Tóm tắt luận văn Thạch sĩ Công nghệ thông tin: Xây dựng phương pháp thu thập và phân tích số liệu lỗi cấu hình mạng máy tính

Chia sẻ: Nhân Nhân | Ngày: | Loại File: PDF | Số trang:22

Thêm vào BST

Báo xấu

33
lượt xem 2
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Luận văn "Xây dựng phương pháp thu thập và phân tích số liệu lỗi cấu hình mạng máy tính" tập trung vào việc phân tích và đánh gái xem cấu hình an ninh trên các thiết bị hạ tầng mạng của một tổ chức, doanh nghiệp có tuân thủ theo chính sách an toàn bảo mật thông tin của tổ chức đó hay không.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Tóm tắt luận văn Thạch sĩ Công nghệ thông tin: Xây dựng phương pháp thu thập và phân tích số liệu lỗi cấu hình mạng máy tính

0 MỤC LỤC 1. Tổ ng quan về an toàn thông tin.......................................................................................... 1 1.1 Ta ̣i sao cầ n bảo đảm an toàn thông tin? ............................................................................ 1 1.2 Mu ̣c tiêu của an toàn thông tin.......................................................................................... 1 1.3 Các nô ̣i dung an toàn thông tin. ........................................................................................ 1 2. Phân tích tin ̀ h hin ̀ h an toàn thông tin ta ̣i Viêṭ Nam năm 2015 ........................................ 2 2.1 Các chỉ số an toàn thông tin .............................................................................................. 2 2.2 Các hình thức tấn công mạng khai thác lỗi cấ u hình. ...................................................... 2 2.3 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng do lỗi cấ u hiǹ h. ................................................... 3 2.4. Tầ m quan tro ̣ng của viê ̣c quản lý cấ u hiǹ h. ..................................................................... 3 3. Vấ n đề quản lý cấ u hin ̀ h thiế t bi ma ̣ ̣ng doanh nghiêp̣ ...................................................... 4 3.1 Mu ̣c tiêu và pha ̣m vi nghiên cứu....................................................................................... 4 3.2 Khái niê ̣m lỗi cấ u hiǹ h an ninh ......................................................................................... 4 3.3 Khái niê ̣m về đường cơ sở an ninh (Security Baseline) ................................................... 5 3.4 Khái niê ̣m gia cố thiế t bi ̣(device hardening) .................................................................... 5 3.5 Khảo sát mô ̣t ma ̣ng máy tiń h điể n hiǹ h trong doanh nghiê ̣p. ........................................... 5 3.6 Những lỗi quản tri ̣viên gă ̣p phải khi cấ u hình hê ̣ thố ng ma ̣ng ......................................... 6 3.6.1 Các lỗi liên quan đế n cấ u hình quản lý thiế t bi .......................................................... ̣ 6 3.6.2 Các lỗi cấ u hiǹ h trên thiế t bi ̣tầ ng truy nhâ ̣p .............................................................. 7 3.6.3 Các lỗi cấ u hiǹ h trên thiế t bi ̣tầ ng phân phố i và tầ ng lõi ............................................ 8 4. Phương pháp thu thâ ̣p cấ u hin ̀ h từ các thiế t bi ma ̣ ̣ng ...................................................... 9 4.1 Yêu cầ u của viê ̣c thu thâ ̣p số liê ̣u cấ u hiǹ h ....................................................................... 9 4.2 Chuẩ n bi ̣về con người, quy triǹ h, phầ n cứng, phầ n mề m, dữ liê ̣u ................................... 9 4.2 Cách copy cấ u hình về máy chủ ....................................................................................... 9 4.2.1 Quy đinh ̣ về đă ̣t tên file cấ u hình. ............................................................................ 10 4.2.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi ̣lớn....................................................... 10 4.3. Kiể m tra các file cấ u hình thu thâ ̣p đươ ̣c ....................................................................... 10 5. Phương pháp đánh giá cấ u hin ̀ h an ninh trên thiế t bi ma ̣ ̣ng ......................................... 10 5.1 Phương pháp chung để đánh giá cấ u hiǹ h an ninh ......................................................... 10 5.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 .......................................................... 11 5.3 Đánh giá lỗi cấu hình quản lý ......................................................................................... 14 5.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập .................................................................. 15 5.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối và tầng core ............................................ 17 5.5 Xuấ t báo cáo đường cơ sở an ninh .................................................................................. 18 5.6 Những vấ n đề đa ̣t đươ ̣c của luâ ̣n văn và những tồ n ta ̣i ................................................... 19 6. Kế t luâ ̣n .............................................................................................................................. 20 TÀ I LIỆU THAM KHẢO..................................................................................................... 21
