Bài giảng Chương 6 : bảo mật hệ thống mạng máy tính

Giảng viên : Nguyễn Minh Thành E-mail : thanhnm.itc@itc.edu.vn Chương 6 : BẢO MẬT HỆ THỐNG MẠNG MÁY TÍNH Mục Lục I. Các nguy cơ bảo mật II. Phát triển chính sách III. Tổ chức hệ thống mạng IV. Tính sẵn sàng của hệ thống 2 I. Các Nguy Cơ Bảo Mật  Các nguy cơ có thể do người, sự vật hay những điều kiện khách quan có thể gây ra một cách cố ý hoặc vô tình làm ảnh hưởng đến mạng máy tính.  Một số nguy cơ thường gặp như: lỗi và phá hoại, trộm, nhân viên hay kẻ xấu (hacker) tấn công… 3 I. Các Nguy Cơ Bảo Mật  Lỗi – phá hoại:  Do con người: nhân viên quản lý dữ liệu, nhà lập trình, quản lý hệ thống có thể gây ra những lỗi vô tình. Chẳng hạn như quên bật firewall, lỗ hỏng hệ điều hành, lỗi lập trình quản lý mạng. Vì vậy phải cần chú ý đến các lỗi thường gặp để ngăn chặn phá hoại. 4 I. Các Nguy Cơ Bảo Mật  Trộm:  Thông tin liên lạc rất dễ gặp vấn đề trộm, có thể trộm từ bên ngoài hay từ bên trong.  Ví dụ như trộm tài khoản từ nhà băng, trộm dữ liệu quan trọng và bí mật. Ngoài ra cần chú ý đến việc bị trộm phần cứng. 5 I. Các Nguy Cơ Bảo Mật  Nhân viên :  Những nhân viên bất mãn trong công ty có thể gây ra hậu quả không lường trước được đối với mạng máy tính như: truy cập dữ liệu trái phép, thay đổi hoặc xóa dữ liệu, hủy cơ sở dữ liệu hay chương trình và phá hủy phần cứng hay các linh kiện. 6 I. Các Nguy Cơ Bảo Mật  Hacker:  Là mối nguy hiểm thật sự cho hầu hết các hệ thống máy tính có nối mạng. Mặc dù hacker gây thiệt hại ít hơn nhân viên bất mãn nhưng vấn đề hacker vẫn còn trầm trọng và phổ biến.  Hacker có thể gây nguy hiểm bằng cách ăn cắp dữ liệu và phá hoại làm tê liệt cả một hệ thống. 7 II. Phát Triển Các Chính Sách  Chính sách (policy) : miêu tả cách thông tin được truy cập hay không truy cập bởi các nhóm người dùng hay từng người dùng cụ thể.  Cần phải xác định đầy đủ các chính sách cho một hệ thống, nếu không sẽ gây ra các lỗ hổng bảo mật trong chính sách và qua đó hacker có thể tấn công.  Các chính sách được đặc tả trên văn bản để lưu trữ và sửa chữa khi có sự cố. 8 II. Phát Triển Các Chính Sách  Phân lớp dữ liệu : dữ liệu của hệ thống phải được phân chia thành nhiều lớp theo mức độ truy cập của dữ liệu (hay các nhóm người dùng truy cập dữ liệu)  Phân lớp người dùng : người dùng hệ thống cũng phải được phân chia thành các nhóm theo chức năng của từng nhóm. Đối với từng nhóm, xác định các quyền trên từng nhóm dữ liệu trên dựa vào các chính sách trên. 9 II. Phát Triển Các Chính Sách  Tính nhất quán trong dữ liệu :  Đôi khi những chính sách sẽ gây ra sự không nhất quán trong dữ liệu. Vì vậy, khi xây dựng các chính sách cho hệ thống cần phải kiểm tra tính nhất quán của dữ liệu.  Ví dụ : chính sách yêu cầu dữ liệu A chỉ cho phép nhóm người dùng X (trong hệ thống) truy cập, nhóm Y không được truy cập. Nhưng một chính sách khác lại cho các khách hàng (người ko thuộc hệ thống) truy cập A. Mâu thuẫn trong chính sách.10 II. Phát Triển Các Chính Sách  Chọn lựa các cơ chế thực thi thích hợp cho từng chính sách :  Mã hoá  Các giao thức  Access Control  … 11 III. Tổ Chức Hệ Thống Mạng  Xây dựng hệ thống mạng dựa vào đặc tả (yêu cầu) của hệ thống cùng với các chính sách đã xác định.  Dựa vào đặc tả (yêu cầu) : xác định số lượng server, số lượng máy tính, các thiết bị kết nối, mô hình kết nối…  Dựa vào chính sách bảo mật : xác định số lượng firewall, vị trí đặt server trong mô hình bảo mật, phương thức lưu trữ dữ liệu… 12 III. Tổ Chức Hệ Thống Mạng 13  Một ví dụ về tổ chức hệ thống mạng IV. Tính Sẵn Sàng 14  Một hệ thống mạng được bảo mật tốt ngoài việc bảo về dữ liệu và tài nguyên, còn phải đảm bảo khả năng sẵn sàng truy cập ở mọi thời điểm.  Tất cả mọi hệ thống đều có khả năng bị tấn công denial-of-service. Đây là một phương thức tấn công bằng cách gởi hàng loạt thông điệp đến Server, làm cho Server không thể xử lý kịp thời. Khi có người dùng thực sự gởi yêu cầu đến sẽ bị từ chối. IV. Tính Sẵn Sàng 15  Một số giải pháp để đảm bảo tính sẵn sàng cho hệ thống :  Sử dụng Host trung gian : router, bộ lọc lưu lượng mạng.  Kiểm soát trạng thái IP mạng. 16