An toàn thông tin mạng Chơng 1: Lý thuyết sở mạng máy tính I giới thiệu mạng máy tính khái niệm Mạng máy tính tập hợp máy tính cá nhân đợc kết nối với đờng truyền vật lý theo kiến trúc đó, dùng để trao đổi thông tin, liệu máy tính khác thực dịch vụ mạng máy tính Ưu , nhợc mạng máy tính a a Ưu điểm - Trao đổi liệu máy tính với thực dịch vụ mạng - Quản lý tài nguyên chung mạng, cho phép ngời sử dụng truy cập, tra cứu, tìm kiếm thông tin tài nguyên - Mạng máy tính cho phép thực dịch vụ thông thờng nh th điện tử tra cứu tìm kiếm thông tin nh kiểm tra, ngân hàng Ngoài mạng máy tính kết nối với mạng khác cho phép thực vô số dịch vụ gia tăng không - Mạng máy tíng kết nối với mạng viễn thông khác nh mạng số liệu, mạng điện thoại, mạng vô tuyến, để trở thành mạng tổng thể đa dịch vụ tích hợp số ISDN b Nhợc điểm b - Số lợng ngời tham gia mạng máy tính trình độ cha thực đồng gây cố mà ngời sử dụng gây 48 An toàn thông tin mạng - cớc phí truy nhập mạng, giá thành thiết bị mạng cao - Mức độ an toàn liệu mạng cha đợc đảm bảo tuyệt đối - Cha có tơng thích cách đồng nối ghép mạng máy tính với Các thành phần mạng máy tính a Vẽ sơ đồ mạng Server (Máy chủ) đường truyền vật lý Modem PTSN pppPST PSTS HUB (Bộ tập trung) Print (Máy in) Work station (Trạm làm việc) Hình 1-1: Sơ đồ mạng b Chức thành phần c - Máy tính cá nhân : Là thiết bị điện tử dùng để xử lý thông tin tự động dới điều khiển chơng trình ngời tạo d - Máy chủ : Chịu trách nhiệm điều khiển hoạt động hệ thống, quản lý tài nguyên chung mạng 49 An toàn thông tin mạng - Đờng truyền vật lý : Là môi trờng truyền dẫn tín hệu máy tính với mạng đảm bảo độ suy hao cho phép Các tín hiệu truyền máy tính với tín hiệu điện từ, nằm giải tần từ tần số radio đến sóng cựcngắn đến tia hồng ngoại, tơng ứng với giải tần đờng truyền vật lý nh sau : + Radio : Thờng sử dụng cáp đồng trục có cáp béo có đờng kính lớn, mức độ tiêu hao tín hiệu nhỏ Còn cáp gầy có dờng kính nhỏ, mức tiêu hao tín hiệu lớn Do tuỳ theo phạm vi mạng ,khoảng cách máy tính mà sử dụng loại cáp cách phù hợp + Sóng cực ngắn : Có thể truyền nhờ đờng truyền vi ba số thông qua trạm chuyển tiếp trung gian + Tia hồng ngoại : Đây môi trờng lý tởng hệ thống viễn thông tia hồng ngoại tần số lớn tia hồng ngoại truyền đợc qua đờng cáp quang Cáp quang thờng đợc sử dụng làm đờng trục lớn cấu trúc mạng backbone - Kiến trúc mạng : Là tập hợp quy tắc, quy ớc mà thực thể tham gia mạng phải tuân theo thể cách đấu nối máy tính theo hình Cách đấu nối máy tính với theo hình gọi Topo mạng, tập hợp quy tắc, quy ớc gọi giao thức mạng + Topo mạng: Có loại * Kiểu kết nối điểm-điểm (point to point): Là thực thể đợc kết nối trực tiếp với trao đổi liệu nút mạng lu giữ thông tin cách tạm thời truyền trực tiếp nút hay máy tính bắt tay cách trực tiếp với 50 An toàn thông tin mạng Đấu nối hình Đấu nối hình vòng Đâu nối hình Hình 1-2: Topo đấu nối điểm - điểm * Kết nối theo kiếu quảng bá (broad casting) : Có kiểu + Dạng đồng trục (Bus) : Hình 1-3: Topo dạng Bus Các trạm làm việc mạng đợc phân chia chung đờng truyền Chúng đợc đấu nối vào đờng trục thông qua đầu nối T-connecter hai đầu trục đờng trục sử dụng thiết bị đầu cuối đặc biệt Terminal Nếu sử dụng đầu trục chiều liệu đợc gửi từ trạm theo chiều ,khi gặp thiết bị Terminal phản xạ tín hiệu theo 51 An toàn thông tin mạng chiều ngợc lại trạm nhận đợc liệu địa Nếu sử dụng đờng trục chiều liệu đợc quảng bá chiều đờng trục ,các trạm nhận đợc liệu nh địa + Dạng hình vòng (Ring) : Token-ring Repeater Hình 1- 4: Topo dạng Ring Tất trạm đợc đấu chung vòng