Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Phan1.3

588 views

Published on

Published in: Education
  • Be the first to comment

Phan1.3

  1. 1. 1.3/ Lập kế hoạch triển khai hệ thống bảo mật: Nguyên lý thiết kế hệ thống bảo mậtAn ninh mạng phải được thiết lập dựa trên các nguyên tắc sau: • Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thể ảnh hưởng sang các tầng hay lớp khác. • Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào đó. Bởi nếu như sản phẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng các sản phẩm tương tự của hãng đó trong mạng cũng sẽ bị xuyên qua và việc phân tầng, phân lớp trong chính sách phòng vệ là vô nghĩa. Vì vậy khi tiến hành phân tầng, tách lớp, nên sử dụng nhiều sản phẩm công nghệ của nhiều hãng khác nhau để hạn chế nhược điểm trên. Đồng thời sử dụng nhiều cộng nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDS làm công cụ "đánh hơi", phản ứng phòng vệ chủ động, Anti-virus để lọc virus...v.v • Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số chứng nhận tiêu chuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC 18405:2005 EAL4, ICSA Firewall và VPN, FIPS-140. Các chính sách về bảo mật: • Sử dụng phần mềm diệt Virus: Bảo vệ bằng cách trang bị thêm phần mềm diệt virus có khả năng nhận biết nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết được các virus mới nhất. • Sử dụng tường lửa:Các thông tin vào và ra đối với máy tính được kiểm soát một cách vô thức hoặc có chú ý. Nếu một phần mềm độc hại đã được cài vào máy tính thì nó sẽ cảnh báo và vô hiệu hóa chúng, giúp ngăn chặn các kết nối mà chúng ta ko mong muốn.
  2. 2. - Sau khi chúng ta đã nắm rỏ được các phương pháp và yêu cầu của doanh nghiệp thì bước tiếp theo sẽ xây dựng mô hình bảo mật cho công ty:- Mô hình bảo mật của công ty:- Giải thích về mô hình:  Tường Lửa(FireWall): Ở đây chúng ta sẽ cấu hình cho Firewall với mục đích chính là lọc các gói tin không an toàn, kiểm soát giao thông dữ liệu giữa hai vùng tin cậy khác nhau: mạng internet (vùng không an toàn) và mạng nội bộ(vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với đọ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu(principle of least privilege ).
  3. 3.  Máy chủ bảo mật: Trên Server này thì chúng ta sẽ tiến hành cài đặt một số chương trình bảo mật như là: Antivirus/Spam/malware….. - Một số giải pháp cho máy chủ Webserver:• Đặt các Webserver trong vùng DMZ. Thiết lập firewall không cho các kết nối tới Webserver trên toàn bộ các cổng, ngoại trừ cổng 80 (http), cổng 443 (https) và các cổng dịch vụ mà công ty đã sử dụng.• Loại bỏ toàn bộ các dịch vụ không cần thiết khỏi Webserver ngay cả dịch vụ truyền tệp FTP (chỉ giữ lại nếu thật cần thiết). Mỗi dịch vụ không cần thiết sẽ bị lợi dụng để tấn công hệ thống nếu không có chế độ bảo mật tốt.• Không cho phép quản trị hệ thống từ xa, trừ khi nó được đăng nhập theo kiểu mật khẩu chỉ sử dụng một lần hay đường kết nối đã được mã hoá.• Giới hạn số người có quyền quản trị hay truy cập mức tối cao (root).• Tạo các log file theo dõi hoạt động của người sử dụng và duy trì các log file này trong môi trường được mã hoá.• Hệ thống điều khiển log file thông thường được sử dụng cho bất kỳ hoạt động nào. Cài đặt các bẫy macro để xem các tấn công vào máy chủ. Tạo các macro chạy liên tục hoặc ít ra có thể kiểm tra tính nguyên vẹn của file passwd và các file hệ thống khác. Khi các macro kiểm tra một sự thay đổi, chúng nên gửi một email tới nhà quản lý hệ thống.• Loại bỏ toàn bộ các file không cần thiết khỏi thư mục chứa các file kịch bản thi hành: /cgi-bin.• Đăng ký và cập nhật định kỳ các bản sửa lỗi mới nhất về an toàn, bảo mật từ các nhà cung cấp.• Nếu hệ thống phải được quản trị từ xa, đòi hỏi một cơ chế bảo mật như bảo mật shell, được sử dụng để tạo ra một kết nối bảo mật. Không sử dụng telnet hay ftp với user là anynomous (đòi hỏi một usernam và password cho việc truy cập) từ bất cứ site không
  4. 4. được chứng thực nào. Tốt hơn, hãy giới hạn số kết nối trong các hệ thống bảo mật và các hệ thống bên trong mạng Intranet của công ty. • Chạy webserver trong các thư mục đã được đặt quyền truy cập và quyền sử dụng, vì vậy chỉ có người quản trị mới có thể truy cập hệ thống thực . • Chạy server FTP theo chế độ anonymous (nếu hệ thống cần) trong một thư mục được đặt quyền truy cập, khác với thư mục được sử dụng bởi webserver. • Thực hiện toàn bộ việc cập nhật từ mạng Intranet. Duy trì trang web ban đầu trên mỗi server trên hệ thống mạng Intranet và tạo các thay đổi và cập nhật ở đây; sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL. Nếu thực hiện điều này hàng giờ, có thể tránh khả năng server treo một thời gian dài. • Quét Webserver theo định kỳ với các công cụ như ISS hay nmap để tìm kiếm lỗ hổng bảo mật.Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần mềm này cảnh báocác hành động nguy hiểm và bắt các session của chúng lại để xem.. Thông tin này có thể giúpcông ty của bạn lấy được thông tin về cách thức phá hoại mạng, cũng như mức độ bảo mậttrong hệ thống của công ty.

×