Đang tải... (xem toàn văn)
PHÂN TÍCH THIẾT KẾ GIẢI PHÁP ĐẢM BẢO AN NINH THÔNG TIN HỆ THỐNG
ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA -------------------------- DỰ ÁN DỰ ÁN QUY HOẠCH CƠ SỞ DỮ LIỆU VÀ HẠ TẦNG CÔNG NGHỆ THÔNG TIN QUY HOẠCH CƠ SỞ DỮ LIỆU VÀ HẠ TẦNG CÔNG NGHỆ THÔNG TIN TỈNH KHÁNH HÒA TỈNH KHÁNH HÒA TÀI LIỆU PHÂN TÍCH THIẾT KẾ GIẢI PHÁP ĐẢM BẢO AN NINH THÔNG TIN HỆ THỐNG (Mã số: KHCN-RD - 2004 – 018) Đơn vị thực hiện : Công ty Phần mềm và Truyền thông VASC Tổng công ty Bưu chính Viễn thông Việt nam Địa chỉ : 99 Triệu Việt Vương – Hà Nội Điện thoại : 84.4.9782235 HÀ NỘI – 2005 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống THUẬT NGỮ THUẬT NGỮ Thuật ngữ Diễn giải Hệ thống thông tin Máy tính, thiết bị mạng, hệ thống mạng, các ứng dụng triển khai trên mạng. Máy chủ Trong phạm vi của tài liệu , máy chủ ở đây được xem là các máy chủ thuộc mạng của Khánh Hòa. Máy trạm Các máy tính kết nối với mạng nội bộ của Trung tâm xử lý dữ liệu (kết nối trực tiếp hoặc kết nối từ xa). Người sử dụng Là cán bộ, công nhân, viên chức làm việc tại các đơn vị tham gia hệ thống, khách hàng, đối tác có sử dụng hoặc tham gia vào hệ thống máy tính, hệ thống mạng nội bộ, dịch vụ của Khánh Hòa. Quản trị hệ thống Là người chịu trách nhiệm duy trì hoạt động liên tục của hệ thống máy tính, hệ thống mạng nội bộ, dịch vụ của Khánh Hòa; là người đối phó, ngăn ngừa các hoạt động có tính chất phá hoại, làm gián đoạn hoạt động của các máy tính trong công việc quản lý nhà nước của Khánh Hòa. Người quản trị hệ thống cũng có thể xem như là một người sử dụng nếu đứng ở góc độ khai thác thông tin trên hệ thống. Bộ phận quản trị hệ thống Nhóm người quản trị hệ thống thực hiện các công việc của người quản trị. Mỗi bộ phận, có thể có bộ phận quản trị riêng chịu trách nhiệm cho hệ thống mạng nội bộ của mình. Bộ phận quản trị hệ thống của Trung tâm Tích hợp dữ liệu có trách nhiệm quản trị hệ thống cho hệ thống mạng dịch vụ của Khánh Hòa. Tên truy nhập Tên hoặc định danh mà người sử dụng để đăng nhập vào mạng hoặc các ứng dụng. Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 1 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống Mật khẩu truy nhập Là mã số bí mật của người sử dụng được cung cấp kèm với tên truy nhập. Mã số này có thể thay đổi bởi chính người sử dụng hoặc người quản trị. Sao lưu dữ liệu Biện pháp lưu trữ thêm một hoặc nhiều bản sao của dữ liệu trên hệ thống để có thể sử dụng lại trong các trường hợp cần thiết hoặc có sự cố. Tài nguyên mạng File dữ liệu, thư mục, ổ đĩa, máy in được cài đặt, thiết lập tại máy chủ hoặc 1 máy tính nào đó trên mạng. Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 2 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống MỤC LỤC MỤC LỤC MỞ ĐẦU .4 CHƯƠNG 1 6 SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO AN TOÀN THÔNG TIN TRÊN THẾ GIỚI VÀ VIỆT NAM .6 CHƯƠNG 2 .12 NGHIÊN CỨU, PHÂN TÍCH CÁC ĐẶC THÙ AN TOÀN THÔNG TIN12 CHƯƠNG 3 .21 CÁC BƯỚC THỰC THI AN TOÀN BẢO MẬT CHO HỆ THỐNG 21 CHƯƠNG 4 .27 GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN CHO HỆ THỐNG .27 CHƯƠNG 5 .41 XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN .41 CHƯƠNG 6 .53 PHỤ LỤC 53 Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 3 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống MỞ ĐẦU MỞ ĐẦU Song song với việc “ Quy hoạch hệ thống Cơ sở dữ liệu và hạ tầng kỹ thuật Công nghệ thông tin tỉnh Khánh Hòa” phục vụ công tác quản lý Nhà nước, xây dựng nền tảng về công nghệ thông tin, cũng như phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáo dục, xã hội, . thì việc bảo về những thành quả đó là một điều không thể thiếu. An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) . Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng. Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 4 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống Tài liệu này được xây dựng nhằm nghiên cứu, phân tích các đặc thù an toàn thông tin trên cơ sở hạ tầng kỹ thuật CNTT đã quy hoạch. Từ đó xác định rõ các yêu cầu cụ thể về an ninh thông tin cần bảo đảm cho hệ thống. Nghiên cứu, phân tích các lỗ hổng bảo mật, khả năng "nghe trộm" và các hình thức tấn công vào các hệ thống cơ sở dữ liệu. Từ đó xác định và thống kê các nguy cơ cụ thể, mức độ nguy hại và giải pháp phòng, tránh trên môi trường mạng đa người dùng, trên Internet và tại các bộ phận quản trị, quản lý hệ thống, với các mức độ cụ thể cho: hệ thống, mạng và CSDL. Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 5 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống Chương 1 Chương 1 SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO AN SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO AN TOÀN THÔNG TIN TRÊN THẾ GIỚI VÀ TOÀN THÔNG TIN TRÊN THẾ GIỚI VÀ VIỆT NAM VIỆT NAM Thế giới đã, đang và ngày càng được hưởng lợi từ các thành quả ứng dụng CNTT và viễn thông đem lại, thế nhưng chúng ta cũng mất không ít công sức và tiền bạc để bảo vệ các thành quả đó. An ninh, bảo mật mạng máy tính, vì vậy đã là một chủ đề thời sự và đương nhiên cũng trở thành một thị trường nóng. Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 6 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống 1.1 1.1 AN NINH BẢO MẬT MẠNG NHÌN TỪ THẾ GIỚI AN NINH BẢO MẬT MẠNG NHÌN TỪ THẾ GIỚI Hãng dịch vụ tư vấn Deloitte trong báo cáo An ninh mạng toàn cầu 2004 của mình cho biết, có tới 83% doanh nghiệp được khảo sát bị hacker tấn công trong năm 2003, gấp hơn hai lần số vụ tấn công năm 2002. Theo CheckPoint, thiệt hại do virus và sâu máy tính năm 2003 trên thế giới lên tới 12,5 tỷ USD. Ông Kevin Lim- Giám đốc Check Point khu vực Nam Á nhận định:"Giờ đây hacker không chỉ dùng mạng để tấn công máy tính hay mạng nữa. Hacker có thể dùng các chương trình virus tấn công thông qua giao thức http hay smtp. Thậm chí họ gửi cho bạn một bức thư trong đó có gài virus để mở một cổng mới và tấn công thông qua đó. Vì vậy công nghệ bảo mật an ninh đang được phát triển theo xu hướng ngăn chặn truy cập trái phép vào mạng máy tính và có thể nhận dạng các ứng dụng không mong muốn". Theo Meta Group, chi phí cho an ninh mạng máy tính hiện nay chiếm từ 3 đến 4% tổng chi phí cho CNTT trên toàn cầu. Đến 2006, tỷ trọng sẽ đạt từ 6-8%. Riêng đối với thị trường châu Á TBD mức chi cho an ninh mạng từ nay đến 2008 sẽ tăng bình quân 22%/năm, gấp đôi tỷ lệ của thế giới. Những nguy cơ an ninh mạng máy tính trước đây tính bằng tuần bằng ngày thì nay được tính theo phút, và không bao lâu sau sẽ là giây. 1.2 1.2 AN NINH BẢO MẬT TẠI VIỆT NAM AN NINH BẢO MẬT TẠI VIỆT NAM Bấy lâu nay, dư luận không còn xôn xao với những chuyện các nhóm hacker trong và ngoài nước thi nhau tấn công các trang web báo điện tử, trang thông tin các tổ chức, doanh nghiệp . Nhưng liệu rằng dưới mặt hồ bình yên đó có hiện hữu những đợt sóng ngầm? Xin khẳng định là có, và điều đáng nói hơn là những cơn sóng ngầm trên lĩnh vực an ninh mạng máy tính ở nước ta đang diễn ra muôn hình vạn trạng. Một ví dụ rất nhỏ là việc hàng giờ, hàng ngày, virus phá hoại dữ liệu, hệ thống mạng máy tính của các doanh nghiệp, tổ chức trên khắp phạm vi toàn quốc. Thiệt hại không nhỏ về hạ tầng là một chuyện, đình Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 7 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống trệ công việc lại là chuyện lớn hơn khi đã có rất nhiều công việc hàng ngày của chúng ta phụ thuộc vào máy tính