Trong giai đoạn bùng nổ CNTT như hiện nay, các tài nguyên được lưu trữ
trên mạng chính là mảnh đất màu mỡ cho các Hacker tấn công, chiếm quyền truy
cập để thực hiện những hành vi phá hoại, phạm pháp. Đặc biệt trong lĩnh vực tài
chính và ngân hàng. Các thông tin của người dùng chứa đựng số tài khoản, mật
khẩu.... được các Hacker đặc biệt quan tâm, cố gắng chiếm giữ nhằm thực thi
những mục đích xấu của mình. Thông thường các hacker thường sử dụng các kiểu
tấn công sau để ăn cắp thông tin người dùng :
-

Hành động thăm dò (probe)

-

Hành động quét ( scan )

-

Hành động thử vào một tài khoản ( account compromise )

-

Hành động thử vào làm quản trị hệ thống ( root compromise )

-

Hành động thu lượm các gói tin ( packet sniffer )

-

Hành động tấn công và từ chối dịch vụ ( denial of service )

-

Hành động khai thác quyền (Exploitation of trust )

-

Hành động làm giả mã ( malicious code )
+ Hành động thăm dò: Hành động thăm dò được đặc trưng bằng việc thử

truy cập từ xa vào một hệ thống hay sau khi vào được hệ thống thử tìm các thơng
tin của hệ thống mà khơng được phép. Thăm dị thường là kết quả của sự tò mò
hay sự nhầm lẫn khi truy cập mạng. Hậu quả của việc thăm dị có khi rất lớn, nhất
là khi truy cập vào các hệ thống mạng với quyền lớn hay mò ra các tin quan trọng.
+ Hành động quét: Là việc dùng một cơng cụ tự động để thực hiện thăm dị
tìm lỗ hổng an ninh của hệ thống với một số lượng lớn. Hành động quét đôi khi là
kết quả của một lỗi hệ thống hay hỏng một cấu hình dịch vụ. Nhưng cũng có thể là
giai đoạn đầu mà tin tặc dùng để tìm các lỗ hổng an ninh mạng chuẩn bị cho một


cuộc tấn cơng. Người quản trị hệ thống cũng có thể dùng phương pháp quét để
phát hiện các điểm yếu về an ninhan tồn trong hệ thống mạng của mình.
+ Hành động vào một tài khoản : Là hành động dùng một tài khoản khơng
được phép, hành động này có thể gây mất các dữ liệu quan trọng, hành động dùng
trộm dịch vụ, lấy cắp dữ liệu. Người dùng mạng bị tin tặc đánh cắp mật khẩu, nếu
mật khẩu bị mất thì tin tặc có thể làm mọi thứ mà người dùng được phép.
+ Hành động vào quyền quản trị: Là hành động vào một tài khoản có quyền
lớn nhất của hệ thống, do vậy có thể gây ra các hậu quả nghiêm trọng cho hệ
thống. Từ việc thay đổi tồn bộ cấu hình của hệ thống, đến việc cài đặt các công cụ
phá hoại , lấy cắp thông tin, cho đến việc tổ chức các cuộc tấn công mới.
+ Hành động thu lượm các gói tin: Là việc thực hiện chương trình bắt các

gói dữ liệu đang truyền trên mạng do vậy bắt được cả tài khoản người dùng, mật
khẩu và cả các thông tin ở dạng văn bản. Dựa vào các thông tin đã thu lượm được
tin tặc có thể thực hiện tấn cơng hệ thống.
+ Hành động tấn công từ chối dịch vụ: Là ngăn cản không cho người dùng
hợp pháp sử dụng dịch vụ. Tấn công có thể thực hiện bằng nhiều cách, như tạo tìm
và sử dụng bất hợp pháp tất cả các tài nguyên mạng như treo các kết nối, tạo luồng
dữ liệu gây tắc nghẽn tại các cổng kết nối.,....
 Đề xuất chính sách kết nối an ninh bảo mật: An ninh mạng và dữ liệu ngày
này đã trở thành một thách thức lớn đối với bất kì tổ chức nào có hoạt động trên
mạng Internet. Các tài nguyên cần bảo vệ bao gồm:
- Các dịch vụ mạng đang triển khai
- Các thông tin, dữ liệu trong mạng quan trọng đang được lưu giữ hay cần lưu
chuyển
- Các tài nguyên phần cứng hay phần mềm trong hệ thống, để cung ứng cho
những người dùng được cho phép....