tròn thông qua chuyển tiếp Repeater Dữ liệu đợc luân chuyển từ trạm vòng theo chiều nhất, trạm lại nhận đợc liệu nh xác định địa Để tránh tắc nghẽn ngời ta thờng xây dựng vòng phụ có chiều ngợc lại với vòng + Dạng quảng bá : Thực việc truyền thu phát vô tuyến trạm mặt đất với trạm vệ tinh 52 An toàn thông tin mạng Hình 1- 5: Topo dạng quảng bá Trạm vệ tinh titinhtinh Trạm mặt đất + Giao thức mạng: Ngoài chơng trình đờng truyền vật lý đảm bảo truyêng liệu dới dạng chuỗi bít thành phần mạng, phải có tiến trình, quy định nhằm trì cho hoạt động truyền thông đợc xác thông xuyên Các thành phần mạng muốn trao đổi thông tin với trớc tiên phải hiểu nhau, đàm phán với số thủ tục, nguyên tắc Các máy chủ cung cấp dịch vụ cho trạm làm việc, trớc tiên hai thực thể phải trao đổi liên lạc với Nh trình hoạt động truyền thông, thành phần mạng bắt buộc phải tuân theo tập quy tắc cách khởi động kết thúc tơng tác, điều khiển tốc độ truyền, kiểm soát phát lỗi, sửa lỗi, tập quy ớc cú pháp, ngữ nghĩa liệu đ ợc gọi tập giao thức mạng Giao thức mạng sản phẩm tổ chức quốc tế Yêu cầu trao đổi thông tin mạng máy tính ngày cao tiến trình hoạt động truyền thông phức tạp, nghàng công nghiệp mạng máy tính giải 53 An toàn thông tin mạng phần cho tính trình liên kết lại với nhau, có khả sửa đổi, mở rộng bổ xung yêu cầu truyền thông Trong mạng sử dụng nhiều loại thiét bị mhiều hãng khác với nhiều giao thức khác nh giao thức OSI, giao thức truy nhập mạng CSMA/CD, Token Bus, Token Ring, TCP/IP Có số giao thuéc phổ biến đợc sử dụng + System Network architecture (SNA): Kiến trúc mạng SNA đợc IBM thiết kế, đặc tả kiến trúc mạng xử lý liệu phân tán Giao thức định nghĩa quy tắc, tiến trình cho tơng tác thành phần mạng máy tính, terminal phần mềm + Internetwork Packet exchange/ Sequenced Packet exchange (IPX/SPX) Giao thức IPX/SPX đợc Novell thiết kế sử dụng cho sản phẩm mạng hãng, SPX hoạt động tầng Transport OSI, có chức đảm bảo độ tin cậy liên kết truyền thông từ mút đến mút Nó đảm bảo chuyển giao gói tin trình tự, đích nhng vai trò định tuyến IPX tuân theo chuẩn OSI, hoạt động tầng mạng, chụi trách nhiệm thiêt lập địa cho thiết bị mạng Nó giao thức định tuyến, kết hợp với giao thức Routing information Protocol(RIP) Netware Link Services Protocol (NLSP) để trao đổi thông tin định tuyến với định tuyến lân cận Giao thức X25 (Packet Protocol): Là chuẩn mạng chuyển mạch gói đợc phát triển CCITT TCP/ IP (Transmission Control Protocol): Là họ giao thức làm việc với để cung cấp phơng tiện truyền thông liên mạng - Các thiết bị mạng 54 An toàn thông tin mạng + Card mạng: Là thiết bị để nối ghép máy tính cá nhân với đờng truyền vật lý đảm bảo điều kiện phối hợp trở kháng để công suất đạt lớn tránh tiêu hao tín hiệu mạch ghép Nó có nhiệm vụ biến đổi tín hiệu máy tính phù hợp với loại đờng truyền vật lý khác sau chuyể tiếp tín hiệu chúng + Bộ tập chung (HUB): Là thiết bị dùng để kết nối mạng cục theo topo hình trạm có nhu cầu trao đổi liệu Hub bắt tay trực tiếp trạm tạo mối liên kết điểm điểm chúng, sau trao đổi liệu xong huỷ bỏ mối liên kết + Bộ chuyển tiếp (Repeater): Cho phép kết nối đoạn cáp mạng lại với với mục đích mở rộng thêm số máy tính cá nhân cho mạng cố định Nó có nhiệm vụ chuyển tiếp khuyến đại tín hiệu đoạn cáp mạng nhng tính chọn lọc tín hiệu + Bộ cầu nối(Bridge): Có thể kết nối mạng Lan với có chức chọn lọc tín hiệu + Bộ chọn đờng (Router): Cho phép nối nhiều mạng máy tính lại với đa đợc giải pháp chọn đờng tối u, Router chức chọn lọc tín hiệu - Hệ điều hành mạng: Ngoài việc kết nối máy