Tóm tắt luận văn Thạch sĩ Công nghệ thông tin: Xây dựng phương pháp thu thập và phân tích số liệu lỗi cấu hình mạng máy tính
lượt xem 2
download
Luận văn "Xây dựng phương pháp thu thập và phân tích số liệu lỗi cấu hình mạng máy tính" tập trung vào việc phân tích và đánh gái xem cấu hình an ninh trên các thiết bị hạ tầng mạng của một tổ chức, doanh nghiệp có tuân thủ theo chính sách an toàn bảo mật thông tin của tổ chức đó hay không.
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Tóm tắt luận văn Thạch sĩ Công nghệ thông tin: Xây dựng phương pháp thu thập và phân tích số liệu lỗi cấu hình mạng máy tính
- 0 MỤC LỤC 1. Tổ ng quan về an toàn thông tin.......................................................................................... 1 1.1 Ta ̣i sao cầ n bảo đảm an toàn thông tin? ............................................................................ 1 1.2 Mu ̣c tiêu của an toàn thông tin.......................................................................................... 1 1.3 Các nô ̣i dung an toàn thông tin. ........................................................................................ 1 2. Phân tích tin ̀ h hin ̀ h an toàn thông tin ta ̣i Viêṭ Nam năm 2015 ........................................ 2 2.1 Các chỉ số an toàn thông tin .............................................................................................. 2 2.2 Các hình thức tấn công mạng khai thác lỗi cấ u hình. ...................................................... 2 2.3 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng do lỗi cấ u hiǹ h. ................................................... 3 2.4. Tầ m quan tro ̣ng của viê ̣c quản lý cấ u hiǹ h. ..................................................................... 3 3. Vấ n đề quản lý cấ u hin ̀ h thiế t bi ma ̣ ̣ng doanh nghiêp̣ ...................................................... 4 3.1 Mu ̣c tiêu và pha ̣m vi nghiên cứu....................................................................................... 4 3.2 Khái niê ̣m lỗi cấ u hiǹ h an ninh ......................................................................................... 4 3.3 Khái niê ̣m về đường cơ sở an ninh (Security Baseline) ................................................... 5 3.4 Khái niê ̣m gia cố thiế t bi ̣(device hardening) .................................................................... 5 3.5 Khảo sát mô ̣t ma ̣ng máy tiń h điể n hiǹ h trong doanh nghiê ̣p. ........................................... 5 3.6 Những lỗi quản tri ̣viên gă ̣p phải khi cấ u hình hê ̣ thố ng ma ̣ng ......................................... 6 3.6.1 Các lỗi liên quan đế n cấ u hình quản lý thiế t bi .......................................................... ̣ 6 3.6.2 Các lỗi cấ u hiǹ h trên thiế t bi ̣tầ ng truy nhâ ̣p .............................................................. 7 3.6.3 Các lỗi cấ u hiǹ h trên thiế t bi ̣tầ ng phân phố i và tầ ng lõi ............................................ 8 4. Phương pháp thu thâ ̣p cấ u hin ̀ h từ các thiế t bi ma ̣ ̣ng ...................................................... 9 4.1 Yêu cầ u của viê ̣c thu thâ ̣p số liê ̣u cấ u hiǹ h ....................................................................... 9 4.2 Chuẩ n bi ̣về con người, quy triǹ h, phầ n cứng, phầ n mề m, dữ liê ̣u ................................... 9 4.2 Cách copy cấ u hình về máy chủ ....................................................................................... 9 4.2.1 Quy đinh ̣ về đă ̣t tên file cấ u hình. ............................................................................ 10 4.2.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi ̣lớn....................................................... 10 4.3. Kiể m tra các file cấ u hình thu thâ ̣p đươ ̣c ....................................................................... 10 5. Phương pháp đánh giá cấ u hin ̀ h an ninh trên thiế t bi ma ̣ ̣ng ......................................... 10 5.1 Phương pháp chung để đánh giá cấ u hiǹ h an ninh ......................................................... 10 5.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 .......................................................... 11 5.3 Đánh giá lỗi cấu hình quản lý ......................................................................................... 14 5.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập .................................................................. 15 5.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối và tầng core ............................................ 17 5.5 Xuấ t báo cáo đường cơ sở an ninh .................................................................................. 18 5.6 Những vấ n đề đa ̣t đươ ̣c của luâ ̣n văn và những tồ n ta ̣i ................................................... 19 6. Kế t luâ ̣n .............................................................................................................................. 20 TÀ I LIỆU THAM KHẢO..................................................................................................... 21
