ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG


ĐỒ ÁN MÔN XÂY DỰNG CHUẨN CHÍNH SÁCH AN TOÀN
THÔNG TIN TRONG DOANH NGHIỆP
DATA LOSS PREVENTION

Giáo viên hướng dẫn: THS NGUYỄN DUY
Sinh viên thực hiện:
1. VÕ HOÀNG THIỆN 10520416
2. TRƯƠNG NHỰT BÌNH 10520504
3. TRẦN PHÚC DUY 10520512
4. NGUYỄN VĂN ANH 10520568
Lớp: MMTT2010
Khóa: 5
TP. Hồ Chí Minh, tháng 6 năm 2014
MỤC LỤC
1. Tổng quan về đề tài
Data Loss Prevention là một trong những mối đe dọa lớn nhất trong lĩnh vực an toàn thông
tin của doanh nghiệp. Thống kê những phương thức có thể gây mất mát dữ liệu của
Proofpoint vào năm 2010
3
Hiện nay, ở Việt Nam vấn đề này đang được các doanh nghiệp quan tâm. Nhận thức được sức
“nóng” của vấn đề này, chúng ta hãy cùng nghiên cứu và đưa ra giải pháp để khắc phục vấn đề
này.
4
2. Hiện trạng mạng doanh nghiệp
Hiện tại doanh nghiệp có khoảng 100 người dùng. Thông tin chi tiết các dịch vụ chạy trong hệ
thống xem hình bên dưới. Những thông tin chi tiết về hệ thống:

− Quản trị theo mô hình workgroup
− Router Cisco tích hợp firewall
− Không có phần mềm antivirus, firewall chuyên dụng cũng như các chính sách bảo mật
khác.
5
3. Những điểm yếu trong mô hình mạng
− Hệ thống mạng được thiết kế theo mô hình workgroup nên CSDL phân tán, khó quản lý
− Không có firewall chuyên dụng nên dễ bị tấn công DOS, DDOS… để đánh cắp dữ liệu
− Các phòng ban có cùng lớp mạng nên có thể truy cập dữ liệu lẫn nhau. Dễ bị mất mát dữ
liệu
− In ấn tự do, không có sự quản lý tập trung
− Không có phần mềm antivirus nên dễ bị lây nhiễm virus qua các thiết bị di động hoặc
thông qua việc truy cập mạng của nhân viên
− Hệ thống mạng không có tính dự phòng. Khi router chết thì sẽ làm tê liệt hệ thống mạng
− Các máy tính trong môi trường workgroup là ngang hàng với nhau không thể kiểm soát
được truy cập của nhân viên
− Không có chính sách an ninh nào được áp dụng nên nhah viên có thể chép dữ liệu qua
usb hay gởi thông tin ra bên ngoài thông qua internet mà không bị phát hiện
− Hệ thống mạng chỉ sử dụng 1 đường truyền mạng
− Khó mở rộng mô hình mạng
6
4. Phân tích rủi ro mất mát dữ liệu
4.1. Attacker
− Tấn công vào lỗ hổng bảo mật: Hacker lợi dụng các lỗ hổng bảo mật mạng, các giao
thức cũng như các lỗ hổng của hệ điều hành… để tấn công ăn cắp dữ liệu. Ví dụ như
attacker lợi dụng lỗ hổng SQL injection của máy chủ web để tấn công và get cơ sở dữ
liệu trong SQL.
− Tấn công giả mạo: Đây là thủ đoạn của kẻ tấn công nhằm giả dạng một nhân vật đáng
tin cậy để dò la và lấy cắp thông tin, ví dụ như các attacker dùng email tự xưng là các
ngân hàng hoặc tổ chức hợp pháp thường được gởi số lượng lớn. Nó yêu cầu người

nhận cung cấp các thông tin khá nhạy cảm như tên truy cập, mật khẩu, mã đăng ký hoặc
số PIN bằng cách dẫn đến một đường link tới một website nhìn có vẻ hợp pháp, điều đó
giúp cho tên trộm có thể thu thập được những thông tin của quý khách để tiến hành các
giao dịch bất hợp pháp sau đó.
− Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng các phần mềm độc hại,
hoặc các loại virut được tiêm vào các phần mềm trông như vô hại để dụ người sử dụng
nhiễm phải. Chúng có thể ăn cắp thông tin, phá hoại dữ liệu máy tính và lây lan qua
các máy khác.
− Tấn công trực tiếp qua các kết nối vật lí: Bằng cách này hay cách khác kẻ tấn công
tìm cách tiếp cận với mạng nội bộ, chúng có thể dung một số công cụ nghe lén để bắt
các gói tin, phân tích chúng để ăn cắp dữ liệu. Ví dụ như thông tin tài khoản đăng nhập,
chiếm quyền điều khiển của các máy để lấy dữ liệu hoặc tấn công máy chủ…
− Tấn công thăm dò: Attacker giả dạng các công ty về bán sản phẩm tin học để hỏi thăm
nhân viên về một số thông tin của phòng server, có bao nhiêu thiết bị, thiết bị dùng
hãng nào, có firewall hay không… để từ đó làm cơ sở cho tấn công và đánh cắp dữ liệu
4.2. Nhân viên
− Nhân viên có thể gởi những thông tin mật của công ty ra ngoài qua email.
− Truy cập mạng, lướt web vô tình click vào những link lạ hay hình ảnh được chia sẻ có
thể bị dính virus rồi bị đánh cắp thông tin.
− Sử dụng các chương trình chia sẽ file, up dữ liệu lên mạng.
− Sử dụng laptop các nhân trong công việc mà không mã hóa dữ liệu rồi vô tình bị đánh
cắp.
− Sử dụng các thiết bị di động để chép dữ liệu ra bên ngoài hoặc để chép dữ liệu về làm
việc nhưng lại để mất các thiết bị di động này.
7
− Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên khác chép dữ
liệu của mình đem ra bên ngoài.
− Lây nhiễm virus do nhân viên sử dụng USB cắm vào máy tính công ty
− Nhân viên tiết lộ thông tin nội bộ ra bên ngoài trong quá trình sử dụng : skype, yahoo,
điện thoại…

