Đang tải... (xem toàn văn)
An ninh mạng
MÔT SỐ ĐỊNH HƯỚNG XÂY DỰNG HỆ THỐNG BẢO ĐẢM AN TỒN AN NINH CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU CHƯƠNG TRÌNH 112 Tháng 6-2004 Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” MÔT SỐ ĐỊNH HƯỚNG XÂY DỰNG HỆ THỐNG BẢO ĐẢM AN TỒN AN NINH CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU Hệ thống kiểm soát truy nhập 1.1 Các nguyên tắc định hướng để lựa chọn hệ thống kiểm sốt truy nhập: • Hệ thống có khả kiểm sốt sách truy nhập hệ thống sở kiểm tra IP nguồn, IP đích sở kiểm tra Username Password • Kiểm sốt gói tin từ mức đến mức theo mơ hình OSI, đảm bảo kiểm sốt gói tin từ lớp mạng đến tầng ứng dụng • Hệ thống kiểm sốt có tính bảo mật cao, có nhiều tính an tồn an ninh • Có tính quản lý, quản trị tập trung sách an ninh cảnh báo, log • Đảm bảo bảo vệ theo chiều sâu với nhiều tầng kiểm sốt • Cung cấp khả chuyển địa nội thành địa public (NAT) • Cung cấp tính tạo cổng mã hố VPN • Tích hợp phần cứng chun dụng để giảm thiểu nguy bị xâm nhập phá hoại lỗ hổng bảo mật hệ điều hành, đồng thời giảm chi phí bảo hành, bảo trì hệ điều hành • Có khả phịng chống cơng DoS, DDoS, SYNFlood, từ phía mạng khơng tin cậy • Lọc nội dung, kiểm sốt truy nhập sở lọc URL • Có độ sẵn sàng cao (High Avaibility) • Đảm bảo băng thơng cho hệ thống trường hợp có áp dụng VPN • Tích hợp tốt với thành phần an ninh khác hệ thống hệ thống phòng chống virus (anti-virus), hệ thống phát phòng chống xâm nhập (IDS/IPS) • Có khả thay nhanh phần cứng phần mềm • Có hỗ trợ tốt nhà cung cấp cài đặt, triển khai, sửa lỗi bảo trì bảo hành 1.2 Giải pháp đề nghị áp dụng: 1.2.1 Mơ hình trung tâm nhỏ 1.2.1.1 Vị trí lắp đặt: Sử dụng 02 firewall bảo vệ: Firewall thứ chuyên để quản lý truy cập Internet Firewall thứ hai chuyên để kiểm soát mạng CPNet Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” DE XUAT MO HINH BAO VE MANG BANG FIREWALL CHO DUONG INTERNET VA CPNET Server Server Server Internet SWITCH Laptop PC Firewall1 Safe@225U PC CPNet Internal Network Firewall2 Safe@225U Mơ hình cho phép tăng hệ số an toàn mạng dễ dàng quản trị Khi firewall bị lỗi không ảnh hưởng đến kết nối firewall cịn lại 1.2.1.2 Các tính đạt được: Các tính firewall • Thơng lượng firewall đạt tốc độ tới 150Mbps • Firewall có sẵn tính VPN với tốc độ sử lý đến 30Mbps Hỗ trợ hai mơ hình kết nối VPN client-to-site site-to-site • Hỗ trợ tới 8000 kết nối đồng thời • Hỗ trợ khả sẵn sàng cao High Availability Các tính kĩ thuật: • Kiểm sốt truy cập o Kiểm sốt truy cập từ bên ngồi(CPNet, Internet) vào bên mạng o Kiểm soát truy cập từ bên mạng bên ngồi (CPNet, Internet) • Biên dịch địa chỉ: o Dịch địa máy bên mạng DMZ sang địa thực bên o Dịch địa máy bên mạng nội sang địa địa card mạng bên ngồi 1.2.2 Mơ hình trung tâm trung bình 1.2.2.1 Vị trí lắp đặt Sử dụng 03 firewall bảo vệ: Firewall thứ chuyên để quản lý truy cập Internet Firewall thứ hai chuyên để kiểm soát mạng CPNet Firewall thứ ba chuyên để bảo vệ máy bên mạng Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” DE