyền thông VASC

Tổng công ty Bưu chính Viễn thông Việt nam

Địa chỉ : 99 Triệu Việt Vương – Hà Nội

Điện thoại : 84.4.9782235

HÀ NỘI – 2005

Máy chủ Trong phạm vi của tài liệu , máy chủ ở đây được xem

là các máy chủ thuộc mạng của Khánh Hòa

Máy trạm Các máy tính kết nối với mạng nội bộ của Trung tâm

xử lý dữ liệu (kết nối trực tiếp hoặc kết nối từ xa)

Người sử

dụng

Là cán bộ, công nhân, viên chức làm việc tại các đơn

vị tham gia hệ thống, khách hàng, đối tác có sử dụng hoặc tham gia vào hệ thống máy tính, hệ thống mạng nội bộ, dịch vụ của Khánh Hòa

Quản trị hệ

thống

Là người chịu trách nhiệm duy trì hoạt động liên tục của hệ thống máy tính, hệ thống mạng nội bộ, dịch vụ của Khánh Hòa; là người đối phó, ngăn ngừa các hoạt động có tính chất phá hoại, làm gián đoạn hoạt động của các máy tính trong công việc quản lý nhà nước của Khánh Hòa Người quản trị hệ thống cũng có thể xem như là một người sử dụng nếu đứng ở góc độ khai thác thông tin trên hệ thống

bộ của mình Bộ phận quản trị hệ thống của Trung tâm Tích hợp dữ liệu có trách nhiệm quản trị hệ thống cho hệ thống mạng dịch vụ của Khánh Hòa

Tên truy

nhập

Tên hoặc định danh mà người sử dụng để đăng nhập vào mạng hoặc các ứng dụng

Mật khẩu

truy nhập

Là mã số bí mật của người sử dụng được cung cấp kèm với tên truy nhập Mã số này có thể thay đổi bởi chính người sử dụng hoặc người quản trị

Sao lưu dữ

liệu

Biện pháp lưu trữ thêm một hoặc nhiều bản sao của dữ liệu trên hệ thống để có thể sử dụng lại trong các trường hợp cần thiết hoặc có sự cố

Tài nguyên

mạng

File dữ liệu, thư mục, ổ đĩa, máy in được cài đặt, thiết lập tại máy chủ hoặc 1 máy tính nào đó trên mạng

MỤC LỤC

MỞ ĐẦU 4

CHƯƠNG 1 .6

SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO AN TOÀN THÔNG TIN TRÊN THẾ GIỚI VÀ VIỆT NAM 6

CHƯƠNG 2 .12

NGHIÊN CỨU, PHÂN TÍCH CÁC ĐẶC THÙ AN TOÀN THÔNG TIN12 CHƯƠNG 3 .21

CÁC BƯỚC THỰC THI AN TOÀN BẢO MẬT CHO HỆ THỐNG 21

CHƯƠNG 4 .27

GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN CHO HỆ THỐNG 27

CHƯƠNG 5 .41

XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN 41

CHƯƠNG 6 .53

PHỤ LỤC 53

MỞ ĐẦU

Song song với việc “ Quy hoạch hệ thống Cơ sở dữ liệu và hạ tầng kỹ thuật Công nghệ thông tin tỉnh Khánh Hòa” phục vụ công tác quản lý Nhà nước, xây dựng nền tảng về công nghệ thông tin, cũng như phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáo dục, xã hội, thì việc bảo về những thành quả đó là một điều không thể thiếu An toàn nghĩa là thông tin được bảo vệ, các hệ thống

và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất Hệ thống có một trong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ) Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin

bị xáo trộn)

Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn Mục tiêu của

an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn

an toàn Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng

Tài liệu này được xây dựng nhằm nghiên cứu, phân tích các đặc thù an toàn thông tin trên cơ sở hạ tầng kỹ thuật CNTT đã quy hoạch

Từ đó xác định rõ các yêu cầu cụ thể về an ninh thông tin cần bảo đảm cho hệ thống Nghiên cứu, phân tích các lỗ hổng bảo mật, khả năng

"nghe trộm" và các hình thức tấn công vào các hệ thống cơ sở dữ liệu

Từ đó xác định và thống kê các nguy cơ cụ thể, mức độ nguy hại và giải pháp phòng, tránh trên môi trường mạng đa người dùng, trên Internet và tại các bộ phận quản trị, quản lý hệ thống, với các mức độ

cụ thể cho: hệ thống, mạng và CSDL

1.1 AN NINH BẢO MẬT MẠNG NHÌN TỪ THẾ GIỚI

Hãng dịch vụ tư vấn Deloitte trong báo cáo An ninh mạng toàn cầu 2004 của mình cho biết, có tới 83% doanh nghiệp được khảo sát bị hacker tấn công trong năm 2003, gấp hơn hai lần số vụ tấn công năm

