Top 5 # Xem Nhiều Nhất Các Giải Pháp Chủ Yếu Để Bảo Mật Hệ Thống Mới Nhất 3/2023 # Top Like

Chủ đề :

Môn học:

Hướng dẫn Trắc nghiệm Online và Tích lũy điểm thưởng

CÂU HỎI KHÁC

Thao tác nào sau đây không phải là thao tác

Một cửa hàng thương mại điện tử (bán hàng trên mạng)

Báo cáo lấy dữ liệu từ những nguồn nào?

Bảo mật trong hệ CSDL hạn chế tối đa sai sót của người dùng?

Trong hệ CSDL quan hệ, thứ tự các thuộc tính là không quan trọng?

Khẳng định nào sau đây về CSDL quan hệ là đúng ?

Khi xét một mô hình ta cần quan tâm đến các vấn đề gì ?

Cho biết hình ảnh sau đây là bước nào khi tạo báo cáo

Chọn đáp án đúng nhất? Nguồn để tạo mẫu hỏi là:

Hãy chọn lí giải đúng. Bảng dữ liệu sau không phải là một quan hệ vì?

Khi làm việc với biểu mẫu, nút lệnh này chuyển vào chế độ nào?

Chọn câu trả lời đúng? Sau khi thực hiện một vài phép truy vấn, CSDL sẽ như thế nào?

Câu nào sai trong các câu

Để nâng cao hiệu quả của việc bảo mật, ta cần phải thường xuyên thay đổi các tham số của hệ thống bảo vệ

Chức năng của biểu mẫu là

Người quản trị hệ thống:

Không thể lập biểu thức tính toán trong biểu mẫu

Thuật ngữ bộ để chỉ

Hai bảng trong một CSDL quan hệ được liên kết với nhau bởi các khoá. Điều khẳng định nào sau đây là đúng ?

Để thay đổi kích thước trường hay di chuyển các trường trong biểu mẫu thì ta chỉnh sửa trong chế độ nào sau đây?&n

Câu nào là đúng. Sau khi tạo cấu trúc cho bảng thì:

Khóa chính của bảng thường được chọn theo tiêu chí nào?

Hãy cho biết ý kiến nào là đúng. Với một bảng dữ liệu, hệ QTCSDL cho phép:

Thao tác nào sau đây không phải là thao tác khai thác CSDL quan hệ ?

Khai báo cấu trúc cho một bảng không bao gồm công việc nào?

Quan sát lưới thiết kế sau và cho biết điều kiện lọc dữ liệu của mẫu hỏi:

Quan sát lưới thiết kế sau

Thao tác tạo liên kết giữa các bảng, để xuất hiện hộp thoại Show Table ta chọn nút lệnh nào sau đây?

Các phương pháp hiện nay để hệ QTCSDL nhận dạng” được người dùng là:

Truy vấn là một dạng lọc, đúng hay sai?

Để mở cửa sổ liên kết bảng, ta nhấn công cụ nào sau đây?

Các giải pháp chủ yếu cho bảo mật hệ thống là:

Để sử dụng các hàm gộp nhóm, nháy nút lệnh nào sau đây?

Khi cập nhật dữ liệu vào bảng, ta không thể để trống trường nào sau đây:

Để thêm bản ghi cho CSDL quan hệ, ta nhập trực tiếp từ bàn phím vào báo cáo?

Hãy chọn phương án ghép sai. Mã hóa thông tin nhằm mục đích:

Các hệ thống quản lý ngành công nghiệp, sản xuất và cung cấp dịch vụ tiện ích như điện, dầu, nước… được vận hành bởi các thiết bị điện – điện tử, cơ khí, thủy lực và các loại thiết bị chuyên dụng khác. Do đặc thù của ngành, các hệ thống này được vận hành liên tục 24/7, tự động và có cơ chế tự điều khiển theo các tình huống giả định được thiết lập sẵn. Do vậy, các hệ thống này thông thường được vận hành và giám sát bởi các hệ thống máy tính chuyên dụng được gọi là bộ điều khiển và cảm biến. Tích hợp với các hệ thống quản lý, chúng cung cấp các giải pháp của SCADA (Hệ thống Thu thập dữ liệu và Điều khiển giám sát), cho phép thu thập và phân tích dữ liệu hiệu quả và giúp tự động kiểm soát các thiết bị chuyên dụng trong hệ thống như máy bơm, van và rơle.

SCADA: Supervisory Control And Data Acquisition – Hệ thống Thu thập dữ liệu và Điều khiển giám sát

Sử dụng trong các hệ thống yêu cầu mức độ tin cậy cao, hoạt động liên tục trong môi trường công nghiệp khắc nghiệt, không dễ dàng trong thay thế, lắp đặt, nên các thiết bị trong giải pháp SCADA phải đảm bảo yếu tố bền vững và bền bỉ trong thời gian dài, từ 5 năm hay thậm chí hơn 10 năm.

