XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN
CHO DOANH NGHIỆP
I. Hiện trạng của doang nghiệp
Phân tích điểm yếu của mô hình mạng doang nghiệp như sau
- Sử dụng mô hình workgroup. Không quản lý được người dùng
- Không xây dựng chính sách riêng cho các phòng ban
- Chưa xây dựng được mô hình quản lý các thiết bị
- Hệ thống File Server không mang tính an toàn và bảo mật chưa cao
- Rủi ro mất dữ liệu từ nhân viên
- Không có phần mền antivirus làm hệ thống dễ bị xâm nhập bởi các
phần mền độc hại và virus xâm nhập đánh cắp dữ liệu và gây tê liệt
máy tính.
- Chưa xây dựng hệ thống backup và restore tự động khii máy tính của
công ty gặp sự cố
- Chưa xây dựng được hệ thống chạy song song để máy tính giảm thiểu
tối đa việc an toàn dữ liệu và thông tin cho doanh nghiệp
Máy tính dễ bị xâm nhập bởi các phần mền gián điệp virut. Máy tính của bạn
sẽ không an toàn, dễ mất dự liệu và máy tính không có tính bảo mật cao
Thông tin người dùng dễ bị xâm nhập
Khả năng chống attaker còn yếu
Dễ bị nhiễm các phần mền độc hại
Không kiễm soát được hacker xâm nhập
Tính bảo mật của mô hình chưa cao
Chưa phân mô hình Server – Client để quản lý tất cả các thiết bị, tập tin và
phân quyền truy cập cho từng máy
Chưa xây dựng được mô hình web Server và mail Server
Rủi ro mất dữ liệu khá lớn từ nhân viên
Chưa xây dựng domain dự phòng
Chưa thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong
(Intranet) và mạng Internet.
• Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.

• Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
• Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát nội
dung thông tin lưu chuyển trên mạng.
Phân tích những rủi ro mất mát dữ liệu
Rủi ro mất mát dữ liệu từ Attacker
Phân tích rủi ro mất dữ liệu của mô hình doanh nghiệp
A: Actacker: gồm những người cần ăn cắp hoặc thay đổi nội dung
của dữ liệu gồm có dữ liệu được mã hoá và dữ liệu thô (không mã hoá, dữ
liệu nguyên thuỷ), bằng tất cả mọi phương thức có thể ( gắn thêm thiết bị
đầu cuối , sniffing data trên đường nó đi (The man in middle), lắng nghe ở
ngõ ra , tấn công vào 1 digital certificate )
Một dữ liệu thô khi duy chuyễn trên đường truyền sẽ không được mã hoá do
đó việc The Man in middle "bắt" và thay thế dữ liệu đó bằng 1 dữ liệu khác
nhằm thay đổi nội dung của packet là điều không thể tránh khỏi, và nếu
không xem kỹ thì sẽ rất khó nhận biết hoặc sẽ không thể nhận biết nếu
actacker là một người có thể xem là một chuyên gia máy tính…
+ Một dữ liệu được mã hoá sẽ truyền đi với 1 chuỗi dữ liệu mã hoá kèm với
một key, key này sẽ được tạo ra dựa trên chuổi dữ liệu được mã hoá và có
dung lượng nhỏ hơn nhiều so với dữ liệu ban đầu.( chữ ký điện tử - Digital
signature).
Khi actacker bắt dữ liệu và tìm cách thay đổi nó thì dữ liệu mã hoá và key sẽ
không trùng nhau, khi chuyển đến người nhận họ sẽ dùng chính khoá đó để
so sánh với dữ liệu (dựa trên các thuật toán dùng chung ), nếu dữ liệu bị thay
đổi thì khoá không trùng.
Xác định những rủi ro và những mối đe dọa máy tính qua những giai đoạn
sau:
• Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và
Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ

trực tiếp cho máy tính. Chú ý setup password cho tài khoản built-in
ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password
của tổ chức. Thường thì Chúng ta có thói quen không tốt ở giai đoạn này là
set password null (không đặt pssword).
• Xác lập chính sách bảo mật chuẩn bảo mật cơ bản (baseline security) theo
quy định an toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi máy
tính. Bảo mật cho các máy tính có vai trò đặc biệt.
Ví dụ Web server, Database Server. Căn cứ trên chính sách bảo mật chuẩn,
các quản trị an ninh mạng cần tăng cường hơn nữa các xác lập bảo mật đối
với các Computer đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có
thể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía attackers.
• Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông
thường sẽ update các Service packs, securiry updates ) Đây là điều bắt buộc
để nâng cao hơn nữa bảo mật cơ bản (baseline security) đã được thiết lập.
• Máy tính khi không còn sử dụng hoặc tặng cho người khác cũng cần phải
security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các
thiết bị Media khác để khai thác những thông tin còn sót lại này.
B. Rủi ro mất mát dữ liệu từ Nhân Viên
Những Tầm quan trọng của việc bảo mật cho máy tính .
Những cuộc tấn công từ bên ngoài: Khi một admin cài đặt software trên một
máy tính mới, một Virus có thể lây nhiễm vào Computer trước khi Admin
này cài service pack bảo vệ hệ thống. Virus này sẽ khai thác lỗ hổng đã xác
định, và cài tiếp vào hệ thống một chú Trojan Horse (ví dụ như Bo 2k).
Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biết
rằng máy tính có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệ
thống Mạng của tổ chức.
Hiểm họa từ bên trong: Admin chọn cách cài đặt cho các máy tính của tổ
chức là cài đặt từ xa và không cần phải theo dõi trong suốt quá trình cài,
cách cài đặt này nhanh chóng và tỏ ra rất chuyên nghiệp. Trong suốt quá
trình cài đặt Hệ Điều Hành qua Mạng này, tài khỏan Local administrator của

các máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text (không
mã hóa). Một nhân viên có chút trình độ về hệ thống và mạng, thúc đẩy bởi
những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tóm
thông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password
(nếu admin Mạng đang tiến hành cài đặt qua Mạng cho máy tính của sếp và
password chuyển qua Mạng dưới dạng cleart-text thì nguy to…vì dữ liệu của
các Manager rất quan trọng và hầu hết có giá trị kinh tế ). Đây là một trong
rất nhiều những nguy cơ attack từ bên trong Mạng nội bộ.
Những mối đe dọa phổ biến: Mặc dù những kĩ thuật bảo mật được trang bị
trên các Computer, thế nhưng rủi ro lại đến từ yếu tố con người và những kẽ
hở trong quy trình làm việc với máy tính. Ví dụ như attacker có thể lấy
thông tin từ Đĩa cứng, hoặc truy cập vào máy tính qua các ứng dụng (không
cài đặt các bản vá lỗi), mà nhân viên sử dụng, đặc biệt là những ứng dụng
kết nối với Internet như Chat, Internet Browser, E -mail…
Giải pháp giảm thiểu tối đa các nguy cơ dẫn đến mất mát dữ liệu của Doanh
Nghiệp
Vấn đề bảo mật đã và đang là một đề tài hết sức nóng bỏng. Vì tài liệu rất
quan trọng là cả một tài sản của một tổ chức, do đó bảo mật dữ liệu là vấn đề
được các tổ chức quan tâm hàng đầu. Nếu như một tổ chức yếu kém vể bảo
mật Attacker có thể trực tiếp tấn công thẳng vào hệ thống máy tính và lấy đi
những tài liệu quan trọng của mình. Sau đây là các giải pháp giúp doanh
nghiệp hiểu biết sâu rộng hơn về vấn đề bảo mật hệ thống máy tính của mình.
Hầu hết các loại máy tính nếu không có những kẽ hở thiếu an toàn về vật lý,
thì bản thân hệ điều hành cũng có thể phơi bày những lỗ hổng, tiềm ẩn những
nguy cơ cho attacker xâm nhập tấn công và lấy cắp các tài liệu. Security
Admin phải đảm bảo an toàn và cập nhật đầy đủ các miếng vá lỗi và thiết lập
hệ thống phòng thủ trong suốt quá trình hệ thống mạng đang hoạt động. Xây
dựng hệ thống mạng luôn đảm bảo cung cấp các giải pháp về an ninh hệ
thống theo những cấp độ (tổ chức, điều hành, thương mại, tài chính và về con
người) đúng theo tiêu chuẩn hiện đại (chính sách an ninh, tổ chức, phân loại

