X X Â Â Y Y D D Ự Ự N N G G G G I I Ả Ả I I P P H H Á Á P P B B Ả Ả O O M M Ậ Ậ T T T T Ổ Ổ N N G G T T H H Ể Ể H H Ạ Ạ T T Ầ Ầ N N G G M M Ạ Ạ N N G G Cho BẢO VIỆT NHÂN THỌ Version 1.0 ISP Inc. Trang 2/31 MỤC LỤC 1  GIỚI THIỆU 3 2 PHẠM VI NỘI DUNG TÀI LIỆU 4 3 HIỆN TRẠNG HỆ THỐNG MẠNG CỦA BẢO VIỆT NHÂN THỌ 4 4 GIẢI PHÁP XÂY DỰNG CHÍNH SÁCH BẢO MẬT CHO BẢO VIỆT NHÂN THỌ 4 4.1 XÂY DỰNG MÔ HÌNH QUẢN TRỊ TẬP TRUNG BẰNG CÔNG NGHỆ ACTIVE DIRECTORY CỦA MICROSOFT, KẾT HỢP VỚI NHỮNG CHÍNH SÁCH BẢO MẬT CHUNG (GROUP POLICY) CHO TÒAN BỘ HỆ THỐNG 4  4.1.1 Lên kế họach và thiết lập OUs 6 4.1.2 Hiệu chỉnh và tối ưu hóa Group Policy cho hệ thống của Bảo Việt Nhân Thọ 7 4.1.3 Cài đặt phần mềm thông qua chính sách (Group Policy) cho tòan bộ hệ thống… 9  4.2 XÂY DỰNG GIẢI PHÁP BẢO MẬT DÀNH CHO VIỆC KẾT NỐI RA INTERNET 11 4.3 XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VIRUS, SPYWARE, TROJAN, VÀ NHỮNG ĐỌAN MÃ PHÁT TÁN NGUY HIỂM. 15  4.3.1 Giới thiệu 15 4.3.2 Giải pháp thực hiện 15 Giải pháp phòng chống virus cho mạng doanh nghiệp 16 4.3.3 Sử dụng dịch vụ WSUS (Windows Software Update Services) dành cho việc tự động cập nhật các bản vá lỗi mới nhất của hệ điều hành Microsoft kết hợp với bộ sản phẩm GFI LANguard N.S.S. 16  4.4 SỬ DỤNG NHỮNG CÔNG CỤ HỖ TRỢ CHO VIỆC QUẢN TRỊ VÀ THU THẬP THÔNG TIN HỆ THỐNG 22  4.4.1 Các công cụ và chính sách trong việc theo dõi thu thập sự kiện 22 4.4.1.1 Công cụ EventCombMT 22 4.4.1.2 Sản phẩm Microsoft Operations Manager 2005 23 4.4.1.3 Sản phẩm Microsoft Systems Management Server 2003 23 4.5 THU THẬP PHÂN TÍCH THÔNG TIN TỪ CÁC SỰ KIỆN CẢNH BÁO 24 4.5.1 Theo dõi vấn đề an ninh và phát hiện các cuộc tấn công 25 4.5.1.1 Truy cập vào những máy tính không được xác thực 25 4.5.1.2 Trojans, Rootkits, và Malware 26 4.5.1.3 Truy cập vào tài nguyên bằng cách thay đổi quyền hạn bảo mật 26 4.5.1.4 Truy cập vào tài nguyên bằng việc thay đổi thông tin mật khẩu 26 4.5.1.5 Sự thay đổi tài khỏan người dùng 27 4.5.1.6 Sự thay đổi thành viên trong nhóm tổ chức 27 4.5.1.7 Sự đăng nhập trái phép của những tài khỏan không được xác thực và tồn tại trong hệ thống 27  4.5.1.8 Đăng nhập trái phép bằng những tài khỏan dịch vụ có quyền hạn 28 4.5.1.9 Thực thi những chương trình không được xác thực 28 4.5.1.10 Truy cập vào những nguồn tài nguyên không được phép 28 4.5.1.11 Sử dụng những hệ điều hành khác không được xác thực trong hệ thống 28 4.5.1.12 Tạo hoặc xóa các mối quan hệ tin tưởng trong việc truy cập tài nguyên hệ thống29 4.5.1.13 Thay đổi những chính sách bảo mật 29 4.5.1.14 Tấn công và dò quét bằng những tài khỏan hợp lệ 29 4.5.1.15 Thực thi những đọan mã nguy hiểm 30 4.5.1.16 Đánh lạc hướng các sự kiện theo dõi của hệ thống 30 5 LỢI ÍCH CỦA VIỆC XÂY DỰNG GIẢI PHÁP BẢO MẬT HỆ THỐNG MẠNG 31 ISP Inc. Trang 3/31 1 GIỚI THIỆU Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Một khi Internet ra đời và phát triển thì nhu cầu trao đổi thông tin trở nên cần thiết. Mục tiêu của việc nối mạng là để cho mọi người có thể dùng chung tài nguyên từ những vị trí địa lý khác nhau. Cũng chính vì vậy mà các tài nguyên sẽ rất dễ bị phân tán, dẫn đến một điều hiển nhiên là chúng sẽ dễ bị xâm phạm gây mất mát dữ liệ u cũng như các thông tin có giá trị khác. Càng giao thiệp rộng thì càng dễ bị tấn công, đó là một quy luật. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện, bảo mật ra đời. Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin mà còn nhiều phạm vi khác như kiểm duyệt Web, bảo mật Internet, bảo mật thư đi ện tử, các hệ thống thanh tóan điện tử và giao dịch trực tuyến khác, ngay cả trong hệ thống mạng nội bộ của một doanh nghiệp v.v… Mọi nguy cơ trên mạng đều là một mối nguy hiểm tiềm tàng. Từ một lỗ hổng bảo mật nhỏ của các hệ thống, nhưng nếu được lợi dụng với tần suất cao và kỹ thuật tấn công đ iêu luyện thì cũng sẽ trở thành một tai họa. Theo số liệu thống kê của tổ chức bảo mật nổi tiếng CERT (Computer Emegency Response Team) thì số các vụ tấn công ngày càng tăng, cụ thể là: • Năm 1989, có khỏang 200 vụ tấn công và truy cập trái phép trên mạng Internet được báo cáo. • Năm 1991 là 400 vụ. • Năm 1993 là 1400 vụ. • Năm 1994 là 1300 vụ. • Những năm 200x là hàng chục nghìn vụ trên mỗi năm. Nói chung, số vụ tấ n công trên mạng ngày càng tăng lên với tốc độ chóng mặt. Cũng thật dễ hiểu vì công nghệ phát triển ngày một nhanh và ý thức của người sử dụng cũng hạn chế nên nạn đánh cắp thông tin và phá hoại cũng phát triển theo chiều hướng chung. Vậy chúng ta cần bảo vệ những tài nguyên nào? Câu trả lời đầu tiên đó chính là dữ liệu. Liên quan đến dữ liệu thì chúng ta cần tâm đến những vấn đề sau đây: • Tính bảo mật • Tính tòan vẹn dữ liệu • Tính sẵn sàng Tài nguyên thứ hai chính là các nguồn tài nguyên còn lại trong hệ thống như máy tính, ỗ đĩa lưu trữ, máy in và hạ tầng của hệ thống mạng. Hacker có thể lợi dụng chính máy tính của nạn nhân để tấn công vào hệ thống và kể cả lỗ hổng bảo mật của các máy chủ cũng gây ra tình trạng tê liệt hạ tầng mạ ng và thất thóat thông tin. Yếu tố con người chính là tài nguyên thứ ba, cũng là vấn đề khá quan trọng trong lĩnh vực bảo mật. Chúng ta cũng có thể trở thành thủ phạm bất đắc dĩ nếu như một hacker nào đó lợi dụng uy tín của mình để khai thác và tấn công những mục tiêu khác. Do đó, ngòai việc thiết lập hạ tầng cho vững chắc chúng ta còn phải lên kế hoạch và đưa ra các chính sách chung cho tòan bộ hệ thống, nhằm t ăng khả năng bảo vệ từ phía ISP Inc. Trang 4/31 bên ngòai, mà còn tăng cường độ an tòan và tránh thất thóat thông tin từ phía bên trong của người dùng đầu cuối, kể cả việc bảo vệ an tòan cho hệ thống mạng nội bộ. 2 PHẠM VI NỘI DUNG TÀI LIỆU Trong tài liệu này chúng tôi sẽ trình bày những vấn đề liên quan sau: • Xem xét, đánh giá lại toàn bộ hạ tầng truyền thông hiện tại quý công ty. • Trình bày giải pháp bảo mật tổng thể bằng việc đưa ra các chính sách