- 1 1. Tổ ng quan về an toàn thông tin1 1.1 Ta ̣i sao cầ n bảo đảm an toàn thông tin? Ngày nay, sự xuấ t hiê ̣n Internet và ma ̣ng máy tính ̣ đã giúp cho viê ̣c trao đổ i thông tin trở nên nhanh gọn, dễ dàng. E-mail cho phép người ta nhâ ̣n hay gửi thư ngay trên máy tiń h của miǹ h, E-business cho phép thực hiê ̣n các giao dich ̣ buôn bán trên ma ̣ng, ...Tuy nhiên la ̣i phát sinh những vấ n đề mới. Thông tin quan tro ̣ng nằ m ở kho dữ liê ̣u hay đang trên đường truyề n có thể bi trô ̣ ̣m cắ p, có thể bi la ̣ ̀ m sai lê ̣ch, có thể bi gia ̣ ̉ ma ̣o. Điề u đó có thể ảnh hưởng tới các tổ chức, các công ty hay cả mô ̣t quố c gia. Những bí mâ ̣t kinh doanh, tài chin ́ h là mu ̣c tiêu của các đố i thủ ca ̣nh tranh. Những tin tức về an ninh quố c gia là mu ̣c tiêu của các tổ chức tiǹ h báo trong và ngoài nước. Để giải quyế t tình hình trên, vấn đề bảo đảm an toàn thông tin (ATTT) đã đươ ̣c đă ̣t ra trong lý luận cũng như trong thực tiễn. 1.2 Mu ̣c tiêu của an toàn thông tin. * Bảo đảm bí mâ ̣t (Bảo mâ ̣t): Thông tin không bi ̣lô ̣ đố i với người không đươ ̣c phép. * Bảo đảm toàn ve ̣n (Bảo toàn): Ngăn chă ̣n hay ha ̣n chế viê ̣c bổ sung, loa ̣i bỏ và sửa dữ liê ̣u không đươ ̣c phép. * Bảo đảm xác thực (Chứng thực): Xác thực đúng thực thể cầ n kế t nố i, giao dịch. Xác thực đúng thực thể có trách nhiê ̣m về nô ̣i dung thông tin (Xác thực nguồ n gố c thông tin.) * Bảo đảm sẵn sàng: Thông tin sẵn sàng cho người dùng hơ ̣p pháp. 1.3 Các nô ̣i dung an toàn thông tin. a). Nô ̣i dung chin ́ h: * An toàn máy tin ́ h (Computer Security): là sự bảo vê ̣ các thông tin cố đinh ̣ bên trong máy tiń h (Static Informations), là khoa ho ̣c về bảo đảm an toàn thông tin trong máy tính. * An toàn truyề n tin (Communication Security): là sự bảo vê ̣ thông tin trên đường truyề n tin (Dynamic Informations). (Thông tin đang đươ ̣c truyề n từ hê ̣ thố ng này sang hê ̣ thố ng khác). Là khoa ho ̣c về bảo đảm an toàn thông tin trên đường truyề n tin. b). Nô ̣i dung chuyên ngành (Nô ̣i dung hê ̣ quả từ nô ̣i dung chính): Để bảo vê ̣ thông tin bên trong máy tính hay đang trên đường truyề n tin, phải nghiên cứu các nội dung chuyên ngành sau: + An toàn Dữ liê ̣u (Data Security). + An toàn Cơ sở dữ liê ̣u (CSDL) (Data base Security). + An toàn Hê ̣ điề u hành (Operation system Security). + An toàn ma ̣ng máy tin ́ h (Network Security). 1 PGS.TS Tri ̣nh Nhật Tiế n - Giáo trình mật mã và an toàn dữ liê ̣u, ĐHCN, ĐHQGHN
- 2 2. Phân tích tin ̀ h hin ̀ h an toàn thông tin ta ̣i Viêṭ Nam năm 2015 2.1 Các chỉ số an toàn thông tin Tại Hội thảo Ngày An toàn thông tin Việt Nam 2015, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã công bố báo cáo Kết quả khảo sát thực trạng an toàn thông tin Việt Nam năm 2015 và đưa ra Chỉ số An toàn thông tin Việt Nam 2015 - VNISA Index 2015. Mô ̣t vài thố ng kê đáng lưu tâm trong báo cáo trên: - Khi hỏi: Hệ thống của tổ chức có được kiểm tra, đánh giá an toàn thông tin (ATTT) hay không? 53% trả lời là có và 47% trả lời là không. Hình 1.1 Tỉ lê ̣ đánh giá ATTT trong tổ chức doanh nghiê ̣p - Khi hỏi cán bộ vận hành, khai thác, sử dụng hệ thống của tổ chức đã tuân thủ các chính sách về ATTT hay không: Có 61% cho rằng có tuân thủ và 39% không tuân thủ. Hình 1.2 Tỉ lê ̣ tuân thủ các chính sách ATTT - Quy trình đánh giá, quản lý và xử lý nguy cơ về ATTT trong các TC/DN vẫn còn nhiều hạn chế, 62% được đánh giá không theo quy trình, chỉ có 28% là tuân thủ theo đúng quy trình. - Một trong các vấn đề khó khăn nhất mà TC/DN gặp phải trong việc bảo đảm ATTT cho thông tin và hệ thống đó là việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management). Qua các thông tin ở trên có thể thấ y rằ ng: Cầ n phải đẩ y ma ̣nh công tác đánh giá sự an toàn của mô ̣t hê ̣ thố ng CNTT. Làm thế nào để quản lý đươ ̣c cấ u hình ma ̣ng. 2.2 Các hình thức tấn công mạng khai thác lỗi cấ u hin ̀ h. Theo thống kê của VNCERT cho thấy, năm 2015, có nhiều hình thức tấn công với những kỹ thuật khác nhau, phổ biến nhất là các kỹ thuật: Tấn công dò quét điểm yếu dịch vụ UPNP, tấn công gây từ chối dịch vụ phân giải tên miền DNS, tấn công dò mật khẩu dịch vụ FTP bằng phương pháp vét cạn (brute force login attempt) Qua phân tić h ở trên có thể thấ y rằ ng nế u quản tri ̣viên không tuân thủ các khuyế n nghi ̣về an ninh khi cấ u hình hê ̣ thố ng thì có thể dẫn đế n hê ̣ thố ng đó có những điể m yế u và bi ̣khai thác bởi kẻ tấ n công.
