Tiểu luận - an ninh mạng - đề tài - HỆ THỐNG PHÒNG CHỐNG RÒ RỈ THÔNG TIN (DATA LOSS PREVENTATION)

Trang 1

Tiểu lu n cuối kỳ học phần An ninh mạng:ận cuối kỳ học phần An ninh mạng:

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 1

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC QUY NHƠN

TIỂU LUẬN CUỐI KỲ HỌC PHẦN AN NINH MẠNG

HỆ THỐNG PHÒNG CHỐNG RÒ RỈ THÔNG TIN(DATA LOSS PREVENTATION)

Trang 2

LỜI MỞ ĐẦU

Hiện nay, các mối đe dọa về an toàn thông tin đang có xu hướng chuyển từ tấncông hạ tầng mạng để phá hoại, làm mất uy tín sang đánh cắp thông tin nhạy cảmnhằm trục lợi Trong tổ chức/doanh nghiệp (TC/DN), loại thông tin này nằm rải rácở nhiều bộ phận và do vô tình hay cố ý mà chúng có thể bị rò rỉ, phát tán qua nhiềucon đường khác nhau Việc tìm ra giải pháp phù hợp nhằm ngăn ngừa rò rỉ thôngtin không hề đơn giản.

Các tổ chức/doanh nghiệp (TC/DN) hoạt động trong lĩnh vực nào, khi đầu tưxây dựng một hệ thống Công nghệ thông tin (CNTT) hoàn chỉnh thì không thểthiếu các giải pháp về an ninh bảo mật cho hệ thống của mình Nếu data center nhưtrái tim của một hệ thống thì các giải pháp về an ninh bảo mật là rào chắn bảo vệtrái tim, bảo vệ các dữ liệu, thông tin và hệ thống của doanh nghiệp an toàn trướccác truy cập trái phép từ bên ngoài lẫn bên trong doanh nghiệp.

Phòng chống rò rỉ dữ liệu DLP (Data Leak Prevention) là tập hợp các giải phápgiúp tổ chức phát hiện và ngăn chặn việc rò rỉ dữ liệu nhạy cảm ra bên ngoài.Những dữ liệu có thể là danh sách khách hàng, bí mật kinh doanh, tài liệu kế toántài chính công ty, thông tin hợp đồng, tài liệu kỹ thuật công nghệ, thông tin sở hữutrí tuệ, thông tin sáng chế độc quyền được lưu và phân tán trên hệ thống máychủ, máy trạm, PC, laptop, Những thông tin này nếu để lộ ra ngoài có thể gây cáchậu quả nghiêm trọng đến tài chính, danh tiếng của công ty, gây thiệt hại đến hoạtđộng kinh doanh của doanh nghiệp.

Nội dung bao gồm:

Phần 1: Tổng quan về DATA LOSS PREVENTION (DLP) Phần 2: Phân tích và đánh giá mô hình mạng hiện tại

Phần 3: Thiết kế hệ thống mới

Phần 4: Xây dựng qui trình và chính sách bảo mật Phần 5: Kết luận

Trang 3

1.2 Các con đường dẫn đến mất mát dữ liệu 5

1.3 Hiện trạng mất mát dữ liệu trong doanh nghiệp 8

PHẦN 2 PHÂN TÍCH VÀ ĐÁNH GIÁ MÔ HÌNH MẠNG HIỆN TẠI 10

2.1 Những điểm yếu về bảo mật 10

3.2 Các giải pháp công nghệ được sử dụng 14

3.2.1 Giải pháp IDS/IPS security trong mạng LAN 14

3.2.2 Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite173.2.3 Giải pháp backup dữ liệu sử dụng hệ thống SAN 18

3.2.4 Giải pháp web security 19

3.2.5 Giải pháp email security 21

3.2.6 Giải pháp file security 27

PHẦN 4 XÂY DỰNG QUI TRÌNH VÀ CHÍNH SÁCH BẢO MẬT 32

Trang 4

4.2.2 Quản lý con người 38

Trang 5

PHẦN 1 TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP)1.1 Khái niệm về DLP

Các tổ chức/doanh nghiệp (TC/DN) có rất nhiều loại hình thông tin cần đượcbảo vệ chặt chẽ như thông tin khách hàng, bí mật công nghệ, chiến lược phát triểnkinh doanh, hay các tin tức nhạy cảm khác,… Những thông tin/dữ liệu này nếu đểlộ ra ngoài có thể gây các hậu quả nghiệm trọng đối với TC/DN Vì vậy vấn đề thấtthoát dữ liệu trong doanh nghiệp luôn được quan tâm kiểm soát và khắc phục bằngcác giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP)

Các hiểm họa đối với hệ thống có thể gây thất thoát dữ liệu (Data Loss) đượcphân loại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động như sau:

- Hiểm họa vô tình: khi người dùng khởi động lại hệ thống ở chế độ đặcquyền, họ có thể tùy ý chỉnh sửa hệ thống Nhưng sau khi hoàn thành công việc họkhông chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng.

- Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép

- Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếplên hệ thống, như nghe trộm các gói tin trên đường truyền

- Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống

Giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP): giúp kiểm soátvà giám sát việc truyền nhận những dữ liệu quan trọng dựa vào khả năng nhận biếtnội dung, quản lý các rủi ro thất thoát thông tin, dữ liệu quan trọng ra bên ngoài.Giải pháp được thiết kế cho phép các tổ chức xây dựng những chính sách kiểmsoát hoạt động của nhân viên trên các ứng dụng email cá nhân và doanh nghiệp,giao tiếp trên web và các hoạt động khác.

1.2 Các con đường dẫn đến mất mát dữ liệu

Những tác nhân ảnh hưởng đến thông tin:

Tự nhiên: thiên tai và tác động của môi trường (bão, lũ, động đất, khí hậu, hỏa

hoạn, ô nhiễm môi trường,…).

Attacker: Nghe lén trên mạng (Eavesdropping): là một phương pháp ra đời khá

lâu nhưng hiệu quả, kẻ tất công sử dụng các thiết bị mạng (router, card mạng,…)

Trang 6

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 6và một chương trình ứng dụng (TCPDump, Ethereal, Wireshark,…) để giám sát

lưu lượng mạng, bắt các gói tin đi qua các thiết bị này, để khắc phục vấn đề nàycách tốt nhất là mã hóa dữ liệu trước khi truyền chúng trên mạng.

- Giả mạo IP Address (IP Address Spoofing): là phương pháp tấn công

cho phép kẻ tấn công giả mạo địa chỉ IP của nạn nhân bao gồm các kỹ thuật SYNflooding, TCP hijacking, ARP spoofing

- Tấn công Password (Password-Based Attacks): là sử dụng cơ chế chứng

thực uername password, các phương pháp thông dụng như guessing, socialengineering, dictionary, password sniffing

- Tấn công từ chối dịch vụ (Denial-of-Service Attack): mục tiêu của cuộc

tấn công từ chối dịch vụ là ngăn chặn người dùng hợp pháp sử dụng những dịch vụmà họ thường nhận được từ các máy chủ, cuộc tấn công có thể phát sinh từ mộtmáy tính (DoS) hoặc từ một nhóm máy tính (DDoS)

- Tấn công tầng ứng dụng (Application Attack): là khai thác những điểm

yếu trong các chương trình ứng dụng chạy trên các máy server như sendmail,Postscript và FTP Bằng cách khai thác những điểm yếu này, chủ thể tấn công cóthể chiếm quyền truy xuất vào các máy tính với quyền truy cập cùng cấp với tàikhoản đang sử dụng.

- Malicious Code: tấn công bằng các phần mền độc hại

• Virus: là phần mềm tự sao chép và thực thi khi khởi chạy một chương trìnhvật chủ, làm hại máy tính và sao chép chính nó để lây nhiễm các máy tính kháctrong hệ thống

• Worm: là một chương trình đứng một mình (stand alone program), thực thibất kì thời điểm, gây nguy hiểm cho hệ thống nó thường trú.

• Trojan: ngụy trang kèm theo những ứng dụng thông thường, chức năngchính là điều khiển máy tính từ xa, ăn cắp thông tin của nạn nhân.

• Logic BOM: là chương trình con hoặc một lệnh được nhúng trong chươngtrình, kích hoạt bởi những lệnh điều khiển có điều kiện.

Người dùng:

Thất thoát dữ liệu có thể xảy ra ở các trạng thái của dữ liệu như sau:

Trang 7

Data-in-Motion: là phương pháp phát hiện và kiểm soát thông tin lưu chuyển

trên mạng như qua mail, web, phương pháp này còn được gọi là ngăn ngừa mứcmạng (Network-based DLP).

Ưu điểm: phạm vi kiểm soát thông tin rộng, từ tất cả các máy bên trong gửi ra

bên ngoài, chính sách kiểm soát thống nhất tại mạng vành đai (giữa mạng nội bộ LAN và mạng công cộng - Internet), triển khai đơn giản, không đòi hỏi cài đặt cácphần mềm trên các máy trạm, máy chủ.

-Nhược điểm: không kiểm soát được việc copy, in, các thông tin từ máy trạm,

máy chủ.

Data-in-Use: là phương pháp phát hiện và kiểm soát dữ liệu trên máy trạm, máy

chủ như copy ra USB, ghi CD/DVD, in trên giấy, Phương pháp này còn được gọilà ngăn ngừa tại các điểm đầu cuối (Endpoint DLP).