1 1. Tổ ng quan về an toàn thông tin1 1.1 Ta ̣i sao cầ n bảo đảm an toàn thông tin? Ngày nay, sự xuấ t hiê ̣n Internet và ma ̣ng máy tính ̣ đã giúp cho viê ̣c trao đổ i thông tin trở nên nhanh gọn, dễ dàng. E-mail cho phép người ta nhâ ̣n hay gửi thư ngay trên máy tiń h của miǹ h, E-business cho phép thực hiê ̣n các giao dich ̣ buôn bán trên ma ̣ng, ...Tuy nhiên la ̣i phát sinh những vấ n đề mới. Thông tin quan tro ̣ng nằ m ở kho dữ liê ̣u hay đang trên đường truyề n có thể bi trô ̣ ̣m cắ p, có thể bi la ̣ ̀ m sai lê ̣ch, có thể bi gia ̣ ̉ ma ̣o. Điề u đó có thể ảnh hưởng tới các tổ chức, các công ty hay cả mô ̣t quố c gia. Những bí mâ ̣t kinh doanh, tài chin ́ h là mu ̣c tiêu của các đố i thủ ca ̣nh tranh. Những tin tức về an ninh quố c gia là mu ̣c tiêu của các tổ chức tiǹ h báo trong và ngoài nước. Để giải quyế t tình hình trên, vấn đề bảo đảm an toàn thông tin (ATTT) đã đươ ̣c đă ̣t ra trong lý luận cũng như trong thực tiễn. 1.2 Mu ̣c tiêu của an toàn thông tin. * Bảo đảm bí mâ ̣t (Bảo mâ ̣t): Thông tin không bi ̣lô ̣ đố i với người không đươ ̣c phép. * Bảo đảm toàn ve ̣n (Bảo toàn): Ngăn chă ̣n hay ha ̣n chế viê ̣c bổ sung, loa ̣i bỏ và sửa dữ liê ̣u không đươ ̣c phép. * Bảo đảm xác thực (Chứng thực): Xác thực đúng thực thể cầ n kế t nố i, giao dịch. Xác thực đúng thực thể có trách nhiê ̣m về nô ̣i dung thông tin (Xác thực nguồ n gố c thông tin.) * Bảo đảm sẵn sàng: Thông tin sẵn sàng cho người dùng hơ ̣p pháp. 1.3 Các nô ̣i dung an toàn thông tin. a). Nô ̣i dung chin ́ h: * An toàn máy tin ́ h (Computer Security): là sự bảo vê ̣ các thông tin cố đinh ̣ bên trong máy tiń h (Static Informations), là khoa ho ̣c về bảo đảm an toàn thông tin trong máy tính. * An toàn truyề n tin (Communication Security): là sự bảo vê ̣ thông tin trên đường truyề n tin (Dynamic Informations). (Thông tin đang đươ ̣c truyề n từ hê ̣ thố ng này sang hê ̣ thố ng khác). Là khoa ho ̣c về bảo đảm an toàn thông tin trên đường truyề n tin. b). Nô ̣i dung chuyên ngành (Nô ̣i dung hê ̣ quả từ nô ̣i dung chính): Để bảo vê ̣ thông tin bên trong máy tính hay đang trên đường truyề n tin, phải nghiên cứu các nội dung chuyên ngành sau: + An toàn Dữ liê ̣u (Data Security). + An toàn Cơ sở dữ liê ̣u (CSDL) (Data base Security). + An toàn Hê ̣ điề u hành (Operation system Security). + An toàn ma ̣ng máy tin ́ h (Network Security). 1 PGS.TS Tri ̣nh Nhật Tiế n - Giáo trình mật mã và an toàn dữ liê ̣u, ĐHCN, ĐHQGHN
2 2. Phân tích tin ̀ h hin ̀ h an toàn thông tin ta ̣i Viêṭ Nam năm 2015 2.1 Các chỉ số an toàn thông tin Tại Hội thảo Ngày An toàn thông tin Việt Nam 2015, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã công bố báo cáo Kết quả khảo sát thực trạng an toàn thông tin Việt Nam năm 2015 và đưa ra Chỉ số An toàn thông tin Việt Nam 2015 - VNISA Index 2015. Mô ̣t vài thố ng kê đáng lưu tâm trong báo cáo trên: - Khi hỏi: Hệ thống của tổ chức có được kiểm tra, đánh giá an toàn thông tin (ATTT) hay không? 53% trả lời là có và 47% trả lời là không. Hình 1.1 Tỉ lê ̣ đánh giá ATTT trong tổ chức doanh nghiê ̣p - Khi hỏi cán bộ vận hành, khai thác, sử dụng hệ thống của tổ chức đã tuân thủ các chính sách về ATTT hay không: Có 61% cho rằng có tuân thủ và 39% không tuân thủ. Hình 1.2 Tỉ lê ̣ tuân thủ các chính sách ATTT - Quy trình đánh giá, quản lý và xử lý nguy cơ về ATTT trong các TC/DN vẫn còn nhiều hạn chế, 62% được đánh giá không theo quy trình, chỉ có 28% là tuân thủ theo đúng quy trình. - Một trong các vấn đề khó khăn nhất mà TC/DN gặp phải trong việc bảo đảm ATTT cho thông tin và hệ thống đó là việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management). Qua các thông tin ở trên có thể thấ y rằ ng:  Cầ n phải đẩ y ma ̣nh công tác đánh giá sự an toàn của mô ̣t hê ̣ thố ng CNTT.  Làm thế nào để quản lý đươ ̣c cấ u hình ma ̣ng. 2.2 Các hình thức tấn công mạng khai thác lỗi cấ u hin ̀ h. Theo thống kê của VNCERT cho thấy, năm 2015, có nhiều hình thức tấn công với những kỹ thuật khác nhau, phổ biến nhất là các kỹ thuật: Tấn công dò quét điểm yếu dịch vụ UPNP, tấn công gây từ chối dịch vụ phân giải tên miền DNS, tấn công dò mật khẩu dịch vụ FTP bằng phương pháp vét cạn (brute force login attempt) Qua phân tić h ở trên có thể thấ y rằ ng nế u quản tri ̣viên không tuân thủ các khuyế n nghi ̣về an ninh khi cấ u hình hê ̣ thố ng thì có thể dẫn đế n hê ̣ thố ng đó có những điể m yế u và bi ̣khai thác bởi kẻ tấ n công.
