Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

BÀI 1 – TỔNG QUAN VỀ AN NINH MẠNG

1. Khái niệm về an ninh mạng

Khái niệm về an ninh không có nghĩa là ngặn chặn mọi sự truy cập vào mạng. An
ninh phải cho phép truy cập vào mạng theo cách thức mà chúng ta muốn, cho phép mọi
người có thể làm việc với nhau. Mạng an toàn là một mạng được thiết kế mở để cho
phép mọi người có thể truy cập sử dụng các dịch vụ bất kể họ ở đâu và kết nối bằng gì.
Nếu ta thắt chặt an ninh, ta có thể cung cấp mức độ truy cập cao hơn và đảm bảo cho
phép những đối tác truy cập, và ngược lại ta cung có thể truy cập tới các đối tác

2. Chiến lược phát triển an ninh mạng

2.1. Mô hình phân cấp về an ninh

An ninh bao gồm rất nhiều lĩnh vực. Nếu ta xem xét các lĩnh vực theo thứ bậc thì ta
có An ninh là gốc của các lĩnh vực khác nhau. Ví dụ an ninh quốc gia, an ninh thông
tin, an ninh kinh tế có thể xem là các lĩnh vực con của an ninh.

Trong chương trình này chúng ta quan tâm tới an ninh mạng, là một bộ phận của an
ninh thông tin. An ninh được xem như vấn đề bảo vệ tài sản nói chung. An ninh thông
tin là vấn đề bảo vệ thông tin, và nguồn thông tin như sách vở, điện thoại, dữ liệu máy
tính ... An ninh mạng liên quan tới vấn đề bảo vệ các thành phần của mạng như dữ liệu,
các thiết bị phần cứng, phần mềm, môi trường

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 1

 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

Security

Information Security

Network Security

Data Base Data Computer Application

Mô hình trên mô tả quan hệMô

Hình 1: giữhình
an phân
ninh cấp
mạng và lĩnh
về các các vực
thành phần liên quan về an
an ninh
ninh. Nếu ta chỉ chú trọng và an ninh máy tính sẽ bỏ qua nhiều lỗ hổng có thể bị khai
thác bởi hacker. Bởi vậy an ninh mạng phải được xem xét trong ngữ cảnh của các thành
phần liên quan.

2.2. Chế độ 3D về an ninh (3Ds of Security 10)

Lĩnh vực an ninh thông tin không ngừng được phát triển, nhưng những vấn đề cơ
bản để đảm bảo an ninh thì không thay đổi. Nếu chúng ta muốn bảo vệ tài sản được tốt
thì cần phải nghiên cứu các bài học từ các chiến lược an ninh đã được sử dụng và
những vấn đề mà các chiến lược an ninh đó mắc phải.

Nguyên lý cơ bản được áp dụng trong tất cả mọi trường hợp hoặc môi trường cho dù ta
áp dụng chúng để bảo vệ máy tính, mạng, nhà cửa, người hay những tài sản khác. So sánh
giữa an ninh cá nhân và an ninh mạng là ví dụ điển hình, về nguyên tắc cơ bản thi giống
nhau. Trên thực tế, an ninh mạng cũng dựa trên nguyên lý an ninh của bất kỳ lĩnh vực nào. 3
chế độ cơ bản về an ninh có thể được áp dụng trong chiến lược an ninh là:
Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 2
 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

e bảo vệ

Defence - bảo vệ - là thành phần dễ hiểu và được sử dụng đầu tiên, trước bất kỳ các
phương pháp khác. Đánh giá chế độ bảo vệ giúp chúng ta giảm thiểu rủi ro về khả năng
thành công của các cuộc tấn công tới các tài sản. Ngược lại, nếu đánh giá không tốt về
chế độ bảo vệ ta có thể để các tài sản bị tấn công. Tuy nhiên defence chỉ là một thành
phần của chiến lược an ninh. Rất nhiều các công ty chỉ dựa vào firewall để bảo vệ các
tài sản thông tin, và những thông tin này không thể tránh được sự tấn công vì không
đảm bảo các chế độ còn lại

Ví dụ: Thường sử dụng firewall, router access list ...