Ưu điểm: Phạm vi kiểm soát thông tin với mọi hành động của người dùng (in,

sao chép, gửi thông tin qua mạng).

Nhược điểm: Chính sách được thiết lập phân tán trên các máy đầu cuối dẫn tới

có máy không được áp dụng chính sách và/hoặc để giảm thiểu chi phí cho bảnquyền, chi phí bảo trì nên khách hàng thường không mua đầy đủ license cho toànbộ các máy trạm, máy chủ; không kiểm soát được đối với các máy không cài phầnmềm, phần mềm không tương thích, phần mềm bị cố tình làm vô hiệu ; triển khaiphức tạp vì phải cài đặt, cấu hình phần mềm trên các máy trạm, máy chủ,

Data-at-Rest: là phương pháp phát hiện sự tồn tại của dữ liệu nhạy cảm nằm

trong các máy trạm, máy chủ, ổ đĩa cứng, thiết bị đầu cuối, việc thực thi cácchính sách ngăn ngừa mất mát dữ liệu không phải là một kết quả trực tiếp củaData- at- Rest DLP Các thông tin thu thập được qua Data- at- Rest DLP có thểđược sử dụng để đưa ra một kế hoạch hành động nhằm làm giảm nguy cơ mất dữliệu.

Ưu điểm: Phạm vi phát hiện sự tồn tại của dữ liệu nhạy cảm khi thực hiện quét

các vị trí được chỉ ra.

Nhược điểm: Phát hiện sự tồn tại của dữ liệu nhạy cảm, nhưng không thực hiện

được các chính sách ngăn ngừa thất thoát dữ liệu; thực hiện quét với phần mềm

Trang 8

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 8(Agent) thường trú, hoặc phần mềm tạm thời khiến tiêu tốn tài nguyên của các hệ

Theo báo cáo thất thoát dữ liệu 6 tháng đầu năm 2015 – “Global Data Leakage

Report, H1 2015” của InfoWatch Analytical Center *InfoWatch là một dự án của

Kaspersky Lab hoạt động trên 10 năm với mục đích bảo vệ an toàn thông tindoanh nghiệp*

- Có 723 tin tức về mất mát dữ liệu trên phương tiện thông tin đại chúng, caohơn 10% so với cùng kỳ năm 2014

- Tấn công từ bên ngoài (external attacks) đứng 32%, cao hơn 9% cùng kỳnăm ngoái.

Trang 9

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 9- Tổ chức chính phủ có sự sụt giảm tỷ lệ mất mát dữ liệu, nhưng đối với các

công ty thương mại tăng đến 75%.

- Công ty vận tải, cùng với các dịch vụ trực tuyến, các nhà bán lẻ, và các tổchức y tế là nguồn lớn nhất của rò rỉ dữ liệu cá nhân.

- 90% sự rò rỉ liên quan đến thông tin cá nhân, hơn 262 triệu hồ sơ bị tổn hạibao gồm cả dữ liệu tài chính Đặc biệt, mất mát về bí mật thương mại, bí quyếtkinh doanh tăng 1.6%

- Nhân viên chịu gần 58% trách nhiệm cho các vụ rò rỉ, trong khi giám đốcđiều hành là 1%

Kết luận:

Hiện nay, hầu hết các tổ chức và doanh nghiệp tại Việt Nam đều áp dụng CNTTphục vụ trong việc hoạt động, kinh doanh và sản xuất nhằm mục đích tối ưu vàhiệu quả nhất Điều này đồng nghĩa với việc thất thoát và rò rỉ thông tin sẽ ảnhhưởng rất lớn đến việc hoạt động, kinh doanh và sản xuất của tổ chức, doanhnghiệp Từ những số liệu thống kê kể trên, ta thấy rằng nếu tình trạng thất thoát dữliệu nói chung và thất thoát dữ liệu trong doanh nghiệp đã lên đến con số báo độngtrong những năm gần đây Các vụ tấn công từ bên ngoài, tình trạng nhân viên bêntrong ảnh hưởng đến dữ liệu công ty … cho thấy cần phải có một hoặc nhiều giảipháp chống thất thoát dữ liệu hiện đại, toàn diện, có sự kết hợp của nhiều phía:công nghệ, quy trình, chính sách, con người.

Trang 10

PHẦN 2 PHÂN TÍCH VÀ ĐÁNH GIÁ MÔ HÌNH MẠNG HIỆN TẠI2.1 Những điểm yếu về bảo mật

Mô hình mạng hiện tại

Mô hình mạng được sử dụng hiện tại bộc lộ những điểm yếu như: Quản trị theo mô hình Domain

 Router Cisco tích hợp firewall

 Không có phần mềm antivirus, firewall chuyên dụng cũng như các chínhsách bảo mật khác

 Chưa có chính sách vận hành hệ thống, chính sách về vấn đề an toàn thôngtin trong hệ thống và chính sách sao lưu và phục hồi dữ liệu.