3 2.3 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng do lỗi cấ u hin ̀ h. Tại Việt Nam trong năm 2015 và 2016, theo thố ng kê của công ty an ninh ma ̣ng BKAV, xảy ra một số vụ việc mất an toàn thông tin do việc cấu hình trên thiết bị mạng: - Tháng 06/2016, có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán trên thị trường chợ đen xDedic và giá chỉ 6 USD cho mỗi quyền truy cập, trong đó có 841 máy chủ ở Việt Nam. Sau khi các đơn vị an ninh mạng Việt Nam tiến hành tìm hiểu và kiểm tra trên thực tế thông tin các máy chủ Remote Desktop Protocol (RDP) tại Việt Nam được rao bán trên thị trường chợ đen xDedic, kết quả cho thấy, 153 máy chủ vẫn đang mở cổng 3389 (RDP), trong đó có 51 máy chủ mở cả cổng 3389 (RDP) và 80 (HTTP). - Cũng trong 4 tháng đầu năm 2015, theo báo cáo bảo mật từ công ty bảo mật BKAV, sau những ghi nhận từ hệ thống phòng vệ DDoS của mình cho thấy có nhiều cuộc tấn công-từ chối-dịch vụ (DDoS) xuất phát từ nhiều địa chỉ IP thuộc nhiều nhà cung cấp dịch vụ Internet (ISP) tại nhiều quốc gia. Những địa chỉ IP này xuất phát từ các router (bộ định tuyến mạng) kết nối Internet dùng trong gia đình hay doanh nghiệp nhỏ đã bị hack. Và tất cả router "thây ma" đều không được người dùng thay đổi mật khẩu mặc định của tài khoản quản trị (admin) từ nhà sản xuất.  Vâ ̣y vấ n đề đă ̣t ra ở đây là làm thế nào để đánh giá mô ̣t hê ̣ thố ng đươ ̣c cấ u hình có tuân thủ các khuyế n nghi hoă ̣ ̣c tiêu chuẩ n an toàn hay không? Từ đó có các biê ̣n pháp khắ c phu ̣c những điể m yế u về cấ u hiǹ h, làm giảm khả năng bi ̣hacker khai thác 2.4. Tầ m quan tro ̣ng của viêc̣ quản lý cấ u hin ̀ h. Năm 2011, trong mô ̣t báo cáo của hañ g phân tić h Gartner chỉ ra rằ ng, viê ̣c quản lý cấ u hình an ninh là mô ̣t viê ̣c bắ t buô ̣c phải làm, và là ưu tiên số 1 trong danh sách các công viê ̣c bảo vê ̣ cho máy chủ.2 Năm 2012, ta ̣p chí an toàn thông tin SANS đã đưa ra 20 mức đô ̣ cấ p thiế t khi quản lý an ninh cho mô ̣t tổ chức (SANS 20 Critical Security Control), trong đó xế p ha ̣ng mức đô ̣ cấ p thiế t của viê ̣c quản lý cấ u hình an ninh cho máy chủ, hê ̣ thố ng, thiế t bi đầ ̣ u cuố i có mức đô ̣ 3; xế p ha ̣ng mức đô ̣ cấ p thiế t viê ̣c quản lý cấ u hình an ninh trên các thiế t bi ̣ma ̣ng là cấ p đô ̣ 10.3 Qua những số liê ̣u nêu trên, có thể thấ y rằ ng viê ̣c quản lý cấ u hiǹ h để ngăn ngừa những lỗi có thể xảy ra là mô ̣t vấ n đề rấ t cầ n đươ ̣c quan tâm trong công tác quản tri ̣ma ̣ng. Mặc dù viê ̣c này không đơn giản nhưng cầ n có những giải pháp để kiể m tra, đánh giá một hê ̣ thố ng có tồ n tại những lỗi cấ u hình hay không, và từ đó đưa ra cách khắ c phục. 2 Neil MacDonald and Peter Firstbrook, “How To Devise a Server Protection Strategy,” December 2011. www.gartner.com/id=1866915 3 http://www.networkworld.com/article/2992503/security/sans-20-critical-security-controls-you-need-to- add.html
4 3. Vấ n đề quản lý cấ u hin ̀ h thiế t bi ma ̣ ̣ng doanh nghiêp̣ 3.1 Mu ̣c tiêu và pha ̣m vi nghiên cứu Luâ ̣n văn này tâ ̣p trung vào viê ̣c phân tích và đánh giá xem cấ u hình an ninh trên các thiế t bi ̣ hạ tầ ng mạng của một tổ chức, doanh nghiê ̣p có tuân thủ theo chính sách an toàn bảo mật thông tin của tổ chức đó hay không. Thiế t bi ̣ha ̣ tầ ng ma ̣ng đề câ ̣p đế n trong luâ ̣n văn là thiế t bi ̣đinh ̣ tuyế n - Router, thiế t bi ̣chuyể n ma ̣ch - switch, thiế t bi ̣ đinh ̣ tuyế n không dây - wireless router. Lựa cho ̣n hañ g thiế t bi ̣ là hañ g Cisco, đươ ̣c sử du ̣ng phổ biế n trong ma ̣ng của các công ty, tổ chức ta ̣i Viê ̣t Nam. Pha ̣m vi phân tích là ma ̣ng máy tính của mô ̣t doanh nghiê ̣p ta ̣i tru ̣ sở chiń h của doanh nghiê ̣p đó. Tức là không bao gồ m hê ̣ thố ng ma ̣ng diê ̣n rô ̣ng (WAN). Đầ u tiên, luâ ̣n văn khảo sát mô ̣t mô hiǹ h ma ̣ng máy tiń h điể n hiǹ h, đươ ̣c sử du ̣ng phổ biế n ta ̣i các doanh nghiê ̣p. Sau đó luâ ̣n văn chỉ ra những cấ u hiǹ h an ninh trên thiế t bi ̣ là gi;̀ ta ̣i sao phải thực hiê ̣n những cấ u hình đó; những hâ ̣u quả có thể xảy ra nế u không thực hiê ̣n, hoă ̣c thực hiê ̣n sai các cấ u hình an ninh cho thiế t bi ̣(lỗi cấ u hình) ; cách khắ c phu ̣c từng lỗi cấ u hình như thế nào? Tiế p theo luâ ̣n văn đề xuấ t phương pháp thu thâ ̣p file cấ u hiǹ h của các thiế t bi.̣ Sau khi đã thu thâ ̣p các file cấ u hin ̀ h, luâ ̣n văn đề xuấ t phương pháp phân tić h so sánh những cấ u hiǹ h thu thâ ̣p đươ ̣c với cấ u hình đươ ̣c khuyế n nghi ̣trong chính sách an toàn bảo mâ ̣t thông tin của tổ chức. Sau bước so sánh này, kế t quả thu đươ ̣c là mô ̣t báo cáo đánh giá về những lỗi cấ u hình an ninh trên các thiế t bi ̣ha ̣ tầ ng ma ̣ng. Dựa trên cáo cáo này người quản tri ̣ viên hê ̣ thố ng sẽ tiế n hành những biê ̣n pháp khắ c phu ̣c những lỗi cấ u hiǹ h đó. Cuố i cùng là những vấ n đề đã thực hiê ̣n đươ ̣c và những vấ n đề tồ n ta ̣i của luâ ̣n văn, hướng nghiên cứu mở rô ̣ng tiế p theo. 3.2 Khái niêm ̣ lỗi cấ u hin ̀ h an ninh Cấ u hình an ninh là cấ u hiǹ h nhằ m bảo vê ̣ an toàn cho thiế t bi.̣ Mô ̣t vài ví dụ về cấ u hiǹ h an ninh: - Những dịch vụ mạng không được sử dụng thì nên tắt; - Phải đổi mật khẩu tài khoản quản trị mặc định trên thiết bị; - Khi tạo các kết nối quản lý từ xa tới thiết bị nên sử dụng giao thức an toàn như SSH (Secure Shell) thay vì sử dụng giao thức kém an toàn như Telnet… Một hê ̣ thố ng mạng đươ ̣c xem là quản lý yế u kém là mạng mà trong đó các thiết bị không được cấu hình đầ y đủ các chính sách về an ninh. Từ đó trên các thiết bị mạng có các lỗ hổng, dẫn đến bị kẻ tấn công khai thác và thực hiện các hành vi có chủ đích của hắn.