- 3 2.3 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng do lỗi cấ u hin ̀ h. Tại Việt Nam trong năm 2015 và 2016, theo thố ng kê của công ty an ninh ma ̣ng BKAV, xảy ra một số vụ việc mất an toàn thông tin do việc cấu hình trên thiết bị mạng: - Tháng 06/2016, có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán trên thị trường chợ đen xDedic và giá chỉ 6 USD cho mỗi quyền truy cập, trong đó có 841 máy chủ ở Việt Nam. Sau khi các đơn vị an ninh mạng Việt Nam tiến hành tìm hiểu và kiểm tra trên thực tế thông tin các máy chủ Remote Desktop Protocol (RDP) tại Việt Nam được rao bán trên thị trường chợ đen xDedic, kết quả cho thấy, 153 máy chủ vẫn đang mở cổng 3389 (RDP), trong đó có 51 máy chủ mở cả cổng 3389 (RDP) và 80 (HTTP). - Cũng trong 4 tháng đầu năm 2015, theo báo cáo bảo mật từ công ty bảo mật BKAV, sau những ghi nhận từ hệ thống phòng vệ DDoS của mình cho thấy có nhiều cuộc tấn công-từ chối-dịch vụ (DDoS) xuất phát từ nhiều địa chỉ IP thuộc nhiều nhà cung cấp dịch vụ Internet (ISP) tại nhiều quốc gia. Những địa chỉ IP này xuất phát từ các router (bộ định tuyến mạng) kết nối Internet dùng trong gia đình hay doanh nghiệp nhỏ đã bị hack. Và tất cả router "thây ma" đều không được người dùng thay đổi mật khẩu mặc định của tài khoản quản trị (admin) từ nhà sản xuất. Vâ ̣y vấ n đề đă ̣t ra ở đây là làm thế nào để đánh giá mô ̣t hê ̣ thố ng đươ ̣c cấ u hình có tuân thủ các khuyế n nghi hoă ̣ ̣c tiêu chuẩ n an toàn hay không? Từ đó có các biê ̣n pháp khắ c phu ̣c những điể m yế u về cấ u hiǹ h, làm giảm khả năng bi ̣hacker khai thác 2.4. Tầ m quan tro ̣ng của viêc̣ quản lý cấ u hin ̀ h. Năm 2011, trong mô ̣t báo cáo của hañ g phân tić h Gartner chỉ ra rằ ng, viê ̣c quản lý cấ u hình an ninh là mô ̣t viê ̣c bắ t buô ̣c phải làm, và là ưu tiên số 1 trong danh sách các công viê ̣c bảo vê ̣ cho máy chủ.2 Năm 2012, ta ̣p chí an toàn thông tin SANS đã đưa ra 20 mức đô ̣ cấ p thiế t khi quản lý an ninh cho mô ̣t tổ chức (SANS 20 Critical Security Control), trong đó xế p ha ̣ng mức đô ̣ cấ p thiế t của viê ̣c quản lý cấ u hình an ninh cho máy chủ, hê ̣ thố ng, thiế t bi đầ ̣ u cuố i có mức đô ̣ 3; xế p ha ̣ng mức đô ̣ cấ p thiế t viê ̣c quản lý cấ u hình an ninh trên các thiế t bi ̣ma ̣ng là cấ p đô ̣ 10.3 Qua những số liê ̣u nêu trên, có thể thấ y rằ ng viê ̣c quản lý cấ u hiǹ h để ngăn ngừa những lỗi có thể xảy ra là mô ̣t vấ n đề rấ t cầ n đươ ̣c quan tâm trong công tác quản tri ̣ma ̣ng. Mặc dù viê ̣c này không đơn giản nhưng cầ n có những giải pháp để kiể m tra, đánh giá một hê ̣ thố ng có tồ n tại những lỗi cấ u hình hay không, và từ đó đưa ra cách khắ c phục. 2 Neil MacDonald and Peter Firstbrook, “How To Devise a Server Protection Strategy,” December 2011. www.gartner.com/id=1866915 3 http://www.networkworld.com/article/2992503/security/sans-20-critical-security-controls-you-need-to- add.html
- 4 3. Vấ n đề quản lý cấ u hin ̀ h thiế t bi ma ̣ ̣ng doanh nghiêp̣ 3.1 Mu ̣c tiêu và pha ̣m vi nghiên cứu Luâ ̣n văn này tâ ̣p trung vào viê ̣c phân tích và đánh giá xem cấ u hình an ninh trên các thiế t bi ̣ hạ tầ ng mạng của một tổ chức, doanh nghiê ̣p có tuân thủ theo chính sách an toàn bảo mật thông tin của tổ chức đó hay không. Thiế t bi ̣ha ̣ tầ ng ma ̣ng đề câ ̣p đế n trong luâ ̣n văn là thiế t bi ̣đinh ̣ tuyế n - Router, thiế t bi ̣chuyể n ma ̣ch - switch, thiế t bi ̣ đinh ̣ tuyế n không dây - wireless router. Lựa cho ̣n hañ g thiế t bi ̣ là hañ g Cisco, đươ ̣c sử du ̣ng phổ biế n trong ma ̣ng của các công ty, tổ chức ta ̣i Viê ̣t Nam. Pha ̣m vi phân tích là ma ̣ng máy tính của mô ̣t doanh nghiê ̣p ta ̣i tru ̣ sở chiń h của doanh nghiê ̣p đó. Tức là không bao gồ m hê ̣ thố ng ma ̣ng diê ̣n rô ̣ng (WAN). Đầ u tiên, luâ ̣n văn khảo sát mô ̣t mô hiǹ h ma ̣ng máy tiń h điể n hiǹ h, đươ ̣c sử du ̣ng phổ biế n ta ̣i các doanh nghiê ̣p. Sau đó luâ ̣n văn chỉ ra những cấ u hiǹ h an ninh trên thiế t bi ̣ là gi;̀ ta ̣i sao phải thực hiê ̣n những cấ u hình đó; những hâ ̣u quả có thể xảy ra nế u không thực hiê ̣n, hoă ̣c thực hiê ̣n sai các cấ u hình an ninh cho thiế t bi ̣(lỗi cấ u hình) ; cách khắ c phu ̣c từng lỗi cấ u hình như thế nào? Tiế p theo luâ ̣n văn đề xuấ t phương pháp thu thâ ̣p file cấ u hiǹ h của các thiế t bi.̣ Sau khi đã thu thâ ̣p các file cấ u hin ̀ h, luâ ̣n văn đề xuấ t phương pháp phân tić h so sánh những cấ u hiǹ h thu thâ ̣p đươ ̣c với cấ u hình đươ ̣c khuyế n nghi ̣trong chính sách an toàn bảo mâ ̣t thông tin của tổ chức. Sau bước so sánh này, kế t quả thu đươ ̣c là mô ̣t báo cáo đánh giá về những lỗi cấ u hình an ninh trên các thiế t bi ̣ha ̣ tầ ng ma ̣ng. Dựa trên cáo cáo này người quản tri ̣ viên hê ̣ thố ng sẽ tiế n hành những biê ̣n pháp khắ c phu ̣c những lỗi cấ u hiǹ h đó. Cuố i cùng là những vấ n đề đã thực hiê ̣n đươ ̣c và những vấ n đề tồ n ta ̣i của luâ ̣n văn, hướng nghiên cứu mở rô ̣ng tiế p theo. 3.2 Khái niêm ̣ lỗi cấ u hin ̀ h an ninh Cấ u hình an ninh là cấ u hiǹ h nhằ m bảo vê ̣ an toàn cho thiế t bi.̣ Mô ̣t vài ví dụ về cấ u hiǹ h an ninh: - Những dịch vụ mạng không được sử dụng thì nên tắt; - Phải đổi mật khẩu tài khoản quản trị mặc định trên thiết bị; - Khi tạo các kết nối quản lý từ xa tới thiết bị nên sử dụng giao thức an toàn như SSH (Secure Shell) thay vì sử dụng giao thức kém an toàn như Telnet… Một hê ̣ thố ng mạng đươ ̣c xem là quản lý yế u kém là mạng mà trong đó các thiết bị không được cấu hình đầ y đủ các chính sách về an ninh. Từ đó trên các thiết bị mạng có các lỗ hổng, dẫn đến bị kẻ tấn công khai thác và thực hiện các hành vi có chủ đích của hắn.