 Tất cả các máy chủ đặt tại Data Center

Nguyên nhân:

 Không có firewall chuyên dụng dễ bị tấn công DoS, DdoS … để đánh cắp dữliệu

 In ấn tự do, không có sự quản lý tập trung

 Không có phần mềm antivirus nên dễ bị lây nhiễm virus qua các thiết bị diđộng hoặc truy cập mạng, attacker cố tình tấn công …

 Hệ thống mạng không có tính dự phòng, điều này gây khó khăn trong việcsao lưu và phục hồi dữ liệu khi có sự cố xảy ra

 Không có chính sách an ninh, nhân viên có thể sao chép dữ liệu qua USB,gửi thông tin qua các internet mà không bị pháp hiện

 Không có sự phân chia luận lý giữa các phòng ban

Trang 11

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 11 Chưa có cơ chế cập nhật bản vá lỗi cho client và server và chưa có hệ thống

chủ động tìm kiếm, phát hiện và ngăn ngừa xâm nhập

 Thiếu cơ chế bảo mật web, mail chuyên dụng tại gateway và thiếu cơ chếquản lý các nhân viên truy cập từ xa

 Thiếu việc triển khai các hệ thống giám sát hệ thống mạng (NetworkMonitoring) cũng như chính sách triển khai baseline và theo dõi, ghi log toàn bộ sựkiện xảy ra trong hệ thống

Attacker có thể tấn công dữ liệu bằng cách:

 Tấn công vào lỗ hổng bảo mật: Hacker lợi dụng các lỗ hổng bảo mật mạng,các giao thức cũng như các lỗ hổng của hệ điều hành… để tấn công ăn cắp dữ liệu.Ví dụ như hacker lợi dụng lỗ hổng SQL injection của việc kiểm tra dữ liệu đầu vàotrong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về đểinject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp SQL injection có thểcho phép những kẻ tấn công thực hiện các thao tác, delete, insert, update, v.v trêncơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy SQLinjection thường được biết đến như là một vật trung gian tấn công trên các ứngdụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQLServer, MySQL, Oracle, DB2, Sysbase

 Tấn công giả mạo DNS (DNS cache poisoning) là kỹ thuật tấn công MITM,theo đó dữ liệu sai sẽ được đưa vào hệ thống tên miền (DNS) cho một máy chủ, đểkhi người dùng duyệt đến một địa chỉ nào đó sẽ bị chuyển sang một địa chỉ khácmà không hề hay biết Ví dụ như người dùng duyệt đến địa chỉ www.abc.com có IPlà XXX.XX.XX.XX thì trình duyệt sẽ được chuyển đến một địachỉ www.abc.com giả mạo cư trú ở địa chỉ IP YYY.YY.YY.YY với giao diện hoàntoàn giống với giao diện khi dùng địa chỉ thật, đây là địa chỉ mà kẻ tấn công đã tạo

Trang 12

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 12trước để đánh cắp các thông tin người dùng, chẳng hạn như tài khoản ngân hàng

trực tuyến của người dùng, Hoặc kẻ tấn công nhằm giả dạng một nhân vật đángtin cậy để dò la và lấy cắp thông tin, ví dụ như các attacker dùng email tự xưng làcác ngân hàng hoặc tổ chức hợp pháp thường được gởi số lượng lớn Nó yêu cầungười nhận cung cấp các thông tin khá nhạy cảm như tên truy cập, mật khẩu, mãđăng ký hoặc số PIN bằng cách dẫn đến một đường link tới một website nhìn có vẻhợp pháp, điều đó giúp cho tên trộm có thể thu thập được những thông tin của quýkhách để tiến hành các giao dịch bất hợp pháp sau đó

 Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng các phần mềmđộc hại, hoặc các loại virut được tiêm vào các phần mềm trông như vô hại để dụngười sử dụng nhiễm phải Chúng có thể ăn cắp thông tin, phá hoại dữ liệu máytính và lây lan qua các máy khác

 Tấn công trực tiếp qua các kết nối vật lí: Bằng cách này hay cách khác kẻ tấncông tìm cách tiếp cận với mạng nội bộ, chúng có thể dung một số công cụ nghelén để bắt các gói tin, phân tích chúng để ăn cắp dữ liệu Ví dụ như thông tin tàikhoản đăng nhập, chiếm quyền điều khiển của các máy để lấy dữ liệu hoặc tấncông máy chủ…