tính lại với phải cài đặt hệ điều hành chung cho toàn mạng gọi hệ điều hành mạng Hệ điều hành có chức sau: + Quản lý toàn tài nguyên mạng (gồm phần cứng phần mền) chia sẻ tài nguyên cho tất máy tính mạng + Thực tính toán, xử lý quản lý liệu mạng cách tập trung thống 55 An toàn thông tin mạng + Thực việc kiểm soát lỗi, kiểm soát luồng liệu tất thực thể tham gia truyền thông mạng + Hệ điều hành mạng phải chuẩn riêng tuân theo tiêu chuẩn mô hình tham chiếu OSI + Là môi trờng chạy chơng trình ứng dụng, thực ngôn ngữ lập trình mạng, thực dịch vụ tối thiểu nh tra cứu, tìm kiếm thông tin mạng, dịch vụ truyền tập tin, dịch vụ nhóm tin, dịch vụ đăng nhập từ xa, dịch vụ th tín điện tử + Cho phép kết nối với mạng máy tính khác, mạng viễn thông khác + Cho phép địa tài nguyên thành vùng làm việc dự trữ chế bảo toàn mạng liệu mạng + Phải có hệ thông sổ sách thống kê, ghi nhật ký hàng ngày để kiểm tra hoạt động mạng tạo điều kiện cho việc quản lý mạng tốt phân loại mạng máy tính Có nhiều dạng phân loại mạng khác tuỳ thuộc vào yếu tố đợc chọn để làm tiêu phân loại chẳng hạn "khoảng cách địa lý ","kỹ thuật chuyển mạch " hay "kiến trúc mạng " : a Phân loại khoảng cách địa lý : làm yếu tố để phân loại ta có : - lan (local area network) : đợc xây dựng phạm vi tơng đối nhỏ nh nội quan,1 trờng học, khoảng cách lớn máy tính vài km trở lại Lan đợc sử dụng cấu hình star, bus, ring mạng thờng đợc xây dựng có đờng tiếp nối với mạng khác 56 An toàn thông tin mạng - maN (metropolitan area network) : đợc xây dựng phạm vi lớn nh trung tâm thành phố, tỉnh nghành .Mạng đợc xây dựng cách kết nối mạng cục lại với - wan (wide area network) : Mạng thờng xây dựng phạm vi 1quốc gia, đợc xây dựng nh mạng xơng sống dùng để kết nối mạng đô thị lại cửa ngõ quốc tế để nối mạng toàn cầu - gal (global area network) : Mạng kết nối trung tâm khu vực qua quốc gia thuộc khu vực truy cập thông tin thông qua trung tâm khu vực để hòa mạng toàn cầu b Phân loại kỹ thuật chuyển mạch : làm yếu tố để phân loại ta có : - Mạng chuyển mạch kênh (circuit- switched network) : S2 Data S4 S1 A Data S6 S3 B S5 Hình 1- 6: Sơ đồ chuyển mạch kênh có thực thể cần trao đổi thông tin với chúng thiết lập kênh truyền đợc trì bên ngắt liên lạc u điểm : đảm bảo tốc độ truyền liệu cao ,đảm bảo độ tin cậy an toàn liệu trình truyền 57 Các giải pháp an toàn thông tin mạng Để đặt quyền truy xuất đặc biệt - Có thể đặt quyền truy xuất đặc biệt th mục, tất tập tin th mục, tập tin đợc chọn - Để đặt quyền th mục, chọn chúng cửa sổ th mục Đặt quyền tất tệp tin nhiều th mục, chọn th mục tập tin cửa sổ th mục - Đặt quyền tất tập tin đợc chọn, chọn tập tin bảng nội dung cửa sổ th mục Chọn Permissions từ menu Security nút Permissions công cụ Trong hộp thoại Permissions chọn nhóm ngời dùng mà ngời ta muốn gán quyền truy xuất đặc biệt Nếu nhóm ngời dùng ra, cách th mục tập tin ta chọn có tác quyền khác nhau, thêm vào nhóm ngời dùng trớc đặt tác quyền truy xuất đặc biệt Mở hộp thoại Special Access thích hợp - Để đặt tác quyền th mục, chọn Special Directory Access từ hộp Type Of Access quyền nhấn đúp vào tên nhóm ngời dùng 18 Các giải pháp an toàn thông tin mạng - Để đặt quyền tất tập tin tên th mục đợc chọn, chọn Special File Access từ hộp Type Of Access - Để đặt quyền tất tập tin tên th mục đợc chọn, chọn Special File Access từ hộp Type Of Access nhấn đúp vào tên nhóm ngời sử dụng - Hộp thoại Special Access vùng truy xuất đợc gán dựa cài đặt quyền hạn tiêu chuẩn đặc biệt hành Hình 3-13: Hộp thoại Special Directory Access Để gán quyền truy xuất