Tài liệu Security Tiếng Việt
Tài liệu hay về bảo mật được dịch sang tiếng Việt
Bạn đang xem trước 20 trang tài liệu Tài liệu Security Tiếng Việt, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Tài liệu Security Tiếng Việt
( Vnexperts Network Academy )
Hà Nội-12/06/2009
http;//vnexperts.net 2
MỤC LỤC
Phần 1. An ninh mạng. ........................................................................................................................................4
I. Những khái niệm cơ bản về Security ....................................................................................................4
A. Giới thiệu về Bảo mật thông tin ........................................................................................................4
B. Các khái niệm cơ bản trong bảo mật..............................................................................................4
1. Mục đích bảo mật...............................................................................................................................4
2.Confidentiabilyty Khái niêm AAA (Access control, Authentication, Auditing) ...............4
Access Control. ....................................................................................................................................4
Authentication......................................................................................................................................4
Auditing ..................................................................................................................................................4
2.Truy cập điều khiển(Access Control). ..........................................................................................5
a. MAC. ...................................................................................................................................................5
b. DAC .....................................................................................................................................................5
c. RBAC...................................................................................................................................................6
II. Bảo mật quá trình truyền dữ liệu. ........................................................................................................7
1.Quá trình truyền thông tin. ..................................................................................................................7
2. Access control.( Điều khiển truy cập) ...........................................................................................10
3. Authentication.(Xác thực người dùng) ..........................................................................................10
a.Mã hóa dữ liệu. ...................................................................................................................................10
Phương thức xác thực Kerberos. .................................................................................................11
Phương thức Xác thực CHAP ( Challenge Handshake Authentication Protocol ). .....12
Hình 3.3 Các bước xác thực CHAP. ............................................................................................13
Phương thức xác thực Chứng chỉ số (Certificates). .............................................................13
Phương thức xác thực Username, Password. .........................................................................13
Phương thức xác thực Token ........................................................................................................14
Phương thức xác thực Multi-Factor ............................................................................................14
Phuơng thức xác thực Biosmetrics .............................................................................................14
4. Auditing (Giám sát).........................................................................................................................15
III. Mã hóa. ............................................................................................................................................................16
1. Khái niệm mã hóa. ....................................................................................................................................16
a. Mã hoá DES, Triple DES (Data Encryption Standard) ...................................................16
b.Mã hoá RSA.....................................................................................................................................17
c.Thuật toán HASHING và mã hoá MDx...................................................................................18
2.Các yếu tố quyết định chất lượng của việc mã hoá. ............................................................20
3. Các yếu tố đánh giá một phương thức mã hóa.........................................................................20
Tính toàn vẹn ..........................................................................................................................................20
Tinh sẵn sàng ..........................................................................................................................................20
Tính an toàn.............................................................................................................................................20
IV. Bảo mật hạ tầng thông tin........................................................................................................................20
1. Bảo mật hệ thống phần cứng. .........................................................................................................20
2. Bảo mật hạ tầng phần mềm .............................................................................................................21
3. Bảo mật trên con người. ....................................................................................................................23
V. Bảo mật và an toàn dữ liệu trong hoạt động hàng ngày ................................................................23
Phần 2. Virus. ........................................................................................................................................................25
1. Khái niệm chung về Virus. .....................................................................................................................25
a.Khái niệm...................................................................................................................................................25
b. Quá trình phát triển của Virus..........................................................................................................25
c.Các loại Virus phân biệt theo chức năng. ......................................................................................28
2. Các triệu chứng của máy tính bị nhiễm Virus. ...............................................................................29
3. Chu kỳ sống và hoạt động của Virus. ................................................................................................29
4. Cách lây nhiễm và các phương tiện lây nhiễm của Virus ...........................................................30
Virus lây nhiễm qua thư điện tử ...........................................................................................................30
Virus lây nhiễm qua mạng Internet ....................................................................................................31
5.Biến thể...........................................................................................................................................................31
Virus có khả năng vô hiệu hoá phần mềm diệt virus ........................................................................31
6.Cách phòng chống virus và ngăn chặn tác hại của nó..................................................................31
Sử dụng phần mềm diệt virus ...............................................................................................................32
Sử dụng tường lửa .....................................................................................................................................32
http;//vnexperts.net 3
Cập nhật các bản sửa lỗi của hệ điều hành......................................................................................32
Vận dụng kinh nghiệm sử dụng máy tính .........................................................................................32
Bảo vệ dữ liệu máy tính...........................................................................................................................33
7. Giải pháp triển khai phần mềm diệt virus theo mô hình client- server ................................33
http;//vnexperts.net 4
Phần 1. An ninh mạng.