5 3.3 Khái niêm ̣ về đường cơ sở an ninh (Security Baseline) Đường cơ sở an ninh là mô ̣t danh sách kiể m tra (checklist) mà theo đó các hê ̣ thố ng đươ ̣c đánh giá và kiể m toán đố i với tình hình an ninh trong mô ̣t tổ chức. Đường cơ sở phác thảo ra những yế u tố an ninh chính đố i với mô ̣t hê ̣ thố ng, và trở thành điể m xuấ t phát cho viê ̣c bảo vê ̣ hê ̣ thố ng đó.4 3.4 Khái niêm ̣ gia cố thiế t bi (device ̣ hardening) Mu ̣c đić h của viê ̣c gia cố thiế t bi la ̣ ̀ làm giảm càng nhiề u rủi ro càng tố t, và làm cho hê ̣ thố ng an toàn hơn. Thiế t bi ̣ ha ̣ tầ ng ma ̣ng khi mua về đề u có các thông số cấ u hình mă ̣c đinh ̣ từ nhà sản xuấ t (ví du ̣: tài khoản và mâ ̣t khẩ u mă ̣c đinh, ̣ dich ̣ vu ̣ cha ̣y mă ̣c đinh…). ̣ Khi đưa vào sử du ̣ng, quản tri ̣ viên cầ n cấ u hiǹ h la ̣i những tham số này sao cho phù hơ ̣p với các tiêu chuẩ n an ninh đươ ̣c đề câ ̣p đế n trong chiń h sách an toàn bảo mâ ̣t thông tin của tổ chức. 3.5 Khảo sát mô ̣t ma ̣ng máy tính điể n hin ̀ h trong doanh nghiêp. ̣ Hình 3.2. Thiết kế mạng phân thành 3 tầng Cấu trúc mạng thường được thiết kế theo mô hình 3 tầng như trên hình. Thiết kế này nếu tuân thủ sẽ đảm bảo cho hệ thống mạng có tính sẵn sàng, linh hoạt, an ninh, tính quản lý. Đươ ̣c phân thành các tầ ng: - Tầng truy nhập (Access layer): để kết nối các thiết bị đầu cuối của người dùng vào mạng. - Tầng phân phối (Distribution layer): thực hiê ̣n gom lưu lươ ̣ng từ tầ ng truy nhâ ̣p và gửi tới tầ ng lõi để tầ ng lõi thực hiê ̣n đinh ̣ tuyế n tới đích. 4 Theo giáo trình CompTIA Security+
6 - Tầng loĩ : thực hiê ̣n gom lưu lươ ̣ng từ tấ t cả các thiế t bi ̣ ở tầ ng phân phố i và chuyể n tiế p lưu lươ ̣ng này tới các trung tâm dữ liê ̣u, trung tâm dich ̣ vu ̣, hoă ̣c ra ma ̣ng diê ̣n rô ̣ng. 3.6 Những lỗi quản tri viên ̣ gă ̣p phải khi cấ u hin ̀ h hê ̣ thố ng ma ̣ng 3.6.1 Các lỗi liên quan đế n cấ u hin ̀ h quản lý thiế t bi ̣ Bảng dưới đây tóm tắ t những lỗi gă ̣p phải khi cấ u hiǹ h quản lý thiế t bi ̣và cấ u hiǹ h khuyế n nghi.̣ STT Mã số lỗi Mô tả về lỗi Khuyế n nghi ̣ 1 mnt-TELNET Sử du ̣ng giao thức TELNET để truy Sử du ̣ng giao thức SSH (SecureShell) câ ̣p thiế t bi ̣từ xa. TEL NET không mã để truy câ ̣p tới thiế t bi ̣từ xa hóa thông tin nên có thể bi ̣lô ̣ mâ ̣t khẩ u 2 mnt-HTTP Sử du ̣ng giao thức HTTP để truy câ ̣p Sử du ̣ng giao thức HTTPS để truy câ ̣p giao diê ̣n quản lý thiế t bi.̣ HTTP không vào thiế t bi ̣để quản lý mã hóa thông tin nên có thể bi ̣xem trô ̣m 3 mnt-TFTP Sử du ̣ng giao thức truyề n file đơn giản Sử du ̣ng SCP (Secure Copy Protocol) TFTP hoă ̣c FTPS (FTP Secure) 4 mnt-int-ACL- Không ngăn chă ̣n các máy tính người Sử du ̣ng kỹ thuâ ̣t điề u khiể n truy câ ̣p. BLK dùng truy câ ̣p tới giao diê ̣n quản lý thiế t bi ̣ 5 mnt-SNMP Sử du ̣ng giao thức quản tri ̣ma ̣ng đơn Sử du ̣ng giao thức SNMPv3 giản SNMPv1 hoă ̣c SNMPv2c 6 mnt- Cài đă ̣t mâ ̣t khẩ u xác thực cu ̣c bô ̣ trên Thực hiê ̣n xác thực tâ ̣p trung trên máy PasswordLocal thiế t bi ̣ chủ AAA 7 mnt- Không mã hóa các mâ ̣t khẩ u lưu trên Mã hóa mâ ̣t khẩ u PassENCRYPT thiế t bi ̣ 8 mnt-NTP Không cấ u hình đồ ng bô ̣ về thời gian Cầ n lấ y đồ ng bô ̣ thời gian theo máy chủ NTP 9 mnt-SYSLOG Không lưu nhâ ̣t ký hoa ̣t đô ̣ng (log) Cấ u hình để thiế t bi ̣ gửi các cảnh báo đế n mô ̣t máy chủ lưu syslog tâ ̣p trung Bảng 3.2. Những lỗi cấ u hình an ninh trong quản lý thiế t bi ̣
7 Bảng dưới đây mô tả mô ̣t mẫu cấ u hình an ninh tiêu chuẩ n cho viê ̣c quản lý thiế t bi ̣ STT Mã số Cấu hình trên thiết bị Cấu hình khuyế n nghi ̣ 1 mnt-TELNET line vty 0 15 line vty 0 15 password [string] transport input ssh login 2 mnt-HTTP ip http server no ip http server ip http secure-server 3 mnt-FTPTFTP N/A Ip ftp server 4 mnt-int-ACL-BLK n/a Access-list 5 mnt-SNMP N/A username - password/secret 6 mnt-PasswordLocal N/A AAA new-model AAA authentication AAA authorize AAA accounting 7 mnt- Service-password encryption PasswordENCRYPT 8 mnt-NTP N/A Ntp server [IP] 9 mnt-SYSLOG N/A Logging [IP] Bảng 3.3. Cấ u hình lỗi và cấ u hình khuyế n nghi ̣ 3.6.2 Các lỗi cấ u hin ̀ h trên thiế t bi tầ ̣ ng truy nhâ ̣p Như đã đề câ ̣p, vai trò của tầ ng truy nhâ ̣p trong mô hiǹ h thiế t kế 3 tầ ng là để kết nối các thiết bị đầu cuối của người dùng vào mạng. Thông thường các thiế t bi tầng ̣ truy nhâ ̣p là các thiết bị chuyển mạch (switch lớp 2), thiết bị định tuyến không dây (wireless router). 3.6.2.1 Lỗi cấ u hin ̀ h trên thiế t bi switch ̣ lớp 2 Bảng dưới đây tóm tắ t la ̣i những lỗi cấ u hiǹ h an ninh trên thiế t bi switch ̣ và cấ u hiǹ h khuyế n nghi.̣ STT Mã lỗi Mô tả lỗi Khuyế n nghi ̣
