1 LỜI CAM ĐOAN Tôi cam đoan đề tài: “Nghiên cứu giải pháp bảo mật mạng LAN ứng dụng trường Đại học Đại Nam” cơng trình nghiên cứu riêng hướng dẫn TS Vũ Văn Thỏa Các kết quả, phân tích, kết luận luận văn thạc sỹ (ngồi phần trích dẫn) kết làm việc tác giả, số liệu nêu luận văn trung thực chưa công bố công trình khác Nếu sai tơi xin hồn tồn chịu trách nhiệm Hà Nội, ngày 02 tháng 11 năm 2017 Tác giả Phùng Thị Hải Yến LỜI CẢM ƠN Lời cho em xin gửi lời cảm ơn chân thành đến thầy, cô giáo thuộc Khoa CNTT, Khoa QT&ĐT sau đại học thuộc Học viện Công nghệ Bưu viễn thơng tận tình giảng dạy, truyền đạt nội dung kiến thức, kinh nghiệm quý báu suốt trình em theo học Học viện Với học quý giá, kèm cặp, bảo truyền thụ tâm huyết thầy, cô giúp cá nhân em hoàn thiện hệ thống kiến thức chuyên ngành, phục vụ tốt yêu cầu công tác đơn vị đồng thời nâng cao vốn tri thức thân Đặc biệt, em xin gửi lời cảm ơn trân thành tới thầy hướng dẫn khoa học TS Vũ Văn Thỏa, Khoa QT&ĐT sau đại học thuộc Học viện Cơng nghệ Bưu viễn thơng tâm huyết, tận tình bảo, hướng dẫn, cung cấp tài liệu nội dung kiến thức quý báu, đồng thời có định hướng đắn giúp em hoàn thành luận văn Em xin bày tỏ cảm ơn sâu sắc tới gia đình, đồng nghiệp tạo điều kiện, dành ủng hộ thân em để có nhiều thời gian cho khóa học, đạt kết khả quan trình học tập Đồng thời xin chân thành cảm ơn tập thể lớp Cao học Hệ thống thông tin – Đợt năm 2016 đồng hành, khích lệ chia sẻ suốt q trình học tập Trong trình thực luận văn, thân cố gắng, chủ động việc sưu tầm tài liệu, củng cố kiến thức… nhiên chắn luận văn nhiều thiếu sót Em mong nhận dạy, đóng góp tận tình thầy, để luận văn em hồn thiện có tính ứng dụng cao thực tiễn Xin trân trọng cảm ơn! Hà Nội, ngày 01 tháng 11 năm 2017 Học viên Phùng Thị Hải Yến MỤC LỤC DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt Công cụ quản lý quyền GPO Group Policy Object DLP Data Loss Prevention Chống liệu DoS Denial of Service Tấn công từ chối dịch vụ IDS Intrucsion Detection System IP Internet Protocol IPS Intrusion Prevention Systems IT Information Technology xâm nhập Công nghệ thông tin LAN Local Area Network Mạng nội NIC Network Interface Card Card mạng SSL Secure Sockets Layer TCP Transmission Control Protocol người dùng Hệ thống phát xâm nhập Giao thức Internet Hệ thống phòng chống Giao thức an ninh thông tin Giao thức điều khiển truyền thông tin Internet USB Universal Serial Bus Thiết bị lưu trữ VLAN Virtual LAN Mạng LAN ảo VPN Virtual Private Network Hệ thống mạng riêng ảo DANH MỤC CÁC HÌNH MỞ ĐẦU Lý chọn đề tài Vấn đề an ninh mạng ngày trở nên nóng bỏng với hàng loạt vụ công nhằm vào mạng nội có kết nối Internet quan nhà nước doanh nghiệp Những thông tin, liệu quan trọng bị thất dẫn đến tổn thất khơng thể tính tiền, khơng muốn nói gây nguy hại đến “chủ quyền số” đất nước… Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân mạng nội nghiên cứu triển khai Tuy nhiên, thường xun có mạng bị cơng, có tổ chức bị đánh cắp thông tin,…gây nên hậu vô nghiêm trọng Những vụ công nhằm vào tất máy tính có mặt Internet, máy tính cơng ty lớn AT&T, IBM, trường đại học quan nhà nước, tổ chức quân sự, nhà băng,… Một số vụ cơng với quy mơ khổng lồ (có tới 100.000 máy tính bị cơng) Hơn số phần tảng băng chìm Một phần lớn vụ công