− Nhân viên có thể cài phần mềm nghe lén vào trong máy tính của công ty.
− In tài liệu, photocopy tự do không được quản lý tập trung. Đem tài liệu in, copy ra bên
ngoài
− Dùng điện thoại, camera chụp lại tài liệu của công ty.
8
5. Thiết kế lại hệ thống
5.1. Mô hình tổng thể
− Từ sơ đồ ban đầu của công ty được xây dựng với môi trường Workgroup, không có
firewall chuyên dụng… còn tồn tại nhiều nhược điểm thì công ty yêu cầu cần triển khai
lại hệ thống mới với độ bảo mật cao hơn.
− Dưới đây là mô hình tổng thể được thiết kế lại theo hướng giảm thất thoát dữ liệu và
đảm bảo độ bảo mật cao
5.1.1. Điểm mạnh của mô hình
− Sử dụng mô hình mạng với cấu trúc phân lớp ( 3 lớp):
9
• Lớp Core: Gồm 2 Router có nhiệm vụ cung cấp tối ưu hoá và độ tin cậy trong quá
trình truyền tin với tốc độ rất cao. Lớp Core Layer đáp ứng các vai trò sau: Kiểm
tra Access-list, Mã hoá dữ liệu, Address translation
• Lớp Distribution: Gồm 2 Switch layer 3 có vai trò đáp ứng một số giao tiếp giúp
giảm tải cho lớp Core Layer trong quá trình truyền thông tin trong mạng. Một
chính sách có thể áp dụng các dạng cụ thể sau: Routing updates, Route
summaries, VLAN
• Lớp Access: Lớp truy cập chủ yếu được thiết kế cung cấp các cổng kết nối đến
từng máy trạm trên cùng một mạng, nên thỉnh thoảng nó còn được gọi là Desktop
Layer. Bất cứ các dữ liệu nào của các dịch vụ từ xa (ở các VLAN khác, ở ngoài
vào) đều được xử lý ở lớp Phân Phối
 Mang lại sự thuận tiện trong thiết kế, cụ thể trong triển khai, dễ dàng để quản lý và giải
quyết sự cố. Và cũng đáp ứng được yêu cầu về tính mềm dẻo cho hệ thống mạng.
− Mô hình trên đáp ứng tương đối đầy đủ các yêu cầu kĩ thuật khi thiết kế mạng như:
• Khả năng dự phòng, sẵn sàng được đánh giá rất cao trong mô hình mạng này

 Dự phòng hai nhà cung cấp mạng.
 Các thiết bị,đường dây đều được dự phòng khi xảy ra sự cố.
• Hiệu suất hoạt động của mạng rất ổn định:
 Thiết kế theo mô hình ba lớp nên mỗi tầng có nhiệm vụ riêng đảm bảo
không tầng nào bị quá tải.
 Sử dụng router có tính năng load balancing đảm bảo cân bằng tải khi đi ra
bên ngoài hệ thống.
• Khả năng quản trị:
 Mô hình được thiết kế tập trung: các truy cập bên trong, cũng như ra bên
ngoài đều được kiểm soát bởi các phần mềm bảo mật được cài trên server
cục bộ.
 Vùng DMZ được thiết kế tách biệt với Server nội bộ để đảm bảo tính bảo
mật.
 Khách hàng được thiết kế đường dây wifi riêng biệt để tránh các truy cập
trái phép vào hệ thống.
 Mỗi phòng ban là một vlan riêng đảm bảo các phòng ban không thể truy
cập dữ liệu của nhau và đảm bảo độ bảo mật cho hệ thống mạng
• Khả năng mở rộng của mô hình này rất linh hoạt: do các thiết bị được backup, kết
hợp với tính mềm dẻo của mô hình 3 lớp nên việc mở rộng mô hình rất dễ thực
hiện.
• Mô hình mạng được thiết kế để đảm bảo hệ thống mạng thích ứng với các công
nghệ mới trong tương lai.
10
• Bảo mật:
 Sử dụng 2 firewall UTM tích hợp nhiều tính năng bảo mật tốt.
 Bên trong hệ thống sử dụng các dịch vụ bảo mất tốt nhất hiện nay.
 Các kết nối từ xa được đảm bảo thông qua đường hâm VPN.
5.1.2. Triển khai thiết bị
− Hệ thống sử dụng 2 nhà mạng là FPT và Viettel để đảm bảo không bị gián đoạn hệ
thông mạng

