Tải bản đầy đủ (.docx) (28 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH NGHIỆP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.12 MB, 28 trang )

ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

ĐỒ ÁN MÔN XÂY DỰNG CHUẨN CHÍNH SÁCH
AN TOÀN THÔNG TIN TRONG DOANH NGHIỆP
----------

ĐỀ TÀI: GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH NGHIỆP

Hướng dẫn thực hiện : Nguyễn Duy
Các thành viên

: Đặng Vũ Hiệp

12520590

Đặng Thái Hoà

12520596

Đoàn Hùng Cường

12520552

Nguyễn Thanh Tâm

12520909

Lê Anh Minh Tuấn


11520448


Lời nói đầu


1. NHU CẦU KHÁCH HÀNG

MỤC LỤC

1.1 Yêu cầu chung
1.2 Định hướng thiết kế, triển khai
2. PHÂN TÍCH, ĐÁNH GIÁ HỆ THỐNG MẠNG HIỆN TẠI
2.1 Hiện trạng hệ thống
2.2 Phân tích, đánh giá hệ thống hiện tại
2.2.1 Khả năng bảo mật
2.2.2 Rủi ro mất mất thông tin
3. GIẢI PHÁP ĐỀ XUẤT
3.1 Mô hình tổng thể
3.1.1 Điểm mạnh của mô hình
3.1.2 Triển khai thiết bị
3.2 Mô hình chi tiết cho web và mail server
3.3 Giải pháp công nghệ
3.3.1 Chức năng của Endpoint Security
3.3.2 Chức năng của UTM-1 130
3.3.3 Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint
3.3.4 Giải pháp backup: Cloud backup của vinacis
3.3.5 Lợi ích của giải DLP
3.3.6 Tính năng của DLP
4. XÂY DỰNG CHÍNH SÁCH

4.1 Chính sách bảo mật của tổ chức
4.1.1 Internal: Chính sách nội bộ trong công ty
4.1.2 External: Chính sách cho những đối tác tới của công ty
4.2 Chính sách Quản lý tài sản
4.2.1 Trách nhiệm với tài sản
4.2.2 Thông tin


4.3 Chính sách Quản lý con người
4.4 Chính sách quản lý physical
4.4.1 Chính sách quản lý khu vực
4.4.2 Chính sách về quản lý thiết bị
4.5 Chính sách quản lý truy cập
4.6 Quản lý thiết bị in ấn và thiết bị ngoại vi
4.7 Quản lý thông tin cá nhân và quản lý nhân sự
5. TÀI LIỆU THAM KHẢO

1.

Nhu cầu khách hàng


1. Yêu cầu chung
- Phân tích những điểm yếu trong mô hình mạng hiện tại
- Phân tích những rủi ro mất mát dữ liệu
a. Attacker
b. Nhân viên.
- Thiết kế lại hệ thống – mạng với tính bảo mật tốt nhất có thể (hướng tới giải pháp chống thất thoát
dữ liệu)
a. Vẽ mô hình tổng thể

b. Vẽ mô hình chi tiết cho từng phần (Web Security, Email Security, IDS/IPS Security,…)
c. Thuyết minh giải pháp cho từng phần
- Xây dựng qui trình và chính sách để phối hợp với các công nghệ được sử dụng trong hệ thống để
giảm thiểu tối đa khả năng mất mất dữ liệu trong hệ thống.

1.1 Định hướng thiết kế, triển khai
-Thiết kế lại theo hướng giảm thất thoát dữ liệu và đảm bảo độ bảo mật cao
-Đề ra giải pháp có hiệu quả kinh tế

2.

Phân tích, đánh giá hệ thống mạng hiện tại

2.1 Hiện trạng hệ thống
Hiện tại doanh nghiệp có khoảng 100 người dùng. Thông tin chi tiết các dịch vụ chạy trong hệ thống xem
hình bên dưới.
Những thông tin chi tiết về hệ thống:
- Quản trị theo mô hình workgroup
- Router Cisco tích hợp firewall
- Không có phần mềm antivirus, firewall chuyên dụng cũng như các chính sách bảo mật khác.
.


2.2 Phân tích, đánh giá hệ thống hiện tại
2.2.1 Khả năng bảo mật
 Những điểm yếu trong mô hình mạng:
 Mô hình mạng càng lớn, dữ liệu trong mang và người dùng càng nhiều mà không có sự quản
lý thỉ rất dễ xảy ra nhiều bất cập liên quan đến bảo mật và khai thác tài nguyên.
 Workgroup không thích hợp cho mạng có trên 10 máy.



Không thuận lợi trong công tác quản trị và tính bảo mật kém.



Những tài khoản không được quản lý tập trung.



Không cho phép quản lý tập trung nên dữ liệu phân tán, khả năng bảo mật thấp, rất dễ bị xâm nhập.



Các tài nguyên không được sắp xếp nên rất khó định vị và tìm kiếm.



Không quản trị tập trung, đặc biệt trong trường hợp có nhiều tài khoản cho một người sử dụng
(user) truy xuất vào các trạm làm việc khác nhau; việc bảo mật mạng có thể bị vi phạm với các
người sử dụng có chung tên người dùng, mật khẩu truy xuất tới cùng tài nguyên; không thể sao
chép dự phòng (backup) dữ liệu tập trung. Dữ liệu được lưu trữ rải rác trên từng trạm.