8 1 acc-shutdown Không tắ t các cổ ng switch mà đang Tắ t các cổ ng không sử du ̣ng không sử du ̣ng 2 acc-dhcpsnooping Không bâ ̣t chế đô ̣ ngăn chă ̣n các bản Bâ ̣t DHCP Snooping tin DHCP giả ma ̣o 3 acc-DAI Không bâ ̣t chế đô ̣ giám sát các gói tin Bâ ̣t tính năng giám sát gói tin ARP ARP - Dynamic ARP Inspection 4 acc-portsecurity Không bâ ̣t chế đô ̣ an ninh cổ ng Bâ ̣t chế đô ̣ an ninh cổ ng acc-IPSouceGuard Không bâ ̣t chế đô ̣ chố ng giả ma ̣o IP Bâ ̣t chế đô ̣ bảo vê ̣ IP nguồ n - IP nguồ n Source Guard 5 acc-IPv6 Không bâ ̣t chế đô ̣ ngăn chă ̣n các bản Bâ ̣t chế đô ̣ ngăn chă ̣n IPv6 RA tin IPv6 RA giả ma ̣o giả ma ̣o - IPV6 First Hop Security 6 acc-BPDUGuard Không bâ ̣t tính năng BPDU Guard Bâ ̣t BPDU guard trên các cổ ng trên các cổ ng Port Fast Port Fast Bảng 3.4. Lỗi cấ u hình an ninh trên swich và khuyế n nghi ̣ 3.6.2.2 Lỗi cấ u hin ̀ h trên thiế t bi đi ̣ nh ̣ tuyế n không dây Mã lỗi Mô tả Khuyế n nghi ̣ wl-SSID Không ẩ n tên ma ̣ng không dây ẩ n tên ma ̣ng không dây wl-SimplePass Đă ̣t mâ ̣t khẩ u truy câ ̣p ma ̣ng không dây đơn gian Đă ̣t mâ ̣t khẩ u ma ̣nh ̉ wl-MAC Không cấ u hin Cấ u hiǹ h lo ̣c điạ chỉ MAC ̀ h lo ̣c điạ chỉ MAC: wl-Default Không đổ i tài khoản quản tri ̣mă ̣c đinh: ̣ Đổ i tài khoản quản tri mă ̣ ̣c đinh ̣ Bảng 3.5. Tóm tắ t các lỗi cấ u hình trên thiế t bi ̣ đinh ̣ tuyế n không dây. 3.6.3 Các lỗi cấ u hin ̀ h trên thiế t bi tầ ̣ ng phân phố i và tầ ng loĩ STT Mã lỗi Mô tả lỗi Khuyế n nghi ̣ 1 core-Passive- Không đă ̣t các cổ ng nố i với tầ ng Đă ̣t các cổ ng nố i với tầ ng Int Access là cổ ng chế đô ̣ Passive Access là cổ ng chế đô ̣ Passive 2 Core-Routing- Không xác thực thông tin đinh ̣ tuyế n Cấ u hình xác thực thông tin đinh ̣ Info tuyế n
9 Bảng 3.6. Lỗi cấ u hin ̀ h tầ ng phân phố i 4. Phương pháp thu thâ ̣p cấ u hin ̀ h từ các thiế t bi ma ̣ ̣ng 4.1 Yêu cầ u của viêc̣ thu thâ ̣p số liêụ cấ u hin ̀ h  Phải thu thâ ̣p và lưu trữ tâ ̣p trung số liê ̣u cấ u hình từ các thiế t bi ma ̣ ̣ng về mô ̣t máy chủ để thuâ ̣n tiê ̣n cho viê ̣c đánh giá cấ u hình;  Bảo đảm cấ u hình đươ ̣c thu thâ ̣p là cấ u hiǹ h hiê ̣n thời đang hoa ̣t đô ̣ng trên các thiế t bi ̣(không phải là cấ u hiǹ h cũ)  Bảo đảm các file cấ u hin ̀ h không bi ̣lỗi khi thu thâ ̣p.  Phân biê ̣t đươ ̣c các file cấ u hin ̀ h từ các thiế t bi ̣khác nhau 4.2 Chuẩ n bi về ̣ con người, quy trin ̀ h, phầ n cứng, phầ n mề m, dữ liêụ - Con người: Người thực hiê ̣n công viê ̣c thu thập số liê ̣u: nhân viên phòng vâ ̣n hành hê ̣ thố ng, nhân viên phòng an toàn thông tin. - Quy trình: sau khi nhâ ̣n đươ ̣c yêu cầ u từ phòng an toàn thông tin, nhân viên phòng vâ ̣n hành cầ n thu thâ ̣p số liê ̣u cấ u hình mới nhấ t trên các thiế t bi ̣ma ̣ng về mô ̣t thiế t bi ̣lưu trữ tâ ̣p trung. - Phầ n cứng: phòng vâ ̣n hành phải trang bi ̣mô ̣t máy chủ (server) lưu trữ tâ ̣p trung cấ u hình. - Phầ n mề m: + Hê ̣ điề u hành cho Server có thể là Windows hoă ̣c Linux. + Phầ n mề m FTP: - Dữ liê ̣u cấ u hình: nhân viên phòng vâ ̣n hành cầ n truy câ ̣p vào các thiế t bi ̣ để kiể m tra cấ u hình đang hoa ̣t đô ̣ng trên thiế t bi để ̣ copy về server. 4.2 Cách copy cấ u hin ̀ h về máy chủ FTP FTP Server Các thiết bị mạng Hình 4.1. Phương pháp thu thập cấ u hình Bước Câu lênh ̣ Mu ̣c đích
10 1 Router# configure terminal Truy câ ̣p vào chế đô ̣ cấ u hiǹ h 2 Router(config)# ip ftp username username Khai báo FTP username (trên Filezilla) 3 Router(config)# ip ftp password password Khai báo FTP Password (trên Filezilla) 4 Router(config)# end Thoát khỏi chế đô ̣ cấ u hiǹ h 5 Router# copy system:running-config Copy cấ u hình running-config lên FTP ftp:[[[//[username[:password]@]location] server. Lưu ý tên file cấ u hình phải khác /directory]/filename] nhau. Bảng. Các bước copy file cấ u hình từ thiế t bi ̣lên máy chủ. Lưu ý quý tắ c đă ̣t tên file 4.2.1 Quy đinh ̣ về đă ̣t tên file cấ u hin ̀ h. Ở bước số 5 bảng trên, khi thiế t bi se ̣ ̃ yêu cầ u quản tri viên ̣ nhâ ̣p tên file cấ u hình sẽ lưu ở máy chủ FTP, cầ n đă ̣t tên file cấ u hin ̀ h như sau: [Mã tầ ng-Tên-thiế t-bi ̣-config] 4.2.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi lơ ̣ ́ n. Trong trường hơ ̣p số lươ ̣ng thiế t bi ̣lớn (>1000 thiế t bi)̣ thì có thể sử du ̣ng phương pháp lấ y mẫu ngẫu nhiên để đánh giá. Theo phương pháp này, có thể lấ y danh sách các thiế t bi,̣ sau đó thu thâ ̣p cấ u hiǹ h ngẫu nhiên của 20% thiế t bi.̣ Như vâ ̣y tổ ng cô ̣ng sẽ lấ y cấ u hiǹ h của khoảng 200 thiế t bi.