Những điểm yếu trong mô hình mạng− Hệ thống mạng được thiết kế theo mô hình workgroup nên CSDL phân tán, khó quản lý − Không có firewall chuyên dụng nên dễ bị tấn công DOS, DDOS… để đánh
Trang 1ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG
ĐỒ ÁN MÔN XÂY DỰNG CHUẨN CHÍNH SÁCH AN TOÀN
THÔNG TIN TRONG DOANH NGHIỆP DATA LOSS PREVENTION
Giáo viên hướng dẫn: THS NGUYỄN DUY
Sinh viên thực hiện:
Trang 2MỤC LỤC
Trang 31. Tổng quan về đề tài
Data Loss Prevention là một trong những mối đe dọa lớn nhất trong lĩnh vực an toàn thông
tin của doanh nghiệp Thống kê những phương thức có thể gây mất mát dữ liệu của Proofpoint vào năm 2010
Trang 4Hiện nay, ở Việt Nam vấn đề này đang được các doanh nghiệp quan tâm Nhận thức được sức
“nóng” của vấn đề này, chúng ta hãy cùng nghiên cứu và đưa ra giải pháp để khắc phục vấn đề này
Trang 52. Hiện trạng mạng doanh nghiệp
Hiện tại doanh nghiệp có khoảng 100 người dùng Thông tin chi tiết các dịch vụ chạy trong hệ thống xem hình bên dưới Những thông tin chi tiết về hệ thống:
− Quản trị theo mô hình workgroup
− Router Cisco tích hợp firewall
− Không có phần mềm antivirus, firewall chuyên dụng cũng như các chính sách bảo mật khác
Trang 63. Những điểm yếu trong mô hình mạng
− Hệ thống mạng được thiết kế theo mô hình workgroup nên CSDL phân tán, khó quản lý
− Không có firewall chuyên dụng nên dễ bị tấn công DOS, DDOS… để đánh cắp dữ liệu
− Các phòng ban có cùng lớp mạng nên có thể truy cập dữ liệu lẫn nhau Dễ bị mất mát dữ liệu
− In ấn tự do, không có sự quản lý tập trung
− Không có phần mềm antivirus nên dễ bị lây nhiễm virus qua các thiết bị di động hoặc thông qua việc truy cập mạng của nhân viên
− Hệ thống mạng không có tính dự phòng Khi router chết thì sẽ làm tê liệt hệ thống mạng
− Các máy tính trong môi trường workgroup là ngang hàng với nhau không thể kiểm soát được truy cập của nhân viên
− Không có chính sách an ninh nào được áp dụng nên nhah viên có thể chép dữ liệu qua usb hay gởi thông tin ra bên ngoài thông qua internet mà không bị phát hiện
− Hệ thống mạng chỉ sử dụng 1 đường truyền mạng
− Khó mở rộng mô hình mạng
Trang 74. Phân tích rủi ro mất mát dữ liệu
4.1 Attacker
− Tấn công vào lỗ hổng bảo mật: Hacker lợi dụng các lỗ hổng bảo mật mạng, các giao
thức cũng như các lỗ hổng của hệ điều hành… để tấn công ăn cắp dữ liệu Ví dụ như attacker lợi dụng lỗ hổng SQL injection của máy chủ web để tấn công và get cơ sở dữ liệu trong SQL
− Tấn công giả mạo: Đây là thủ đoạn của kẻ tấn công nhằm giả dạng một nhân vật đáng
tin cậy để dò la và lấy cắp thông tin, ví dụ như các attacker dùng email tự xưng là các ngân hàng hoặc tổ chức hợp pháp thường được gởi số lượng lớn Nó yêu cầu người nhận cung cấp các thông tin khá nhạy cảm như tên truy cập, mật khẩu, mã đăng ký hoặc
số PIN bằng cách dẫn đến một đường link tới một website nhìn có vẻ hợp pháp, điều đó giúp cho tên trộm có thể thu thập được những thông tin của quý khách để tiến hành các giao dịch bất hợp pháp sau đó
− Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng các phần mềm độc hại,
hoặc các loại virut được tiêm vào các phần mềm trông như vô hại để dụ người sử dụng nhiễm phải Chúng có thể ăn cắp thông tin, phá hoại dữ liệu máy tính và lây lan qua các máy khác
− Tấn công trực tiếp qua các kết nối vật lí: Bằng cách này hay cách khác kẻ tấn công
