DỰ ÁN XÂY DỰNG HỆ THỐNG BẢO MẬT SACOMBANK

  • Số trang: 63 |
  • Loại file: DOC |
  • Lượt xem: 38 |
  • Lượt tải: 0
thuvientrithuc1102

Đã đăng 15341 tài liệu

Mô tả:

Sacombank Project DỰ ÁN XÂY DỰNG HỆ THỐNG BẢO MẬT CONFIDENTIAL TO FPT AND SACOMBANK, 10/29/15 Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 I. MỤC LỤC I. MỤC LỤC........................................................................................................................................................................................... I II. HIỆN TRẠNG VÀ MỤC TIÊU DỰ ÁN.................................................................................................................................................... 1 1 GIỚI THIỆU TỔNG THỂ.................................................................................................................................................................... 1 1.1 Xác định các kẽ hở và nguy cơ của hệ thống mạng.................................................................................................1 1.2 Mô tả cấu trúc tổng quát hệ thống...........................................................................................................................2 1.3 Phân hệ máy chủ ứng dụng......................................................................................................................................2 2 MÔ TẢ CẤU TRÚC MẠNG SACOMBANK............................................................................................................................................. 2 3 CÁC MỐI ĐE DỌA TIỀM NĂNG VỚI HỆ THỐNG................................................................................................................................ 5 4 PHÂN TÍCH CHÍNH SÁCH BẢO MẬT CHO SACOMBANK.................................................................................................................... 6 4.1 Xác định trách nhiệm của mọi người trong hệ thống với chính sách bảo mật......................................................6 4.2 Xác định các tài nguyên cần được bảo vệ................................................................................................................7 4.3 Xác định các mối đe doạ đối với hệ thống...............................................................................................................7 4.4 Xác định trách nhiệm và mức độ sử dụng của từng người sử dụng trong mạng..................................................9 4.5 Xác định các công cụ để thực thi các chính sách bảo mật....................................................................................10 4.6 Xác định các hành động khi chính sách bảo mật bị xâm phạm............................................................................10 5 ĐỀ XUẤT GIẢI PHÁP BẢO MẬT....................................................................................................................................................... 10 6 CÔNG NGHỆ VÀ THIẾT BỊ BẢO MẬT ĐỀ NGHỊ................................................................................................................................ 14 6.1 Công nghệ và giải pháp Firewall khuyến nghị.......................................................................................................14 6.2 Giải pháp Firewall đề nghị cho SACOMBANK.........................................................................................................19 6.3 Giải pháp phát hiện và chống xâm nhập IDS........................................................................................................22 6.4 Giải pháp phát hiện và phòng chống Virus............................................................................................................25 6.5 Giải pháp sử dụng InterScan VirusWall khuyến nghị cho Sacombank................................................................28 6.6 Hệ thống dò tìm lỗi bảo mật khuyến nghị cho tòan hệ thống (Scanner).............................................................33 III. PHÂN CHIA QUÁ TRÌNH TRIỂN KHAI............................................................................................................................................ 36 1. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN I............................................................................................................................................ 36 2. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN II........................................................................................................................................... 36 3. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN III......................................................................................................................................... 41 4. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN IV.......................................................................................................................................... 42 4.1 Sử dụng VPN cho các kết nối từ người dùng và chi nhánh vào các máy chủ dữ liệu..........................................42 Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page I Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 4.2 Một số kiểu kết nối của VPN...................................................................................................................................42 4.3 Đề xuất thiết kế VPN cho mạng Sacombank.........................................................................................................45 4.4 Tổng kết mô hình khuyến nghị triển khai hệ thống bảo vệ mạng Sacombank...................................................47 III. ĐÁNH GIÁ GIẢI PHÁP.................................................................................................................................................................... 49 IV. PHỤ LỤC......................................................................................................................................................................................... 50 1 CÁC PHƯƠNG THỨC TẤN CÔNG D.O.S THÔNG THƯỜNG................................................................................................................ 50 2 PHƯƠNG THỨC TẤN CÔNG IP SPOOFING DẠNG SMURF.............................................................................................................. 53 3 CÁC PHƯƠNG THỨC KHÁC VÀ NGUYÊN TẮC PHÒNG CHỐNG......................................................................................................... 54 3.1 Các phương thức tấn công thông dụng..................................................................................................................54 3.1.1 Phương thức ăn cắp thống tin bằng Packet Sniffers............................................................................................................ 54 3.1.2 Phương thức tấn công mật khẩu Password attack............................................................................................................... 55 3.1.3 Phương thức tấn công bằng Mail Relay.................................................................................................................................... 55 3.1.4 Phương thức tấn công hệ thống DNS........................................................................................................................................ 55 3.1.5 Phương thức tấn công Man-in-the-middle attack................................................................................................................. 55 3.1.6 Phương thức tấn công để thăm dò mạng................................................................................................................................. 55 3.1.7 Phương thức tấn công Trust exploitation................................................................................................................................ 56 3.1.8 Phương thức tấn công Port redirection.................................................................................................................................... 56 3.1.9 Phương thức tấn công lớp ứng dụng......................................................................................................................................... 56 3.1.10 Phương thức tấn Virus và Trojan Horse.................................................................................................................................... 56 3.2 Các phương thức bảo mật ứng dụng Cisco IOS.....................................................................................................57 3.2.1 Ví dụ 1:................................................................................................................................................................................................. 57 3.2.2 Ví dụ 2:................................................................................................................................................................................................. 