I. Hiện trạng của doang nghiệp Phân tích điểm yếu của mô hình mạng doang nghiệp như sau Sử dụng mô hình workgroup. Không quản lý được người dùng Không xây dựng chính sách riêng cho các phòng ban Chưa xây dựng được mô hình quản lý các thiết bị Hệ thống File Server không mang tính an toàn và bảo mật chưa cao Rủi ro mất dữ liệu từ nhân viên Không có phần mền antivirus làm hệ thống dễ bị xâm nhập bởi các phần mền độc hại và virus xâm nhập đánh cắp dữ liệu và gây tê liệt máy tính. Chưa xây dựng hệ thống backup và restore tự động khii máy tính của công ty gặp sự cố Chưa xây dựng được hệ thống chạy song song để máy tính giảm thiểu tối đa việc an toàn dữ liệu và thông tin cho doanh nghiệp Máy tính dễ bị xâm nhập bởi các phần mền gián điệp virut. Máy tính của bạn sẽ không an toàn, dễ mất dự liệu và máy tính không có tính bảo mật cao Thông tin người dùng dễ bị xâm nhập Khả năng chống attaker còn yếu Dễ bị nhiễm các phần mền độc hại Không kiễm soát được hacker xâm nhập Tính bảo mật của mô hình chưa cao Chưa phân mô hình Server – Client để quản lý tất cả các thiết bị, tập tin và phân quyền truy cập cho từng máy Chưa xây dựng được mô hình web Server và mail Server Rủi ro mất dữ liệu khá lớn từ nhân viên Chưa xây dựng domain dự phòng Chưa thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. • Cho phép hoặc cấm những dịch vụ truy cập ra ngoài. • Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong. • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập • Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng.
XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN CHO DOANH NGHIỆP I. Hiện trạng của doang nghiệp Phân tích điểm yếu của mô hình mạng doang nghiệp như sau - Sử dụng mô hình workgroup. Không quản lý được người dùng - Không xây dựng chính sách riêng cho các phòng ban - Chưa xây dựng được mô hình quản lý các thiết bị - Hệ thống File Server không mang tính an toàn và bảo mật chưa cao - Rủi ro mất dữ liệu từ nhân viên - Không có phần mền antivirus làm hệ thống dễ bị xâm nhập bởi các phần mền độc hại và virus xâm nhập đánh cắp dữ liệu và gây tê liệt máy tính. - Chưa xây dựng hệ thống backup và restore tự động khii máy tính của công ty gặp sự cố - Chưa xây dựng được hệ thống chạy song song để máy tính giảm thiểu tối đa việc an toàn dữ liệu và thông tin cho doanh nghiệp Máy tính dễ bị xâm nhập bởi các phần mền gián điệp virut. Máy tính của bạn sẽ không an toàn, dễ mất dự liệu và máy tính không có tính bảo mật cao Thông tin người dùng dễ bị xâm nhập Khả năng chống attaker còn yếu Dễ bị nhiễm các phần mền độc hại Không kiễm soát được hacker xâm nhập Tính bảo mật của mô hình chưa cao Chưa phân mô hình Server – Client để quản lý tất cả các thiết bị, tập tin và phân quyền truy cập cho từng máy Chưa xây dựng được mô hình web Server và mail Server Rủi ro mất dữ liệu khá lớn từ nhân viên Chưa xây dựng domain dự phòng Chưa thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. • Cho phép hoặc cấm những dịch vụ truy cập ra ngoài. • Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong. • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập • Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng. Phân tích những rủi ro mất mát dữ liệu Rủi ro mất mát dữ liệu từ Attacker Phân tích rủi ro mất dữ liệu của mô hình doanh nghiệp A: Actacker: gồm những người cần ăn cắp hoặc thay đổi nội dung của dữ liệu gồm có dữ liệu được mã hoá và dữ liệu thô (không mã hoá, dữ liệu nguyên thuỷ), bằng tất cả mọi phương thức có thể ( gắn thêm thiết bị đầu cuối , sniffing data trên đường nó đi (The man in middle), lắng nghe ở ngõ ra , tấn công vào 1 digital certificate ) Một dữ liệu thô khi duy chuyễn trên đường truyền sẽ không được mã hoá do đó việc The Man in middle "bắt" và thay thế dữ liệu đó bằng 1 dữ liệu khác nhằm thay đổi nội dung của packet là điều không thể tránh khỏi, và nếu không xem kỹ thì sẽ rất khó nhận biết hoặc sẽ không thể nhận biết nếu actacker là một người có thể xem là một chuyên gia máy tính… + Một dữ liệu được mã hoá sẽ truyền đi với 1 chuỗi dữ liệu mã hoá kèm với một key, key này sẽ được tạo ra dựa trên chuổi dữ liệu được mã hoá và có dung lượng nhỏ hơn nhiều so với dữ liệu ban đầu.