− Hệ thống tường lửa được đặt sau router nhằm bảo vệ vùng DMZ và vùng Server farm
được an toàn. Tường lửa ở đây công ty sử dụng tường lửa của hãng Checkpoint với sản
phẩm UTM-1 130 triển khai ở mức gateway nhằm kiểm soát tất cả lưu lượng mạng ra
và vào. Ngoài ra, thì hệ thống còn xây dựng thêm firewall mềm cũng của hãng
checkpoint với dòng sản phẩm Endpoint Security trên máy Domain Controller nhằm
kiểm soát nhân viên truy cập đầu cuối.
− Vùng DMZ sẽ triển khai hệ thống Web server và Mail server (Mdaemon). Vùng này sẽ
nối trực tiếp với Firewall Checkpoint để kiểm soát mọi lưu lượng ra vào nhằm đảm bảo
an toàn cho vùng DMZ hạn chế tấn công từ bên ngoài.
− Vùng Server farm sẽ triển khai hệ thống File server, Domain Controller, DHCP, DNS
và Server backup. Riêng máy Domain Controller sẽ triển khai winserver 2008 và
EndPoint Security của Checkpoint.
− Mỗi phòng ban là 1 Vlan riêng để đảm bảo dữ liệu của mỗi phòng ba là bảo mât. Nhân
viên của phòng ban này không thể truy cập dữ liệu của phòng ban khác. Mỗi vlan sẽ nối
trực tiếp với Switch layer2, rồi từ switch layer 2 sẽ nối trực tiếp với Switch layer3 ở lớp
Distribution.
− Đối với khách hàng và đối tác của công ty thì chỉ sử dụng được hệ thống wifi của công
ty cấp. hệ thống wifi này sử dụng 1 Vlan riêng tách biệt với hệ thống mạng dây của
công ty.
5.2. Mô hình chi tiết cho web và mail server
• Mô hình web server
11
Web server được xây dựng tách biệt với các vùng khác, được nối trực tiếp với 2 Firewall UTM
nhằm đảo bảo độ an toàn cho web server này.Với mô hình này thì web server đảm bảo được tính
sẵn sàng cao
• Mô hình cho mail server
12
Mail server được xây dựng tách biệt với các vùng khác, được nối trực tiếp với 2 Firewall UTM
nhằm đảo bảo độ an toàn cho mail server này.Với mô hình này thì mail server đảm bảo được tính
sẵn sàng cao

5.3. Giải pháp công nghệ
Để đảm bảo an toàn cho cả hệ thống mạng, công ty đã sử dụng sản phầm tường lửa của hãng
Checkpoint ở mức Gateway và Endpoint. Checkpoint là hãng luôn đi đầu 16 năm liền trong lĩnh
vực tường lửa và 12 năm đi đầu trong lĩnh vực VPN. Sau đây là một số chức năng của dòng sản
phầm này:
• Chức năng của Endpoint Security
[1]
− Full Disk Encryption: Bảo đảm an ninh các ổ đĩa cứng hoàn toàn tự động và ẩn đi
với người dùng cuối. Dùng cơ chế xác thực khởi động (Multi-factor pre-boot
authentication) để định danh người dùng.
− Media Encryption: Cung cấp khả năng mã hóa thiết bị lưu trữ đa phương tiện.
Khả năng kiểm soát Port cho phép quản lí các Port thiết bị đầu cuối, bao gồm khả
năng truy cập vào hoạt đông của Port đó.
− Remote Access: Cung cấp cho người dùng truy cập một cách an ninh và liền lạc
đến mạng hay tài nguyên công ty khi người dùng di chuyển.
13
− Anti-Malware/Program Control: Phát hiện và xóa bỏ hiệu quả malware ở thiết bị
đầu cuối với bộ lọc đơn. Phần mềm kiểm soát chương trình chỉ cho phép các
chương trình hợp pháp và được cho phép chạy trên thiết bị đầu cuối.
− WebCheck: Bảo vệ chống lại các mối đe dọa trên nền web mới nhất bao gồm việc
download, tấn công zero-day. Đưa trình duyệt chạy trên môi trường ảo hóa an
ninh.
− Firewall/Compliance Check: Bảo vệ bên trong và bên ngoài giúp ngăn chặn
malware từ những hệ thống đã bị nhiễm, khóa các cuộc tấn công có mục tiêu và
ngăn chăn các luồng traffic không mong muốn.
• Chức năng của UTM-1 130
[2]
− Firewall : Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức
và dịch vụ với tính năng công nghệ kiểm soát thích ứng và thông minh nhất.
− IPsec VPN: Kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN

Site-to-Site được quản lý truy cập từ xa mềm dẻo.
− IPS: Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao
phủ các nguy cơ tốt nhất
− Web Security: Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo
vệ mạnh nhất chống lại các tấn công tràn bộ đệm.
− URL Filtering: Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs, bảo vệ
người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm.
− Antivirus & Anti-Malware: Bảo vệ diệt virus hàng đầu bao gồm phân tích virus
heuristic, ngăn chặn virus, sâu và các malware khác tại cổng.
− Anti-Spam & Email Security: Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn
spam, bảo vệ các servers và hạn chế tấn công qua email.
• Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint
− Email
• Mã hóa tất cả email khi nhân viên gởi ra ngoài mạng Internet (Dùng tính năng
Anti-Spam & Email Security của UTM-1 130)
• Chống thư rác từ bên ngoài gởi vào Internet (Dùng tính năng Anti-Spam &
Email Security của UTM-1 130)
• Từ chối tất cả email có đính kèm một số file như sau: exe, bat, msi, vbx…
(Dùng tính năng Anti-Spam & Email Security của UTM-1 130)
• Chống các cuộc tấn công DOS và Buffer over flow (Dùng tính năng Anti-Spam
& Email Security của UTM-1 130)
− Web
14
• Chặn web theo thể loại như streaming media, search engine… Hạn chế nhân
viên sử dụng web để tìm kiếm dữ liệu và xem video hay phim (Dùng tính năng
Web Filtering của UTM-1 130)
• Chặn các URL mà người quản trị không muốn nhân viên truy cập vào trong giờ
làm việc (Dùng tính năng Web Filtering của UTM-1 130)
• Bảo vệ an toàn truy cập web (Dùng tính năng Antivirus & Anti Malware của
UTM-1 130)

− File share
• Cấm tải dữ liệu lên mạng bằng giao thức FTP và các trang như mediafire,
dropbox, 4share…(Dùng tính năng Web Security của UTM-1 130)
• Mã hóa tất cả dữ liệu chia sẻ khi chép qua các thiết bị di động (Dùng tính năng
Media Encryption của Endpoint Security)
• Chỉ truy cập dữ liệu theo quyền hạn của mình (Cấp quyền trong Win server
2008 cho user)
− Các thiết bị Desktop/Laptop
• Không được sử dụng laptop trong công ty.
• Mã hóa các dữ liệu trên các ổ đĩa của Desktop (Dùng tính năng Full Disk
Encryption của Endpoint Security).
• Triển khai firewall trên máy Desktop trong công ty để chống lại malware,
virus. Hạn chế lây nhiễm virus qua usb (Dùng tính năng Anti-Malware của
Endpoint Security)
− Thiết bị di động
• Mã hóa tất cả các dữ liệu khi chép vào các thiết bị di động như USB,
CD/DVD… (Dùng tính năng Media Encryption của Endpoint Security)
− Truy cập từ xa (VPN)
• Mã hóa đường truyền khi truy cập từ xa, hạn chế bị hacker tấn công (Dùng tính
năng IPSec VPN)
− Ngăn chặn tấn công
• Với tính năng IPS trên UTM-1 130 sẽ ghi nhận lại thông tin các luồng dữ liệu
đi ra và vào mạng để phân tích sự bất thường và cảnh báo cho quản trị viên.
• Thiết lập các rules để chống lại các cuộc tấn công như DOS, DDOS, Buffer
over flow…
Ngoài ra những chức năng trên thì Checkpoint còn cung cấp một giải pháp nhằm hướng đến giải
pháp chống thất thoát dữ liệu trong công ty với tên gọi là DLP (Data Loss Prevetion). Giải pháp
này được triển khai ở mức gateway trên firewall UTM của Checkpoint.
• Lợi ích của giải DLP
[3]

− Dễ dàng triển khai và quản lý đơn giản
− Chính sách được cấu hình sẵn cho phép phòng chống thất thoát dữ liệu
− Hổ trợ rất nhiều tập tin và các kiểu dữ liệu
15
− Sử dụng công nghệ UserCheck cho phép khắc phục hậu quả trong thời gian thực
− Kiểm tra và kiểm soát dữ liệu ra vào công ty và giữa các phòng ban với nhau
• Tính năng của DLP
− Checkpoint UserCheck: Công nghệ này cảnh báo cho người dùng vi phạm chính
sách của công ty và người dùng phải lập tức khắc phục sự cố. Nếu người dùng cố
tình vi phạm sẽ có thông tin log được gởi về cho nhà quản trị.
− Bảo vệ thông tin nội bộ: DLP kiểm soát toàn bộ thông tin email khi rời khỏi công
ty. Tất cả email khi muốn rời khỏi công ty thì đều phải được chuyển đến DLP
gateway kiểm tra.
− Mã hóa toàn bộ dữ liệu khi đi qua DLP gateway. DLP sẽ giải mã dữ liệu bằng
public key của người gởi để kiểm tra, bảo vệ sau đó mã hóa lại và gởi đến cho
người nhận
− Bảo vệ dữ liệu khi gởi qua mạng như: SMTP, HTTP, FTP
− Fingerprint Sensitive Files: Quét và kiểm tra kho tập tin nhạy cảm khi 1 dữ liệu
được gởi ra bên ngoài. Nếu tập tin nhạy cảm phù hợp với kho dữ liệu thì tập tin đó
sẽ được giữ lại không cho gởi ra bên ngoài
16
− Triển khai nhanh chóng và linh hoạt: Check Point DLP Software Blades có thể
được cài đặt trên bất kỳ Check Point gateway nào. Triển khai dễ dàng và nhanh
chóng, tiết kiệm thời gian và giảm chi phí bằng cách tận dụng cơ sở hạ tầng bảo mật
hiện tại.
17
6. Xây dựng chính sách
6.1. Chính sách bảo mật của tổ chức
6.1.1. Internal: Chính sách nội bộ trong công ty
 Xây dựng được một tài liệu mô tả toàn bộ hệ thống mạng của công ty. Trong tài