58 Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page II Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 II. HIỆN TRẠNG VÀ MỤC TIÊU DỰ ÁN 1 GIỚI THIỆU TỔNG THỂ Cho đến hết năm 2003, Ngân hàng Sacombank đã hình thành triển khai kết nối mạng WAN tới nhiều Tỉnh và Thành phố gần 12 đơn vị cấp Quận thuộc 03 Thành Phố lớn ( Hà nội, TP HCM và Đà Nẵng), Sacombank đang từng bước xây dựng hệ thống mạng trục chính kết nối 3 trung tâm – 3 Thành phố lớn Hà nội, Đà Nẵng, TP HCM, kết nối xuống các chi nhánh cấp dưới theo mô hình phân cấp, do yêu cầu phát triển các dịch vụ ngân hàng mới, mạng WAN này cần phải kết nối và trao đổi thông tin với mạng Internet toàn cầu và với mạng của các đơn vị khác ở Việt nam. Do vậy Sacombank đã quyết định xây dựng 2 cổng kết nối ra Internet và các tổ chức bên ngoài. Trong đó cổng chính lắp đặt tại TP HCM là trọng điểm phát triển công nghệ nền tảng cho toàn bộ công đọan phát triển mạng WAN trong tương lai của Sacombank . Công tác chuẩn hoá và tăng cường ANTH chủ yếu sẽ gồm có 3 nhóm nhiệm vụ lớn với những nội dung sau đây: 1.1 Xác định các kẽ hở và nguy cơ của hệ thống mạng -Tìm ra vị trí chính xác của những kẽ hở, nơi có khả năng tự phát sinh sự cố từ bên trong hoặc bị lợi dụng tấn công từ bên ngoài -Chỉ ra cụ thể nhưng mối đe dọa hoặc tiềm tàng nguy hiểm đối với sự an toàn của hệ thống thông tin -Rà soát lại hàng rào pháp lý ANTH Thi hành các biện pháp kỹ thuật và tổ chức -Xây dựng và thi hành các luật, chính sách, quy chế về thông tin và ANTH -Tuyên truyền giáo dục ANTH, nâng cao nhận thức của lãnh đạo và mọi người -Trang bị kiến thức và các thiết bị, phần mềm an ninh tin học -Áp dụng các tiêu chuẩn ANTH trước khi các nguy hiểm có thể bùng phát -Thường xuyên kiểm tra hoạt động ở mọi khâu của hệ thống thông tin -Thành lập trung tâm cứu hộ, sẵn sàng đối phó các tai họa -Sao chép và lưu trữ dữ liệu ở vài nơi an toàn Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 1 Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 1.2 Mô tả cấu trúc tổng quát hệ thống Cấu trúc bảo mật mạng dự kiến xây dựng sẽ dựa trên cấu trúc mạng bao gồm các phần sau: Phân hệ kết nối Internet và truy cập từ xa Phần này được trang bị các thiết bị kết nối Gateway Cisco Router riêng kết nối với mạng Internet, cho phép mở rộng và nâng cấp tốc độ cổng kết nối Internet tuỳ theo nhu cầu phát triển. Người dùng truy nhập vào mạng được xác thực tuỳ theo quyền truy nhập để vào mạng nội bộ hoặc Internet và CSDL dùng để xác thực được quản lý tập trung trên máy chủ ACS đặt ở vùng quản trị hệ thống. Phân hệ mạng DMZ Gồm hệ thống máy chủ Web, E-mail, dành cho khách hàng, nội bộ truy nhập, trên máy chủ Web gồm có các hệ thống giao dịch trên WEB của Ngân hàng, Internet Banking, home Banking, các thông tin quảng cáo, tra cứu các sản phẩm của Sacombank, các hệ thống đào tạo, dạy học điện tử nội bộ. Máy chủ Email của các tài khoản nội bộ hay khách hàng, máy chủ Web được cài các bộ lọc theo các nội dung, các địa chỉ trang WEB, ngoài ra tại khu vực này còn có các máy chủ Virus để kiển tra Virus đối với các thông tin vào ra Internet. 1.3 Phân hệ máy chủ ứng dụng Các máy chủ ứng dụng chứa các CSDL dành cho các ứng dụng , hết sức quan trọng do vậy khu vực này cần được đảm bảo mức độ an ninh bảo mật cao. Phân hệ quản trị mạng Bao gồm các máy chủ quản trị an ninh, máy chủ xác thực , máy chủ quét các dịch vụ trên mạng (IDS) Phân hệ kết nối ra bên ngoài (EXTRANET) Dành cho các kết nối từ các đơn vị bên ngoài hoặc bên ngòai truy cập vào mạng của Ngân hàng Sacombank Phân hệ máy chủ CSDL Các máy chủ ứng dụng chứa các CSDL chính, hết sức quan trọng do vậy khu vực này cần được đảm bảo mức độ an ninh bảo mật cao nhất. Phân hệ kết nối WAN của SACOMBANK Phần kết nối vào cổng Gateway Firewall, nhằm bảo vệ các giao dịch từ bên ngoài vào 2 MÔ TẢ CẤU TRÚC MẠNG SACOMBANK Hệ thống mạng của Sacombank là một hệ thống WAN lớn, có khuynh hướng mở rộng rất cao. Đây là một hệ thống mạng kết nối xuyên suốt giữa hội sở chính, 15 chi nhánh và phòng giao dịch với Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 2 Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 nhau, đồng thời kết nối ra Internet để thực hiện các giao dịch với khách hàng. Cơ sở dữ liệu ngày càng phát triển lớn hơn cùng với nhu cầu ứng dụng công nghệ thông tin cao đòi hỏi nhất thiết phải có các giải pháp để bảo đảm an toàn an ninh cho toàn bộ hệ thống mạng. Hội sở chính hiện đã có 2 đường leased line 2048 Kbps đến bưu điện. Các chi nhánh kết nối với Data Center qua kênh riêng leased line 128 Kbps và theo 2 đường leased line 2048Kbps đề kết nối về hội sở. Ngoài ra, còn có đường backup để kết nối các chi nhánh với hội sở chính qua mạng PSTN. Khi đường leased line xảy ra sự cố, đường backup này được bật lên đảm bảo liên lạc trao đổi thông tin liên tục giữa chi nhánh và trung tâm của Sacombank. Các phòng giao dịch kết nối với chi nhánh qua mạng PSTN. Sơ đồ chi tiết kết nối mạng Sacombank: Hệ thống mạng trung tâm của Sacombank là trung tâm tích hợp dữ liệu hệ thống ,trung tâm lưu trữ cũng như giao dịch của toàn bộ hệ thống của Sacombank. Cấu trúc hệ thống mạng Sacombank: Hội sở (trung tâm): Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 3 Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 Đây là trung tâm tin học của Sacombank., khu vực này tập trung toàn bộ cơ sở dữ liệu của Sacombank. Toàn bộ các server cũng được tập trung tại đây. Hiện có khoảng 5 Servers và 200 clients. Sơ đồ như sau: Chi nhánh loại I: Có khoảng 15 chi nhánh. Mỗi chi nhánh là một mạng LAN kết nối với trung tâm. Cơ sở dữ liệu được tập trung về chi nhánh. Các giao dịch tại chi nhánh đều phải qua trung tâm. Mỗi chi nhánh có khoảng 30-40 users (tại Thành Phố HCM) và khoảng 10-15 users đối với các chi nhánh ngoại tỉnh. Chi nhánh loại II (Phòng giao dịch): Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 4 Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 Tại phòng giao dịch có một số máy để thực hiện công tác giao dịch với khách hàng Đặc điểm của hệ thống mạng SacomBank: Hệ điều hành và các ứng dụng chính: Hệ điều hành: Hiện tại các server đang chạy hệ điều hành Windows 2000 Theo định hướng của Cục tin học ngân hàng tương lai các hệ thống máy chủ Ngân hàng sẽ xây dựng trên nền tảng Unix Cơ sở dữ liệu : Hiện tại đang sử dụng MicroSoft SQL Server, tương lai sẽ chuyển sang sử dụng Oracle. Các máy tính cá nhân: Chủ yếu chạy hệ điều hành Windows9x, Windows2000, WindowsXP. Không có PC chạy hệ điều hành cũ hơn Windows9x. Thư điện tử: Sử dụng mail nội bộ có cổng offline ra ngoài, thuê dịch vụ của FPT, sử dụng phần mềm Mail Daemon. Sắp tới, hệ thống thư điện tử cũng sẽ được chuyển sang online. Các ứng dụng an toàn thông tin: Hiện tại chưa triển khai ứng dụng hay thiết bị nào để đảm bảo an toàn an ninh mạng, ngoại trừ phần mềm chống virus Norton Corporation. Phần mềm chống virus này có một số hạn chế về việc update thông tin virus mới cũng như là các dịch vụ hỗ trợ. Đây chỉ là giải pháp tạm thời trên các PC đơn lẻ trong hệ thống mạng. Hệ thống đề xuất cần xác định các giai đọan xây dựng nhằm đảm bảo xây dựng hệ thống ngày càng tòan diện đi đôi với khả năng nâng cao khả năng quản trị cho nhân viên quản trị theo từng quy trình đồng bộ hiệu quả cao. 3 CÁC MỐI ĐE DỌA TIỀM NĂNG VỚI HỆ THỐNG Hoạt động của ngân hàng SacomBank trải dài khắp miền đất nước với số lượng nhân viên lớn. Khối lượng thông tin xử lý trong hoạt động nghiệp vụ rất lớn. Tuy nhiên không phải ai cũng có quyền truy nhập những kho thông tin này. Do đó ngân hàng SacomBank có nhu cầu xây dựng một hệ thống bảo mật cho mạng tin học phục vụ điều hành, kinh doanh. Hệ thống bảo mật này phải đảm bảo các yêu cầu sau:  Bảo đảm an toàn cho toàn bộ thông tin trên mạng, chống lại mọi sự truy nhập bất hợp pháp vào mạng. Sự truy nhập ở đây sẽ được tiến hành khi ngân hàng SacomBank kết nối ra Internet.  Kiểm soát được mọi hành động truy nhập vào mạng của người sử dụng. Đảm bảo an ninh từ những người sử dụng bên trong ngân hàng SacomBan.  Có khả năng bảo đảm an toàn dữ liệu truyền, nhận qua các dịch vụ đường truyền do bưu điện cung cấp (PSTN). Có giải pháp hữu hiệu ngay khi mạng ngân hàng SacomBan bị thăm dò để truy nhập.  Chi phí phù hợp với dự trù kinh phí của ngân hàng SacomBank. Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 5 Sacombank Network security Security network solution for Sacombank  Saved: 29/10/2015 Version: 2.0 Đáp ứng được khả năng mở rộng của mạng ngân hàng SacomBank trong tương lai: mở rộng về số lượng máy trạm, số lượng máy chủ, các mạng LAN và các ứng dụng. Tuy nhiên, hiện tại vấn đề an ninh của mạng ngân hàng SacomBank vẫn chưa đạt được những yếu tố đó:  Ngân hàng SacomBank chưa có một chính sách an ninh mạng thực sự nào được áp dụng. Điều này dẫn đến việc tổ chức, quản lý và sử dụng mạng không đúng theo ý muốn của quản trị mạng và dễ dàng gây nên các thiệt hại không lường trước.  Mạng tin học ngân hàng SacomBank hiện tại có kiến trúc an ninh là kiến trúc phẳng một lớp. Kiến trúc này hoàn toàn không có độ sâu bảo vệ. Nếu một điểm nhạy cảm bị tấn công thì toàn mạng sẽ bị đột nhập tiếp tục theo phản ứng dây chuyền một cách nhanh chóng.  Trên toàn mạng không có một cơ chế đảm bảo an ninh mạng nào. Điều này dẫn đến việc mạng không có khả năng phân cấp, điều khiển truy nhập, không có khả năng xác thực cấp phép người dùng, không các khả năng phản ứng lại các tấn công và không có khả năng theo dõi toàn bộ hoạt động của mạng.  Trên toàn mạng có rất nhiều các điểm có kết nối với bên ngoài, như kết nối chính đi Internet, kết nối với các tổ chức ngân hàng bạn và các tổ chức thanh toán khác, kết nối với các chi nhánh nội bộ và kết nối quay số đi Internet từ các máy trạm đơn lẻ của người dùng. Nếu không có phân loại, quy hoạch, tổ chức lại các kết nối này thì hacker có thể lợi dụng các kết nối này để thâm nhập vào mạng.  Quản trị mạng và người dùng chưa được đào tạo để quản lý và khai thác mạng một cách hiệu quả, an ninh 4 PHÂN TÍCH CHÍNH SÁCH BẢO MẬT CHO SACOMBANK Để phân tích chính sách bảo mật cho ngân hàng Sacombank, chúng ta phải phân tích được các vấn đề sau trong hệ thống thông tin của ngân hàng Sacombank: 4.1 Xác định trách nhiệm của mọi người trong hệ thống với chính sách bảo mật Trách nhiệm của mỗi người phải xác định và phân tích cụ thể. Đối với mạng ngân hàng Sacombank, có thể chia nhiều mức trách nhiệm:  Người đưa ra chính sách đó phải là cán bộ phụ trách tin học của Trung tâm tin học, cán bộ chuyên trách mảng bảo mật của trung tâm tin học và các cán bộ phụ trách tin học tại các chi nhánh. Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 6 Sacombank Network security Security network solution for Sacombank  Saved: 29/10/2015 Version: 2.0 Tuy nhiên chính sách này còn phải phù hợp với chính sách quản lý của ngân hàng Sacombank. Do đó còn một cấp nữa đó là những người có trách nhiệm chấp nhận các chính sách bảo mật: Đó là những người lãnh đạo của ngân hàng, các chi nhánh, các phòng chức năng, nghiệp vụ.  Do đặc thù của ngân hàng Sacombank nên về mặt quản trị mạng có thể có người quản trị chính có quyền cao nhất áp dụng cho toàn bộ hệ thống và có quyền tại tất cả các tài nguyên của hệ thống, sau đó tại mỗi chi nhánh sẽ có quyền quản trị ít hơn phục vụ hoạt động trong mạng LAN của mình. Việc phân tích quyền hạn của từng cấp quản trị sẽ được thực hiện khi triển khai dự án này.  Còn lại với người sử dụng thì phải xác định rõ trách nhiệm của người dùng. Họ phải có trách nhiệm giữ gìn mật khẩu truy nhập vào mạng của họ cũng như ý thức giữ gìn các tài nguyên thông tin khác. 4.2 Xác định các tài nguyên cần được bảo vệ Vấn đề quan trọng là phải xác định được các tài nguyên của mạng ngân hàng Sacombank có thể bị tác động bởi hệ thống bảo mật. Các tài nguyên cần được bảo vệ:  Phần cứng: Các máy chủ của mạng, các máy trạm, các thiết bị mạng (Routers, Access Servers).  Phần mềm: Do đặc thù của ngân hàng Sacombank là phục vụ hoạt động kinh doanh tiền tệ trên toàn lãnh thổ Việt Nam và liên hệ chặt chẽ với các ngân hàng nước ngoài, các tổ chức tín dụng quốc tế nên các phần mềm cần được bảo vệ: Hệ điều hành của các máy chủ UNIX, Windows NT, Novell. Ngoài ra các chương trình ứng dụng: quản lý hệ thống tài khoản, tín dụng, các chương trình kế toán, tự động hoá văn phòng, truyền dữ liệu, ATM ...  Dữ liệu: Đây là phần quan trọng cân được bảo vệ nhất của ngân hàng Sacombank. Dữ liệu này sẽ gồm có các dữ liệu tài khoản liên quan đến khách hàng, dữ liệu kế toán, thẻ tín dụng, ATM. Các dữ liệu này rất quan trọng đối với ngân hàng Sacombank nên sẽ phải được bảo vệ an toàn nhất.  Con người: Đó là người sử dụng tham gia vào mạng.  Tài liệu: Các công văn, báo cáo, tài liệu, sách vở, tài liệu hướng dẫn sử dụng,... 4.3 Xác định các mối đe doạ đối với hệ thống Sau khi xác định tất cả các tài nguyên phải được bảo vệ,cần phải xác định mối đe dọa đối với các tài nguyên đó. Các mối đe doạ đó gồm có: Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 7 Sacombank Network security Security network solution for Sacombank  Saved: 29/10/2015 Version: 2.0 Những truy nhập bất hợp pháp. Việc truy nhập vào các tài nguyên của mạng chỉ nên được thực hiện bởi những người đã xác định. Mối đe doạ chung mà mọi người quan tâm là việc truy nhập bất hợp pháp. Đặc thù của mối đe doạ này là sử dụng tên của người khác để truy nhập vào mạng và tài nguyên của nó. Có thể có một số kiểu truy nhập bất hợp pháp như:  Sử dụng những chương trình dò tìm mật khẩu. Những chương trình này nằm thường trú và bị che khuất trên mạng, nó ghi lại những lần người sử dụng vào mạng cùng với các mật khẩu. Các mật khẩu này sau đó được cất giữ trong một tệp tin bí mật, sau một tuần lễ, tệp này có thể chứa tới hàng trăm tên người dùng tin và các mật khẩu riêng để sau này có thể lấy cắp những thông tin bí mật.  Hút nạp dữ liệu (Spooling): Đây là kỹ thuật nhằm có được sự truy nhập mạng từ xa bằng cách bịa ra một địa chỉ của một máy đã có tín nhiệm hay "thân quen". Bằng cách này, việc khai thác những nhược điểm về an ninh từ bên trong của hệ thống trở nên dễ dàng hơn nhiều so với từ phía ngoài. ở trạng thái này, kẻ xâm nhập trái phép có thể cài đặt được một chương trình dò tìm mật khẩu hay một phần mềm giả, giống như một "ô cửa hậu" - là một đường dẫn ngược lại vào trong máy tính.  Sử dụng lỗ hổng trong phần mềm: Không có phần mềm nào là không có lỗi. Một lỗi trong phần mềm là mối đe doạ chung của việc truy nhập bất hợp pháp. Chính đây là lỗ hổng cho phép những kẻ thâm nhập trái phép làm được bất kể những gì mà người chủ máy tính đã làm. Cách này hay áp dụng với hệ điều hành UNIX vì mã nguồn của nó được phổ biến rộng rãi. Đối với ngân hàng Sacombank cả 3 cách này đều có thể xảy ra. Và đây là mối quan tâm lớn nhất của lãnh đạo cũng như cán bộ Tin học ngân hàng Sacombank .  Mối đe doạ bởi sự khai thác rộng rãi thông tin. Trước khi công bố hay cho phép mọi người khai thác rộng rãi vào một nguồn thông tin nào cần phải xác định giá trị của các thông tin đó.Việc công bố file chứa mật khẩu của người truy nhập vào mạng sẽ gây ra một mối đe doạ lớn cho mạng. Thông tin có thể bị xâm phạm khi:  Thông tin được lưu giữ trên máy tính.  