2002 Theo CheckPoint, thiệt hại do virus và sâu máy tính năm 2003 trên thế giới lên tới 12,5 tỷ USD Ông Kevin Lim- Giám đốc Check Point khu vực Nam Á nhận định:"Giờ đây hacker không chỉ dùng mạng để tấn công máy tính hay mạng nữa Hacker có thể dùng các chương trình virus tấn công thông qua giao thức http hay smtp Thậm chí họ gửi cho bạn một bức thư trong đó có gài virus để mở một cổng mới và tấn công thông qua đó Vì vậy công nghệ bảo mật an ninh đang được phát triển theo xu hướng ngăn chặn truy cập trái phép vào mạng máy tính và có thể nhận dạng các ứng dụng không mong muốn"

Theo Meta Group, chi phí cho an ninh mạng máy tính hiện nay chiếm từ 3 đến 4% tổng chi phí cho CNTT trên toàn cầu Đến 2006, tỷ trọng sẽ đạt từ 6-8% Riêng đối với thị trường châu Á TBD mức chi cho an ninh mạng từ nay đến 2008 sẽ tăng bình quân 22%/năm, gấp đôi tỷ lệ của thế giới Những nguy cơ an ninh mạng máy tính trước đây tính bằng tuần bằng ngày thì nay được tính theo phút, và không bao lâu sau sẽ là giây

Bấy lâu nay, dư luận không còn xôn xao với những chuyện các nhóm hacker trong và ngoài nước thi nhau tấn công các trang web báo điện tử, trang thông tin các tổ chức, doanh nghiệp Nhưng liệu rằng dưới mặt hồ bình yên đó có hiện hữu những đợt sóng ngầm? Xin khẳng định là có, và điều đáng nói hơn là những cơn sóng ngầm trên lĩnh vực

an ninh mạng máy tính ở nước ta đang diễn ra muôn hình vạn trạng

Một ví dụ rất nhỏ là việc hàng giờ, hàng ngày, virus phá hoại dữ liệu, hệ thống mạng máy tính của các doanh nghiệp, tổ chức trên khắp phạm vi toàn quốc Thiệt hại không nhỏ về hạ tầng là một chuyện, đình

trệ công việc lại là chuyện lớn hơn khi đã có rất nhiều công việc hàng ngày của chúng ta phụ thuộc vào máy tính và mạng máy tính Chỉ có điều là virus, hacker cứ tấn công, còn các doanh nghiệp cứ khắc phục, coi như một sự bình thường, mà ít ai để ý đến các vấn đề phòng chống hiệu quả Ông Vũ Bảo Thạch- phó giám đốc công ty phần mềm Misoft cho biết: "Đã từng xảy ra những sự cố CNTT thế nhưng thông thường các cơ quan đều không nhìn nhận đúng về thiệt hại của nó Chúng ta đang thiếu những thống kê về thiệt hại do hacker, do sự cố, và sự mất

an toàn hệ thống thông tin, đã gây thiệt hại về kinh tế, về cơ hội giao dịch kinh doanh, năng suất lao động trong các tổ chức của chính chúng

ta Thiếu các con số thống kê này thị trường CNTT sẽ không có cơ khai thác hay chúng ta đang không biết phải cần bao nhiêu tiền của và cần như thế nào?"

Đối với phần đa các doanh nghiệp, tổ chức, đầu tư cho CNTT vẫn đang nặng về phần cứng, không nhiều cho phần mềm, rất ít cho đào tạo, và không đáng kể cho những chuyện đại loại như duy trì, bảo hành hệ thống, phát triển nhân lực cũng như đầu tư cho an ninh, bảo mật mạng máy tính

Tuy nhiên, rất đáng mừng, nhiều doanh nghiệp, tổ chức lớn vốn

đã ứng dụng nhiều và phụ thuộc lớn vào CNTT như Tài chính, Ngân hàng, Viễn thông đã có sự đầu tư đáng kể cho vấn để an ninh, bảo mật mạng máy tính Và bản thân sự đầu tư ngày càng tăng cho an ninh, bảo mật mạng máy tính như vậy, ở một khía cạnh nào đó có thể xem là bước tiến mới trong ứng dụng CNTT ở nước ta TS Đỗ Cao Bảo- Giám đốc công ty Hệ thống thông tin FPT cho biết: "Tôi muốn nhấn mạnh rằng khách hàng cần phải quan tâm nhiều hơn, nếu không muốn bị thiệt hại cho cả hệ thống, cho khách hàng Hiện số lượng công ty cung cấp giải pháp bảo mật tổng thể và tốt chưa nhiều nên nhân dịp này chúng tôi muốn tập trung giới thiệu các giải pháp bảo mật của mình"