và kiểm soát tài nguyên, an ninh nhân sự, an ninh môi trường và vật lý, quản
lý tác nghiệp và truyền thông, kiểm soát truy cập, duy trì và cải tiến, quản lý
liên tục, tính tuân thủ) có thể ảnh hưởng đến an ninh thông tin của doanh
nghiệp nhằm đảm bảo tính :
Tính tin cậy (Confidentiality)
Tính toàn vẹn (Integrity)
Tính sẵn sàng (Availability)
GiảI pháp bảo vệ đa cấp về phần cứng
Lớp Firewall bên ngoài
Lớp an ninh trung gian
Firewall bảo vệ hệ thống máy chủ (serverfarm) - internal firewall
Phần mềm phòng chống Virus cho máy trạm (end-user)
Giải pháp ngăn chặn mất mát dữ liệu (data lost prevention)
Giải pháp an ninh vật lý cho các phòng máy chủ
Hệ thống giám sát và quản trị hệ thống an ninh thông tin
Xây dựng chính sách an ninh cho doanh nghiệp
3. Xây dựng hệ thống cho công ty
Vẽ lại hệ thống tổng thể
1. Mô hình chi tiết An toàn bảo mật cho máy chủ Web Server(Web Security)

Nhiệm vụ của Web Security
Bảo vệ các dịch vụ, bảo vệ Web Server, Database, Source Code
Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho các
hacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó.
Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấn công từ chối dịch vụ, quảng cáo
các website có nội dung không lành mạnh, xoá, thay đổi nội dung các file hay
phần mềm chứa mã nguy hiểm. Bài viết dưới đây được trình bày như những
lời khuyên cho việc đảm bảo an toàn cho các máy chủ Web.
Đặt các Webserver của bạn trong vùng DMZ. Thiết lập firewall của bạn
không cho các kết nối tới Webserver trên toàn bộ các cổng, ngoại trừ cổng 80

(http), cổng 443 (https) và các cổng dịch vụ mà bạn sử dụng.
Loại bỏ toàn bộ các dịch vụ không cần thiết khỏi Webserver của bạn ngay cả
dịch vụ truyền tệp FTP (chỉ giữ lại nếu thật cần thiết). Mỗi dịch vụ không cần
thiết sẽ bị lợi dụng để tấn công hệ thống nếu không có chế độ bảo mật tốt.
Không cho phép quản trị hệ thống từ xa, trừ khi nó được đăng nhập theo kiểu
mật khẩu chỉ sử dụng một lần hay đường kết nối đã được mã hoá.
Giới hạn số người có quyền quản trị hay truy cập mức tối cao (root).
Tạo các log file theo dõi hoạt động của người sử dụng và duy trì các log file
này trong môi trường được mã hoá.
Hệ thống điều khiển log file thông thường được sử dụng cho bất kỳ hoạt động
nào. Cài đặt các bẫy macro để xem các tấn công vào máy chủ. Tạo các macro
chạy liên tục hoặc ít ra có thể kiểm tra tính nguyên vẹn của file passwd và các
file hệ thống khác. Khi các macro kiểm tra một sự thay đổi, chúng nên gửi
một email tới nhà quản lý hệ thống.
Loại bỏ toàn bộ các file không cần thiết khỏi thư mục chứa các file kịch bản
thi hành: /cgi-bin.
Đăng ký và cập nhật định kỳ các bản sửa lỗi mới nhất về an toàn, bảo mật từ
các nhà cung cấp.
Nếu hệ thống phải được quản trị từ xa, đòi hỏi một cơ chế bảo mật như bảo
mật shell, được sử dụng để tạo ra một kết nối bảo mật. Không sử dụng telnet
hay ftp với user là anynomous (đòi hỏi một usernam và password cho việc
truy cập) từ bất cứ site không được chứng thực nào. Tốt hơn, hãy giới hạn số
kết nối trong các hệ thống bảo mật và các hệ thống bên trong mạng Intranet
của bạn.
Chạy webserver trong các thư mục đã được đặt quyền truy cập và quyền sử
dụng, vì vậy chỉ có người quản trị mới có thể truy cập hệ thống thực
Chạy server FTP theo chế độ anonymous (nếu hệ thống cần) trong một thư
mục được đặt quyền truy cập, khác với thư mục được sử dụng bởi webserver.
Thực hiện toàn bộ việc cập nhật từ mạng Intranet. Duy trì trang web ban đầu
trên mỗi server trên hệ thống mạng Intranet và tạo các thay đổi và cập nhật ở

