Nội dung nào cần có trong một chính sách an toàn thông tin

Đại Học Quốc Gia Thành Phố Hồ Chí Minh

Trường Đại Học Công Nghệ Thông Tin

˜²™

Xây Dựng Chính Sách An Toàn Thông Tin Cho

 Công Ty TNHH Nhân Hòa

GVHD:  Nguyễn Duy

SVTH: Lương Vĩnh Thảo 07520499

Đỗ Huy Hưng 07520167

Lê Thanh Hải 07520466

Võ Trung Hưng 07520164

TPHCM, Tháng 4 năm 2011

Tổng quan. 3

1.      Giới thiệu tổng thể. 3

1.1        Mô hình logic: 4

1.2        Mô hình vật lý: 7

2. Phân tích các mối đe dọa tiềm ẩn. 10

2.1        Đánh giá hệ thống mạng công ty. 10

2.2        Xác định các mối đe dọa tiềm ẩn: 11

3       Xây dựng chính sách. 12

3.1        Chính sách bảo mật của tổ chức: 12

3.1.1         Internal: Chính sách nội bộ trong công ty. 12

3.1.2         External: Chính sách cho những đối tác tới của công ty. 13

3.2        Chính sách Quản lý tài sản. 14

3.2.1         Trách nhiệm với tài sản. 14

3.2.2         Thông tin. 15

3.3        Chính sách Quản lý con người 17

3.4        Chính sách Quản lý physical 19

3.4.1         Chính sách quản lý khu vực: 20

3.4.2         Chính sách về quản lý thiết bị 21

3.5        Chính sách Quản lý truy cập. 23

4.      Giải Pháp. 25

4.1        Giải pháp bảo mật hệ thống mạng của công ty: 25

4.2        Giải pháp quản lý tài sản của công ty: 29

4.3        Quản lý log: 33

4.4        Một số giải pháp xử lý sự cố. 35

5.      Đánh giá chính sách. 36

Tổng quan

Ngày nay Internet là môi trường tiện lợi cho việc trao đổi thông tin giữa các tổ chức, các doanh nghiệp và các cá nhân với nhau. Các giao dịch trao đổi thư tín điện tử (email), các giao dịch mua bán, tìm kiếm thông tin, … thông qua mạng Internet không ngừng được mở rộng và ngày càng phát triển. Bên cạnh các lợi ích mà Internet mang lại thì đây cũng chính là môi trường tiềm ẩn các nguy cơ gây mất an toàn an ninh cho các hệ thống mạng của các tổ chức, doanh nghiệp có tham gia giao dịch trên Internet hoặc Extranet. Một vấn đề đặt ra cho các tổ chức, doanh nghiệp là làm sao bảo vệ được các nguồn thông tin dữ liệu vô cùng quí giá của mình như các số liệu về tài chính kế toán, các số liệu về nguồn nhân lực, các tài liệu về công nghệ, sản phẩm, … trước vô số mối đe dọa trên mạng có thể làm tổn hại đến sự an toàn thông tin và gây ra những hậu quả nghiêm trọng khó có thể lường trước được.
Hiện nay, cùng với sự phát triển của công nghệ thông tin, các phương thức tấn công cũng ngày càng tinh vi và đa dạng, nó thực sự đe dọa tới sự an toàn của hệ thống thông tin nếu chúng ta không có sự nhận thức đúng đắng về vấn đề này để có những giải pháp hiệu quả để bảo vệ hệ thống của mình. Vì vậy việc xây dựng một bộ chính sách về an toàn thông tin là điều khá cần thiết đối với các doanh nghiệp hiện nay nhằm tự bảo vệ mình trước những nguy hiểm từ bên ngoài

1.      Giới thiệu tổng thể

Công ty Nhân Hòa là một công ty kinh doanh các thiết bị điện tử, điện máy, máy tính .Ngoài việc mua bán các thiết bị điện, điện tử , siêu thị còn cung cấp dịch vụ bảo hành của một số hàng điện tử như Sony, Sanyo, Samsung, Toshiba và cung cấp dịch vụ sữa chữa thiết bị điện , điện tử , điện lạnh tại nhà theo yêu cầu của khách hàng. Siêu thị hiện tại có 2 địa điểm hoạt động

Ø  Trụ sở chính đặt tại ngã bảy Cách Mạng Tháng Tám – Ba Tháng Hai- Võ Thị Sáu- Lý Chính Thắng- Nguyễn Thượng Hiền- Nguyễn Phúc Nguyên, Quận 10. Trụ sở chính gồm 1 tòa nhà 3 tầng có diện tích mặt sàn 2400 m2 gồm các phòng : Phòng Giám đốc điều hành , phòng phó giám đốc, phòng  nghiên cứu thị trường, bộ phận bán hàng và quầy hàng , kho hàng , bộ phận lắp đặt thiết bị tại nhà và bảo trì, trung tâm bảo hành