- 5 3.3 Khái niêm ̣ về đường cơ sở an ninh (Security Baseline) Đường cơ sở an ninh là mô ̣t danh sách kiể m tra (checklist) mà theo đó các hê ̣ thố ng đươ ̣c đánh giá và kiể m toán đố i với tình hình an ninh trong mô ̣t tổ chức. Đường cơ sở phác thảo ra những yế u tố an ninh chính đố i với mô ̣t hê ̣ thố ng, và trở thành điể m xuấ t phát cho viê ̣c bảo vê ̣ hê ̣ thố ng đó.4 3.4 Khái niêm ̣ gia cố thiế t bi (device ̣ hardening) Mu ̣c đić h của viê ̣c gia cố thiế t bi la ̣ ̀ làm giảm càng nhiề u rủi ro càng tố t, và làm cho hê ̣ thố ng an toàn hơn. Thiế t bi ̣ ha ̣ tầ ng ma ̣ng khi mua về đề u có các thông số cấ u hình mă ̣c đinh ̣ từ nhà sản xuấ t (ví du ̣: tài khoản và mâ ̣t khẩ u mă ̣c đinh, ̣ dich ̣ vu ̣ cha ̣y mă ̣c đinh…). ̣ Khi đưa vào sử du ̣ng, quản tri ̣ viên cầ n cấ u hiǹ h la ̣i những tham số này sao cho phù hơ ̣p với các tiêu chuẩ n an ninh đươ ̣c đề câ ̣p đế n trong chiń h sách an toàn bảo mâ ̣t thông tin của tổ chức. 3.5 Khảo sát mô ̣t ma ̣ng máy tính điể n hin ̀ h trong doanh nghiêp. ̣ Hình 3.2. Thiết kế mạng phân thành 3 tầng Cấu trúc mạng thường được thiết kế theo mô hình 3 tầng như trên hình. Thiết kế này nếu tuân thủ sẽ đảm bảo cho hệ thống mạng có tính sẵn sàng, linh hoạt, an ninh, tính quản lý. Đươ ̣c phân thành các tầ ng: - Tầng truy nhập (Access layer): để kết nối các thiết bị đầu cuối của người dùng vào mạng. - Tầng phân phối (Distribution layer): thực hiê ̣n gom lưu lươ ̣ng từ tầ ng truy nhâ ̣p và gửi tới tầ ng lõi để tầ ng lõi thực hiê ̣n đinh ̣ tuyế n tới đích. 4 Theo giáo trình CompTIA Security+
- 6 - Tầng loĩ : thực hiê ̣n gom lưu lươ ̣ng từ tấ t cả các thiế t bi ̣ ở tầ ng phân phố i và chuyể n tiế p lưu lươ ̣ng này tới các trung tâm dữ liê ̣u, trung tâm dich ̣ vu ̣, hoă ̣c ra ma ̣ng diê ̣n rô ̣ng. 3.6 Những lỗi quản tri viên ̣ gă ̣p phải khi cấ u hin ̀ h hê ̣ thố ng ma ̣ng 3.6.1 Các lỗi liên quan đế n cấ u hin ̀ h quản lý thiế t bi ̣ Bảng dưới đây tóm tắ t những lỗi gă ̣p phải khi cấ u hiǹ h quản lý thiế t bi ̣và cấ u hiǹ h khuyế n nghi.̣ STT Mã số lỗi Mô tả về lỗi Khuyế n nghi ̣ 1 mnt-TELNET Sử du ̣ng giao thức TELNET để truy Sử du ̣ng giao thức SSH (SecureShell) câ ̣p thiế t bi ̣từ xa. TEL NET không mã để truy câ ̣p tới thiế t bi ̣từ xa hóa thông tin nên có thể bi ̣lô ̣ mâ ̣t khẩ u 2 mnt-HTTP Sử du ̣ng giao thức HTTP để truy câ ̣p Sử du ̣ng giao thức HTTPS để truy câ ̣p giao diê ̣n quản lý thiế t bi.̣ HTTP không vào thiế t bi ̣để quản lý mã hóa thông tin nên có thể bi ̣xem trô ̣m 3 mnt-TFTP Sử du ̣ng giao thức truyề n file đơn giản Sử du ̣ng SCP (Secure Copy Protocol) TFTP hoă ̣c FTPS (FTP Secure) 4 mnt-int-ACL- Không ngăn chă ̣n các máy tính người Sử du ̣ng kỹ thuâ ̣t điề u khiể n truy câ ̣p. BLK dùng truy câ ̣p tới giao diê ̣n quản lý thiế t bi ̣ 5 mnt-SNMP Sử du ̣ng giao thức quản tri ̣ma ̣ng đơn Sử du ̣ng giao thức SNMPv3 giản SNMPv1 hoă ̣c SNMPv2c 6 mnt- Cài đă ̣t mâ ̣t khẩ u xác thực cu ̣c bô ̣ trên Thực hiê ̣n xác thực tâ ̣p trung trên máy PasswordLocal thiế t bi ̣ chủ AAA 7 mnt- Không mã hóa các mâ ̣t khẩ u lưu trên Mã hóa mâ ̣t khẩ u PassENCRYPT thiế t bi ̣ 8 mnt-NTP Không cấ u hình đồ ng bô ̣ về thời gian Cầ n lấ y đồ ng bô ̣ thời gian theo máy chủ NTP 9 mnt-SYSLOG Không lưu nhâ ̣t ký hoa ̣t đô ̣ng (log) Cấ u hình để thiế t bi ̣ gửi các cảnh báo đế n mô ̣t máy chủ lưu syslog tâ ̣p trung Bảng 3.2. Những lỗi cấ u hình an ninh trong quản lý thiế t bi ̣
- 7 Bảng dưới đây mô tả mô ̣t mẫu cấ u hình an ninh tiêu chuẩ n cho viê ̣c quản lý thiế t bi ̣ STT Mã số Cấu hình trên thiết bị Cấu hình khuyế n nghi ̣ 1 mnt-TELNET line vty 0 15 line vty 0 15 password [string] transport input ssh login 2 mnt-HTTP ip http server no ip http server ip http secure-server 3 mnt-FTPTFTP N/A Ip ftp server 4 mnt-int-ACL-BLK n/a Access-list 5 mnt-SNMP N/A username - password/secret 6 mnt-PasswordLocal N/A AAA new-model AAA authentication AAA authorize AAA accounting 7 mnt- Service-password encryption PasswordENCRYPT 8 mnt-NTP N/A Ntp server [IP] 9 mnt-SYSLOG N/A Logging [IP] Bảng 3.3. Cấ u hình lỗi và cấ u hình khuyế n nghi ̣ 3.6.2 Các lỗi cấ u hin ̀ h trên thiế t bi tầ ̣ ng truy nhâ ̣p Như đã đề câ ̣p, vai trò của tầ ng truy nhâ ̣p trong mô hiǹ h thiế t kế 3 tầ ng là để kết nối các thiết bị đầu cuối của người dùng vào mạng. Thông thường các thiế t bi tầng ̣ truy nhâ ̣p là các thiết bị chuyển mạch (switch lớp 2), thiết bị định tuyến không dây (wireless router). 3.6.2.1 Lỗi cấ u hin ̀ h trên thiế t bi switch ̣ lớp 2 Bảng dưới đây tóm tắ t la ̣i những lỗi cấ u hiǹ h an ninh trên thiế t bi switch ̣ và cấ u hiǹ h khuyế n nghi.̣ STT Mã lỗi Mô tả lỗi Khuyế n nghi ̣