đặc biệt, chọn hộp kiểm tra có truy xuất ta muốn gán Để gán kiểm soát đầy đủ, chọn Full Control (All) Nếu ta gán vùng cho tập tin th mục, chọn Access Not Specific Điều loại bỏ vùng khỏi tập tin th mục đợc chọn ngăn chặn tập tin không nhận quyền từ th mục chúng Nhấn OK để xác lập thay đổi f Đặt quyền cho th mục chia sẻ Có thể xác lập quyền cho th mục chia sẻ để xem th mục có nằm ổ đĩa dợc định dạng Có thể dùng hộp thoại Access Through Share 19 Các giải pháp an toàn thông tin mạng Permission để thay đổi quyền cho nhóm ngời sử dụng khỏi danh sách quyền Để làm việc với quyền th mục chia sẻ, phải đăng ký nh thành viên nhóm Administrator Power User Để bảo mật th mục có chia sẻ cách có hiệu cần ý: - Các quyền đợc đặt qua th mục chia sẻ có hiệu lực nh th mục đợc sử dụng toàn mạng - Các quyền đợc đặt qua th mục chia sẻ áp dụng cho tất tập tin th mục th mục chia sẻ - Các quyền đợc đặt qua th mục chia sẻ ổ đĩa NTFS hoạt động thêm vào quyền NTFS đợc đặt th mục Các quyền đợc đặt qua th mục chia sẻ định truy nhập tối đa đợc phép Ví dụ: Nếu ngời dùng có quyền Read th mục đợc chia sẻ nhng quyền List th mục đó, truy nhập ngời dùng bị giới hạn vùng List Bảng sau quyền cho tập tin th mục đợc gán cho th mục chia sẻ hoạt động khả dụng ngời dùng cho quyền hạn 20 Các giải pháp an toàn thông tin mạng Để xem thay đổi quyền th mục chia sẻ - Hãy chọn th mục chia sẻ mà quyền ta muốn thay đổi bảng hình nội dung cửa sổ th mục - Từ Menu Edit chọn Save as chọn nút Share Directory công cụ - Trong hộp thoại Share Directory chọn nút Permision - Trong hộp thoại Access Through Share Permision, chọn tên nhóm ngời dùng chọn từ hộp Type Of Access - Nhấn nút OK để xác lập thay đổi Để loại bỏ quyền th mục chia sẻ nhóm ngời dùng Trong hộp thoại Access Through Share Permision, chọn tên nhóm ngời dùng Nhấn nút Remove để loại bỏ quyền g Giám sát tập tin th mục Giám sát tập tin th mục cho phép ta theo dõi việc sử dụng chúng Đối với tập tin th mục đặc biệt, ta định nhóm ngời dùng hạt động để giám sát Ta giám sát hoạt động thành công thất bại Windows NT chứa thông tin đợc lấy từ giám sát tập tin Có thể xem thông tin cách Event Viewer Có thể dùng hộp thoại File Auditing Directory Auditing để thay đổi cài đặt giám sát cho nhóm ngời dùng khỏi danh sách giám sát 21 Các giải pháp an toàn thông tin mạng Để giám sát tập tin th mục, ta phải đăng ký nhập nh thành viên nhóm Administrator.Để giám sát hoạt động sau th mục, chọn kiện đợc ra: 22 Các giải pháp an toàn thông tin mạng Để xem thay đổi giám sát tập tin th mục Trong cửa sổ File Manager chọn tệp tin th mục Từ menu Security, chọn Auditing Hình 3-14: Hộp thoại Directory Auditing Nếu cài đặt giám sát th mục, hai hộp kiểm tra cho phép ta kiểm soát cách giám sát thay đổi áp dụng cho tập tin th mục tồn Theo mặc nhiên, hộp kiểm tra Replace Auditing On Existing Flies đợc chọn, thay đổi bạn thực giám sát đợc áp dụng cho th mục tập tin Hãy chọn hai hộp kiểm tra Replace Auditing On Existing Flies Auditing On Subdirectories để áp dụng thay đổi giám sát cho th mục tập tin cho th mục tập tin tồn Để áp dụng thay đổi giám sát vào th mục (không vào tập tin tồn th mục th mục tập tin tồn chúng), xoá hộp kiểm tra Replace Auditing On Existing Flies Auditing On Subdirectories Để áp dụng 23 Các giải pháp an toàn thông tin mạng thay đổi giám sát vào th mục th mục (không vào tập tin tồn th mục th mục con), chọn hộp kiểm tra Auditing On Subdirectories xoá hộp kiểm tra Replace Auditing On Existing Flies Đặt giám sát cho nhóm ngời dùng danh sách Chọn tên nhóm ngời dùng chọn kiện để