Nghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại NamNghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại NamNghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại NamNghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại NamNghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại NamNghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại NamNghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại NamNghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại NamNghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại NamNghiên cứu giải pháp bảo mật mạng LAN và ứng dụng tại trường Đại học Đại Nam
HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG Phùng Thị Hải Yến NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN VÀ ỨNG DỤNG TẠI TRƢỜNG ĐẠI HỌC ĐẠI NAM LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2018 HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG Phùng Thị Hải Yến NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN VÀ ỨNG DỤNG TẠI TRƢỜNG ĐẠI HỌC ĐẠI NAM Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8480104 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hƣớng ứng dụng) NGƢỜI HƢỚNG DẪN KHOA HỌC TS VŨ VĂN THỎA HÀ NỘI - 2018 i LỜI CAM ĐOAN Tôi cam đoan đề tài: “Nghiên cứu giải pháp bảo mật mạng LAN ứng dụng trường Đại học Đại Nam” công trình nghiên cứu riêng tơi hướng dẫn TS Vũ Văn Thỏa Các kết quả, phân tích, kết luận luận văn thạc sỹ (ngoài phần trích dẫn) kết làm việc tác giả, số liệu nêu luận văn trung thực chưa công bố cơng trình khác Nếu sai tơi xin hồn toàn chịu trách nhiệm Hà Nội, ngày 02 tháng 11 năm 2017 Tác giả Phùng Thị Hải Yến ii LỜI CẢM ƠN Lời cho em xin gửi lời cảm ơn chân thành đến thầy, cô giáo thuộc Khoa CNTT, Khoa QT&ĐT sau đại học thuộc Học viện Cơng nghệ Bưu viễn thơng tận tình giảng dạy, truyền đạt nội dung kiến thức, kinh nghiệm quý báu suốt trình em theo học Học viện Với học quý giá, kèm cặp, bảo truyền thụ tâm huyết thầy, giúp cá nhân em hồn thiện hệ thống kiến thức chuyên ngành, phục vụ tốt yêu cầu công tác đơn vị đồng thời nâng cao vốn tri thức thân Đặc biệt, em xin gửi lời cảm ơn trân thành tới thầy hướng dẫn khoa học TS Vũ Văn Thỏa, Khoa QT&ĐT sau đại học thuộc Học viện Công nghệ Bưu viễn thơng tâm huyết, tận tình bảo, hướng dẫn, cung cấp tài liệu nội dung kiến thức quý báu, đồng thời có định hướng đắn giúp em hoàn thành luận văn Em xin bày tỏ cảm ơn sâu sắc tới gia đình, đồng nghiệp tạo điều kiện, dành ủng hộ thân em để có nhiều thời gian cho khóa học, đạt kết khả quan trình học tập Đồng thời xin chân thành cảm ơn tập thể lớp Cao học Hệ thống thông tin – Đợt năm 2016 đồng hành, khích lệ chia sẻ suốt trình học tập Trong trình thực luận văn, thân cố gắng, chủ động việc sưu tầm tài liệu, củng cố kiến thức… nhiên chắn luận văn nhiều thiếu sót Em mong nhận dạy, đóng góp tận tình thầy, để luận văn em hồn thiện