Deterrence - gây khó khăn, ngăn trở - là chế độ thứ hai của an ninh. Ý tưởng của
việc ngăn trở và gây khó khăn giống như việc thiết lập các luật hoặc quy tắc chống lại
việc truy nhập và sử dụng trái phép tài sản, những hành vi vi phạm đều sẽ bị xử lý.
Deterrence thường được xem là phương pháp hiệu quả để giảm thiểu sự vi phạm an
ninh. Nếu có các quy định và luật được thiết lập thì những người tấn công sẽ phải cân
nhắc trước khi thực hiện việc vi phạm. Rất nhiều các công ty đã triển khai các quy định
cho nhân viên và sử dụng các hình thức xử lý để ngăn chặn các vi phạm

Ví dụ: ta có thể sử dụng các quy định, email, thông báo ...

Detection - phát hiện - là chế độ thứ 3 trong chiến lược an ninh nhưng lại thường ít được
triển khai trên các máy tính trong mạng. Defence và deterrence chỉ sử dụng để ngăn chặn sự vi
phạm an ninh chứ không thể phát hiện những sự vi phạm đó khi đang xẩy ra. Thông thương sự
vi phạm an ninh có thể ngấm ngầm diễn ra trong một khoảng thời gian, nếu không có các chế
độ phát hiện kịp thời thì thiệt hại sẽ gia tăng nghiêm trọng

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 3

 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

Ví dụ: cài đặt phần mềm diệt virus, sử dụng ghi chép lần vết (audit trails hoặc
log files)

Ví dụ: về 3D trong việc triển khai an ninh cho tài sản cá nhân. Chúng ta cần làm gì
khi có những đồ vật quý trong nhà cần được bảo vệ nhưng vấn cho phép sử dụng? Ta sẽ
cần thiết lập cả 3 chế độ. Defence, ta cần khóa cửa sử dụng các khóa công nghệ cao và
chỉ cho phép những người tin cẩn sử dụng khóa. Deterrence, được bảo vệ bởi luật pháp
chống lại việc trộm cắp, ta có thể sử dụng thêm chó canh nhà. Detection có thể được sử
dụng bởi camera, infrared sensor, hoặc các công nghệ cảnh bảo khác, ta còn có thể kết
hợp với các công ty bảo vệ hoặc cảnh sát.

Chú ý: Cả 3 chế độ rất cần thiết để đảm bảo an ninh, không nên bỏ sót chế độ nào.
Hầu hết tất cả các công ty đều đầu tư ít hoặc nhiều vào vấn đề an ninh nhưng công ty
nào chú trọng vào cả 3 chế độ thì sẽ có hiệu quả hơn

2.3. Quá trình phát triển về an ninh mạng (Evolution of security 17)

Thực tế về an ninh thông tin đã thay đổi rất nhiều trong những năm qua. Từ khi các
máy tính cá nhân có thể được kết nối qua mạng trong môi trường các trường Đại học và
các Viện nghiên cứu sang môi trường chính phủ, trước khi thương mại áp dụng vấn đề
an ninh, các công nghệ về an ninh trước đây chỉ được phát triển đặc biệt cho các môi
trường đó. Trong môi trường nghiên cứu, mục đích chính là chia sẽ thông tin hoàn toàn.
Bởi vậy vấn đề an ninh chỉ thuần túy là chức năng kế toán để tính tiền sử dụng thông
tin và tài nguyên. Trong hệ thống mạng của chính phủ, an ninh thông tin được đảm bảo
chặt chẻ nên các máy tính bị ngăn chặn hoàn toàn, đảm bảo sự truy nhập và sử dụng dữ
liệu mật.