giám sát cho nhóm ngời dùng Nhấn OK để xác lập thay đổi Để loại bỏ giám sát tập tin th mục nhóm ngời dùng Dùng hộp thoại Auditing, chọng ten nhóm ngời dùng danh sách Chọn Remove h Thêm vào ngời dùng nhóm vào danh sách quyềnvà dang sách giám sát Hộp thoại Add User and Groups hiển thị nhóm máy tính khu hộp List Names From Cấc nhóm cục đợc máy tính khu vực mà tên chúng thay bơi ký tự dấu (*) Có thể lựa chọn khu vực khác cách chọn hộp List Names From Các khu vực có quan hệ thực Có thể dùng nhiệm ý hộp thoại Add User and Groups để hiển thị ngời dùng nhóm, hoậc khu vực mà nhóm ngời dùng phụ thuộc vào - Để hiển thị tên ngời máy tính khu vực đợc chọn, chọn nút Show User 24 Các giải pháp an toàn thông tin mạng Hình 3-15: Hộp thoại Add user and Group - Để xem nội dung nhóm chọn nhóm chọn nút Member Các ngời dùng đợc liệt kê hộp thoại Trong mạng Window NT, nhóm phổ thông thành viên nhóm cục xuất danh sách Để xem ngời dùng phân cách tên dấu chéo ngợc (\) Ví dụ: Shipping \ Eesta Ta gõ tên mà khong cần đợi Window NT liệt kê nhóm hộp Names Nếu thêm ngời dùng nhóm vào danh sách quyền, chọn quyền cho nhóm ngời dùng hộp Names cách chọn hộp Type Of Access Chọn OK để xác lập thay đổi i Đoạt lấy sở hữu tập tin th mục Khi ta tạo tập tin th mục, ta trở thành sở hữu chủ cách gán quyền sỏ hữu chủ kiểm soát tập tin th mục đợc dùng Sở hữu chủ gán quyền cho ngời dùng khác để đoạt lấy sở hữu tập tin th mục Ngoài ta phải đăng ký nhập nh thành viên nhóm Administrators để đoạt lấy sở hữu, ngời quản lý đoạt lấy sở hữu, quản lý chuyển giao quản lý cho ngời khác Điều đảm bảo tính bảo mật Ví dụ: 25 Các giải pháp an toàn thông tin mạng Chỉ có ngời quản lý đoạt lấy sở hữu thay đổi quyền đoạt lấy truy xuất đến tập tin, má ta đặt quyền No Access Bằng cách kiểm tra sở hữu tập tin, ta thấy thay đổi quyền sở hữu biết xâm phạm quyền ta đặt tên Để chắn tập tin ta đợc bảo toàn, nên kiểm tra sở hữu chúng cách thờng xuyên Để đoạt lấy sở hữu tập tin th mục Chọn tập tin th mục cửa sổ Files Manager Có thể chọn nhiều tập tin th mục lợt Từ menu Security, chọn Owner Chọn nút Take Ownership Nếu chọn nhiều th mục, File Manager hỏi có muốn đoạt lấy sở hữu tất tập tin th mục th mục đợc chọn hay không Chọn Yes ta muốn làm thể J Sao chép (Copy) di chuyển (Move) Tập tin hệ thống NTFS tạo mức chép cho phép Copy hay di chuyển (Move) - Sao chép : Tập tin, th mục gốc vấn lại, thêm nơi Trong trờng hợp ngời chép chủ sở hữu có quyền - Di chuyển: Đa hẳn tập tin, th mục gốc sang nơi Trong trờng hợp mức cho giữ nguyên nh cũ III: an toàn Window NT Server đa nhiều mức chiến lợc tránh sai sót sở phần mềm RAID nh: Chia đĩa, tạo đĩa ảnh, chia đĩa với party, loại cung từ hỏng, dịch vụ UPS, tiện ích lu trữ phòng băng tích hợp 26 Các giải pháp an toàn thông tin mạng Hệ thống RAID với chế an toàn: * Hệ thống RAID- Redundant Array of Inexpensive Disk- tích luỹ đĩa, làm việc cách gộp số ổ đĩa với xử lý chúng nh ổ đồng Với hệ thống RAID liệu không bị hỏng, liệu ổ đĩa hỏng đợc lập lại từ ổ đĩa khác Trong hệ thống RAID thân ổ đĩa tráo đổi nóng (Hot swappable), có nghĩa ta lấy ổ đĩa hệ thống RAID tiếp tục hoạt động Khi đĩa hỏng đợc thay thế, đĩa trở thành trực tuyến mà cản trở * Những chiến lợc tránh lỗi đợc chuẩn hoá đa vào mức RAID từ đến Mỗi mức độ tổ hợp hiệu suất, độ tin cậy chi phí khác Windows NT Server hỗ trợ mức 0,1 Các mức 2,3 thành phần tiến triển đến mức * Các cấp độ RAID (RAID levels): Cấp độ Cấp độ Cấp độ Cấp độ Cấp độ Cấp độ Phân đĩa (Disk striping) Tạo đĩa ảnh (Disk mirroring) Phân đĩa với mã sửa lỗi ECC (Disk striping with