không thơng báo nhiều lý do, kể lo uy tín đơn giản người quản trị mạng không hay biết vụ công nhằm vào hệ thống họ Khơng vụ cơng tăng lên nhanh chóng mà phương pháp công liên tục hoàn thiện Tại Việt Nam, hệ thống mạng Website bị công theo chiều hướng gia tăng: năm 2014 có nghìn Website bị cơng, năm 2015 2000 website bị công phát tán thư rác, năm 2016 website Vietnam Airlines bị hack lộ 400.000 liệu khách hàng Đặc biệt, theo thống kê Microsoft, nước đứng đầu toàn cầu nguy nhiễm mã độc có nước thuộc khu vực Đông Nam Á Việt Nam Indonesia Đây hai nước có tỷ lệ nhiễm mã độc 45% vào quý II/2016, gấp đôi so với mức trung bình kỳ (21%) giới Vì vậy, việc kết nối mạng nội quan tổ chức vào mạng Internet mà khơng có biện pháp đảm bảo an ninh xem tự sát Từ nhu cầu phát triển, đòi hỏi quan, tổ chức phải kết nối vào mạng Internet song phải đảm bảo an tồn thơng tin trình kết nối Bởi vậy, học viên định chọn đề tài: “NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN VÀ ỨNG DỤNG TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM” Tổng quan vấn đề nghiên cứu LAN (viết tắt từ tên tiếng Anh Local Area Network - mạng cục bộ) hệ thống mạng dùng để kết nối máy tính phạm vi nhỏ (nhà ở, phòng làm việc, trường học, cơng ty…) Các máy tính mạng LAN chia sẻ tài nguyên với nhau, mà điển hình chia sẻ tập tin, máy chủ Web, máy chủ Mail, máy in, máy quét số thiết bị khác Một mạng LAN tối thiểu cần có máy chủ (server), thiết bị ghép nối (Repeater, Hub, Switch, Bridge), máy tính (client), card mạng (Network Interface Card – NIC) dây cáp (cable) để kết nối máy tính lại với Một hình thức khác mạng LAN, xuất năm gần WLAN (Wireless LAN) – mạng LAN không dây Tốc độ mạng LAN ngày lên đến 10 Mbps, 54Mbps, 100 Mbps, Gbps, 10Gbps hay lên tới 100 Gbps Để xây dựng hệ thống mạng LAN người ta dựa vào số mơ hình mạng như: Star mạng hình sao, Bus mạng trục tuyến tính (Bus), Token Ring mạng bố trí theo dạng xoay vòng khép kín Mesh mạng sử dụng mạng có độ quan trọng cao mà khơng thể ngừng hoạt động Để xây dựng hệ thống tường lửa bảo vệ cho mạng LAN có nhiều giải pháp sử dụng Firewall cứng Cisco ASA, Juniper RSX, Checkpoint, Fortigate dùng tường lửa Microsoft ISA, TMG… chi phí đắt tiền Chỉ doanh nghiệp lớn có đủ kinh phí để trang trải Đa phần doanh nghiệp lại khơng sử dụng Firewall sử dụng phần mềm diệt Virus máy tính Các phần mềm diệt Virus thơng thường có quyền phí khơng rẻ khơng phát công mạng quy mô diện rộng cơng ty Ngồi xảy bị cơng khơng có biện pháp bảo vệ nhanh chóng cho hệ thống Dẫn tới công ty bị kiểm soát, gây thiệt hại lớn Đa phần hệ thống mạng LAN doanh nghiệp xây dựng theo mơ hình mạng hình Sao, liệu phân quyền quy cập, hệ thống máy chủ không tách riêng với hệ thống máy người dùng Khi xảy bị cơng Hacker dễ dàng kiểm sốt máy chủ liệu thông qua máy người dùng thơng thường Khi truy cập từ ngồi Internet vào hệ thống toàn dùng phần mềm tự Teamview, dùng hệ thống mạng riêng ảo (VPN) để truy cập Rất nhiều doanh nghiệp khơng có hệ thống phát ngăn chặn xâm nhập mạng IDS/IPS, xảy cố bị cơng khơng có cảnh báo kịp thời, không theo dõi trạng thái hoạt động cách sớm để đưa giải pháp bảo vệ Tóm lại, vấn đề an ninh an tồn mạng máy tính vấn đề lớn, yêu cầu cần phải có giải pháp tổng thể, khơng phần mềm, phần cứng máy tính mà đòi