XUAT MO HINH BAO VE MANG BANG FIREWALL CHO VUNG DMZ, DUONG INTERNET VA CPNET CPNet Firewall2 Safe@225U Internet Firewall1 Safe@225U Web Server Mail Server FTP Server SWITCH DMZ Network Firewall3 Celestix FV930 Computer Computer Admin Point SWITCH Internal Network Computer Computer Laptop Mơ hình cho phép tăng hệ số an toàn mạng dễ dàng quản trị Khi firewall bị lỗi không ảnh hưởng đến kết nối firewall cịn lại Ngồi ra, firewall thứ ba làm tăng độ bảo mật hệ thống, tạo thêm lớp bảo vệ cho máy bên mạng 1.2.2.2 Các tính đạt Các tính firewall Firewall bảo vệ bên ngồi: o Thơng lượng firewall đạt tốc độ tới 150Mbps o Firewall có sẵn tính VPN với tốc độ sử lý đến 30Mbps Hỗ trợ hai mơ hình kết nối VPN client-to-site site-to-site o Hỗ trợ tới 8000 kết nối đồng thời o Hỗ trợ khả sẵn sàng cao High Availability Firewall bảo vệ bên trong: o Thông lượng firewall đạt tốc độ tới 220Mbps Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” o Firewall có sẵn tính VPN với tốc độ xử lý đến 54 Mbps Hỗ trợ hai mơ hình kết nối VPN client-to-site site-to-site o Chạy phần cứng chuyên dụng với hệ điều hành làm cứng hố Các tính kĩ thuật: • Kiểm sốt truy cập o Kiểm sốt truy cập từ bên ngồi(CPNet, Internet) vào bên mạng o Kiểm soát truy cập từ bên mạng bên ngồi (CPNet, Internet) • Biên dịch địa chỉ: o Dịch địa máy bên mạng DMZ sang địa thực bên o Dịch địa máy bên mạng nội sang địa địa card mạng bên ngồi • Chống cơng o Chống lại công tầng ứng dụng Firewall lớp phải có khả cập nhật mẫu cơng 1.2.3 Mơ hình trung tâm lớn 1.2.3.1 Vị trí lắp đặt Sử dụng 03 firewall bảo vệ: Firewall thứ chuyên để quản lý truy cập Internet Firewall thứ hai chuyên để kiểm soát mạng CPNet Firewall thứ ba chuyên để bảo vệ máy bên mạng, bảo vệ vùng máy chủ quan trọng DE XUAT MO HINH BAO VE MANG BANG FIREWALL CHO VUNG DMZ, VUNG CAC MAY CHU, DUONG INTERNET VA CPNET CPNet Firewall2 Safe@225U Internet Firewall1 Safe@225U Mail Server FTP Server Web Server SWITCH DMZ Network Firewall3 Resilience 4510 May chu quan tri tap trung cua Check Point SWITCH DataBase Server SWITCH Computer Computer APP Server PC Zone Laptop Computer Computer Mơ hình cho phép tăng hệ số an toàn mạng dễ dàng quản trị Firewall thứ ba làm tăng độ bảo mật hệ thống, tạo thêm lớp bảo vệ cho máy bên mạng, máy chủ quan trọng Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” 1.2.3.2 Các tính đạt Các tính firewall Firewall bảo vệ bên ngồi: o Thơng lượng firewall đạt tốc độ tới 150Mbps o Firewall có sẵn tính VPN với tốc độ sử lý đến 30Mbps Hỗ trợ hai mơ hình kết nối VPN client-to-site site-to-site o Hỗ trợ tới 8000 kết nối đồng thời o Hỗ trợ khả sẵn sàng cao High Availability Firewall bảo vệ bên trong: Đảm bảo hoạt động với tốc độ cao, khả sẵn sàng cao o Thông lượng firewall đạt tốc độ tới 600Mbps o Firewall có sẵn tính VPN với tốc độ xử lý đến 200 Mbps AES/MD5 Hỗ trợ hai mơ hình kết nối VPN client-to-site site-to-site o Chạy phần cứng chuyên dụng với hệ điều hành làm cứng hố Các tính kĩ thuật: • Kiểm sốt truy cập o Kiểm