I. Những khái niệm cơ bản về Security
A. Giới thiệu về Bảo mật thông tin
- Như chúng ta đã biết từ thời xưa con người đã biết sử dụng chữ viết và ngôn ngữ để giao
tiếp với nhau. Và trong các cuộc chiến thì con người đã biến những ngôn ngữ thông thường
được sử dụng để làm ngôn ngữ truyền thông tin để khỏi bị kẻ địch phát hiện. Những ngôn
ngữ này được mã hóa sao cho chỉ có hai bên giao tiếp có thể hiểu được mà bên thứ 3 hay
kẻ địch không hiểu được.
- Ngày nay với công nghệ tiên tiến con người đã có thể mã hóa ngôn ngữ thông thường
thành các tín hiệu điện, điện từ,... dưới sự giúp đỡ của các máy tính, các thiết bị chuyên
dụng. Nhưng trên thực tế các hệ thống này luôn có nguy cơ tiềm ẩn về lỗ hổng thông tin.
Chính vì vậy để 2 máy tính hay thiết bị nào có thể giao tiếp với nhau một cách an toàn cần
đến các chính sách bảo mật.
- Đặc biệt trong ngành công nghệ thông tin hiện nay thì vấn đề an toàn mạng càng trở nên
cần thiết vì su thế công nghệ thông tin ngày càng phổ biến và đây là nhu cầu thiết yếu cho
sự phát triển. Và để đảm bảo được an toàn trong giao tiếp thì chúng ta cần một cơ chế bảo
mật phù hợp và không quá phiến phức tới người sử dụng.
B. Các khái niệm cơ bản trong bảo mật.
1. Mục đích bảo mật.
Tam giác bảo mật thông tin CIA
CIA là viết tắt của Confidently,Intergrity,Avaibility
Confidention nghĩa là sự tin cậy.
Intergrity nghĩa là tính toàn vẹn
Avaibility nghĩa là tính sẵn sàng
2.Confidentiabilyty Khái niêm AAA (Access control, Authentication, Auditing)
Access Control.
Là một sự truy cập vào hệ thống có thể là một kết nối hay một sự can thiệp vào hệ thống
gây ảnh hưởng tới hệ thống.
Authentication.
Là một sự xác thực từ hệ thống đối với người dùng truy cập vào hệ thống. Bất cứ người
dùng nào truy cập vào hệ thống đều phải trả lời các câu hỏi mà hệ thống đưa ra nếu đúng
hệ thống sẽ cho truy cập nếu sai hệ thống sẽ cấm truy cập. Authentication sử dụng các
phương pháp mã hóa để đảm bảo thông tin không bị tiết lộ như Kerberos, CHAP, ….
Auditing
Sự giám sát người dùng. Khi đã truy cập vào hệ thống người dùng có thể không những truy
cập vào quyền hạn của họ và họ có thể sẽ truy cập trái phép vào các quyền hạn khác vậy
http;//vnexperts.net 5
phải cần đến một chính sách giám sát công việc của họ và cũng để đảm bảo quyền hạn cho
họ.
2.Truy cập điều khiển(Access Control).