Trong thực tế, nhận thức của các tổ chức, doanh nghiệp chính là

vấn đề cần phải giải quyết trước khi đề cập tới bất kỳ một giải pháp, công nghệ an ninh, bảo mật mạng máy tính nào Điều này đặc biệt đúng đối với các doanh nghiệp vừa và nhỏ Họ đang là mục tiêu tấn công chủ yếu của hacker hiện nay Và thường thì doanh nghiệp nhỏ, lỗ hổng bảo mật lớn

Vấn đề là các doanh nghiệp vừa và nhỏ không chỉ thiếu tài chính

và nhân lực cho an toàn, an ninh mạng, mà quan trọng không kém, là

sự nhận thức phiến diện an ninh mạng chỉ đơn thuần là việc chống virus máy tính Ngay tại Mỹ, cũng có tới 35% doanh nghiệp nhỏ không

sử dụng bức tường lửa Ian Loh - Giám đốc EMC Nam Á cho biết:" Mọi người sử dụng rất nhiều tiền để bảo vệ tiền mặt nhưng vẫn chưa

đủ để bảo vệ các trung tâm dữ liệu nơi mà các luồng giao dịch phi tiền mặt đổ đến Các bạn sẽ thấy mọi người giao dịch sử dụng thẻ thông minh hay séc, đó thực sự là dữ liệu nhị phân của hai con số 1 và 0 Thông tin hiện nay thực sự là tiền bạc ai cũng biết điều đó, nhưng ngày mai tiền bạc là thông tin, không còn tiền mặt như các giao dịch thông thường"

Một điều rõ ràng là nguy cơ đối đầu với các mối nguy hiểm trên Internet ngày một gia tăng Bản thân, các hình thức tấn công trên Internet ngày một đa dạng, tinh vi và phức tạp Giải pháp đưa ra là sự cần thiết phải có một chiến lược giảm thiểu nguy cơ tấn công của virus

Đỗ Cao Bảo- Giám đốc công ty Hệ thống thông tin FPT cho biết:

"Chúng tôi rất tâm đắc với triết lý bảo mật: Thứ nhất, bảo mật phải nhiều tầng, nhiều lớp, chứ một lớp không đủ Thứ 2, bảo mật sử dụng nhiều công nghệ Với công nghệ của một hãng nếu hacker biết thì hoàn toàn có thể phá được Chính vì vậy ta phải dùng nhiều công nghệ khác

để bảo vệ hệ thống Thứ 3, bảo mật phải là một quá trình liên tục"

Tại triển lãm ICT Finance 2004 mới đây, nhiều hãng đã mang tới không chỉ các sản phẩm, công nghệ mới mà cả những giải pháp tổng thể về an ninh, bảo mật mạng máy tính Đáng chú ý là hệ thống phòng chống thông minh của Checkpoint

Thông thường, các bức tường lửa chỉ nhắm tới việc chống các cuộc tấn công ở tầng dưới trong mô hình 7 lớp, còn hệ thống phòng chống thông minh Smart Defence của Checkpoint đưa thêm công nghệ chống các cuộc tấn công lợi dụng các lỗ hổng bảo mật ở tầng ứng dụng Kevin Lim- Giám đốc Check Point khu vực Nam Á cho rằng:

"Để các giải pháp an ninh có thể ngăn chặn những cuộc tấn công thông minh, bạn không chỉ phải ngăn chặn các cuộc tấn công ở lớp mạng mà còn phải xác định được những lỗ hổng của ứng dụng Một khi có khả năng nhận dạng được như vậy, bạn sẽ có khả năng ngăn chặn sâu tấn công hoặc một số ứng dụng đang sử dụng một số cổng trái phép của hệ thống" Vũ Bảo Thạch- phó giám đốc Công ty phần mềm Misoft: "Một

ví dụ đơn giản, nếu chúng ta có máy chủ Web, chúng ta bắt buộc phải

mở một số cổng để cho người dùng đi vào đấy và hoàn toàn hacker có thể dùng chính các cổng đó để tấn công hạ gục server đó Thế thì làm sao chúng ta phân biệt được đâu là gói tin của hacker? Giải pháp chúng tôi đưa ra smart defense của checkpoint đáp ứng được yêu cầu