hỏi vấn đề sách người Và vấn đề cần phải thực cách thường xuyên liên tục, không triệt để ln nảy sinh theo thời gian Tuy nhiên, giải pháp tổng thể hợp lý, đặc biệt giải tốt vấn đề sách người ta tạo cho an toàn chắn Mục tiêu nghiên cứu đề tài Mục tiêu nghiên cứu luận văn khảo sát yêu cầu giải pháp bảo mật cho mạng LAN đề xuất giải pháp bảo mật cho mạng nội trường Đại Học Đại Nam có khả triển khai áp dụng thực tế Đối tượng phạm vi nghiên cứu đề tài Đối tượng nghiên cứu luận văn mạng LAN vấn đề liên quan đến bảo mật mạng LAN Phạm vi nghiên cứu luận văn giải pháp bảo mật mạng LAN ứng dụng cho mạng nội trường đại học Đại Nam Phương pháp nghiên cứu đề tài - Về mặt lý thuyết: Thu thập, khảo sát, phân tích tài liệu thơng tin có liên quan đến bảo mật mạng LAN - Về mặt thực nghiệm: Khảo sát thực tế Trường Đại học Đại Nam đề xuất giải pháp bảo mật nội trường phù hợp Bố cục luận văn Luận văn trình bày chương: Chương 1: TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU BẢO MẬT Nội dung chương luận văn khảo sát tổng quan mạng LAN các yêu cầu bảo mật mạng LAN Chương 2: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN Chương luận văn tập trung nghiên cứu giải pháp đảm bảo an toàn bảo mật cho mạng LAN Chương 3: ĐỀ XUẤT CÁC GIẢI PHÁP BẢO MẬT CHO MẠNG NỘI BỘ TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM Chương nghiên cứu hệ thống mạng nội trường Đại Học Đại Nam đề xuất ứng dụng giải pháp bảo mật hệ thống mạng LAN nghiên cứu chương cho hệ thống mạng nội trường Đại học Đại Nam Chương TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU BẢO MẬT Chương luận văn khảo sát tổng quan khía cạnh cơng nghệ mạng LAN vấn đề liên quan Trên sở nghiên cứu nguy đe dọa bảo mật phương thức công mạng LAN, luận văn đề xuất yêu cầu bảo mật mạng LAN Luận văn đề cập đến vấn đề bảo mật mạng LAN thực tế 1.1 Tổng quan công nghệ mạng LAN vấn đề liên quan 1.1.1 Giới thiệu chung Mạng LAN viết tắt Local Area Network, dịch nghĩa mạng máy tính nội bộ, cho phép máy tính đơn vị doanh nghiệp, trường học, tổ chức hành kết nối với để làm việc chia sẻ liệu dựa Internet Mạng LAN hữu ích cho phép người sử dụng dùng chung tài nguyên quan trọng máy in, ổ CDROM, phần mềm ứng dụng thông tin cần thiết khác Hính 1.1 mơ tả mơ hình mạng LAN điển hình Hình 1.1: Mơ hình mạng LAN [8] 10 Một mạng LAN tối thiểu cần phải có máy chủ (Server), thiết bị ghép nối ( Switch, Router,…), máy trạm (Client), card mạng dây cáp (hoặc Wifi) để kết nối máy tính lại với Thơng thường, mạng LAN có vài điểm truy nhập vào mạng Internet Do có giao tiếp với bên ngồi nên cơng tác bảo vệ an ninh mạng đóng vai trò quan trọng Các cơng nghệ mạng Lan bao gồm: công nghệ Ethernet, Fast-Ethernet, Giga-Ethernet - Công nghệ Ethernet: Là họ lớn đa dạng gồm công nghệ mạng dựa khung liệu dành cho mạng LAN Ethernet định nghĩa loạt chuẩn nối dây phát tín hiệu cho tầng vật lý - phương tiện để truy nhập mạng phần MAC tầng liên kết liệu, định dạng chung cho địa Hiện Ethernet chuẩn hóa thành IEEE 802.3 Ethernet hỗ trợ băng thơng đến 10Mbps Cấu trúc mạng hình sao, hình thức nối cáp xoắn Ethernet trở thành công nghệ LAN sử dụng rộng rãi từ thập kỷ 1990 đến Gần đây, Wi-Fi, dạng LAN không dây chuẩn hóa IEEE 802.11, sử dụng bên cạnh thay cho Ethernet nhiều cấu hình mạng - Cơng