tìm cách tiếp cận với mạng nội bộ, chúng có thể dung một số công cụ nghe lén để bắt các gói tin, phân tích chúng để ăn cắp dữ liệu Ví dụ như thông tin tài khoản đăng nhập, chiếm quyền điều khiển của các máy để lấy dữ liệu hoặc tấn công máy chủ…
− Tấn công thăm dò: Attacker giả dạng các công ty về bán sản phẩm tin học để hỏi thăm
nhân viên về một số thông tin của phòng server, có bao nhiêu thiết bị, thiết bị dùng hãng nào, có firewall hay không… để từ đó làm cơ sở cho tấn công và đánh cắp dữ liệu
4.2 Nhân viên
− Nhân viên có thể gởi những thông tin mật của công ty ra ngoài qua email
− Truy cập mạng, lướt web vô tình click vào những link lạ hay hình ảnh được chia sẻ có thể bị dính virus rồi bị đánh cắp thông tin
− Sử dụng các chương trình chia sẽ file, up dữ liệu lên mạng
− Sử dụng laptop các nhân trong công việc mà không mã hóa dữ liệu rồi vô tình bị đánh cắp
− Sử dụng các thiết bị di động để chép dữ liệu ra bên ngoài hoặc để chép dữ liệu về làm việc nhưng lại để mất các thiết bị di động này
Trang 8− Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên khác chép dữ liệu của mình đem ra bên ngoài.
− Lây nhiễm virus do nhân viên sử dụng USB cắm vào máy tính công ty
− Nhân viên tiết lộ thông tin nội bộ ra bên ngoài trong quá trình sử dụng : skype, yahoo, điện thoại…
− Nhân viên có thể cài phần mềm nghe lén vào trong máy tính của công ty
− In tài liệu, photocopy tự do không được quản lý tập trung Đem tài liệu in, copy ra bên ngoài
− Dùng điện thoại, camera chụp lại tài liệu của công ty
Trang 95. Thiết kế lại hệ thống
5.1 Mô hình tổng thể
− Từ sơ đồ ban đầu của công ty được xây dựng với môi trường Workgroup, không có firewall chuyên dụng… còn tồn tại nhiều nhược điểm thì công ty yêu cầu cần triển khai lại hệ thống mới với độ bảo mật cao hơn
− Dưới đây là mô hình tổng thể được thiết kế lại theo hướng giảm thất thoát dữ liệu và đảm bảo độ bảo mật cao
5.1.1 Điểm mạnh của mô hình
− Sử dụng mô hình mạng với cấu trúc phân lớp ( 3 lớp):
Trang 10• Lớp Core: Gồm 2 Router có nhiệm vụ cung cấp tối ưu hoá và độ tin cậy trong quá trình truyền tin với tốc độ rất cao Lớp Core Layer đáp ứng các vai trò sau: Kiểm tra Access-list, Mã hoá dữ liệu, Address translation
• Lớp Distribution: Gồm 2 Switch layer 3 có vai trò đáp ứng một số giao tiếp giúp giảm tải cho lớp Core Layer trong quá trình truyền thông tin trong mạng Một chính sách có thể áp dụng các dạng cụ thể sau: Routing updates, Route summaries, VLAN
• Lớp Access: Lớp truy cập chủ yếu được thiết kế cung cấp các cổng kết nối đến từng máy trạm trên cùng một mạng, nên thỉnh thoảng nó còn được gọi là Desktop Layer Bất cứ các dữ liệu nào của các dịch vụ từ xa (ở các VLAN khác, ở ngoài vào) đều được xử lý ở lớp Phân Phối
Mang lại sự thuận tiện trong thiết kế, cụ thể trong triển khai, dễ dàng để quản lý và giải quyết sự cố Và cũng đáp ứng được yêu cầu về tính mềm dẻo cho hệ thống mạng
− Mô hình trên đáp ứng tương đối đầy đủ các yêu cầu kĩ thuật khi thiết kế mạng như:
• Khả năng dự phòng, sẵn sàng được đánh giá rất cao trong mô hình mạng này
Dự phòng hai nhà cung cấp mạng
Các thiết bị,đường dây đều được dự phòng khi xảy ra sự cố
• Hiệu suất hoạt động của mạng rất ổn định:
Thiết kế theo mô hình ba lớp nên mỗi tầng có nhiệm vụ riêng đảm bảo không tầng nào bị quá tải
Sử dụng router có tính năng load balancing đảm bảo cân bằng tải khi đi ra bên ngoài hệ thống
• Khả năng quản trị:
Mô hình được thiết kế tập trung: các truy cập bên trong, cũng như ra bên ngoài đều được kiểm soát bởi các phần mềm bảo mật được cài trên server cục bộ
Vùng DMZ được thiết kế tách biệt với Server nội bộ để đảm bảo tính bảo mật
Khách hàng được thiết kế đường dây wifi riêng biệt để tránh các truy cập trái phép vào hệ thống
Mỗi phòng ban là một vlan riêng đảm bảo các phòng ban không thể truy cập dữ liệu của nhau và đảm bảo độ bảo mật cho hệ thống mạng
• Khả năng mở rộng của mô hình này rất linh hoạt: do các thiết bị được backup, kết hợp với tính mềm dẻo của mô hình 3 lớp nên việc mở rộng mô hình rất dễ thực hiện
• Mô hình mạng được thiết kế để đảm bảo hệ thống mạng thích ứng với các công nghệ mới trong tương lai
Trang 11• Bảo mật:
Sử dụng 2 firewall UTM tích hợp nhiều tính năng bảo mật tốt
Bên trong hệ thống sử dụng các dịch vụ bảo mất tốt nhất hiện nay
Các kết nối từ xa được đảm bảo thông qua đường hâm VPN
5.1.2 Triển khai thiết bị
− Hệ thống sử dụng 2 nhà mạng là FPT và Viettel để đảm bảo không bị gián đoạn hệ thông mạng
− Hệ thống tường lửa được đặt sau router nhằm bảo vệ vùng DMZ và vùng Server farm được an toàn Tường lửa ở đây công ty sử dụng tường lửa của hãng Checkpoint với sản phẩm UTM-1 130 triển khai ở mức gateway nhằm kiểm soát tất cả lưu lượng mạng ra
và vào Ngoài ra, thì hệ thống còn xây dựng thêm firewall mềm cũng của hãng checkpoint với dòng sản phẩm Endpoint Security trên máy Domain Controller nhằm kiểm soát nhân viên truy cập đầu cuối
− Vùng DMZ sẽ triển khai hệ thống Web server và Mail server (Mdaemon) Vùng này sẽ nối trực tiếp với Firewall Checkpoint để kiểm soát mọi lưu lượng ra vào nhằm đảm bảo
an toàn cho vùng DMZ hạn chế tấn công từ bên ngoài
− Vùng Server farm sẽ triển khai hệ thống File server, Domain Controller, DHCP, DNS
và Server backup Riêng máy Domain Controller sẽ triển khai winserver 2008 và EndPoint Security của Checkpoint
− Mỗi phòng ban là 1 Vlan riêng để đảm bảo dữ liệu của mỗi phòng ba là bảo mât Nhân viên của phòng ban này không thể truy cập dữ liệu của phòng ban khác Mỗi vlan sẽ nối trực tiếp với Switch layer2, rồi từ switch layer 2 sẽ nối trực tiếp với Switch layer3 ở lớp Distribution
− Đối với khách hàng và đối tác của công ty thì chỉ sử dụng được hệ thống wifi của công
ty cấp hệ thống wifi này sử dụng 1 Vlan riêng tách biệt với hệ thống mạng dây của công ty
5.2 Mô hình chi tiết cho web và mail server
• Mô hình web server
Trang 12Web server được xây dựng tách biệt với các vùng khác, được nối trực tiếp với 2 Firewall UTM nhằm đảo bảo độ an toàn cho web server này.Với mô hình này thì web server đảm bảo được tính sẵn sàng cao
• Mô hình cho mail server
Trang 13Mail server được xây dựng tách biệt với các vùng khác, được nối trực tiếp với 2 Firewall UTM nhằm đảo bảo độ an toàn cho mail server này.Với mô hình này thì mail server đảm bảo được tính sẵn sàng cao
5.3 Giải pháp công nghệ
Để đảm bảo an toàn cho cả hệ thống mạng, công ty đã sử dụng sản phầm tường lửa của hãng Checkpoint ở mức Gateway và Endpoint Checkpoint là hãng luôn đi đầu 16 năm liền trong lĩnh vực tường lửa và 12 năm đi đầu trong lĩnh vực VPN Sau đây là một số chức năng của dòng sản phầm này:
• Chức năng của Endpoint Security [1]
− Full Disk Encryption : Bảo đảm an ninh các ổ đĩa cứng hoàn toàn tự động và ẩn đi
với người dùng cuối Dùng cơ chế xác thực khởi động (Multi-factor pre-boot authentication) để định danh người dùng