Nhìn từ một phía khác thì vấn đề an ninh - an tồn khi kết nối WAN cịn được
thể hiện qua tính bảo mật ( confidentiality ), tính tồn vẹn ( Intergrity) và tính sẵn
dùng (availability) của các tài nguyên phần cứng, phần mềm, dữ liệu và các dịch
vụ của hệ thống mạng.
Vấn đề an ninh - an tồn cịn thể hiện qua mối quan hệ giữa người dùng với hệ
thống mạng và tài nguyên mạng. Các quan hệ này cần xác định, đảm bảo qua
phương thức xác thực( authentication), xác định được phép ( Auhorization) dùng
và bị từ chối (repudiation). Cụ thể:



Tính bảo mật: Đảm bảo cho tài nguyên mạng không bị tiếp xúc, bị sử dụng
bởi những người khơng có thẩm quyền. Chẳng hạn dữ liệu truyền trên mạng

được đảm bảo không bị lấy trộm cần được mã hóa trước khi truyền. Các tài
nguyên đó đảm bảo đều có chủ và được bảo vệ bởi các cơng cụ và cơ chế an
ninh - an tồn.



Tính tồn vẹn: Đảm bảo khơng có việc sử dụng, sửa đổi nếu khơng được
cho phép, ví dụ như lấy hay sửa đổi dữ liệu, cũng như thay đổi cấu hình hệ
thống bởi những người khơng được phép và khơng có quyền. Thơng tin lưu
hay truyền trên mạng và các tệp cấu hình hệ thống luôn được đảm bảo giữ


toàn vẹn. Chúng chỉ được sử đổi và sử dụng bởi những người chủ của nó hay
được cho phép.
Tính sẵn dùng: Tài nguyên trên mạng luôn đảm bảo không thể bị chiếm giữ



bởi người khơng có quyền. Các tài ngun luôn sẵn sàng phục vụ những
người được phép sử dụng. Những người có quyền có thể sử dụng bất cứ khi
nào, lúc nào.
Việc xác thực: Thực hiện xác định người dùng được quyền dùng một tài



ngun nào đó như thơng tin hay tài nguyên phần mềm và phần cứng mạng.
Việc xác thực thường được kết hợp với sự cho phép hay từ chối phục vụ. Xác
thực thường dùng là mật khẩu (passwork) hay căn cước của người dùng như
vân tay ... Sự cho phép xác định người dùng được quyền thực hiện một hành
động nào đó như đọc/ghi một tệp hay chạy chương trình, dùng tài nguyên

phần cứng, gửi hay nhận thư điện tử,... Người dùng thường phải qua giai đoạn
xác thực bằng mât khẩu trước khi được phép khai thác thơng tin hay một tài
ngun nào đó trên mạng.
-

 Đề xuất giải pháp bảo mật tường lửa cho hệ thống mạng: Trên đây là mơ hình hệ
thống an ninh bảo mật đa tầng, với việc sử dụng mơ hình an ninh bảo mật này, hệ
thống của ngân hàng sẽ thực sự được bảo vệ tốt nhất, chịu được các cuộc tấn cơng
từ bên ngồi, bảo vệ được các xâm nhập trái phép từ bên trong. Tổng thể hệ thống
được chia 3 phần bao gồm :

-

LAN cô lập làm vùng đệm giữa mạng nội bộ với mạng bên ngoài ( LAN cô lập
được gọi và vùng phi quân sự hay vùng DMZ)

-

Tường lửa bên trong (core firewall) trong đó có cài bộ lọc gói được đặt giữa DMZ
và mạng LAN

-

Tường lửa bên ngồi có cài đặt bộ lọc gói được đặt giữa DMZ và mạng bên
ngoài.
Các vùng bảo mật được phân chia trên thiết bị:


-


Vùng mạng nội bộ: Là nơi đặt các thiết bị mạng, máy trạm và các trang thiết bị
CNTT của người dùng nội bộ TTDL.

