TR NG Ě I H C CỌNG NGH THỌNG TIN TPHCM Khoa Mạng Máy Tính Và Truyền Thơng Ě ÁN XÂY D NG CHệNH SÁCH AN TOÀN THỌNG TIN DOANH NGHI P GI I PHÁP DATA LOSS PREVENTION CHO DOANH NGHI P GIÁO VIÊN H Nguyễ NG D N: NHịM SINH VIÊN TH C HI N: Tống Duy Tân Lâm Vƿ Ph ợng Ěỗ Bảo Thành Nguyễn Phạm Thủy Ngân L i mở đ u Các tổ chức, doanh nghiệp (TC/DN) có nhiều loại hình thơng tin cần đ ợc bảo vệ chặt chẽ nh thông tin khách hàng, bí mật cơng nghệ, chiến l ợc phát triển kinh doanh, hay tin tức nhạy cảm khác,… Những thông tin để lộ ngồi gây hậu nghiêm trọng đến tài chính, danh tiếng công ty quan hệ với đối tác củ Nhiều ng ời cho TC/DN đư trang bị nhiều giải pháp an ninh bảo mật nh t ờng lửa, chống virus, chống xâm nhập… nên ngĕn ngừa thất thơng tin Các giải pháp an ninh truyền thống nh firewall, IPS, Anti giúp nhận diện ngĕn ngừa công, mư độc hại nh ng giải pháp không phân biệt đ ợc liệu nhạy cảm, liệu cần bảo vệ Vì cần xây dựng giải pháp chống thất thoát liệu cho doanh nghiệp (Data Loss Prevention) giúp ngĕn ngừa tối đa nguy thất thơng tin thiết lập xác sách loại thơng tin ng ời đ ợc quyền sử dụng thông tin Bài báo cáo giới thiệu giải pháp chống thất thoát liệu cho doanh nghiệp giải pháp ngĕn ngừa hiệu mát thông tin nhạy cảm, bí mật Nội dung bao gồm: Phần Tổng quan DATA LOSS PREVENTION (DLP) Phần Phân tích đánh giá mơ hình mạng Phần Thiết kế hệ thống Phần Xây dựng qui trình sách bảo mật Phần 5: Kết luận MCLC PH N T NG QUAN V DATA LOSS PREVENTION (DLP) 1.1 Khái niệm DLP 1.2 Các đ ờng dẫn đến mát liệu 1.3 Hiện trạng mát liệu doanh nghiệp PH N PHÂN TệCH VÀ ĚÁNH GIÁ MỌ HÌNH M NG HI N T I 2.1 Những điểm yếu bảo mật 2.2 Những rủi ro mát liệu 2.2.1 Từ attacker 2.2.2 Từ nhân viên PH N3.THI TK H TH NGM I 3.1 Mơ hình tổng qt 3.2 Các giải pháp cơng nghệ đ ợc sử dụng 3.2.1 Giải pháp IDS/IPS security mạng LAN 3.2.1.1 Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion 3.2.2 Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite 3.2.3 Giải pháp backup liệu sử dụng hệ thống SAN 3.2.4 Giải pháp web security 3.2.4.1 Giới thiệu giải pháp 3.2.4.2 Triển khai 3.2.5 Giải pháp email security 3.2.5.1 Giải pháp GFI Archive 2015 3.2.5.2 Giải pháp GFI MailEssentials 2015 3.2.5.3 Giải pháp quản lý hoạt động user – 3.2.5.4 Giải pháp mư hóa email với iSafeguard 3.2.6 Giải pháp file security 3.2.6.1 Triển khai DFS Replic 3.2.6.2 Sử dụng Audit Policy 3.2.6.3 Sử dụng NTFS Permission 3.2.6.4 Sử dụng Backup & Restore để l u liệu định kǶ phục hồi cần thiết 3.2.6.5 Sử dụng Quota để giới hạn dung l ợng sử dụng ổ đƿa File server 3.2.6.6 Sử dụng Shadow Copies để l u phục hồi liệu bị xóa, thay đổi tạm thời 3.2.6.7 Một số giải pháp khác PH N XÂY D NG QUI TRÌNH VÀ CHệNH SÁCH B O M T 4.1 Xây dựng qui trình 4.1.1 Xác định đối t ợng 4.1.2 Xác định mục