Ø  Chi nhánh 1 đặt tại ngã ba Hoàng Văn Thụ - Hoàng Việt, Quận Tân Bình . Chi nhánh bao gồm 1 tòa nhà 4 tầng lầu có diện tích mặt sàn lên tới 4000m 2 gồm các phòng : Phòng quản lý nhân sự , Phòng kế toán, bộ phận bán hàng và quầy hàng, kho hàng , bộ phận lắp đặt thiết bị tại nhà và bảo trì , trung tâm bảo hành

1.1 Mô hình logic:

Mô hình logic của hội sở:

Ø  Vùng DMZ: bao gồm web server và mail server

Ø  Vùng Lan nội bộ: bao gồm các Vlan : Server, kĩ thuật, bán hàng, quản lý, khách. Vùng này sẽ có 2 switch layer 3 ở lớp distribute và 3 switch layer 2 ở lớp access

Ø  Vùng WAN: gồm 2 đường kết nối ra internet và một đường PSTN để gọi ra ngoài

Hình 1.1:Sơ đồ logic trụ sở chính

Mô hình logic của chi nhánh 1:

Hình 1.2: Sơ đồ logic chi nhánh 1

Hình 1.3: Sơ đồ kết nối các chi nhánh

Ở đây, công ty Nhân Hòa sẽ sử dụng 1 đường leaseline để TSL giữa các chi nhánh ngoài ra ta cũng có thể cấu hình thêm đường VPN thông qua mạng internet. Ngoài ra ở hội sở cũng như các cho nhánh sẽ có đường cáp quan internet để ra internet riêng đảm bảo được nhu cầu của công ty.

1.2  Mô hình vật lý:           

Trụ sở chính :

Hình 1.4: Sơ đồ vật lý tầng 1

Hình 1.5: Sơ đồ vật lý tầng 2

Hình 1.6: Sơ đồ vật lý tầng 3

Chi nhánh 1:

Hình :Sơ đồ vật lý tầng 1

Hình: Sơ đồ vật lý tầng 2

Hình: Sơ đồ vật lý tầng 3

Hình : Sơ đồ vật lý tầng 4

2. Phân tích các mối đe dọa tiềm ẩn

Ø  Công ty đã có một hệ thống máy chủ cơ sở dữ liệu (chạy Sql server) để lưu trữ số lượng hàng hóa mua bán và lưu trữ. Hệ thống này đáp ứng được yêu cầu truy nhập từ trụ sở và chi nhánh vào mọi thời điểm. Các server khác thì chạy hệ điều hành window server 2003

Ø  Có hổ trợ việc thanh toán tiền thông qua thẻ tín dụng của các ngân hàng

Ø  Có hệ thống chấm công bằng vân tay cho các nhân viên trong trụ sở chính cũng như ở các chi nhánh và thông  tin chấm công được lưu và chuyển về máy tính của phòng quản lý nhân sự mỗi ngày vào lúc 2:00 PM

Ø  Sử dụng hệ thống VoIP liên lạc giữa các phòng trong trụ sở và giữa các chi nhánh với nhau

Ø  Công ty sử dụng hệ thống mail là mdeamon

Ø  Có hệ thống Domain

Ø  Có một trang web để giới thiệu và bán các sản phẩm trên mạng

Ø  Các máy tính trong công ty đều sử dụng hệ điều hành Win 7

Về các ứng dụng an toàn thông tin thì công ty chưa triển khai thiết bị nào để đảm bảo an ninh mạng ngoài trừ phần mềm antivirus là KAV. Giải pháp này chỉ là giải pháp tạm thời trên các PC lẻ trên mang .Vì vậy dựa trên hệ thống mạng đã có, công ty muốn xây dựng một bộ các chính sách về quản lý tài sản cũng như các chính sách , giải pháp về vấn đề bảo mật , an ninh thông tin của công ty mình

2.2  Xác định các mối đe dọa tiềm ẩn:

Ø  Các mối đe dọa từ bên ngoài :

·         Các cuộc tấn công Dos, Ddos vào hệ thống bán hàng trực tuyến của công ty

·         Các virus, spam email được gởi từ bên ngoài vào

·         Các trang web fishing

·         Các nguy hiểm từ những nhân viên phòng kinh doanh khi đi ra ngoài liên lạc với khách  hàng

·         Các cuộc tấn công bằng social engineering

·         Nguy cơ bị nghe trộm , thay đổi thông tin khi sử dụng VoIP

Ø  Các mối đe dọa từ bên trong

·         Chưa có một chính sách  an ninh mạng nào được áp dụng

·         Trên toàn mạng không có cơ chế đảm bảo an ninh mạng nào , không có cơ chế nào để quản lý , theo dõi hệ thống mạng

·         Các kết nối internet từ điện thoại của nhân viên cũng có thể là một mối đe dọa tiềm tàng đối với công ty

·         Các lỗ hổng từ các phần mềm được cài đặt trên máy

·         Các phần mềm “nghe lén” trên mạng nội bộ

3        Xây dựng chính sách     

Ø  Xây dựng được một “document” mô tả toàn bộ hệ thống mạng của công ty. Trong tài liệu này phải đề cập đến các thiết bị , các kết nối giữa các thiết bị, các địa chỉ IP trên các thiết bị , các giải thuật định tuyến sử dụng trong mạng ….