sốt truy cập từ bên ngồi(CPNet, Internet) vào bên mạng o Kiểm soát truy cập từ bên mạng bên ngồi (CPNet, Internet) • Biên dịch địa chỉ: o Dịch địa máy bên mạng DMZ sang địa thực bên o Dịch địa máy bên mạng nội sang địa địa card mạng bên ngồi • Chống cơng Firewall lớp phải có khả chống lại cơng tầng ứng dụng, khả cập nhật mẫu cơng • Khả sẵn sàng cao: Firewall lớp phải gồm hai module chạy theo chế độ activestandby Khi module bị hỏng, module cịn lại tự động thay mà khơng cần can thiệp người quản trị Khi cần nâng cấp lên hoạt động với mơ hình active-active Hệ thống phát phòng chống xâm nhập 2.1 Các nguyên tắc lựa chọn hệ thống phát phịng chống xâm nhập • • • • • • • • Phát phòng chống kiểu xâm nhập trái phép, luôn cập nhật kỹ thuật phịng chống xâm nhập Có khả bố trị nhiều vùng khác hệ thống: vùng DMZ, vùng Core, vùng LAN theo dõi xâm nhập gateway, server, PC Có khả kiểm sốt nhiều giao thức khác Khơng ảnh hưởng/Ảnh hưởng đến băng thơng hệ thống Có khả chủ động chống lại công, xâm nhập cách tự động Không đưa ra/Ít đưa cảnh báo sai xâm nhập (low false positive) Quản trị tập trung hệ thống phát phịng chống xâm nhập, có khả thực đánh giá tương quan kiện an tồn an ninh vị trí khác hệ thống Tích hợp tốt với thành phần an ninh khác hệ thống hệ thống phịng chống virus (anti-virus), hệ thống kiểm sốt truy nhập (firewall) Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” • • • 2.2 Tích hợp phần cứng chuyên dụng để giảm thiểu nguy bị xâm nhập phá hoại lỗ hổng bảo mật hệ điều hành, đồng thời giảm chi phí bảo hành, bảo trì hệ điều hành Có khả thay nhanh phần cứng phần mềm Có hỗ trợ tốt nhà cung cấp cài đặt, triển khai, sửa lỗi, bảo trì bảo hành Giải pháp đề nghị áp dụng 2.2.1 Mơ hình trung tâm nhỏ 2.2.1.1 Vị trí lắp đặt Sử dụng thiết bị phát phòng chống xâm nhập đặt mức gateway, phía trước mạng LAN Internet/CPNet Server Server Proventia M30 Server Firewall SWITCH Laptop PC PC Internal Network • • • • • • • • • 2.2.1.2 Các tính đạt Sử dụng kỹ thuật phát ngăn chặn công 2500 kiểu kiểm tra để ngăn chặn công mà không ảnh hưởng tới traffic thơng thường Chống báo động giả Chính sách an ninh mặc định bao gồm 160 luật thiết lập sẵn, có khả chống cơng hỗn hợp virus MS Blaster, SQL Slammer, Nimda, Code Red… mà khơng cần đến trình độ cao người quản trị Đáp ứng cho mạng có quy mơ đến 500 người sử dụng Hoạt động với tốc độ lên tới 200 Mbps Thiết bị phần cứng Intel, theo chuẩn Rack- Mount Hệ thống quạt, nguồn dự phòng đảm bảo an toàn cho liệu trước lỗi phần cứng Triển khai quản trị mềm dẻo : quản trị riêng lẻ qua WebUI , quản trị tập trung phần mềm Site Protector Có thể mở rộng thêm tính an ninh gateway lọc nội dung chống thư rác 2.2.2 Mơ hình trung tâm trung bình 2.2.2.1 Vị trí lắp đặt Sử dụng thiết bị phát phòng chống xâm nhập đặt sau firewall, thiết bị có nhiệm vụ kiểm sốt cơng xâm nhập mức gateway Thiết bị dạng ngặn chặn công vào máy chủ mail, máy chủ web, máy chủ sở liệu Khi xâm nhập lọt qua, thiết bị tự động loại bỏ kết nối block gói tin sử dụng để cơng Các