tiêu 4.1.3 Xác định ph ơng pháp 4.2 Xây dựng sách 4.2.1 Quản lý thiết bị 4.2.2 Quản lý ng ời 4.2.3 Quản lý truy cập 4.2.4 Quản lý thông tin Phân loại thơng tin Chính sách quản lý thơng tin PH N5.K TLU N 5.1 Những điểm đạt đ ợc 5.2 Những điểm cịn thiếu sót PH N T NG QUAN V DATA LOSS PREVENTION (DLP) 1.1 Khái ni m v DLP Cùng với phát triển doanh nghiệp đòi hỏi ngày cao môi tr ờng kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thơng tin cho nhiều đối t ợng khác qua Internet hay Intranet Việc mát, rị rỉ thơng tin ảnh h ởng nghiêm trọng đến tài chính, danh tiếng cơng ty quan hệ với đối tác Vì vấn đề thất liệu doanh nghiệp ln đ ợc quan tâm kiểm soát khắc phục giải pháp chống thất thoát liệu Các hiểm họa hệ thống gây thất liệu (Data Loss) đ ợc phân loại thành hiểm họa vơ tình hay cố ý, chủ động hay thụ động nh sau: Hiểm họa vơ tình: ng ời dùng khởi động lại hệ thống chế độ đặc quyền, họ tùy ý chỉnh sửa hệ thống Nh ng sau hồn thành cơng việc họ khơng chuyển hệ thống sang chế độ thơng th ờng, vơ tình để kẻ xấu lợi dụng Hiểm họa cố ý: nh cố tình truy nhập hệ thống trái phép Hiểm họa thụ động: hiểm họa nh ng ch a không tác động trực tiếp lên hệ thống, nh nghe trộm gói tin đ ờng truyền Hiểm họa chủ động: việc sửa đổi thông tin, thay đổi tình trạng hoạt động hệ thống Giải pháp chống thất thoát liệu (Data Loss Prevention giúp kiểm soát giám sát việc truyền nhận liệu quan trọng dựa vào khả nĕng nhận biết nội dung, quản lý rủi ro thất thơng tin, liệu quan trọng bên Giải pháp đ ợc thiết kế cho phép tổ chức xây dựng sách kiểm sốt hoạt động nhân viên ứng dụng email cá nhân doanh nghiệp, giao tiếp web hoạt động khác 1.2 Các đ ng d n đ n m t mát d li u Những tác nhân ảnh h ởng đến thông tin: T nhiên: thiên tai tác động mơi tr ờng (bưo, lǜ, động đất, khí hậu, hỏa hoạn, ô nhiễm môi tr ờng,…) Nghe mạng (Eavesdropping): ph ơng pháp đời lâu nh ng hiệu quả, kẻ tất công sử dụng thiết bị mạng (router, card mạng,…) ch ơng trình ứng dụng (TCPDump, Ethereal, Wireshark,…) để giám sát l u l ợng mạng, bắt gói tin qua thiết bị này, để khắc phục vấn đề cách tốt mư hóa liệu tr ớc truyền chúng mạng Giả mạo IP Address (IP Address Spoofing): ph ơng pháp công cho phép kẻ công giả mạo địa IP nạn nhân bao gồm kỹ thuật Tấn Attacks): sử dụng chế chứng thực uername password, ph ơng pháp thông dụng nh guessing, social Tấn công từ chối dịch vụ (Denial Attack): mục tiêu công từ chối dịch vụ ngĕn chặn ng ời dùng hợp pháp sử dụng dịch vụ mà họ th ờng nhận đ ợc từ máy chủ, cơng phát sinh từ máy tính (DoS) từ nhóm má Tấn cơng tầng ứng dụng (Application Attack): khai thác điểm yếu ch ơng trình ứng dụng chạy máy server nh sendmail, Postscript FTP Bằng cách khai thác điểm yếu này, chủ thể cơng chiếm quyền truy xuất vào máy tính với quyền truy