-

Vùng mạng DMZ: Vùng DMZ là một vùng mạng trung lập giữa mạng nội bộ và
mạng Internet, là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất
vào và chấp nhận các rủi ro tấn công từ Internet. Các dịch vụ thường được triển
khai trong vùng DMZ là: máy chủ Web, máy chủ Mail, máy chủ DNS, máy chủ
FTP,…

-

Vùng mạng Server: Vùng mạng Server hay Server Farm, là nơi đặt các máy chủ
không trực tiếp cung cấp dịch vụ cho mạng Internet. Các máy chủ triển khai ở
vùng mạng này thường là Database Server,…

-

Vùng mạng Internet: Cịn gọi là mạng ngồi, kết nối với mạng Internet tồn cầu.
Các tính năng cơ bản cần có của hệ thống Firewall đề xuất:

-

Các thiết bị firewall được đề xuất cần có hiệu năng cao, cũng như khả năng mở
rộng lớn, cần hỗ trợ cả khả năng mở rộng về hiệu năng theo nhu cầu sử dụng.
- Để giải quyết bản chất động của trung tâm dữ liệu ngày nay, kiến trúc giải
pháp trung tâm dữ liệu bảo mật luôn luôn đề cao khả năng mở rộng và mở rộng
động. An ninh không được phép là một điểm nút cổ chai trong các trung tâm dữ
liệu. Các kết nối 10 Gbps đang trở thành tiêu chuẩn cho các kết nối bên trong trung

tâm dữ liệu, và trong tương lai, các liên kết 40 Gbps và 100 Gbps sẽ được phổ biến
hơn trong và giữa các trung tâm dữ liệu.
- Với kiến trúc hiệu quả cao, Firewall có thể phát triển với các yêu cầu của
trung tâm dữ liệu mới, loại bỏ sự cần thiết cho việc nâng cấp thay thế hệ thống mỗi
khi nhu cầu tải tăng cao và bảo vệ đầu tư của ngân hàng.
- Firewall không chỉ là thiết bị kiểm tra an ninh ở lớp network hay lớp
transport như các Firewall thông thường. Firewall phải có khả năng chống trả tấn
cơng tích cực, khả năng chặn các cuộc tấn công chưa biết. Bằng cách chỉ cho phép
các traffic phù hợp với chính sách an ninh được phép qua Firewall, cấm các loại


traffic khác thì phương pháp này đã loại bỏ được các nguy cơ an ninh đã biết hoặc
chưa biết. Tuy nhiên, phương pháp này chỉ kiểm soát được các traffic ở lớp
network, không thể ngăn chặn được các tấn công ở lớp trên vì các tấn cơng này
thỏa mãn các yêu cầu của chính sách an ninh ở lớp network. Đó là lý do yêu cầu
Firewall phải có khả năng nhận diện được lớp Application. Nói rõ hơn là Firewall
phải có khả năng nhận diện sâu và rộng hay Firewall phải có khả năng kiểm tra
rộng hơn nữa các giao thức thơng thường, khả năng tương thích với các giao thức
như instant messaging, chia sẻ file peer-to-peer, và VoIP.
- Khả năng hỗ trợ nhiều mơ hình triển khai khác nhau như routed hay
transparent mode của thiết bị.
- Bảo vệ tấn công: Đôi khi Firewall cho phép 1 lượng traffic đi qua nó mà
khơng có khả năng nhận ra chính traffic này có mang theo tấn cơng. Thực tế này
địi hỏi Firewall phải có khả năng phát hiện và đáp trả các tấn công. Các phương
pháp đáp trả phải bao gồm ln các thuật tốn nhận dạng các tấn cơng chưa biết
như protocol anomaly detection, vulnerability based signatures, heuristics,
statistical anomaly detection, hay các thuật toán tương tự để đáp trả các tấn công,
kể cả tấn công denial-of-service.
- Khả năng lọc nội dung cao cấp: Bao gồm khả năng quét virus của thiết bị
nhằm loại bỏ các tấn công từ file, khả năng anti-spyware và anti-spam. Antispyware nhằm loại bỏ các phần mềm gián điệp như key logger. Anti-spam nhằm

loại bỏ các email không mong muốn và các cuộc tấn công phishing. Cuối cùng là
khả năng lọc web/URL. Phương pháp này tập trung bảo vệ các tấn công trên các
outbound traffic, khác với ba phương pháp lọc nội dung vừa kể trên là bảo vệ các
tấn công trên các inbound traffic, lọc web/URL bảo vệ người dùng khỏi các
website có chứa các mã độc hay ngăn nhân viên truy cập các website không phù
hợp tại nơi công sở trên các outbound traffic.