- 8 1 acc-shutdown Không tắ t các cổ ng switch mà đang Tắ t các cổ ng không sử du ̣ng không sử du ̣ng 2 acc-dhcpsnooping Không bâ ̣t chế đô ̣ ngăn chă ̣n các bản Bâ ̣t DHCP Snooping tin DHCP giả ma ̣o 3 acc-DAI Không bâ ̣t chế đô ̣ giám sát các gói tin Bâ ̣t tính năng giám sát gói tin ARP ARP - Dynamic ARP Inspection 4 acc-portsecurity Không bâ ̣t chế đô ̣ an ninh cổ ng Bâ ̣t chế đô ̣ an ninh cổ ng acc-IPSouceGuard Không bâ ̣t chế đô ̣ chố ng giả ma ̣o IP Bâ ̣t chế đô ̣ bảo vê ̣ IP nguồ n - IP nguồ n Source Guard 5 acc-IPv6 Không bâ ̣t chế đô ̣ ngăn chă ̣n các bản Bâ ̣t chế đô ̣ ngăn chă ̣n IPv6 RA tin IPv6 RA giả ma ̣o giả ma ̣o - IPV6 First Hop Security 6 acc-BPDUGuard Không bâ ̣t tính năng BPDU Guard Bâ ̣t BPDU guard trên các cổ ng trên các cổ ng Port Fast Port Fast Bảng 3.4. Lỗi cấ u hình an ninh trên swich và khuyế n nghi ̣ 3.6.2.2 Lỗi cấ u hin ̀ h trên thiế t bi đi ̣ nh ̣ tuyế n không dây Mã lỗi Mô tả Khuyế n nghi ̣ wl-SSID Không ẩ n tên ma ̣ng không dây ẩ n tên ma ̣ng không dây wl-SimplePass Đă ̣t mâ ̣t khẩ u truy câ ̣p ma ̣ng không dây đơn gian Đă ̣t mâ ̣t khẩ u ma ̣nh ̉ wl-MAC Không cấ u hin Cấ u hiǹ h lo ̣c điạ chỉ MAC ̀ h lo ̣c điạ chỉ MAC: wl-Default Không đổ i tài khoản quản tri ̣mă ̣c đinh: ̣ Đổ i tài khoản quản tri mă ̣ ̣c đinh ̣ Bảng 3.5. Tóm tắ t các lỗi cấ u hình trên thiế t bi ̣ đinh ̣ tuyế n không dây. 3.6.3 Các lỗi cấ u hin ̀ h trên thiế t bi tầ ̣ ng phân phố i và tầ ng loĩ STT Mã lỗi Mô tả lỗi Khuyế n nghi ̣ 1 core-Passive- Không đă ̣t các cổ ng nố i với tầ ng Đă ̣t các cổ ng nố i với tầ ng Int Access là cổ ng chế đô ̣ Passive Access là cổ ng chế đô ̣ Passive 2 Core-Routing- Không xác thực thông tin đinh ̣ tuyế n Cấ u hình xác thực thông tin đinh ̣ Info tuyế n
- 9 Bảng 3.6. Lỗi cấ u hin ̀ h tầ ng phân phố i 4. Phương pháp thu thâ ̣p cấ u hin ̀ h từ các thiế t bi ma ̣ ̣ng 4.1 Yêu cầ u của viêc̣ thu thâ ̣p số liêụ cấ u hin ̀ h Phải thu thâ ̣p và lưu trữ tâ ̣p trung số liê ̣u cấ u hình từ các thiế t bi ma ̣ ̣ng về mô ̣t máy chủ để thuâ ̣n tiê ̣n cho viê ̣c đánh giá cấ u hình; Bảo đảm cấ u hình đươ ̣c thu thâ ̣p là cấ u hiǹ h hiê ̣n thời đang hoa ̣t đô ̣ng trên các thiế t bi ̣(không phải là cấ u hiǹ h cũ) Bảo đảm các file cấ u hin ̀ h không bi ̣lỗi khi thu thâ ̣p. Phân biê ̣t đươ ̣c các file cấ u hin ̀ h từ các thiế t bi ̣khác nhau 4.2 Chuẩ n bi về ̣ con người, quy trin ̀ h, phầ n cứng, phầ n mề m, dữ liêụ - Con người: Người thực hiê ̣n công viê ̣c thu thập số liê ̣u: nhân viên phòng vâ ̣n hành hê ̣ thố ng, nhân viên phòng an toàn thông tin. - Quy trình: sau khi nhâ ̣n đươ ̣c yêu cầ u từ phòng an toàn thông tin, nhân viên phòng vâ ̣n hành cầ n thu thâ ̣p số liê ̣u cấ u hình mới nhấ t trên các thiế t bi ̣ma ̣ng về mô ̣t thiế t bi ̣lưu trữ tâ ̣p trung. - Phầ n cứng: phòng vâ ̣n hành phải trang bi ̣mô ̣t máy chủ (server) lưu trữ tâ ̣p trung cấ u hình. - Phầ n mề m: + Hê ̣ điề u hành cho Server có thể là Windows hoă ̣c Linux. + Phầ n mề m FTP: - Dữ liê ̣u cấ u hình: nhân viên phòng vâ ̣n hành cầ n truy câ ̣p vào các thiế t bi ̣ để kiể m tra cấ u hình đang hoa ̣t đô ̣ng trên thiế t bi để ̣ copy về server. 4.2 Cách copy cấ u hin ̀ h về máy chủ FTP FTP Server Các thiết bị mạng Hình 4.1. Phương pháp thu thập cấ u hình Bước Câu lênh ̣ Mu ̣c đích
- 10 1 Router# configure terminal Truy câ ̣p vào chế đô ̣ cấ u hiǹ h 2 Router(config)# ip ftp username username Khai báo FTP username (trên Filezilla) 3 Router(config)# ip ftp password password Khai báo FTP Password (trên Filezilla) 4 Router(config)# end Thoát khỏi chế đô ̣ cấ u hiǹ h 5 Router# copy system:running-config Copy cấ u hình running-config lên FTP ftp:[[[//[username[:password]@]location] server. Lưu ý tên file cấ u hình phải khác /directory]/filename] nhau. Bảng. Các bước copy file cấ u hình từ thiế t bi ̣lên máy chủ. Lưu ý quý tắ c đă ̣t tên file 4.2.1 Quy đinh ̣ về đă ̣t tên file cấ u hin ̀ h. Ở bước số 5 bảng trên, khi thiế t bi se ̣ ̃ yêu cầ u quản tri viên ̣ nhâ ̣p tên file cấ u hình sẽ lưu ở máy chủ FTP, cầ n đă ̣t tên file cấ u hin ̀ h như sau: [Mã tầ ng-Tên-thiế t-bi ̣-config] 4.2.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi lơ ̣ ́ n. Trong trường hơ ̣p số lươ ̣ng thiế t bi ̣lớn (>1000 thiế t bi)̣ thì có thể sử du ̣ng phương pháp lấ y mẫu ngẫu nhiên để đánh giá. Theo phương pháp này, có thể lấ y danh sách các thiế t bi,̣ sau đó thu thâ ̣p cấ u hiǹ h ngẫu nhiên của 20% thiế t bi.̣ Như vâ ̣y tổ ng cô ̣ng sẽ lấ y cấ u hiǹ h của khoảng 200 thiế t bi.̣ Đây là mẫu đủ lớn để đánh giá đươ ̣c hiê ̣n tra ̣ng cấ u hình an ninh trên các thiế t bi ̣ha ̣ tầ ng ma ̣ng. 4.3. Kiể m tra các file cấ u hin ̀ h thu thâ ̣p đươ ̣c Sau khi copy cầ n kiể m tra la ̣i số lươ ̣ng file đã copy lên máy chủ FTP Server đã đầ y đủ và chiń h xác hay chưa. Phương pháp kiể m tra về : số lươ ̣ng file, tên file, nô ̣i dung file 5. Phương pháp đánh giá cấ u hin ̀ h an ninh trên thiế t bi ma ̣ ̣ng 5.1 Phương pháp chung để đánh giá cấ u hin ̀ h an ninh Để thực hiê ̣n đánh giá cấ u hình an ninh trên thiế t bi ̣ma ̣ng có tuân thủ theo chính sách an toàn bảo mâ ̣t thông tin hay không, thì cầ n so sánh cấ u hình hiê ̣n ta ̣i đang hoa ̣t đô ̣ng với cấ u hình an ninh khuyế n nghi ̣ (đường cơ sở an ninh). ß So nh Cấu hình đang hoạt đ ng Cấu hình khuyến nghị (Running-config) (đường an ninh cơ s ) Hình. Phương pháp đánh giá cấ u hình an ninh