 Tấn công thăm dò: Attacker giả dạng các công ty về bán sản phẩm tin học đểhỏi thăm nhân viên về một số thông tin của phòng server, có bao nhiêu thiết bị,thiết bị dùng hãng nào, có firewall hay không… để từ đó làm cơ sở cho tấn công vàđánh cắp dữ liệu

 Thông qua các kỹ thuật nghe lén: Các thông tin nhạy cảm dưới dạng bảncứng không được hủy bỏ một cách thích hợp, thường thì chỉ được vứt vào sọt rác.Attacker có thể thu thập được các thông tin này một cách dễ dàng

 Phishing và Pre-Phishing: Phishing là một phương thức lừa đảo nhằm giảmạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến và cáccông ty thẻ tín dụng để lừa người dùng chia sẻ thông tin tài chính như: tên đăngnhập, mật khẩu giao dịch, những thông tin nhạy cảm khác của họ Attacker có thểdễ dàng lừa nhân viên truy cập vào trang web độc hại, tải và cài đặt các keyloggerghi lại toàn bộ thông tin trong máy nạn nhân Phương thức tấn công này còn có thể

Trang 13

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 13cài phần mềm độc hại vào thiết bị của người dùng Chúng thực sự là mối quan ngại

lớn nếu người dùng chưa có kiến thức về kiểu tấn công này hoặc thiếu cảnh giác vềnó

 Có thể do sự vô ý của nhân viên: Nhân viên đính kèm nhầm file, nhân viênchọn sai người gửi (tính năng AutoComplete trên Outlook, nếu như nhân viênkhông kiểm tra kỹ thì nguy cơ nhân viên gửi nhầm mail quan trọng rất có khả năngxảy ra), nhân viên bị lừa để gửi thông tin ra ngoài Hoặc thông qua các dịch vụcloud storage miễn phí: Nhân viên có thể upload dữ liệu nhạy cảm lên các hệ thốnglưu trữ đám mây miễn phí như dropbox hay Skydriver

 Nhân viên có thể upload dữ liệu lên một FTP server trên internet để gửithông tin ra ngoài

 In tài liệu, photocopy tự do không được quản lý tập trung Đem tài liệu in,copy ra bên ngoài

 Dùng điện thoại, camera chụp lại tài liệu của công ty

 Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viênkhác chép dữ liệu của mình đem ra bên ngoài

 Thiết bị USB chứa dữ liệu quan trọng bị mất hay để quên tại nơi làm việc

Trang 14

PHẦN 3 THIẾT KẾ HỆ THỐNG MỚI3.1 Mô hình tổng quát

3.2 Các giải pháp công nghệ được sử dụng

3.2.1 Giải pháp IDS/IPS security trong mạng LAN

Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion PreventionSystem)

Giới thiệu giải pháp

Được phát triển dựa trên cổ máy phát hiện xâm nhập nổi tiếng nhất thế giới SNORT® rules-based detection engine Sourcefire IPS kết hợp sức mạnh của cácgiải pháp phát hiện lỗ hổng bảo mật và phát hiện nguy cơ dựa trên các dấu hiệu bấtthường, với tốc độ lên tới 10 Gbps, cho phép phân tích lưu lượng dữ liệu trên mạngvà phòng chống các nguy cơ nghiêm trọng cho mạng lưới Có thể dùng để triểnkhai bảo vệ mạng tại vùng biên, tại DMZ, trong mạng Core hoặc tại bất kỳ phânvùng mạng nào; có thể triển khai phòng chống tích cực bằng cách xen giữa các lưu

Trang 15

-Tiểu lu n cuối kỳ học phần An ninh mạng:ận cuối kỳ học phần An ninh mạng:

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 15lượng cần bảo vệ hoặc giám thính lưu lượng một cách thụ động với các thông báo

hữu ích

Các hệ thống IDS của Sourcefire rất dễ sử dụng và cung cấp một khả năng phòngchống nguy cơ một cách toàn diện Sourcefire IPS nổi bật ở khả năng phân tích cao,tường trình mạnh mẽ và độ linh hoạt không gì sánh bằng Nhờ Sourcefire RNA™(Real-time Network Awareness), người dùng có thể khai thác Sourcefire IPS ở mộtmức độ cao cấp hơn nữa RNA cho phép giám sát hoạt động mạng 24x7, quản lý tàinguyên mạng trong thời gian thực - hệ điều hành, dịch vụ mạng, ứng dụng, giaothức mạng sử dụng, các nguy cơ tiềm ẩn hiện hữu trong mạng Bằng việc tích hợptrong thời gian thực các thông tin mạng lưới vào hệ thống IPS, RNA giúp tự độnghóa cho các quá trình tiếp theo trong việc tinh chỉnh IPS và đánh giá tầm ảnhhưởng của các biến cố an ninh trong mạng Các hệ thống IPS của Sourcefire có khảnăng phòng chống các loại nguy cơ rất đa dạng:

  

Worms TrojansBackdoorattacks

   

IPv6 attacks DoS attacks Buffer overflows P2P attacks

   

Application anomalies Malformed traffic Invalid headers Blended threats 

 

Spyware Port scans VoIP attacks

 

StatisticalanomaliesProtocolanomalies

 

Zero-day threats TCPreassembly & IPdefragmentation

Trang 16

Triển khai giải pháp

 Một thiết bị IPS được đặt ở chế độ inline nằm giữa core switch và vùngServer

 Farm để phát hiện và ngăn chặn các cuộc tấn công từ bất kỳ đâu (kể cảclient) vào Server Farm

 Một thiết bị IPS đặt giữa Firewall và vùng DMZ cho phép phát hiện, ngănchặn các cuộc tấn công từ internet vào DMZ

 Một thiết bị IPS đực đặt giữa tường lửa và hệ thống mạng bên trong để pháthiện và ngăn chặn các cuộc tấn công từ bên ngoài vào

 Sourcefire Defense Center™: là trung tâm quản lý của Sourcefire 3DSystem Defense Center (DC) kết hợp nhiều chức năng bảo mật bao gồm quản lý sựkiện, thiết lập tương quan và phân cấp độ ưu tiên trong đánh giá, phân tích các xuhướng và quản lý các báo cáo Tất cả các dữ liệu sự kiện sẽ được gửi từ SourcefireIPS Sensor về DC để phân tích và lưu trữ tập trung tại đây DC được thiết kế đặcbiệt để có thể quản lý đến 100 IPS sensors và trên 100 triệu events

Trang 17

3.2.2 Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite Giới thiệu giải pháp

McAfee Endpoint Protection Suite (EPS) là bộ sản phẩm tích hợp nhiều côngnghệ bảo mật của McAfee , nhằm tạo ra nhiều lớp bảo vệ cho hệ thống máy trạm,máy chủ, ngăn chặn những nguy cơ và rủi ro về thất thoát dữ liệu đối với máy chủ,máy trạm trong hệ thống Với bộ giải pháp bảo mật McAfee EPS chúng ta sẽ cóđược những lợi ích sau:

 McAfee EPS bao gồm tính năng Antivirus/Antispyware giúp cho các máytrạm, máy chủ phòng chống hiệu quả trước các nguy cơ lây nhiễm virus/Malwarevà các tấn công zero-day với công nghệ dựa trên mẫu, công nghệ dựa trên phân tíchhành vi và điện toán đám mây

 Tính năng tường lửa cá nhân kiểm soát toàn diện luồng dữ liệu vào ra máychủ/máy trạm, phát hiện và ngăn chặn các luồng dữ liệu bất hợp pháp vào ra hệthống

 Khả năng kiểm soát thiết bị ngoại vi giúp giảm thiểu tối đa các nguy cơ pháttán virus/Malware qua USB, đồng thời đảm bảo tính tuân thủ của người dùng trongtổ chức về việc sử dụng thiết bị ngoại vi (chỉ được phép sử dụng thiết bi ngoại vimà tổ chức cho phép)

 Tính năng cảnh báo mức độ nguy hiểm/rủi ro của các website giúp ngườidùng biết được website nào đáng tin cậy, website nào tiềm ẩn các nguy cơ tấn công. McAfee EPS cung cấp sẵn tính năng lọc virus/malware và phòng chốngSpam mail Giảm thiểu nguy cơ lây lan virus, malware và Spam mail

 Việc triển khai không gây ảnh hưởng tới người dùng cuối Việc phân hoạchvà quản lý một cách dễ dàng Giảm thiểu tối đa thời gian triển khai và cài đặt

 Cho phép quản trị phân hoạch, gộp nhóm tài nguyên (máy trạm, máy chủ) từđó dễ dàng xây dựng chính sách bảo mật cho từng nhóm tài nguyên, giúp giảmthiểu tối đa thời gian triển khai cài đặt, xây dựng chính sách bảo mật cũng như quảnlý các máy trạm, máy chủ.