Ø  Hệ thống mạng phải được bảo mật: Cần phải quản lý chi tiết việc truy cập vào dịch vụ mạng của các user như: các ứng dụng mạng được phép sử dụng, các trang web được phép truy cập, thời gian truy cập, ngăn chặn download các định dạng file cụ thể để tránh làm giảm hiệu năng mạng…. Ngoài ra , phải giám sát được hiệu suất của hệ thống mạng của công ty , đảm bảo băng thông cho việc sử dụng VoIP. Để thực hiện được chính sách trên thì một giải pháp tối ưu đó là sử dụng hệ thống UTM (Unified Thread Management) mà cụ thể ở đây sử dụng thiết bị của hãng Astaro .

Ø   Chính sách đảm bảo an toàn cho vùng DMZ mà cụ thể ở đây là web server và mail server nhằm hạn chế những cuộc tấn công từ bên ngoài vào như DOS ,DDOS ,spame email….

Ø  Chính sách đảm bảo an toàn cho vùng server nội bộ : Các server nội bộ không public ra ngoài nên tránh được các cuộc tấn công từ bên ngoài nhưng còn những cuộc tấn công từ bên trong thì sao ?Vì vậy việc phân chia quyền truy cập vào các server ở đây là khá cần thiết. Trong công ty , các server nội bộ nằm trong một vùng Vlan riêng biệt nên chỉ cần phân quyền cho phép những người dùng nào có thể truy cập vào Vlan này

Ø  Sao lưu dữ liệu thường xuyên: Sao lưu dữ liệu thường được thực hiện hàng ngày cụ thể là từ 22h đến  23h.

Ø  Quản lý các file cấu hình của các thiết bị trong mạng : các file cấu hình trên router , switch , access point cần phải được quản lý sao lưu .

Ø  Quản lý các đường định tuyến, các bảng routing table trên router cũng như switch nhằm tránh bị loop

3.1.2    External: Chính sách cho những đối tác tới của công ty

Ø  Chính sách cho khách hàng : Các khách hàng khi đế mua hàng chỉ có thể sử dụng mạng không dây mà công ty cung cấp .Hệ thống này nằm trong một VLAN riêng biệt gọi là VLAN khách và người dùng trong VLAN này chỉ có thể ra ngoài internet mà ko được phép truy cập đến các tài nguyên nội bộ của công ty như các server , các máy tính trong mạng cũng như các máy in, máy fax.

Ø  Chính sách cho các đối tác: Đảm bảo được quá trình truyền dữ liệu từ công ty đến các đối tác tuyệt đối an toàn.Ở đây, công ty có hệ thống thanh toán tiền bằng thẻ ngân hàng nên việc liên kết với các ngân hàng để thanh toán cần phải được bảo mật tuyệt đối. Vì thê,việc truyền dữ liệu sẽ được thực hiện qua một kênh riêng biệt kết nối từ ngân hàng tới các máy tính tiền của công ty .

3.2  Chính sách Quản lý tài sản

Tất cả các nhân viên và cá nhân có quyền truy nhập vào hệ thống máy tính trong công ty  phải tuân thủ các chính sách được đề ra ở dưới đây nhằm bảo vệ hệ thống máy tính, mạng máy tính, sự toàn vẹn dữ liệu và an toàn thông tin của công ty.

3.2.1    Trách nhiệm với tài sản

3.2.1.1   Danh mục tài sản

Ø  Tài sản của công ty bao gồm các nhóm danh mục chính sau:

·         Server

·         Desktop

·         Laptop

·         Accessorie: Printer, Copier, Fax, VoiP Phone, Projector ,Ip camera

·         Network device: Router, Switch, Firewall, Access Point

·         Memory Device (USB, Tape…)

·         Software

·         Đối với các thiết bị lưu trữ sẽ được theo dõi đặc biệt

·         HDD

·         Tape (Chứa dữ liệu, backup)

·         Các đĩa CD/DVD, BlueRay, đĩa mềm, usb

-          Các thiết bị lưu trữ có bộ nhớ nhỏ như USB, CD/DVD/BlueRay, đĩa mềm  và các thiết bị di động sẽ không áp dụng chính sách quản lý theo vị trí mà được ủy thác. Các thiết bị khác sẽ được quản lý theo vị trí.

-          Tất cả các thiết bị được quản lý bằng serial number.

-          Các thiết bị của công ti sẽ được quản lý bằng 1 cơ sở dữ liệu, sử dụng một ứng dụng quản lý danh mục tài sản.