chung và quản trị tập trung bằng các công cụ và sản phẩm nổi tiếng đã được áp dụng cho rất nhiều doanh nghiệp và tập đòan lớn trên thế giới. 3 HIỆN TRẠNG HỆ THỐNG MẠNG CỦA BẢO VIỆT NHÂN THỌ Qua khảo sát thực tế, chúng tôi nhận thấy những băn khoăn về việc bảo mật cho hạ tầng mạng bên trong của công ty là có cơ sở. Với những hệ thống máy tính người dùng hiện tại vẫn đang ở trạng thái không quản lý được. Việc cài đặt các phần mềm linh tinh khác vẫn đang diễn ra và khó kiểm sóat. Khi gặp vẫn đề trục trặc thì người quản trị lại bị quá tải trong việc xử lý máy tính của từng nhân viên. Và quan trọng nhất là tình trạng tấn công từ phía bên ngòai và virus lây qua đường email tràn lan trong hệ thống. Dựa theo sự việc trên, trong tài liệu này, chúng tôi cung cấp những giải pháp mà thiết nghĩ Bảo Việt Nhân Thọ nên quan tâm, dò quét và thiết lập việc cài đặt lại hệ thống sao cho có thể hạn chế tối đa việc thất thóat thông tin và tăng cường thêm tính năng bảo mật phòng thủ cho hệ thống. 4 GIẢI PHÁP XÂY DỰNG CHÍNH SÁCH BẢO MẬT CHO BẢO VIỆT NHÂN THỌ 4.1 XÂY DỰNG MÔ HÌNH QUẢN TRỊ TẬP TRUNG BẰNG CÔNG NGHỆ ACTIVE DIRECTORY CỦA MICROSOFT, KẾT HỢP VỚI NHỮNG CHÍNH SÁCH BẢO MẬT CHUNG (GROUP POLICY) CHO TÒAN BỘ HỆ THỐNG Dựa theo những yêu cầu và mục tiêu của Bảo Việt Nhân Thọ, cũng như những mô hình quản trị tập trung khác, tòan bộ hệ thống của chúng ta phải là một thể thống nhất, qua đó mới có thể đưa ra được những sách chung cho việc quản lý và phân phối tài nguyên, kể cả việc “ép buộc” ngòai ý muốn, y như tổ chức của một mô hình doanh nghiệp bên ngòai thực tế. Hãng phần mềm khổng lồ của thế giới từ lâu nay vẫn tự hào kiến trúc công nghệ Active Directory của họ là một sản phẩm không thể thiếu trong việc quản trị, phân quyền trên tài nguyên cho người sử dụng và dễ dàng nâng cấp song song với sự phát triển của doanh nghiệp, từ mô hình cỡ trung, vừa và kể cả vĩ mô. Kiến trúc hạ tầng của dịch vụ Active Directory có thể sử dụng trong việc quản lý người dùng và các máy tính, máy in, tài nguyên chia sẽ v.v… Qua đó chúng ta có thể thấy thế mạnh của dịch vụ này là sẽ tăng cường tính bảo mật cho hệ thống mạng bên trong. Mỗi lần phát triển và cải tiến một hệ điều hành máy chủ, từ dòng Windows NT Server 4.0, rồi Windows 2000 Server, Windows 2003 Server, dịch vụ Active Directory cũng phát triển theo một cách nhanh chóng, tăng cường khả năng bảo mật hơn, dễ thích nghi với cấu trúc phát triển của doanh nghiệp, và dễ dàng hơ n trong việc cấu hình quản trị. Thế mạnh của nó bao gồm những tính năng sau đây: • Sử dụng đơn vị tổ chức (Organization Units): OUs cung cấp một cơ sở dữ liệu tập trung cho tất cả các nguồn tài nguyên trong hệ thống, bao gồm tài khỏan ISP Inc. Trang 5/31 người dùng, máy tính của người sử dụng, máy in, tài nguyên chia sẽ và những đối tượng (Object) khác. Điều này cho phép người quản trị có thể tạo và nhóm các đối tượng có cùng một tính chất chung về mặt luận lý, qua