( chữ ký điện tử - Digital signature). Khi actacker bắt dữ liệu và tìm cách thay đổi nó thì dữ liệu mã hoá và key sẽ không trùng nhau, khi chuyển đến người nhận họ sẽ dùng chính khoá đó để so sánh với dữ liệu (dựa trên các thuật toán dùng chung ), nếu dữ liệu bị thay đổi thì khoá không trùng. Xác định những rủi ro và những mối đe dọa máy tính qua những giai đoạn sau: • Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ trực tiếp cho máy tính. Chú ý setup password cho tài khoản built-in ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password của tổ chức. Thường thì Chúng ta có thói quen không tốt ở giai đoạn này là set password null (không đặt pssword). • Xác lập chính sách bảo mật chuẩn bảo mật cơ bản (baseline security) theo quy định an toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi máy tính. Bảo mật cho các máy tính có vai trò đặc biệt. Ví dụ Web server, Database Server. Căn cứ trên chính sách bảo mật chuẩn, các quản trị an ninh mạng cần tăng cường hơn nữa các xác lập bảo mật đối với các Computer đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía attackers. • Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông thường sẽ update các Service packs, securiry updates ) Đây là điều bắt buộc để nâng cao hơn nữa bảo mật cơ bản (baseline security) đã được thiết lập. • Máy tính khi không còn sử dụng hoặc tặng cho người khác cũng cần phải security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các thiết bị Media khác để khai thác những thông tin còn sót lại này. B. Rủi ro mất mát dữ liệu từ Nhân Viên Những Tầm quan trọng của việc bảo mật cho máy tính . Những cuộc tấn công từ bên ngoài: Khi một admin cài đặt software trên một máy tính mới, một Virus có thể lây nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ thống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thống một chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biết rằng máy tính có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổ chức. Hiểm họa từ bên trong: Admin chọn cách cài đặt cho các máy tính của tổ chức là cài đặt từ xa và không cần phải theo dõi trong suốt quá trình cài, cách cài đặt này nhanh chóng và tỏ ra rất chuyên nghiệp. Trong suốt quá trình cài đặt Hệ Điều Hành qua Mạng này, tài khỏan Local administrator của các máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ thống và mạng, thúc đẩy bởi những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password (nếu admin Mạng đang tiến hành cài đặt qua Mạng cho máy tính của sếp và password chuyển qua Mạng dưới dạng cleart-text thì nguy to…vì dữ liệu của các Manager rất quan trọng và hầu hết có giá trị kinh tế ). Đây là một trong rất nhiều những nguy cơ attack từ bên trong Mạng nội bộ. Những mối đe dọa phổ biến: Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm việc với máy tính. Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử dụng, đặc biệt là những ứng dụng kết nối với Internet như Chat, Internet Browser, E -mail… Giải pháp giảm thiểu tối đa các nguy cơ dẫn đến mất mát dữ liệu của Doanh Nghiệp Vấn đề bảo mật đã và đang là một đề tài hết sức nóng bỏng. Vì tài liệu rất quan trọng là cả một tài sản của một tổ chức, do đó bảo mật dữ liệu là vấn đề được các tổ chức quan tâm hàng đầu. Nếu như một tổ chức yếu kém vể bảo mật Attacker có thể trực tiếp tấn công thẳng vào hệ thống máy tính và lấy đi những tài liệu quan trọng của mình. Sau đây là các giải pháp giúp doanh nghiệp hiểu biết sâu rộng hơn về vấn đề bảo mật hệ thống máy tính của mình. Hầu hết các loại máy tính nếu không có những kẽ hở thiếu an toàn về vật lý, thì bản thân hệ điều hành cũng có thể phơi bày những lỗ hổng, tiềm ẩn những nguy cơ cho attacker xâm nhập tấn công và lấy cắp các tài liệu. Security Admin phải đảm bảo an toàn và cập nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá trình hệ thống mạng đang hoạt động. Xây dựng hệ thống mạng luôn đảm bảo cung cấp các giải pháp về an ninh hệ thống theo những cấp độ (tổ chức, điều hành, thương mại, tài chính và về con người) đúng theo tiêu chuẩn hiện đại (chính sách an ninh, tổ chức, phân loại và kiểm soát tài nguyên, an ninh nhân sự, an ninh môi trường và vật lý, quản lý tác nghiệp và truyền thông, kiểm soát truy cập, duy trì và cải tiến, quản lý liên tục, tính tuân thủ) có thể ảnh hưởng đến an ninh thông tin của doanh nghiệp nhằm đảm bảo tính : Tính tin cậy (Confidentiality) Tính toàn vẹn (Integrity) Tính sẵn sàng (Availability) GiảI pháp bảo vệ đa cấp về phần cứng Lớp Firewall bên ngoài Lớp an ninh trung gian Firewall bảo vệ hệ thống máy chủ (serverfarm) - internal firewall Phần mềm phòng chống Virus cho máy trạm (end-user) Giải pháp ngăn chặn mất mát dữ liệu (data lost prevention) Giải pháp an ninh vật lý cho các phòng máy chủ Hệ thống giám sát và quản trị hệ thống an ninh thông tin Xây dựng chính sách an ninh cho doanh nghiệp 3. Xây dựng hệ thống cho công ty Vẽ lại hệ thống tổng thể 1. Mô hình chi tiết An toàn bảo mật cho máy chủ Web Server(Web Security) Nhiệm vụ của Web Security Bảo vệ các dịch vụ, bảo vệ Web Server, Database, Source Code Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho các hacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó. Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấn công từ chối dịch vụ, quảng cáo các website có nội dung không lành mạnh, xoá, thay đổi nội dung các file hay phần mềm chứa mã nguy hiểm. Bài viết dưới đây được trình bày như những lời khuyên cho việc đảm bảo an toàn cho các máy chủ Web. Đặt các Webserver của bạn trong vùng DMZ. Thiết lập firewall của bạn không cho các kết nối tới Webserver trên toàn bộ các cổng, ngoại trừ cổng 80 (http), cổng 443 (https) và các cổng dịch vụ mà bạn sử dụng. Loại bỏ toàn bộ các dịch vụ không cần thiết khỏi Webserver của bạn ngay cả dịch vụ truyền tệp FTP (chỉ giữ lại nếu thật cần thiết). Mỗi dịch vụ không cần thiết sẽ bị lợi dụng để tấn công hệ thống nếu không có chế độ bảo mật tốt. Không cho phép quản trị hệ thống từ xa, trừ khi nó được đăng nhập theo kiểu mật khẩu chỉ sử dụng một lần hay đường kết nối đã được mã hoá. Giới hạn số người có quyền quản trị hay truy cập mức tối cao (root). Tạo các log file theo dõi hoạt động của người sử dụng và duy trì các log file này trong môi trường được mã hoá. Hệ thống điều khiển log file thông thường được sử dụng cho bất kỳ hoạt động nào. Cài đặt các bẫy macro để xem các tấn công vào máy chủ. Tạo các macro chạy liên tục hoặc ít ra có thể kiểm tra tính nguyên vẹn của file passwd và các file hệ thống khác. Khi các macro kiểm tra một sự thay đổi, chúng nên gửi một email tới nhà quản lý hệ thống. Loại bỏ toàn bộ các file không cần thiết khỏi thư mục chứa các file kịch bản thi hành: /cgi-bin. Đăng ký và cập nhật định kỳ các bản sửa lỗi mới nhất về an toàn, bảo mật từ các nhà cung cấp. Nếu hệ thống phải được quản trị từ xa, đòi