-          Đối với thông tin xem mục 3.2.2

3.2.1.2 Sở hữu và sử dụng tài sản

Ø  Các cá nhân làm việc ở ví trí chứa thiết bị có trách nhiệm bảo quản, giám sát, bảo vệ các thiết bị đó.

Ø  Các cá nhân được ủy quyền sử dụng các thiết bị di động, lưu trữ có trách nhiệm bảo quản các thiết bị đó. Không sử dụng các thiết bị đó lưu trữ các thông tin nội bộ, nhạy cảm của công ty mà không có sự cho phép tương ứng (Xem thêm mục 3.2.2.2)

Ø  Di chuyển tài sản: Phải điền mẫu và được xác nhận à cập nhật vào CSDL

·         Số serial

·         Tên

·         Vị trí hiện tại

·         Vị trí mới

·         Chủ sở hữu

3.2.2        Thông tin

3.2.2.1  Phân loại thông tin

Ø  Thông tin bình thường: Là những thông tin trao đổi bình thường nhân viên, khách hàng trang đổi trên mạng (Web, liên lạc email, IM…., khách hàng sử dụng wifi)

Ø  Thông tin nhạy cảm: Là thông tin liên quan đến hoạt động kinh doanh(PR, chăm sóc khách hàng), log file, trao đổi file, giấy tờ trong nội bộ công ty.

Ø  Thông tin mật: Là thông tin liên quan đến tài khoản – mật khẩu, thông tin về tài chính, giao dịch của công ty. Backup data.

Ø  Thông tin tuyệt mật: Thông tin về định hướng, chiến lược kinh doanh của công ty

3.2.2.2  Chính sách

Ø  Đánh nhãn các thiết bị lưu trữ, tài liệu trên giấy tờ: Tùy nhãn của chúng mà được lưu trữ trong những khu vực khác nhau.

·         Sensitive: Do trưởng phòng, nhân viên được ủy quyền lưu trữ.

·         Secrect: Phó giám đốc trở lên hoặc người đc ủy quyền lưu trữ.

·         Top Secrect: Giám đốc trở hoặc người được ủy quyền lưu trữ.

Ø  Sử dụng, truy xuất các thiết bị lưu trữ: USB, Đĩa Mềm, CD/DVD/BlueRay, Băng từ

·         Thông tin bình thường: Nhân viên có thể tùy nghi sử dụng

·         Thông tin nhay cảm: Cần phải có sự đồng ý của cấp trên của nhân viên mới có thể sử dụng hay mang ra ngoài.

·         Thông tin mật: Cần được xác nhận của Phó Giám đốc trở lên.

·         Thông tin tuyệt mật: Chỉ có Giám đốc trở lên mới có thể quyết định.

Ø  Hủy dữ liệu trong các thiết bị: USB, Đĩa Mềm, CD, Băng Từ, HDD

·         Thông tin bình thường: Xóa bình thường, không bắt buộc phải format.

·         Thông tin nhạy cảm: Thiết bị lưu trữ cần được format lại.

·         Thông tin mật: Phải ghi đè nhiều lần đảm bảo không thể khôi phục lại.

·         Thông tin mật: Hủy cả dữ liệu lẫn thiết bị.

Ø  Các thông tin đồng bộ dữ liệu về giao dịch, mua bán từ chi nhánh tới trụ sở chính chỉ sử dụng đường lease line

3.3      Chính sách Quản lý con người

Ø  Mỗi nhân viên trong công ty sẽ được cấp một tài khoản để đăng nhập vào hệ thống máy tính của công ty. Password để đăng nhập vào tài khoản máy tính của công ty phải có độ phức tạp(bao gồm chữ in hoa, các ký tự đặt biệt… do các nhân viên IT cấp) và các nhân viên phải tự bảo quản không để mất mát, rò rỉ. Nếu bị mất hoặc bị lộ phải báo với nhân viên IT để giải quyết. Nếu nhân viên không còn làm việc tại công ty nữa thì tài khoản của nhân viên đó sẽ bị xóa khỏi hệ thống

Ø  Mỗi nhân viên phải có nghĩa vụ và trách nhiệm bảo quản các thiết bị được công ty ủy quyền sử dụng, nếu có vấn đề xảy ra phải báo ngay với bộ phận IT để kịp thời xử lý.

Ø  Các nhân viên không được cài đặt phần mềm không rõ nguồn gốc hoặc không có bản quyền ngoài các phần mềm phục vụ công việc được cài sẵn trên máy.

Ø  Các nhân viên khi vào công ty sẽ được kiểm tra bằng máy chấm công sử dụng thẻ từ.