Trang 18

Triển khai giải pháp

Triển khai McAfee EPS xuống tất cả các máy trạm một cách tự động thông quamột Agent duy nhất, McAfee Agent Thực hiện phân hoạch, gộp nhóm tài nguyên(máy chủ, máy trạm) để dễ dàng xây dựng chính sách bảo mật cũng như quản lýcác máy trạm, máy chủ

3.2.3 Giải pháp backup dữ liệu sử dụng hệ thống SAN

SAN (Storage Area Network) là một mạng riêng tốc độ cao dùng cho việctruyền dữ liệu giữa các máy chủ tham gia vào hệ thống lưu trữ cũng như giữa cácthiết bị lưu trữ với nhau SAN cho phép thực hiện quản lý tập trung và cung cấpkhả năng chia sẻ dữ liệu và tài nguyên lưu trữ Hầu hết mạng SAN hiện nay dựatrên công nghệ kênh cáp quang, cung cấp cho người sử dụng khả năng mở rộng,hiệu năng và tính sẵn sàng cao

Hê thống SAN được chia là̀m hai mức: mức vật lý và logic

 Mức vật lý: mô tả sự liên kết các thành phần của mạng tạo ra một hệ thốnglưu trữ đồng nhất và có thể sử dụng đồng thời cho nhiều ứng dụng và̀ người dùng

 Mức logic: bao gồm các ứng dụng, các công cụ quản lý và dịch vụ được xâydựng trên nề̀n tảng của các thiết bị lớp vật lí́, cung cấp khả năng quản lý hệ thốngSAN

Ưu điểm của hệ thống SAN:

 Có khả năng sao lưu dữ liệu với dung lượng lớn và thường xuyên mà khônglàm ảnh hưởng đến lưu lượng thông tin trên mạng.̣

Trang 19

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 19 SAN đặc biệt thích hợp với các ứng dụng cần tốc độ và độ trễ nhỏ ví dụ như

các ứng dụng xử lý giao dịch trong ngành ngân hàng, tài chính  Dữ liệu luôn ở̉ mức độ sẵn sà̀ng cao

 Dữ liệu được lưu trữ thống nhất, tập trung và có khả năng quản lý cao Cókhả năng khôi phục dữ liệu nếu có xảy ra sự cố

 Hỗ trợ nhiều giao thức, chuẩn lưu trữ khác nhau như: iSCSI, FCIP,DWDM

 Có khả năng mở rộng tốt trên cả phương diện số lượng thiết bị, dung lượnghệ thống cũng như khoảng cách vật lý

 Mức độ an toàn cao do thực hiện quản lý tập trung cũng như sử dụng các ̣công cụ hỗ trợ quản lý SAN

3.2.4 Giải pháp web security 3.2.4.1 Giới thiệu giải pháp

* Giải pháp chống thất thoát dữ liệu và bảo mật Web với McAfee Web

Gateway

McAfee là công ty chuyên về an toàn an ninh mạng, cung cấp các giải pháp bảomật toàn diện cho đối tượng khách hàng rộng khắp từ doanh nghiệp lớn, tổ chứcchính phủ, tới doanh nghiệp vừa và nhỏ, cũng như các khách hàng khác Giải phápbảo vệ toàn diện cho phép phòng chống tấn công trên mạng, bảo vệ hệ thống máytính khỏi các cuộc tấn công phức hợp hay các tấn công thế hệ mới, các dạng tấncông này được khai thác trên nhiều mức độ của hạ tầng mạng McAfee cung cấpgiải pháp bảo mật theo chiều sâu, từ vùng mạng core đến vành đai, bảo mật toànvẹn cho hệ thống máy chủ, máy trạm, thông qua hai giải pháp: McAfee SystemProtection Solution nhằm bảo mật cho hệ thống máy chủ và máy trạm và McAfeeNetwork Protection Solutions để đảm bảo khả năng bảo vệ và tốc độ của hệ thốngmạng Trong đó McAfee Network Protection Solutions là giải pháp bảo vệ trướcnhững tấn công cho cả mô hình mạng lớn và nhỏ Giải pháp bảo vệ này bao gồm:McAfee Foundstone® là hệ thống quản lý rủi ro và McAfee IntruShield® thànhphần phòng chống tấn công trên hệ thống mạng

Trang 20

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 20Nói đến bảo mật Web thì không thể không nhắc đến các giải pháp Network

Security: Là giải pháp bảo mật, phòng thủ có chiều sâu giúp bảo vệ hệ thống mạngdoanh nghiệp, các vùng mạng vành đai, vùng mạng core trước các tấn công củavirus, worm, hacker nhằm vào các ứng dụng của doanh nghiệp

Trong đó sản phẩm điển hình hiệu quả nhất cho Bảo mật Web là: McAfee WebGateway (Webwasher): giải pháp kiểm soát an ninh cho doanh nghiêp, ̣ phòngchống những đoạn mã độc trước khi thâm nhập vào hệ thống mạng (trong môitrường web), spyware, virus, phishing…

McAfee Web Gateway cung cấp một số ưu điểm sau:

 Chống được hầu hết các mối đe dọa đến từ môi trường web: virus, spyware,malicious code, phishing …