̣ Đây là mẫu đủ lớn để đánh giá đươ ̣c hiê ̣n tra ̣ng cấ u hình an ninh trên các thiế t bi ̣ha ̣ tầ ng ma ̣ng. 4.3. Kiể m tra các file cấ u hin ̀ h thu thâ ̣p đươ ̣c Sau khi copy cầ n kiể m tra la ̣i số lươ ̣ng file đã copy lên máy chủ FTP Server đã đầ y đủ và chiń h xác hay chưa. Phương pháp kiể m tra về : số lươ ̣ng file, tên file, nô ̣i dung file 5. Phương pháp đánh giá cấ u hin ̀ h an ninh trên thiế t bi ma ̣ ̣ng 5.1 Phương pháp chung để đánh giá cấ u hin ̀ h an ninh Để thực hiê ̣n đánh giá cấ u hình an ninh trên thiế t bi ̣ma ̣ng có tuân thủ theo chính sách an toàn bảo mâ ̣t thông tin hay không, thì cầ n so sánh cấ u hình hiê ̣n ta ̣i đang hoa ̣t đô ̣ng với cấ u hình an ninh khuyế n nghi ̣ (đường cơ sở an ninh). ß So nh Cấu hình đang hoạt đ ng Cấu hình khuyến nghị (Running-config) (đường an ninh cơ s ) Hình. Phương pháp đánh giá cấ u hình an ninh
11 5.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 Mô hiǹ h đo lường an toàn thông tin là một cấu trúc liên kết một nhu cầu thông tin tới các đối tượng có liên quan của bài đo và các thuộc tính của chúng. Đối tượng đo lường có thể bao gồm kế hoạch đã định hoặc các quy trình, các thủ tục, các dự án và các nguồn lực đã triển khai. Mô hình đo lường an toàn thông tin mô tả làm sao để các thuộc tính liên quan được định lượng và chuyển đổi thành các chỉ báo cung cấp cơ sở cho việc ra quyết định. Trong đó: TÊN CÁC THÀNH PHẦN GIẢI THÍCH Thông tin chung của bài đo Tên bài đo Tên bài đo Số hiệu Số định danh duy nhất, tùy ý theo quy định của tổ chức Mục đích Mô tả các lý do dẫn đến cần thiết của bài đo Mục tiêu biện pháp quản lý Quản lý các đối tượng trong bài đo (đã có kế hoạch hoặc đã được triển khai) Biện pháp quản lý (1) Biện pháp quản lý cần đo lường Biện pháp quản lý (2) Tùy chọn: biện pháp quản lý/ quy trình cao hơn trong nhóm đã bao gồm trong cùng bài đo, nếu có thể áp dụng (đã có kế hoạch hoặc đã được triển khai) Đối tượng của bài đo và các thu c tính
12 Đối tượng Đối tượng (thực thể) được đặc trưng thông qua bài đo các thuộc tính của nó. Một đối tượng bao gồm các quy trình, các kế hoạch, các dự án, các nguồn lực, các hệ thống, và các thành phần. Thuộc tính Tính chất hoặc đặc trưng của đối tượng của bài đo có thể được phân biệt về số lượng hoặc chất lượng bởi con người hoặc bởi tự động. Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n]) Số đo cơ bản Một số đo cơ bản được xác định theo một thuộc tính và phương pháp đo cụ thể để định lượng thuộc tính (ví dụ như số người đã được đào tạo, số lượng các điểm/sites, chi phí tính đến nay). Theo dữ liệu thu thập, một giá trị được gán nhận cho một số đo cơ bản. Phương pháp đo Trình tự các hoạt động sử dụng trong định lượng thuộc tính về một phạm vi cụ thể. Loại phương pháp đo Dựa trên bản chất các hoạt động sử dụng để định lượng thuộc tính, phân thành hai Phương pháp đo: - Chủ quan: định lượng liên quan tới chủ định của con người. - Khách quan: định lượng dựa trên các quy tắc số học. Thang giá trị Tập hợp các giá trị có thứ tự, hoặc tập các danh mục được ánh xạ tới thuộc tính của số đo cơ bản Loại thang giá trị Dựa trên bản chất mối quan hệ giữa các giá trị, phân thành bốn loại thang giá trị phố biến: Danh định; thứ tự; khoảng đoạn; tỷ lệ. Đơn vị đo Số lượng cụ thể, được xác định và phù hợp theo quy ước, với các số lượng khác cùng loại được so sánh theo một thứ tự để diễn tả mối tương quan với số lượng đó. Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất Một số đo được rút ra từ hai hoặc nhiều hơn số đo cơ bản. Hàm đo lường Thuật toán hoặc tính toán được thực hiện để kết hợp hai hoặc nhiều số đo cơ bản. Thang giá trị và đơn vị của số đo dẫn xuất dựa trên thang giá trị của các số đo cơ bản mà nó bao gồm cũng như cách kết hợp các hàm đo lường với nhau. Thông tin đặc tả về chỉ báo Chỉ báo Số đo mà cung cấp những ước tính hay định lượng các thuộc tính xác định thông qua mô hình phân tích với những thông tin cần thiết. Các chỉ báo là cơ sở để phân tích và đưa ra quyết định. Mô hình phân tích Thuật toán hoặc việc kết hợp tính toán một hoặc nhiều số đo cơ bản hoặc các số đo dẫn xuất với tiêu chí quyết định phù hợp; Điều này dựa trên sự hiểu biết hoặc các dữ kiện, mối quan hệ dự tính giữa số đo cơ bản hoặc số đo dẫn xuất hoặc trạng thái của chúng. Nhờ mô hình phân