Government blockage model - protected internal resources, no external access

Academic open access model - unprotected internal resources, full external access

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 4

 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

Ví dụ: InterNex (ISP ở Palo Alto được mua bởi Concentric Network Corp.) sử dụng
mô hình mở, không có kiểm soát an ninh ngoại trừ xác thực bởi username, password.
Năm 1994, Kevin Mitnick đã lợi dụng kẽ hở này để sử dụng một tài khoản và tấn công
các máy tính ở San Diego bằng cách giả mạo IP. Sau đó tấn công sang các máy tính ở
các thành phố khác như San Francisco, Denver, San José. Đến tận 15/2/1995 Kevin bị
bắt và xử phạt 5 năm tù và đã xác nhận về hệ thống an ninh của chính phủ năm 2000
trước Quốc hội Mỹ.

Các chiến lược an ninh này vẫn được sử dụng nhưng chúng không còn phù hợp với
những mô hình của các mạng máy tính hiện nay, đặc biệt là trong lĩnh vực kinh tế,
thương mại. Từ khi thương mại điện tử phát triển, cả hai mô hình trên đều không phù
hợp. Mô hình đóng không thể thực hiện vì ta cần phải cho phép người sử dụng truy cập.
Tương tự, mô hình mở cũng không thể áp dụng khi ta cần phải bảo vệ thông tin cá nhân
cho mọi người. Thương mại điện tử đặt ra một mô hình an ninh hoàn toàn khác biệt cho
phép giới hạn và kiểm soát sự truy cập tài nguyên của người sử dụng đồng thời đảm
bảo an toàn về thông tin cá nhân. Mô hình này yêu cầu phải có sự xác thực, phân quyền
và đảm bảo bí mật cho người sử dụng.

Ví dụ: Bảo vệ tài sản cá nhân. Ta có thể cho phép những người đưa hàng, vệ sinh, thợ
sửa chữa vào nhà làm các công việc của họ nhưng vẫn ngăn chặn được những kẻ xấu

Các sản phẩm hiện đại đều được thiết kế để phù hợp với mô hình an ninh mới. Tuy
nhiên sự phát triển quá nhanh của Internet làm thay đổi mô hình thương mại của các
mạng máy tính. Do vậy rất nhiều sản phẩm không thể theo kịp những sự thay đổi đó.
Hầu hết các sản phẩm sử dụng chức năng trên mạng đều rất khó hoặc không thể đạt các
yêu cầu về an ninh. Bởi vậy thiết kế chiến lược an ninh cần phải nhận biết các điểm yếu
để có thể đưa ra được các giải pháp để bù trừ cho các sản phẩm yếu kém.

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 5

 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

Ví dụ: Tăng cường hệ thống phát hiện để hỗ trợ cho hệ thống bảo vệ (trong 3Ds).
Thêm phần mềm quét và diệt virus tăng cường cho hệ thống firewall. Thường xuyên
cập nhật các phiên bản mới nhất của các công cụ.

Chú ý: Có rất nhiều mô hình an ninh trên lý thuyết. Một số mô hình liên quan tới
kiến trúc mạng, một số mô hình liên quan đến truy cập dữ liệu. Tuy nhiên, chiến lược
về an ninh cần phải linh hoạt, phải được đánh giá định kỳ và thay đổi theo thực tế và
công nghệ

2.4. Các bước cần thiết (5 steps to better security 12)

Trong an ninh mạng, mục tiêu của việc triển khai hệ thống an ninh phải được làm rõ
để hoạch định chiến lược và lựa chọn công nghệ. Trên phương diện của người thực
hiện an ninh, xác định mục tiêu là vấn đề khó khăn. Thông thường chúng ta được đưa
ra yêu cầu bảo vệ an ninh mạng. Trong trường hợp này, ta cần phải đưa ra được mục
tiêu và đặt ra các giả thuyết để thực hiện kế hoạch về an ninh. Khi triển khai chiến lược
an ninh ta phải cân nhắc

- Không thể đảm bảo an ninh tuyệt đối

- Ta có thể quản lý được các rủi ro về an ninh

- Sử dụng các công nghệ chống lại các rủi ro để đạt được mục tiêu

Trước khi thiết lập chiến lược an ninh, ta cần phải thực hiện 5 bước quan trọng.
Chúng là một yêu cầu trong giai đoạn đánh giá và là một phần trong việc triển khai
chiến lược an ninh. Các bước này trả lời 5 câu hỏi theo trình tự dùng để xác định các
yêu cầu về an ninh và có thể hỗ trợ cho việc xây dựng các giải pháp an ninh