thiết bị dạng hoạt động chế độ chặn bắt gói tin cho nguy hiểm chế độ đưa cảnh báo cho quản trị viên hệ thống công xâm nhập xảy Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” Internet/CPNet Server Sensor Web Server Server Sensor Server Sensor Proventia G200 Mail Server FTP Server SWITCH Firewall DMZ Network Firewall Site Protector Computer Computer Admin Point SWITCH Internal Network Computer Computer Laptop 2.2.2.2 Các tính đạt A-Thiết bị phòng chống xâm nhập hoạt động mức gateway: • • • • • • • • • Thiết bị hoạt động chế độ inline để đưa cảnh báo xâm nhập tự động có hành động chống lại xâm nhập, khơng cần tác động quản trị viên hệ thống Đảm bảo hoạt động với tốc độ lên tới 200 Mbps Phân tích lọc liệu lớp Application Bảo vệ Segment 10/100/1000 Kích cỡ 1U rack-mount Đảm bảo tính ổn định với nguồn dự phịng Thiết bị khơng có địa IP mạng, hạn chế cơng vào thiết bị Ngăn chặn công không ngăn chặn firewall thông thường như: Kazaa , Gnutella, Grokster, Morpheus, iMesh, công tận dụng điểm yếu bảo mật AOL Instant Messenger, MSN Messenger, Yahoo Messenger Phát xâm nhập lọt qua kiểm sốt firewall B-Phần mềm phịng chống xâm nhập cho máy chủ • • • • • • Chống lại công vào hệ điều hành server Phát dị tìm bất hợp pháp, thay đổi cấu hình dẫn tới an toàn hệ thống, hành vi thay đổi nội dung trang Web, công DoS, hành vi tạo backdoor Chặn công không theo giao thức IP Chống công dạng DoS, DDoS Chống lại hành vi trinh sát công, thu thập thơng tin bất hợp pháp Các hình thức đáp trả công: o Ngắt session gây công o Cấm user hoạt động o Thực chương trình định nghĩa trước để chống cơng Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” o Block gói tin bị nghi dùng để cơng, trinh sát C-Phần mềm phịng chống xâm nhập cho máy trạm • • • • • • • • • • • • Tính Firewall: kiểm sốt luồng thông tin vào khỏi máy cài để phát dấu hiệu khả nghi Phát xâm nhập Thông báo tới người sử dụng công ngăn chặn mối nguy hiểm cho máy tính hay cho tồn mạng Thu thập thông tin kẻ công ghi lại chứng cơng Kiểm sốt ứng dụng: chống lại ứng dụng chưa biết ứng dụng mang tính phá hoại mà khơng làm ảnh hưởng tới ứng dụng hay dịch vụ bình thưịng khác Kiểm soát kết nối: chống lại kết nối trái phép, ngăn cản kẻ xâm nhập kết nối thông thường tới mạng nội internet không bị ảnh hưởng Quản trị từ xa: làm việc với module quản trị thông báo tới người quản trị an ninh mạng thông tin kiện xảy máy cá nhân Nâng cấp, cập nhật cho máy thực tập trung Ngăn chặn luồng thông tin Cho phép người sử dụng hay người quản trị tập trung kiểm sốt luồng thơng tin từ client dựa cổng, địa IP hay dựa giao thức Hỗ trợ sửa lỗi: Hỗ trợ VPN: Cấm Client không truy cập VPN Client khơng cài chương trình diệt virus chương trình diệt Virus máy cũ, khơng cập nhật Thiết lập sách an ninh bắt buộc cho VPN Client truy nhập vào mạng 2.2.3 Mơ hình trung tâm lớn 2.2.3.1 Vị trí lắp đặt Sử dụng hai thiết bị phát phòng chống xâm nhập đặt sau firewall, thiết bị có nhiệm vụ kiểm sốt cơng xâm nhập mức gateway Thiết bị dạng ngặn chặn công vào