13 tích sẽ giúp ước lượng hay định lượng mối quan hệ để xác định thông tin cần thiết. Thông tin đặc tả về tiêu chí quyết định Tiêu chí quyết định Ngưỡng, mục tiêu, hoặc các mẫu được sử dụng để xác định sự cần thiết phải hành động hay điều tra thêm, hoặc để mô tả mức độ chính xác của kết quả bài đo nhất định. Tiêu chí quyết định giúp làm rõ các kết quả của bài đo. Kết quả bài đo Giải thích chỉ báo Mô tả về chỉ báo, để chỉ báo được hiểu rõ ràng hơn. Định dạng hồ sơ đo Định dạng hồ sơ đo nên được đánh nhãn và lưu thành tài liệu. Mô tả các theo dõi, nhận xét về tổ chức hoặc người sở hữu thông tin có thể cần được ghi lại. Định dạng hồ sơ đo trực quan sẽ miêu tả các đánh giá và cung cấp giải thích rõ ràng về các chỉ dẫn. Định dạng hồ sơ đo nên được tùy chỉnh theo thông tin khách hàng. Các bên liên quan Người trách nhiệm bài đo Ban quản lý hoặc các bên quan tâm yêu cầu hoặc cần thông tin về hiệu lực của một hệ thống ISMS, các biện pháp quản lý hoặc nhóm biện pháp quản lý. Người xem xét kết quả đo Cá nhân hoặc tổ chức mà kiểm tra tính hợp lệ cho các cấu trúc bài đo đã tiến hành là đủ điều kiện cho việc đánh giá hiệu lực của một hệ thống ISMS, các biện pháp quản lý hoặc nhóm biện pháp quản lý. Người sở hữu thông tin Cá nhận hoặc tổ chức sở hữu thông tin về một đổi tượng của bài đo và chịu trách nhiệm về bài đo. Bộ phận thu thập thông tin Cá nhân hoặc tổ chức chịu trách nhiệm về thu thập, ghi chép và lưu trữ dữ liệu. Bộ phận trao đổi thông tin Cá nhân hoặc tổ chức chịu trách nhiệm phân tích dữ liệu và trao đổi các kết quả bài đo. Tần suất thực hiện Tần suất thu thập dữ liệu Mức độ thường xuyên thu thập dữ liệu. Tần suất phân tích dữ liệu Mức độ thường xuyên phân tích dữ liệu. Tần suất và hồ sơ đo Mức độ thường xuyên của các kết quả đo được lập hồ sơ (mức độ này có thể thấp hơn Tần suất thu thập dữ liệu). Tần suất sửa đổi bài đo Ngày sửa đổi bài đo (thời hạn hiệu lực của tính hợp lệ của bài đo hoặc các thay đổi của bài đo) Tần suất thực hiện bài đo Xác định định kỳ thực hiện bài đo.
14 5.3 Đánh giá lỗi cấu hình quản lý TÊN CÁC THÀNH GIẢI THÍCH PHẦN Thông tin chung của bài đo Tên bài đo Đo các tham số về cấ u hin ̀ h an ninh trong viêc̣ quản lý thiế t bi. ̣ Số hiệu Device-Management-Check Mục đích Kiể m tra các cấ u hình quản lý trên thiế t bi xem ̣ có tuân thủ theo chính sách an toàn bảo mâ ̣t thông tin hay không. Mục tiêu biện pháp quản lý Kiể m tra đươ ̣c cấ u hiǹ h quản lý trên thiế t bi ̣xem có lỗi hay không để từ đó có biê ̣n pháp khắ c phu ̣c. Biện pháp quản lý (1) Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành.  Phòng vâ ̣n hành: thu thâ ̣p cấ u hình.  Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh. Biện pháp quản lý (2) Đối tượng của bài đo và các thu c tính Đối tượng Cấ u hiǹ h quản lý trên thiế t bi ̣ma ̣ng. Thuộc tính Các cấ u hình quản lý đề câ ̣p trong mu ̣c 3.6.1 Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n]) Số đo cơ bản mnt-TELNET mnt-HTTP mnt-TFTP mnt-int-ACL-BLK mnt-SNMP mnt-PasswordLocal mnt-PasswordENCRYPT mnt-NTP mnt-SYSLOG Phương pháp đo So sánh cấ u hiǹ h mẫu (khuyế n nghi)̣ với cấ u hiǹ h hiê ̣n ta ̣i xem có khớp nhau hay không Loại phương pháp đo Khách quan: định lượng dựa trên các quy tắc số học. Thang giá trị Có/Không Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Không: là không thực hiê ̣n cấ u hiǹ h tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất
15 Hàm đo lường Thông tin đặc tả về chỉ báo Chỉ báo Có/Không Mô hình phân tích Thông tin đặc tả về tiêu chí quyết định Tiêu chí quyết định Theo thang giá tri ̣là “Có”/”Không”. Kết quả bài đo Giải thích chỉ báo Mô tả ý nghiã từng tham số cấ u hiǹ h quản lý thiế t bi.̣ Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm bài đo Nhân viên phòng An toàn thông tin Người xem xét kết quả đo Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT trong doanh nghiê ̣p. Người sở hữu thông tin Phòng An toàn thông tin Bộ phận thu thập thông tin Phòng vâ ̣n hành Bộ phận trao đổi thông tin Phòng vâ ̣n hành; Phòng An toàn thông tin Tần suất thực hiện Tần suất thu thập dữ liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức. Tần suất phân tích dữ liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức. 5.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập TÊN CÁC THÀNH GIẢI THÍCH PHẦN Thông tin chung của bài đo Tên bài đo Đo các tham số về cấ u hin ̀ h an ninh trên thiế t bi ơ ̣ ̉ tầ ng truy nhâ ̣p Số hiệu Access-Device-Check Mục đích Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi tầ ̣ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không. Mục tiêu biện pháp quản lý Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không, để từ đó có biê ̣n pháp khắ c phu ̣c. Biện pháp quản lý (1) Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành.  Phòng vâ ̣n hành: thu thâ ̣p cấ u hiǹ h.  Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh. Biện pháp quản lý (2) Đối tượng của bài đo và các thu c tính Đối tượng Cấ u hình an ninh trên trên thiế t bi ̣ma ̣ng ở tầ ng truy nhâ ̣p (switch lớp 2, thiế t bi ̣đinh ̣ tuyế n không dây).