đây; sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL. Nếu
thực hiện điều này hàng giờ, có thể tránh khả năng server treo một thời gian
dài.
Quét Webserver theo định kỳ với các công cụ như ISS hay nmap để tìm kiếm
lỗ hổng bảo mật.
Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần
mềm này cảnh báo các hành động nguy hiểm và bắt các session của chúng lại
để xem Thông tin này có thể giúp bạn lấy được thông tin về cách thức phá
hoại mạng, cũng như mức độ bảo mật trong hệ thống của bạn.
Tuân thủ các quy tắc nhất định nêu trên sẽ giúp cho Webserver được bảo vệ
tốt hơn và người quản trị mạng không còn chịu nỗi đau đầu, lo lắng về vấn đề
an toàn máy chủ web và an toàn thông tin cho toàn bộ hệ thống.
Mô hình chi tiết An toàn bảo mật cho máy chủ Mail Server(Mail Security)
Cấu hình Máy chủ Mail nâng cao (Windows 2003 Server)
Cấu hình Máy chủ Mail nâng cao (Windows 2003 Server)
Cấu hình nhiều mail-server để sử dụng một nơi lưu giữ mail đơn hay một nơi
lưu giữ mail từ xa , bạn phải đang sử dụng một Active Directory integrated
authentication (chứng thực tích hợp Active Directory) hoặc encrypted
password file authentication (chứng thực file mật khẩu được mã hóa).
Mail-server phải ở trong cùng một domain Active Directory như máy tính mà
trên đó nơi lưu giữ mail được cấu hình. Để cấu hình nhiều mail-server có thể
sử dụng một nơi lưu giữ mail đơn hay nơi lưu giữ mail từ xa:
+ Theo chỉ dẫn trợ giúp của Windows Server 2003 để cài đặt các dịch vụ E-
mail trên mỗi máy tính mà bạn muốn sử dụng như là một mail-server. Những
chỉ dẫn này được cung cấp trong mục trợ giúp “To install e-mail services”. Để
xem mục này, nhấn Start, và sau đó nhấn Help and Support. Nhấn Internet
and E-mail Services, nhấn E-mail services và sau đó nhấn POP3 service.
Nhấn How To, Set Up the POP3 Service và sau đó nhấn Install e-mail
services.
+ Trên mỗi mail-server, chọn ‘Active Directory integrated authentication’

hoặc ‘encrypted password file authentication’. Các chỉ dẫn cho thủ tục này
được cung cấp trong mục trợ giúp “Set the authentication method”. Để xem
mục này, nhấn Start sau đó nhấn Help and Support. Nhấn Internet and E-mail
Services, nhấn E-mail services và sau đó nhấn POP3 service. Nhấn How To,
nhấn Set Up the POP3 Service và sau đó nhấn Set the authentication method.
+ Làm bất cứ các thay đổi bổ sung nào cho cấu hình của các mail-server riêng
lẻ như thiết lập mức đăng ký (logging level) hay cổng (port), hay cấu hình
SPA (secure password authentication).
+ Làm theo những chỉ dẫn trong trợ giúp của Windows Server 2003 để cấu
hình một thư mục hay ổ đĩa như một folder dùng chung để làm nơi lưu giữ
mail. Những chỉ dẫn này được cung cấp trong mục trợ giúp "Share a folder or
drive". Để xem mục này, nhấn Start và sau đó nhấn Help and Support. Nhấn
Disks and Data, nhấn Managing Files and Folders, Shared Folders, How To,
Share a folder or drive. + Phụ thuộc vào việc bạn đang sử dụng ‘encrypted
password file authentication’ (chứng thực tệp tin mật khẩu được mã hóa) hay
‘Active Directory integrated authentication’ (chứng thực được tích hợp Active
Directory), làm một trong các bước sau: * Nếu bạn đang sử dụng ‘encrypted
password file authentication’, bạn phải dùng cùng GUID (globally unique
identifier) trên mỗi mail-server. Để làm như vậy, chọn một mail-server, nhận
diện GUID của nó và sau đó cấu hình tất cả các mail-server khác để sử dụng
chung GUID này. GUID được định vị tại: HKEY_LOCAL_MACHINE\
SOFTWARE\microsoft\pop3service\auth\authguid. GUID được hiển thị trong
cột Data. Hoặc nếu bạn nhấn đúp vào khóa (key) authguid, GUID hiển thị
trong cột Value data. Để thay đổi GUID: - Nhấn Start, nhấn Run và sau đó
gõ: regedit
-Vào HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\pop3service\auth\
authguid - Nhấn đúp và khóa authguid và sau đó, trong Value data gõ : GUID
- Sau việc sửa đổi đang ký (registry), bạn phải khởi động lại dịch vụ POP3.
Nhấn Start, nhấn Run, gõ cmd và sau đó nhấn OK.
- Tại dấu nhắc dòng lệnh, gõ: net stop pop3svc - Sau khi dịch vụ đã dừng, tại