 Hỗ trợ tất cả các giao thức duyệt web, chống dữ liệu bị thất thoát thông quacon đường web như Wiki , web post, blog và hỗ trợ hầu hết các ứng dụng web 2.0thông qua một danh sách các từ khóa được định nghĩa sẵn (kể cả giao thức SSL).Thực hiện mã hóa file khi được upload lên các cloud storage hay thông qua một sốtrang web chia sẻ file thông dụng, cho phép thực thi các chính sách kể cả trên thiếtbị di động, điện thoại thông minh, máy tính bảng, tự động hóa bảo mật các nguồntài nguyên trong mạng kể cả lúc tài nguyên đó không được quan tâm đến

 Lọc các luồng dữ liệu mã hóa SSL thông qua chức năng SSL Deep Packetinspections

 Hỗ trợ tích hợp cùng với các giải pháp DLP khác

 Đơn giản hóa trong việc quản trị trong một giao diện duy nhất

Trang 21

3.2.4.2 Triển khai

Mô hình triển khai McAfee Web Gateway.

Mô tả:

 User duyệt web bằng cách gởi yêu cầu đến Web Proxy Server

 Web Proxy Server sẽ tiến hành gửi các luồng dữ liệu duyệt web đến McAfeeWeb Gateway Tại đây McAfee Web Gateway sẽ phân tích luồng dữ liệu vừa đếnvới các luật đã được thiết lập trước đó, nếu phát hiện vi phạm từ các chính sáchMcAfee Web Gateway đề ra, nó sẽ chuyển tiếp luồng dữ liệu đến Web ProxyServer và chặn chúng lại

 Nếu ngược lại các yêu cầu đều được phép, Web Proxy Server sẽ thực hiệnyêu cầu và trả kết quả về cho user

3.2.5 Giải pháp email security

Nguy cơ: Hiện nay, các cá nhân, tổ chức, doanh nghiệp sử dụng email để giao

tiếp trong công việc, trong trao đổi thông tin, dữ liệu đều đang phải đối diện vớinhững nguy cơ tìm ẩn như mất mát dữ liệu, bị tấn công bởi virus, virus, spam,spyware, malware từ email.

Trước tình trạng một khối lượng vô cùng lớn spam gia tăng đáng kể từng ngàyđã trở nên "lấn lướt" các email server doanh nghiệp và email người sử dụng Spamdẫn đến việc làm lãng phí tài nguyên của doanh nghiệp, giảm hiệu suất lao độngcũng như trở thành gánh nặng cho doanh nghiệp Ngoài ra, các nguy cơ ngày càng

Trang 22

“Hệ thống phòng chống rò rỉ thông tin (Data loss preventation)” 22tinh tế về nội dung của Spam làm cho chúng trở thành một loại hình tấn công mới

rất nguy hiểm và khó bảo vệ Chính vì lẽ đó, doanh nghiệp cần có giải pháp quảnlý lưu trữ email, chống spam, lọc nội dung mail, chống virus, mailware … từ emailvà kiểm soát việc sử dụng email của nhân viên.

3.2.5.1 Giải pháp GFI Archive 2015

GFI Archiver cho phép các công ty lưu trữ và quản lý tập trung email, lịch vàlịch sử tập tin và dễ dàng truy cập vào các dữ liệu khi cần thiết GFI Archiver làmột sự bổ sung cần thiết cho mọi chiến lược sao lưu vì nó giữ một phiên bản cósẵn của các cuộc hội thoại email của người sử dụng cũng như các tập tin quantrọng.

Các tính năng nổi bật:

- Quản lý lịch sử thông tin điện tử của công ty bao gồm email, file đính kèm,tập tin, các mục lịch, fax và SMS (văn bản) và các tin nhắn thoại được gửi quaemail.

- Tự động lưu trữ email để tăng hiệu quả, cải thiện hiệu suất máy chủvà giảm sự phụ thuộc vào các tập tin PST không đáng tin cậy.

- File Archiving Assistant cho phép nhân viên và các nhóm làm việc trên tàiliệu được chia sẻ mà không dựa vào bên thứ ba lưu trữ tập tin trực tuyến.

- Tìm và nhận mail, file đính kèm và các tập tin cũ một cách nhanh chóng và dễdàng bằng cách sử dụng tìm kiếm nâng cao và chức năng restore.

- Xác định các vấn đề kinh doanh, giảm thiểu rủi ro pháp lý và quản lý năngsuất bằng cách báo cáo về các dữ liệu kinh doanh quan trọng được tìm thấy trongkho lưu trữ của bạn.

- Tùy chọn lưu trữ linh hoạt cho phù hợp với nhu cầu kinh doanh của bạn; chọnđể lưu trữ tất cả mọi thứ, hoặc chỉ các mục bạn cần thông qua các quy tắc, emailhoặc thư mục.