đó dễ dàng trong việc phân chia và nhóm những đối tượng có cùng tính chất, phù hợp với mô hình tổ chức của công ty. • Chính sách nhóm (Group Policy): chính sách này có thể sử dụng trên một phạm vi rất rộng. Nó giống như một luật lệ, chính sách mà khi s ống tại một quốc gia nào, chúng ta đều phải tuân theo và đồng thuận. Qua đó, nó có thể đưa ra việc ép những đối tượng trong hệ thống phải tuân thủ những quy định do người quản trị đặt ra. Nó được sử dụng trong việc ép buộc các chính sách về việc cấu hình, cài đặt và giới hạn quyền sử dụng trên cấp độ tài khỏan (Users) và máy tính người của người sử dụng (Computers) trong tòan bộ h ệ thống. • Roaming Profiles: đây là một tính năng khá hay, nó cho phép những người dùng hay đi công tác xa, hoặc không ngồi cố định một vị trí, thì tài nguyên, hay những cài đặt cá nhân của họ, sẽ được giữ y nguyên khi họ di chuyển sang sử dụng trên bất kỳ một máy tính nào khác, giống như họ đang ngồi trên chính máy tính của mình vậy. Việc này chúng ta cũng có thể làm thông qua Group Policy. Mô hình tồng thể với dịch vụ Active Directory ISP Inc. Trang 6/31 Do đó, để quản trị tập trung và nhằm tăng cường tính bảo mật cho hệ thống, dựa theo mô hình trên, tòan bộ những hệ thống máy chủ và máy trạm sẽ tham gia vào một domain với cùng một cơ sở dữ liệu AD chung. Chúng ta sẽ có hai máy chủ dùng để chứa cơ sở dữ liệu Active Directory, trong đó sẽ có một máy sử dụng trong việc backup một khi máy chủ chính bị ngưng họat động. Chúng ta cũ ng sẽ có những máy chủ cung cấp các dịch vụ khác cho hệ thống như dịch vụ cung cấp địa chỉ động DHCP, DNS, Web Server, Mail Server, Proxy Server, dịch vụ chứng thực điện tử CA, RADIUS Server v.v…… Ngoài ra, cũng nhằm tăng cường về an ninh, chúng tôi cũng khuyến cáo sử dụng thêm vùng DMZ và hệ thống sẽ bao gồm hai tường lửa, như theo mô hình trên. Mục đích khi cung cấp các sản phẩm về dịch vụ và thiết k ế, chúng tôi thường theo quan điểm trong hệ thống không nên sử dụng thuần sản phẩm của một hãng nào đó, mà nên là đa hãng (Multi-Vendor), vì khi những kẻ tấn công xâm nhập vào hệ thống, nếu đã vượt qua được một thiết bị hay máy chủ của một hãng, thì chúng sẽ gặp rắc rối với những thiết bị của một hãng khác vì lỗi xảy ra ở một thiết bị của nhà cung cấ p này, chưa chắc đã là lỗi của một thiết bị của nhà cung cấp kia. Do đó, ngay tại đầu ngòai, chúng ta nên đặt một thiết bị tường lửa sử dụng thiết bị phần cứng, ví dụ như PIX của Cisco, hay CheckPoint Nokia v.v… Còn tường lửa phía bên trong, có thể sử dụng những sản phẩm mềm khá hay và nổi tiếng như sản phẩm ISA của Microsoft, hay IPCOP, hoặc Linux Firewall v.v…… Ngoài việc tập trung hệ th ống vào cơ sở dữ liệu AD, sẽ có những trường hợp ngọai lệ không cho phép một máy tính người dùng nào đó tham gia vào mô hình. Do đó chúng ta sẽ phải đưa ra những luật lệ tối thiểu cho việc đưa ra những chính sách chung ngay từ đầu, có như thế việc quản trị về sau sẽ đỡ phức tạp cho người Admin. 