• MAC (Mandatory Access Control) đây là mô hình thường được sử dụng trên các máy
tính hiện nay. Đây là mô hình được xây đựng dựa trên quyền tối cao của người chủ
(giống như bạn là chủ nhà và bạn có toàn quyền trong căn nhà của mình bất cứ ai
muốn sử dụng đều phải hỏi qua bạn) nếu bạn là chủ của một hệ thống thì các
quyền hạn người dùng đều do bạn quyết định. Mô hình này thường được xây dưng
trong nhà nước đặc biệt nhà nước thời phong kiến là dõ nhất.
• DAC (Descriptionary Access Control) đây là mô hình tùy thuộc vào người sử dụng
mà phan quyền hạn cho họ. Mô hình này sử dụng truy cập theo danh sách để quản
lý (Access Control List). Mỗi người sử dụng đều có một quyền hạn nhất định và họ
có thể làm bất cứ những gi trong quyền hạn mà họ được cấp.
• RBAC( Rule Base Access Control) Mô hình này dựa vào vai trò của mỗi người dùng
người dùng có vai trò gì trong hệ thống thì sẽ cấp quyền hạn tương ứng sao cho
phù hợp và ơhats huy hết khả năng của họ. Mô hình này thường được sử dụng
trong nhà nước và một số công ty đa quốc gia.
a. MAC.
Là một mô hình được xây dựng dựa trên nền tảng và ứng dụng trong Hệ điều hành
hay nói cách khác nó cũng được xây dựng trên nền tảng của sự độc tài.
Hệ điều hành điều khiển mọi thứ trong nó kể cả phần cứng hay phần mềm mà nó
có thể kiểm soát giống như một ông vua có thể làm mọi thứ mà ông ta muốn.
Mô hình này là một mô hình được xây dựng theo cấu trúc phân tầng, lớp.
Mỗi một tầng, lớp có một quyền xác định mà tất cả các quyền hạn này đều được
tập trung tại hệ điều hành bởi vậy Hệ điều hành bị lỗi là hệ thống bị sụp đổ nên mô
hình MAC đã phân ra những Level khác nhau để quản lý.
Các Level của MAC thường gồm có: bảo mật tối cao, bảo mật, bình thường, và
quảng bá, nhạy cảm.
MAC phân quyền theo một cơ chế chỉ có chủ của dữ liệu hoặc người quản trị tối cao
mới có toàn quyền với dữ liệu còn những người dùng khác không có quyền gì với
dữ liệu và thông tin đó.
Về tình bảo mật đối với MAC là rất cao nhưng khả năng phục hổi sau tấn công là
rất thấp bởi vậy MAC chỉ có thể áp dụng với những thông tin, dữ liệu tuyệt mật mà
bất kì ai cũng không thể biết trừ người lắm quyền và dữ liệu đó.
b. DAC
DAC là mô hình quản lý truy cập dựa trên tính phụ thuộc vào người tạo ra dữ liệu .
Mô hình này do nó có tính tùy chọn nên sẽ tạo ra sự thoải mái cho người dùng
nhưng vấn đề phân quyền cho người dùng cũng là một vấn đề mà người quản trị
phải quan tâm chặt chẽ.
DAC xây dựng trên cơ sở thực tiến nên được ứng dụng nhiều vào thực tế giả dụ như
ta có một trang Web và trang Web này bắt buộc phải Public trên Internet và người
http;//vnexperts.net 6
dùng chỉ có thể đọc thông tin trên nó chứ không thể chỉnh sửa bất cứ thông tin gì
trên nó nếu không được cho phép.
Phân quyền trong DAC sử dụng Access Control List (ACL) một mô hình quản trị trong
Windows hỗ trợ rất rõ:
Hình 2.b. Access Control List trên Windows Server 2008.
Như ta thấy Windows hỗ trợ việc cấu hình các quyền hạn cho từng người dụng, nhóm người
dùng khác nhau.
c. RBAC.