- 11 5.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 Mô hiǹ h đo lường an toàn thông tin là một cấu trúc liên kết một nhu cầu thông tin tới các đối tượng có liên quan của bài đo và các thuộc tính của chúng. Đối tượng đo lường có thể bao gồm kế hoạch đã định hoặc các quy trình, các thủ tục, các dự án và các nguồn lực đã triển khai. Mô hình đo lường an toàn thông tin mô tả làm sao để các thuộc tính liên quan được định lượng và chuyển đổi thành các chỉ báo cung cấp cơ sở cho việc ra quyết định. Trong đó: TÊN CÁC THÀNH PHẦN GIẢI THÍCH Thông tin chung của bài đo Tên bài đo Tên bài đo Số hiệu Số định danh duy nhất, tùy ý theo quy định của tổ chức Mục đích Mô tả các lý do dẫn đến cần thiết của bài đo Mục tiêu biện pháp quản lý Quản lý các đối tượng trong bài đo (đã có kế hoạch hoặc đã được triển khai) Biện pháp quản lý (1) Biện pháp quản lý cần đo lường Biện pháp quản lý (2) Tùy chọn: biện pháp quản lý/ quy trình cao hơn trong nhóm đã bao gồm trong cùng bài đo, nếu có thể áp dụng (đã có kế hoạch hoặc đã được triển khai) Đối tượng của bài đo và các thu c tính
- 12 Đối tượng Đối tượng (thực thể) được đặc trưng thông qua bài đo các thuộc tính của nó. Một đối tượng bao gồm các quy trình, các kế hoạch, các dự án, các nguồn lực, các hệ thống, và các thành phần. Thuộc tính Tính chất hoặc đặc trưng của đối tượng của bài đo có thể được phân biệt về số lượng hoặc chất lượng bởi con người hoặc bởi tự động. Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n]) Số đo cơ bản Một số đo cơ bản được xác định theo một thuộc tính và phương pháp đo cụ thể để định lượng thuộc tính (ví dụ như số người đã được đào tạo, số lượng các điểm/sites, chi phí tính đến nay). Theo dữ liệu thu thập, một giá trị được gán nhận cho một số đo cơ bản. Phương pháp đo Trình tự các hoạt động sử dụng trong định lượng thuộc tính về một phạm vi cụ thể. Loại phương pháp đo Dựa trên bản chất các hoạt động sử dụng để định lượng thuộc tính, phân thành hai Phương pháp đo: - Chủ quan: định lượng liên quan tới chủ định của con người. - Khách quan: định lượng dựa trên các quy tắc số học. Thang giá trị Tập hợp các giá trị có thứ tự, hoặc tập các danh mục được ánh xạ tới thuộc tính của số đo cơ bản Loại thang giá trị Dựa trên bản chất mối quan hệ giữa các giá trị, phân thành bốn loại thang giá trị phố biến: Danh định; thứ tự; khoảng đoạn; tỷ lệ. Đơn vị đo Số lượng cụ thể, được xác định và phù hợp theo quy ước, với các số lượng khác cùng loại được so sánh theo một thứ tự để diễn tả mối tương quan với số lượng đó. Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất Một số đo được rút ra từ hai hoặc nhiều hơn số đo cơ bản. Hàm đo lường Thuật toán hoặc tính toán được thực hiện để kết hợp hai hoặc nhiều số đo cơ bản. Thang giá trị và đơn vị của số đo dẫn xuất dựa trên thang giá trị của các số đo cơ bản mà nó bao gồm cũng như cách kết hợp các hàm đo lường với nhau. Thông tin đặc tả về chỉ báo Chỉ báo Số đo mà cung cấp những ước tính hay định lượng các thuộc tính xác định thông qua mô hình phân tích với những thông tin cần thiết. Các chỉ báo là cơ sở để phân tích và đưa ra quyết định. Mô hình phân tích Thuật toán hoặc việc kết hợp tính toán một hoặc nhiều số đo cơ bản hoặc các số đo dẫn xuất với tiêu chí quyết định phù hợp; Điều này dựa trên sự hiểu biết hoặc các dữ kiện, mối quan hệ dự tính giữa số đo cơ bản hoặc số đo dẫn xuất hoặc trạng thái của chúng. Nhờ mô hình phân
- 13 tích sẽ giúp ước lượng hay định lượng mối quan hệ để xác định thông tin cần thiết. Thông tin đặc tả về tiêu chí quyết định Tiêu chí quyết định Ngưỡng, mục tiêu, hoặc các mẫu được sử dụng để xác định sự cần thiết phải hành động hay điều tra thêm, hoặc để mô tả mức độ chính xác của kết quả bài đo nhất định. Tiêu chí quyết định giúp làm rõ các kết quả của bài đo. Kết quả bài đo Giải thích chỉ báo Mô tả về chỉ báo, để chỉ báo được hiểu rõ ràng hơn. Định dạng hồ sơ đo Định dạng hồ sơ đo nên được đánh nhãn và lưu thành tài liệu. Mô tả các theo dõi, nhận xét về tổ chức hoặc người sở hữu thông tin có thể cần được ghi lại. Định dạng hồ sơ đo trực quan sẽ miêu tả các đánh giá và cung cấp giải thích rõ ràng về các chỉ dẫn. Định dạng hồ sơ đo nên được tùy chỉnh theo thông tin khách hàng. Các bên liên quan Người trách nhiệm bài đo Ban quản lý hoặc các bên quan tâm yêu cầu hoặc cần thông tin về hiệu lực của một hệ thống ISMS, các biện pháp quản lý hoặc nhóm biện pháp quản lý. Người xem xét kết quả đo Cá nhân hoặc tổ chức mà kiểm tra tính hợp lệ cho các cấu trúc bài đo đã tiến hành là đủ điều kiện cho việc đánh giá hiệu lực của một hệ thống ISMS, các biện pháp quản lý hoặc nhóm biện pháp quản lý. Người sở hữu thông tin Cá nhận hoặc tổ chức sở hữu thông tin về một đổi tượng của bài đo và chịu trách nhiệm về bài đo. Bộ phận thu thập thông tin Cá nhân hoặc tổ chức chịu trách nhiệm về thu thập, ghi chép và lưu trữ dữ liệu. Bộ phận trao đổi thông tin Cá nhân hoặc tổ chức chịu trách nhiệm phân tích dữ liệu và trao đổi các kết quả bài đo. Tần suất thực hiện Tần suất thu thập dữ liệu Mức độ thường xuyên thu thập dữ liệu. Tần suất phân tích dữ liệu Mức độ thường xuyên phân tích dữ liệu. Tần suất và hồ sơ đo Mức độ thường xuyên của các kết quả đo được lập hồ sơ (mức độ này có thể thấp hơn Tần suất thu thập dữ liệu). Tần suất sửa đổi bài đo Ngày sửa đổi bài đo (thời hạn hiệu lực của tính hợp lệ của bài đo hoặc các thay đổi của bài đo) Tần suất thực hiện bài đo Xác định định kỳ thực hiện bài đo.
- 14 5.3 Đánh giá lỗi cấu hình quản lý TÊN CÁC THÀNH GIẢI THÍCH PHẦN Thông tin chung của bài đo Tên bài đo Đo các tham số về cấ u hin ̀ h an ninh trong viêc̣ quản lý thiế t bi. ̣ Số hiệu Device-Management-Check Mục đích Kiể m tra các cấ u hình quản lý trên thiế t bi xem ̣ có tuân thủ theo chính sách an toàn bảo mâ ̣t thông tin hay không. Mục tiêu biện pháp quản lý Kiể m tra đươ ̣c cấ u hiǹ h quản lý trên thiế t bi ̣xem có lỗi hay không để từ đó có biê ̣n pháp khắ c phu ̣c. Biện pháp quản lý (1) Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành. Phòng vâ ̣n hành: thu thâ ̣p cấ u hình. Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh. Biện pháp quản lý (2) Đối tượng của bài đo và các thu c tính Đối tượng Cấ u hiǹ h quản lý trên thiế t bi ̣ma ̣ng. Thuộc tính Các cấ u hình quản lý đề câ ̣p trong mu ̣c 3.6.1 Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n]) Số đo cơ bản mnt-TELNET mnt-HTTP mnt-TFTP mnt-int-ACL-BLK mnt-SNMP mnt-PasswordLocal mnt-PasswordENCRYPT mnt-NTP mnt-SYSLOG Phương pháp đo So sánh cấ u hiǹ h mẫu (khuyế n nghi)̣ với cấ u hiǹ h hiê ̣n ta ̣i xem có khớp nhau hay không Loại phương pháp đo Khách quan: định lượng dựa trên các quy tắc số học. Thang giá trị Có/Không Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Không: là không thực hiê ̣n cấ u hiǹ h tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất
- 15 Hàm đo lường Thông tin đặc tả về chỉ báo Chỉ báo Có/Không Mô hình phân tích Thông tin đặc tả về tiêu chí quyết định Tiêu chí quyết định Theo thang giá tri ̣là “Có”/”Không”. Kết quả bài đo Giải thích chỉ báo Mô tả ý nghiã từng tham số cấ u hiǹ h quản lý thiế t bi.̣ Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm bài đo Nhân viên phòng An toàn thông tin Người xem xét kết quả đo Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT trong doanh nghiê ̣p. Người sở hữu thông tin Phòng An toàn thông tin Bộ phận thu thập thông tin Phòng vâ ̣n hành Bộ phận trao đổi thông tin Phòng vâ ̣n hành; Phòng An toàn thông tin Tần suất thực hiện Tần suất thu thập dữ liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức. Tần suất phân tích dữ liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức. 5.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập TÊN CÁC THÀNH GIẢI THÍCH PHẦN Thông tin chung của bài đo Tên bài đo Đo các tham số về cấ u hin ̀ h an ninh trên thiế t bi ơ ̣ ̉ tầ ng truy nhâ ̣p Số hiệu Access-Device-Check Mục đích Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi tầ ̣ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không. Mục tiêu biện pháp quản lý Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không, để từ đó có biê ̣n pháp khắ c phu ̣c. Biện pháp quản lý (1) Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành. Phòng vâ ̣n hành: thu thâ ̣p cấ u hiǹ h. Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh. Biện pháp quản lý (2) Đối tượng của bài đo và các thu c tính Đối tượng Cấ u hình an ninh trên trên thiế t bi ̣ma ̣ng ở tầ ng truy nhâ ̣p (switch lớp 2, thiế t bi ̣đinh ̣ tuyế n không dây).
- 16 Thuộc tính Các cấ u hiǹ h quản lý đề câ ̣p trong mu ̣c 3.6.2 Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n]) Số đo cơ bản Đố i với switch lớp 2 acc-shutdown acc-dhcpsnooping acc-DAI acc-portsecurity acc-IPSouceGuard acc-IPv6 acc-BPDUGuard Đố i với thiế t bi đi ̣ nh ̣ tuyế n không dây wl-SSID wl-SimplePass wl-MAC wl-Default Phương pháp đo So sánh cấ u hình mẫu (khuyế n nghi)̣ với cấ u hình hiê ̣n ta ̣i xem có khớp nhau hay không Loại phương pháp đo Khách quan: định lượng dựa trên các quy tắc số học. Thang giá trị Có/Không Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Không: là không thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất Hàm đo lường Thông tin đặc tả về chỉ báo Chỉ báo Có/Không Mô hình phân tích Thông tin đặc tả về tiêu chí quyết định Tiêu chí quyết định Theo thang giá tri ̣là “Có”/”Không”. Kết quả bài đo Giải thích chỉ báo Mô tả ý nghiã từng tham số cấ u hình trên thiế t bi tầ ̣ ng truy nhâ ̣p Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm bài đo Nhân viên phòng An toàn thông tin
- 17 Người xem xét kết quả đo Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT trong doanh nghiê ̣p. Người sở hữu thông tin Phòng An toàn thông tin Bộ phận thu thập thông tin Phòng vâ ̣n hành Bộ phận trao đổi thông tin Phòng vâ ̣n hành; Phòng An toàn thông tin Tần suất thực hiện Tần suất thu thập dữ liệu Tùy theo chiń h sách an toàn bảo mâ ̣t thông tin của tổ chức. Tần suất phân tích dữ liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức. 5.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối và tầng loĩ Đối với cấu hình thiết bị tầng phân phối/lõi, sẽ thực hiện kiểm tra những vấn đề lỗi sau: TÊN CÁC THÀNH GIẢI THÍCH PHẦN Thông tin chung của bài đo Tên bài đo Đo các tham số về cấ u hin ̀ h an ninh trên thiế t bi ơ ̣ ̉ tầ ng phân phố i/tầ ng lõi. Số hiệu Distribution-Core-Device-Check Mục đích Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không. Mục tiêu biện pháp quản lý Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không, để từ đó có biê ̣n pháp khắ c phu ̣c. Biện pháp quản lý (1) Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành. Phòng vâ ̣n hành: thu thâ ̣p cấ u hiǹ h. Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh. Biện pháp quản lý (2) Đối tượng của bài đo và các thu c tính Đối tượng Cấ u hình an ninh trên trên thiế t bi ̣ma ̣ng ở tầ ng phân phố i/tầ ng lõi (thiế t bi đi ̣ nh ̣ tuyế n, thiế t bi chuyể ̣ n ma ̣ch lớp 3) Thuộc tính Các cấ u hiǹ h quản lý đề câ ̣p trong mu ̣c 3.6.3 Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n]) Số đo cơ bản Core-Passive-Int Core-Routing-Info Phương pháp đo So sánh cấ u hình mẫu (khuyế n nghi)̣ với cấ u hình hiê ̣n ta ̣i xem có khớp nhau hay không Loại phương pháp đo Khách quan: định lượng dựa trên các quy tắc số học. Thang giá trị Có/Không - Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣
- 18 - Không: là không thực hiê ̣n cấ u hiǹ h tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất Hàm đo lường Thông tin đặc tả về chỉ báo Chỉ báo Có/Không Mô hình phân tích Thông tin đặc tả về tiêu chí quyết định Tiêu chí quyết định Theo thang giá tri ̣là “Có”/”Không”. Kết quả bài đo Giải thích chỉ báo Mô tả ý nghiã từng tham số cấ u hiǹ h trên thiế t bi tầ ̣ ng phân phố i và tầ ng lỗi Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm bài đo Nhân viên phòng An toàn thông tin Người xem xét kết quả đo Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT trong doanh nghiê ̣p. Người sở hữu thông tin Phòng An toàn thông tin Bộ phận thu thập thông tin Phòng vâ ̣n hành Bộ phận trao đổi thông tin Phòng vâ ̣n hành; Phòng An toàn thông tin Tần suất thực hiện Tần suất thu thập dữ liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức. Tần suất phân tích dữ liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức. 5.5 Xuấ t báo cáo đường cơ sở an ninh Sau khi so sánh giữa cấu hình đang hoạt động và cấu hình mẫu, chúng ta sẽ biết được cấu hình trên các thiết bị có tuân thủ đúng với chính sách an ninh của doanh nghiệp/ tổ chức đặt ra hay không. Kết quả báo cáo có 2 trạng thái là “Đạt” hoặc “Không đạt” Luâ ̣n văn có xây dựng công cu ̣ đánh giá cấ u hình an ninh. Ưu điể m của công cu ̣ này so với các công cu ̣ của Cisco đó là: - Có thể đánh giá cấ u hình an ninh của nhiề u thiế t bi ̣ - Xuấ t báo cáo tổ ng hợp phân tích tình trạng cấ u hình an ninh của toàn bộ mạng
- 19 5.6 Những vấ n đề đa ̣t đươ ̣c của luâ ̣n văn và những tồ n ta ̣i Những vấ n đề đa ̣t đươ ̣c: - Phân tích đươ ̣c tầ m quan tro ̣ng của viê ̣c quản lý cấ u hình trong công tác đảm bảo an toàn cho hê ̣ thố ng ma ̣ng máy tính của doanh nghiê ̣p. - Làm rõ đươ ̣c những lỗi cấ u hin ̀ h an ninh trên thiế t bi ma ̣ ̣ng, những nguy cơ có thể xảy ra khi để tồ n ta ̣i những lỗi này; cách cấ u hin ̀ h khắ c phu ̣c lỗi. - Đề xuấ t đươ ̣c phương pháp thu thâ ̣p cấ u hình tâ ̣p trung - Đề xuấ t đươ ̣c phương pháp đánh giá lỗi cấ u hình. - Xây dựng chương trin ̀ h đánh giá cấ u lỗi cấ u hiǹ h Những vấ n đề còn tồ n ta ̣i - Luâ ̣n văn mới chỉ đề câ ̣p đế n mô hình ma ̣ng ta ̣i mô ̣t điạ điể m, chưa mở rô ̣ng viê ̣c khảo sát hê ̣ thố ng ma ̣ng có nhiề u chi nhánh. - Thiế t bi ̣đề câ ̣p đế n trong luâ ̣n văn là của hañ g Cisco. Thực tế ở Viê ̣t Nam hiê ̣n nay các doanh nghiê ̣p sử du ̣ng thiế t bi ̣ của nhiề u hãng, ví du ̣ Juniper v.v. Vì vâ ̣y cầ n xem xét đế n đă ̣c điể m cấ u hiǹ h an ninh trên các thiế t bi ̣ của các hañ g khác nhau. Luâ ̣n văn cũng mới đề câ ̣p đế n các thiế t bi ̣ cơ bản (Switch, Router, wireless router). Trong hê ̣ thố ng ma ̣ng còn những thiế t bi ̣ như Firewall, Server,…Vì vâ ̣y cầ n tiế p tu ̣c nghiên cứu những thiế t bi na ̣ ̀ y để đưa ra cấ u hiǹ h an ninh phù hơ ̣p. - Những lỗi cấ u hin ̀ h đươ ̣c chỉ ra trong luâ ̣n văn là những lỗi cấ u hiǹ h cơ bản, thường gă ̣p. Còn nhiề u các tham số cấ u hình an ninh cầ n đươ ̣c xem xét thêm để tăng cường tính an ninh cho thiế t bi.̣
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Tóm tắt luận văn Thạc sĩ quản trị kinh doanh: Phân tích biến động chi phí tại nhà máy nước khoáng thạch bích Quảng Ngãi
26 p | 126 | 31
-
Tóm tắt Luận văn Thạc sĩ Kỹ thuật: Nghiên cứu pectin và xây dựng quy trình sản xuất bột thạch từ lá sương sâm
13 p | 239 | 23
-
Tóm tắt luận văn thạc sĩ: Phát triển dịch vụ thông tin di động tại Trung tâm Thông tin di động khu vực III - Mobifone miền Trung
26 p | 104 | 18
-
Tóm tắt luận văn thạc sĩ: Phân tích biến động chi phí tại nhà máy nước khoáng Thạch Bích Quảng Ngãi
26 p | 124 | 12
-
Tóm tắt luận văn Thạc sĩ Y tế công cộng: Kiến thức, thái độ thực hành và một số yếu tố liên quan đến phòng chống bệnh sốt xuất huyết Dengue của người dân xã Hương Ngãi, Thạch Thất, Hà Nội năm 2017
30 p | 38 | 10
-
Tóm tắt Luận văn Thạc sĩ Luật học: Pháp luật về bảo vệ môi trường không khí trong hoạt động sản xuất, kinh doanh qua thực tiễn tại huyện Núi Thành, tỉnh Quảng Nam
33 p | 76 | 8
-
Tóm tắt Luận văn Thạc sĩ Kỹ thuật: Nghiên cứu giải pháp ổn định lòng dẫn sông Trà Khúc đoạn từ hạ lưu đập Thạch Nham đến cửa Đại
26 p | 93 | 7
-
Tóm tắt luận văn Thạc sĩ Quản trị kinh doanh: Xây dựng chiến lược kinh doanh của Công ty cổ phần xây dựng Phú Thành đến năm 2025
25 p | 46 | 6
-
Tóm tắt Luận văn Thạc sĩ Quản lý công: Thực hiện chính sách ưu đãi người có công với cách mạng trên địa bàn huyện Thạch Thất, thành phố Hà Nội
26 p | 9 | 5
-
Tóm tắt luận văn Thạc sĩ Kỹ thuật phần mềm: Nghiên cứu tóm tắt văn bản tự động và ứng dụng
25 p | 44 | 5
-
Tóm tắt luận văn Thạc sĩ chuyên ngành Kỹ thuật phần mềm: Nghiên cứu tóm tắt văn bản tự động và ứng dụng
25 p | 40 | 5
-
Tóm tắt luận văn Thạc sĩ Công tác xã hội: Công tác xã hội hỗ trợ người khuyết tật ứng phó với sự kỳ thị của gia đình và xã hội (Nghiên cứu tại Hội người khuyết tật quận Thanh Xuân, thành phố Hà Nội)
28 p | 46 | 4
-
Tóm tắt Luận văn Thạc sĩ Quản lý công: Chất lượng công chức các cơ quan chuyên môn thuộc Ủy ban nhân dân huyện Thạch Hà, tỉnh Hà Tĩnh
26 p | 5 | 4
-
Tóm tắt Luận văn Thạc sĩ Quản lý đô thị và công trình: Quản lý kiến trúc cảnh quan tuyến đường Phạm Ngọc Thạch, Thành phố Thủ Dầu Một - Bình Dương
22 p | 31 | 3
-
Tóm tắt luận văn Thạc sĩ Khoa học: Hoạch định chiến lược phát triển kinh doanh Công ty TNHH XD TM DV Phú Mỹ đến năm 2015
5 p | 42 | 3
-
Tóm tắt luận văn Thạc sĩ: Ứng dụng mô hình SWAT khảo sát biến đổi dòng chảy do biến đổi khí hậu và sử dụng đất cho lưu vực sông Thạch Hãn
22 p | 67 | 2
-
Tóm tắt luận văn Thạc sĩ Quản trị kinh doanh: Hoạch định chiến lược marketing tại Công ty TNHH Dakman Việt Nam
26 p | 7 | 2
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn