Giáo trình An ninh Mạng trình độ Cao đẳng ngành Tin học ứng dụng - Trường Cao đẳng GTVT Trung ương I

Giáo trình An ninh mạng cao đẳng gtvt trung ương i biên soạn theo chương trình đào tạo chuẩn, phù hợp sinh viên ngành tại Việt Nam

Chuyên ngành

An Ninh Mạng

Người đăng

Ẩn danh

Thể loại

Giáo trình

2019

68
1
0

Phí lưu trữ

30 Point

Tóm tắt

I. Hướng dẫn chi tiết giáo trình an ninh mạng CĐ GTVT Trung ương I

Giáo trình an ninh mạng dành cho sinh viên ngành Tin học ứng dụng trình độ Cao đẳng tại Trường Cao đẳng GTVT Trung ương I là một tài liệu học thuật quan trọng, được biên soạn nhằm trang bị kiến thức nền tảng và chuyên sâu về bảo mật. Bối cảnh phát triển mạnh mẽ của công nghệ thông tin đã đặt ra những thách thức lớn về an toàn dữ liệu, đòi hỏi nguồn nhân lực phải có kỹ năng vững chắc để đối phó với các nguy cơ trên không gian mạng. Theo Lời nói đầu của giáo trình, mục tiêu chính là "cung cấp các kiến thức lý thuyết và thực hành về an toàn, bảo mật thông tin; các phương pháp tấn công và các biện pháp bảo mật, khắc phục vấn đề an toàn thông tin mạng máy tính". Nội dung của giáo trình an ninh mạng nghề tin học ứng dụng trình độ cao đẳng CĐ GTVT Trung ương I được cấu trúc một cách logic, đi từ tổng quan đến chi tiết. Sinh viên sẽ bắt đầu với các khái niệm cơ bản về an ninh mạng, sau đó đi sâu vào các kỹ thuật cụ thể như lọc gói tin IP, giao thức IPSEC, và NAT. Tài liệu này không chỉ là giáo án an ninh mạng cho giảng viên mà còn là cẩm nang hữu ích cho sinh viên trong quá trình học tập và nghiên cứu. Việc nắm vững kiến thức từ giáo trình giúp sinh viên đáp ứng chuẩn đầu ra môn an ninh mạng, sẵn sàng tham gia vào thị trường lao động với vai trò quản trị viên hệ thống, chuyên gia bảo mật, hoặc các vị trí liên quan trong lĩnh vực an toàn thông tin.

1.1. Mục tiêu và chuẩn đầu ra môn an ninh mạng tại CĐ GTVT I

Mục tiêu cốt lõi của môn học, như được nêu trong Chương 1, là giúp sinh viên có khả năng "Trình bày đầy đủ các nội dung về an toàn bảo mật mạng; các dạng tấn công và các phương pháp bảo mật trên mạng". Sau khi hoàn thành chương trình, người học phải ghi nhớ và hiểu biết chính xác về các cách thức tấn công, phương pháp bảo mật, và các loại xác thực. Về chuẩn đầu ra môn an ninh mạng, sinh viên được kỳ vọng sẽ đạt được các kỹ năng cụ thể: phân tích được các nguy cơ bảo mật, triển khai được các giải pháp phòng thủ cơ bản như Firewall, cấu hình được các chính sách bảo mật trên hệ thống. Đây là nền tảng vững chắc cho chuyên ngành bảo mật thông tin hệ cao đẳng.

1.2. Phân tích cấu trúc đề cương chi tiết an ninh mạng

Cấu trúc đề cương chi tiết an ninh mạng được chia thành 5 chương chính. Chương 1 giới thiệu tổng quan về bảo mật, các khái niệm nền tảng như AAA (Access Control, Authentication, Auditing) và các dạng tấn công. Chương 2 và 3 đi sâu vào kỹ thuật bảo mật hệ thống thông tin với lọc gói tin IP và giao thức IPSEC. Chương 4 trình bày về NAT (Network Address Translation), một kỹ thuật quan trọng trong quản trị mạng và bảo mật. Cuối cùng, Chương 5 tập trung vào một trong những mối đe dọa phổ biến nhất là Virus. Cấu trúc này đảm bảo sinh viên có cái nhìn toàn diện, từ lý thuyết cơ bản đến các ứng dụng thực tiễn trong ngành tin học ứng dụng.

II. Các nguy cơ an ninh mạng mà sinh viên tin học ứng dụng đối mặt

Trong môi trường số hiện nay, các hệ thống thông tin luôn là mục tiêu của nhiều hình thức tấn công tinh vi. Giáo trình nhấn mạnh rằng việc hiểu rõ cách thức hacker tấn công là bước đầu tiên và quan trọng nhất để xây dựng một hệ thống phòng thủ hiệu quả. Theo tài liệu gốc, các cuộc tấn công có thể được phân loại theo nhiều tiêu chí: mục tiêu, cách thức (chủ động hoặc thụ động), và phương pháp. Một quy trình tấn công điển hình được minh họa qua 5 bước: (1) Thăm dò và đánh giá hệ thống, (2) Thâm nhập, (3) Gia tăng quyền hạn, (4) Duy trì truy cập, và (5) Thực hiện tấn công. Sinh viên theo học chương trình đào tạo tin học ứng dụng cần nhận thức rõ những mối đe dọa này. Các cuộc tấn công từ chối dịch vụ (DoS, DDoS) có thể làm tê liệt hoạt động của doanh nghiệp, gây thiệt hại hàng tỷ USD. Trong khi đó, các kỹ thuật như Spoofing hay Man-in-the-Middle lại âm thầm đánh cắp dữ liệu nhạy cảm. Đây không còn là nguy cơ tiềm ẩn mà đã trở thành "chiến tranh thông tin" như giáo trình đã cảnh báo, trích dẫn từ báo Dân Việt về hàng trăm website Việt Nam bị tấn công. Do đó, việc trang bị kiến thức phòng chống tấn công mạng là yêu cầu cấp bách.

2.1. Phân loại các dạng tấn công mạng chủ động và thụ động

Giáo trình phân biệt rõ hai loại tấn công chính. Tấn công chủ động (Active Attacks) là các hành động trực tiếp gây hại đến hệ thống như làm tê liệt dịch vụ (DoS, DDoS), làm tràn bộ đệm (Buffer Overflows), hoặc giả mạo (Spoofing). Kẻ tấn công thay đổi hoặc phá hủy dữ liệu. Ngược lại, tấn công thụ động (Passive Attacks) chỉ đơn thuần là nghe lén (Sniffing) hoặc thu thập thông tin mà không làm thay đổi hệ thống. Mặc dù không gây hại ngay lập tức, tấn công thụ động là bước đệm để chuẩn bị cho các cuộc tấn công chủ động nguy hiểm hơn. Việc hiểu rõ hai hình thái này giúp xây dựng chiến lược an toàn thông tin phù hợp.

2.2. Hiểu rõ về Malicious Code Attacks Virus Worms Trojan

Mã độc (Malicious Code) là một trong những vũ khí phổ biến nhất của tin tặc. Giáo trình dành riêng Chương 5 để nói về Virus, nhưng cũng đề cập đến các dạng khác như Worms, Trojan Horse và Logic Bombs trong phần tổng quan. Virus là các đoạn mã được thiết kế để phá hoại, gắn vào một chương trình khác. Worms nguy hiểm hơn ở khả năng tự nhân bản và lây lan qua mạng. Trojan Horse lại ẩn mình dưới vỏ bọc một phần mềm hữu ích để thực hiện các hành vi gây hại ngầm. Nắm vững đặc điểm của từng loại mã độc là kiến thức cơ bản trong phòng chống tấn công mạng.

2.3. Rủi ro từ Social Engineering và tấn công mật khẩu

Bên cạnh các phương pháp kỹ thuật, giáo trình cũng nhấn mạnh đến Social Engineering – hình thức tấn công phi kỹ thuật nhưng cực kỳ hiệu quả. Đây là nghệ thuật thao túng tâm lý con người để khai thác thông tin. Kẻ tấn công có thể giả danh để lừa người dùng tiết lộ mật khẩu hoặc các dữ liệu nhạy cảm khác. Song song đó, Password Attacks (tấn công mật khẩu) cũng là một mối đe dọa lớn, với hai phương pháp chính là Brute-Force (vét cạn) và Dictionary-based (tấn công từ điển). Đây là những kiến thức thực tiễn giúp sinh viên bảo mật thông tin hệ cao đẳng không chỉ ở góc độ kỹ thuật mà còn ở góc độ nhận thức người dùng.

III. Phương pháp bảo mật với lọc gói tin IP trong giáo trình CĐ GTVT I

Một trong những kỹ năng cốt lõi được đề cập trong giáo trình an ninh mạng nghề tin học ứng dụng trình độ cao đẳng CĐ GTVT Trung ương I là kỹ thuật bảo mật dựa trên lọc gói tin. Đây là phương pháp phòng thủ nền tảng, hoạt động ở tầng mạng, cho phép kiểm soát luồng dữ liệu ra vào một hệ thống dựa trên các quy tắc được định sẵn. Chương 2 của giáo trình tập trung hoàn toàn vào chủ đề này. Về cơ bản, bảo mật lọc gói tin (Packet Filtering) hoạt động bằng cách kiểm tra phần header của mỗi gói tin IP, TCP hoặc UDP. Dựa vào các thông tin như địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích và giao thức sử dụng, hệ thống (thường là firewall hoặc router) sẽ quyết định cho phép (Permit) hoặc từ chối (Block) gói tin đó. Hiểu được cấu trúc của một gói tin là điều kiện tiên quyết. Giáo trình giải thích chi tiết các trường (field) trong header của gói IP như Version, Header Length, Time To Live, Protocol, Source/Destination Address. Việc nắm vững các khái niệm này không chỉ quan trọng đối với bảo mật hệ thống thông tin mà còn là kiến thức nền tảng cho quản trị mạng và bảo mật nói chung.

3.1. Nguyên tắc cơ bản về cấu trúc gói tin TCP UDP và IP

Trước khi xây dựng bộ lọc, sinh viên phải hiểu rõ dữ liệu được đóng gói và truyền đi như thế nào. Giáo trình trình bày chi tiết cấu trúc của ba loại gói tin phổ biến. Gói IP chịu trách nhiệm định tuyến từ máy đến máy. Gói TCP đảm bảo truyền dữ liệu tin cậy, có cơ chế bắt tay ba bước. Gói UDP thì ngược lại, truyền dữ liệu không cần kết nối, nhanh nhưng không đảm bảo. Mỗi loại gói tin có phần header chứa các thông tin quan trọng để bộ lọc có thể phân tích và ra quyết định, tạo nền tảng vững chắc cho việc học cybersecurity for college.

3.2. Các bước xây dựng luật Bảo Mật trong IPSEC cho hệ cao đẳng

Giáo trình cung cấp một hướng dẫn thực hành chi tiết để xây dựng các quy tắc bảo mật sử dụng IPSEC trên Windows. Quy trình gồm ba bước chính. Bước 1 là xác định bộ lọc gói tin (IP Filter List), nơi định nghĩa các tiêu chí cho luồng dữ liệu cần kiểm soát (ví dụ: tất cả traffic từ một IP cụ thể đến cổng 80). Bước 2 là xác định hành động của bộ lọc (Filter Action), bao gồm "Permit" (cho phép), "Block" (chặn), và "Negotiate security" (mã hóa). Bước 3 là xây dựng luật (Rule) bằng cách kết hợp một bộ lọc với một hành động tương ứng. Hướng dẫn này là một phần quan trọng của tài liệu an ninh mạng thực hành.

IV. Bí quyết quản trị mạng và bảo mật với giao thức IPSEC hiệu quả

IPSEC (Internet Protocol Security) là một bộ giao thức bắt buộc trong IPv6 và tùy chọn trong IPv4, được thiết kế để cung cấp cơ chế bảo mật mạnh mẽ ở tầng mạng. Chương 3 của giáo trình đi sâu vào kiến trúc và cách triển khai IPSEC. Không giống như SSL hay TLS hoạt động ở các tầng trên, IPSEC bảo vệ toàn bộ gói tin IP, giúp nó trở nên minh bạch với các ứng dụng. Điều này có nghĩa là các ứng dụng không cần phải sửa đổi mã nguồn để được bảo mật bởi IPSEC. Giao thức này cung cấp bốn dịch vụ bảo mật chính: mã hóa dữ liệu, đảm bảo tính toàn vẹn, xác thực các bên giao tiếp, và chống tấn công phát lại (replay attacks). Đây là một công cụ cực kỳ mạnh mẽ trong lĩnh vực quản trị mạng và bảo mật. Việc triển khai IPSEC yêu cầu sự hiểu biết về Security Association (SA), Security Parameter Index (SPI) và các thuật toán mã hóa như AES, 3DES. Các slide bài giảng an ninh mạng CĐ GTVT 1 thường minh họa chi tiết các khái niệm này để sinh viên dễ hình dung và áp dụng vào thực tế.

4.1. Cấu trúc bảo mật và các mode hoạt động của IPsec

IPSEC hoạt động ở hai chế độ chính: Transport Mode và Tunnel Mode. Transport Mode chỉ mã hóa và/hoặc xác thực phần dữ liệu (payload) của gói tin, trong khi phần header IP gốc vẫn được giữ nguyên. Chế độ này thường được sử dụng cho giao tiếp giữa hai máy chủ (end-to-end). Ngược lại, Tunnel Mode mã hóa toàn bộ gói tin IP gốc (cả header và payload) rồi đóng gói nó vào một gói tin IP mới. Chế độ này lý tưởng cho việc tạo các mạng riêng ảo (VPN) giữa hai mạng (site-to-site) hoặc giữa một máy khách và một mạng (host-to-site). Việc lựa chọn mode hoạt động phù hợp là yếu tố then chốt trong an toàn thông tin.

4.2. Tìm hiểu Authentication Header AH và ESP trong an toàn thông tin

IPSEC sử dụng hai giao thức chính để cung cấp bảo mật: Authentication Header (AH) và Encapsulating Security Payload (ESP). AH (giao thức số 51) cung cấp tính toàn vẹn dữ liệu và xác thực nguồn gốc nhưng không mã hóa dữ liệu. Nó bảo vệ gói tin khỏi bị thay đổi trên đường truyền. ESP (giao thức số 50) cung cấp cả ba dịch vụ: bảo mật (mã hóa), tính toàn vẹn và xác thực. ESP linh hoạt hơn và được sử dụng phổ biến hơn trong thực tế. Sinh viên cần phân biệt rõ chức năng của AH và ESP để thiết kế giải pháp bảo mật hệ thống thông tin tối ưu.

4.3. Nguyên tắc cơ bản về mật mã học và quản lý khóa

Nền tảng của IPSEC là các thuật toán mật mã học cơ bản. Giáo trình giới thiệu về khái niệm cặp khóa Công khai - Riêng tư (Public-Private Key). Một thông điệp được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa riêng tư tương ứng và ngược lại. Quá trình trao đổi và quản lý các khóa này được thực hiện thông qua giao thức IKE (Internet Key Exchange). Việc hiểu rõ cơ chế hoạt động của mã hóa bất đối xứng và cách IKE thiết lập các liên kết bảo mật (Security Associations) là kiến thức chuyên sâu, giúp sinh viên vượt qua các yêu cầu cơ bản của chương trình đào tạo tin học ứng dụng.

V. Ứng dụng NAT trong chương trình đào tạo tin học ứng dụng CĐ GTVT

NAT (Network Address Translation) là một kỹ thuật được trình bày trong Chương 4 của giáo trình, đóng vai trò quan trọng trong việc giải quyết vấn đề thiếu hụt địa chỉ IPv4 và tăng cường một lớp bảo mật cơ bản. Về bản chất, NAT cho phép nhiều máy tính trong một mạng cục bộ (LAN) sử dụng chung một địa chỉ IP công cộng duy nhất để truy cập Internet. Khi một máy tính trong mạng LAN gửi một gói tin ra ngoài, thiết bị NAT (thường là router) sẽ thay thế địa chỉ IP nguồn riêng tư bằng địa chỉ IP công cộng của nó. Nó cũng ghi lại thông tin này vào một bảng phiên (session table). Khi nhận được gói tin phản hồi, NAT sẽ dựa vào bảng phiên để chuyển tiếp gói tin về đúng máy tính trong mạng LAN. Kỹ thuật này giúp che giấu cấu trúc mạng nội bộ khỏi thế giới bên ngoài, gây khó khăn cho kẻ tấn công khi muốn nhắm mục tiêu trực tiếp vào một máy tính cụ thể. Đối với sinh viên ngành tin học ứng dụng, hiểu và triển khai được NAT là một kỹ năng thực tế cần thiết, thường được yêu cầu trong các công việc quản trị mạng và bảo mật.

5.1. Nguyên lý hoạt động của Network Address Translation NAT

Nguyên lý của NAT xoay quanh việc ánh xạ địa chỉ và cổng. Thiết bị NAT hoạt động như một router trung gian. Nó duy trì một bảng trạng thái để theo dõi các kết nối đi ra. Mỗi kết nối được xác định bởi một bộ năm thông tin (tuple): địa chỉ IP nguồn, cổng nguồn, địa chỉ IP đích, cổng đích, và giao thức. Khi chuyển đổi địa chỉ, NAT có thể chỉ thay đổi địa chỉ IP (Static NAT), hoặc thay đổi cả địa chỉ IP và cổng (Dynamic NAT hoặc PAT - Port Address Translation). PAT là hình thức phổ biến nhất, cho phép hàng nghìn máy nội bộ chia sẻ một IP công cộng duy nhất.

5.2. Hướng dẫn triển khai dịch vụ NAT trên hệ thống Windows Server

Giáo trình cung cấp hướng dẫn từng bước để cấu hình NAT trên Windows Server thông qua dịch vụ Routing and Remote Access (RRAS). Các bước chính bao gồm: khởi động dịch vụ, chọn giao tiếp mạng kết nối với Internet (public interface) và giao tiếp mạng kết nối với mạng nội bộ (private interface). Sau khi dịch vụ được kích hoạt, quản trị viên có thể cấu hình các tùy chọn bảo mật cơ bản ngay trên giao tiếp Internet, chẳng hạn như bật firewall tích hợp. Đây là một bài thực hành hữu ích, giúp sinh viên áp dụng lý thuyết bảo mật thông tin hệ cao đẳng vào môi trường thực tế.

VI. Tầm quan trọng của giáo trình và tuân thủ Luật An ninh mạng VN

Hoàn thành giáo trình an ninh mạng nghề tin học ứng dụng trình độ cao đẳng CĐ GTVT Trung ương I không chỉ là việc tích lũy tín chỉ mà còn là trang bị hành trang thiết yếu cho sự nghiệp trong kỷ nguyên số. Kiến thức và kỹ năng được cung cấp giúp sinh viên có khả năng bảo vệ tài sản thông tin quý giá của cá nhân và tổ chức. Các khái niệm từ tổng quan như AAA, các dạng tấn công, đến các kỹ thuật chuyên sâu như lọc gói tin, IPSEC, và NAT đều là những viên gạch nền móng cho bất kỳ chuyên gia an toàn thông tin nào. Hơn nữa, việc học và thực hành an ninh mạng còn phải gắn liền với bối cảnh pháp lý. Tại Việt Nam, Luật an ninh mạng Việt Nam đã có hiệu lực, quy định rõ ràng về các hành vi bị cấm trên không gian mạng, trách nhiệm của các cơ quan, tổ chức và cá nhân trong việc bảo vệ an ninh mạng quốc gia. Việc hiểu biết luật pháp không chỉ giúp các chuyên gia tương lai hoạt động đúng khuôn khổ mà còn nâng cao ý thức trách nhiệm đối với cộng đồng và xã hội.

6.1. Tổng kết kiến thức cốt lõi về bảo mật hệ thống thông tin

Nhìn lại toàn bộ giáo trình, các kiến thức cốt lõi về bảo mật hệ thống thông tin bao gồm: (1) Nhận diện và phân loại các mối đe dọa; (2) Hiểu và triển khai các cơ chế xác thực, phân quyền; (3) Cấu hình các biện pháp phòng thủ ở tầng mạng như Firewall, IPSEC, NAT; (4) Nhận biết và phòng chống các loại mã độc. Đây là bộ kỹ năng toàn diện, giúp sinh viên có thể tự tin đảm nhận các công việc liên quan đến vận hành và bảo vệ hạ tầng công nghệ thông tin.

6.2. Nguồn tài liệu an ninh mạng và slide bài giảng bổ sung

Để củng cố và mở rộng kiến thức, sinh viên nên chủ động tìm kiếm thêm các nguồn tài liệu an ninh mạng uy tín khác. Các trang web như Cybrary, SANS Institute, hoặc các khóa học trên Coursera, Udemy cung cấp kiến thức cập nhật về các xu hướng tấn công và phòng thủ mới nhất. Ngoài ra, việc tham khảo các bộ slide bài giảng an ninh mạng CĐ GTVT 1 từ các khóa trước hoặc từ các giảng viên khác cũng là một cách hiệu quả để có thêm góc nhìn và ví dụ minh họa. Việc học không ngừng nghỉ là chìa khóa để thành công trong lĩnh vực an ninh mạng luôn thay đổi không ngừng.

30/09/2025

Trích đoạn nội dung tài liệu

Chương 1. Tổng quan về an toàn về bảo mật và an toàn mạng Chương 2. Bảo mật với lọc gói tin IP Chương 3. IPSEC Chương 4.

NAT Chương 5. VIRUS Tài liệu được dùng làm giáo trình tham khảo cho GV lên lớp và được dùng làm tài liệu học tập cho các bạn học sinh- sinh viên ngành Tin học ứng dụng trình độ Cao đẳng Trường Cao đẳng GTVT Trung ương I nói riêng và những người muốn xây dựng hệ thống bảo mật thông tin trong mạng máy tính Nhà trường hoặc trong các công ty, doanh nghiệp sử dụng mạng máy tính. Có thể còn nhiều thiếu sót trong trình bày và biên soạn do khả năng, trình độ, những người biên soạn mạnh dạn giới thiệu giáo trình này và mong nhận được sự góp ý của bạn đọc, để giáo trình ngày càng hoàn thiện hơn. Xin chân thành cảm ơn.! NHÓM BIÊN SOẠN MỤC LỤC CHUONG 1: TONG QUAN VE BAO MAT VA AN TOAN MANG 1.

Tổng quan về an toàn bao mat Mang. Giới thiệu về AAA: (Access Control, Authentication và Auditing): 1. Điều khiển truy cập (Access Control):. Các dạng tân công.

Minh hoạ khái quát một qui trình tân công 2. Tấn công chủ động:. Tấn công thụ động: 2. Malicous Code Attacks:.

Các phương pháp phòng chống 3. Giới thiệu công cụ Essential NetTools:. Giới thiệu công cụ Microsoft Baseline Security Analyzer 3. Sử dụng công cụ Tenable NeWT Scanner: 3.

Xây dựng Firewall để hạn chế tắn công: CHƯƠNG 2: BẢO MẬT VỚI LỌC GÓI IP. Bảo mật với Lọc gói 2. Khái quát về lọc gói 2. Các bước đề xây dựng luật Bảo Mật trong IPSEC: .33 Chương 3: IPSEC (Internet protocol security).

Cấu trúc bảo mật. Thiết kế theo yêu cầu. Implementations - thực hiện. CHƯƠNG 4: NAT (Network Address Translation) 1.

Mô hình mạng của dịch vụ Nat 3. Nguyên lý hoạt động của NAT. Triển khai dịch vụ Nat.3 Đặc Điểm Của B-Virus:.4 Đặc Điêm Của F-Virus:.1 Cài Đặt Chương Trinh Symantec Antivirus Server (Server Intall): .2 Cai Dat Chuong Trinh Symantec System Center:. Cai Dat Symantec Antivirus Client : TAI LIEU THAM KHAO CHUONG 1: TONG QUAN VE BAO MAT VA AN TOAN MANG Mục tiêu: Sau khi học xong chương này, sinh viên có khả năng: - Trình bày đầy đủ các nội dung về an toàn bảo mật mạng; các dạng tắn công và các phương pháp bảo mật trên mạng; - Ghi nhớ và Hiểu biết về các cách thức tấn công trên mạng, các phương pháp bảo mật trên mạng, các loại xác thực trên mạng một cách chính xác - Rèn luyện tư duy và thái độ học tập nghiêm túc Nội dung: 1.

Tống quan về an toàn bảo mật Mạng 1. Giới thiệu về AAA: (Access Control, Authentication và Auditing): Khi hệ thống mạng được ra đời nhu cầu cần trao đổi tài nguyên được đặt ra và những người sử dụng hệ thống mạng đó được trao đổi tài nguyên với nhau. Sau một khoảng thời gian sử dụng, hệ thống mạng đó ngày càng được mở rộng và số lượng tham gia vào mạng ngày càng tăng, do đó việc thực hiện các chính sách bảo mật, thiết lập các chính sách trong việc truy xuất tài nguyên mạng được đặt ra. Công nghệ thông tin được áp dụng trong nhiều lĩnh vực như thương mại, hàng hải,.

Trong sự phát triển đó “thông tin” là một phần quan trọng nhất. Mọi thiết bị máy tính như (Ram, CPU, Màn hình, Đĩa cứng .) cũng như hạ tầng mang (router, switch, .) được tạo ra đề hỗ trợ việc xử lý, lưu trữ, trình bày, vận chuyền thông tin. Vì vậy việc bảo đảm tính an toàn của đữ liệu được lưu trữ trên máy tính cũng như tính bí mật và toàn vẹn của thông tin được truyền trên mạng có ý nghĩa rất lớn đối với sự tồn tại và phát triển của công nghệ thông tin. Dé hỗ trợ cho việc bảo mật nhằm hạn chế truy cấp dữ liệu của người khác, tránh sự mat mat dir liệu, thuat ngit AAA (Access Control, Authentication va Auditing) da ra doi.

AAA được viết tắc từ: Access Control, Authentication va Auditing. AAA là khái niệm cơ bản của an ninh máy tính và an ninh mạng. Những khái niệm này được dùng để bảo đảm các tính năng bảo mật thông tin, toàn vẹn dữ liệu và tính sẵn sàng của hệ thống. Điều khiển truy cập (Access Control): Điều khiển truy cập là một chính sách, được sự hỗ trợ của phần mềm hay phần cứng được dùng để cho phép hay từ chối truy cập đến tài nguyên, qui định mức độ truy xuất đến tài nguyên.

Có ba mô hình được sử dụng để giải thích cho mô hình điều khiển truy cập: - MAC (Mandatory Access Control) - DAC (Discretionary Access Control) - RBAC (Role Based Access Control) 1.1 MAC (Mandatory Access Control): Mô hình MAC là một mô hình tĩnh sử dụng các quyền hạn truy cập đến tập tin được định nghĩa trước trên hệ thống. Người quản trị hệ thống thiết lập các tham số này và kết hợp chúng với một tài khoản, với nhiều tập tin hay tài nguyên. Mô hình MAC có thể bị hạn chế nhiều. Trong mô hình MAC người quản trị thiết lập việc truy cập và người quản trị cũng là người có thể thay đổi sự truy cấp đó.

Người dùng không thể chia sẽ tài nguyên được trừ khi có một mối quan hệ với tài nguyên đã tồn tại trước. Vi du: Đối với Unix hệ thống qui định một tập tin hay thư mục sẽ về một chủ sở hữu (Owner). Khi đó ta không thể định nghĩa một tập tin hay thư mục thuộc quyền sở hữu của hai hay nhiều người. Quyền tập tin, thu muc trén Windows 2000 (Full control, Write, Read, List folder content.

DAC (Discretionary Access Control): Là tập các quyền truy cập trên một đối tượng mà một người dùng hay một ứng dụng định nghĩa. Mô hình DAC cho phép người dùng chia sẻ tập tin và sử dụng tập tin do người khác chia sẻ. Mô hình DAC thiết lập một danh sách điều khiển truy cập (Access control list) ding để nhận ra người dùng nào được quyên truy cập đến tài nguyên nào. Ngoài ra, mô hình này cho phép người dùng gan hay loại bỏ quyền truy cấp đến mỗi cá nhân hay nhóm dựa trên từng trường hợp cụ thể.

RBAC (Role Based Access Control): Trong RBAC, việc quyết định quyền truy cập dựa trên vai trò của mỗi cá nhân và trách nhiệm của họ trong tổ chức. Quyền hạn dựa trên công việc và phân nhóm người đùng. Tuỳ thuộc vào từng quyền hạn của người dùng mà chúng ta sẽ phân quyền cho phù hợp. Ví dụ: Người quản trị có toàn quyền quản trị trên hệ thống mạng, được quyền thêm, xoá, sữa thông tin trên mạng.

Những nhân viên bình thường trong mạng sẽ chỉ có quyền sử dụng máy tính mà không được phép làm gì cả.3 Xác thực (Authentication): Quá trình dùng để xác nhận một máy tính hay một người dùng cố gắng truy cập đến tài nguyên, cũng như cách thức đăng nhập và sử dụng hệ thống. Quá trình xác thực rất đa dạng, từ cách xác nhận thông thường như kiểm tra tên đăng nhập/ mật khẩu đến việc sử dụng các công nghệ tiên tiến như thể thông minh, thiết bị sinh học để nhận dang người dùng. Username/ Password: Đây là phương thức xác nhận cổ điển và được sử dụng rất phổ biến (do tính năng đơn giản và dễ quản lý). Mỗi người dùng sẽ được xác nhận bằng một tên truy cập và mật khẩu.

Mật khẩu thông thường được lưu trong cơ sở dữ liệu dưới dạng mã hoá hoặc không mã hoá. Tuy nhiên mật khâu có thê đê dàng bị đoán băng các phương pháp vét cạn. Chính sách mật khâu; - Mức độ không an toàn: ít hơn 06 ký tự - Mức độ an toàn trung bình: 08 đến 13 ký tự -_ Mức độ an toàn cao: 14 ký tự Ngoài ra mật khẩu cần tuân theo một số yêu cầu sau: -_ Kết hợp giữa các ký tự hoa và thường - Sử dụng SỐ, ký tự đặc biệt, không sử dụng các từ có trong tự điền. - Khong sit dung thông tin cá nhân để đặt mật khẩu (ngày sinh, số điện thoại, tên người thân.

CHAP: Do điểm yếu của User/ Pass la théng tin đễ dàng bị mắt khi chuyén trên mạng, do đó cần phải có một phương pháp để đảm bảo rằng dữ liệu được truyền thông an roàn :rong quá trình chứng thực. CHAP là một giao thức đáp ứng được yêu cầu trên. CHAP thường được dùng để bảo vệ các thông tin xác nhận và kiểm tra kết nói đến tài nguyên hợp lệ, sử dụng một dãy các thách thức và trả lời được mã hoá. Đây là ngh¡ thức xác nhận truy cập từ xa mà không cần gửi mật khâu qua mạng.

CHAP được sử dụng đề xác định sự hợp lệ bằng cách sử dụng cơ chế bắt tay 3 - Way. Cơ chế này được sử dụng khi kết nối được khởi tạo và được sử dụng nhiều lần để duy trì kết nối. Nơi cần xác nhận sẽ gửi một thông điệp “Challenge” Bên nhận sẽ sử dụng mật khẩu và một hàm băm một chiều để tính ra kết quả và trả lời cho bên cần xác nhận. Bên cần xác nhận sẽ tính toán hàm băm tương ứng và đối chiếu với giá trị trả về.

Nếu giá trị là đúng thì việc xác nhận hợp lệ, ngược lại kết nối sẽ kết thúc. Vào một thời điểm ngẫu nhiên,bên cạnh xác nhận sẽ gửi một Challenge mới để kiểm tra sự hợp lệ của kết nỗi 1. Chứng chỉ (Certificates) Trong cuộc sống chúng ta sử dụng CMND hay hộ chiếu để giao riếp với người khác trong xã hội như sử dụng để đ¿ du lịch, tàu xe. Trong máy tính chúng ta sử dụng chứng chỉ để xác nhận với những máy khác rằng người dùng và máy tính hợp lệ và giúp cho các máy tính truyền thông với nhau được an toàn.

Chứng chỉ điện tử là một dạng dữ liệu số chứa các thông tin dé xác định một thực thể (thực thể có thể là một cá nhân, một server, một thiết bị hay phần mềm. ) Chi tiết về chứng chỉ chúng ta sẽ tham khảo trong các phan sau. Mutual Authentication (Xác nhận lần nhau): Đa số các cơ chế chứng thực đều thực hiện một chiều, khi đó việc xác thực rất dễ bị giả lập va dé bị Hacker tan công bằng phương pháp giả lập cách thức kết nói (như Reply Attack .) Trong thực tế có rất nhiều ứng dụng đòi hỏi cơ chế xác nhận qua lại. ví dụ một người dùng có một tài khoản tại Ngân hàng.

Khi người dùng truy xuất để kiểm tra ngày nạp tiền vào Ngân hàng sẽ kiểm tra tính hợp lệ của Ngân hàng đang thao tác. Nếu thông tin kiểm tra là hợp lệ thì quá trình đăng nhập thành công và người dùng có thé thay đôi thông tin tài khoản của mình.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