đó Chúng tôi lọc qua những đoạn mã tấn công độc hại, gửi tới các sever, loại trừ nó ra trước khi nó đến được Web sever Còn những giao thông bình thường, gói tin bình thường sẽ đến được Web sever một cách toàn vẹn và đầy đủ"

Đáng chú ý tại ICT Finance 2004, là sự hiện diện của các công

ty Việt Nam trên một thị trường hết sức mới mẻ này Misoft là đại diện chính thức của các hãng phần mềm bảo mật như Checkpoint, trong khi FPT không chỉ hiện diện với tư cách là đại lý phân phối các thiết bị, công nghệ an ninh, bảo mật mà còn là một nhà cung cấp các giải pháp tổng thể trong lĩnh vực này Vũ Ngọc Tú- chuyên viên an ninh mạng FIS cho biết: "Ngoài việc các thiết bị phát hiện đột nhập đến hoạt động một cách thủ công tức là người quản trị phải tự động tìm cách để ngăn chặn thì chúng tôi có các thiết bị tự động phát hiện tấn công sẽ ngăn

chặn lập tức cuộc tấn công đó Hệ thống ngoài khả năng phát hiện ra cuộc tấn công bằng cách thông báo nó còn ngăn chặn được các cuộc tấn công trực tiếp vào hệ thống Hệ thống sẽ ngừng kết nối khi nhận thấy có người đang tấn công Không những thế hệ thống sẽ tự động ngăn chặn trực tiếp các cuộc tấn công mà không cần bất cứ sự can thiệp của người quản lý hệ thống"

FPT còn mang đến triển lãm một điểm lý thú khác, đó là cách tiếp cận phổ biến trên thế giới, nhưng rất mới ở nước ta: cung cấp dịch

vụ an ninh, bảo mật hệ thống thông tin Nghĩa là ngoài các chủng loại thiết bị phần cứng, phần mềm, giải pháp tổng thể, FPT còn sẽ cung cấp dịch vụ tư vấn, dịch vụ an ninh, bảo mật cho các hệ thống máy tính các doanh nghiệp, tổ chức Đây cũng có thể xem là một bước đi tạo ưu thế cạnh tranh của FPT trong một thị trường đang lên này TS Đỗ Cao Bảo- Giám đốc công ty hệ thống thông tin FPT nói :" Quan trọng nhất trong bảo mật là chúng tôi muốn đưa đến một thông điệp bảo mật không phải là một thiết bị cũng không thuần tuý là một giải pháp Nó

là sự kết hợp giữa thiết bị, giải pháp và dịch vụ Lý do rất đơn giản vì hôm nay, chúng ta bảo mật hệ thống thông tin tốt, thì hacker lại tìm những thủ thuật mới công nghệ, phương cách tấn công mới Như vậy, bảo mật phải nghĩ ra những quy trình mới, những luật mới để bảo mật

Vì vậy, bảo mật là dịch vụ được quá trình lặp không ngừng và dịch vụ nhiều khi còn tốn kém hơn thiết bị đầu tư ban đầu"

An ninh, bảo mật mạng máy tính đã trở thành một phần không thể thiếu trong các hệ thống CNTT các tổ chức doanh nghiệp Vấn đề

là thời gian qua, chúng ta đã quan tâm tới vấn đề này đến đâu và tương lai, chúng ta đã có kế hoạch, chiến lược như thế nào của các tổ chức, doanh nghiệp nhằm đảm bảo cho các hệ thống thông tin vận hành một cách trơn tru, phát huy tối đa các ứng dụng CNTT- truyền thông

Chương 2

NGHIÊN CỨU, PHÂN TÍCH CÁC ĐẶC

THÙ AN TOÀN THÔNG TIN

THÔNG TIN CỦA MỘT HỆ THỐNG

Để đánh giá mức độ an toàn thông tin tuân theo các điều kiện sau:

• Hệ thống an toàn là hệ thống trước tiên phải có các tài liệu về chính sách an toàn thông tin

• Sau khi đã xây dựng và đưa ra được các chính sách an toàn thông tin, việc tiếp theo là phân bổ các trách nhiệm về an ninh

hệ thống

• Các chương trình giáo dục và huấn luyện về an ninh thông tin

• Các báo cáo về các biến cố liên quan đến an ninh thông tin

• Các biện pháp kiểm soát Virus

• Kiểm soát việc sao chép các thông tin thuộc sở hữu hệ thống

• Việc bảo vệ các hồ sơ của tổ chức

• Việc tuân thủ pháp luật về bảo vệ dữ liệu

• Việc tuân thủ chính sách về an ninh hệ thống của toàn bộ các đơn vị, thành phần tham gia vào hệ thống