error-correction code) Phân đĩa với ECC đợc lu nh kiểm tra chẵn lẻ (Disk striping with ECC stored as parity) Phân đĩa vói khối tin lớn parity đợc đặt ổ (Disk striping large block party stored on drive) Phân đĩa với kiểm tra chẵn lẻ đợc phân bố qua nhiều đĩa (Disk striping-parity distributed across multiple drive) - Mức 0: DISK DISK DISK DISK DISK 27 Các giải pháp an toàn thông tin mạng Hình 3-16:Hệ thống RAID với cấp độ + Phơng pháp chia liệu hành khối 64K trải đĩa theo thứ tự cố định RAID mức trải liệu nhiều phân hoạch với tỷ lệ Tuy nhiên phơng pháp dự phòng nên thực không gọi việc tránh sai sót Nếu phân hoạch bị hỏng liệu bị + Phơng pháp yêu cầu tối thiểu hai đĩa cứng nhng trợ giúp không hạn chế số lợng đĩa Tuy nhiên điều khiển đĩa cải thiện hiệu suất làm việc - Mức 1: Tạo đĩa ảnh Phơng pháp làm đúp phân hoạch Mỗi phân hoạch bao gồm phần khởi động hệ thống đợc tạo ảnh Đây chiến lợc đơn giản để tạo đĩa Tạo đĩa đúp nhằm để bảo vệ cố điều khiển lẫn thiết bị Tuy nhiên phơng pháp đạt 50% hiệu suất đĩa Cơ chế phục hồi tập ảnh mức 1: Nếu phần hệ thống tệp ảnh bị hỏng khởi động đợc Tuy nhiên, liệu bị đợc phục hồi Bằng cách thay đĩa hỏng, khởi động hệ thống đĩa khởi động Window NT Đĩa tải Window NT từ phân hoạch ảnh, tạo lại đĩa ảnh mới, khởi động lại hệ thống không dùng đĩa mềm - Mức 5: Chia đĩa với parity DISK DISK DISK DISK DISK 28 Các giải pháp an toàn thông tin mạng Hình 3-17: Hệ thống RAID với cấp độ + Đây chiến lợc chung cho thiết kế chống sai sót Nó khác mức an toàn liệu chỗ tạo parity thông tin đĩa Nếu đĩa bị hỏng ta đủ thông tin nằm đĩa khác cho việc phục hồi Phơng pháp cho hiệu suất cao thao tác đọc Tuy nhiên đĩa bị hỏng, hiệu suất đọc bị giảm cần phục hồi liệu thông tin kép Cũng nh vậy, thao tác ghi yêu cầu nhớ gấp lần + Phơng pháp trợ giúp từ đến 23 đĩa Mọi phân hoạch ngoại trừ phân hoạch khởi động hệ thống phận khối liệu parity * Loại cung bị hỏng: - Windows NT với dịch vụ chống sai sót đa thêm khả phục hồi hệ thống file thao tác Hệ thống file kiểm tra cung đĩa đợc tạo dạng không dùng cung có lỗi - Khi vào/ra đĩa, cung bị hỏng điều khiển tránh sai sót chuyển liệu sang rãnh tốt xoá rãnh hỏng Nếu thực thành công máy không cảnh báo việc * Cơ chế hoạt động: - Khi có cung bị hỏng hệ thống có chống sai sót chứa liệu dự phòng điều khiển chống sai sót Windows NT cố gắng loại rãnh không cho sử dụng Điều thực đợc đĩa SCSI (Small Computer System Interface) nhng thiết bị IBMd, PC Atd ESID không làm đợc điều 29 Các giải pháp an toàn thông tin mạng - Ngoài ra, điều khiển tránh sai sót Windows NT yêu cầu điều khiển thiết bị nhận liệu từ rãnh liệu đợc ghi vào Ngời quản trị xem xét nhận ký kiện Event Viewer thấy rãnh hỏng đợc điều khiển xử lý liệu Nếu nh phần liệu dự phòng bị * Cấu hình cho việc tránh sai sót: - Trong Windows NT, chức Disk Administrator cung cấp khả tạo cấu hình khác cho ổ đĩa, bao gồm: + Các tập đĩa + Các khối thông tin chi đĩa + Các khối thông tin parity chia đĩa + Đĩa ảnh - Giao diện đồ hoạ Disk Administrator làm cho ta cấu hình quản lý dễ dàng việc phân hoạch đĩa tuỳ chọn an toàn liệu * Phục hồi liệu: - Hỏng phân hoạch: Khi thành viên tập đĩa ảnh hay tập để chia liệu bị hỏng (mất điện, xớc đĩa), điều khiển Fault Tolerance hớng thông tin vào/ra đến thành viên tốt khác Điều đảm bảo cho việc hoạt động liên tục khởi động hệ thống Nếu sai sót xảy với phần khởi động đĩa vật lý chế chống sai sót yêu câù khởi động lại hệ thống - Xử lý tập ảnh: Khi thành viên tập ảnh bị hỏng ta cần phải phá quan hệ tập ảnh để xử lý phần lại Thành viên tập ảnh nhận đợc