có tính ứng dụng cao thực tiễn Xin trân trọng cảm ơn! Hà Nội, ngày 01 tháng 11 năm 2017 Học viên Phùng Thị Hải Yến iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT vi DANH MỤC CÁC HÌNH vii MỞ ĐẦU 1 Lý chọn đề tài .1 Tổng quan vấn đề nghiên cứu Mục tiêu nghiên cứu đề tài Đối tƣợng phạm vi nghiên cứu đề tài Phƣơng pháp nghiên cứu đề tài Bố cục luận văn Chƣơng TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU BẢO MẬT 1.1 Tổng quan công nghệ mạng LAN vấn đề liên quan 1.1.1 Giới thiệu chung .5 1.1.2 Các mơ hình mạng LAN 1.2 Các mối đe dọa bảo mật phƣơng thức công mạng LAN 11 1.2.1 Các mối đe dọa bảo mật mạng LAN 11 1.2.2 Các phương thức công mạng LAN 12 1.3 Các yêu cầu bảo mật chung cho mạng LAN 13 1.3.1 Yêu cầu bảo mật mạng .13 1.3.2 Yêu cầu bảo mật liệu 16 1.3.3 Yêu cầu bảo mật người dùng 16 1.4 Tình hình triển khai mạng LAN Việt Nam vấn đề liên quan đến bảo mật mạng LAN thực tế 17 iv 1.4.1 Tình hình triển khai mạng LAN Việt Nam 17 1.4.2 Vấn đề liên quan đến bảo mật mạng LAN thực tế 17 1.5 Kết luận chƣơng 19 Chƣơng II: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN 20 2.1 Giải pháp sử dụng hệ thống tƣờng lửa .20 2.1.2 Tường lửa Fortinet 21 2.1.3 Tách hệ thống, tối ưu hóa tường lửa .22 2.2 Giải pháp sử dụng hệ thống phát ngăn chặn xâm nhập mạng IDS/IPS .24 2.2.1 Hệ thống phát xâm nhập IDS 24 2.2.2 Hệ thống phòng chống xâm nhập (IPS) .26 2.3 Giải pháp sử dụng công nghệ VLAN 30 2.3.1 Các miền quảng bá mạng LAN ảo 30 2.3.2 Phân loại VLAN .32 2.4 Giải pháp áp dụng công nghệ mạng riêng ảo (VPN) 33 2.4.1 Các đặc tính VPN 34 2.4.2 Các loại VPN 34 2.4.3 Các giao thức VPN .35 2.4.4 Các cách triển khai VPN thực tế 37 2.5 Giải pháp phân quyền truy cập liệu 38 2.6 Các giải pháp phụ trợ quan trọng khác 39 2.6.1 Phần mềm phòng chống Virus 39 2.6.2 Giải pháp DLP (Data Loss Prevention) 39 2.6.3 Xây dựng sách an ninh cho hệ thống 42 2.7 Kết luận chƣơng 45 Chƣơng III: ỨNG DỤNG TẠI TRƢỜNG ĐẠI HỌC ĐẠI NAM 46 3.1 Khảo sát mạng nội Đại Học Đại Nam (sau xin phép nhà trƣờng đƣợc đồng ý từ ban giám hiệu) 46 v 3.1.1 Mơ hình kiến trúc, chức trang thiết bị mạng có mạng LAN trường Đại học Đại Nam .46 3.1.2 Yêu cầu sử dụng .47 3.1.3 Hiện trạng vấn đề liên quan đến bảo mật trình vận hành, khai thác mạng nội trường đại học Đại Nam 48 3.2 Đề xuất giải pháp bảo mật cho mạng nội trƣờng đại học Đại Nam 48 3.2.1 Giải pháp mạng 49 3.2.2 Giải pháp an toàn bảo mật liệu 50 3.2.3 Giải pháp người sử dụng 51 3.3 Thử nghiệm đánh giá số giải pháp bảo mật đề xuất .51 3.3.1 Nội dung thử nghiệm .51 3.3.2 Kết thử nghiệm đánh giá 53 3.4 Kết luận chƣơng 54 KẾT LUẬN 55 TÀI LIỆU THAM KHẢO 56 PHỤ LỤC 57 vi DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt Công cụ quản lý quyền GPO Group Policy Object DLP Data Loss Prevention Chống liệu DoS Denial of Service Tấn công từ chối dịch vụ IDS Intrucsion Detection System IP Internet Protocol