Assets - tài sản - Ta cần bảo vệ cái gì? Phải xác định được tài sản cần được bảo vệ
để tránh việc xây dựng hệ thống an ninh sai mục đích

Ví dụ: CSDL, khả năng cung cấp dịch vụ, thông tin cá nhân

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 6

 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

Risk - rủi ro - Đâu là những điểm yếu, lỗ hổng và các nguy cơ gì có thể xẩy ra?
Điểm yếu của tài sản có thể bị khai thác bởi các nguy cơ nào? Rủi ro có thể được xác
định trong trường hợp các nguy cơ đó khai thác được các điểm yếu. Tổng hợp các yếu
tố này ta có thể xác định các thành phần cần thiết cho hệ thống an ninh để bảo vệ tài
sản nói trên.

Ví dụ: dùng trong hay ngoài firewall, network, hoặc trên server và giá thành

Protections - bảo vệ - Tài sản đó được bảo vệ như thế nào? Khi yêu cầu về tài sản
được xác định trong câu hỏi 1 và rủi ro được xác định trong câu hỏi 2, ta có thể xem xét
các quy định, thủ tục và kỹ thuật thực tế sử dụng để cung cấp mức độ bảo vệ thích hợp.
Ngoài ra ta còn có thể đảm bảo các chúng được thiết lập đúng chỗ

Ví dụ: sử dụng các biện pháp bảo vệ (defence) như firewall, ACL hoặc các quy định
(deterrence)

Tools - công cụ - Ta cần sử dụng thiết bị và công nghệ nào để đảm bảo? Câu hỏi 3
giúp ta phân loại các thành phần của hệ thông an ninh và ta cần phải lựa chọn các công
cụ hỗ trợ. Đây là giai đoạn đánh giá các sản phẩm

Priorities - mức độ ưu tiên - Thứ tự thực hiện và triển khai hệ thống an ninh như thế
nào? Khi ta đã xác định được các công cụ và kỹ thuật để bảo vệ tài sản từ những nguy
cơ thì ta sẽ triển khai theo thứ tự ưu tiên nào. Đặc biệt trong trường hợp ta chưa có khả
năng để triển khai đồng bộ toàn bộ hệ thống an ninh

Ví dụ: Khi xây dựng web site thương mại. Để trả lời những câu hỏi này người thiết
kế có thể xác định các thành phần cần bảo vệ như thông tin, tài khoản của người sử
dụng, khả năng phục vụ của web site. Khi đó ta cần mã hóa khi kết nối trao đổi thông
tin, lưu trữ dữ liệu trong các CSDL khác nhau và được mã hóa. Server có sử dụng
firewall để chống lại DOS và có thể tiến hành chạy song song 2 server v.v.

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 7

 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

2.5. Triển khai chiến lược an ninh

Phương pháp tổng thể để triển khai chiến lược an ninh bắt đầu bằng việc mô tả cần
bảo vệ cái gì và tại sao. Sau đó xác định khi nào triển khai và các bước triển khai cụ thể
như thế nào. Thứ tự hoàn chỉnh để triển khai chiến lược an ninh bao gồm nhiều thành
phần. Các thành phần đó thường được xác định qua 5 bước nói trên bao gồm: xác định
mục tiêu yêu cầu, phạm vi, chính sách, kỹ thuật kiến trúc, kế hoạch thực hiện, chuẩn -
thủ tục – và hướng dẫn thực hiện

Mục tiêu và yêu cầu: là điểm bắt đầu của tất cả các chiến lược an ninh. Để triển khai
được giải pháp an ninh thì mục tiêu và yêu cầu phải được xác định rõ ràng. Mục tiêu
không thể đơn giản như “bảo vệ mạng từ các nguy cơ từ Internet” hay “bảo vệ dữ liệu
mật không cho phép các tổ chức hay cá nhân khác truy nhập”

Phạm vi an ninh là để xác định giá thành, mô hình và thời gian thực hiện. Thông
thường các dự án được chia thành các các gói nhỏ thực hiện theo từng giai đoạn để dễ
dàng quản lý.