nghệ Fast-Ethernet: Thay phải đầu tư vào cơng nghệ hồn tồn để tăng băng thông, công nghiệp networking cho loại Ethernet tốc độ cao dựa Ethernet có sẵn trước Fast Ethernet hoạt động với tốc độ đến 100 Mbps định vào chuẩn 802.3 IEEE Cách mắc Ethernet, hoạt động CSMA/CD, hoạt động giao thức lớp cao giữ nguyên với Fast Ethernet Kết mạng lưới có Layer đường net link MAC nhập với Layer vật lý (OSI Layer 1) Mạng Campus dùng Fast Ethernet để truy cập link phân phối layer switch không xuất link tốc độ cao khác Các link hỗ trợ lưu lượng tập trung từ nhiều đoạn Ethernet lớp truy cập Fast Ethernet thường dùng để kết nối trạm làm việc người dùng cuối đến switch truy cập lớp cung cấp khả kết nối nâng cao đến server enterprise Cáp cho Fast Ethernet bao gồm UTP (cáp xoắn đơi khơng bọc) hay cáp sợi 75 Hình 20: Cài đặt Window Server Backup Sau ta khởi động Window Server Backup Hình 21: Giao diện Window Server Backup 76 Ở phần Local Backup, ta ấn Backup Once Trong Backup Once Wizard, có lựa chọn Backup Full Server backup toàn Custom backup file ta chọn Tùy nhu cầu, ta chọn Custom để backup Folder Data chứa liệu khoa mà ta vừa tạo phía Hình 22: Chọn Folder cần Backup Sau ta chọn ổ lưu trữ Backup ( Ổ E ) ấn Backup 77 Hình 23: Chọn ổ đĩa lưu trữ Backup Sau tạo xong Backup, để test, ta xóa Folder Data ổ C Rồi sử dụng Recovery để khơi phục lại file ta vừa xóa 78 Hình 24: Recovery file ta Backup Vậy ta hoàn thành việc Backup liệu Recovery lại liệu xảy cố Cài đặt Router (Có tham khảo mã nguồn: Cisco Certified Network Associate – Cisco Academy) Cấu hình Router: Router>enable Router#configure terminal Router(config)#line console Router(config-line)#password cisco Router(config-line)#login Router(config-line)#exit Router(config)#line vty Router(config-line)#password cisco 79 Router(config-line)#login Router(config-line)#exit Router(config)#banner motd "Xinchao" Router(config)#enable secret cisco Router(config)#service password-encryption Router(config)#int f0/1 Router(config)#ip add 192.168.1.40 255.255.255.0 Router(config)#ip nat outside Router(config)#exit Router(config)#int f0/0 Router(config)#ip add 10.0.0.1 255.255.255.0 Router(config)#ip nat inside Router(config)#exit Router(config)#access list 10 permit any Router(config)#ip nat inside source list 10 interface f0/1 overload Router(config)#ip nat inside source static tcp 10.0.0.20 80 192.168.1.40 80 ex // Public Website DMZ Router(config)#end Router#wr (Đối với Router dùng cho sinh viên truy cập VPS, cấu hình tương tự - với đầu f0/0: 9.0.0.1/255.255.255.0 Dùng câu lệnh Public để Public VPS bên ngoài) Triển khai Firewall Fortinet + Public Web Đầu tiên IP, SW tầng chạy dải 11.0.0/24,12.0.0/24,… DMZ chạy dải 20.0.0/24 Giữa Router bên Firewall chạy dải 10.0.0/24, 9.0.0/24 dải mạng 192.168.1/24 Đầu tiên ta đăng nhập vào Fortinet với tài khoản admin, khơng có password Sử dụng câu lệnh “get system interface physical” để thông tin interface 80 Sau ta cấu hình cho cổng, ta cấu hình port địa 11.0.0.1 lệnh sau: # config system interface //Vào chế độ cấu hình thơng số cho cổng mạng # edit port1 //Tùy chỉnh thông số cho cổng Vlan1 (Port 1) # set ip 11.0.0.1 255.255.255.0 //Thiết lập địa IP Subnet Mask # set allowaccess http https ssh ping telnet //Cho phép truy cập dịch