RBAC là mô hình xây dựng trên vai trò của người dùng nó tương tụ như DAC nhưng mức độ
phức tạp sẽ khó hơn DAC vì nó dựa vào những vai trò và tác vụ của người dùng.
RBAC thường được sử dụng trong việc quản lý các doanh nghiêp lớn hoặc vừa và ở cấp độ
phòng ban hay chi nhánh.
Một công ty lớn thường quản tri theo mô hình này với lí do là dẽ quản lý và dễ phân trách
nhiệm cho một người quản trị chính vì như vậy mà hệ thống thông tin cũng được phân cấp
theo vai trò của người dùng trong công ty.
Mô hình này có thể thay thế MAC trong một số trường hợp và nó có thể khôi phục lại sau
khi bị tấn công dễ dàng hơn MAC.
http;//vnexperts.net 7
RBAC thường được áp dụng cho một nhóm có chức năng giống nhau và ở đây người dùng
trong cùng một nhóm đều có các quyền giống nhau.
Trong Windows, Linux,Unix đều hỗ trợ việc cấu hình quyền hạn của nhóm (hay chính là
RBAC)
II. Bảo mật quá trình truyền dữ liệu.
1.Quá trình truyền thông tin.
Quá trình truyền thông tin trong đời sống và trong ngành công nghệ thông tin có nét tương
đồng. Bởi vì công nghệ thông tin được xây dựng nên từ chính thực tế.
Quá trình truyền dữ liệu thường được thực hiên theo 3 bước cơ bản
+, Bên gửi xây dựng thông tin, đóng gói và kiểm tra tính an toàn sau đó giao thông tin cho
người vận chuyển.
+, Người vận chuyển chịu trách nhiệm đưa hàng tới địa chỉ của người nhận chức năng này
có thể gọi là người đưa thư. Người đưa thu có trách nhiệm kiểm tra thông tin người nhận
(Xác thực người nhận).
+, Bên nhận mở thông tin đã được đóng gói sau đó đọc và giải mã gói tin. Nhưng trước khi
nhận hàng thì bên nhận phải làm một số thủ tục với người đưa thư nhằm xác định đúng
người nhận thông tin và đúng thông tin người gửi.
Trong công nghệ thông tin việc truyền dữ liệu được hiểu như là một kết nối giữa hai máy
tính (thiết bị truyền tin) thông qua mạng. Chính bởi vậy hai máy tính(thiết bị truyền tin)
được coi như bên nhận và bên gửi còn mạng (có thể là Internet có thể là mạng Di động..) là
người vận chuyển
Mô hình của quá trình vận chuyển
Hình 1.1 Mô hình truyền dữ liệu
Trên thực tế mô hình truyền dữ liệu trong mạng bao gồm các giao thức khác nhau qua các
tầng khác nhau của mô hinh OSI hoặc TCP/IP
http;//vnexperts.net 8
Tầng
# Tên
Các thí
dụ khác
nhau
Bộ TCP/IP SS7
Bộ
AppleTalk
Bộ OSI Bộ IPX SNA UMTS
AFPFTAM,
X.400,
X.500,
DAPAPPC
7
Ứng
dụng
HL7,
Modbus,
SIP
6HTTP,
SMTP,
SMPP,
SNMP,
FTP,
Telnet,
NFS,
NTPISUP,
INAP,
MAP, TUP,
TCAP
Trình
diễn
TDI,
ASCII,
EBCDIC,
MIDI,
MPEG
XDR, SSL, TLS AFP
ISO
8823,
X.226
5
Phiên
làm
việc
Named
Pipes,
NetBIOS,
SAP, SDP
Session
establishment
for TCP
ASP, ADSP,
ZIP, PAP
ISO
8327,
X.225
NWLink DLC?