máy chủ mail, máy chủ web, máy chủ sở liệu vùng DMZ core Khi xâm nhập lọt qua, thiết bị tự động loại bỏ kết nối block gói tin sử dụng để công Các thiết bị dạng hoạt động chế độ chặn bắt gói tin cho nguy hiểm chế độ đưa cảnh báo cho quản trị viên hệ thống công xâm nhập xảy Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” Internet/CPNet Firewall Proventia G200 Server Sensor Server Sensor Server Sensor Mail Server FTP Server Web Server SWITCH DMZ Network Firewall Server Sensor DB & APP Zone Desktop Protector Server Sensor Site Protector Proventia G200 DataBase Server APP Server SWITCH Computer Computer Admin Point SWITCH PC Zone Desktop Protector Computer Fusion Module Desktop Protector Computer Laptop Third party module 2.2.3.2 Các tính đạt A-Thiết bị phòng chống xâm nhập hoạt động mức gateway: • • • • • • • • • Thiết bị hoạt động chế độ inline để đưa cảnh báo xâm nhập tự động có hành động chống lại xâm nhập, không cần tác động quản trị viên hệ thống Đảm bảo hoạt động với tốc độ lên tới 200 Mbps Phân tích lọc liệu lớp Application Bảo vệ Segment 10/100/1000 Kích cỡ 1U rack-mount Đảm bảo tính ổn định với nguồn dự phịng Thiết bị khơng có địa IP mạng, hạn chế công vào thiết bị Ngăn chặn cơng khơng ngăn chặn firewall thông thường như: Kazaa , Gnutella, Grokster, Morpheus, iMesh, công tận dụng điểm yếu bảo mật AOL Instant Messenger, MSN Messenger, Yahoo Messenger Phát xâm nhập lọt qua kiểm sốt firewall B-Phần mềm phịng chống xâm nhập cho máy chủ • • • • • • Chống lại công vào hệ điều hành server Phát dị tìm bất hợp pháp, thay đổi cấu hình dẫn tới an tồn hệ thống, hành vi thay đổi nội dung trang Web, công DoS, hành vi tạo backdoor Chặn công không theo giao thức IP Chống công dạng DoS, DDoS Chống lại hành vi trinh sát công, thu thập thông tin bất hợp pháp Các hình thức đáp trả công: o Ngắt session gây công o Cấm user hoạt động o Thực chương trình định nghĩa trước để chống công o Block gói tin bị nghi dùng để cơng, trinh sát 10 Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” C-Phần mềm phòng chống xâm nhập cho máy trạm • • • • • • • • • • • • • Tính Firewall: kiểm sốt luồng thông tin vào khỏi máy cài để phát dấu hiệu khả nghi Phát xâm nhập Thông báo tới người sử dụng công ngăn chặn mối nguy hiểm cho máy tính hay cho tồn mạng Thu thập thơng tin kẻ công ghi lại chứng cơng Kiểm sốt ứng dụng: chống lại ứng dụng chưa biết ứng dụng mang tính phá hoại mà khơng làm ảnh hưởng tới ứng dụng hay dịch vụ bình thưịng khác Kiểm soát kết nối: chống lại kết nối trái phép, ngăn cản kẻ xâm nhập kết nối thông thường tới mạng nội internet không bị ảnh hưởng Quản trị từ xa: làm việc với module quản trị thông báo tới người quản trị an ninh mạng thông tin kiện xảy máy cá nhân Nâng cấp, cập nhật cho máy thực tập trung Ngăn chặn luồng thông tin Cho phép người sử dụng hay người quản trị tập trung kiểm sốt luồng thơng tin từ client dựa cổng, địa IP hay dựa giao thức Hỗ trợ sửa lỗi: Hỗ trợ VPN: Cấm Client không truy cập VPN Client khơng cài chương trình diệt virus