Ø  Mỗi nhân viên nghiêm túc thực hiện các chính sách của công ty đưa ra nếu vi phạm phải chịu trách nhiệm(khiển trách, trừ lương hoặc sa thải…)

·         Nhân viên thông thường:

ü   Nhân viên kinh doanh làm bên ngoài công ty:

-          Được cấp laptop để tiện làm việc bên ngoài. Laptop được cài đặt các phần mềm bản quyền cần thiết để phục vụ cho công việc(MS office, chương trình VPN…)

-          Phải chịu trách nhiệm bảo quản tài sản của công ty, chỉ sử dụng cho công việc không được cho mượn hay cài thêm phần mềm lạ không rõ nguồn gốc vào máy tính.

-          Định kỳ hằng tháng đem đến phòng IT để bảo dưỡng, kiểm tra quét virus, nâng cấp phần mềm…

ü  Nhân viên kinh doanh trông coi quầy hàng

-          Chỉ được truy cập những thông tin cần được ủy quyền không được cố ý truy cập vào tài nguyên của các phòng ban khác.

-          Chỉ được truy cập các thông tin trên web bằng các máy tính tại nơi làm việc, không được mang máy laptop đến công ty.

ü  Nhân viên thu ngân

-          Được phép truy cập vào tài nguyên của bộ phận thu ngân, không được truy cập vào tài nguyên của các phòng ban khác.

-          Không sử dụng các thiết bị lưu trữ di động (như usb, ổ cứng di động…) để truy xuất dữ liệu trên máy tính.

ü  Nhân viên các phòng ban

-          Chỉ được phép sử dụng máy tính phục vụ cho công việc trong giờ hành chánh không sử dụng cho các mục đích khác (như chat, xem phim…).

-          Chỉ được truy cập vào tài nguyên phòng ban của mình không cố ý truy cập tài nguyên mà không có thẩm quyền.

·         Nhân viên quản trị phòng IT

ü  Có trách nhiệm giám sát, theo dõi hoạt động của các nhân viên khác trong công ty sử dụng máy tính vào công việc mà không làm chuyện riêng. Đảm bảo dữ liệu của công ty được bảo mật tránh thất thoát ra ngoài.

ü  Khi xảy ra sự cố phải báo cáo tình hình và mức độ thiệt hại cho cấp trên được biết. Phải khắc phục sự cố với thời gian nhanh nhất có thể để đảm bảo hệ thống hoạt động thông suốt.

ü  Chịu sự quản lý và nghiêm chỉnh chấp hành yêu cầu của cấp trên.

ü  Quản lý các tài nguyên của công ty, chịu trách nhiệm backup dữ liệu của công ty theo định kỳ và giám sát việc đồng bộ dữ liệu giữa hội sở với các chi nhánh.

ü  Nếu nhân viên IT nghỉ làm việc tại công ty phải thông báo trước với cấp công ty (theo luật lao động Việt Nam) và bàn giao toàn bộ công việc hiện thời đang làm và các thiết bị do mình quản lý cho nhân viên khác có cùng chuyên môn hoặc cho cấp trên..

·         Ban lãnh đạo giám đốc

ü  Có toàn quyển quyết định các chính sách an ninh thông tin cho công ty

ü  Không được truy xuất vào dữ liệu, tài nguyên nội bộ của các nhân viên khác ngoại trừ những trường hợp đặt biệt.

ü  Có trách nhiệm tự bản quản tài nguyên của công ty, các tài liệu cá nhân tránh để xảy ra tình trạng thất thoát dữ liệu.

ü  Có trách nhiệm giám sát các nhân viên cấp dưới

3.4      Chính sách Quản lý physical

3.4.1          Chính sách quản lý khu vực:

Ø  Mục tiêu của chính sách:

·         Ngăn chặn các truy cập trái phép về vật lý, gây thiệt hại cho các thiết bị.

·         Những thiết bị chứa dữ liệu quan trọng,nhạy cảm của tổ chức phải được đặt trong vùng bảo mật có các cơ chế quản lý về an ninh, kiểm soát việc ra vào ở các khu vực đó.

·         Xác định rõ những nguy cơ, rủi ro có thể xảy ra từ đó có những quy định cụ thể phù hợp.

Ø  Các giải pháp đề xuất cụ thể:

·         Đầu tiên về quản lý theo khu vực thì vấn đề đầu tiên là tách biệt về không gian, dành riêng 1 phòng để đặt các thiết bị quan trọng như server farm, các thiết bị đắt tiền.

·         Quản lý, giám sát việc ra vào tại những khu vực riêng biệt này. Chỉ cho phép những người có trách nhiệm liên quan mới được phép vào. Mỗi lần ra vào phải có ghi chép thời gian, lý do(bảo trì, sữa chữa,…). Lắp đặt các camera theo dõi và các hệ thống báo động để tránh việc đột nhập trái phép.

·         Lắp đặt máy quét vân tay kiểm tra trước khi vào nếu thấy cần mức độ bảo mật cao hơn.