và mạng máy tính. Chỉ có điều là virus, hacker cứ tấn công, còn các doanh nghiệp cứ khắc phục, coi như một sự bình thường, mà ít ai để ý đến các vấn đề phòng chống hiệu quả. Ông Vũ Bảo Thạch- phó giám đốc công ty phần mềm Misoft cho biết: "Đã từng xảy ra những sự cố CNTT thế nhưng thông thường các cơ quan đều không nhìn nhận đúng về thiệt hại của nó. Chúng ta đang thiếu những thống kê về thiệt hại do hacker, do sự cố, và sự mất an toàn hệ thống thông tin, đã gây thiệt hại về kinh tế, về cơ hội giao dịch kinh doanh, năng suất lao động trong các tổ chức của chính chúng ta. Thiếu các con số thống kê này thị trường CNTT sẽ không có cơ khai thác hay chúng ta đang không biết phải cần bao nhiêu tiền của và cần như thế nào?". Đối với phần đa các doanh nghiệp, tổ chức, đầu tư cho CNTT vẫn đang nặng về phần cứng, không nhiều cho phần mềm, rất ít cho đào tạo, và không đáng kể cho những chuyện đại loại như duy trì, bảo hành hệ thống, phát triển nhân lực cũng như đầu tư cho an ninh, bảo mật mạng máy tính. Tuy nhiên, rất đáng mừng, nhiều doanh nghiệp, tổ chức lớn vốn đã ứng dụng nhiều và phụ thuộc lớn vào CNTT như Tài chính, Ngân hàng, Viễn thông . đã có sự đầu tư đáng kể cho vấn để an ninh, bảo mật mạng máy tính. Và bản thân sự đầu tư ngày càng tăng cho an ninh, bảo mật mạng máy tính như vậy, ở một khía cạnh nào đó có thể xem là bước tiến mới trong ứng dụng CNTT ở nước ta. TS Đỗ Cao Bảo- Giám đốc công ty Hệ thống thông tin FPT cho biết: "Tôi muốn nhấn mạnh rằng khách hàng cần phải quan tâm nhiều hơn, nếu không muốn bị thiệt hại cho cả hệ thống, cho khách hàng. Hiện số lượng công ty cung cấp giải pháp bảo mật tổng thể và tốt chưa nhiều nên nhân dịp này chúng tôi muốn tập trung giới thiệu các giải pháp bảo mật của mình". 1.3 1.3 AN NINH BẢO MẬT MẠNG AN NINH BẢO MẬT MẠNG Trong thực tế, nhận thức của các tổ chức, doanh nghiệp chính là Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 8 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống vấn đề cần phải giải quyết trước khi đề cập tới bất kỳ một giải pháp, công nghệ an ninh, bảo mật mạng máy tính nào. Điều này đặc biệt đúng đối với các doanh nghiệp vừa và nhỏ. Họ đang là mục tiêu tấn công chủ yếu của hacker hiện nay. Và thường thì doanh nghiệp nhỏ, lỗ hổng bảo mật lớn. Vấn đề là các doanh nghiệp vừa và nhỏ không chỉ thiếu tài chính và nhân lực cho an toàn, an ninh mạng, mà quan trọng không kém, là sự nhận thức phiến diện an ninh mạng chỉ đơn thuần là việc chống virus máy tính. Ngay tại Mỹ, cũng có tới 35% doanh nghiệp nhỏ không sử dụng bức tường lửa. Ian Loh - Giám đốc EMC Nam Á cho biết:" Mọi người sử dụng rất nhiều tiền để bảo vệ tiền mặt nhưng vẫn chưa đủ để bảo vệ các trung tâm dữ liệu nơi mà các luồng giao dịch phi tiền mặt đổ đến. Các bạn sẽ thấy mọi người giao dịch sử dụng thẻ thông minh hay séc, đó thực sự là dữ liệu nhị phân của hai con số 1 và 0. Thông tin hiện nay thực sự là tiền bạc ai cũng biết điều đó, nhưng ngày mai tiền bạc là thông tin, không còn tiền mặt như các giao dịch thông thường". Một điều rõ ràng là nguy cơ đối đầu với các mối nguy hiểm trên Internet ngày một gia tăng. Bản thân, các hình thức tấn công trên Internet ngày một đa dạng, tinh vi và phức tạp. Giải pháp đưa ra là sự cần thiết phải có một chiến lược giảm thiểu nguy cơ tấn công của virus và sâu máy tính. Thứ hai là một kiến trúc an ninh có khả năng cô lập những lỗi đã biết và chưa biết của hệ thống. Và cuối cùng cách tiếp cận với vấn đề an ninh giờ đây đã phải thay đổi nhiều so với trước kia. Một hệ thống phòng thủ hiện đại phải nhiều tầng nhiều lớp, chủ động, tự động. TS Đỗ Cao Bảo- Giám đốc công ty Hệ thống thông tin FPT cho biết: "Chúng tôi rất tâm đắc với triết lý bảo mật: Thứ nhất, bảo mật phải nhiều tầng, nhiều lớp, chứ một lớp không đủ. Thứ 2, bảo mật sử dụng nhiều công nghệ. Với công nghệ của một hãng nếu hacker biết thì hoàn toàn có thể phá được. Chính vì vậy ta phải dùng nhiều công nghệ khác để bảo vệ hệ thống. Thứ 3, bảo mật phải là một quá trình liên tục". Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 9 [...]... độ bảo mật nghiêm ngặt trên máy chủ Web Thực hiện phân tích tập tin nhật ký ở một mức độ phức tạp hơn Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 26 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống Chương 4 GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN CHO HỆ THỐNG Giải pháp được đưa ra trên cơ sở kết hợp của ba yếu tố liên quan trực tiếp đến an. .. có kế hoạch, chiến lược như thế nào của các tổ chức, doanh nghiệp nhằm đảm bảo cho các hệ thống thông tin vận hành một cách trơn tru, phát huy tối đa các ứng dụng CNTT- truyền thông Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 11 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống Chương 2 NGHIÊN CỨU, PHÂN TÍCH CÁC ĐẶC THÙ AN TOÀN THÔNG TIN. .. điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 19 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ Có quá nhiều công ty tin rằng an toàn thông tin là vấn đề ở sản phẩm,... ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 23 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống 3.2 CÁC HOẠT ĐỘNG BẢO MẬT Ở MỨC HAI Các hoạt động an toàn bảo mật mức hai tập trung nhiều hơn vào các hệ thống riêng biệt, cũng như các hệ thống thương mại và xây dựng hàng rào bảo vệ chống tấn công, đặc biệt quan tâm đến hệ thống phát hiện thâm... MỨC ĐỘ AN TOÀN THÔNG TIN CỦA MỘT HỆ THỐNG Để đánh giá mức độ an toàn thông tin tuân theo các điều kiện sau: • Hệ thống an toàn là hệ thống trước tiên phải có các tài liệu về chính sách an toàn thông tin • Sau khi đã xây dựng và đưa ra được các chính sách an toàn thông tin, việc tiếp theo là phân bổ các trách nhiệm về an ninh hệ thống • Các chương trình giáo dục và huấn luyện về an ninh thông tin • Các... Thực hiện một mạng lưới bảo vệ, lọc, phát hiện và tiêu diệt Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 21 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống virus - trên tất các các máy trạm (PCs), máy chủ, và các cổng kết nối mạng (gateway) Đảm bảo cập nhật thường xuyên các phần mềm diệt virus • Đảm bảo rằng hệ thống sao lưu dữ liệu hoạt... thời gian gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa (Telnet hoặc Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 13 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống Rlogin) Nhu cầu bảo vệ thông tin trên Internet có thể chia thành ba loại gồm: Bảo vệ dữ liệu; Bảo. .. Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 14 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình như chạy các chương trình dò mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác vv 2.2.3 Bảo vệ danh tiếng cơ quan...Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống Tại triển lãm ICT Finance 2004 mới đây, nhiều hãng đã mang tới không chỉ các sản phẩm, công nghệ mới mà cả những giải pháp tổng thể về an ninh, bảo mật mạng máy tính Đáng chú ý là hệ thống phòng chống thông minh của Checkpoint Thông thường, các bức tường lửa chỉ nhắm tới việc chống... thông Việc mã hoá hiện tại chú trọng vào mã hoá thông tin khi truyền trên mạng máy tính, lý Công ty Phần mềm và Truyền thông VASC - Trung tâm phát triển Hệ thống thông tin Trang 34 Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống do thông tin khi truyền trên mạng thường phải đi qua rất nhiều các điểm khác nhau, tại các điểm này, thông tin không được mã hoá sẽ dễ dàng được ghi lại