4.1.1 Lên kế họach và thiết lập OUs Trước khi thông qua việc lên kế họach và thiết lập OUs, thì người quản trị đã phải có và nắm rõ hệ thống sẽ bao gồm bao nhiêu Site, mỗi Site sẽ có bao nhiêu người dùng, bao nhiêu máy tính, hệ thống domain hiện tại đã có chưa, với tên miền là gì? Phòng ban có tổng cộng là bao nhiêu trực thuộc bộ phận nào? v.v…… Vì họat động của GP là nó sẽ áp từ cấp độ domain xuống, và tuân theo quy luật áp sẽ là Site Æ Domain Æ OUs . Hệ thống của quý công ty sẽ có một hay nhiều máy chủ được cài đặt bộ cơ sở dữ liệu Active Directory dùng để tập trung và quản lý tòan bộ đối tượng và tài nguyên trong hệ thống. Trên đó chúng ta sẽ lên kế họach định hình và tổ chức các nhóm OU, tương ứng với từng nơi, từng bộ phận, và từng phòng ban cùng với những người sử dụng máy tính trong công ty. Sau đây là một ví dụ đi ển hình tổ chức OUs của một công ty có tên miền BusinessName.com: ISP Inc. Trang 7/31 Sau khi người quản trị nắm rõ cấu trúc và mô hình tòan thể của doanh nghiệp mình, lúc đó mới có thể lên kế họach tạo ra cấu trúc OUs theo ví dụ như trên. Như đã nói ở phần 4.1, thế mạnh khi tổ chức OUs của Microsoft là chúng ta sẽ hoàn toàn có thể điều khiển và quản trị tập trung những đối tượng nằm trong nó, thông qua các chính sách mà người quản trị đặt ra (Group Policy). Việc cài đặt và áp dụng Group Policy sẽ được áp từ trên xuống theo mô hình cây phả hệ. Lấy ví dụ nếu một nhân viên nằm trong OUs tên là Sales theo như mô hình trên, nếu chúng ta tạo và áp chính sách (Group Policy) trên domain chính có tên BusinessName.com với việc sẽ khóa tài khỏan khi người dùng đăng nhập quá ba lần với việc điền sai mật khẩu, mà OU Sales lại nằm trong OU Internal, Internal lại nằm trong Users, Users lại nằm trong BusinessName, như vậy những người dùng trong nhóm Sales sẽ chịu một chính sách bị khóa mật khẩu giống như trên. Ngòai ra chúng ta còn có thể tùy biến trong việc cấ u hình Group Policy với những tính năng mà hầu như đáp ứng được mọi nhu cầu khó khăn nhất mà người quản trị hệ thống cần. 4.1.2 Hiệu chỉnh và tối ưu hóa Group Policy cho hệ thống của Bảo Việt Nhân Thọ Như chúng tôi đã nêu ở phần trên, chính sách của người quản trị đặt ra cho các đối tượng trong hệ thống, thì thứ tự áp của nó sẽ trôi từ trên xuống theo cấp độ Site Æ Domain Æ OUs. Và tùy theo từng cấp độ , chúng ta có thể cấu hình các chính sách sao cho phù hợp với yêu cầu và quy mô của công ty, và đây là những cấu hình Group Policy thao khảo dành cho Bảo Việt Nhân Thọ: • Cấp độ Domain: Cấu hình Giá trị cho cấu hình • Remembered passwords • 24 ISP Inc. Trang 8/31 Cấu hình Giá trị cho cấu hình • Maximum password age • 42 days • Minimum password age • 2 days • Minimum password length • 10 characters • Passwords must meet complexity requirements • Enabled • Account lockout threshold • 5 invalid logon attempts • Account lockout duration • 30 minutes • Reset account lockout