Thông tin được truyền từ hệ thống này sang hệ thống khác.  Thông tin được lưu giữ trong tệp sao lưu (backup).  Mối đe doạ ảnh hưởng đến hoạt động bình thường của hệ thống (Denial of Service). Mạng thông tin ngân hàng Sacombank kết nối các tài nguyên có giá trị như máy tính, CSDL và cung cấp dịch vụ cho mọi thành viên của mạng. Tất cả người sử dụng của mạng đều tin rằng mọi hoạt động của mạng đều làm cho công việc của họ trở nên có hiệu quả. Nếu Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 8 Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 mạng không làm việc thì sẽ có những mất mát trong hoạt động kinh doanh. Do đó mối đe doạ ảnh hưởng đến hoạt động bình thường của mạng cũng cần được xem xét:  Mạng trở nên không hoạt động được bởi một khối dữ liệu lang thang.  Mạng trở nên kém hiệu quả bởi quá tải của dữ liệu.  Mạng có thể bị chia nhỏ do sự ngừng hoạt động của một thiết bị mạng.  Virus làm phá hoại dữ liệu hay hỏng một máy nào đó.  Thiết bị dùng để bảo vệ mạng có thể bị phá vỡ.  Mối đe doạ từ bên trong. Người sử dụng bên trong mạng có nhiều cơ hội hơn để truy nhập vào các tài nguyên của hệ thống. Đối với ngân hàng Sacombank có đặc thù lớn là do nhiều mạng LAN của trung tâm, chi nhánh kết nối vào, do đó nếu người sử dụng trong mạng có ý muốn truy cập vào những tài nguyên của hệ thống thì họ sẽ gây nên một mối đe doạ cho mạng. Người sử dụng bên trong có thể được gán những quyền không cần thiết, có thể bị mất mật khẩu... và đó sẽ là mối đe doạ lớn đối với hệ thống an toàn mạng.  Nguy cơ bị nghe trộm, thay đổi thông tin truyền đi trên mạng công cộng (PSTN). Đây là một nguy cơ tiềm ẩn và ảnh hưởng trực tiếp đến hoạt động kinh doanh của ngân hàng. Hacker có thể sử dụng các công cụ, thiết bị đặc biệt để móc nối vào hệ thống cáp truyền thông của ngân hàng để nghe trộm thông tin nguy hiểm hơn hacker có thể sửa chữa, thay đổi nội dung thông tin đó - ví dụ nội dung của điện chuyển tiền, thanh toán... gây ra những tổn thất, mất mát nghiêm trọng. 4.4 Xác định trách nhiệm và mức độ sử dụng của từng người sử dụng trong mạng Trên cơ sở phân tích ở trên chính sách bảo mật của ngân hàng Sacombank phải tiếp tục trả lời các câu hỏi sau:  Ai được phép sử dụng các tài nguyên của hệ thống? Ví dụ như dữ liệu liên quan tới tài khoản khách hàng, dữ liệu kế toán chỉ có thể do nhân viên kế toán sử dụng.  Mức độ sử dụng thích hợp của từng người sử dụng? Cùng một sự truy nhập vào dữ liệu tài khoản khách hàng thì có người chỉ được khai thác, có người chỉ được cập nhất, có người chỉ được đọc một phần... tương ứng với dữ liệu kế toán. Ai được sửa, ai kiểm soát, ai khai thác... Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 9 Sacombank Network security Security network solution for Sacombank  Saved: 29/10/2015 Version: 2.0 Ai có trách nhiệm gán quyền và mức độ sử dụng của người dùng? Do ngân hàng Sacombank có nhiều mạng LAN và một số ứng dụng quan trọng nên người có trách nhiệm về mặt gán quyền truy cập có thể phân cho các phòng ban liên quan, nhưng đối với các dữ liệu quan trọng thì nên tập trung.  Ai có quyền quản trị mạng? Cả mạng ngân hàng Sacombank nên có một người quản trị mạng có quyền lớn nhất. Mỗi mạng LAN có một người quản trị ít quyền hơn. Tuy nhiên đối với các CSDL quan trọng thì quyền quản trị sẽ là tập trung.  Trách nhiệm của từng người sử dụng là gì? Trách nhiệm này tương ứng với trách nhiệm về mặt công việc.  Trách nhiệm của người quản trị? Trách nhiệm người quản trị của mạng là gì Trách nhiệm của người quản trị ở các mạng LAN của các phòng ban như thế nào?  Cần phải làm gì với các dữ liệu quan trọng? Người quản trị phải xác định các công việc phải làm với dữ liệu quan trọng (tài khoản khách hàng và kế toán). Các công việc có thể là sao lưu, khôi phục dữ liệu, in ấn,... 4.5 Xác định các công cụ để thực thi các chính sách bảo mật Ngân hàng Sacombank sẽ phải lựa chọn các công cụ để thực thi chính sách bảo mật của mình. Các công cụ này sẽ được trình bày trong giải pháp kỹ thuật. 4.6 Xác định các hành động khi chính sách bảo mật bị xâm phạm Mỗi lần chính sách bảo mật bị xâm phạm thì hệ thống sẽ có thể bị đe doạ. Nếu không có sự thay đổi trong chính sách bảo mật thì sẽ có thể gây ra những thiệt hại đáng tiếc. Do đó chính sách bảo mật của ngân hàng Sacombank cũng nên có thêm vấn đề này. 5 ĐỀ XUẤT GIẢI PHÁP BẢO MẬT Việc đảm bảo an ninh bảo mật hệ thống là hết sức quan trọng nhất là đối với các đơn vị kinh doanh như của Ngân hàng Sacombank , đồng thời khả năng bảo vệ nhiều lớp để tăng cường tính bảo mật các các khu vực bên trong, nơi lưu giữ các nguồn tài nguyên mạng có giá trị nhất. Sau đây chúng tôi xin đưa ra thiết kế mô hình bảo mật nhiều lớp bao gồm: - Bảo mật mức mạng: Bảo mật đường truyền - bảo mật các thông tin lưu truyền trên mạng, việc này được thực hiện bằng các hìng thức mã hoá thông tin trên đường truyền, các công cụ xác