hỏi một cơ chế bảo mật như bảo mật shell, được sử dụng để tạo ra một kết nối bảo mật. Không sử dụng telnet hay ftp với user là anynomous (đòi hỏi một usernam và password cho việc truy cập) từ bất cứ site không được chứng thực nào. Tốt hơn, hãy giới hạn số kết nối trong các hệ thống bảo mật và các hệ thống bên trong mạng Intranet của bạn. Chạy webserver trong các thư mục đã được đặt quyền truy cập và quyền sử dụng, vì vậy chỉ có người quản trị mới có thể truy cập hệ thống thực Chạy server FTP theo chế độ anonymous (nếu hệ thống cần) trong một thư mục được đặt quyền truy cập, khác với thư mục được sử dụng bởi webserver. Thực hiện toàn bộ việc cập nhật từ mạng Intranet. Duy trì trang web ban đầu trên mỗi server trên hệ thống mạng Intranet và tạo các thay đổi và cập nhật ở đây; sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL. Nếu thực hiện điều này hàng giờ, có thể tránh khả năng server treo một thời gian dài. Quét Webserver theo định kỳ với các công cụ như ISS hay nmap để tìm kiếm lỗ hổng bảo mật. Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần mềm này cảnh báo các hành động nguy hiểm và bắt các session của chúng lại để xem Thông tin này có thể giúp bạn lấy được thông tin về cách thức phá hoại mạng, cũng như mức độ bảo mật trong hệ thống của bạn. Tuân thủ các quy tắc nhất định nêu trên sẽ giúp cho Webserver được bảo vệ tốt hơn và người quản trị mạng không còn chịu nỗi đau đầu, lo lắng về vấn đề an toàn máy chủ web và an toàn thông tin cho toàn bộ hệ thống. Mô hình chi tiết An toàn bảo mật cho máy chủ Mail Server(Mail Security) Cấu hình Máy chủ Mail nâng cao (Windows 2003 Server) Cấu hình Máy chủ Mail nâng cao (Windows 2003 Server) Cấu hình nhiều mail-server để sử dụng một nơi lưu giữ mail đơn hay một nơi lưu giữ mail từ xa , bạn phải đang sử dụng một Active Directory integrated authentication (chứng thực tích hợp Active Directory) hoặc encrypted password file authentication (chứng thực file mật khẩu được mã hóa). Mail-server phải ở trong cùng một domain Active Directory như máy tính mà trên đó nơi lưu giữ mail được cấu hình. Để cấu hình nhiều mail-server có thể sử dụng một nơi lưu giữ mail đơn hay nơi lưu giữ mail từ xa: + Theo chỉ dẫn trợ giúp của Windows Server 2003 để cài đặt các dịch vụ E- mail trên mỗi máy tính mà bạn muốn sử dụng như là một mail-server. Những chỉ dẫn này được cung cấp trong mục trợ giúp “To install e-mail services”. Để xem mục này, nhấn Start, và sau đó nhấn Help and Support. Nhấn Internet and E-mail Services, nhấn E-mail services và sau đó nhấn POP3 service. Nhấn How To, Set Up the POP3 Service và sau đó nhấn Install e-mail [...]... thông thƣ viện tài nguyên tập trung hoá bất cứ khi nào có thể là biện pháp an toàn và tiện lợi trong trong bảo mật cũng như chia sẻ thông tin Xây dựng chính sách an thông tin để phối hợp với các công nghệ được sử dụng trong hệ thống để giảm thiểu tối đa mất mát dữ liệu trong hệ thống Xây dựng hệ thông quản lý an toàn thông tin: thiết lập mô hình Các biện pháp về tổ chức Quản lý tài nguyên An toàn thông. .. vật lý (Physical and Environmental Security) Định nghĩa, xác định mức độ an toàn về môi trường, vị trí lắp đặt hệ thống giám sát, phòng chống cháy nổ, giảm thiểu thiên tai cho các thiết bị và tài sản thông tin; Quản lý tác nghiệp và thông tin liên lạc (Communications and Operations Management): Xác định và quản trị các quá trình thông tin tạo điều kiện cho hệ thông quản lý an ninh thông tin hoạt động... và nâng cao nhận thức an t an thông tin Quản lý các kết quả kiẩm tra hệ thống Tổng quan Kiểm tra dữ liệu nhập Kiểm tra dữ liệu xuất Phát triển hệ thống :Phát triển sữa đổi ngăn ngừa Mục tiêu, lĩnh vực cần