Chính sách an ninh mô tả chi tiết về mục tiêu và yêu cầu.

3. An toàn và bảo mật Hệ thống thông tin

3.1. An toàn và bảo mật thông tin

 Hệ thống thông tin an toàn thì trước hết phải có sự đảm bảo thông tin
(information assurance) trên cơ sở hạ tầng mạng truyền dữ liệu tin cậy và
thông suốt.

 Đi kèm với an toàn là bảo mật thông tin để đảm bảo bí mật về nội dung
thông tin được truyền tải.

 Hai yếu tố an toàn và bảo mật đều rất quan trọng và có sự gắn bó mật thiết
với nhau

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 8

 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

Hình 2 Các thà nh phầ n cơ bả n về thông tin

Các thành phần cơ bản về thông tin gồm có:

C - Confidentiality: bảo mật

I - Integrity: toàn vẹn

A- Accessibility: sẵn sàng

Các thành phần cơ bản về mạng:

Hardware: các thiết bị

Software: ứng dụng

Communication: môi trường trao đổi thông tin

3.2. Các tính chất cần đảm bảo an ninh cho Hệ thống thông tin

Để đảm bảo an ninh bảo mật cho Hệ thống thông tin, các hệ thống cần phải đáp ứng
đầy đủ các tính chất bảo mật sau:

Đảm bảo được các tính chất an toàn của mạng máy tính (Computer Security)

Tính an toàn (safety)

Tính tin cậy (reliability)

Tính sẵn sàng (accessibility)

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 9

 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

Tính mở rộng (scalability)

Tính dễ quản trị (managebility)

Đảm bảo được các nguyên tắc về tính bảo mật thông tin (Information Assurance)

Tính bí mật (privacy/confidentiality)

Tính toàn vẹn (integrity)

Tính xác thực/nhận dạng (authenticity)

Tính trách nhiệm/không thể chối bỏ (non-repudiation)

3.3. Mô hình triển khai An ninh (Defence In Depth)

Từ khi các máy tính cá nhân có thể được kết nối qua mạng trong môi trường các
trường Đại học và các Viện nghiên cứu sang môi trường chính phủ, trước khi thương
mại áp dụng vấn đề an ninh, các công nghệ về an ninh trước đây chỉ được phát triển đặc
biệt cho các môi trường đó. Các mô hình triển khai cơ bản gồm có:

Government blockage model – bảo vệ tài nguyên, không cho phép truy cập
từ bên ngoài, chỉ truy cập từ trong hệ thống

Academic open access model – tài nguyên được chia sẻ, cho phép truy cập từ
bên ngoài

Commercial mix model – tài nguyên và dịch vụ được phân lớp và kiểm soát

quyền truy cập từ ngoài cũng như từ bên trong

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 10

 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

Các mô hình triển khai An ninh (Defence In Depth) gồm có các mô hình như sau

Lollipop Model of Defence Onion Model of Defence

Trong đó:

Lollipop Model:

- Thiết lập vành đai bảo vệ truy cập (tương đối)

- Bảo vệ dữ liệu (quan trọng)

Onion Model:

- Thiết lập vành đai bảo vệ (vòng ngoài)

- Phân lớp kiểm soát quyền truy cập (các khu vực)

- Bảo vệ dữ liệu (theo nhiều tầng)

So sánh Lollipop Model vs Onion Model:

- Thiết lập vành đai bảo vệ truy cập (vòng ngoài)

Firewall, Router Access List, Authentication

- Phân lớp kiểm soát quyền truy cập (các lớp)

Network: Environment, protocols

Host: Operating System, Authorization

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 11

 Trung tâm Đào tạo E-Learning Cơ hội học tập cho mọi người

Application: Xử lý và trao đổi dữ liệu

- Bảo vệ dữ liệu (vòng trong)

Backup, Mã hóa

Chúc Anh/ Chị học tốt!

Bài 1: Tổng quan về an ninh và bảo mật thông tin Trang 12