2.2 NHU CẦU BẢO VỆ THÔNG TIN

Nguyên nhân mất an toàn thông tin:

Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong sản xuất kinh doanh, đã trở thành đối tượng cho nhiều người tấn công với các mục đích khác nhau Đôi khi, cũng chỉ đơn giản

là để thử tài hoặc đùa bỡn với người khác

Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số lượng các vụ tấn công trên Internet cũng tăng theo cấp

số nhân Trong khi các phương tiện thông tin đại chúng ngày càng nhắc nhiều đến Internet với những khả năng truy nhập thông tin dường như đến vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm an ninh và an toàn dữ liệu cho các máy tính được kết nối vào mạng Internet

Những vụ tấn công nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của tất cả các công ty lớn như AT&T, IBM, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, nhà băng Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công) Hơn nữa, những con số này chỉ là phần nổi của tảng băng chìm Một phần rất lớn các vụ tấn công không được thông báo, vì nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biết những cuộc tấn công nhằm vào hệ thống của họ

Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện Điều đó một phần do các nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác Những cuộc tấn công thời kỳ 1988-1989 chủ

yếu đoán tên người sử dụng-mật khẩu (UserID-password) hoặc sử dụng một số lỗi của các chương trình và hệ điều hành (Security hole)

làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi thông

tin truyền qua mạng, chiếm các phiên làm việc từ xa (Telnet hoặc

• Tính tin cậy: Những thông tin có giá trị về kinh tế, quân sự,

chính sách vv cần được giữ kín Thông tin không thể bị truy nhập trái phép bởi những người không có thẩm quyền

• Tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả

bởi những người không có thẩm quyền

• Tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng

cho người có thẩm quyền khi có yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết

• Tính không thể từ chối: Thông tin được cam kết về mặt pháp

luật của người cung cấp

Trong các yêu cầu này, thông thường yêu cầu về bảo mật được coi là yêu cầu số 1 đối với thông tin lưu trữ trên mạng Tuy nhiên, ngay

cả khi những thông tin này không được giữ bí mật, thì những yêu cầu

về tính toàn vẹn cũng rất quan trọng không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin

mà không biết về tính đúng đắn của những thông tin đó

Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công,

sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình như chạy các chương trình dò mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác vv

Một phần lớn các cuộc tấn công không được thông báo rộng rãi,

và một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các công ty lớn và các cơ quan quan trọng trong bộ máy nhà nước Trong trường hợp người quản trị hệ thống chỉ được biết đến sau khi chính hệ thống của mình được dùng làm bàn đạp để tấn công các

hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài

THỰC TẾ CỦA CÁC HỆ THỐNG THÔNG TIN

Trước đây, Viện SANS và Trung tâm Phòng Vệ Hạ Tầng Quốc Gia (NIPC – National Infrastructure Protection Center) xuất bản một tài liệu tổng kết về mười yếu điểm nghiêm trọng nhất của an toàn Internet Hàng nghìn tổ chức đã sử dụng danh sách đó để ưu tiên giải quyết các lỗ hổng nguy hiểm nhất Và bảng danh sách mới này, ra mắt

đã được cập nhật và mở rộng cho danh sách TOP 10 đó Với phiên bản mới này, danh sách các yếu điểm được tăng trưởng đến con số 20 đồng thời được phân chia thành 3 nhóm yếu điểm: Chung, Unix và Windows

Các kinh nghiệm trong lĩnh vực an toàn thông tin hệ thống máy tính ngày càng tăng về công nghệ và mọi phương diện đặc biệt trong những năm gần đây Sự cố Y2K, Internet và thương mại điện tử ngày càng phát triển đã góp phần làm tăng khả năng tấn công vào hệ thống

Thật may là các tập đoàn và các chính phủ đã có những quan tâm đáp lại, họ phần nào đã hiểu rõ sự nguy hiểm và sức mạnh của các tổ chức gián điệp và nhận ra khả năng bị tấn công là rất lớn Khách hàng sẽ không đầu tư vào đơn vị của bạn nếu hệ thống thông tin là không an toàn Tuy nhiên, việc quản lý và thực thi an toàn thông tin là rất khó khăn.