chương trình diệt Virus máy cũ, khơng cập nhật Thiết lập sách an ninh bắt buộc cho VPN Client truy nhập vào mạng Hệ thống phòng chống virus 3.1 Các nguyên tắc lựa chọn hệ thống phịng chống virus 3.1.1 Phân tích nguy Phòng chống virus nhiệm vụ quan trọng hệ thống bảo đảm an tồn-an ninh cho hệ thống mạng máy tính Hiện nay, virus xếp nguy hàng đầu ảnh hưởng an ninh hệ thống mạng Các nguy mạng máy tính virus gây bao gồm: • Phá hủy, làm sai lệch file liệu, sở liệu • Phá hoại file hệ thống, làm ngừng trệ hoạt động hệ thống • Tạo backdoor hệ thống, tạo điều kiện để hacker thâm nhập sử dụng hệ thống cách bất hợp pháp • Đánh cắp mật • Gây tắc nghẽn mạng Hậu nguy trên gây cho quan, tổ chức là: • Ảnh hưởng đến chất lượng làm việc, chất lượng công tác chuyên môn quan hệ thống CNTT ngừng hoạt động • Gây thất thơng tin, lộ bí mật cơng tác, bí mật kinh doanh • Tốn chi phí, bao gồm chi phí để khơi phục hệ thống, chi phí việc ngừng trệ hoạt động hệ thống, chi phí đường truyền • Làm uy tín việc dừng phục vụ hệ thống 11 Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” Một số hậu định lượng chi phí số hậu khơng thể định lượng chi phí 3.1.2 Các nguyên tắc để lựa chọn: Để lựa chọn sử dụng sản phẩm chống virus cho TTTH, cần xem xét tính sau đây, đặc biệt tính bảo mật quản trị • Có khả ngăn chặn diệt virus toàn thành phần mạng hệ thống: Ngăn chặn lan truyền lây nhiễm đoạn mã có hại qua cổng internet Bảo vệ hệ thống server trước công virus Ngăn chặn lây nhiễm virus qua thư điện tử Ngăn chặn lây nhiễm virus qua FTP server Bảo vệ PC trước công virus Ngặn chặn lan truyền virus mạng LAN/WAN Chống thư rác (Spam) • Có giải pháp quản trị hệ thống chống virus cách tập trung, đồng TTTH, nhiên có quản trị viên cấp với số quyền hạn định • Hệ thống chống virus phải cập nhật kịp thời, nhanh chóng, có dịch vụ tốt từ nhà cung cấp • Có giải pháp phịng chống, ngăn chặn việc bùng nổ lây lan virus trước có mẫu diệt virus nhà cung cấp sản phẩm • Hệ thống chống virus thường xun kiểm tra, kiểm sốt tính tồn vẹn • Có giải pháp cập nhật, nâng cấp tập trung 3.2 Giải pháp đề nghị áp dụng 3.2.1 Mơ hình trung tâm nhỏ 3.2.1.1 Vị trí lắp đặt Sơ đồ lôgic hệ thống AV cho tỉnh có quy mô hệ thống mạng mức nhỏ ServerProtect Server ScanMail ServerProtect TMCM+ IWSS +OSCE Server Mail Server Server AV Server IMSS+ Information Server AV Server Internet/CP net Firewall SWITCH OfficeScan Laptop PC PC Internal Network Đối với mơ hình trung tâm nhỏ bố trí máy tính để làm máy chủ antivirus máy: để cài o Thành phần chống virus gate way cho luồng HTTP FTP; o Thành phần server chương trình phịng chống virus cho máy trạm 12 Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” o Thành phần trị trị tập trung toàn hệ thống Antivirus máy: để cài o Thành phần chống virus gate way cho luồng SMTP; o Thành phần server chương trình phịng chống virus cho Server Triển khai thành phần bảo vệ Mail Server máy Mail Server Triển khai thành phần bảo vệ cho Server máy Server cần bảo vệ Triển khai thành phần bảo vệ cho