định tính toàn vẹn và xác thực của thông tin. Việc này có thể thực hiện được bằng Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 10 Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 phần mềm hay phần cứng, tuy nhiên việc thực hiện trên phần cứng (card mã hoá trên router hay thiết bị mã hoá cứng cắm ngoài trên đường truyền) có ưu điểm hơn là giảm độ trễ của các gói tin, sử dụng băng thông trên đường truyền hiệu quả hơn (nhất là trên WAN). - Bảo mật lớp truy cập bao gồm: o Bảo mật cho các đường truy nhập của người dùng quay số (dial-up): thường áp dụng các hình thức xác thực người dùng, tạo các kênh VPN cho các kết nối dial-up … o Firewall/IDS : Tại các khu vực cung cấp các máy chủ truy nhập cần bố trí các bức tường lửa (Firewall) kèm các bộ dò tìm tấn công (IDS) đảm bảo ngăn chặn các truy nhập trái phép hay các dạng tấn công ngay từ cổng vào mạng, điều này là rất cần thiết bởi việc sử dụng các thiết bị hỗ trợ cho các kết nối truy nhập đồng thời lại có kết nối đi Internet. - Bảo mật mức thiết bị: Các thiết bị mạng như Router và switch, firewall… là các điểm nút của mạng hết sức quan trọng và cần được bảo vệ, chúng tôi khuyến nghị sử dụng các ACL để điều khiển truy nhập trên toàn bộ các thiết bị này, đồng thời sử dụng các thiết bị dò tìm lỗ hổng (IDS) để dò tìm xác định các dấu hiệu tấn công vào các thiết bị mạng và các nguồn tài nguyên khác và có các biện pháp ngăn chặn kịp thời - Bảo mật mức máy chủ: Hệ thống máy chủ thực hiện các công việc dịch vụ khác nhau trong mạng, có thể nói đây là nguồn tài nguyên chính hết sức quan trọng và là mục tiêu của nhiều cuộc tấn công từ bên trong cũng như bên ngoài cũng như ăn cắp hay phá huỷ các thông tin có giá trị được chứa trong các máy chủ này. Việc bảo mật hệ thống máy chủ liên quan tới các công việc như: o Bảo mật thông tin trên máy chủ : đảm bảo tính mã hoá, tính toàn vẹn và xác thực của thông tin o Quản trị truy nhập vào máy chủ: áp dụng các công nghệ tiên tiến như smart card, Token… o Chống truy nhập trái phép: sử dụng các bộ dò tìm IDS để phát hiện và báo động kịp thời khi có tấn công hay truy nhập trái phép vào hệ thống máy chủ. Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 11 Sacombank Network security Security network solution for Sacombank - Saved: 29/10/2015 Version: 2.0 Bảo mật mức Hệ Điều Hành(HĐH): Việc bảo mật cho HĐH máy chủ đảm bảo cho hệ thống làm việc ổn định,việc hoạch định xây dựng các chính sách cài đặt, cập nhật, backup dữ liệu hay sử dụng các phần mềm bổ sung (Patch) bịt lỗ hổng trên các HĐH là hết sức cần thiết để đảm bảo cho các HĐH và các ứng dụng chạy trên nó được bảo vệ an ninh ngăn chặn các cuộc tấn công có thể xảy ra. - Bảo mật ở mức ứng dụng: Đảm bảo việc truy nhập vào các dịch vụ và phần mềm (WEB, Email, CSDL), chúng tôi khuyến nghị thực hiện các kênh bảo mật từ người dùng đầu cuối tới các máy chủ ứng dụng để đảm bảo các tính bảo mật, toàn vẹn và xác thực của thông tin. Bảo mật mức CSDL: Có thể nói CSDL là lõi của toàn bộ hệ thống bảo mật thông tin, toàn bộ thông tin quan trọng mang tính chất sống còn được tập trung trên các CSDL, trong thiết kế của chúng tôi CSDL được đặt ở mức ưu tiên cao nhất Theo dữ liệu khảo sát hệ thống mạng hiện tại của Sacombank chúng tôi khuyến nghị hệ thống tổng thể của WAN Sacombank sẽ bố trí theo mô hình sau: Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 12 Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 Từ mô hình họach định trên chúng tôi khuyến nghị các ứng dụng và công nghệ bảo mật tiên tiến và phổ biến hiện nay nhằm đáp ứng các nhu cầu xây dựng hệ thống bảo mật chuyên dụng cho Sacombank. Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 13 Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 6 CÔNG NGHỆ VÀ THIẾT BỊ BẢO MẬT ĐỀ NGHỊ 6.1 Công nghệ và giải pháp Firewall khuyến nghị Công nghệ FIREWALL Có rất nhiều loại Firewall khác nhau như Firewall dựa trên phần mềm cho các hệ điều hành Windows NT, Unix, Firewall dựa trên phần mềm tích hợp trên các Router, Firewall dựa trên thiết bị phần cứng… Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống với yêu cầu về khả năng hoạt động mạnh, bảo đảm tính an ninh, độ tin cậy cao, khả năng dễ mở rộng trong tương lai. Chúng tôi khuyến nghị sử dụng giải pháp Firewall có tốc độ và độ an tòan cao của ba hãng cung cấp giải phá Firewall mạnh nhất hiện nay sau cho hệ thống Firewall lớp ngoài: a. Giới thiệu công nghệ Firewall của Cisco Để đáp ứng được yêu cầu đặt ra đối với thiết bị firewall lớp ngòai và với mục đích xây dựng mạng an toàn tốc độ chuyển mạch tốt nhất, chúng tôi giới thiệu các dòng sản phẩm Firewall mạnh nhất hiện nay của Cisco là dòng PIX với khả năng cung cấp khả năng an ninh, bảo mật cũng như khả năng hoạt động và độ ổn định cao cho hệ thống, hỗ trợ mạng riêng ảo - Ipsec VPN… Độ bảo mật cao nhất : So với các hình thức bảo