ký tự điều khiển trớc đợc gán cho toàn tập ảnh Sau ta dùng chỗ trống đĩa khác để tạo quan hệ tập ảnh Khi khởi động lại máy tính, liệu phân hoạch tốt đợc vào thành viên tập ảnh - Tạo khối thông tin parity: Khi thành viên tập ảnh bị hỏng, ta tiếp tục sử dụng máy tính nh truy cập liệu Khi khối thông tin bị parity, ta 30 Các giải pháp an toàn thông tin mạng tạo lại từ thành viên lại tập đĩa Chọn nơi có ổ đĩa trống chọn lệnh Regenerate từ chọn Fault Tolerance Khi ta khởi động lại máy điều khiển tránh lỗi đọc thông tin đĩa khác tạo lại khối bị để ghi vào thành viên 2.Thiết lập chiến lợc lu trữ liệu: * Để đảm bảo an toàn liệu ngời ta thờng dùng biện pháp lu liệu (Data Backup), tức tạo liệu lu tữ thiết bị khác ổ cứng sử dụng Có nhiều loại thiết bị khác đợc sử dụng để lu liệu, nhng thiết bị phổ biến sử dụng hệ thống lu liệu băng từ (Tape Backup System) * Với Windows NT lựa chọn kiểu Backup sau: - Bình thờng (Normal): Lu trữ đánh dấu tệp đợc chọn xem chúng có thay đổi từ lần lu trữ cuối không - Sao (Copy): Lu trữ tệp đợc chọn, không đánh dấu - Cộng thêm (Incremental): Lu trữ đánh dấu tệp đợc chọn chúng có thay đổi từ lần lu trữ cuối - Sao hàng ngày (Daily copy): Lu trữ tệp ngày hôm có sửa đổi, không đánh dấu trình lu - Khác (Differential): Chỉ lu trữ tệp đợc chọn chúng có thay đổi, không đánh dấu * Lu trữ Windows NT: Windows NT Backup cung cấp giao diện đồ hoạ để lu trữ phục hồi đĩa cứng cục hay xa với hệ thống FAT, HPFS, NTFS: - Cho phép lu trữ từ hệ thống tệp mà phục hồi hệ thống tệp khác - Tiện ích cho phép lu trữ băng từ - Các tuỳ chọn: + Append Lu nối tiếp + Replace Lu đè + Restrict Access To Owner Or Administrator Chế độ bảo vệ + Veryfy After Backup Xác định xem lu trữ xác cha + Backup Registry - Đa Windows NT Registry vào băng lu trữ Vivus môi trờng Windows NT 31 Các giải pháp an toàn thông tin mạng a Các loại Virus môi trờng Windows NT - Các virus Master Boot Record (MBR): + Trong môi trờng Windows NT, truy cập đía cấp thấp đợc điều quản trình điều khiển cụ thể theo NT, trình điều khiển đĩa ROM BIOS máy tính Đây điều kiện tốt trình điều khiển NT cung cấp tuyến phòng thủ hiệu chống lại việc khả lây nhiễm virus Tuy nhiên hệ thống khởi động, trình điều khiển BIOS Đợc dùng thoqì gian ngắn Một virus diện MBR chuyển sang thờng trú nhớ ứng tác hoạt động nh thay đổi liệu tiến trình khởi động Các virus MBR lây qua đờng khởi độngtừ đĩa mềm bị lây nhiễm chéo từ phân hoạch DOS Windows 9x + Thông thờng, Virus chuyển quyền điều khiển cho MBR hệ thống mà đến lợt MBR chuyển điều khiển cho khoản tin khởi động (Boot Record) Windows NT Phần lại hệ điều hành Windows NT nạp kể trình điều khiển đĩa theo chế độ bảo vệ hệ thống đợc chuyển sang chế độ bảo vệ Sau NT khởi động, trình điều khiển đĩa theo chế độ bảo vệ bảo vệ hệ thống, từ trình điều khiển đĩa BIOS virus móc vào chúng không đợc dùng + Tuy nhiên, tất thành phần hệ thống đọc từ đĩa trớc nạp trình điều khiển theo chế độ bảo vệ hệ thống đợc chuyển sang chế độ bảo vệ 32 [...]... hình thức chỉ nhằm mục đích lấy thông tin mà không phá hoại thông tin nên rất khó phát hiện - Vi phạm chủ động: là nhằm mục đích phá hoại thông tin ( nh xoá bỏ thông tin, sai lệch thông tin .) vi phạm này dễ phát hiện Với các hình thức trên nó có thể xảy ra bất cứ thời điểm nào thủ đoạn tinh vi mà với khối lợng thông tin rất lớn và quan trọng nên việc bảo toàn thông tin trên mạng là hết sức phức tạp... xác định đợc lu lợng luân chuyển thông tin để định tuyến và kiểm soát luồng dữ liệu, xác định đợc nhu cầu sử dụng mạng 5 An toàn thông tin trên mạng