16 Thuộc tính Các cấ u hiǹ h quản lý đề câ ̣p trong mu ̣c 3.6.2 Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n]) Số đo cơ bản Đố i với switch lớp 2 acc-shutdown acc-dhcpsnooping acc-DAI acc-portsecurity acc-IPSouceGuard acc-IPv6 acc-BPDUGuard Đố i với thiế t bi đi ̣ nh ̣ tuyế n không dây wl-SSID wl-SimplePass wl-MAC wl-Default Phương pháp đo So sánh cấ u hình mẫu (khuyế n nghi)̣ với cấ u hình hiê ̣n ta ̣i xem có khớp nhau hay không Loại phương pháp đo Khách quan: định lượng dựa trên các quy tắc số học. Thang giá trị Có/Không Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Không: là không thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất Hàm đo lường Thông tin đặc tả về chỉ báo Chỉ báo Có/Không Mô hình phân tích Thông tin đặc tả về tiêu chí quyết định Tiêu chí quyết định Theo thang giá tri ̣là “Có”/”Không”. Kết quả bài đo Giải thích chỉ báo Mô tả ý nghiã từng tham số cấ u hình trên thiế t bi tầ ̣ ng truy nhâ ̣p Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm bài đo Nhân viên phòng An toàn thông tin
17 Người xem xét kết quả đo Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT trong doanh nghiê ̣p. Người sở hữu thông tin Phòng An toàn thông tin Bộ phận thu thập thông tin Phòng vâ ̣n hành Bộ phận trao đổi thông tin Phòng vâ ̣n hành; Phòng An toàn thông tin Tần suất thực hiện Tần suất thu thập dữ liệu Tùy theo chiń h sách an toàn bảo mâ ̣t thông tin của tổ chức. Tần suất phân tích dữ liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức. 5.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối và tầng loĩ Đối với cấu hình thiết bị tầng phân phối/lõi, sẽ thực hiện kiểm tra những vấn đề lỗi sau: TÊN CÁC THÀNH GIẢI THÍCH PHẦN Thông tin chung của bài đo Tên bài đo Đo các tham số về cấ u hin ̀ h an ninh trên thiế t bi ơ ̣ ̉ tầ ng phân phố i/tầ ng lõi. Số hiệu Distribution-Core-Device-Check Mục đích Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không. Mục tiêu biện pháp quản lý Kiể m tra các cấ u hiǹ h an ninh trên các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không, để từ đó có biê ̣n pháp khắ c phu ̣c. Biện pháp quản lý (1) Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành.  Phòng vâ ̣n hành: thu thâ ̣p cấ u hiǹ h.  Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh. Biện pháp quản lý (2) Đối tượng của bài đo và các thu c tính Đối tượng Cấ u hình an ninh trên trên thiế t bi ̣ma ̣ng ở tầ ng phân phố i/tầ ng lõi (thiế t bi đi ̣ nh ̣ tuyế n, thiế t bi chuyể ̣ n ma ̣ch lớp 3) Thuộc tính Các cấ u hiǹ h quản lý đề câ ̣p trong mu ̣c 3.6.3 Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n]) Số đo cơ bản Core-Passive-Int Core-Routing-Info Phương pháp đo So sánh cấ u hình mẫu (khuyế n nghi)̣ với cấ u hình hiê ̣n ta ̣i xem có khớp nhau hay không Loại phương pháp đo Khách quan: định lượng dựa trên các quy tắc số học. Thang giá trị Có/Không - Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣
18 - Không: là không thực hiê ̣n cấ u hiǹ h tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất Hàm đo lường Thông tin đặc tả về chỉ báo Chỉ báo Có/Không Mô hình phân tích Thông tin đặc tả về tiêu chí quyết định Tiêu chí quyết định Theo thang giá tri ̣là “Có”/”Không”. Kết quả bài đo Giải thích chỉ báo Mô tả ý nghiã từng tham số cấ u hiǹ h trên thiế t bi tầ ̣ ng phân phố i và tầ ng lỗi Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm bài đo Nhân viên phòng An toàn thông tin Người xem xét kết quả đo Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT trong doanh nghiê ̣p. Người sở hữu thông tin Phòng An toàn thông tin Bộ phận thu thập thông tin Phòng vâ ̣n hành Bộ phận trao đổi thông tin Phòng vâ ̣n hành; Phòng An toàn thông tin Tần suất thực hiện Tần suất thu thập dữ liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức. Tần suất phân tích dữ liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức. 5.5 Xuấ t báo cáo đường cơ sở an ninh Sau khi so sánh giữa cấu hình đang hoạt động và cấu hình mẫu, chúng ta sẽ biết được cấu hình trên các thiết bị có tuân thủ đúng với chính sách an ninh của doanh nghiệp/ tổ chức đặt ra hay không. Kết quả báo cáo có 2 trạng thái là “Đạt” hoặc “Không đạt” Luâ ̣n văn có xây dựng công cu ̣ đánh giá cấ u hình an ninh. Ưu điể m của công cu ̣ này so với các công cu ̣ của Cisco đó là: - Có thể đánh giá cấ u hình an ninh của nhiề u thiế t bi ̣ - Xuấ t báo cáo tổ ng hợp phân tích tình trạng cấ u hình an ninh của toàn bộ mạng
19 5.6 Những vấ n đề đa ̣t đươ ̣c của luâ ̣n văn và những tồ n ta ̣i Những vấ n đề đa ̣t đươ ̣c: - Phân tích đươ ̣c tầ m quan tro ̣ng của viê ̣c quản lý cấ u hình trong công tác đảm bảo an toàn cho hê ̣ thố ng ma ̣ng máy tính của doanh nghiê ̣p. - Làm rõ đươ ̣c những lỗi cấ u hin ̀ h an ninh trên thiế t bi ma ̣ ̣ng, những nguy cơ có thể xảy ra khi để tồ n ta ̣i những lỗi này; cách cấ u hin ̀ h khắ c phu ̣c lỗi. - Đề xuấ t đươ ̣c phương pháp thu thâ ̣p cấ u hình tâ ̣p trung - Đề xuấ t đươ ̣c phương pháp đánh giá lỗi cấ u hình. - Xây dựng chương trin ̀ h đánh giá cấ u lỗi cấ u hiǹ h Những vấ n đề còn tồ n ta ̣i - Luâ ̣n văn mới chỉ đề câ ̣p đế n mô hình ma ̣ng ta ̣i mô ̣t điạ điể m, chưa mở rô ̣ng viê ̣c khảo sát hê ̣ thố ng ma ̣ng có nhiề u chi nhánh. - Thiế t bi ̣đề câ ̣p đế n trong luâ ̣n văn là của hañ g Cisco. Thực tế ở Viê ̣t Nam hiê ̣n nay các doanh nghiê ̣p sử du ̣ng thiế t bi ̣ của nhiề u hãng, ví du ̣ Juniper v.v. Vì vâ ̣y cầ n xem xét đế n đă ̣c điể m cấ u hiǹ h an ninh trên các thiế t bi ̣ của các hañ g khác nhau. Luâ ̣n văn cũng mới đề câ ̣p đế n các thiế t bi ̣ cơ bản (Switch, Router, wireless router). Trong hê ̣ thố ng ma ̣ng còn những thiế t bi ̣ như Firewall, Server,…Vì vâ ̣y cầ n tiế p tu ̣c nghiên cứu những thiế t bi na ̣ ̀ y để đưa ra cấ u hiǹ h an ninh phù hơ ̣p. - Những lỗi cấ u hin ̀ h đươ ̣c chỉ ra trong luâ ̣n văn là những lỗi cấ u hiǹ h cơ bản, thường gă ̣p. Còn nhiề u các tham số cấ u hình an ninh cầ n đươ ̣c xem xét thêm để tăng cường tính an ninh cho thiế t bi.̣