mật hiện nay như Proxy-based firewall chạy ở lớp ứng dụng có, thì PIX là sản phẩm có khả năng hoạt động rất mạnh mẽ, mức độ an toàn cao. CiscoSecure PIX Firewall là một thiết bị phần cứng đã được tích hợp sẵn software bên trong và hoạt động một cách độc lập không phụ thuộc vào các yếu tố về nền tảng ứng dụng như yêu cầu về cấu hình phần cứng, môi trường hệ điều hành (Windows NT, Unix…) vì thế làm đơn giản hoá hệ thống và quản trị thiết bị được dễ dàng hơn, đồng thời nâng cao khả năng bảo mật so với các hệ thống bảo mật chạy trên các hệ thống bảo mật khác (Check point, Gardian…) Dễ dàng quản trị và phân cấp mức độ an ninh cho hệ thống mạng bên trong nhờ yếu tố sử dụng các giao tiếp vật lý (ports) để nối đến các mạng cấp thấp, cho phép mở rộng thêm cổng giao tiếp vật lý bất kỳ lúc nào khi có nhu cầu trong tương lai. Một điểm nữa cũng khá quan trọng cần được đề cập đến là khả năng mở rộng cao và mức độ đầu tư thấp. Hỗ trợ các thủ tục DNS, HTTP, HTTPS, FTP, SMTP,POP, SNMPv2, Database, SIP, H323. Hỗ trợ cho các ứng dụng và các giao thức sau: Internet Protocol (IP), Transmission Control Protocol (TCP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP), Generic Route Encapsulation (GRE), Address Resolution Protocol (ARP), Domain Name System (DNS), Simple Network Management Protocol 2(SNMP2), Boot Protocol, HyperText Transport Protocol (HTTP), Secure hypertext transport protocol (HTTPS), File Transfer protocol (FTP), Trivial File Transfer protocol (TFTP), Archie, Gopher, Telnet,POP, NetBIOS over IP (Microsoft Networking), Point-toPoint Tunneling Protocol (PPTP), SQL*Net (Oracle client/server protocol), Sun Remote Procedure Call (RPC) services, including Network File System (NFS), Berkeley Standard Distribution (BSD)Rcmds,AAA Server Groups. Hỗ trợ cho các ứng dụng Multimedia, bao gồm: Microsoft NetShow, White Pine CU-SeeMe, RealNetworks RealAudio and RealVideo, Xing StreamWorks, VDOnet VDOLive, VXtreme WebTheater, VocalTec Internet Phone theo chuẩn SIP và H.323. Commercial in confidence to Sacombank and FPT HCM Branch. Not for distribution without express prior approval from FPT Corp Page 14 Sacombank Network security Security network solution for Sacombank Saved: 29/10/2015 Version: 2.0 Hỗ trợ cho các ứng dụng Videoconferencing (H.323): Microsoft NetMeeting, Intel Internet Video Phone, White Pine Meeting Point . Khả năng chống lại các dạng tấn công thông thường, khả năng tự bịt các lỗ hổng an ninh. Hỗ trợ phát hiện và chống tấn công: Phát hiện các loại tấn công theo kiểu Denial Of Service, chống lại các hình thức tấn công như sync flooding, port scans, làm hỏng, thay đổi nội dung các gói dữ liệu. Hỗ trợ Intrusion Detection System (IDS): hệ thống lưu giữ và xác định các mẫu tấn công từ đó phát hiện và đối phó với các hình thức tấn công này. Tự động phát hiện và bịt các lỗ hổng an ninh Để tăng cường bảo mật, khả năng an ninh, PIX còn hỗ trợ các phương thức xác thực phổ biến như RADIUS và TACACS+ tích hợp với các hệ thống phần mềm khác như WebSENSE để quản lý, truy nhập các địa chỉ Internet dựa trên cơ sở dữ liệu URL, đảm bảo các kết nối vào hệ thống cần phải được xác thực trước, tăng cường khả năng xử lý đối phó với các tấn công thông thường như thăm dò, phát hiện lỗ hổng và tận dụng các lỗ hổng sẵn có để phá huỷ hệ thống. Hỗ trợ VPN sử dụng IPSec: Phối hợp hoạt động với VPN: Khả năng điều khiển trạng thái đầy đủ (stateful control), thực hiện chức năng firewall cho các dịch vụ VPN, với dịch vụ VPN các người dùng truy nhập từ xa hoặc các văn phòng chi nhánh có thể truy nhập vào mạng của công ty qua mạng công cộng (internet) nhưng vẫn đảm bảo bảo mật và giảm chi phí kết nối, giảm tiền đầu tư thiết bị. Cisco PIX cho phép bảo mật các kết nối qua internet bằng cách tích hợp các tính năng chính của VPN như công nghệ đường hầm, mã hoá dữ liệu, bảo mật, và firewall – cung cấp một môi trường tích hợp vừa đảm bảo an ninh thông tin vừa đảm bảo tính hiệu quả cho các kết nối từ xa, các văn phòng xa, các kết nối ra mạng ngoài thông qua môi trường Internet. PIX hỗ trợ mã hoá cho IPSec – DES, 3DES. Chúng tôi khuyến nghị đối với đối tượng khách hàng, người dùng truy nhập vào mạng nội bộ qua đường kết nối quay số (đường Internet hoặc Extranet) cần thiết phải sử dụng công nghệ kênh riêng ảo (VPN) để đảm bảo tính bảo mật, toàn vẹn và xác thực của thông tin – các kết nối VPN này sẽ kết thúc tại các firewall đối với truy nhập từ Internet vào cũng như đối với những kết nối từ mạng Extranet vào Hỗ trợ NAT và PAT: Nguyên lý hoạt động của PIX Firewall theo hai dạng NAT và PAT. NAT (Network Address Translation) dùng để chuyển đổi một địa chỉ Internet thành một địa chỉ riêng (Private) theo dạng địa chỉ tĩnh (static) với ánh xạ 1-1, ngoài ra cho phép đổi n địa chỉ Internet thành m địa chỉ Private dưới dạng địa chỉ động (dynamic) với n - Xem thêm -