Do mạng máy tính là môi trờng phân tán về mạt địa lý lên sự mất mát tài nguyên trên mạng là khó tránh khỏi vì vậy phải đa ra cơ chế an toàn thông tin trên mạng Vi phạm tài nguyên mạng đợc chia làm 2 loại 75 An toàn thông tin trên mạng - Vi phạm thụ động:... lọc bỏ các gói tin mà ta không muốn gửi đi và nhập vàovì những lý do nào đó 77 An toàn thông tin trên mạng Chơng 2: Thiết kế mạng cục bộ cho công ty nhật quang I Tìm hiểu về công ty 1 Nhiệm vụ của công ty Công ty Nhật Quang là 1 công ty t nhân, nó là 1 chi nhánh của công ty CMC Chuyên cung cấp các thiết bị tin học, viễn thông, thông tin liên lạc và thiết bị văn phòng 78 An toàn thông tin trên mạng Cung... của các thông báo, nếu kích thớc của thông báo mà lớn quá thì thời gian lu giữ tạm thời mỗi nút mạng sẽ lâu hơn và dẫn đến tốc độ truyền dữ liệu chậm xẩy ra hiện tợng tắc nghẽn thông tin - Chuyển mạch gói (Packet switched network): 58 An toàn thông tin trên mạng Mỗi thông báo đợc chia thành nhiều phần nhỏ hơn gọi là các gói tin có khuôn dạng quy định trớc.Trong mỗi gói tin cũng chứa các thông tin điều... đề an toàn trên mạng sẽ đợc cải thiện hơn 64 An toàn thông tin trên mạng - Khả năng nâng cấp và hỗ trợ ngời dùng: Do sự phát triển của mạng LAN quá nhanh chóng do vậy sẽ tồn tại những mạng LAN lạc hậu Vì vậy các thiết bị của mạng LAN phải có khả năng làm việc với các thiết bị mới về phần cứng còn về phần mềm chạy trên mạng LAN ngày càng đợc nâng cao và cải tiến 2 Đờng truyền vật lý sử dụng trong Lan... Phòng kinh doanh: Thực hiện việc cung cấp, trao đổi buôn bán hàng hoá với các đơn vị khác thông qua nhiều hình thức nh trực tiếp bán hàng, thông qua điện thoại và thông qua cả Internet 81 An toàn thông tin trên mạng Sơ đồ mặt bằng Tầng 4 P GĐ ggGG Đ P.PGĐ P.KD ggghh KKD Tầng 3 P Dự án P Marketing P kế toán P Bảo hành P Bảo trì Tầng 2 Trưởng PKT Tầng 1 P Họp P GDKH P Bảo vệ 82 An toàn thông tin trên mạng... theo chiều dọc của khối tin 3 Đánh giá độ tin cậy 74 An toàn thông tin trên mạng Độ tin cậy mạng là xắc suất mà một mạng hay nhiều thành phần của mạng hoạt động đạt yêu cầu trong một khoảng thời gian cho trớc với những điều kiện làm việc nhất định Để nâng cao độ tin cậy của mạng cần có những biện pháp sau: - Thực hiện ghép nối mạng sao cho tăng độ tin cậy để phục vụ trao đổi thông tin thờng xuyên - Thực... nhận gửi dữ liệu 2.Tổ chức bộ máy hành chính 79 An toàn thông tin trên mạng Giám Đốc Phó Giám Đốc Phòng Kỹ Thuật Phòng Dự án Phòng Marketing Phòng Kế Toán Phòng Kinh Doanh Phòng Tổng Hợp Phòng giao dịch khách hàng Sơ đồ tổ chức hành chính công ty 3 Chức năng, nhiệm vụ các bộ phận 80 An toàn thông tin trên mạng - Ban giám đốc: Chỉ đạo hoạt động của công ty thông qua kế hoạch tổng thể hàng năm và mục tiêu... mạng 4 Địa chỉ hoá trên mạng Để trao đổi thông tin trên mạng mỗi thực thể truyền thông tin đều phải gán một địa chỉ duy nhất theo một hệ thống địa chỉ thống nhất trên toàn mạng với mục đích cung cấp cho mỗi ngời sử dụng trên mạng có một mã số duy nhất và phải đảm bảo đợc mã số đó là địa chỉ mà đợc hệ thống địa chỉ của mạng chấp nhận Thông qua đó mọi ngời có thể trao đổi thông tin trên mạng và mạng cũng.. .An toàn thông tin trên mạng nhợc điểm : phải tiêu tốn 1 thời gian lớn để thiết lập kênh truyền giữa 2 thực thể nên hiệu suất đờng truyền không cao - Mạng chuyển mạch thông báo (Message switched network) : S2 Thông báo S4 S1 A Thông báo S6 S3 B S5 Hình 1- 7: Sơ đồ chuyển mạch thông báo Thông báo là 1 dạng dữ liệu đẫ đợc ngời sử dụng địng dạng theo 1khuôn mẫu đã đợc quy định trứơc Mỗi thông báo