·         Trong điều kiện kỹ thuật bị giới hạn, những thiết bị, dịch vụ không trực tiếp được quản lý bởi tổ chức mà bởi bên thứ 3 nên để ở khu vực riêng.

·         Quản lý ra vào theo thời gian cụ thể là trong giờ hành chính thì mới có thể vào, ngoài giờ hành chính, mọi hành vi ra vào những khu vực trên phải có sự dám sát của người đại diện cao nhất trong tổ chức hoặc người được ủy quyền.

·         Bảo vệ khu vực khỏi những nguy cơ như cháy nổ, ngập nước. Các chất dễ bắt lửa, gây cháy nổ phải để cách xa các khu vực được bảo vệ này.

·         Các thiết bị dự phòng phải đặt cách xa nhau để tránh hư hỏng hàng loạt khi xảy ra sự cố.

·         Trong các khu vực cần có các hệ thống báo cháy, bình cứu hỏa.

·         Vì trong công ty đã phân rõ các phòng ban nên việc nhân viên thuộc phòng ban này vào phòng ban kia là không cần thiết.

·         Việc quản lý về khu vực là hết sức cần thiết, tránh được các nguy cơ gây tổn hại đến tài sản, tài nguyên của công ty nên chính sách áp dụng cho vấn đề này phải ở mức cao, cụ thể nếu nhân viên vi phạm có thể bị kỷ luật.

3.4.2    Chính sách về quản lý thiết bị

Ø  Mục tiêu của chính sách:

·         Tránh hư hỏng, mất mát thiết bị, tài sản của công ty gây nên sự gián đoạn trong hoạt động của công ty.

·         Thiết bị phải tránh được các mối đe dọa vật lý và môi trường

·         Bảo vệ thiết bị là cần thiết để giảm nguy cơ truy cập trái phép vào tài nguyên

Ø  Các giải pháp cụ thể:

·         Các thiết bị, máy tính dùng riêng cho các nhân viên đánh mã số để quản lý và giao trách nhiệm cho người sử dụng nó. Phải đền bù cho các thiết bị nếu bị hư hỏng.

·         Quy định rõ ràng về việc không thay đổi cấu hình của các máy và cài đặt những phần mềm không được phép.

·         Quy định không được ăn uống tại bàn làm việc vì có thể gây ảnh hưởng tới các thiết bị, công ty đã có khu vực riêng dành cho ăn uống. có mức độ cảnh cáo nếu vi phạm.

·         Thiết bị phải được duy trì hoạt động trong điều kiện nhiệt độ thấp, lắp đặt các hệ thống làm mát, tản nhiệt giúp thiết bị nâng cao tuổi thọ và hiệu năng làm việc cao hơn.

·         Lắp đặt các hệ thống chống sét cho tòa nhà, để đảm bảo an toàn cho thiết bị.

·         Sử dụng hệ thống ổn áp và lưu điện và máy phát điện giúp cho hệ thống server và các thiết bị khác không bị ảnh hưởng khi có sự cố về điện.

·         Thuê nhiều đường điện của nhiều khu vực để đảm bảo thiết bị có thể hoạt động tốt.

·         Cáp điện và cáp thông tin phải được tách riêng để tránh nhiễu và các sự cố xảy ra.

·         Các loại cáp phải được gắn nhãn tên của các thiết bị mà nó được nối tới tránh gây nhầm lẫn giữa các thiết bị vì có thể gây hư hại tới các thiết bị.

·         Sử dụng ống bảo vệ để đi cáp đối với các thiệt bị cần có bảo mật cao như cáp đến các server, cáp quang từ các chi nhánh khác tới…

·         Các thiết bị đặc biệt như router , swicth, acess point , server thì chỉ có những nhân viên được phép mới có quyền truy cập vào để cấu hình và thay đổi

·         Thiết bị phải được kiểm tra bảo trì định kỳ hàng tuần.

·         Chỉ có nhân viên bảo trì mới được thực hiện việc đó.

·         Ghi chép lại tình trạng của thiết bị để theo dõi và có cách khắc phục nếu có xảy ra lỗi

·         Trong trường hợp nhân viên bảo trì từ ngoài tổ chức thì cần có người giám sát quá trình này.

·         Thực hiện thu hồi các thiệt bị cấp cho nhân viên trong trường hợp sử dụng sai mục đích.

·         Có hình thức nhắc nhở, cảnh cáo, kỷ luật đối với từng mức độ vi phạm

3.5      Chính sách Quản lý truy cập

Ø  Mục tiêu của chính sách:

·         Kiểm soát thông tin truy cập.

·         Đảm bảo người truy cập có quyền, tránh truy cập trái phép.

·         Áp đặt trách nhiệm cho người dùng với các tài khoản truy cập để tránh việc mất mát thông tin.

·         Ngăn chặn sử dụng trái phép các dịch vụ mạng từ bên trong lẫn bên ngoài công ty

·         Kiểm soát truy cập trái phép vào hệ điều hành.