dấu nhắc dòng lệnh, gõ : net start pop3svc * Nếu bạn đang sử dụng ‘Active
Directory integrated authentication’, bạn phải chờ replication (bản sao) của
‘Active Directory’ xuất hiện, như vậy tất cả các mail-server có thể truy nhập
vào nơi lưu giữ mail mới. Thời gian replication thay đổi, phụ thuộc vào số
lượng các ‘domain controller’ trong việc triển khai của bạn. Thông tin chi tiết
về ‘Active Directory replication’, xem trong mục trợ giúp của Windows
Server 2003 “Replication overview”.
Để xem mục này, nhấn Start và sau đó nhấn Help and Support. Nhấn Active
Directory, nhấn Concepts, nhấn Understanding Active Directory, nhấn
Understanding Sites and Replication và sau đó nhấn Replication overview.
+ Làm theo những chỉ dẫn trợ giúp trong Windows Server 2003 để cấu hình
mỗi mail-server một nơi lưu giữ mail và sử dụng nơi lưu giữ mới mà bạn đã
tạo. Nếu bạn đã tạo ra một thư mục chia xẻ từ xa như mail root, đường dẫn sẽ
là như sau: \\path\share. Để xem mục trợ giúp cho thủ tục này, nhấn Start và
sau đó nhấn Help and Support, Internet and E-mail Services, E-mail services,
POP3 service, How To, Set Up the POP3 Service, Set the mail store. + Sau
khi thiết lập nơi lưu giữ mail, bạn phải khởi động lại dịch vụ POP3. Nhấn
Start, Run, gõ cmd và sau đó nhấn OK.
+ Tại dấu nhắc dòng lệnh, gõ: net stop pop3svc + Sau khi dịch vụ dừng, tại dấu nhắc dòng
lệnh, gõ: net start pop3svc Để đặt bảo mật (security) và và sự cho phép (permissions) cho
nơi lưu giữ mail : Trên máy tính mà tại đó nơi lưu giữ mail được cấu hình, chạy
Windows Explorer. [item]Nhấn chuột phải trên thư mục hay ổ đĩa chia xẻ mà bạn muốn
sử dụng như một nơi lưu giữ mail và sau đó nhấn Sharing and Security. Kiểm tra lại xem
Share this folder đã được chọn. [item]Trên tab Sharing, nhấn Permissions, nhấn Everyone
và sau đó nhấn Remove. [item]Nhấn Add, nhấn Object Types, chọn Computers và sau đó
nhấn OK. [item]Trong Select Users, Computers, or Groups gõ: Domain Admins; Network
Service; System; và các tên của tất cả mail-server trong sự triển khai của bạn, mỗi tên cách
nhau bởi một dấu chấm phẩy và sau đó nhấn OK. [item]Nhấn Domain Admins và sau đó
nhấn Full Control. [item]Lặp lại bước trước đó cho Network Service, System và mỗi tài
khoản mail-server và sau đó nhấn OK. [item]Trên tab Security, thực hiện lại các bước từ 4-