IPS Intrusion Prevention Systems IT Information Technology Công nghệ thông tin LAN Local Area Network Mạng nội NIC Network Interface Card Card mạng SSL Secure Sockets Layer người dùng Hệ thống phát xâm nhập Giao thức Internet Hệ thống phòng chống xâm nhập Giao thức an ninh thông tin Giao thức điều khiển TCP Transmission Control Protocol truyền thông tin Internet USB Universal Serial Bus Thiết bị lưu trữ VLAN Virtual LAN Mạng LAN ảo VPN Virtual Private Network Hệ thống mạng riêng ảo vii DANH MỤC CÁC HÌNH Hình 1.1: Mơ hình mạng LAN [8] Hình 1.2: Các đặc trưng Fast Ethernet, kiểu truyền khoảng cách [11] Hình 1.3: Các đặc trưng Giga-Ethernet, kiểu truyền khoảng cách [11] Hình 1.4: Mơ hình mạng Peer to Peer [11] Hình 1.5: Mơ hình Client – Server [11] 10 Hình 2.1: Firewall bảo mật mạng LAN [13] 20 Hình 2.3: Sơ đồ hoạt động IPS [7] 26 Hình 2.4: Miền quảng bá chưa chia VLAN [9] 31 Hình 2.5: Miền quảng bá chia VLAN [9] 31 Hình 2.6: Mơ hình hệ thống VPN [13] 33 Hình 2.7: Các đặc tính hệ thống VPN [13] 34 Hình 2.8: Các giao thức VPN [13] 35 Hình 2.9: Vị trí hoạt động IPSec 37 Hình 2.10: Sơ đồ triển khai Check Point DLP [13] 41 Hình 3.1: Mơ hình hoạt động hệ thống mạng trường Đại học Đại Nam 46 Hình 3.2: Hệ thống trường Đại học Đại Nam dự kiến sau áp dụng giải pháp bảo mật mạng 50 MỞ ĐẦU Lý chọn đề tài Vấn đề an ninh mạng ngày trở nên nóng bỏng với hàng loạt vụ cơng nhằm vào mạng nội có kết nối Internet quan nhà nước doanh nghiệp Những thông tin, liệu quan trọng bị thất thoát dẫn đến tổn thất khơng thể tính tiền, khơng muốn nói gây nguy hại đến “chủ quyền số” đất nước… Ngày nay, biện pháp an toàn thơng tin cho máy tính cá nhân mạng nội nghiên cứu triển khai Tuy nhiên, thường xuyên có mạng bị cơng, có tổ chức bị đánh cắp thơng tin,…gây nên hậu vô nghiêm trọng Những vụ cơng nhằm vào tất máy tính có mặt Internet, máy tính cơng ty lớn AT&T, IBM, trường đại học quan nhà nước, tổ chức quân sự, nhà băng,… Một số vụ công với quy mô khổng lồ (có tới 100.000 máy tính bị cơng) Hơn số phần tảng băng chìm Một phần lớn vụ cơng khơng thơng báo nhiều lý do, kể lo uy tín đơn giản người quản trị mạng không hay biết vụ công nhằm vào hệ thống họ Không vụ công tăng lên nhanh chóng mà phương pháp cơng liên tục hoàn thiện Tại Việt Nam, hệ thống mạng Website bị công theo chiều hướng gia tăng: năm 2014 có nghìn Website bị công, năm 2015 2000 website bị công phát tán thư rác, năm 2016 website Vietnam Airlines bị hack lộ 400.000 liệu khách hàng Đặc biệt, theo thống kê Microsoft, nước đứng đầu toàn cầu nguy nhiễm mã độc có nước thuộc khu vực Đơng Nam Á Việt Nam Indonesia Đây hai nước có tỷ lệ nhiễm mã độc 45% vào quý II/2016, gấp đơi so với mức trung bình kỳ (21%) giới Vì vậy, việc kết nối mạng nội quan tổ chức vào mạng Internet mà khơng có biện pháp đảm bảo an ninh xem tự sát Từ nhu cầu phát triển, đòi hỏi quan, tổ chức phải kết nối vào mạng