liệu này phải đề cập đến các thiết bị , các kết nối giữa các thiết bị, các địa chỉ IP
trên các thiết bị , các giải thuật định tuyến sử dụng trong mạng ….
 Hệ thống mạng phải được bảo mật: Cần phải quản lý chi tiết việc truy cập vào
dịch vụ mạng của các user như: các ứng dụng mạng được phép sử dụng, các trang
web được phép truy cập, thời gian truy cập, ngăn chặn download các định dạng
file cụ thể để tránh làm giảm hiệu năng mạng…. Ngoài ra , phải giám sát được
hiệu suất của hệ thống mạng của công ty , đảm bảo băng thông cho việc sử dụng
quan trọng. Để thực hiện được chính sách trên thì một giải pháp tối ưu đó là sử
dụng hệ thống UTM (Unified Thread Management) và Endpoint Security mà cụ
thể ở đây sử dụng thiết bị của hãng Checkpoint .
 Chính sách đảm bảo an toàn cho vùng DMZ mà cụ thể ở đây là web server và
mail server nhằm hạn chế những cuộc tấn công từ bên ngoài vào như DOS,
DDOS, spam email….
 Chính sách đảm bảo an toàn cho vùng server nội bộ : Các server nội bộ không
public ra ngoài nên tránh được các cuộc tấn công từ bên ngoài nhưng còn những
cuộc tấn công từ bên trong thì sao ? Vì vậy việc phân chia quyền truy cập vào các
server ở đây là khá cần thiết. Trong công ty , các server nội bộ nằm trong một
vùng Vlan riêng biệt nên chỉ cần phân quyền cho phép những người dùng nào có
thể truy cập vào Vlan này
 Sao lưu dữ liệu thường xuyên: Sao lưu dữ liệu thường được thực hiện hàng ngày
cụ thể là từ 16h -17h.
 Quản lý các file cấu hình của các thiết bị trong mạng : các file cấu hình trên
router, switch, access point cần phải được quản lý sao lưu .
6.1.2. External: Chính sách cho những đối tác tới của công ty
 Chính sách cho khách hàng : Các khách hàng khi đến mua hàng chỉ có thể sử
dụng mạng không dây mà công ty cung cấp. Hệ thống này nằm trong một VLAN
riêng biệt gọi là VLAN khách và người dùng trong VLAN này chỉ có thể ra ngoài
internet mà ko được phép truy cập đến các tài nguyên nội bộ của công ty như các
server , các máy tính trong mạng cũng như các máy in, máy fax.
18

 Chính sách cho các đối tác: Đảm bảo được quá trình truyền dữ liệu từ công ty đến
các đối tác tuyệt đối an toàn.
6.2. Chính sách Quản lý tài sản
Tất cả các nhân viên và cá nhân có quyền truy nhập vào hệ thống máy tính trong công ty
phải tuân thủ các chính sách được đề ra ở dưới đây nhằm bảo vệ hệ thống máy tính, mạng
máy tính, sự toàn vẹn dữ liệu và an toàn thông tin của công ty.
6.2.1. Trách nhiệm với tài sản
6.2.1.1. Danh mục tài sản
− Tài sản của công ty bao gồm các nhóm danh mục chính sau:
• Server
• Desktop
• Accessories: Printer, Photocopy, Fax, IP camera
• Network device: Router, Switch, Firewall, Access Point
• Memory Device (USB, Tape…)
• Software
• Đối với các thiết bị lưu trữ sẽ được theo dõi đặc biệt
• HDD
• Tape (Chứa dữ liệu, backup)
• Các đĩa CD/DVD, đĩa mềm, usb
6.2.1.2. Sở hữu và sử dụng tài sản
− Các cá nhân làm việc ở ví trí chứa thiết bị có trách nhiệm bảo quản, giám sát, bảo
vệ các thiết bị đó.
− Các cá nhân được ủy quyền sử dụng các thiết bị di động, lưu trữ có trách nhiệm
bảo quản các thiết bị đó. Không sử dụng các thiết bị đó lưu trữ các thông tin nội
bộ, nhạy cảm của công ty mà không có sự cho phép.
− Di chuyển tài sản: Phải điền mẫu và được xác nhận  cập nhật vào CSDL
• Số serial
• Tên
• Vị trí hiện tại
• Vị trí mới