7. [item]Trên tab Security, nhấn Advanced. [item]Kiểm tra lại tùy chọn Allow inheritable
permissions from the parent to propagate to this object and all child objects. Include these
with entries explicitly defined here được chọn. [item]Chọn Replace permission entries on
all child objects with entries shown here that apply to child objects, OK, Yes khi có dấu
nhắc và sau đó nhấn OK. [item]Tạo các domain e-mail và các mailbox. Để xem mục trợ
giúp của các thủ tục này, nhấn Start và sau đó nhấn Help and Support, Internet and E-mail
Services, E-mail services, POP3 service, How To và thực hiện một trong các bước sau : *
Để xem mục trợ giúp tạo ra các domain e-mail, nhấn Manage Domains và sau đó nhấn
Create a domain. * Để xem mục trợ giúp tạo ra các mailbox, nhấn Manage Mailboxes và
sau đó nhấn Create a mailbox.
Mô hình chi tiết An toàn bảo mật cho máy chủ FTP Server(FTP Security)
Các ứng dụng FTP Client như FileZilla, Cyberduck, WinSCP đang được sử dụng khá
phổ biến và rộng rãi hiện nay để truy cập, upload và download dữ liệu tới web server của
người dùng bằng cách tạo kết nối qua FTP – giao thức File Transfer Protocol với nhiệm vụ
chính là tiếp nhận và xử lý yêu cầu về gửi hoặc nhận dữ liệu, tạo kết nối trực tiếp tới host
lưu trữ. Không giống như HTTP – được thiết kế để chuyển tiếp dữ liệu dạng hyper – text
qua kết nối TCP, thì chuẩn FTP đảm bảo rằng server sẽ phản hồi lại các yêu cầu ngay khi
nhận được tín hiệu từ host. Không chỉ cung cấp khả năng truyền file chính xác và nhanh
chóng, bên cạnh đó là việc bảo mật, cung cấp cho người dùng nhiều tùy chọn hơn trong
quá trình download và upload dữ liệu, và 1 trong những tính năng tiện lợi nhất là Resume.
Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một vài bước cơ bản để thiết
lập hệ thống server FTP cá nhân, qua đó người dùng có thể truy cập từ bất cứ đâu qua ứng
dụng FTP client, cho phép nhiều tài khoản khác nhau upload và download dữ liệu trực tiếp
tới server.
Quá trình thiết lập và cấu hình FTP Server khá phức tạp, nhưng nếu tự tạo được 1 hệ thống
FileZilla FTP Server chúng ta hoàn toàn có thể biến chiếc máy tính sử dụng Windows
thành FTP server, sau đó thiết lập kết nối với nhiều máy tính client khác. Về mặt bản chất,
FileZilla FTP Server là 1 ứng dụng mã nguồn mở miễn phí dành cho hệ điều hành
Windows, hỗ trợ giao thức kết nối bảo mật FTP và FTP qua SSL/TLS tới server. Khi sử
dụng giao thức SSL, chúng ta có thể mã hóa các kết nối giữa các host với nhau để đảm bảo

