Các vấn đề cơ bản về an toàn thông tin trên mạng.doc

Các vấn đề cơ bản về an toàn thông tin trên mạng

Chơng II

Các vấn đề cơ bản về cơ bản về an toàn thông tin trên mạng.

1.Đặt vấn đề:

Mục tiêu cuối cùng của việc kết nối mạng là để nhiều ngời sử dụng, từ những vị trí địa lý khác nhau, có thể sử dụng tài nguyên chung các tài nguyên, đặc biệt là những tài nguyên thông tin.

Trên mạng máy tính nhiều tài nguyên đợc sử dụng theo hình thức sở hữu công cộng nhiều ngời dùng cùng sử dụng Nh vậy nhiều ngời sử dụng những dịch vụ có sẵn có thể xâm nhập vào tài nguyên của cá nhân và công cộng Nh vậy trao đổi thông tin trên mạng suy cho cùng đó là việc trao đổi thông tin dới các hình thức: Tài nguyên của hệ thống ở đây chủ yếu là tài nguyên thông tin Nhng trong bối cảnh Internet hiện nay còn có một loại tài nguyên khác cần bảo vệ nữa đó là “thanh danh” Kẻ phá hoại có thể sẽ giả danh, hoặc lợi dụng danh tiếng của một ai đó để vào mạng, để thực hiện một mục đích xấu nào đó, và tất nhiên ngời chịu hậu quả là ngời bị giả danh.

Do đặc điểm nhiều ngời sử dụng và phân tán về mặt địa lý nên việc bảo vệ tài nguyên đó tránh khỏi sự mất mát, xâm phạm (vô tình hay cố ý) trong môi trrờng mạng phức tạp hơn nhiều so với trờng hợp một máy tính đơn lẻ, một ngời sử dụng Để việc bảo vệ thông tin đạt hiệu quả cao chúng ta phải l-ờng trớc đợc càng nhiều càng tốt các khả năng xâm phạm, các sự cố rủi ro đối với thiết bị và dữ liệu trên mạng Xác định càng chính xác các nguy cơ nói trên thì ta càng quyết định đợc tốt các giải pháp phù hợp để giảm thiểu các thiệt hại Mọi nguy cơ đều phải quan tâm vì các vụ vi phạm nhỏ lạo th-ờng có tầm xuất xẩy ra cao và các vụ việc ít xảy ra đôi khi lại gây ra những hậu quả khôn lờng

Về bản chất có thể phân loại các hoạt động vi phạm thành hai loại : vi phạm thụ động và vi phạm chu động “Thụ động” và “chủ động” ở đây đợc hiểu theo nghĩa là có can thiệp vào nội dung và luồng thông tin trao đổi hay

không ? Vi phạm “thụ động” chỉ nhằm mục tiêu cuối cùng là nắm bắt đợc thông tin, ngời gửi, ngời nhận nhờ vào thông tin điều khiển giao thức chứa trong phần đầu của gói tin Hơn thế nữa, kẻ xấu còn có thể kiểm tra đợc số l-ợng, độ dài và tần suất trao đổi để biết đợc đặc tính của dữ liệu.

Nh vậy các vi phạm “thụ động” không làm sai lệch hay huỷ hoại nội dung và luồng thông tin truyền trên mạng Nhng trong khi đó vi phạm “chủ động” lại có thể biến đổi , xoá bỏ, làm trễ, sắp xếp lại thứ tự hoặc làm lặp lại các gói tin ngay ngay tịa thời điểm đó hoặc sau đó một thời gian Hơn thế nữa, một số thông tin ngoại lai có thể bị đẩy vào để làm sai lệch nội dung của thông tin gốc hoặc nhằm mục đích không tốt khác.

Kẻ vi phạm trong thực tế có thể tham nhập vào bất kỳ nào mà thông tin anh ta quan tâm đi qua hoặc đợc cất giữ Điểm đó có thể ở trên đờng truyền, ở máy tính chủ nhiều ngời dùng hoặc tại các giao diện kết nối liên mạng (Bridge, router, gateway ) Trong quan hệ tơng tác ngời - máy, thiết bị ngoại vi, đặc biệt là các Terminal (tổ hợp bàn phím và màn hình) chính là một trong các cửa ngõ thuận lợi cho kẻ ngoài thâm nhập.

Nói chung hầu hết các trờng hợp chúng ta đều đánh giá đợc mức độ thiệt hại của các vụ vi phạm,nhng có những vụ vi phạm chúng ta không thể đánh giá đợc mức thiệt hại do nó gây ra

Một điều nữa là : Không có thứ gì là an toàn tuyệt đối Bởi “vỏ quýt dầy có móng tay nhọn” Dù cho hệ thống bảo vệ có chắc chắn đến đâu đi nữa thì cũng có lúc bị vô hiệu hoá bởi các kẻ phá hoại có trình độ cao, điêu luyện về kỹ thuật và có đủ thời gian để làm công việc đó Đó là cha kể những trờng hợp chính các đội ngũ nhân viên lại là những gián điệp hoặc là những kẻ phá hoại dữ liệu.

Vì vậy việc đề xuất ra các hệ mật để mã hoá dữ liệu trớc khi truyền hoặc trớc khi lu là một công việc cấp bách, khi dữ liệu đợc mã hoá thì kẻ tấn công dù có lấy đợc dữ liệu đã đợc mã hoá thì chúng cũng khó có khả năng giải mã.