− Media Encryption: Cung cấp khả năng mã hóa thiết bị lưu trữ đa phương tiện
Khả năng kiểm soát Port cho phép quản lí các Port thiết bị đầu cuối, bao gồm khả năng truy cập vào hoạt đông của Port đó
− Remote Access : Cung cấp cho người dùng truy cập một cách an ninh và liền lạc
đến mạng hay tài nguyên công ty khi người dùng di chuyển
Trang 14− Anti-Malware/Program Control : Phát hiện và xóa bỏ hiệu quả malware ở thiết bị
đầu cuối với bộ lọc đơn Phần mềm kiểm soát chương trình chỉ cho phép các chương trình hợp pháp và được cho phép chạy trên thiết bị đầu cuối
− WebCheck : Bảo vệ chống lại các mối đe dọa trên nền web mới nhất bao gồm việc
download, tấn công zero-day Đưa trình duyệt chạy trên môi trường ảo hóa an ninh
− Firewall/Compliance Check: Bảo vệ bên trong và bên ngoài giúp ngăn chặn
malware từ những hệ thống đã bị nhiễm, khóa các cuộc tấn công có mục tiêu và ngăn chăn các luồng traffic không mong muốn
• Chức năng của UTM-1 130 [2]
− Firewall : Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức
và dịch vụ với tính năng công nghệ kiểm soát thích ứng và thông minh nhất
− IPsec VPN: Kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN
Site-to-Site được quản lý truy cập từ xa mềm dẻo
− IPS: Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao
phủ các nguy cơ tốt nhất
− Web Security: Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo
vệ mạnh nhất chống lại các tấn công tràn bộ đệm
− URL Filtering: Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs, bảo vệ
người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm
− Antivirus & Anti-Malware: Bảo vệ diệt virus hàng đầu bao gồm phân tích virus
heuristic, ngăn chặn virus, sâu và các malware khác tại cổng
− Anti-Spam & Email Security: Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn
spam, bảo vệ các servers và hạn chế tấn công qua email
• Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint
• Chống các cuộc tấn công DOS và Buffer over flow (Dùng tính năng Anti-Spam
& Email Security của UTM-1 130)
Trang 15• Chặn web theo thể loại như streaming media, search engine… Hạn chế nhân viên sử dụng web để tìm kiếm dữ liệu và xem video hay phim (Dùng tính năng Web Filtering của UTM-1 130)
• Chặn các URL mà người quản trị không muốn nhân viên truy cập vào trong giờ làm việc (Dùng tính năng Web Filtering của UTM-1 130)
• Bảo vệ an toàn truy cập web (Dùng tính năng Antivirus & Anti Malware của UTM-1 130)
• Không được sử dụng laptop trong công ty
• Mã hóa các dữ liệu trên các ổ đĩa của Desktop (Dùng tính năng Full Disk Encryption của Endpoint Security)
• Triển khai firewall trên máy Desktop trong công ty để chống lại malware, virus Hạn chế lây nhiễm virus qua usb (Dùng tính năng Anti-Malware của Endpoint Security)
• Với tính năng IPS trên UTM-1 130 sẽ ghi nhận lại thông tin các luồng dữ liệu
đi ra và vào mạng để phân tích sự bất thường và cảnh báo cho quản trị viên
• Thiết lập các rules để chống lại các cuộc tấn công như DOS, DDOS, Buffer over flow…
Ngoài ra những chức năng trên thì Checkpoint còn cung cấp một giải pháp nhằm hướng đến giải pháp chống thất thoát dữ liệu trong công ty với tên gọi là DLP (Data Loss Prevetion) Giải pháp này được triển khai ở mức gateway trên firewall UTM của Checkpoint
• Lợi ích của giải DLP [3]
− Dễ dàng triển khai và quản lý đơn giản
Trang 16− Sử dụng công nghệ UserCheck cho phép khắc phục hậu quả trong thời gian thực