counter after • 30 minutes Bảng 1. Group Policy Settings dành cho cấp độ Domain • Cấp độ những OU nhóm các hệ thống máy chủ (Servers OU): Cấu hình Giá trị cho cấu hình • Security auditing • Enabled • Allow local logon • Administrators • Guest account status • Disabled • Interactive logon: Do not display last user name • Enabled • Network access: Do not allow anonymous enumeration of SAM accounts and shares • Enabled • Shutdown: Allow system to be shut down without having to log on • Disabled • Automatic Updates • Automatic download and notification for install • Automatically publish new printers in Active Directory • Enabled • Password protect the screen saver • Enabled Bảng 2. Group Policy Settings dành cho Servers OU • Cấp độ OU dành cho việc nhóm các máy tính người dùng trong hệ thống: Cấu hình Giá trị cho cấu hình • Interactive logon: Do not display last user name • Enabled • Interactive logon: Display logon • Enabled ISP Inc. Trang 9/31 Cấu hình Giá trị cho cấu hình message • Network access: Do not allow anonymous enumeration of SAM accounts and shares • Enabled • FTP publishing service • Disabled • Messenger service • Disabled • World Wide Web publishing service • Disabled • Automatic Updates • Automatically download and install • Windows Firewall • Disabled for Windows® XP with Service Pack 1 (SP1) and earlier. • Enabled, with specific exceptions, for Windows XP with SP2 and later. Bảng 3. Group Policy Settings dành cho Computers OU • Khi lên kế họach triển khai OUs, Microsoft cung cấp rất nhiều tùy chọn cho việc cài đặt các chính sách bảo mật này, tùy cấu trúc của doanh nghiệp, sẽ có nhiều lọai OU dành cho các nhóm máy tính, nhưng đối với BVNT, chúng tôi đưa ra hai lọai chính sau đây: o Desktops OU: OU này sẽ có tất cả những cấu hình bảo mật chính dành cho tất cả các máy tính trạm của văn phòng chính. Chính sách GPOs sẽ áp đặt cho OU này theo những mục đích sau: Cho phép người dùng cấu hình các việc cơ b ản trên máy tính, nhưng không cho phép hiệu chỉnh thiết lập thông số kết nối mạng, cài đặt cấu hình phần cứng và những cấu hình quan trọng của hệ thống. Cho phép người dùng có thể đăng nhập và lấy dữ liệu của chính mình từ bất cứ máy tính nào trong mạng, nhưng không lưu lại những trạng thái sử dụng đó khi người dùng thóat và rời khỏi chỗ ngồi của mình ngay tại máy. Ng ăn chặn việc ghi dữ liệu của người dùng trên nội tại của một máy tính để người dùng sẽ lưu vào chính thư mục của mình ngay trên mạng, mang tính chất dễ dàng sao lưu về sau. Các thiết lập độ bảo mật khác cũng phải ở mức cao. o Mobiles OU: OU này mang tính chất dùng cho người hay sử dụng thiết bị xách tay hoặc thiết bị di động khác. Qua đó chúng ta cũng sẽ thiết l ập các chính sách GPOs để áp việc bảo mật vào cho OUs này. Ngòai ra chúng ta còn có thể tạo thêm và tùy biến để cấu hình Group Policy cho các đối tượng OU khác trong hệ thống tùy theo nhu cầu và sự tổ chức hợp lý trong