quản lý trong an ninh thông tin: Chính sách an ninh (Security Policy) Cung cấp các nguyên tắc, chỉ dẫn khuyến nghị để cải thiện an ninh thông tin ; Tổ chức an ninh (Security Organization) Đề cập đến... lý an ninh thông tin; Phân loại và kiểm tra tài sản (Asset Classification and Control) Thực hiện việc kiểm kê tài sản thông tin, đánh giá rủi ro để bảo vệ thông tin một cách có hiệu quả; An ninh về nhân sự (Personnel Security) Mô tả trách nhiệm của nhân viên, vai trò của các cá nhân trong an ninh thông tin, nhằm giảm thiểu các sai sót do lỗi của con người, do ăn cắp hoặc lạm dụng tài sản công; An ninh... nhập thông tin có kiểm soát, ghi nhận (logging) quá trình truy nhập vào hệ thống; Phát triển hệ thống và bảo dưỡng (Systems Development and Maintenance): Đảm bảo các dự án, chương trình CNTT được xây dựng, thiết lập, triển khai một cách an toàn thông qua quá trình kiểm tra mã nguồn, kiểm soát dữ liệu chương trình và sử dụng các giải thuật mã hóa; Quản trị tính liên tục trong kinh doanh (Business Continuity... huống cảnh báo nhầm (false positive) hoặc không cảnh báo khi có xâm nhập (false negative) Xây dựng mô hình Server – Client Hiện trạng công ty 1.1 Phòng Giám Đốc Có kích thước bao gồm 3 Client (1 cho Giám Đốc,1 cho PGĐ, 1 cho Trợ lý) 1.2 Phòng Kinh Doanh Đặt 8 Client ( 1cho Trưởng phòng, 1 cho Phó phòng,1 cho trợ lý, 5 cho nhân viên) 1.3 Phòng Hành Chánh-Nhân Sự Đặt 6 Client (1 Trưởng phòng,1 phó phòng,... yêu cầu về ATTT trong nội bộ cơ quan: An toàn mật khẩu Quy tắc phòng chống virus và các phần mềm độc hại Quy tắc phòng chống thâm nhập vật lý Quy tắc an toàn vật lý các thiết bị Quy tắc tiêu hủy một cách an toàn dữ liệu và thiết bị Nội quy đảm bảo an toàn vị trí làm việc Quy tắc thực hiện truy cập từ xa Quy tắc truy cập nội bộ (Local Access) Quy tắc lưu trữ các thông tin dự phòng Các nội quy giám sát... dữ liệu của doanh nghiệp với số lượng ngang bằng hoặc thậm chí lớn hơn nhu cầu của nhân viên nội bộ Ví dụ, các mạng Extranet client của Fenwick & West đang được sử dụng thường xuyên bởi khách hàng hợp tác với nhân viên uỷ quyền của hãng Đôi khi, người dùng bên ngoài hứng thú với dữ liệu của doanh nghiệp hơn nhiều so với người trong nội bộ công ty Quan tâm tới các điểm cuối Sự phát triển nhanh chóng của... lớn thời gian để lướt web? Ai đã dành thời gian vào các trang mua sắm, trang thể thao hoặc trang đồi trụy? Nhân viên tán gẫu (chat) hoặc sử dụng những dịch vụ email nặc danh như Hotmail và Gmail Ai đang gửi nhiều email nhất với những tài liệu đính kèm? Những nhân viên nào có thể rò rỉ thông tin công ty bí mật của công ty thông qua các thiết bị lưu trữ di động như MP3, USB, CD và DVD? Ai đang in ấn những... Windows Server 2008 + Mdaemon Đăng ký dịch vụ internet: Một đường Line của nhà cung cấp dịch vụ Một Modem ADSL Câu 4: Xây dựng chính sách an toàn thông tin để phối hợp với các công nghệ được sử dụng trong hệ thống để giảm thiểu tối đa khả năng mất mất dữ liệu trong hệ thống Không thể đảm bảo an toàn 100%, nhưng ta có thể giảm bớt các rủi ro không mong muốn dưới tác động từ mọi phía của các lĩnh vực hoạt động . prevention) Giải pháp an ninh vật lý cho các phòng máy chủ Hệ thống giám sát và quản trị hệ thống an ninh thông tin Xây dựng chính sách an ninh cho doanh nghiệp 3. Xây dựng hệ thống cho công ty Vẽ. XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN CHO DOANH NGHIỆP I. Hiện trạng của doang nghiệp Phân tích điểm yếu của mô hình mạng doang nghiệp như sau - Sử dụng mô hình. lý được người dùng - Không xây dựng chính sách riêng cho các phòng ban - Chưa xây dựng được mô hình quản lý các thiết bị - Hệ thống File Server không mang tính an toàn và bảo mật chưa cao -