·         Thiết lập các quyền được phép cho người dùng trên các ứng dụng.

·         Đảm bảo an toàn khi truy cập từ xa qua các thiết bị di động.

Ø  Giải pháp cụ thể:

·         Quy định rõ quy tắc kiểm soát truy cập và quyền cho từng người và từng nhóm. Tạo các chính sách cho các user và OU trong domain theo từng phòng ban cụ thể. Qua đó đưa ra các mức độ cảnh cáo đối với các user cố tình sai quy định.

·         Xác định quyền cụ thể trên file server cho các phòng ban thông qua NTFS permission.

·         Quy định phòng ban này không được phép truy cập vào tài nguyên, tài liệu của phòng ban khác. Điều này tiềm ẩn nguy cơ về đánh cắp thông tin nên phải có mức độ cảnh cáo phù hợp.

·         Cấp ID cho nhân viên khi mới vào làm và xác định rõ các quyền mà user đó được phép làm và quy trách nhiệm về các hành động của user đó gây ra.

·         Cấp quyền phù hợp với user dựa vào vị trí của nhân viên trong công ty, phòng ban làm việc, và nhu cầu của công việc đó, và mức độ bảo mật của tổ chức.

·         Có văn bản ký kết giữa nhân viên được cấp ID với tổ chức về việc hiểu rõ các quyền mà ID đó được phép.

·         Khi các ID được tạo ra đảm bảo nó bị cấm trước khi được ký kết các điều khoản với người dùng.

·         Yêu cầu thay đổi mật khẩu ngay lần đầu truy cập của ID để đảm bảo trách nhiệm thuộc về người sử dụng ID đó chứ không phải là người quản trị tạo ra ID đó.

·         Tránh tái sử dụng mật khẩu cũ bằng cách áp đặt thuộc tính trong DC controller.

·         Yêu cầu user thay đổi mật khẩu ngay khi người quản trị phát hiện có nguy cơ bị lộ mật khẩu.

·         Sử dụng hệ thống có tích hợp Single sign on để tránh user đăng nhập nhiều lần để bảo vệ cho mật khẩu được an toàn.

·         Quy định số lần tối đa đăng nhập sai cho các user là 3 lần, nếu quá 3 lần thì user sẽ bị khóa trong 30 phút và ghi lại hoạt động này để theo dõi.

·         Hiển thị thời điểm và máy tính đã đăng nhập lần trước đó để người dùng kiểm tra các hoạt động của ID này.

·         Thiết lập cơ chế mã hóa  kênh truyền bằng IPSec policy để tăng tính bảo mật thông tin.

·         Khi người dùng các ID thay đổi vị trí công tác, cần thay đổi ngay lập tức các quyền phù hợp với công việc hiện tại.

·         Kiểm tra đảm bảo chỉ cung cấp đủ các ID cần thiết cho mỗi nhân viên.

·         Áp đặt các user nào chỉ được phép truy cập từ máy nào, và theo dõi hoạt động đăng nhập này dựa vào audit logon.

·         Theo dõi về giờ đăng nhập hệ thống của user để ngăn chặn những truy cập không cần thiết ngoài giờ hành chính.

·         Có cơ chế log off sau 5 phút user không hoạt động hoặc phù hợp hơn để tránh khỏi việc sử dụng trái phép user khác trên hệ thống.

·         Tắt các port không sử dụng tránh sự đột nhập trái phép.

·         Xây dựng hệ thống chứng thực và cấp cho người dùng và các đối tác có nhu cầu trao đổi từ xa và giữa các chi nhánh tránh việc giả mạo.

·         Khi user gửi nhận mail yêu cầu phải có mã hóa và sử dụng chữ ký số được cấp và attach file không quá 4MB.

·         Cấu hình định tuyến trên router đảm bảo cho luồng thông tin không vi phạm vào các chính sách.

·         Khi các máy tính lạ được kết nối vào công ty phải đảm bảo máy tính đó là an toàn, dựa vào chính sách có thể được cấu hình trên ISA server 2006 đảm bảo rằng máy tính đó cài đặt đầy đủ và có bản update mới nhất của phần mềm diệt virus.

·         Quy định rõ những user nào được phép truy cập từ xa như giám đốc, quản trị viên.

4.      Giải Pháp

Ø  Để đảm bảo an ninh của hệ thống mạng, ở đây chúng tôi đề xuất sử dụng hệ thống UTM của Astaro Security Gateway.