cập cấp với tài khoản sử dụng : cơng phần mền độc hại • Virus: phần mềm tự chép thực thi khởi chạy ch ơng trình vật chủ, làm hại máy tính chép để lây nhiễm máy tính khác hệ thống • Worm: ch ơng trình đứng (stand alone program), thực thi thời điểm, gây nguy hiểm cho hệ thống th ờng trú • : ngụy trang kèm theo ứng dụng thông th ờng, chức nĕng điều khiển máy tính từ xa, ĕn cắp thơng tin nạn • Logic BOM: ch ơng trình lệnh đ ợc nhúng ch ơng trình, kích hoạt lệnh điều khiển có điều kiện Ng i dùng: Thất liệu xảy trạng thái liệu nh sa Motion (dữ liệu vận chuyển): Các liệu đ ợc truyền thông qua đ ờng Internet nh gửi th điện tử, tải liệu nội lên trang web, truyền tải liệu nội qua kết nối từ xa (remote connection) hay qua kênh giao tiếp nh Yahoo Messenger!, AOL, Skype, … Ví dụ: Rủi ro liệu nội bị luồng bên ngồi kỹ thuật cơng attacker, rò rỉ liệu qua mạng xư hội, giao tiếp nhân viên qua website, gửi nhận mail cá nhân, gửi nhận liệu từ bên ngoài, điểu khiển từ xa,… (dữ liệu l u trữ): liệu đ ợc l u trữ th mục chia ổ đƿa ng ời dùng Ví dụ: Thất liệu xảy hệ thống l u trữ bị cơng, ch ơng trình ứng dụng bị đính kèm phần mềm gián điệp, phần mềm độc hại, liệu bị đánh cấp ng ời có đặc quyền sử dụng, quản lý liệu nội bộ,… (dữ liệu sử dụng): thao tác ng ời dùng cuối nh copy data in ấn Ví dụ: Các thao tác nhân viên vơ tình hay hữu ý cǜng làm ệu bị rị rỉ bên ngồi chép liệu qua usb, in ấn tài liệu, nhập liệu qua bàn phím, máy tính bị giám sát key logger,… T ơng ứng có giải pháp DLP phù hợp để ngĕn chặn việc thất thoát liệu: : kiểm soát, quản lý liệu trạng thái sử dụng : kiểm soát, quản lý liệu trạng thái vận chuyển mạng : kiểm soát, quản lý liệu trạng thái đ ợc l u trữ, tài ngun máy tính Hình 1.2.1: M t mát d li u từ phía ng i dùng Bên cạnh theo báo cáo vi phạm liệu từ Verizon (verizonenterprise.com) nĕm 2010 cho thấy liệu bị vi phạm ghi nhận chủ yếu liên quan đến nguy từ nội bộ, hình thức lừa đảo kỹ nĕng xư hội (Social E tham gia tổ chức tội phạm Hình 1.2.2: Báo cáo v nguyên nhân th t d li u đ c thơng kê nĕm Cụ thể là: Có tới 48% vi phạm từ phía nội Nhiều vi phạm liên quan đến lạm dụng, lợi dụng đặc quyền, 48% ng ời dùng, 40% hacking, 28% Social Engineering Còn số liệu Verizon (verizonenterprise.com) cuối nĕm 2015 cho thấy nguy mát liệu từ nội (Insider Misuse) giảm so với nĕm nhiên chiếm tỉ lệ đáng kể Hình 1.2.3: Báo cáo v s c an ninh qua nĕm 1.3 Hi n tr ng m t mát d li u doanh nghi p Theo báo cáo thất thoát liệu tháng đầu nĕm 2015 – “Global Data Leakage Report, H1 2015” InfoWatch Analytical Center *InfoWatch dự án Kaspersky Lab hoạt động 10 nĕm với mục đích bảo vệ an tồn thơng tin doanh nghiệp* tin tức mát liệu phương tiện thông tin đại chúng, cao kǶ nĕm 2014 Tấn công từ bên (external attacks) đứ , cao kǶ nĕm ngoái với