lượng dữ liệu được truyền tải an toàn, bên cạnh đó thì ứng dụng này còn cho phép người
dùng tùy chọn nhiều địa chỉ và cổng server khác nhau.
FileZilla Server Interface không chỉ cung cấp cho người dùng sự tiện lợi trong quá trình
tạo và quản lý người dùng, mà còn thiết lập quyền đọc hoặc ghi đối với từng tài khoản
khác nhau, do vậy người quản lý sẽ hạn chế được việc truy cập trái phép vào những phần
tài liệu riêng tư. Bên cạnh đó, chúng ta còn có thể tạo Group – được dùng để kết hợp nhiều
tài khoản người dùng có cùng mức phân quyền lại với nhau, và một số thiết lập khác như:
giới hạn server, kích hoạt hoặc không sử dụng tính năng SSL khi người dùng đăng nhập,
tốc độ truyền tải dữ liệu tối đa
Để thực hiện, các bạn hãy tải và cài đặt phần mềm FileZilla tại đây, sau đó khởi động ứng
dụng, nhập địa chỉ localhost (127.0.0.1) trong phần Server Address và mật khẩu trong tại ô
Administration Password, giá trị Port mặc định ở đây là 14147. Nhấn OK:
Như đã đề cập tới ở trên, Group sẽ giúp chúng ta dễ dàng hơn trong việc quản lý nhiều tài
khoản người dùng tương tự nhau. Việc cần làm trước tiên tại đây là tạo mới Group, sau đó
gán từng tài khoản riêng biệt tới nhóm này. Các bạn chọn menu Edit > Groups như hình
dưới:
Bảng điều khiển Groups sẽ hiển thị, trước tiên chúng ta sẽ nhấn Add và nhập tên của nhóm
cần tạo, sau đó kích hoạt quyền truy cập cho các tài khoản bên trong nhóm từ phần Group
Settings.Tiếp theo là việc chỉ định thư mục sẽ được phép chia sẻ với các client, chuyển tới
phần Shared folders từ phía bên trái và chọn thư mục cần chia sẻ để gán tại đây. Sau đó,
chúng ta sẽ chuyển tới bước tiếp theo là gán tài khoản người dùng tới Group:
Từ menu Edit, các bạn chọn Users:
Tương tự như Groups, chúng ta có thể tạo tài khoản người dùng – User và thiết lập mức
phân quyền đọc, ghi tương ứng. Nhấn nút Add, đặt tên cho tài khoản, chọn nhóm tương
ứng từ menu drop – down, sau đó nhấn OK để hoàn tất:
Ở chế độ mặc định, hệ thống sẽ tạo tài khoản người dùng với mật khẩu trống, nhưng nếu
muốn đặt mật khẩu bảo vệ cho User thì các bạn hãy kích hoạt tùy chọn Password trong
phần Account Settings. Tại đây, chúng ta còn có thể thay đổi Group membership, kích hoạt
tùy chọn Bypass userlimit of server và Force SSL for user login:
Nếu không chỉ định bất kỳ thư mục chia sẻ nào trong khi tạo Groups thì có thể gán sau đó.

Chỉ việc chọn Shared folders sau đó nhấn Add từ Shared folders:
Phần Files và Directories cho phép chúng ta xác nhận mức phân quyền đối với các tài
khoản người dùng, bao gồm: đọc, ghi, xóa, liệt kê. Ở chế độ mặc định, chương trình sẽ tự
động gán quyền tới tất cả các thành phần bên trong thư mục được chia sẻ đó. Tuy nhiên,
các bạn có thể tắt bỏ tùy chọn +Subdirs để hạn chế việc truy cập, trong phần Shared Limits
là việc thiết lập tốc độ download và upload tối đa đối với từng tài khoản, tùy từng khoảng
thời gian trong ngày, và trong phần IP Filter chúng ta có thể loại bỏ các địa chỉ IP cố định:
Khi hoàn tất quá trình thiết lập của User, chúng ta sẽ chuyển sang hệ thống client để khởi
tạo kết nối tới server FTP. Nếu muốn truyền tải dữ liệu qua hệ thống mạng local, các bạn
có thể dùng địa chỉ IP của máy server để tạo kết nối từ phía client. Dùng lệnh ipconfig
trong Command Prompt để tìm địa chỉ IP như hình dưới:
Sau đó, mở FileZilla FTP và chọn File > Site Manager, nhập các thông tin cần thiết vào
đây. Nếu máy client được kết nối tới cùng hệ thống mạng, hãy điền địa chỉ IP của máy
server trong phần Host để kết nối, sau đó chọn Normal từ phần Logon Type. Tiếp theo,
nhập tên đăng nhập trong ô User, mật khẩu trong phần Password:
Khi hoàn tất, nhấn nút Access:
FileZilla FTP Server sẽ ghi lại toàn bộ thông tin về dữ liệu nhận được yêu cầu nhận và gửi
đi, bao gồm các địa chỉ kết nối của client, tên đăng nhập, địa chỉ IP, tốc độ truyền tải file:
Bên cạnh đó, các bạn còn có thể chia sẻ địa chỉ IP của server với những client không cùng
trong hệ thống mạng. Để xác định địa chỉ IP để tự động điều chuyển, mở FileZilla Server
Options từ menu chính và chọn thẻ Passive mode settings, kích hoạt tùy chọn Use the
following IP và nhập địa chỉ IP cần chia sẻ. Có thể giữ nguyên tùy chọn nhận địa chỉ IP từ
ip.filezilla-project.org/ip.php hoặc tự thiết lập:
Khi hoàn tất, hệ thống client bên ngoài đã có thể kết nối tới server của bạn và truy cập vào
thư mục chia sẻ. Nếu xảy ra lỗi tại đây thì có thể là do hệ thống Firewall của Windows
hoặc router.
Mô hình chi tiết An toàn bảo mật cho máy chủ IPS/IDS
IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ
thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong
muốn.

Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các
thông tin này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và
cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép
trên.
Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức
hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác
nhau duy nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có
chức năng ngăn chặn kịp thời các hoạt động nguy hại đối với hệ thống. Hệ
thống IPS sử dụng tập luật tương tự như hệ thống IDS.
Phân loại
Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion
Prevention) thường được triển khai trước hoặc sau firewall.
Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bên
trong kể cả firewall, vùng DMZ. Có thể giảm thiểu nguy cơ bị tấn công từ
chối dịch vụ đồi với firewall.
Khi triển khai IPS sau firewall có thể phòng tránh được một số kiểu tấn công
thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết
nối vào bên trong.
Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention)
thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt
động thâm nhập trên các host.
Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự
như các giải pháp antivirus.
Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn có
khả năng phát hiện sự thay đổi các tập tin cấu hình.
Lý do triển khai IPS
Mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh,
điểm yếu khác nhau. Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả
cao. IPS là một trong những thành phần quan trọng trong các giải pháp bảo vệ
hệ thống. Khi triển khai có thể giúp hệ thống:

• Theo dõi các hoạt động bất thường đối với hệ thống.
• Xác định ai đang tác động đến hệ thống và cách thức như thế nào, các
hoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng.
• Tương tác với hệ thống firewall để ngăn chặn kip thời các hoạt động
thâm nhập hệ thống.
Ưu điểm, hạn chế
Ưu điểm:
• Cung cấp giải pháp bảo vệ toàn diện hơn đối với tài nguyên hệ thống.
• Ngăn chặn kịp thời các tấn công đã biết hoặc chưa được biết.
Hạn chế:
• Có thể gây ra tình trạng phát hiện nhầm (faulse positives), có thể không
cho phép các truy cập hợp lệ tới hệ thống.
Thiết kế
Đặt trước firewall:
Là một module trong giải pháp UTM:
Một số tiêu chí triển khai
• Xác định công nghệ IDS/IPS đã, đang hoặc dự định triển khai.
• Xác định các thành phần của IDS/IPS.
• Thiết đặt và cấu hình an toàn cho IDS/IPS.
• Xác định vị trí hợp lý để đặt IDS/IPS.
• Có cơ chế xây dựng, tổ chức, quản lý hệ thống luật (rule).
• Hạn chế thấp nhất các tình huống cảnh báo nhầm (false positive) hoặc
không cảnh báo khi có xâm nhập (false negative).
Xây dựng mô hình Server – Client
Hiện trạng công ty.
1.1 Phòng Giám Đốc
Có kích thước bao gồm 3 Client (1 cho Giám Đốc,1 cho PGĐ, 1 cho Trợ lý).
1.2 Phòng Kinh Doanh
Đặt 8 Client (1cho Trưởng phòng, 1 cho Phó phòng,1 cho trợ lý, 5 cho nhân
viên).

1.3 Phòng Hành Chánh-Nhân Sự
Đặt 6 Client (1 Trưởng phòng,1 phó phòng, 4 nhân viên)
1.4 Phòng Kế Toán
Đặt 4 Client (gồm 1 Trưởng phòng,2 nhân viên, 1 thủ quỷ)
1.5 Phòng Kỹ Thuật
Có kích thước 15x11 m2 đặt 5 Client (1 trưởng phòng,4 nhân viên).
1.6 Phòng Server
Kích thước 11x7 m2 đặt 3 máy tính (1 cho Admin, 2 cho IT) và Server.
Sơ đồ phân quyền hệ thống