- Khả năng phân mạng và các vùng an ninh: Là khả năng triển khai an ninh
của thiết bị cho mạng nội bộ của trung tâm tỉnh. Để thực hiện khả năng này, thiết bị
ít nhất cần có nhiều cổng LAN và khả năng tạo VLAN. Khả năng này giúp nhà
quản trị mạng có thể phân người dùng hay nhóm người dùng hay tài nguyên thành
các phân mạng khác nhau rồi sau đó người quản trị mạng xây dựng các chính sách
an ninh để kiểm sốt việc trao đổi dữ liệu giữa các phân mạng này. Cho phép người
quản trị tách mạng thành các phân mạng khác nhau có mức độ tin cậy khác nhau.
Hạn chế phạm vi bị ảnh hưởng trong trường hợp có phân mạng nào bị tấn công.
- Thiết bị Core Firewall cũng cần hỗ trợ các tính năng phân chia thành nhiều
thiết bị logic dạng virtual router, hỗ trợ tách biệt khối xử lý dữ liệu và khối quản trị
giữa các thiết bị logic này, nhằm hỗ trợ tốt hơn khả năng quản lý và bảo vệ các
phân mạng và vùng an ninh cho hệ thống, giúp bảo vệ tối đa lưu lượng giữa các
vùng, tối ưu hóa tài ngun hệ thống.
Đề xuất giải pháp phịng chống xâm nhập trái phép: Với sự thành công của
các hệ thống chuyển tiền điện tử, hệ thống thẻ của Trung tâm xử lý. Cùng với thời
gian và sự phát triển của công nghệ, các kỹ thuật tấn công ngày càng tinh vi hơn
khiến các hệ thống an ninh mạng trở nên mất hiệu qủa. Các hệ thống an ninh mạng
truyền thống thuần túy hiện có của Trung tâm xử lý dựa trên các tường lửa nhằm
kiểm sốt luồng thơng tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các
luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh của Trung tâm
xử lý sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm
vào điểm yếu của hệ thống. Trước các nguy cơ xâm nhập của những kẻ tấn cơng

nhằm tìm kiếm dữ liệu mật hệ thống IPS ra đời để phát hiện, ngăn chặn sự xâm
nhập trái phép của kẻ tấn công thông qua việc kiểm sốt lưu lượng giao thơng của
hệ thống mạng.


Hệ thống phòng chống xâm nhập IPS là một kỹ thuật an ninh được kết hợp các
ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập, có khả nǎng phát
hiện các cuộc tấn cơng và tự động ngǎn chặn các cuộc tấn cơng đó.
Hệ thống phát hiện xâm nhập cho phép bảo vệ hệ thống Trung tâm xử lý khỏi
những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin.
Ngày nay những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã
đặt ra yêu cầu cho các nhà an ninh mạng chuyên nghiệp cẩn phải sử dụng hệ thống
phát hiện xâm nhập vì những đặc tính của hệ thống phát hiện xâm nhập là hữu ích,
bổ sung những điểm yếu của hệ thống khác. IPS có các tính năng nổi trội sau :
• Bảo vệ tính tồn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp
hoặc phá hoại dữ liệu.
• Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ra ngồi. Bảo vệ tính khả
dụng, tức là hệ thống ln sẵn sàng thực hiện yêu cầu truy nhập thông tin của
người dùng hợp pháp.
• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên
của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự
truy nhập thông tin bất hợp pháp.
• Cung cấp thơng tin về sự xâm nhập, đưa ra những chính sách đối phó, khơi
phục, sửa chữa…