Dựa trên ý kiến của 1,850 nhà quản lý và các chuyên gia bảo mật máy tính trong cuộc hội thảo tại SANS99 và hội thảo về bảo mật máy tính liên bang tại Baltimore 7-14/05/1999 người ta đã đưa ra bảy sai lầm hay gặp nhất dẫn đến các lỗ hổng về an toàn trong máy tính

• Sai lầm thứ nhất: Đặt những người thiếu đào tạo về bảo mật

vào vị trí duy trì tính bảo mật mà không đào tạo thêm đồng thời cũng không cho họ thời gian hợp lý để có thể thực hiện công việc

• Sai lầm thứ hai: Thiếu sự hiểu biết về mối quan hệ của bảo mật

thông tin và nghiệp vụ - Họ hiểu một cách máy móc về bảo mật

mà không thấy được hậu quả của sự thiếu bảo mật thông tin

• Sai lầm thứ ba: Giải pháp sai lệch khi thực hiện thao tác bảo

mật: sửa nhanh một vài lỗi và không theo một qui trình tối thiểu

để đảm bảo lỗi đã được sửa

• Sai lầm thứ tư: Quá tin tưởng vào bức tường lửa.

• Sai lầm thứ năm: Nhận thức sai về giá trị của thông tin và danh

tiếng của công ty

• Sai lầm thứ sáu: Chỉ sửa lỗi tạm thời hoặc để đối phó dẫn đến

rắc rối ngày càng nghiêm trọng hơn

• Sai lầm thứ bảy: Cho rằng rắc rối sẽ tự mất nếu bỏ qua chúng.

2.3.1.3 Các tấn công được thực hiện như thế nào?

Hầu hết các tấn công được thực hiện trên các công cụ hacker có sẵn miễn phí Các công cụ này đều có những mục đích riêng và thực hiện được với một hiệu quả cao như nó dễ dàng tìm kiếm và đăng nhập một máy tính khi hệ thống không an toàn Hãy tưởng tượng, nếu như

có một tên trộm đang thử toàn bộ các cửa ra vào của một thành phố chỉ với thời gian ít phút Rõ ràng, nó sẽ không mấy khó khăn khi tìm được một cửa vào đang mở

Theo khảo sát của ICSA, hàng tháng có khoảng 14 trên tổng số

1000 máy tính bị nhiễm virus Qua khảo sát 538 nhà quản lý an toàn bảo mật cho thấy, 85% các bản báo cáo của họ về lỗ hổng trong an toàn bảo mật

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên trong Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv… để đoán mật khẩu Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, có một trương trình tự động hoá về việc dò tìm mật khẩu này Một trương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mã hoá của các hệ thống Unix có tên

là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do ngời dùng tự định nghĩa Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản

thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản

trị hệ thống (Root hay Administrator).

Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương trình sendmail và chương trình rlogin của

hệ điều hành UNIX:

• Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải

có quyền ghi vào hộp thư của những người sử dụng máy Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống

• Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập

Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc nghe trộm thường được tiến hành ngay sau khi

kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép giao tiếp với card mạng (Network Interface Card-NIC) theo chế độ nhận toàn bộ các thông tin lưu truyền trên mạng Những thông tin này cũng có thể dễ dàng lấy được trên Internet

2.4.3 Giả mạo địa chỉ

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing) Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ

IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi

Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng theo thiết kế Kiểu tấn công này không thể ngăn chặn được, do những phương tiện tổ chức tấn công cũng chính là các ph-ương tiện để làm việc và truy nhập thông tin trên mạng Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn

bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ

về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp

tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ Có quá nhiều công ty tin rằng an toàn thông tin là vấn đề

ở sản phẩm, nhưng cốt lõi của vấn đề lại ở chỗ: con người chính là mắt xích yếu nhất trong cả một hệ thống an toàn thông tin Các biện pháp bảo mật tốn kém đôi khi lại chẳng có hiệu quả nếu doanh nghiệp không thể thi hành được một chính sách an toàn thông tin đơn giản nhất, và điều này vô tình đã đặt toàn bộ hệ thống hạ tầng cơ sở công nghệ thông tin của doanh nghiệp trước các cuộc tấn công ác ý

vị khác nhau Tiêu chí của các hành động, biện pháp này là: chi phí thấp, hiệu quả cao.

Để có được danh sách các hoạt động đem lại hiệu quả cao, cần xác định rõ các nhân tố tối thiểu về an toàn bảo mật cho một hệ thống

và mạng cùng với các kiến thức quản trị và kỹ năng để thực hiện các hoạt động tăng cường an toàn bảo mật

Ở mức một, người thực thi bảo mật, quản trị hệ thống & mạng thực hiện làm cho môi trường mạng, máy tính ít bị lỗ hổng bảo mật hơn vì đã được sửa lỗi bằng các bản sửa lỗi hoặc bằng các biện pháp

kỹ thuật Mỗi một hành động thường được đảm bảo và điều khiển bởi một chính sách tương ứng

• Thực hiện các cảnh báo ngay lập tức (trực tuyến) để nhắc nhở, thông báo mỗi người dùng trong mạng các quy tắc sử dụng mỗi khi truy nhập vào hệ thống của tổ chức Không có các cảnh báo như vậy, các kẻ tấn công bên trong và bên ngoài tổ chức có thể không bị buộc tội khi họ bị bắt

• Thực hiện một mạng lưới bảo vệ, lọc, phát hiện và tiêu diệt

virus - trên tất các các máy trạm (PCs), máy chủ, và các cổng kết nối mạng (gateway) Đảm bảo cập nhật thường xuyên các phần mềm diệt virus.

• Đảm bảo rằng hệ thống sao lưu dữ liệu hoạt động định kỳ, các tập tin có thể được khôi phục từ các bản sao lưu định kỳ đó, và người quản trị hệ thống có đủ kiến thức cập nhật cần thiết để thực hiện sao lưu trên tất cả các hệ thống ngay lập tức trong trường hợp bị tấn công Nếu không có dữ liệu được sao lưu tốt, một vấn đề nhỏ trong an toàn bảo mật có thể trở thành thảm họa

- vừa lãng phí tài chính, vừa lãng phí thời gian

• Cho phép ghi nhật ký các sự kiện quan trọng của hệ thống, các dịch vụ (service), proxy và thiết lập cơ chế lưu các tập tin nhật

ký Các hệ thống không có cơ chế ghi nhật ký hiệu quả sẽ trở thành mù quáng và nó gây khó khăn cho công việc học và xem xét các vấn đề xảy ra trong một vụ tấn công, hoặc thậm chí có thể biết vụ tấn công đó có thành công hay không

• Thực thi xác thực hệ thống (audit) để kiểm soát người sử dụng

hệ thống, các cổng dịch vụ (port) được mở để sử dụng cho bên ngoài, và kiểm tra lại các nhân tố có liên quan đến bảo mật khác

• Chạy các chương trình phá mật khẩu để xác định các mật khẩu yếu, dễ bị lộ Mật khẩu yếu cho phép kẻ tấn công giả danh người sử dụng đăng nhập vào hệ thống và thử nghiệm các điểm yếu cho đến khi họ tìm cách đạt được quyền điều khiển hệ thống

• Cài đặt tường lửa và thiết lập các quy tắc cho tường lửa để ngăn chặn tất cả các nguồn lưu lượng nguy hiểm Một hệ thống mạng

không có tường lửa thì cũng như ngôi nhà của bạn có cửa mà không có khóa.

• Thiết lập danh sách điều khiển truy cập (ACL) trên bộ định tuyến Bộ định tuyến có thể đóng vai trò như một tầng bảo vệ nữa cho hệ thống

• Rà quét mạng để hình thành và duy trì một bản sơ đồ mạng đầy

đủ cập nhật

• Sử dụng phần mềm kiểm tra lỗ hổng bảo mật mạng để khóa chặn bất kỳ một lỗ hổng bảo mật mức một và sửa chữa các lỗi tìm được

• Cài đặt các bản sửa lỗi hệ thống và ứng dụng mới nhất, vô hiệu hóa hoặc kiểm soát chặt chẽ các dịch vụ không cần thiết, và kiểm soát chặt chẽ đến từng hệ điều hành

• Hình thành vành đai máy chủ

• Thực hiện cơ chế đảm bảo tập tin (cryptographic fingerprinting)

để nhận biết được tập tin nào bị thay đổi sau một vụ tấn công

• Tuyển chọn hình thành một nhóm phản ứng với các tình trạng khẩn cấp và xây dựng các thủ tục được sử dụng để đối phó với các cuộc tấn công

Đối với nhiều tổ chức nhỏ và đối với các tổ chức mà nghiệp vụ không phụ thuộc vào cơ sở hạ tầng thương mại thông qua Internet hoặc công việc hoạt động trên một mạng dùng chung tin cậy, thì các hành động an toàn bảo mật mức một có thể đã đủ hiệu quả khi cùng được sử dụng với một hệ thống giám sát thông tin ra ngoài nhằm đảm bảo vấn

đề sẽ nhanh chóng được phát hiện và khắc phục Đối với hầu hết các tổ chức lớn, việc có được độ tin cậy rộng nghĩa là đòi hỏi mức độ an toàn bảo mật ở mức độ cao hơn