4
Giao
vận
NetBEUI
TCP, UDP,
RTP, SCTP
ATP, NBP,
AEP, RTMP
TP0, TP1,
TP2, TP3,
TP4,
OSPF
SPX, RIP
3 Mạng
NetBEUI,
Q.931
IP, ICMP,
IPsec, ARP,
RIP, BGP
MTP-
3,
SCCP
DDP
X.25
(PLP),
CLNP
IPX
RRC
(Radio
Resource
Control)
2
Liên
kết
dữ
liệu
Ethernet,
802.11
(WiFi),
Token
Ring,
FDDI, PPP,
HDLC,
Q.921,
Frame
Relay,
ATM, Fibre
Channel
MTP-
2
LocalTalk,
TokenTalk,
EtherTalk,
AppleTalk
Remote
Access, PPP
X.25
(LAPB),
Token
Bus
IEEE
802.3
framing,
Ethernet
II
framing
SDLC
MAC
(Media
Access
Control)
1 Vật lý
RS-232,
V.35,
V.34,
Q.911, T1,
E1,
10BASE-T,
100BASE-
TX, ISDN,
POTS,
SONET,
DSL,
802.11b,
802.11g
MTP-
1
Localtalk on
shielded,
Localtalk on
unshielded
(PhoneNet)
X.25
(X.21bis,
EIA/TIA-
232,
EIA/TIA-
449, EIA-
530,
G.703)
Twinax
PHY
(Physical
Layer)
http;//vnexperts.net 9
Hình 1.2 Mô hình OSI
http;//vnexperts.net 10
Hình 1.2 Mô hình TCP/IP trong hệ thống mạng
2. Access control.( Điều khiển truy cập)
• Trong vấn đề điều khiển truy cập người gửi sẽ định hướng cho công việc vận chuyển
tới đâu và người nhận là ai. Vấn đề này trên thực tế thì chính là ciệc mà bạn điền địa
chỉ trên phong bì thư còn trong công nghệ thông tin thì đó là hệ thống mạng và địa
chỉ IP (Internet Protocol) đây là một giao thức xác định máy tính khác trên một hệ
thống mạng.
• Vấn đề truyền tin trong một hệ thống mạng không đơn giản chỉ để xác nhận thông
tin về địa chỉ mà còn phải trải qua nhiều công đoạn, nhiều giao thức khác nhau. Ví
dụ như bạn gửi thông tin qua các giao thức nào SMTP (Simple Mail Server Protocol),
POP3 (Post Office Protocol) Http (Hyper Text Transfer Protocol).v.v..
• Những vấn đề truyền tin theo các giao thức này rất quan trọng vì thức chất các giao
thức này đều có những phương thức mã hòa dữ liệu riêng.
• Trong việc bảo mật riêng ta cũng có thể lựa chọn nhiều phương thức để xác nhập
người nhận như IP Sec (IP security), VPN (Virtual Private Network), OpenVPN,.v.v..
• Việc truy cập không chỉ được điều khiển bởi bên gửi mà còn phụ thuộc vào bên
nhận. Bên nhận có nhận hay không? Và bên nhận xác nhận có đúng thông tin hay
không đó lại là một vấn đề của bên nhận. Bên nhận có sử dụng đúng giao thức
nhận, có giải mã đúng theo mã hóa đã thỏa thuận hay không.
• Như vậy điều khiển truy cập sẽ xác nhận thông tin từ hai phía sau đó nếu đúng thì
bên nhận sẽ nhận được thông tin mà bên gửi gửi. Do đó công việc của một Hacker
sẽ là việc mà lắm bắt được thông tin đóvà gói tin mà người gửi gửi.
3. Authentication.(Xác thực người dùng)
a.Mã hóa dữ liệu.
http;//vnexperts.net 11
• quá trình truyền thông tin trong thực tế và trong côn nghệ thông tin cũng đề bắt
buộc cả bên nhận và bên gửi phải mã hóa thông tin tránh việc mất thông tin và lộ
thông tin.
• Trong côn nghệ thông tin thì yêu cầu mã hóa là một trong những yếu tố l