• Chủ sở hữu
19
6.2.2. Thông tin
6.2.2.1. Phân loại thông tin
− Thông tin bình thường: Là những thông tin trao đổi bình thường nhân viên,
khách hàng trang đổi trên mạng (Web, liên lạc email, IM…., khách hàng sử dụng
wifi)
− Thông tin nhạy cảm: Là thông tin liên quan đến hoạt động kinh doanh (PR, chăm
sóc khách hàng), log file, trao đổi file, giấy tờ trong nội bộ công ty.
− Thông tin mật: Là thông tin liên quan đến tài khoản – mật khẩu, thông tin về tài
chính, giao dịch của công ty, backup data.
− Thông tin tuyệt mật: Thông tin về định hướng, chiến lược kinh doanh của công
ty
6.2.2.2. Chính sách
− Đánh nhãn các thiết bị lưu trữ, tài liệu trên giấy tờ: Tùy nhãn của chúng mà được
lưu trữ trong những khu vực khác nhau.
• Thông tin nhạy cảm: Do trưởng phòng, nhân viên được ủy quyền lưu trữ.
• Thông tin bảo mật: Phó giám đốc trở lên hoặc người được ủy quyền lưu
trữ.
• Thông tin tuyệt mật: Giám đốc trở hoặc người được ủy quyền lưu trữ.
− Sử dụng, truy xuất các thiết bị lưu trữ: USB, Đĩa Mềm, CD/DVD, Băng từ
• Thông tin bình thường: Nhân viên có thể tùy nghi sử dụng
• Thông tin nhay cảm: Cần phải có sự đồng ý của cấp trên của nhân viên mới
có thể sử dụng hay mang ra ngoài.
• Thông tin mật: Cần được xác nhận của Phó Giám đốc trở lên.
• Thông tin tuyệt mật: Chỉ có Giám đốc trở lên mới có thể quyết định.
− Hủy dữ liệu trong các thiết bị: USB, Đĩa Mềm, CD, Băng Từ, HDD
• Thông tin bình thường: Xóa bình thường, không bắt buộc phải format.
• Thông tin nhạy cảm: Thiết bị lưu trữ cần được format lại.
• Thông tin mật: Phải ghi đè nhiều lần đảm bảo không thể khôi phục lại.

• Thông tin mật: Hủy cả dữ liệu lẫn thiết bị.
6.3. Chính sách Quản lý con người
− Mỗi nhân viên trong công ty sẽ được cấp một tài khoản để đăng nhập vào hệ thống máy
tính của công ty. Password để đăng nhập vào tài khoản máy tính của công ty phải có độ
phức tạp (bao gồm chữ in hoa, các ký tự đặt biệt… do các nhân viên IT cấp) và các
nhân viên phải tự bảo quản không để mất mát, rò rỉ. Nếu bị mất hoặc bị lộ phải báo với
nhân viên IT để giải quyết. Nếu nhân viên không còn làm việc tại công ty nữa thì tài
khoản của nhân viên đó sẽ bị xóa khỏi hệ thống
20
− Tất cả thành viên trong công ty tuyệt đối không được chép dữ liệu của công ty đem ra
ngoài với mọi hình thực. Nếu phát hiện thì tùy vào mức độ nặng nhẹ mà sẽ có hình phạt
tương xứng (kỷ luật, cảnh cáo, sa thải, truy tố trách nhiệm trước pháp luật). Trường hợp
muốn chép dữ liệu chp khách hàng thì phải được sự đồng ý của Trường phòng trở lên
mới được phép chép dữ liệu.
− Mỗi nhân viên phải có nghĩa vụ và trách nhiệm bảo quản các thiết bị được công ty ủy
quyền sử dụng, nếu có vấn đề xảy ra phải báo ngay với bộ phận IT để kịp thời xử lý.
− Các nhân viên không được cài đặt phần mềm không rõ nguồn gốc hoặc không có bản
quyền ngoài các phần mềm phục vụ công việc được cài sẵn trên máy.
− Mỗi nhân viên nghiêm túc thực hiện các chính sách của công ty đưa ra nếu vi phạm
phải chịu trách nhiệm (khiển trách, trừ lương hoặc sa thải…)
• Nhân viên kinh doanh làm bên ngoài công ty
 Được cấp laptop để tiện làm việc bên ngoài. Laptop được cài đặt
các phần mềm bản quyền cần thiết để phục vụ cho công việc (MS office,
chương trình VPN…)
 Mã hóa tất cả dữ liệu ổ cứng trên máy laptop để hạn chế bị đánh
cắp dữ liệu và nhân viên phải chịu trách nhiệm với dữ liệu của mình nếu
chép cho người khác.
 Phải chịu trách nhiệm bảo quản tài sản của công ty, chỉ sử dụng
cho công việc không được cho mượn hay cài thêm phần mềm lạ không
rõ nguồn gốc vào máy tính.