Ø  Các chức năng bảo mật chính của Astaro gồm có: Bảo mật web , bảo mật email, bảo mật mạng

Ø  Bảo mật Web: Astaro Web Security bảo vệ người dùng khỏi các mối đe dọa trong khi đang lướt web. Phần mềm gián điệp và virus bị chặn lại trước khi họ có thể vào mạng và thiệt hại gây ra. Các chức năng chính của Web security là : URL Filtering,Spyware detection , Antivirus Scanning , HTTPS scanning,IM/P2P Filtering ,

·         URL Filtering: Ở đây Astaro có thể chặn các trang web theo categories mà nhà sản xuất đã phân loại. Bên cạnh đó , người dùng vẫn có thể tự mình cấu hình chặn những trang web độc hại

·         Spyware detection:

·         HTTPS scanning: Các luồng FTP và HTTP sẽ được kiểm tra virus trước khi trả kết quả cho người dùng . Điểm đặc biệt ở đây có chức năng dual scan , tức là hổ trợ cùng lúc 2 engine khác nhau để quét virus

·         IM/P2P Filtering: Quản lý các ứng dụng peer to peer như: Bittorent, edonkey,…

Ø  Bảo mật Email: Astaro Mail Security đảm bảo rằng các chương trình độc hại, spam email được chặn lại và người dùng sẽ không cần phải lo lắng gì về các email rác nữa . Ngoài ra , Astaro còn hổ trợ chức năng mã hóa email giúp việc truyền email được bảo mật hơn

Ø  Bảo mật Mạng: Astaro Network Security bao gồm đầy đủ các tính năng như tích hợp một cấu hình tường lửa kết hợp với một hệ thống bảo vệ xâm nhập, từ chối dịch vụ, rất nhiều công cụ chuyển tiếp lưu lượng truy cập và NAT ..

·         Firewall: Tương tự như các firewall bình thường

·         Instruction Prevention: Có thể xác định được những lỗ hổng, những backdoor mà người khác có thể tấn công vào hệ thống .  Chức năng Anti Dos giúp ngăn chặn những cuộc tấn công Ddos như tấn công bằng TCP SYN Flood , UDP Flood

·         Branch Office VPN: Cho phép người quản trị xem xét các trạng thái các đường VPN nối tới công ty

·         SSL/IPSec:

·         DiretoryAuthentication: Có thể kết nối tới Active Directory để lấy thông tin user

4.2  Giải pháp quản lý tài sản của công ty:

·         Phần mềm: CyberRoam Endpoint Security

·         Các tính năng: Data Protection & Encryption,  Device Management,  Application Control , Asset Management

·         Sơ lược về tính năng Asset Management

Quản trị các hệ thống máy tính, phần cứng, phần mềm, có thể tự định nghĩa các tài sản khác như: Máy in, máy fax

Thay đổi các thuộc tính của tài sản

Kiểm soát các thay đổi

Các tính năng khác:

Kiểm soát các bản patch lỗi.

Scan lỗi, lỗ hổng bảo mật.

Deploy các gói phần mềm.

4.3  Quản lý log:

Mô Hình: Syslog-based Centralized Logging Architecture

Là mô hình đơn giản, dễ triển khai, tốn ít chi phí.

Toàn bộ log trong hệ thống sẽ được đưa về các agent đưa về syslog server để quản lý bằng một Syslog management à Dễ dàng theo dõi, tìm kiếm, quản trị, sao lưu….

·         Log management: Splunk (http://www.splunk.com)

4.4       Một số giải pháp xử lý sự cố

Ø  Hệ thống mạng bị chậm:

·         Kiểm tra các đèn tín hiệu trên các thiết bị có còn hoạt động không

·         Kiểm tra các máy tính có chạy các ứng dụng nào chiếm nhiều băng thông không

·         Kiểm tra xem có máy nào phát gói tin broadcast không

Ø  Hệ thống mạng ngừng hoạt động

·         Kiểm tra các kết nối ở layer 2

·         Kiểm tra các switch, các router xem có còn hoạt động không

·         Sử dụng các thiết bị thay thế, dự phòng

Ø  Máy tính người dùng không ra internet được

·         Kiểm tra các kết nối của người dùng như card mạng, cáp mạng , ping default được không

·         Kiểm tra xem máy tính của người dùng có bị cấm truy cập ra internet không

Ø  Máy tính bị nhiễm Virus :

·         Cách ly máy tính bị nhiễm ra khỏi mạng ngay lập tức

·         Cập nhật các chương trình Virus và quét virus

Ø  Hệ thống Web bị tấn công DOS, DDOS.

·         Hủy bỏ các request tới server trong thời gian dài

·         Cân bằng tải cho server

·         Phân tích xác định kẻ tấn công

5.      Đánh giá chính sách

Các chính sách được đề ra cho công ty khá là hoàn chỉnh, đáp ứng được nhu cầu bảo mật của công ty. Nhưng bất kỳ một chính sách nào đều có một khiếm khuyết . Chính vì vậy người quản trị cần phải thường xuyên thay đổi , cập nhật các chính sách để phù hợp với nhu cầu phát triển của công ty . Cuối cùng , một hệ thống mạng không bao giờ là bất khả xâm phạm ,vi vậy người quản trị không được lơ là trong công tác quản lý cũng như điều hành hệ thống mạng của công ty .