hệ thống của quý công ty. 4.1.3 Cài đặt phần mềm thông qua chính sách (Group Policy) cho tòan bộ hệ thống Một trong những thế mạnh mà Group Policy của AD cung cấp đó là khả năng triển khai cài đặt phần mềm tập trung đến các máy trạm mà người quản trị không phải đến từng máy để thiết lập việc đưa đĩa chương trình vào ổ CD tại máy đó. ISP Inc. Trang 10/31 Việc thực hiện cài đặt này cho chúng ta hai giải pháp. Thứ nhất là cài đặt theo cơ chế Publish mà người sử dụng có thể tự cài đặt phần mềm theo ý thích bằng cách vào công cụ Add/remove Programs trong Control Panel để tự thiết lập riêng cho mình. Cách thứ hai được gọi là Assign, Group Policy sẽ tự động cài đặt phần mềm vào máy tính của người dùng một cách tự động khi máy tính đó tham gia và người dùng đăng nhập vào hệ thống. Hiện nay đã và đang có rất nhiều những phần mềm dành cho phía máy trạm mà được cài đặt thông qua Group Policy dùng để quản lý việc cập nhật các bản vá lỗi cho hệ điều hành, hoặc cập nhật các nhận dạng virus mới, hay các chương trình dùng trong việc bảo mật tập trung đối với hệ thống máy trạm khi những máy này đi đến Gateway để ra ngòai Internet, v.v…. [...]... được đưa ra nhiều nhất v.v…… Qua đó người quản trị có thể phân tích để đưa ra các giải pháp thích hợp để giải quyết tình trạng đang gặp phải, nhằm mang lại sự ổn định cho hệ thống và tăng thêm độ an tòan cho cả mạng ISP Inc Trang 11/31 Sơ đồ cấu trúc mẫu về bảo mật hạ tầng bên trong • Giải pháp được đưa ra dựa trên hạ tầng Bảo Việt Nhân Thọ: Để bảo vệ cho hệ thống kết nối ra Internet, những dịch vụ tối... Trang 30/31 5 LỢI ÍCH CỦA VIỆC XÂY DỰNG GIẢI PHÁP BẢO MẬT HỆ THỐNG MẠNG • Xây dựng hệ thống bảo mật cho mạng BVNT, sẽ mang lại nhiều lợi ích như sau: o Hệ thống được tập trung, nhờ đó khả năng quản trị sẽ tốt hơn o Tài nguyên được tập trung tại một nơi, không bị phân tán, do đó dễ dàng trong vấn đề phân quyền và quản lý về sau o Giảm thiểu khả năng tấn công và Virus trong mạng do hệ thống luôn được cập...4.2 XÂY DỰNG GIẢI PHÁP BẢO MẬT DÀNH CHO VIỆC KẾT NỐI RA INTERNET Ngòai việc thiết lập các chính sách quản trị tập trung bằng AD, phần lớn đã giải quyết được việc bảo vệ tài nguyên bên trong hệ thống mạng, chúng ta còn phải xem xét việc thiết lập những chính sách liên quan đến việc kết nối ra bên ngòai Internet cho công ty Vì vấn đề này là một vấn đề rất nhạy cảm khi hệ thống có... thiết bị liên quan, dùng để kiểm sóat toàn bộ lưu thông trong mạng Sau đây là sơ đồ mô tả cụ thể các bước trên ISP Inc Trang 15/31 Giải pháp phòng chống virus cho mạng doanh nghiệp   Phần mềm Antivirus và giải pháp được đưa ra ở trên họat động theo tuần tự như sau: 1 Định kỳ việc cập nhật các bản virus mới nhất từ phía hãng cung cấp giải pháp Antivirus sẽ được thực hiện ngay tại máy chủ Antivirus chính... xảy ra như thế nào cho thuận tiện với hiện trạng mạng của doanh nghiệp Chúng ta có thể xác lập một lịch biểu cho việc cập nhật, thậm chí có thể