 Định kỳ hằng tháng đem đến phòng IT để bảo dưỡng, kiểm tra quét
virus, nâng cấp phần mềm…
• Nhân viên các phòng ban
 Chỉ được phép sử dụng máy tính desktop phục vụ cho công việc
trong giờ hành chánh không sử dụng cho các mục đích khác (như chat,
xem phim…).
 Chỉ được truy cập vào tài nguyên phòng ban của mình không cố ý
truy cập tài nguyên mà không có thẩm quyền.
 Nhân viên bình thường chỉ được log on vào tài khoản trong giờ
hành chính, ngoài thời gian làm việc thì nhân viên không thể log on vào
máy tính được.
• Nhân viên thử việc
21
 Được áp dụng giống như nhân viên các phòng ban, cấp user cho phép sử
dụng những thông tin của phòng ban mình công tác, không được phép
truy cập những thông tin của các phòng ban khác.
• Nhân viên đã nghỉ việc
 Xóa ngay account được cấp
• Nhân viên quản trị phòng IT
 Có trách nhiệm giám sát, theo dõi hoạt động của các nhân viên khác trong
công ty sử dụng máy tính vào công việc mà không làm chuyện riêng.
Đảm bảo dữ liệu của công ty được bảo mật tránh thất thoát ra ngoài.
 Khi xảy ra sự cố phải báo cáo tình hình và mức độ thiệt hại cho cấp trên
được biết. Phải khắc phục sự cố với thời gian nhanh nhất có thể để đảm
bảo hệ thống hoạt động thông suốt.
 Chịu sự quản lý và nghiêm chỉnh chấp hành yêu cầu của cấp trên.
 Quản lý các tài nguyên của công ty, chịu trách nhiệm backup dữ liệu của
công ty theo định kỳ
 Nếu nhân viên IT nghỉ làm việc tại công ty phải thông báo trước với cấp
công ty (theo luật lao động Việt Nam) và bàn giao toàn bộ công việc

hiện thời đang làm và các thiết bị do mình quản lý cho nhân viên khác
có cùng chuyên môn hoặc cho cấp trên
• Ban lãnh đạo giám đốc
 Có toàn quyển quyết định các chính sách an ninh thông tin cho công ty
 Không được truy xuất vào dữ liệu, tài nguyên nội bộ của các nhân viên
khác ngoại trừ những trường hợp đặt biệt.
 Có trách nhiệm tự bảo quản tài nguyên của công ty, các tài liệu cá nhân
tránh để xảy ra tình trạng thất thoát dữ liệu.
 Có trách nhiệm giám sát các nhân viên cấp dưới
6.4. Chính sách quản lý physical
6.4.1. Chính sách quản lý khu vực
− Mục tiêu của chính sách
• Ngăn chặn các truy cập trái phép về vật lý, gây thiệt hại cho các thiết bị.
• Những thiết bị chứa dữ liệu quan trọng, nhạy cảm của tổ chức phải được
đặt trong vùng bảo mật có các cơ chế quản lý về an ninh, kiểm soát việc ra
vào ở các khu vực đó.
22
• Xác định rõ những nguy cơ, rủi ro có thể xảy ra từ đó có những quy định cụ
thể phù hợp.
− Các giải pháp đề xuất cụ thể
• Đầu tiên về quản lý theo khu vực thì vấn đề đầu tiên là tách biệt về không
gian, dành riêng 1 phòng để đặt các thiết bị quan trọng như server farm, các
thiết bị đắt tiền.
• Quản lý, giám sát việc ra vào tại những khu vực riêng biệt này. Chỉ cho
phép những người có trách nhiệm liên quan mới được phép vào. Mỗi lần ra
vào phải có ghi chép thời gian, lý do (bảo trì, sữa chữa,…). Lắp đặt các
camera theo dõi và các hệ thống báo động để tránh việc đột nhập trái phép.
• Lắp đặt máy quét vân tay kiểm tra trước khi vào nếu thấy cần mức độ bảo
mật cao hơn.
• Quản lý ra vào theo thời gian cụ thể như trong giờ hành chính thì mới có

thể vào, ngoài giờ hành chính, mọi hành vi ra vào những khu vực trên phải
có sự dám sát của người đại diện cao nhất trong tổ chức hoặc người được
ủy quyền.
• Bảo vệ khu vực khỏi những nguy cơ như cháy nổ, ngập nước. Các chất dễ
bắt lửa, gây cháy nổ phải để cách xa các khu vực được bảo vệ này.
• Các thiết bị dự phòng phải đặt cách xa nhau để tránh hư hỏng hàng loạt khi
xảy ra sự cố.
• Trong các khu vực cần có các hệ thống báo cháy, bình cứu hỏa.
• Vì trong công ty đã phân rõ các phòng ban nên việc nhân viên thuộc phòng
ban này vào phòng ban kia là không cần thiết.
• Việc quản lý về khu vực là hết sức cần thiết, tránh được các nguy cơ gây
tổn hại đến tài sản, tài nguyên của công ty nên chính sách áp dụng cho vấn
đề này phải ở mức cao, cụ thể nếu nhân viên vi phạm có thể bị kỷ luật.
6.4.2. Chính sách về quản lý thiết bị
− Mục tiêu của chính sách
• Tránh hư hỏng, mất mát thiết bị, tài sản của công ty gây nên sự gián đoạn
trong hoạt động của công ty.
• Thiết bị phải tránh được các mối đe dọa vật lý và môi trường
• Bảo vệ thiết bị là cần thiết để giảm nguy cơ truy cập trái phép vào tài
nguyên
− Các giải pháp cụ thể
• Các thiết bị, máy tính dùng riêng cho các nhân viên đánh mã số để quản lý
và giao trách nhiệm cho người sử dụng nó. Phải đền bù cho các thiết bị nếu
bị hư hỏng.
23
• Quy định rõ ràng về việc không thay đổi cấu hình của các máy tính và cài
đặt những phần mềm không được phép.
• Quy định không được ăn uống tại bàn làm việc
• Thiết bị phải được duy trì hoạt động trong điều kiện nhiệt độ thấp, lắp đặt
các hệ thống làm mát, tản nhiệt giúp thiết bị nâng cao tuổi thọ và hiệu năng