máy trạm máy trạm 3.2.1.2 Các tính đạt Phịng chống virus lớp mạng: Gateway, Mail Server, Server, máy trạm Quản trị tập trung hệ thống Antivirus, quản lý áp đặt sách phòng chống virus cách tập trung thống Với máy trạm thành phần có số lượng đơng đảo mạng khó quản lý nhất, với giải pháp ngồi chống virus máy trạm theo chế độ quét: theo thời gian thực, quét theo lịch, quét tay, chí qt luồng mail POP3 máy trạm Và cịn có khả phân quyền cho không sử dụng để đảm bảo họ không tự ý gỡ bỏ khơng sử dụng chương trình phịng chống virus Cập nhật tự động, tiết kiệm chi phí truy cập internet cập nhật Có thể tạo báo cáo tự động tình trạng hệ thống phịng chống virus tình trạng phịng chống virus hệ thống mạng 3.2.2 Mơ hình trung tâm trung bình 3.2.2.1 Vị trí lắp đặt 13 Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phịng chống virus cho Trung tâm THDL 112” S¬ ®å l«gic hƯ thèng AV cho mét tØnh cã quy mô hệ thống mạng mức trung bình Internet/CP net Firewall ServerProtect ServerProtect ScanMail Mail Server Web Server FTP Server TMCM + IWSS IMSS AV Server AV Server OSCE Server+ Information Server AV Server SWITCH DMZ Network Firewall OfficeScan Computer Computer SWITCH Internal Network Computer Computer OfficeScan Laptop Đối với mơ hình trung tâm trung bình bố trí máy tính để làm máy chủ antivirus máy: để cài o Thành phần chống virus gate way cho luồng SMTP; máy: để cài o Thành phần chống virus gate way cho luồng HTTP FTP; o Thành phần trị trị tập trung toàn hệ thống Antivirus máy: để cài o Thành phần server chương trình phịng chống virus cho máy trạm; o Thành phần server chương trình phịng chống virus cho Server Triển khai thành phần bảo vệ Mail Server máy Mail Server Triển khai thành phần bảo vệ cho Server máy Server cần bảo vệ Triển khai thành phần bảo vệ cho máy trạm máy trạm 3.2.2.2 Các tính đạt Phịng chống virus lớp mạng: Gateway, Mail Server, Server, máy trạm Quản trị tập trung hệ thống Antivirus, quản lý áp đặt sách phịng chống virus cách tập trung thống Với máy trạm thành phần có số lượng đơng đảo mạng khó quản lý nhất, với giải pháp chống virus máy trạm theo chế độ quét: theo thời gian thực, quét theo lịch, quét tay, chí 14 Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phịng chống virus cho Trung tâm THDL 112” quét luồng mail POP3 máy trạm Và cịn có khả phân quyền cho khơng sử dụng để đảm bảo họ không tự ý gỡ bỏ khơng sử dụng chương trình phịng chống virus Cập nhật tự động, tiết kiệm chi phí truy cập internet cập nhật Có thể tạo báo cáo tự động tình trạng hệ thống phịng chống virus tình trạng phịng chống virus hệ thống mạng Bộ công cụ đánh giá mức độ an toàn an ninh cho hệ thống Đánh giá điểm yếu an toàn - an ninh dịch vụ chuyên nghiệp tổ chức: Tấn công trắc nghiệm hệ thống mạng từ bên ngoài: sản phẩm phải đánh giá độ an toàn an ninh mạng máy tính có kết nối Internet để xác định nguy bị công từ xa hệ thống Sản phẩm phải cung cấp thông tin chi tiết điểm yếu phát phương thức để khác phục điểm yếu Sản phẩm phải có khả năng: • Khảo sát mạng, tìm