vụ # next //Thực thi thiết lập lưu cấu hình # end //Thốt Tiếp ta đăng nhập vào giao diện quản trị Fortigate qua Port vừa thiết lập 11.0.0.1 với tài khoản admin khơng có password Sau login trình duyệt web, ta cấu hình Interface theo IP cổng khu vực Hình 25: Cấu hình Interface Fortinet Ở phần Static Router, ta cấu sau: Hình 26: Cấu hình Static Route Fortinet (1) Hình 27: Cấu hình Static Route Fortinet (2) Phần Policy để thiết đặt Rule, ta mở cho kết nối từ Vlan DMZ WAN1, từ DMZ WAN ( Bật NAT ) 81 Hình 28: Cấu hình Policy Fortinet Vậy ta hoàn thành việc mở Rule để bên kết nối bên mạng cách an toàn Tiếp theo ta Publish Web từ bên DMZ Ở Virtual IPs, ta tạo Virtual IP Mapping Hình 29: Publish Web DMZ ngồi mạng (Bước 1) Rồi ta edit tiếp VIP Group Hình 30: Publish Web DMZ mạng (Bước 2) 82 Cuối phần Policy, ta thêm Rule để Public Web IP đầu ngồi Hình 31: Publish Web DMZ mạng (Bước 3) Vậy ta cấu hình xong Firewall Fortinet Router Giờ để kiểm tra, ta ping 8.8.8.8 máy bên nmap cổng đầu Router Nếu kết thành cơng Hình 32: Test Ping máy Client LAN sau cấu hình Fortinet Hình 33: Test Public Web đầu ngồi Nmap Còn Public VPS ta làm tương tự Public Web giúp sinh viên kết nối tới VPS 83 Xây dựng sách bảo mật cho hệ thống mạng trường Đại học Đại Nam Chính sách nội - Xây dựng “document” mô tả toàn hệ thống mạng Trường Đại học Đại Nam ( nói chương ) - Hệ thống mạng phải bảo mật Điều thực thông qua giải pháp mà ta vừa áp dụng - Chính sách đảm bảo an tồn cho vùng server nội bộ: Các server nội public bên ngồi thơng qua firewall Ngồi ta kiểm sốt bên thơng qua phân quyền truy cập liệu - Sao lưu liệu thường xuyên: Đặt cố định ( 12h đêm ngày ) - Quản lý file cấu hình thiết bị mạng : file cấu hình router, switch trường cần phải quản lý lưu - Quản lý đường định tuyến, bảng routing table router switch nhằm tránh bị loop Chính sách Quản lý tài sản Tất học sinh nhân viên có quyền truy nhập vào hệ thống máy tính trường phải tuân thủ sách đề nhằm bảo vệ hệ thống máy tính, mạng máy tính, tồn vẹn liệu an tồn thơng tin trường Trách nhiệm với tài sản Danh mục tài sản: · Server · PC · Laptop · Accessorie: Printer, Copier, · Network device: Router, Switch, Firewall, · Memory Device (USB, Tape…) · Software Sở hữu sử dụng tài sản: 84 Các cá nhân làm việc vị trí chứa thiết bị có trách nhiệm bảo quản, giám sát, bảo vệ thiết bị Các cá nhân ủy quyền sử dụng thiết bị di động, lưu trữ có trách nhiệm bảo quản thiết bị Khơng sử dụng thiết bị lưu trữ thơng tin nội bộ, nhạy cảm nhà trường mà khơng có cho phép tương ứng Di chuyển tài sản: Phải điền mẫu, xác nhận cập nhật vào CSDL · Số serial · Tên · Vị trí · Vị trí · Chủ sở hữu Thơng tin Phân loại thơng tin: - Thơng tin bình thường: Là thơng tin trao đổi bình thường học sinh, nhân viên với - Thông tin nhạy cảm: Là thông tin liên quan đến hoạt động bên trường, log file, trao đổi file, giấy tờ nội nhà trường - Thông tin mật: Là thông tin liên quan đến tài khoản – mật khẩu, thông tin tài nhà trường Backup data Chính sách: - Sử dụng, truy xuất thiết bị lưu trữ: USB, Đĩa Mềm, CD/DVD: + Thơng tin bình thường: Học sinh, nhân viên tùy nghi sử dụng + Thơng tin nhay cảm: Cần phải có đồng ý từ cấp học sinh, nhân viên sử dụng hay mang ngồi + Thơng tin mật: Cần xác nhận cấp cao - Hủy liệu thiết bị: USB, Đĩa Mềm, CD, + Thơng tin bình thường: Xóa bình thường, khơng bắt buộc phải format + Thơng tin nhạy cảm: Thiết bị lưu trữ cần format lại 85 + Thông tin mật: Phải ghi đè nhiều lần đảm bảo khơng thể khơi phục lại Chính sách Quản lý người - Mỗi học sinh, nhân viên cấp tài khoản để đăng nhập vào hệ thống máy tính Password để đăng nhập vào tài khoản máy tính phải có độ phức tạp (bao gồm chữ in hoa, ký tự đặt biệt… nhân viên IT cấp) học sinh, nhân viên phải tự bảo quản khơng để mát, rò rỉ Nếu bị bị lộ phải báo với nhân viên IT để giải Nếu học sinh, nhân viên không sử dụng tài khoản tài khoản học sinh, nhân viên bị xóa khỏi hệ thống - Mỗi học sinh, nhân viên phải có nghĩa vụ trách nhiệm bảo quản thiết bị ủy quyền sử dụng, có vấn đề xảy phải báo với phận IT để kịp thời xử lý - Học sinh, nhân viên không cài đặt phần mềm khơng rõ nguồn gốc khơng có quyền ngồi phần mềm phục vụ cơng việc cài sẵn máy - Mỗi học sinh, nhân viên cần nghiêm túc thực sách nhà trường đưa ra, vi phạm phải chịu trách nhiệm ( khiển trách, trừ lương sa thải ) Học sinh, nhân viên bình thường - Được cấp tài khoản cho phép truy cập liệu thông thường - Chỉ phép sử dụng thiết bị đến hành cho phép - Khơng cố ý truy cập tài nguyên không thuộc thẩm quyền - Khơng sử dụng thiết bị vào mục đích khác Nhân viên IT - Có trách nhiệm giám sát, theo dõi hoạt động nhân viên khác nhà trường sử dụng máy tính vào cơng việc mà khơng làm chuyện riêng Đảm bảo liệu nhà trường bảo mật tránh thất ngồi 86 - Khi xảy cố phải báo cáo tình hình mức độ thiệt hại cho cấp biết Phải khắc phục cố với thời gian nhanh để đảm bảo hệ thống hoạt động thông suốt - Chịu quản lý nghiêm chỉnh chấp hành yêu cầu cấp - Quản lý tài nguyên nhà trường, chịu trách nhiệm backup liệu nhà trường theo định kỳ giám sát việc đồng liệu khu vực - Nếu nhân viên IT nghỉ làm việc nhà trường phải thông báo trước với nhà trường bàn giao tồn cơng việc thời làm thiết bị quản lý cho nhân viên khác có chun mơn cho cấp Ban lãnh đạo - Có tồn định sách an ninh thông tin cho nhà trường - Không truy xuất vào liệu, tài nguyên nội nhân viên khác ngoại trừ trường hợp đặt biệt - Có trách nhiệm tự bảo quản tài nguyên nhà trường, tài liệu cá nhân tránh để xảy tình trạng thất liệu - Có trách nhiệm giám sát nhân viên cấp Chính sách Quản lý thiết bị Chính sách quản lý khu vực - Tách biệt không gian, dành riêng phòng để đặt thiết bị quan trọng server, thiết bị đắt tiền - Quản lý, giám sát việc vào khu vực riêng biệt Chỉ cho phép người có trách nhiệm liên quan phép vào Mỗi lần vào phải có ghi chép thời gian, lý (bảo trì, sữa chữa,…) Lắp đặt camera theo dõi hệ thống báo động để tránh việc đột nhập trái phép - Quản lý vào theo thời gian cụ thể hành vào - Bảo vệ khu vực khỏi nguy cháy nổ, ngập nước Các chất dễ bắt lửa, gây cháy nổ phải để cách xa khu vực bảo vệ - Trong khu vực cần có hệ thống báo cháy, bình cứu hỏa 87 - Việc quản lý khu vực cần thiết, tránh nguy gây tổn hại đến tài sản, tài nguyên nhà trường nên sách áp dụng cho vấn đề phải mức cao, cụ thể nhân viên vi phạm bị kỷ luật Chính sách quản lý thiết bị - Quy định rõ ràng việc không thay đổi cấu hình máy cài đặt phần mềm không phép - Quy định không ăn uống bàn làm việc gây ảnh hưởng tới thiết bị - Thiết bị phải trì hoạt động điều kiện nhiệt độ thấp, lắp đặt hệ thống làm mát, tản nhiệt giúp thiết bị nâng cao tuổi thọ hiệu làm việc cao - Lắp đặt hệ thống chống sét cho tòa nhà, để đảm bảo an tồn cho thiết bị - Sử dụng hệ thống ổn áp lưu điện máy phát điện giúp cho hệ thống server thiết bị khác không bị ảnh hưởng có cố điện - Cáp điện cáp thông tin phải tách riêng để tránh nhiễu cố xảy - Các thiết bị đặc biệt router , swicth, server có nhân viên phép có quyền truy cập vào để cấu hình thay đổi - Thiết bị phải kiểm tra bảo trì định kỳ hàng tuần - Ghi chép lại tình trạng thiết bị để theo dõi có cách khắc phục có xảy lỗi - Có hình thức nhắc nhở, cảnh cáo, kỷ luật mức độ vi phạm Chính sách quản lý truy cập - Quy định rõ quy tắc kiểm soát truy cập quyền cho người nhóm Tạo sách cho user OU domain theo phòng ban cụ thể Qua đưa mức độ cảnh cáo user cố tình sai quy định - Xác định quyền cụ thể file server cho phòng ban thơng qua NTFS permission 88 - Quy định phòng ban không phép truy cập vào tài nguyên, tài liệu phòng ban khác Điều tiềm ẩn nguy đánh cắp thơng tin nên phải có mức độ cảnh cáo phù hợp - Cấp quyền phù hợp với user dựa vào vị trí nhân viên nhà trường, phòng ban làm việc, nhu cầu cơng việc đó, mức độ bảo mật nhà trường - Yêu cầu thay đổi mật lần đầu truy cập ID để đảm bảo trách nhiệm thuộc người sử dụng ID khơng phải người quản trị tạo ID - Tránh tái sử dụng mật cũ cách áp đặt thuộc tính DC controller - Yêu cầu user thay đổi mật người quản trị phát có nguy bị lộ mật - Sử dụng hệ thống có tích hợp Single sign on để tránh user đăng nhập nhiều lần để bảo vệ cho mật an toàn - Quy định số lần tối đa đăng nhập sai cho user lần, q lần user bị khóa 30 phút ghi lại hoạt động để theo dõi - Hiển thị thời điểm máy tính đăng nhập lần trước để người dùng kiểm tra hoạt động ID - Kiểm tra đảm bảo cung cấp đủ ID cần thiết cho nhân viên - Áp đặt user phép truy cập từ máy nào, theo dõi hoạt động đăng nhập dựa vào audit logon - Theo dõi đăng nhập hệ thống user để ngăn chặn truy cập không cần thiết ngồi hành - Có chế log off sau phút user không hoạt động phù hợp để tránh khỏi việc sử dụng trái phép user khác hệ thống - Tắt port không sử dụng tránh đột nhập trái phép - Xây dựng hệ thống chứng thực cấp cho người dùng đối tác có nhu cầu trao đổi từ xa chi nhánh tránh việc giả mạo 89 - Khi user gửi nhận mail yêu cầu phải có mã hóa sử dụng chữ ký số cấp attach file khơng q 4MB - Cấu hình định tuyến router đảm bảo cho luồng thông tin khơng vi phạm vào sách - Khi máy tính lạ kết nối vào cơng ty phải đảm bảo máy tính an tồn - Quy định rõ user phép truy cập từ xa giám đốc, quản trị viên ... II: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN Trong chương luận văn nghiên cứu giải pháp bảo mật mạng LAN nhằm đáp ứng yêu cầu bảo mật mạng, bảo mật liệu bảo mật người dùng 2.1 Giải pháp sử dụng. .. cứu giải pháp đảm bảo an toàn bảo mật cho mạng LAN Chương 3: ĐỀ XUẤT CÁC GIẢI PHÁP BẢO MẬT CHO MẠNG NỘI BỘ TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM Chương nghiên cứu hệ thống mạng nội trường Đại Học Đại Nam. .. kết nối vào mạng Internet song phải đảm bảo an tồn thơng tin q trình kết nối Bởi vậy, học viên định chọn đề tài: “NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN VÀ ỨNG DỤNG TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM Tổng