GIẢI PHÁP NGĂN NGỪA XÂM NHẬP HỆ THỐNG MẠNG NỘI BỘ

 YÊU CẦU HỆ THỐNG BẢO MẬT

• Hiện nay, hầu hết các tổ chức, đơn vị, trường học đều đã kết nối mạng nội bộ mạng đến các chi nhánh, đối tác và đã thừa hưởng nhiều lợi ích từ đó. Nhưng chính sự thuận lợi này lại chứa nhiều mối nguy hiểm tiềm ẩn như: virus, hacker, v.v công nghệ cao.
• Trong thời gian qua, nhiều bạn sinh viên và học viên đã gửi câu hỏi “Thiết kế mạng như thế nào là an toàn, bảo mật” và cần tôi nêu ra một số giải pháp, hôm nay tranh thủ thời gian tổng hợp và nêu ra một số giải pháp để từ đó cùng các bạn trao đổi thêm, phát triển nhiều bài viết hơn nữa trên chủ đề này. Mong nhận được nhiều Comment trao đổi kinh nghiệm của các bạn.

MỘT SỐ TIÊU CHÍ ĐÁNH GIÁ AN TOÀN MẠNG

Theo Microsoft, Cisco, juniper, F5, Fortinat,  Firewall palo alto… để đánh giá tính sẵn sàng và khả năng bảo mật mạng máy tính, các tiêu chí được quan tâm hàng đầu là:

CÁC ĐÁNH GIÁ TIÊU CHÍ BẢO MẬT:

• Hệ thống mạng của tổ chức được thiết kế đúng chuẩn và triển khai mô hình mạng nào (Miền hay nhóm)?
• Hệ thống website và các ứng dụng có hệ thống cân bằng tải hay không?
• Tổ chức bạn có triển khai hệ thống tường lửa chưa? Phần cứng hay phần mềm?
• Hệ điều hành, phần mềm có cập nhật vá lỗi chưa?
• Tổ chức bạn có ghi nhật ký truy nhập và giám sát hệ thống chưa?
• Tổ chức bạn bảo về dữ liệu và sao lưu dự phòng như thế nào?
• Tổ chức bạn có hệ thống phát hiện và ngăn chặn xâm nhập không?
• Tổ chức của bạn có hệ thống quét virus theo mô hình chủ- khách không?
• Tổ chức bạn đã triển khai các phương pháp bảo mật nào?
• Thường xuyên kiểm tra, đánh giá về khả năng bảo mật của tổ chức hay không?
• Thường xuyên đào tạo người dùng về mạng máy tính trong tổ chức hay không?

Nguyên lý thiết kế hệ thống bảo mật

Hệ thống mạng phải được thiết lập dựa trên các nguyên tắc sau:

• Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thể ảnh hưởng sang các tầng hay lớp khác.
• Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào đó. Bởi nếu như sản phẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng các sản phẩm tương tự của hãng đó trong mạng cũng sẽ bị xuyên qua và việc phân tầng, phân lớp trong chính sách phòng vệ là vô nghĩa. Vì vậy khi tiến hành phân tầng, tách lớp, nên sử dụng nhiều sản phẩm công nghệ của nhiều hãng khác nhau để hạn chế nhược điểm trên. Đồng thời sử dụng nhiều cộng nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDS làm công cụ “đánh hơi”, phản ứng phòng vệ chủ động, Anti-virus để lọc virus…v.v
• Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số chứng nhận tiêu chuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC 18405:2005 EAL4, ICSA Firewall và VPN, FIPS-140…