− Kiểm tra và kiểm soát dữ liệu ra vào công ty và giữa các phòng ban với nhau
• Tính năng của DLP
− Checkpoint UserCheck: Công nghệ này cảnh báo cho người dùng vi phạm chính sách của công ty và người dùng phải lập tức khắc phục sự cố Nếu người dùng cố tình vi phạm sẽ có thông tin log được gởi về cho nhà quản trị
− Bảo vệ thông tin nội bộ: DLP kiểm soát toàn bộ thông tin email khi rời khỏi công
ty Tất cả email khi muốn rời khỏi công ty thì đều phải được chuyển đến DLP gateway kiểm tra
− Mã hóa toàn bộ dữ liệu khi đi qua DLP gateway DLP sẽ giải mã dữ liệu bằng public key của người gởi để kiểm tra, bảo vệ sau đó mã hóa lại và gởi đến cho người nhận
− Bảo vệ dữ liệu khi gởi qua mạng như: SMTP, HTTP, FTP
− Fingerprint Sensitive Files: Quét và kiểm tra kho tập tin nhạy cảm khi 1 dữ liệu được gởi ra bên ngoài Nếu tập tin nhạy cảm phù hợp với kho dữ liệu thì tập tin đó
sẽ được giữ lại không cho gởi ra bên ngoài
Trang 17− Triển khai nhanh chóng và linh hoạt: Check Point DLP Software Blades có thể được cài đặt trên bất kỳ Check Point gateway nào Triển khai dễ dàng và nhanh chóng, tiết kiệm thời gian và giảm chi phí bằng cách tận dụng cơ sở hạ tầng bảo mật hiện tại
Trang 186. Xây dựng chính sách
6.1 Chính sách bảo mật của tổ chức
6.1.1 Internal: Chính sách nội bộ trong công ty
Xây dựng được một tài liệu mô tả toàn bộ hệ thống mạng của công ty Trong tài liệu này phải đề cập đến các thiết bị , các kết nối giữa các thiết bị, các địa chỉ IP trên các thiết bị , các giải thuật định tuyến sử dụng trong mạng …
Hệ thống mạng phải được bảo mật: Cần phải quản lý chi tiết việc truy cập vào dịch vụ mạng của các user như: các ứng dụng mạng được phép sử dụng, các trang web được phép truy cập, thời gian truy cập, ngăn chặn download các định dạng file cụ thể để tránh làm giảm hiệu năng mạng… Ngoài ra , phải giám sát được hiệu suất của hệ thống mạng của công ty , đảm bảo băng thông cho việc sử dụng quan trọng Để thực hiện được chính sách trên thì một giải pháp tối ưu đó là sử dụng hệ thống UTM (Unified Thread Management) và Endpoint Security mà cụ thể ở đây sử dụng thiết bị của hãng Checkpoint
Chính sách đảm bảo an toàn cho vùng DMZ mà cụ thể ở đây là web server và mail server nhằm hạn chế những cuộc tấn công từ bên ngoài vào như DOS, DDOS, spam email…
Chính sách đảm bảo an toàn cho vùng server nội bộ : Các server nội bộ không public ra ngoài nên tránh được các cuộc tấn công từ bên ngoài nhưng còn những cuộc tấn công từ bên trong thì sao ? Vì vậy việc phân chia quyền truy cập vào các server ở đây là khá cần thiết Trong công ty , các server nội bộ nằm trong một vùng Vlan riêng biệt nên chỉ cần phân quyền cho phép những người dùng nào có thể truy cập vào Vlan này
Sao lưu dữ liệu thường xuyên: Sao lưu dữ liệu thường được thực hiện hàng ngày
cụ thể là từ 16h -17h
Quản lý các file cấu hình của các thiết bị trong mạng : các file cấu hình trên router, switch, access point cần phải được quản lý sao lưu
6.1.2 External: Chính sách cho những đối tác tới của công ty
Chính sách cho khách hàng : Các khách hàng khi đến mua hàng chỉ có thể sử dụng mạng không dây mà công ty cung cấp Hệ thống này nằm trong một VLAN riêng biệt gọi là VLAN khách và người dùng trong VLAN này chỉ có thể ra ngoài internet mà ko được phép truy cập đến các tài nguyên nội bộ của công ty như các server , các máy tính trong mạng cũng như các máy in, máy fax