dấu vết: Liệt kê hành động mạng Thiết lập topology mạng sở việc quét DNS, IP host name Nhận diện host Dò quét dịch vụ host • Dị qt máy chủ nhằm: Phát điểm yếu an ninh máy chủ mail Phát điểm nhậy cảm mục tiêu công ác ý Phát thực thi TFTP FTP khơng an tồn Phát điểm yếu NetBIOS, SMB Phát điểm yếu dịch vụ RPC Phát điểm yếu HTTP, CGI • Đánh giá mặt an ninh cố gắng truy nhập vào máy chủ với quyền quản trị • Đánh giá mặt an ninh cố gắng nâng quyền truy nhập vào máy chủ user Đánh giá độ an toàn an ninh ứng dụng Web: phải đánh giá mức độ an ninh ứng dụng Web thực thi Có phương pháp để kiểm tra đánh giá giải rộng điểm yếu an ninh Các tác vụ phải phát có khả năng: • Xác định quyền hạn sử dụng thư mục ảo • Các cố gắng khai thác lỗi ký tự đặc biệt, bug hệ thống • Xác định cơng kiểu: meta character, buffer overflows, hex value • Xác định nhận diện vấn đề tiềm ẩn làm tính riêng tư sử dụng cookie • Xác định nhận diện vấn đề tiềm ẩn làm tính riêng tư sử dụng liệu khơng mã hoá Đánh giá lỗ hổng kết nối dial-up: phải đánh giá kết nối dialup quyền hệ thống Các kết nối thường gây lỗ hổng bảo mật (back door) cho hệ thống Tất modem nhận diện kiểm tra để xác định chế độ bảo mật thích hợp, điểm yếu nhận diện report kịp thời Kỹ thuật phải bao gồm: 15 Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” Đề xuất “Giải pháp an ninh mạng phòng chống virus cho Trung tâm THDL 112” • Xác định dấu vết số điện thoại để nhận diện vùng cơng • Phân loại số tham gia công xác định domain • Kiểm tra an ninh để nhận diện số bị lợi dụng • Thể log cơng Phân tích sách an tồn an ninh: phải phân tích sách an ninh hành cung cấp cảnh báo việc an tồn khơng hồn thiện sách Đánh giá bao gồm: • Đánh giá rủi ro kế hoạch hoạt động liên tục • Đánh giá thủ tục sách quyền quản trị viên • Đánh giá độ an tồn sách FW router • Đánh giá sách truy nhập từ xa • Đánh giá sách tìm kiếm lưu trữ chứng • Đánh giá tình hình phát xâm nhập • Đề xuất sách an ninh Thực dịch vụ quản lý điểm yếu: công cụ phải đánh giá điểm yếu theo chu kỳ Phải quản lý lỗ hổng bảo mật cho host để đánh giá điểm yếu bảo mật mạng đương đầu với cơng từ Internet Có khả lượng hố để đánh giá mức độ an tồn hệ thông theo thang điểm FoundScore Bảo đảm vận hành cho hệ thống: Hệ thống phải cập nhật thường xuyên Phải có chứng nhận đối tác độc lập mức độ an toàn an ninh hệ thống 16 Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn ”Security Made Easy” ... nhiệm vụ quan trọng hệ thống bảo đảm an toàn -an ninh cho hệ thống mạng máy tính Hiện nay, virus xếp nguy hàng đầu ảnh hưởng an ninh hệ thống mạng Các nguy mạng máy tính virus gây bao gồm: • Phá... chống virus hệ thống mạng Bộ công cụ đánh giá mức độ an toàn an ninh cho hệ thống Đánh giá điểm yếu an toàn - an ninh dịch vụ chuyên nghiệp tổ chức: Tấn công trắc nghiệm hệ thống mạng từ bên ngoài:... vào bên mạng o Kiểm sốt truy cập từ bên mạng bên ngồi (CPNet, Internet) • Biên dịch địa chỉ: o Dịch địa máy bên mạng DMZ sang địa thực bên o Dịch địa máy bên mạng nội sang địa địa card mạng bên