Với tầm quan trọng và ảnh hưởng tới cộng đồng và xã hội, các cơ sở cung cấp dịch vụ công cộng, các hệ thống kiểm soát giao thông đô thị, đã trở thành mục tiêu tấn công và gần đây đã bị tấn công bởi hàng loạt các vi phạm mạng, trộm cắp dữ liệu và từ chối dịch vụ… Tất nhiên, chúng ta nhận biết việc này nhiều nhất qua truyện và phim ảnh của Hollywood, nhưng thực sự nó đã xảy ra trong thực tế.

Ở Việt Nam, bề ngoài, đó là việc hacker tấn công và chiếm quyền điều khiển hệ thống hiển thị màn hình ở sân bay. Nhưng thực sự, hệ thống CSDL khách hàng của hàng không có còn đảm bảo an toàn, toàn vẹn?

Với thực tế như vậy, bên cạnh vấn đề đảm bảo yêu cầu cung cấp liên tục của dịch vụ xã hội, tính toàn vẹn dữ liệu, chính xác trong kiểm soát giao thông đường không/đường bộ, điều kiện tiên quyết là chúng ta cần giải quyết triệt để những lo ngại về bảo mật của hệ thống SCADA, với đặc thù thiết bị vận hành lâu dài, sử dụng các thiết bị, hệ thống và công nghệ có tuổi đời từ 5-10 năm trước. Còn công nghệ thế giới đang được nghiên cứu, phát triển và ứng dụng với tốc độ phi mã. Quả là 1 cuộc chiến không cân sức.

Đặc thù mạng SCADA và yêu cầu bảo mật

Mặc dù việc thiết kế và chế tạo các bộ điều khiển SCADA cũng như thiết bị cài đặt hệ thống quản lý là theo yêu cầu riêng của người dùng tùy theo yêu cầu hệ thống, nhưng vẫn không tách rời thực tế là sử dụng trên nền tảng các máy trạm làm việc (workstation) cài đặt hệ điều hành chuẩn được tùy biến (Windows/Linux hay Unix), cùng với các ứng dụng phần mềm, các giao thức truyền thông và đăng nhập phổ thông.

Do đó, dù có vẻ khác biệt, các hệ thống SCADA sẽ gặp đủ các vấn đề như hệ thống IT thông thường, các lỗ hổng, khác biệt giữa các sản phẩm được kiểm tra, backdoor, thiếu chứng thực và mã hóa, chưa cập nhật các bản vá và lưu trữ mật khẩu yếu sẽ cho phép kẻ tấn công truy cập vào hệ thống. Như vậy nguy cơ dẫn đến thiết bị có thể gây treo hoặc dừng chúng và can thiệp vào những quy trình quan trọng được kiểm soát bởi chúng, chẳng hạn như việc mở và đóng van, gây rối loạn hệ thống điều khiển giao thông.

Tuy vậy, do nhiệm vụ, mạng SCADA được tách biệt về mặt vật lý với các mạng IT của doanh nghiệp/tổ chức, hay sử dụng cùng một mạng IT (LAN và WAN) nhưng mã hóa lưu lượng mạng SCADA của họ trên một cơ sở hạ tầng chia sẻ. Và, cả 2 mạng có sự trao đổi để truy xuất thông tin dữ liệu cũng như gửi yêu cầu vận hành giữa chúng.

Bên cạnh yếu tố là 1 mạng kết nối với mạng IT, các thiết bị và mạng SCADA có thêm các đặc điểm khác biệt so với các thiết bị và mạng IT:

Lắp đặt ở các vị trí không tiện cho nhân công lắp đặt (tháp, trên giàn khoan dầu, robot đang hoạt động, nhà máy điện/nước/dầu, cột đèn giao thông), yêu cầu về môi trường hơn các hệ thống CNTT thông thường (ví dụ như ngoài trời, nhiệt độ quá cao, môi trường có độ acid/kiềm hóa cao, xung lắc) hoặc yêu cầu đầu vào/đầu ra đặc thù.

Sử dụng các hệ điều hành thông thường, nhưng được tùy biến/nhúng để tương thích với hệ thống, nhưng lại ít để ý tới sự an toàn về an ninh.

Phần mềm được thiết kế riêng, ưu tiến tính tới sự sẵn sàng, bền bỉ của hệ thống, do đó, lại ít được cập nhật hoặc vá lỗi thường xuyên, do hạn chế truy cập hay e ngại sự ảnh hưởng khi phải gián đoạn cho nâng cấp hệ thống.

Sử dụng các giao thức độc quyền hoặc đặc biệt như MODBUS, DNP3.

Các đơn vị cung cấp dịch vụ bảo mật với nhiều kinh nghiệm trong việc bảo vệ mạng IT trước vấn đề hiểm họa đe dọa hệ thống ngày càng tăng theo cấp số, từ lỗi của hệ điều hành, lỗ hổng phần mềm ứng dụng hay sự không tương thích giữa phần cứng-phần mềm tới firmware, liên tục tối ưu, phát triển các quy trình cho phép xậy dựng hệ thống tiệm cận mức vận hành một cách an toàn.

Việc tái sử dụng tri thức, liên tục nghiên cứu, áp dụng công nghệ phát triển qua nhiều năm có thể xây dựng một hệ thống an toàn, đồng thời tiết kiệm thời gian và chi phí. Điều này chỉ có khi đạt được điều kiện cần là hiểu và đánh giá được sự khác biệt giữa SCADA và môi trường IT, trước khi ứng dụng dụng các thực tiễn và công nghệ bảo mật chuyên biệt như là một phần của giải pháp.