Mỗi người dùng phải có một tài khoản người dùng trên mỗi máy tính mà họ muốn đăng nhập; bất
kỳ sự thay đổi tài khoản người dùng, như là thay đổi mật khẩu hoặc thêm tài khoản người dùng
mới, phải được làm trên tất cả các máy tính trong Workgroup, nếu bạn quên bổ sung tài khoản
người dùng mới tới một máy tính trong nhóm thì người dùng mới sẽ không thể đăng nhập vào máy



tính đó và không thể truy xuất tới tài nguyên của máy tính đó; việc chia sẻ thiết bị và file được xử
lý bởi các máy tính riêng, và chỉ cho người dùng có tài khoản trên máy tính đó được sử dụng.
Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên



cục bộ của mình.
Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng. Mô



hình này chỉ phù hợp với mạng nhỏ và yêu cầu bảo mật mạng không cao.
Đồng thời mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng, lưu trữ



thông tin người dùng trên cùng một tập tin SAM (Security Accounts Manager) ngay chính trên máy
cục bộ.
Mạng này có quá nhiều tài nguyên trong mạng vì vậy người dùng khó có thể xác định chúng để



khai thác.
Quản trị workgroup bao gồm việc quản trị CSDL tài khoản bảo mật trên mỗi máy tính một cách



riêng lẻ, mang tính cục bộ, phân tán. Điều này rõ ràng rất phiền phức và có thể không thể làm được
đối với một mạng rất lớn.



Hệ thống mạng được thiết kế theo mô hình workgroup nên CSDL phân tán, khó quản lý



Không có firewall chuyên dụng nên dễ bị tấn công DOS, DDOS… để đánh cắp dữ liệu



Các phòng ban có cùng lớp mạng nên có thể truy cập dữ liệu lẫn nhau. Dễ bị mất mát dữ liệu, in ấn
tự do.
Không có phần mềm antivirus nên dễ bị lây nhiễm virus qua các thiết bị di động hoặc thông qua



việc truy cập mạng của nhân viên.


Hệ thống mạng không có tính dự phòng. Khi router chết thì sẽ làm tê liệt hệ thống mạng.



Các máy tính trong môi trường workgroup là ngang hàng với nhau không thể kiểm soát được truy
cập của nhân viên, không có chính sách an ninh nào được áp dụng nên nhân viên có thể chép dữ
liệu qua usb hay gởi thông tin ra bên ngoài thông qua internet mà không bị phát hiện.
Hệ thống mạng chỉ sử dụng 1 đường truyền mạng, khó mở rộng mô hình mạng.



2.2.2 Rủi ro mất thông tin

Attacker


Tấn công vào lỗ hổng bảo mật: Hacker lợi dụng các lỗ hổng bảo mật mạng, các giao thức cũng
như các lỗ hổng của hệ điều hành… để tấn công ăn cắp dữ liệu. Ví dụ như attacker lợi dụng lỗ
hổng SQL injection của máy chủ web để tấn công và get cơ sở dữ liệu trong SQL.




Tấn công giả mạo: Đây là thủ đoạn của kẻ tấn công nhằm giả dạng một nhân vật đáng tin cậy để
dò la và lấy cắp thông tin, ví dụ như các attacker dùng email tự xưng là các ngân hàng hoặc tổ
chức hợp pháp thường được gởi số lượng lớn. Nó yêu cầu người nhận cung cấp các thông tin khá
nhạy cảm như tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằng cách dẫn đến một đường link
tới một website nhìn có vẻ hợp pháp, điều đó giúp cho tên trộm có thể thu thập được những thông
tin của quý khách để tiến hành các giao dịch bất hợp pháp sau đó.



Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng các phần mềm độc hại, hoặc các
loại virut được tiêm vào các phần mềm trông như vô hại để dụ người sử dụng nhiễm phải. Chúng
có thể ăn cắp thông tin, phá hoại dữ liệu máy tính... và lây lan qua các máy khác.



Tấn công trực tiếp qua các kết nối vật lí: Bằng cách này hay cách khác kẻ tấn công tìm cách
tiếp cận với mạng nội bộ, chúng có thể dung một số công cụ nghe lén để bắt các gói tin, phân tích
chúng để ăn cắp dữ liệu. Ví dụ như thông tin tài khoản đăng nhập, chiếm quyền điều khiển của
các máy để lấy dữ liệu hoặc tấn công máy chủ…




Tấn công thăm dò: Attacker giả dạng các công ty về bán sản phẩm tin học để hỏi thăm nhân
viên về một số thông tin của phòng server, có bao nhiêu thiết bị, thiết bị dùng hãng nào, có
firewall hay không… để từ đó làm cơ sở cho tấn công và đánh cắp dữ liệu
Nhân viên



Nhân viên có thể gởi những thông tin mật của công ty ra ngoài qua email.



Truy cập mạng, lướt web vô tình click vào những link lạ hay hình ảnh được chia sẻ có thể bị dính
virus rồi bị đánh cắp thông tin.



Sử dụng các chương trình chia sẽ file, up dữ liệu lên mạng.



Sử dụng laptop cá nhân trong công việc mà không mã hóa dữ liệu rồi vô tình bị đánh cắp.



Sử dụng các thiết bị di động để chép dữ liệu ra bên ngoài hoặc để chép dữ liệu về làm việc nhưng
lại để mất các thiết bị di động này.




Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên khác chép dữ liệu của
mình đem ra bên ngoài.



Lây nhiễm virus do nhân viên sử dụng USB cắm vào máy tính công ty



Nhân viên tiết lộ thông tin nội bộ ra bên ngoài trong quá trình sử dụng : skype, yahoo, điện
thoại…



Nhân viên có thể cài phần mềm nghe lén vào trong máy tính của công ty.


3.1



In tài liệu, photocopy tự do không được quản lý tập trung. Đem tài liệu in, copy ra bên ngoài



Dùng điện thoại, camera chụp lại tài liệu của công ty.

Mô hình tổng thể


3.

Giải pháp đề xuất

 Thiết kế lại hệ thống
- Từ sơ đồ ban đầu của công ty được xây dựng với môi trường Workgroup, không có firewall chuyên
dụng… còn tồn tại nhiều nhược điểm thì công ty yêu cầu cần triển khai lại hệ thống mới với độ bảo mật
cao hơn.
- Dưới đây là mô hình tổng thể được thiết kế lại theo hướng giảm thất thoát dữ liệu và đảm bảo độ bảo
mật cao

Mô hình tổng thể


3.1.1 Điểm mạnh của mô hình
 Sử dụng mô hình mạng với cấu trúc phân lớp ( 3 lớp):
Lớp Core: Gồm 2 Router có nhiệm vụ cung cấp tối ưu hoá và độ tin cậy trong quá trình truyền tin với
tốc độ rất cao. Lớp Core Layer đáp ứng các vai trò sau: Kiểm tra Access-list, Mã hoá dữ liệu, Address
translation
Lớp Distribution: Gồm 2 Switch layer 3 có vai trò đáp ứng một số giao tiếp giúp giảm tải cho lớp Core
Layer trong quá trình truyền thông tin trong mạng. Một chính sách có thể áp dụng các dạng cụ thể sau:
Routing updates, Route summaries, VLAN
Lớp Access: Lớp truy cập chủ yếu được thiết kế cung cấp các cổng kết nối đến từng máy trạm trên cùng
một mạng, nên thỉnh thoảng nó còn được gọi là Desktop Layer. Bất cứ các dữ liệu nào của các dịch vụ từ
xa (ở các VLAN khác, ở ngoài vào) đều được xử lý ở lớp Phân Phối

 Mang lại sự thuận tiện trong thiết kế, cụ thể trong triển khai, dễ dàng để quản lý và giải quyết sự cố. Và
cũng đáp ứng được yêu cầu về tính mềm dẻo cho hệ thống mạng.
 Mô hình trên đáp ứng tương đối đầy đủ các yêu cầu kĩ thuật khi thiết kế mạng như:



 Khả năng dự phòng, sẵn sàng được đánh giá rất cao trong mô hình mạng này
Dự phòng hai nhà cung cấp mạng.
Các thiết bị,đường dây đều được dự phòng khi xảy ra sự cố.
 Hiệu suất hoạt động của mạng rất ổn định:
Thiết kế theo mô hình ba lớp nên mỗi tầng có nhiệm vụ riêng đảm bảo không tầng nào bị quá tải.
Sử dụng router có tính năng load balancing đảm bảo cân bằng tải khi đi ra bên ngoài hệ thống.
 Khả năng quản trị:
Mô hình được thiết kế tập trung: các truy cập bên trong, cũng như ra bên ngoài đều được kiểm
soát bởi các phần mềm bảo mật được cài trên server cục bộ.
Vùng DMZ được thiết kế tách biệt với Server nội bộ để đảm bảo tính bảo mật.
Khách hàng được thiết kế đường dây wifi riêng biệt để tránh các truy cập trái phép vào hệ thống.
Mỗi phòng ban là một vlan riêng đảm bảo các phòng ban không thể truy cập dữ liệu của nhau và
đảm bảo độ bảo mật cho hệ thống mạng
 Khả năng mở rộng của mô hình này rất linh hoạt: do các thiết bị được backup, kết hợp với tính mềm
dẻo của mô hình 3 lớp nên việc mở rộng mô hình rất dễ thực hiện.
 Mô hình mạng được thiết kế để đảm bảo hệ thống mạng thích ứng với các công nghệ mới trong
tương lai.
 Bảo mật:
Sử dụng 2 firewall UTM tích hợp nhiều tính năng bảo mật tốt.
Bên trong hệ thống sử dụng các dịch vụ bảo mất tốt nhất hiện nay.
Các kết nối từ xa được đảm bảo thông qua đường hâm VPN.

3.1.2 Triển khai thiết bị
 Hệ thống sử dụng 2 nhà mạng là FPT và Viettel để đảm bảo không bị gián đoạn hệ thông mạng


 Hệ thống tường lửa được đặt sau router nhằm bảo vệ vùng DMZ và vùng Server farm được an toàn.
Tường lửa ở đây công ty sử dụng tường lửa của hãng Checkpoint với sản phẩm UTM-1 130 triển
khai ở mức gateway nhằm kiểm soát tất cả lưu lượng mạng ra và vào. Ngoài ra, thì hệ thống còn xây

dựng thêm firewall mềm cũng của hãng checkpoint với dòng sản phẩm Endpoint Security trên máy
Domain Controller nhằm kiểm soát nhân viên truy cập đầu cuối.
 Vùng DMZ sẽ triển khai hệ thống Web server và Mail server (DOVECOT-POSTFIX). Vùng này sẽ
nối trực tiếp với Firewall Checkpoint để kiểm soát mọi lưu lượng ra vào nhằm đảm bảo an toàn cho
vùng DMZ hạn chế tấn công từ bên ngoài.
 Vùng Server farm sẽ triển khai hệ thống File server, Domain Controller, DHCP, DNS và Server
backup. Riêng máy Domain Controller sẽ triển khai winserver 2008 và EndPoint Security của
Checkpoint.
 Mỗi phòng ban là 1 Vlan riêng để đảm bảo dữ liệu của mỗi phòng ba là bảo mât. Nhân viên của
phòng ban này không thể truy cập dữ liệu của phòng ban khác. Mỗi vlan sẽ nối trực tiếp với Switch
layer2, rồi từ switch layer 2 sẽ nối trực tiếp với Switch layer3 ở lớp Distribution.
 Đối với khách hàng và đối tác của công ty thì chỉ sử dụng được hệ thống wifi của công ty cấp. hệ
thống wifi này sử dụng 1 Vlan riêng tách biệt với hệ thống mạng dây của công ty.

3.2

Mô hình chi tiết cho web và mail server
Mô hình web server


Web server được xây dựng tách biệt với các vùng khác, được nối trực tiếp với 2 Firewall UTM nhằm đảo
bảo độ an toàn cho web server này.Với mô hình này thì web server đảm bảo được tính sẵn sàng cao

Mô hình cho mail server

Mail server được xây dựng tách biệt với các vùng khác, được nối trực tiếp với 2 Firewall UTM nhằm đảo
bảo độ an toàn cho mail server này.Với mô hình này thì mail server đảm bảo được tính sẵn sàng cao

3.3 Giải pháp công nghệ
Để đảm bảo an toàn cho cả hệ thống mạng, công ty đã sử dụng sản phẩm tường lửa của hãng Checkpoint

ở mức Gateway và Endpoint. Checkpoint là hãng luôn đi đầu nhiều năm liền trong lĩnh vực tường lửa và
trong lĩnh vực VPN. Sau đây là một số chức năng của dòng sản phầm này:

3.3.1 Chức năng của Endpoint Security[1]
 Full Disk Encryption: Bảo đảm an ninh các ổ đĩa cứng hoàn toàn tự động và ẩn đi với người dùng

cuối. Dùng cơ chế xác thực khởi động (Multi-factor pre-boot authentication) để định danh người dùng.
 Media Encryption: Cung cấp khả năng mã hóa thiết bị lưu trữ đa phương tiện. Khả năng kiểm soát

Port cho phép quản lí các Port thiết bị đầu cuối, bao gồm khả năng truy cập vào hoạt đông của Port đó.
 Remote Access: Cung cấp cho người dùng truy cập một cách an ninh và liền lạc đến mạng hay tài

nguyên công ty khi người dùng di chuyển.
 Anti-Malware/Program Control: Phát hiện và xóa bỏ hiệu quả malware ở thiết bị đầu cuối với bộ lọc

đơn. Phần mềm kiểm soát chương trình chỉ cho phép các chương trình hợp pháp và được cho phép
chạy trên thiết bị đầu cuối.


 WebCheck: Bảo vệ chống lại các mối đe dọa trên nền web mới nhất bao gồm việc download, tấn công

zero-day. Đưa trình duyệt chạy trên môi trường ảo hóa an ninh.
 Firewall/Compliance Check: Bảo vệ bên trong và bên ngoài giúp ngăn chặn malware từ những hệ

thống đã bị nhiễm, khóa các cuộc tấn công có mục tiêu và ngăn chăn các luồng traffic không mong
muốn.

3.3.2 Chức năng của UTM-1 130[2]
 Firewall: Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và dịch vụ với tính


năng công nghệ kiểm soát thích ứng và thông minh nhất.
 IPsec VPN: Kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Site-to-Site được quản

lý truy cập từ xa mềm dẻo.
 IPS: Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao phủ các nguy cơ

tốt nhất
 Web Security: Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo vệ mạnh nhất chống

lại các tấn công tràn bộ đệm.
 URL Filtering: Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs, bảo vệ người dùng và

doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm.
 Antivirus & Anti-Malware: Bảo vệ diệt virus hàng đầu bao gồm phân tích virus heuristic, ngăn chặn

virus, sâu và các malware khác tại cổng.
 Anti-Spam & Email Security: Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam, bảo vệ các

servers và hạn chế tấn công qua email.
 Tích hợp squid proxy trên firewall: Kiểm soát truy cập của người dùng,tăng tốc độ mạng,….

3.3.3 Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint
 Email
 Mã hóa tất cả email khi nhân viên gởi ra ngoài mạng Internet (Dùng tính năng Anti-Spam & Email
Security của UTM-1 130)
 Chống thư rác từ bên ngoài gởi vào Internet (Dùng tính năng Anti-Spam & Email Security của
UTM-1 130)
 Từ chối tất cả email có đính kèm một số file như sau: exe, bat, msi, vbx…(Dùng tính năng AntiSpam & Email Security của UTM-1 130)
 Chống các cuộc tấn công DOS và Buffer over flow (Dùng tính năng Anti-Spam & Email Security
của UTM-1 130)



 Web
 Chặn web theo thể loại như streaming media, search engine… Hạn chế nhân viên sử dụng web để
tìm kiếm dữ liệu và xem video hay phim (Dùng tính năng Web Filtering của UTM-1 130)
 Chặn các URL mà người quản trị không muốn nhân viên truy cập vào trong giờ làm việc (Dùng tính
năng Web Filtering của UTM-1 130)
 Bảo vệ an toàn truy cập web (Dùng tính năng Antivirus & Anti Malware của UTM-1 130)
 File share
 Cấm tải dữ liệu lên mạng bằng giao thức FTP và các trang như mediafire, dropbox, 4share…(Dùng
tính năng Web Security của UTM-1 130)
 Mã hóa tất cả dữ liệu chia sẻ khi chép qua các thiết bị di động (Dùng tính năng Media Encryption
của Endpoint Security)
 Chỉ truy cập dữ liệu theo quyền hạn của mình (Cấp quyền trong Win server 2008 cho user)
 Các thiết bị Desktop/Laptop
 Không được sử dụng laptop riêng trong công ty.
 Mã hóa các dữ liệu trên các ổ đĩa của Desktop (Dùng tính năng Full Disk Encryption của Endpoint
Security).
 Triển khai firewall trên máy Desktop trong công ty để chống lại malware, virus. Hạn chế lây nhiễm
virus qua usb (Dùng tính năng Anti-Malware của Endpoint Security)
 Lưu profile người sử dụng trên server,người sử dụng chỉ thao tác thông qua một số thiết bị nhất định:
màn hình có cắm mạng,chuột,bàn phím
 Thiết bị di động
 Mã hóa tất cả các dữ liệu khi chép vào các thiết bị di động như USB, CD/DVD… (Dùng tính năng
Media Encryption của Endpoint Security)
 Truy cập từ xa (VPN)
 Mã hóa đường truyền khi truy cập từ xa, hạn chế bị hacker tấn công (Dùng tính năng IPSec VPN)
 Ngăn chặn tấn công
 Với tính năng IPS trên UTM-1 130 sẽ ghi nhận lại thông tin các luồng dữ liệu đi ra và vào mạng để
phân tích sự bất thường và cảnh báo cho quản trị viên.

 Thiết lập các rules để chống lại các cuộc tấn công như DOS, DDOS, Buffer over flow…
 Sử dụng hệ thống IDS/IPS để theo dõi,cảnh báo,ngăn chặn.

3.3.4 Giải pháp backup: Cloud backup của vinacis


- Lập lịch sao lưu: việc sao lưu dữ liệu được thực thi hoàn toàn tự động theo lịch trình đã được định sẵn.
- Khôi phục dữ liệu thông qua giao diện web: cung cấp một cổng quản lý trực tuyến cho phép người
dùng cuối dễ dàng truy cập và lấy lại dữ liệu đã được sao lưu từ bất kỳ đâu.
- Tích hợp plugin ứng dụng: Cloud Backup kèm theo các plugin tích hợp sẵn vào các ứng dụng thông
dụng nhằm đơn giản hóa qui trình sao lưu.
- Hỗ trợ sao lưu máy chủ: tạo bản sao lưu cho các dịch vụ máy chủ như MS Exchange, MS SQL, và
MySQL
- Mã hóa 256-bit AES: dữ liệu sao lưu luôn được Cloud Backup mã hóa bằng cơ chế 256-bit AES với
khóa mã hóa do bạn thiết lập nhằm tránh việc truy xuất trái phép.
- Đường truyền SSL: kết nối giữa máy tính của bạn và hệ thống Cloud Backup được bảo mật bởi kênh
truyền SSL. SSL mã hóa mọi gói tin được gửi đi từ máy tính của bạn về hệ thống Cloud Backup. Do
đó, loại trừ hoàn toàn nguy cơ kẻ xấu đánh cắp dữ liệu của bạn trên Internet.
Ngoài ra những chức năng trên thì Checkpoint còn cung cấp một giải pháp nhằm hướng đến giải pháp
chống thất thoát dữ liệu trong công ty với tên gọi là DLP (Data Loss Prevetion). Giải pháp này được triển
khai ở mức gateway trên firewall UTM của Checkpoint.

3.3.5 Lợi ích của giải DLP[3]
 Dễ dàng triển khai và quản lý đơn giản
 Chính sách được cấu hình sẵn cho phép phòng chống thất thoát dữ liệu
 Hổ trợ rất nhiều tập tin và các kiểu dữ liệu
 Sử dụng công nghệ UserCheck cho phép khắc phục hậu quả trong thời gian thực
 Kiểm tra và kiểm soát dữ liệu ra vào công ty và giữa các phòng ban với nhau

3.3.6 Tính năng của DLP

 Checkpoint UserCheck: Công nghệ này cảnh báo cho người dùng vi phạm chính sách của công ty và
người dùng phải lập tức khắc phục sự cố. Nếu người dùng cố tình vi phạm sẽ có thông tin log được gởi
về cho nhà quản trị.


 Bảo vệ thông tin nội bộ: DLP kiểm soát toàn bộ thông tin email khi rời khỏi công ty. Tất cả email khi
muốn rời khỏi công ty thì đều phải được chuyển đến DLP gateway kiểm tra.
 Mã hóa toàn bộ dữ liệu khi đi qua DLP gateway. DLP sẽ giải mã dữ liệu bằng public key của người gởi
để kiểm tra, bảo vệ sau đó mã hóa lại và gởi đến cho người nhận
 Bảo vệ dữ liệu khi gởi qua mạng như: SMTP, HTTP, FTP
 Fingerprint Sensitive Files: Quét và kiểm tra kho tập tin nhạy cảm khi 1 dữ liệu được gởi ra bên ngoài.
Nếu tập tin nhạy cảm phù hợp với kho dữ liệu thì tập tin đó sẽ được giữ lại không cho gởi ra bên ngoài

 Triển khai nhanh chóng và linh hoạt: Check Point DLP Software Blades có thể được cài đặt trên bất kỳ
Check Point gateway nào. Triển khai dễ dàng và nhanh chóng, tiết kiệm thời gian và giảm chi phí bằng
cách tận dụng cơ sở hạ tầng bảo mật hiện tại.
4.

Xây dựng chính sách


4.1 Chính sách bảo mật của tổ chức
4.1.1 Internal: Chính sách nội bộ trong công ty
 Xây dựng một tài liệu mô tả toàn bộ hệ thống mạng hiện tại của công ty. Tài liệu mô tả chi tiết các
thiết bị , các kết nối giữa các thiết bị, các địa chỉ IP trên các thiết bị , cấu trúc mạng để nắm được cái nhìn
tổng quát cho toàn hệ thống mạng
 Hệ thống mạng phải có các chính sách bảo mật thích hợp: Cần phải quản lý chi tiết việc truy cập
vào dịch vụ mạng của các user như: các ứng dụng mạng được phép sử dụng, các trang web được phép
truy cập, thời gian truy cập, ngăn chặn download các định dạng file cụ thể để tránh làm giảm hiệu năng
mạng…. Ngoài ra , phải giám sát được hiệu suất của hệ thống mạng của công ty , đảm bảo băng thông

cho việc sử dụng quan trọng. Để thực hiện được chính sách trên thì một giải pháp tối ưu đó là sử dụng hệ
thống UTM (Unified Thread Management) và Endpoint Security mà cụ thể ở đây sử dụng thiết bị của
hãng Checkpoint .
 Chính sách đảm bảo an toàn cho vùng DMZ mà cụ thể ở đây là web server và mail server nhằm
hạn chế những cuộc tấn công từ bên ngoài vào như DOS, DDOS, spam email….
 Chính sách đảm bảo an toàn cho vùng server nội bộ : Phân chia quyền truy cập vào các server ở
đây rất cần thiết vi nguya cơ từ bên trong công ty cũng rất lớn, không chỉ chú trọng việc ngăn cản từ bên
ngoài tấn công vào hệ thống mà việc đảm bảo độ an toàn trong nội bộ cũng rất cần thiết. Trong công ty ,
các server nội bộ nằm trong một vùng Vlan riêng biệt nên chỉ cần phân quyền cho phép những người
dùng nào có thể truy cập vào Vlan này
 Sao lưu dữ liệu thường xuyên: Sao lưu dữ liệu thường được thực hiện hàng ngày theo một khung
giờ cụ thể phù hợp và cố định thống nhất để có dữ liệu backup và restore kịp thời khi có sự cố xảy ra
 Quản lý các file cấu hình của các thiết bị trong mạng : các file cấu hình trên router, switch, access
point cần phải được quản lý sao lưu .

4.1.2 External: Chính sách cho những đối tác tới của công ty
 Chính sách cho khách hàng : Các khách hàng khi đến công ty giao dịch chỉ có thể sử dụng mạng
không dây mà công ty cung cấp. Hệ thống này nằm trong một VLAN riêng biệt gọi là VLAN khách
và người dùng trong VLAN này chỉ có thể ra ngoài internet mà ko được phép truy cập đến các tài
nguyên nội bộ của công ty như các server , các máy tính trong mạng cũng như các máy in, máy fax.
 Chính sách cho các đối tác: Đảm bảo được quá trình truyền dữ liệu thông tin trao đỗi giao dịch giữa
công ty đến các đối tác tuyệt đối an toàn, bảo mật.


4.2 Chính sách Quản lý tài sản
Tất cả các nhân viên và cá nhân có quyền truy nhập vào hệ thống máy tính trong công ty phải tuân
thủ các chính sách được đề ra ở dưới đây nhằm bảo vệ hệ thống máy tính, mạng máy tính, sự toàn vẹn dữ
liệu và an toàn thông tin của công ty.

4.2.1 Trách nhiệm với tài sản

a. Danh mục tài sản
 Tài sản của công ty bao gồm các nhóm danh mục chính sau:
 Server
 Máy tính
 Các thiết bị phụ kiện: Printer, Photocopy, Fax, IP camera
 Thiết bị mạng: Router, Switch, Firewall, Access Point
 Thiệt bị lưu trữ (USB, Tape…)
 Phần mềm phục vụ hệ thống và công việc
 Đối với các thiết bị lưu trữ sẽ được theo dõi đặc biệt
 HDD
 Tape (Chứa dữ liệu, backup)
 Các đĩa CD/DVD, đĩa mềm, usb
b. Sở hữu và sử dụng tài sản
 Yêu cầu công ty ban hành một bộ chính sách về việc sở hữa và sử dụng tài sản và thông qua ,
triển khai xuống từng phòng ban, bộ phận trong công ty


Các cá nhân làm việc ở ví trí chứa thiết bị có trách nhiệm bảo quản, giám sát, bảo vệ các thiết
bị đó.



Các cá nhân được ủy quyền sử dụng các thiết bị di động, lưu trữ có trách nhiệm bảo quản các
thiết bị đó. Không sử dụng các thiết bị đó lưu trữ các thông tin nội bộ, nhạy cảm của công ty
mà không có sự cho phép.



Di chuyển tài sản: Phải điền mẫu và được xác nhận  cập nhật vào CSDL
 Số serial



 Tên
 Vị trí hiện tại
 Vị trí mới
 Chủ sở hữu

4.2.2 Thông tin
a. Phân loại thông tin
 Thông tin bình thường: Là những thông tin trao đổi bình thường nhân viên, khách hàng trang đổi
trên mạng (Web, liên lạc email, IM…., khách hàng sử dụng wifi)
 Thông tin nhạy cảm: Là thông tin liên quan đến hoạt động kinh doanh (PR, chăm sóc khách
hàng), log file, trao đổi file, giấy tờ trong nội bộ công ty.
 Thông tin mật: Là thông tin liên quan đến tài khoản – mật khẩu, thông tin về tài chính, giao dịch
của công ty, backup data.
 Thông tin tuyệt mật: Thông tin về định hướng, chiến lược kinh doanh của công ty
b. Chính sách
 Đánh nhãn các thiết bị lưu trữ, tài liệu trên giấy tờ: Tùy nhãn của chúng mà được lưu trữ trong
những khu vực khác nhau, có thể phân loại mức độ theo màu sắc
 Thông tin nhạy cảm: Do trưởng phòng, nhân viên được ủy quyền lưu trữ.
 Thông tin bảo mật: Phó giám đốc trở lên hoặc người được ủy quyền lưu trữ.
 Thông tin tuyệt mật: Giám đốc trở hoặc người được ủy quyền lưu trữ.
 Sử dụng, truy xuất các thiết bị lưu trữ: USB, Đĩa Mềm, CD/DVD, Băng từ
 Thông tin bình thường: Nhân viên có thể tùy nghi sử dụng
 Thông tin nhay cảm: Cần phải có sự đồng ý của cấp trên của nhân viên mới có thể sử dụng
hay mang ra ngoài.
 Thông tin mật: Cần được xác nhận của Phó Giám đốc trở lên.
 Thông tin tuyệt mật: Chỉ có Giám đốc trở lên mới có thể quyết định.



 Hủy dữ liệu trong các thiết bị: USB, Đĩa Mềm, CD, Băng Từ, HDD
 Thông tin bình thường: Xóa bình thường, không bắt buộc phải format.
 Thông tin nhạy cảm: Thiết bị lưu trữ cần được format lại.
 Thông tin mật: Phải ghi đè nhiều lần đảm bảo không thể khôi phục lại.
 Thông tin mật: Hủy cả dữ liệu lẫn thiết bị.

4.3 Chính sách Quản lý con người
 Mỗi nhân viên trong công ty sẽ được cấp một tài khoản để đăng nhập vào hệ thống máy tính của
công ty. Password để đăng nhập vào tài khoản máy tính của công ty phải có độ phức tạp (bao gồm chữ
in hoa, các ký tự đặt biệt… do các nhân viên IT cấp) và các nhân viên phải tự bảo quản không để mất
mát, rò rỉ. Nếu bị mất hoặc bị lộ phải báo với nhân viên IT để giải quyết. Nếu nhân viên không còn làm
việc tại công ty nữa thì tài khoản của nhân viên đó sẽ bị tạm khoá.
 Tất cả thành viên trong công ty tuyệt đối không được chép dữ liệu của công ty đem ra ngoài với
mọi hình thực. Nếu phát hiện thì tùy vào mức độ nặng nhẹ mà sẽ có hình phạt tương xứng (kỷ luật,
cảnh cáo, sa thải, truy tố trách nhiệm trước pháp luật). Trường hợp muốn chép dữ liệu chp khách hàng
thì phải được sự đồng ý của Trường phòng trở lên mới được phép chép dữ liệu.
 Mỗi nhân viên phải có nghĩa vụ và trách nhiệm bảo quản các thiết bị được công ty ủy quyền sử
dụng, nếu có vấn đề xảy ra phải báo ngay với bộ phận IT để kịp thời xử lý.
 Các nhân viên không được cài đặt phần mềm không rõ nguồn gốc hoặc không có bản quyền ngoài
các phần mềm phục vụ công việc được cài sẵn trên máy.
 Mỗi nhân viên nghiêm túc thực hiện các chính sách của công ty đưa ra nếu vi phạm phải chịu trách
nhiệm (khiển trách, trừ lương hoặc sa thải…)

 Nhân viên kinh doanh làm bên ngoài công ty


Được cấp laptop để tiện làm việc bên ngoài. Laptop được cài đặt các phần
mềm bản quyền cần thiết để phục vụ cho công việc (MS office, chương trình VPN…)




Mã hóa tất cả dữ liệu ổ cứng trên máy laptop để hạn chế bị đánh cắp dữ liệu và
nhân viên phải chịu trách nhiệm với dữ liệu của mình nếu chép cho người khác.



Phải chịu trách nhiệm bảo quản tài sản của công ty, chỉ sử dụng cho công việc
không được cho mượn hay cài thêm phần mềm lạ không rõ nguồn gốc vào máy tính.


Định kỳ hằng tháng đem đến phòng IT để bảo dưỡng, kiểm tra quét virus,



nâng cấp phần mềm…

 Nhân viên các phòng ban
Chỉ được phép sử dụng máy tính desktop phục vụ cho công việc trong giờ



hành chánh không sử dụng cho các mục đích khác (như chat, xem phim…).
Chỉ được truy cập vào tài nguyên phòng ban của mình không cố ý truy cập tài



nguyên mà không có thẩm quyền.
Nhân viên bình thường chỉ được log on vào tài khoản trong giờ hành chính,




ngoài thời gian làm việc thì nhân viên không thể log on vào máy tính được.

 Nhân viên thử việc
Được áp dụng giống như nhân viên các phòng ban, cấp user cho phép sử dụng những thông
tin của phòng ban mình công tác, không được phép truy cập những thông tin của các phòng
ban khác.

 Nhân viên đã nghỉ việc
Không nên xóa Acount luôn mà chỉ khóa lại, khi có người vào thay thế, ta chỉ đổi thông tin
lại mà không cân mất thời gian đặt lại quyền và cấu hình lại từ đầu

 Nhân viên quản trị phòng IT


Có trách nhiệm giám sát, theo dõi hoạt động của các nhân viên khác trong công
ty sử dụng máy tính vào công việc mà không làm chuyện riêng. Đảm bảo dữ liệu của công
ty được bảo mật tránh thất thoát ra ngoài.



Khi xảy ra sự cố phải báo cáo tình hình và mức độ thiệt hại cho cấp trên được
biết. Phải khắc phục sự cố với thời gian nhanh nhất có thể để đảm bảo hệ thống hoạt động
thông suốt.



Chịu sự quản lý và nghiêm chỉnh chấp hành yêu cầu của cấp trên.




Quản lý các tài nguyên của công ty, chịu trách nhiệm backup dữ liệu của công ty
theo định kỳ



Nếu nhân viên IT nghỉ làm việc tại công ty phải thông báo trước với cấp công ty
(theo luật lao động Việt Nam) và bàn giao toàn bộ công việc hiện thời đang làm và các thiết
bị do mình quản lý cho nhân viên khác có cùng chuyên môn hoặc cho cấp trên..

 Ban lãnh đạo giám đốc


Có toàn quyển quyết định các chính sách an ninh thông tin cho công ty




Không được truy xuất vào dữ liệu, tài nguyên nội bộ của các nhân viên khác ngoại
trừ những trường hợp đặt biệt.



Có trách nhiệm tự bảo quản tài nguyên của công ty, các tài liệu cá nhân tránh để xảy
ra tình trạng thất thoát dữ liệu.



Có trách nhiệm giám sát các nhân viên cấp dưới


 Thưởng phạt
 Thực hiện công tác kiểm tra, tuyên dương, khen thưởng
 Nếu vi phạm tùy theo mức độ để đưa ra hình thức xử phạt và kỷ luật

4.4 Chính sách quản lý physical
4.4.1 Chính sách quản lý khu vực
 Mục tiêu của chính sách
 Ngăn chặn các truy cập trái phép về vật lý, gây thiệt hại cho các thiết bị.
 Những thiết bị chứa dữ liệu quan trọng, nhạy cảm của tổ chức phải được đặt trong vùng
bảo mật có các cơ chế quản lý về an ninh, kiểm soát việc ra vào ở các khu vực đó.
 Xác định rõ những nguy cơ, rủi ro có thể xảy ra từ đó có những quy định cụ thể phù hợp.



Các giải pháp đề xuất cụ thể
 Đầu tiên về quản lý theo khu vực thì vấn đề đầu tiên là tách biệt về không gian, dành riêng
1 phòng để đặt các thiết bị quan trọng như server farm, các thiết bị đắt tiền.
 Quản lý, giám sát việc ra vào tại những khu vực riêng biệt này. Chỉ cho phép những người
có trách nhiệm liên quan mới được phép vào. Mỗi lần ra vào phải có ghi chép thời gian, lý
do (bảo trì, sữa chữa,…). Lắp đặt các camera theo dõi và các hệ thống báo động để tránh
việc đột nhập trái phép.
 Lắp đặt máy quét vân tay kiểm tra trước khi vào nếu thấy cần mức độ bảo mật cao hơn.
 Quản lý ra vào theo thời gian cụ thể như trong giờ hành chính thì mới có thể vào, ngoài giờ
hành chính, mọi hành vi ra vào những khu vực trên phải có sự dám sát của người đại diện
cao nhất trong tổ chức hoặc người được ủy quyền.
 Bảo vệ khu vực khỏi những nguy cơ như cháy nổ, ngập nước. Các chất dễ bắt lửa, gây cháy
nổ phải để cách xa các khu vực được bảo vệ này.
 Các thiết bị dự phòng phải đặt cách xa nhau để tránh hư hỏng hàng loạt khi xảy ra sự cố.
 Trong các khu vực cần có các hệ thống báo cháy, bình cứu hỏa, sensor.



 Vì trong công ty đã phân rõ các phòng ban nên việc nhân viên thuộc phòng ban này vào
phòng ban kia là không cần thiết.
 Việc quản lý về khu vực là hết sức cần thiết, tránh được các nguy cơ gây tổn hại đến tài
sản, tài nguyên của công ty nên chính sách áp dụng cho vấn đề này phải ở mức cao, cụ thể
nếu nhân viên vi phạm có thể bị kỷ luật.

4.4.2 Chính sách về quản lý thiết bị
 Mục tiêu của chính sách
 Tránh hư hỏng, mất mát thiết bị, tài sản của công ty gây nên sự gián đoạn trong hoạt động của
công ty.
 Thiết bị phải tránh được các mối đe dọa vật lý và môi trường
 Bảo vệ thiết bị là cần thiết để giảm nguy cơ truy cập trái phép vào tài nguyên

 Các giải pháp cụ thể
 Các thiết bị, máy tính dùng riêng cho các nhân viên đánh mã số để quản lý và giao trách nhiệm
cho người sử dụng nó. Phải đền bù cho các thiết bị nếu bị hư hỏng.
 Quy định rõ ràng về việc không thay đổi cấu hình của các máy tính và cài đặt những phần mềm
không được phép.
 Quy định không được ăn uống tại bàn làm việc
 Thiết bị phải được duy trì hoạt động trong điều kiện nhiệt độ thấp, lắp đặt các hệ thống làm mát,
tản nhiệt giúp thiết bị nâng cao tuổi thọ và hiệu năng làm việc cao hơn.
 Lắp đặt các hệ thống chống sét cho tòa nhà, để đảm bảo an toàn cho thiết bị.
 Sử dụng hệ thống ổn áp, lưu điện và máy phát điện giúp cho hệ thống server và các thiết bị khác
không bị ảnh hưởng khi có sự cố về điện.
 Thuê nhiều đường điện của nhiều khu vực để đảm bảo thiết bị có thể hoạt động tốt.
 Cáp điện và cáp thông tin phải được tách riêng để tránh nhiễu và các sự cố xảy ra.


 Các loại cáp phải được gắn nhãn tên của các thiết bị mà nó được nối tới tránh gây nhầm lẫn giữa

các thiết bị vì có thể gây hư hại tới các thiết bị.
 Sử dụng ống bảo vệ để đi cáp đối với các thiệt bị cần có bảo mật cao như cáp đến các server
 Các thiết bị đặc biệt như router , swicth, acess point , server thì chỉ có những nhân viên IT được
phép mới có quyền truy cập vào để cấu hình và thay đổi
 Thiết bị phải được kiểm tra bảo trì định kỳ hàng tuần.
 Chỉ có nhân viên bảo trì mới được thực hiện việc đó.
 Ghi chép lại tình trạng của thiết bị để theo dõi và có cách khắc phục nếu có xảy ra lỗi
 Trong trường hợp nhân viên bảo trì từ ngoài tổ chức thì cần có người giám sát quá trình này.
 Thực hiện thu hồi các thiết bị cấp cho nhân viên trong trường hợp sử dụng sai mục đích.
 Có hình thức nhắc nhở, cảnh cáo, kỷ luật đối với từng mức độ vi phạm

4.5 Chính sách quản lý truy cập
 Mục tiêu của chính sách
 Kiểm soát thông tin truy cập.
 Đảm bảo người truy cập có quyền, tránh truy cập trái phép.
 Áp đặt trách nhiệm cho người dùng với các tài khoản truy cập để tránh việc mất mát thông tin.
 Ngăn chặn sử dụng trái phép các dịch vụ mạng từ bên trong lẫn bên ngoài công ty
 Kiểm soát truy cập trái phép vào hệ điều hành.
 Thiết lập các quyền được phép cho người dùng trên các ứng dụng.
 Đảm bảo an toàn khi truy cập từ xa qua các thiết bị di động.
 Giải pháp cụ thể
 Quy định rõ quy tắc kiểm soát truy cập và quyền cho từng người và từng nhóm. Tạo các chính
sách cho các user và OU trong domain theo từng phòng ban cụ thể. Qua đó đưa ra các mức độ
cảnh cáo đối với các user cố tình sai quy định.
 Xác định quyền cụ thể trên file server cho các phòng ban thông qua NTFS permission.
 Quy định phòng ban này không được phép truy cập vào tài nguyên, tài liệu của phòng ban khác.
Điều này tiềm ẩn nguy cơ về đánh cắp thông tin nên phải có mức độ cảnh cáo phù hợp.



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×