2.Các chiến lợt an toàn hệ thống :

a.Giới hạn quyền hạn tối thiểu (Last Privilege):

Đây là chiến lợc cơ bản nhất theo nguyên tắc này bất kỳ một đối tợng nào cùng chỉ có những quyền hạn nhất định đối với tài nguyên mạng, khi thâm nhập vào mạng đối tợng đó chỉ đợc sử dụng một số tài nguyên nhất định.

b.Bảo vệ theo chiều sâu (Defence In Depth):

nguyên tắc này nhắc nhở chúng ta : Không nên dựa vào một chế độ an toàn nào dù cho chúng rất mạnh, mà nên tạo nhiều cơ chế an toàn để tơng hỗ lẫn nhau.

c.Nút thắt (Choke Point) :

Tạo ra một “cửa khẩu” hẹp, và chỉ cho phép thông tin đi vào hệ thống của mình bằng con đờng duy nhất chính là “cửa khẩu” này Đòng thì phải tổ chức một cơ cấu kiểm soát và điều khiển thông tin đi qua cửa này.

d.Điển nối yếu nhất (Weakest Link) :

Chiến lợc này dựa trên nguyên tắc : “ Một dây xích chỉ chắc tại mắt duy nhất, một bức tờng chỉ cứng tại điểm yếu nhất”

Kẻ phá hoại thờng tìm những chỗ yếu nhất của hệ thống để tấn công, do đó ta cần phải gia cố các yếu điểm của hệ thống Thông thờng chúng ta chỉ quan tâm đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, do đó an toàn vật lý đợc coi là yếu điểm nhất trong hệ thống của chúng ta.

e.Tính toàn cục:

Các hệ thống an toàn đòi hỏi phải có tính toàn cục của các hệ thống cục bộ Nếu có một kẻ nào đó có thể bẻ gãy một cơ chế an toàn thì chúng có thể thành công bằng cách tấn công hệ thống tự do của ai đó và sau đó tấn công hệ thống từ nội bộ bên trong.

f.Tính đa dạng bảo vệ :

Cần phải sử dụng nhiều biện pháp bảo vệ khác nhau cho hệ thống khác nhau, nếu không có kẻ tấn công vào đợc một hệ thống thì chúng cũng dễ dàng tấn công vào các hệ thống khác.

3.Các mức bảo vệ trên mạng :

Vì không thể có một giải pháp an toàn tuyệt đối nên ngời ta thờng phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắn đối với các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong máy tính, đặc biệt là các server trên mạng Bởi thế ngoài một số biện pháp nhằm chống thất thoát thông tin trên đờng truyềnm mọi cố gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong cho các hệ thống kết nối vào mạng.

Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên của mạng và quyền hạn trên tài nguyên đó Dĩ nhiên là kiểm soát đợc các cấu trúc dữ liệu càng chi tiết càng tốt Hiện tại việc kiểm soát thờng ở mức tệp.

Lớp bảo vệ thứ hai là đăng ký tên/mật khẩu.

Thực ra đây cũng là kiểm soát quyền truy nhập, nhng không phải truy nhập ở mức thông tin mà ở mức hệ thống Đây là phơng pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn và cũng rất hiệu quả Mỗi ngời sử dụng muốn đợc tham gia vào mạng để sử dụng tài nguyên đều phải có đăng ký tên và mật khẩu trớc Ngời giám quản mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những ngời sử dụng khác theo thời gian và không gian (nghĩa là ngời sử dụng chỉ đợc truy nhập trong một khoảng thời gian nào đó tại một vị trí nhất định nào đó).

Về lý thuyết nếu mọi ngời đều giữ kín đợc mật khẩu và tên đăng ký của mình thì sẽ không xảy ra các truy nhập trái phép Song điều đó khó đảm bảo trong thực tế vì nhiều nguyên nhân rất đời thờng làm giảm hiệu quả của lớp bảo vệ này Có thể khắc phục bằng cách ngời quản mạng chịu trách nhiệm đặt mật khẩu hoặc thay đổi mật khẩu theo thời gian.

Mã hoá dữ liệu

Để bảo mật thông tin trên đờng truyền ngời ta sử dụng các phơng pháp mã hoá Dữ liệu bị biến đổi từ dạng nhận thức đợc sang dạng không nhận

thức đợc theo một thuật toán nào đó và sẽ đợc biến đổi ngợc lại ở trạm nhận (giải mã) Đây là lớp bảo vệ thông tin rất quan trọng.

Bảo vệ vật lý

Ngăn cản các truy nhập vật lý vào hệ thống Thờng dùng các biện pháp truyền thống nh ngăn cấm tuyệt đối ngời không phận sự vào phòng đặt máy mạng, dùng ổ khoá trên máy tính hoặc các máy trạm không có ổ mềm.

Tờng lửa

Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửi hoặc nhận vì các lý do nào đó để bảo vệ một máy tính hoặc cả mạng nội bộ (intranet)

Nh đã trình bày ở trên, chúng ta thấy sự an toàn dữ liệu là một vấn đề đang đợc rất nhiều nhà khoa học nói riêng và tất cả mọi ngời nói chung rất quan tâm Vậy mọi ngời đã chuẩn bị cho việc bảo vệ dữ liệu của mình nh thế nào ?

hình a: các ,ức độ bảo vệ trên mạng máy tính Tường lửa (Fire Walls)

Bảo ệ vật lý (Physical protect)

Mã hoá dữ liệu (Data Encryption)