3.2 CÁC HOẠT ĐỘNG BẢO MẬT Ở MỨC HAI

Các hoạt động an toàn bảo mật mức hai tập trung nhiều hơn vào các hệ thống riêng biệt, cũng như các hệ thống thương mại và xây dựng hàng rào bảo vệ chống tấn công, đặc biệt quan tâm đến hệ thống phát hiện thâm nhập, tìm kiếm và hạn chế các cửa hậu (back door) không được bảo vệ, và đảm bảo rằng các cổng truy cập xa được bảo vệ chắc chắn Các hoạt động an toàn bảo mật mức hai cũng tập trung vào các hiểm họa bắt nguồn từ bên trong nội bộ và việc phát triển hệ thống giám sát các máy tính chứa thông tin quan trọng, hỗ trợ các chức năng nhiệm vụ quan trọng

Tổ chức có thể tăng cường an toàn bảo mật lên mức độ hai theo trình tự để luôn đi trước kẻ tấn công bên ngoài và chuẩn bị đối phó với các vụ tấn công từ nội bộ Không phải tất cả các máy tính đều cần bảo

vệ mức hai và việc đầu tiên theo mức hai là xác định các hệ thống cần được bảo vệ nhiều hơn

• Xác định các hệ thống cần phải được bảo vệ để duy trì nghiệp

vụ hoặc tiếp tục đảm bảo độ tin cậy

• Trang bị các phương tiện giám sát (ví dụ như hệ thống phát hiện truy nhập trái phép và đánh dấu tập tin có mã hóa - cryptographic file fingerprinting) để có thể trả đũa các cuộc tấn công trái phép ngay lập tức

• Điều khiển các thiết bị bảo mật vật lý, sửa các truy cập không bảo mật và các điểm yếu bảo mật vật lý khác

• Trang bị bộ cảm biến sử dụng cho phát hiện truy nhập trái phép

và trạm phân tích kết quả truy nhập trái phép

• Thực hiện chế độ xác thực truy cập đối với các tài khoản, tài nguyên quan trọng bằng cách sử dụng một hoặc nhiều phương pháp mã hóa, xác thực, hoặc đánh dấu

• Giám sát chặt chẽ truy cập và cấu hình các dịch vụ quay số đến

hệ thống

• Kiểm tra các modem để phát hiện cửa hậu (back door) đi vào hệ thống

• Tìm kiếm và hủy bỏ tất cả các chương trình dạng sniffer

• Hình thành công cụ rà soát kiểm tra lỗ hổng bảo mật theo mức

độ 2, tìm kiếm các lỗ hổng bảo mật đã được phát hiện nhưng ít gặp và phức tạp hơn so với mức độ 1

• Sửa các lỗ hổng mức hai phát hiện được

Các chuyên gia bảo mật, quản trị hệ thống, mạng có nhiều cách khác nhau trong khi tăng cường an toàn bảo mật bằng cách thực hiện các hành động thực thi an toàn bảo mật mức một và hai Tuy nhiên, công việc của họ có thể không hoàn chỉnh hoặc cách thực hiện hoàn toàn trái với các hoạt động bảo mật mức một và hai ở trên do một vài nhân tố liên quan đến con người sử dụng máy tính và tài nguyên mạng Các hoạt động mức ba được thiết kế để giúp giảm thiểu các sai phạm

về an toàn bảo mật Các hoạt động bảo mật mức ba khó hơn rất nhiều

so với mức một và hai Trên thực tế, các lĩnh vực ngân hàng và quân đội là đối tượng cần đến các hoạt động hỗ trợ bảo mật mức ba

• Sử dụng chức năng quản lý cấu hình đối với hệ thống mới trên mạng

• Sử dụng sơ đồ mạng và rà quét kiểm tra định kỳ để đảm bảo điều khiển được các vấn đề đối với hệ thống mới

• Sử dụng các chứng nhận theo khối (Building Permit) cho phép giảm thiểu khả năng các ứng dụng phát triển mới làm phát sinh các lỗ hổng bảo mật mới

• Sử dụng mã hóa, mạng riêng ảo (nếu có thể), để tránh việc tiết

lộ các thông tin nhạy cảm khi truyền trên mạng

• Thực hiện chế độ bảo mật nghiêm ngặt trên máy chủ Web

Thực hiện phân tích tập tin nhật ký ở một mức độ phức tạp hơn

Tập trung máy chủ về các trung tâm dịch vụ chính:

• Có người theo dõi và quản trị 24/24

• Có hệ thống cung cấp điện nguồn và mạng lưới ổn định

• Có hệ thống bảo vệ an toàn đảm bảo

Việc giảm các trung tâm cung cấp dịch vụ cũng sẽ giảm chi phí đầu tư cho các thiết bị và quy trình đảm bảo an toàn (số lượng firewall

và theo dõi giảm, số lượng người quản trị và giám sát cũng giảm…)