Nguyên tắc thiết kế hệ thống bảo mật cho mạng SCADA

Thiết kế giải pháp bảo mật tổng thể cho mạng SCADA, cũng như kết nối mạng SCADA và mạng IT cần đáp ứng cả về thiết bị và giải pháp, các nguyên tắc chính như sau:

Đảm bảo sự an toàn của thiết bị mạng SCADA và giao diện kết nối giữa mạng IT và SCADA:

Có tách biệt vật lý giữa các bộ điều khiển vận hành theo thời gian thực của SCADA và mạng khác (Corporate Network – mạng IT của doanh nghiệp, SCADA Monitoring Network – mạng giám sát SCADA).

Sử dụng giải pháp chống các cuộc tấn công dạng Bot nhằm giải quyết các phần mềm độc hại có thể đã xâm nhập và nằm trong mạng thiết bị.

Ứng dụng công nghệ sandboxing (ảo hóa phần mềm) giúp cách ly/ xác định và xử lý các phần mềm độc hại được nhúng trong các tệp tin ứng dụng như Excel, Word, Power Point, PDF, EXE…

Đảm bảo rằng tất cả máy trạm được sử dụng để quản lý và bảo dưỡng không có phần mềm độc hại và tuân theo yêu cầu sau:

Sử dụng máy trạm riêng biệt cho phần mềm quản lý SCADA.

Với các máy trạm hoạt động ở cả mạng IT, SCADA và cả Internet thì có chính sách rõ ràng với người dùng, với phần mềm và cấu hình máy và cần giám sát lưu lượng/file cũng như tải của hệ thống theo thời gian thực.

Tất cả các máy trạm đều phải được kiểm soát bởi các thiết bị đầu cuối bao gồm tường lửa, điều khiển ứng dụng, điều khiển cổng, xác thực/mã hóa truyền thông, IPS và antivirus.

Giải pháp bảo mật cho mạng SCADA

Mô hình giải pháp bảo mật tổng thể đề xuất cho hệ thống mạng SCADA và mạng IT của khách hàng.

Giải pháp bảo mật gồm 2 nhiệm vụ chính:

Thiết bị bảo mật được thiết kế đảm bảo khả năng hoạt động trong môi trường công nghiệp. Các tính năng bảo mật chính được active trên thiết bị bao gồm: FW, IPS, application control, Identity Awareness, Antibot & Anti Virus, điều này cho phép các các traffic hợp pháp được trao đổi giữa các thành phần khác nhau của hệ thống SCADA, đồng thời cho phép phát hiện các bots trong hệ thống SCADA (post-infection) và từ đó ngăn chặn các kết nối đó ra ngoài Internet.

Các thiết bị bảo mật cần phải có bao gồm:

Firewall bảo vệ biên mạng SCADA

Được thiết kế với chức năng bảo mật cho các thiết bị SCADA như bộ điều khiển các trạm, các tủ điều khiển…, tùy theo mức độ quan trọng của thiết bị, có thể thiết lập chế độ Standalone hay High Availability.

Thiết bị không chỉ được thiết kế hoạt động trong môi trường công nghiệp khắc nghiệp mà còn được thiết kế hỗ trợ bảo mật toàn diện cho hệ thống SCADA. Thiết bị có thiết kế vật lý chắc chắn. Phải tuân thủ các quy định về bụi, nhiệt độ cực đại, độ ẩm và độ rung để đảm bảo độ bền vật lý.

Thiết bi cần đảm bảo mức MTBF cực kỳ cao (thời gian trung bình giữa các lỗi) và các phụ kiện quạt và ổ đĩa cứng có độ tin cậy cao, đảm bảo sử dụng lâu dài mà ít phải bảo dưỡng, sửa chữa hay thay thế.

Thiết bị quản lý tập trung

Quản lý tất cả các thiết bị tường lửa bảo mật, cung cấp chức năng quản lý tổng thể, thống nhất về trạng thái, log và chính sách bảo mật của tất cả các tường lửa kết nối trên mạng IT và mạng SCADA để đảm bảo tính thống nhất của các chính sách, phản ứng nhanh với các sự kiện, sự cố an toàn thông tin.

Vì an ninh của các tổ chức bao gồm nhiều lớp, điều quan trọng là phải có một cái nhìn duy nhất về tất cả sự cố an ninh ở một nơi. Chuẩn hóa và thống nhất các giải pháp bảo mật có thể cho phép sử dụng các chuyên gia đã có mặt trong tổ chức và cung cấp cái nhìn toàn cảnh tốt hơn về thái độ bảo mật trên các thiết bị bảo mật, các thiết bị bảo mật hệ thống IT và các máy tính đầu cuối.

Để xuất giải pháp hãng Stormshiel by Airbus là đối tác bảo mật cho các nhà cung cấp Siemen , Schneider , Rockwwell , ABBB

Download : https://www.dropbox.com/s/vfemsd9nlm0pr92/Stormshield%20Industrial%20Presentation%20March%20Y2018%20Release.pdf?dl=0

Một số giải pháp bảo mật hệ thống mạng

I. ĐẶT VẤN ĐỀ

Hiện nay, hầu hết các tổ chức, đơn vị, trường học đều đã kết nối mạng nội bộ mạng đến các chi nhánh, đối tác và đã thừa hưởng nhiều lợi ích từ đó. Nhưng chính sự thuận lợi này lại chứa nhiều mối nguy hiểm tiềm ẩn như: virus, hacker, v.v công nghệ cao.

II. MỘT SỐ TIÊU CHÍ ĐÁNH GIÁ AN TOÀN MẠNG

Theo Microsoft, Cisco, juniper… để đánh giá tính sẵn sàng và khả năng bảo mật mạng máy tính, các tiêu chí được quan tâm hàng đầu là: (xem bảng 1)

1

Hệ thống mạng của tổ chức được thiết kế đúng chuẩn và triển khai mô hình mạng nào (Miền hay nhóm)?

2

Hệ thống website và các ứng dụng có hệ thống cân bằng tải hay không?

3

Tổ chức bạn có triển khai hệ thống tường lửa chưa? Phần cứng hay phần mềm?

4

Hệ điều hành, phần mềm có cập nhật vá lỗi chưa?

5

Tổ chức bạn có ghi nhật ký truy nhập và giám sát hệ thống chưa?

6

Tổ chức bạn bảo về dữ liệu và sao lưu dự phòng như thế nào?

7

Tổ chức bạn có hệ thống phát hiện và ngăn chặn xâm nhập không?

8

Tổ chức của bạn có hệ thống quét virus theo mô hình chủ- khách không?

9

Tổ chức bạn đã triển khai các phương pháp bảo mật nào?

10

Thường xuyên kiểm tra, đánh giá về khả năng bảo mật của tổ chức hay không?

11

Thường xuyên đào tạo người dùng về mạng máy tính trong tổ chức hay không?

…

….Và một số tiêu chí khác

Bảng 1: Một số tiêu chí đánh giá bảo mật của hệ thống mạng

1.1.Nguyên lý thiết kế hệ thống bảo mật

An ninh mạng phải được thiết lập dựa trên các nguyên tắc sau:

+ Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thể ảnh hưởng sang các tầng hay lớp khác.

+ Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào đó. Bởi nếu như sản phẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng các sản phẩm tương tự của hãng đó trong mạng cũng sẽ bị xuyên qua và việc phân tầng, phân lớp trong chính sách phòng vệ là vô nghĩa. Vì vậy khi tiến hành phân tầng, tách lớp, nên sử dụng nhiều sản phẩm công nghệ của nhiều hãng khác nhau để hạn chế nhược điểm trên. Đồng thời sử dụng nhiều cộng nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDS làm công cụ “đánh hơi”, phản ứng phòng vệ chủ động, Anti-virus để lọc virus…v.v

Từ các tiêu chí và nguyên tắc trên tôi xin đưa ra một số nhóm giải pháp sau: III. CÁC NHÓM GIẢI PHÁP 3.1. NHÓM GIẢI PHÁP VỀ QUY HOẠCH, THIẾT KẾ

+ Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số chứng nhận tiêu chuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC 18405:2005 EAL4, ICSA Firewall và VPN, FIPS-140…

Kiến trúc SOA gồm có 3 lớp:

Lớp cơ sở hạ tầng mạng (networked infrasstructure layer): là lớp mạng liên kết các khối chức năng theo kiến trúc phân tầng, có trật tự.

Lớp dịch vụ tương tác (Interactive services layer): bao gồm sự kết hợp một số kiến trúc mạng đầy đủ với nhau tạo thành các chức năng cho phép nhiều ứng dụng có thể sử dụng trên mạng.

Lớp ứng dụng (Application layer): Bao gồm các loại ứng dụng cộng tác và nghiệp vụ. Các ứng dụng này kết hợp với các dịch vụ tương tác cung cấp ở lớp dưới sẽ giúp triển khai nhanh và hiệu quả

3.1.2. Phương thức thiết kế phân lớp – Hierarchical

Trong phần này, tôi xin giới thiệu sơ lược về các phương thức thiết kế mạng và bảo mật được sử dụng trong việc thiết kế các hệ thống mạng lớn và hiện đại của các tổ chức và doanh nghiệp lớn. Tương ứng với kiến trúc SOA là thuộc lớp Cơ sở hạ tầng mạng.

a) Khu vực LAN

Hình 1: Sơ đồ thiết kế hệ thống mạng SOA theo các khu vực, tầng.

b) Khu vực kết nối WAN

Từ mô hình trên ta cũng thấy được rằng khu vực này được thiết kế theo tầng. Tầng lõi, tầng phân tán, tầng truy xuất vừa đảm bảo tính dự phòng đường truyền, lưu lượng mạng được phân bố đều, toàn mạng được chia thành nhiều phân đoạn để dễ dàng kiểm soát và bảo mật.

a) Khu vực các máy chủ public

Đây là vùng cung cấp các kết nối ra môi trường Internet và các cơ quan thành viên, đối tác. Tại đây phải đảm bảo tính sẵn sàng cao và tính dự phòng đường truyền. Vì vậy hệ thống cân bằng tải và dự phòng đường truyền WAN cần được triển khai.

Khu vực này thường được biết đến với tên là vùng phi quân sự (DMZ-demilitarized zone) có nghĩa rằng tại khu vực này được hệ thống tường lửa kiểm soát vào ra các máy chủ rất chặt chẽ nhằm ngăn chặn các cuộc tấn công của Hacker, người dùng trong LAN…

+ Ưu điểm: dự phòng, dễ phát triển, hiệu năng cao, dễ khắc phục sự cố, thích hợp với môi trường đào tạo và nghiên cứu ở các trường đại học và cao đẳng, doanh nghiệp lớn.

3.1.3 Mô hình triển khai dịch vụ và quản lý người dùng

+ Khó khăn khi xây dựng mạng theo phân lớp là chi phí khá cao, cần đội ngũ quản trị hệ thống chuyên nghiệp

Mô hình này được triển khai trên cơ sở hạ tầng đã thiết kế là yếu tố quyết định đến hiệu năng hoạt động và cách thức quản lý hệ thống.

Thực tế một số cơ quan, doanh nghiệp hiện nay đang triển khai hệ thống mạng theo mô hình mạng ngang hàng. Mô hình này chỉ triển khai cho các tổ chức có quy mô nhỏ hẹp. Khi quy mô hệ thống có trên hàng trăm máy tính, nhiều phòng ban, chức năng thì việc quản lý theo mô hình ngang hàng không còn phù hợp nữa. Giải pháp triển khai dịch vụ và quản lý người dùng theo mô hình chủ-khách là giải pháp tối ưu, hiệu quả nhất. Hệ thống này có nhiều thuận lợi và tính năng tối ưu như:

– Phần quyền truy nhập vào các tài nguyên dùng chung trên mạng.

– Triển khai cấu hình các phần mềm, dịch vụ tự động cho các máy khách, người dùng nhanh chóng.

– Triển khai một chính sách bảo mật cho toàn đơn vị một cách dễ dàng, thống nhất, tập trung, ví dụ: Khi người dùng không sử dụng trong thời gian nhất định, hệ thống sẽ tự lock, luôn yêu cầu người dùng đặt mật khẩu cho hệ điều hành ở chế độ phức tạp, thường xuyên thay đổi mật khẩu…nhằm tránh các hacker dùng các phần mềm giải mã mật khẩu.

3.1.4. Phân hoạch VLAN (LAN ảo)

– Dễ dàng giám sát an ninh, bảo mật, logging v.v

Thực trạng hệ thống mạng ở một số doanh nghiệp hiện nay được phân chia thành các khu vực, chưa kiểm soát được lưu lượng download và upload cũng như băng thông truy xuất Internet của người dùng. Mô hình mạng như vậy là một miền quảng bá, mỗi gói tin kiểu quảng bá thì ở bất kỳ máy nào cũng có thể tới được tất cả các máy tính khác trong mạng nên có những vấn đề sau:

– Về băng thông: Toàn doanh nghiệp là một vùng quảng bá rất lớn, số máy tính, số người dùng sẽ tăng lên khi đơn vị phát triển thêm các khu vực khác. Do vậy băng thông, hiệu năng của toàn mạng sẽ giảm, thậm chí thường gây tắc nghẽn.

– Về bảo mật: Việc kiểm soát bảo mật gặp rất nhiều khó khăn khi hệ thống trải rộng khắp toàn cơ quan, doanh nghiệp.

Hình 2: Minh họa về nhiều VLAN khác nhau ở một trường học

3.2. NHÓM GIẢI PHÁP VỀ HỆ THỐNG NGĂN CHẶN, PHÁT HIỆN TẤN CÔNG 3.2.1 Hệ thống tường lửa đa tầng

Ví dụ: Tất cả các máy tính thuộc các phòng thực hành, thí nghiệm trong toàn trường thì thuộc vlan01; các phòng ban thuộc vlan02, các wireless thuộc vlan03 v.v. Các VLAN đó mặc định sẽ không liên lạc được với nhau. Khi muốn có sự liên lạc giữa các VLAN với nhau ta tiến hành cấu hình trên thiết bị định tuyến router và kiểm soát băng thông giữa các Vlan. (hình 2)

Hệ thống tường lửa là hệ thống kiểm soát truy nhập giữa mạng Internet và mạng nội bộ. Tường lửa có 2 loại: phần cứng và phần mềm. Mỗi loại có các ưu điểm khác nhau. Phần cứng có hiệu năng ổn định, không phụ thuộc vào hệ điều hành, virus, mã độc, ngăn chặn tốt giao thức ở tầng mạng trong mô hình tham chiếu TCP/IP. Phần mềm rất linh hoạt trong những cấu hình ở giao thức tầng ứng dụng trong mô hình TCP/IP.

Ví dụ, tường lửa tầng thứ nhất (thường là phần cứng) đã loại bỏ hầu hết các kiểu tấn công trực diện vào hệ thống máy chủ web, máy chủ mail như kiểu tấn công phân tán (DDOS), tức hacker dùng các công cụ tạo các yêu cầu truy xuất tới máy chủ từ nhiều máy tính khác trên mạng với tần suất cao để nhằm làm cho máy chủ quá tải và dẫn tới ngừng phục vụ.

Nhưng hacker cũng không dừng tại đó, chúng có thể vượt qua hệ thống tường lửal tầng thứ nhất với những gói tin hợp lệ để vào hệ thống mạng LAN. Bằng các giao thức tầng ứng dụng chúng có thể lại đạt được mục đích. Chính vì thế triển khai hệ thống tường lửa phần mềm sẽ hỗ trợ và làm gia tăng tính bảo mật cho toàn mạng. Trong trường hợp, một hệ thống tường lửa gặp sự cố thì hệ thống còn lại vẫn kiểm soát được.

Hình 3: Hệ thống tường lửa với 2 tầng trước và sau

3.2.2. Hệ thống phát hiện và chống xâm nhập IDS/IPS

Hiện nay các hình thức tấn công của người có ý đồ xấu ngày càng nhiều và tinh vi. Ví dụ: Trong đơn vị có thể tự cài đặt các công cụ (Ethereal, Cain & abel…) trên máy tính làm việc hoặc máy tính xách tay để tiến hành nghe lén hay quét trực tiếp lên các máy chủ, từ đó có thể lấy các tài khoản email, Web, FTP, SQL server nhằm thay đổi điểm thi, tiền học phí đã nộp, thay đổi lịch công tác…các hình thức tấn công kiểu này, hệ thống tường lửa không thể phát hiện [3].

3.2.3. Danh sách điều khiển truy xuất, an toàn cổng thiết bị, lọc địa chỉ mạng a) Danh sách điều khiển truy xuất

Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống IDS/IPS (Intrusion Detection System/Intrusion prevention system). IDS/IPS là hệ thống bảo mật vô cùng quan trọng, nó có khả năng phát hiện ra các cuộc tấn công dựa vào các dấu hiệu thiết lập sẵn hoặc các đoạn mã độc hại, bất thường trên giao thông mạng; đồng thời có thể loại bỏ chúng trước khi có thể gây hại cho hệ thống.

Tình trạng các phòng ban, …đang tự triển khai mạng wireless và mở rộng mạng LAN, nhất là tại các phòng có nhiều thiết bị di động, laptop dẫn tới số kết nối vào mạng nội bộ tăng, băng thông toàn mạng giảm và khó kiểm soát bảo mật.

b) Bảo mật cổng của thiết bị, lọc địa chỉ vật lý của thiết bị mạng

Danh sách truy nhập là gồm các luật cho phép hay ngăn chặn các gói tin sau khi tham chiếu vào thông tin trong tiêu đề của gói tin để giới hạn các người dùng có thể truy xuất vào các hệ thống máy chủ nội bộ v.v.

Ở các điểm truy nhập mạng công cộng, việc mở rộng LAN của người dùng; việc truy xuất vào các máy chủ nội bộ cần được kiểm soát.

Các giải pháp như cấu hình bảo mật cổng của thiết bị, quản lý địa chỉ vật lý là giải pháp cực kỳ an ninh và hiệu quả trong trường hợp này.

– Cấu hình bảo mật cổng của thiết bị trên các switch nhằm đảm bảo không thể mở rộng LAN khi chưa có sự đồng ý của người quản trị hệ thống, nếu vi phạm điều đó, port trên switch đó sẽ chuyển về trạng thái cấm hoặc trạng thái ngừng hoạt động.

– Địa chỉ vật lý là địa chỉ được cài đặt sẵn từ nhà sản xuất. Về nguyên tắc tất cả các máy tính trên mạng sẽ không trùng nhau về địa chỉ này. Sự kiểm soát theo địa chỉ này là rất cụ thể tới từng máy tính trong mạng, trừ khi người dùng có quyền cài đặt phần mềm và làm giả địa chỉ này ở máy tính đó, hoặc là mở máy tính rồi thay thế card giao tiếp mạng mới.

3.3. NHÓM GIẢI PHÁP KHÁC 3.3.1 Xây dựng hệ thống cập nhật, sửa lỗi tập trung

– Các thiết bị mạng hiện nay đều được trang bị chức năng ngăn theo địa chỉ vật lý này giúp quản trị mạng kiểm soát được người dùng sử dụng mạng, nhất là muốn triển khai trên hệ thống wireless.

Công đoạn đầu tiên của hacker khi tiến hành tấn công là khảo sát hệ thống đích để tìm ra các lỗi của hệ điều hành, của các dịch vụ, của các ứng dụng khi chúng chưa được cập nhật trên website của nhà cung cấp.

Thực trạng ở các cơ quan, doanh nghiệp cho thấy việc sử dụng các sản phẩm phần mềm hầu như ít cập nhật các bản vá lỗi, có chăng cũng đang riêng lẻ trên các máy tính cá nhân, đó chính là cơ hội cho hacker dùng các công để khai thác lỗ hổng bảo mật. Để cập nhật bản vá lỗi cho tất cả các máy khách trong toàn bộ hệ thống qua Internet mất thời gian và tốn nhiều băng thông đường truyền và không thống nhất.

Giải pháp xây dựng hệ thống tự động cập nhật từ nhà cung cấp trên Internet về máy chủ rồi từ máy chủ này, triển khai cho tất cả các máy khách trong toàn mạng.

3.3.2. Ghi nhật ký, theo dõi, giám sát hệ thống a) Ghi nhật ký

Hệ thống WSUS (Windows Server Update Services) của Microsoft không những cập nhập bản vá lỗi cho hệ điều hành Windows mà còn cập nhật bản vá lỗi cho tất cả các sản phẩm khác của hãng bao gồm Internet Explorer, SQL server, Office, Mail, máy chủ Web v.v

Giải pháp ghi lại các phiên kết nối, các phiên đăng nhập của người dùng, các tiến trình hoạt động sẽ giúp quản trị mạng có thể tìm lại dấu vết của người dùng, hacker và các lỗi có thể gây ra cho hệ thống trước đó. Các máy chủ Web , máy chủ Email và máy chủ ứng dụng khác cần được kích hoạt tính năng ghi nhật ký, việc quản lý lưu trữ các thông tin này là rất cần thiết. Hacker chuyên nghiệp khi đã xâm nhập thành công vào hệ thống, việc không thể bỏ qua chính là việc xóa dấu vết đã được ghi. Chính vì thế triển khai hệ thống ghi nhật ký tập trung tại một máy chủ chuyên dụng khác là rất hiệu quả.

b) Theo dõi, giám sát

Các phần mềm mã nguồn mở như: Syslog-ng: (http://www.balabit.com); SyslogAgent: (http://syslogserver.com) là giải pháp tốt. Hệ thống sẽ giúp chúng ta ghi các cảnh báo, thông báo từ các thiết bị phần cứng như: tường lửa, router, switch, từ các máy chủ Web, Database, và các hệ thống khác.

Theo dõi, giám sát là công việc thường xuyên và quan trọng của nhà quản trị mạng chuyên nghiệp, đó chính là công việc phòng chống hiệu quả trước khi sự cố xuất hiện. Theo dõi, giám sát có thể:

– Phát hiện trên hệ thống mạng có nhiều virus phát tán.

– Giám sát các máy tính trong mạng LAN và trên môi trường Internet.

– Theo dõi hiệu năng hoạt động các phần cứng của máy chủ để tiến hành nâng cấp, bảo trì, bảo dưỡng.

– Phát hiện hacker đang dùng các công cụ nghe lén mật khẩu, quét các lỗi của hệ thống và các ứng dụng.

3.3.3. Giải pháp mã hóa dữ liệu và đường truyền

– Thống kê số lượng các kết nối, các session cũng như những lưu lượng bất thường trên hệ thống mạng v.v

Dữ liệu trên máy chủ, máy tính cá nhân của các cơ quan, doanh nghiệp hiện chưa an toàn vì không được mã hóa nội dung và kể cả khi đi trên đường truyền. Dữ liệu ấy có thể được đọc bởi:

– Người dùng đăng nhập thành công vào máy tính

– Hacker dùng các phần mềm capture (bắt) thông tin trên đường truyền

– Tại các máy chủ và máy tính có lưu trữ dữ liệu nhạy cảm, có dữ liệu cần chia sẽ; tại các thiết bị lưu trữ cần thiết phải tiến hành mã hóa nội dung, điều đó đảm bảo rằng nếu có mất thiết bị lưu trữ, máy tính, người tấn công cũng không thể giải mã được dữ liệu.

3.3.4. Đào tạo người dùng

Giải pháp Ipsec sẽ được triển khai tại các hệ thống máy chủ và máy người dùng cũng như các thiết bị mạng phải được cấu hình.

Theo chuẩn quản lý an ninh thông tin (Information Security Management) ISO 17799/BS-7799, trong đó có tiêu chí về “An ninh về nhân sự (Personnel Security)” mô tả trách nhiệm của nhân viên, vai trò của các cá nhân trong an ninh thông tin, nhằm giảm thiểu các sai sót do lỗi của con người, do ăn cắp hoặc lạm dụng tài sản công. Do vậy việc đào tạo người dùng để họ tự bảo vệ các tài nguyên cho máy tính họ và cho cả tổ chức là nhiệm vụ hết sức quan trọng.

Đào tạo người dùng biết cách phòng chống các thủ đoạn của hacker như lừa đảo qua email. Ví dụ: hacker thường lợi dụng tính tò mò của người dùng khi tham gia Internet để lấy thông tin khi yêu cầu người dùng nhập vào.

Đào tạo người dùng sử dụng các công cụ, phần mềm đúng trình tự, khi cần thiết phải kịp thời báo cáo với người quản trị hệ thống.v.v.

3.3.5. Hệ thống chống virus

Đào tạo người dùng phải tuân thủ nguyên tắc bảo mật và an toàn thông tin của tổ chức, kể cả khi họ không tham gia làm việc tại cơ quan.

Để cải thiện tốc độ xử lý của tường lửa, thông thường quản trị mạng không cấu hình kích hoạt tính năng lọc cao cấp của tường lửa (tường lửa ở các vị trí phải xử lý lưu lượng lớn). Khi đó các chương trình quét virus được cài đặt nhằm phát hiện và ngăn chặn các đoạn mã độc, các chương trình gián điệp, các email có tệp tin virus đính kèm.v.v. Nhưng trên thực tế để đầu tư một khối lượng lớn các chương trình virus cho tất cả các máy tính toàn cơ quan thì kinh phí đầu tư khá cao.

Để giảm chi phí bản quyền, giải pháp là triển khai mô hình chống virus chủ -khách. Hiện nay có nhiều hãng nỗi tiếng như Norton, Kaspersky, Trend micro .v.v có thể triển khai theo mô hình này. Lợi ích khi triển khai hệ thống là:

– Chi phí giảm hơn nhiều so với cài đặt trên từng máy khách

IV.TÀI LIỆU THAM KHẢO

– Việc cập nhật phiên bản mới của các máy khách dễ dàng, nhanh chóng và hiệu quả cao.

[1] Andrew R. Baker,Brian Caswell, Mike Poor. Snort Intrusion Detection. 2004. [2] Matthew J. Castelli, Cisco Press, LAN Switching first-step, July 08, 2004 [3] Jazib Frahim, Cisco ASA: All-in-One Tường lửa, IPS, and VPN Adaptive Security Appliance, CCIE No. 5459, Omar Santos, Cisco Press, October 21, 2005. [4] Sean Convery, Cisco Press, Network Security Architectures, April 19, 2004 [5] Diane Teare, Catherine Paquet, Campus Network Design Fundamentals, Cisco Press,December 08, 2005 [6] Security Criteria for Service Delivery Network, Cable Television Laboratories, 2009

Website:

Trong những bài viết tới sẽ giới thiệu chi tiết các giải pháp trên.

[7] http://www.microsoft.com/security, http://cisco.com/security

Lượt xem (11741)

Trong hệ tiêu hóa có thể nói gan – mật là cơ quan nặng gánh nhất. Mỗi ngày gan phải hoạt động hết công suất suốt 24h, với nhiệm vụ cực kỳ quan trọng là tổng hợp và chuyển hóa các chất để cung cấp cho cơ thể một nguồn năng lượng liên tục, đồng thời là trung tâm xử lí và thanh lọc các độc tố trong cơ thể. 

Chức năng của gan và mật

Hệ thống gan mật đóng vai trò quan trọng trong bộ máy tiêu hóa

Trong cơ thể, gan là cơ quan lớn thứ hai (sau da). Gan chiếm khoảng 1/5 thể tích tổng thể của các cơ quan nội tạng trong khoang bụng và cứ 2 phút thì toàn bộ máu trong cơ thể lại di chuyển qua gan một lần. Gan đảm nhiệm các chức năng chính là chuyển hóa (glucid, lipid, protid), dự trữ (máu, glucid, sắt, vitamin B12), chống độc và tạo mật.

Mật được sản xuất trong gan, mỗi ngày gan sản xuất khoảng 1 lít dịch mật. Các muối khoáng trong mật (như muối Bicacbonat) có vai trò trung hoà thức ăn có tính axit. Muối mật là Natri glycocholate, Natri taurocholate có vai trò phân huỷ các chất béo, thúc đẩy cho hoạt động của các men lipaza (phân huỷ lipid). Chúng giúp cho các chất béo đã được tiêu hoá có thể đi qua được thành ruột và giúp vận chuyển các vitamin tan trong dầu như vitamin A, D, E và K. Muối mật không bị mất đi sau khi sử dụng. Khoảng 80-90% muối mật sẽ theo máu chuyển lại về gan và kích thích gan sản sinh thêm mật.

• Giải pháp từ thiên nhiên giúp hỗ trợ điều trị và phòng ngừa các trường hợp suy giảm chức năng gan.• Uất kim, Chi tử song hành điều trị sỏi mật.

Các mối nguy hại cho sức khỏe của gan mật

Chế độ ăn uống không phù hợp, giàu chất béo, làm nồng độ Cholesterol trong máu tăng cao, gây tích tụ mỡ tại gan, dẫn đến các bệnh lí trên hệ thống gan mật như gan nhiễm mỡ, sỏi mật… Việc hình thành sỏi trên đường mật hay tại túi mật đều rất nguy hiểm vì làm lưu lượng mật bị hạn chế, từng bước làm tắc nghẽn, gây viêm và nhiễm trùng đường mật.

Ngay từ bây giờ, bạn hãy tập cho mình một thói quen sống tốt bằng cách vận động, luyện tập thể dục thường xuyên; đi khám bệnh định kỳ 6 tháng 1 lần; từ bỏ rượu bia, thuốc lá và các chất kích thích; đặc biệt thiết lập một chế độ ăn uống khoa học, ăn nhiều rau, ít Cholesterol, uống nhiều nước, kết hợp với việc bổ sung đầy đủ các khoáng chất và Vitamin cần thiết hàng ngày để tăng cường sức đề kháng cho cơ thể và có một lá gan khỏe mạnh hơn.

Hồng Cúc