cho phép người dùng tương tác , hoặc điều khiển trong tiến trình này nếu người quản trị muốn Chúng ta có thể xem hình minh họa sau đây, và dĩ nhiên những lựa chọn này có thể bị các chính sách (Group Policy) khóa (locked) Sau khi đã cấu hình cho Microsoft SUS... trường công cộng Khi các rule của hạ tầng được siết chặt một cách thống nhất, ban quản trị có thể yên tâm hơn vì đôi khi chỉ do một vấn đề nhỏ nào đó ngay tại vùng kết nối ra bên ngòai bị bỏ qua, nó cũng là nguyên nhân gây nên tai họa khôn lường Các chính sách chúng tôi có thể đưa ra tổng thể sau đây: • Cung cấp cho người dùng truy cập Internet bên trong với việc bảo mật thông qua hệ thống Proxy, nó... các giải pháp cho những doanh nghiệp, chúng tôi thường cung cấp giải pháp phòng chống Virus sử dụng sản phẩm của hãng Symantec, hoặc nếu hệ thống sử dụng mail Exchange của Microsoft, chúng tôi đưa vào sản phẩm của hãng Trend-Micro Và thực tế đã chứng minh độ ổn định và an tòan của những sản phẩm này cực kỳ tốt cho doanh nghiệp đó 4.3.3 Sử dụng dịch vụ WSUS (Windows Software Update Services) dành cho. .. LANguard N.S.S Microsoft SUS server là giải pháp tốt và mang lại hiệu quả cao trong việc quản lý và tiên hành vá các lỗ hổng bảo mật cho hệ điều hành Không chỉ hỗ trợ những bản vá patches cho hệ điều hành, mà còn bao gồm patches cho nhiều ứng dụng (applications) như: IIS và trình duyệt Web IE Tuy nhiên, Microsoft SUS lại thiếu một số tính năng mà GFI LANguard N.S.S cung cấp cho người sử dụng: • • • Triển khai... Ngòai ra chúng còn có thể phát hiện và ngăn chặn những dạng xâm nhập trái phép ở hệ thống bên trong một khi chúng không biết xuất nguồn từ những gói tin đó và cảnh báo đến ban quản trị • Xây dựng những dịch vụ về tường lửa dùng để thực thi việc kiểm tra gói tin và sử dụng công nghệ chuyển dịch địa chỉ (NAT) nhằm ẩn dấu các hệ thống địa chỉ luận lý nội bộ mạng LAN bên trong • Xây dựng những hệ thống lọc... Trang 14/31 4.3 XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VIRUS, SPYWARE, TROJAN, VÀ NHỮNG ĐỌAN MÃ PHÁT TÁN NGUY HIỂM 4.3.1 Giới thiệu Trước khi lên giải pháp về phòng chống virus, người quản trị cần phải nắm rõ những thành phần dịch vụ tồn tại trong hệ thống, có hỗ trợ cho việc này hay không, kể cả hệ điều hành đang sử dụng trong hệ thống nội tại Điển hình là: • Dịch vụ Active Directory® • Dịch vụ mạng, bao gồm . hệ thống sẽ bao gồm bao nhiêu Site, mỗi Site sẽ có bao nhiêu người dùng, bao nhiêu máy tính, hệ thống domain hiện tại đã có chưa, với tên miền là gì? Phòng ban có tổng cộng là bao nhiêu trực. to be shut down without having to log on • Disabled • Automatic Updates • Automatic download and notification for install • Automatically publish new printers in Active Directory • Enabled. mạnh của nó bao gồm những tính năng sau đây: • Sử dụng đơn vị tổ chức (Organization Units): OUs cung cấp một cơ sở dữ liệu tập trung cho tất cả các nguồn tài nguyên trong hệ thống, bao gồm tài