làm việc cao hơn.
• Lắp đặt các hệ thống chống sét cho tòa nhà, để đảm bảo an toàn cho thiết
bị.
• Sử dụng hệ thống ổn áp, lưu điện và máy phát điện giúp cho hệ thống
server và các thiết bị khác không bị ảnh hưởng khi có sự cố về điện.
• Thuê nhiều đường điện của nhiều khu vực để đảm bảo thiết bị có thể hoạt
động tốt.
• Cáp điện và cáp thông tin phải được tách riêng để tránh nhiễu và các sự cố
xảy ra.
• Các loại cáp phải được gắn nhãn tên của các thiết bị mà nó được nối tới
tránh gây nhầm lẫn giữa các thiết bị vì có thể gây hư hại tới các thiết bị.
• Sử dụng ống bảo vệ để đi cáp đối với các thiệt bị cần có bảo mật cao như
cáp đến các server
• Các thiết bị đặc biệt như router , swicth, acess point , server thì chỉ có
những nhân viên IT được phép mới có quyền truy cập vào để cấu hình và
thay đổi
• Thiết bị phải được kiểm tra bảo trì định kỳ hàng tuần.
• Chỉ có nhân viên bảo trì mới được thực hiện việc đó.
• Ghi chép lại tình trạng của thiết bị để theo dõi và có cách khắc phục nếu có
xảy ra lỗi
• Trong trường hợp nhân viên bảo trì từ ngoài tổ chức thì cần có người giám
sát quá trình này.
• Thực hiện thu hồi các thiết bị cấp cho nhân viên trong trường hợp sử dụng
sai mục đích.
• Có hình thức nhắc nhở, cảnh cáo, kỷ luật đối với từng mức độ vi phạm
6.5. Chính sách quản lý truy cập
− Mục tiêu của chính sách
• Kiểm soát thông tin truy cập.
• Đảm bảo người truy cập có quyền, tránh truy cập trái phép.
• Áp đặt trách nhiệm cho người dùng với các tài khoản truy cập để tránh việc

mất mát thông tin.
• Ngăn chặn sử dụng trái phép các dịch vụ mạng từ bên trong lẫn bên ngoài
công ty
24
• Kiểm soát truy cập trái phép vào hệ điều hành.
• Thiết lập các quyền được phép cho người dùng trên các ứng dụng.
• Đảm bảo an toàn khi truy cập từ xa qua các thiết bị di động.
− Giải pháp cụ thể
• Quy định rõ quy tắc kiểm soát truy cập và quyền cho từng người và từng
nhóm. Tạo các chính sách cho các user và OU trong domain theo từng
phòng ban cụ thể. Qua đó đưa ra các mức độ cảnh cáo đối với các user cố
tình sai quy định.
• Xác định quyền cụ thể trên file server cho các phòng ban thông qua NTFS
permission.
• Quy định phòng ban này không được phép truy cập vào tài nguyên, tài liệu
của phòng ban khác. Điều này tiềm ẩn nguy cơ về đánh cắp thông tin nên
phải có mức độ cảnh cáo phù hợp.
• Cấp ID cho nhân viên khi mới vào làm và xác định rõ các quyền mà user
đó được phép làm và quy trách nhiệm về các hành động của user đó gây ra.
• Cấp quyền phù hợp với user dựa vào vị trí của nhân viên trong công ty,
phòng ban làm việc, và nhu cầu của công việc đó, và mức độ bảo mật của
tổ chức.
• Có văn bản ký kết giữa nhân viên được cấp ID với tổ chức về việc hiểu rõ
các quyền mà ID đó được phép.
• Khi các ID được tạo ra đảm bảo nó bị cấm trước khi được ký kết các điều
khoản với người dùng.
• Yêu cầu thay đổi mật khẩu ngay lần đầu truy cập của ID để đảm bảo trách
nhiệm thuộc về người sử dụng ID đó chứ không phải là người quản trị tạo
ra ID đó.
• Tránh tái sử dụng mật khẩu cũ bằng cách áp đặt thuộc tính trong DC

controller.
• Yêu cầu user thay đổi mật khẩu ngay khi người quản trị phát hiện có nguy
cơ bị lộ mật khẩu.
• Sử dụng hệ thống có tích hợp Single sign on (Checkpoint) để tránh user
đăng nhập nhiều lần để bảo vệ cho mật khẩu được an toàn.
• Quy định số lần tối đa đăng nhập sai cho các user là 3 lần, nếu quá 3 lần thì
user sẽ bị khóa trong 30 phút và ghi lại hoạt động này để theo dõi.
• Hiển thị thời điểm và máy tính đã đăng nhập lần trước đó để người dùng
kiểm tra các hoạt động của ID này.
• Thiết lập cơ chế mã hóa kênh truyền bằng IPSec policy để tăng tính bảo
mật thông tin.
25