Internet 71 Hình 20: Cài đặt Window Server Backup Sau ta khởi động Window Server Backup Hình 21: Giao diện Window Server Backup 72 Ở phần Local Backup, ta ấn Backup Once Trong Backup Once Wizard, có lựa chọn Backup Full Server backup toàn Custom backup file ta chọn Tùy nhu cầu, ta chọn Custom để backup Folder Data chứa liệu khoa mà ta vừa tạo phía Hình 22: Chọn Folder cần Backup Sau ta chọn ổ lưu trữ Backup ( Ổ E ) ấn Backup 73 Hình 23: Chọn ổ đĩa lƣu trữ Backup Sau tạo xong Backup, để test, ta xóa Folder Data ổ C Rồi sử dụng Recovery để khôi phục lại file ta vừa xóa 74 Hình 24: Recovery file ta Backup Vậy ta hoàn thành việc Backup liệu Recovery lại liệu xảy cố Cài đặt Router (Có tham khảo mã nguồn: Cisco Certified Network Associate – Cisco Academy) Cấu hình Router: Router>enable Router#configure terminal Router(config)#line console Router(config-line)#password cisco Router(config-line)#login Router(config-line)#exit Router(config)#line vty Router(config-line)#password cisco 75 Router(config-line)#login Router(config-line)#exit Router(config)#banner motd "Xinchao" Router(config)#enable secret cisco Router(config)#service password-encryption Router(config)#int f0/1 Router(config)#ip add 192.168.1.40 255.255.255.0 Router(config)#ip nat outside Router(config)#exit Router(config)#int f0/0 Router(config)#ip add 10.0.0.1 255.255.255.0 Router(config)#ip nat inside Router(config)#exit Router(config)#access list 10 permit any Router(config)#ip nat inside source list 10 interface f0/1 overload Router(config)#ip nat inside source static tcp 10.0.0.20 80 192.168.1.40 80 ex // Public Website DMZ Router(config)#end Router#wr (Đối với Router dùng cho sinh viên truy cập VPS, cấu hình tương tự - với đầu f0/0: 9.0.0.1/255.255.255.0 Dùng câu lệnh Public để Public VPS bên ngoài) Triển khai Firewall Fortinet + Public Web Đầu tiên IP, SW tầng chạy dải 11.0.0/24,12.0.0/24,… DMZ chạy dải 20.0.0/24 Giữa Router bên Firewall chạy dải 10.0.0/24, 9.0.0/24 dải mạng 192.168.1/24 Đầu tiên ta đăng nhập vào Fortinet với tài khoản admin, khơng có password Sử dụng câu lệnh “get system interface physical” để thơng tin interface 76 Sau ta cấu hình cho cổng, ta cấu hình port địa 11.0.0.1 lệnh sau: # config system interface //Vào chế độ cấu hình thơng số cho cổng mạng # edit port1 //Tùy chỉnh thông số cho cổng Vlan1 (Port 1) # set ip 11.0.0.1 255.255.255.0 //Thiết lập địa IP Subnet Mask # set allowaccess http https ssh ping telnet //Cho phép truy cập dịch vụ # next //Thực thi thiết lập lưu cấu hình # end //Thốt Tiếp ta đăng nhập vào giao diện quản trị Fortigate qua Port vừa thiết lập 11.0.0.1 với tài khoản admin password Sau login trình duyệt web, ta cấu hình Interface theo IP cổng khu vực Hình 25: Cấu hình Interface Fortinet Ở phần Static Router, ta cấu sau: Hình 26: Cấu hình Static Route Fortinet (1) Hình 27: Cấu hình Static Route Fortinet (2) Phần Policy để thiết đặt Rule, ta mở cho kết nối từ Vlan DMZ WAN1, từ DMZ WAN ( Bật NAT ) 77 Hình 28: Cấu hình Policy Fortinet Vậy ta hoàn thành việc mở Rule để bên kết nối bên ngồi mạng cách an toàn Tiếp theo ta Publish Web từ bên DMZ Ở Virtual IPs, ta tạo Virtual IP Mapping Hình 29: Publish Web DMZ mạng (Bƣớc 1) Rồi ta edit tiếp VIP Group Hình 30: Publish Web DMZ mạng (Bƣớc 2) 78 Cuối phần Policy, ta thêm Rule để Public Web IP đầu ngồi Hình 31: Publish Web DMZ ngồi mạng (Bƣớc 3) Vậy ta cấu hình xong Firewall Fortinet Router Giờ để kiểm tra, ta ping 8.8.8.8 máy bên nmap cổng đầu Router Nếu kết thành cơng Hình 32: Test Ping máy Client LAN sau cấu hình Fortinet Hình 33: Test Public Web đầu ngồi Nmap Còn Public VPS ta làm tương tự Public Web giúp sinh viên kết nối tới VPS 79 Xây dựng sách bảo mật cho hệ thống mạng trƣờng Đại học Đại Nam Chính sách nội - Xây dựng “document” mơ tả tồn hệ thống mạng Trường Đại học Đại Nam ( nói chương ) - Hệ thống mạng phải bảo mật Điều thực thông qua giải pháp mà ta vừa áp dụng - Chính sách đảm bảo an tồn cho vùng server nội bộ: Các server nội public bên ngồi thơng qua firewall Ngồi ta kiểm sốt bên thông qua phân quyền truy cập liệu - Sao lưu liệu thường xuyên: Đặt cố định ( 12h đêm ngày ) - Quản lý file cấu hình thiết bị mạng : file cấu hình router, switch trường cần phải quản lý lưu - Quản lý đường định tuyến, bảng routing table router switch nhằm tránh bị loop Chính sách Quản lý tài sản Tất học sinh nhân viên có quyền truy nhập vào hệ thống máy tính trường phải tuân thủ sách đề nhằm bảo vệ hệ thống máy tính, mạng máy tính, tồn vẹn liệu an tồn thơng tin trường Trách nhiệm với tài sản Danh mục tài sản: · Server · PC · Laptop · Accessorie: Printer, Copier, · Network device: Router, Switch, Firewall, · Memory Device (USB, Tape…) · Software Sở hữu sử dụng tài sản: 80 Các cá nhân làm việc vị trí chứa thiết bị có trách nhiệm bảo quản, giám sát, bảo vệ thiết bị Các cá nhân ủy quyền sử dụng thiết bị di động, lưu trữ có trách nhiệm bảo quản thiết bị Khơng sử dụng thiết bị lưu trữ thơng tin nội bộ, nhạy cảm nhà trường mà khơng có cho phép tương ứng Di chuyển tài sản: Phải điền mẫu, xác nhận cập nhật vào CSDL · Số serial · Tên · Vị trí · Vị trí · Chủ sở hữu Thông tin Phân loại thông tin: - Thơng tin bình thường: Là thơng tin trao đổi bình thường học sinh, nhân viên với - Thông tin nhạy cảm: Là thông tin liên quan đến hoạt động bên trường, log file, trao đổi file, giấy tờ nội nhà trường - Thông tin mật: Là thông tin liên quan đến tài khoản – mật khẩu, thơng tin tài nhà trường Backup data Chính sách: - Sử dụng, truy xuất thiết bị lưu trữ: USB, Đĩa Mềm, CD/DVD: + Thơng tin bình thường: Học sinh, nhân viên tùy nghi sử dụng + Thơng tin nhay cảm: Cần phải có đồng ý từ cấp học sinh, nhân viên sử dụng hay mang ngồi + Thơng tin mật: Cần xác nhận cấp cao - Hủy liệu thiết bị: USB, Đĩa Mềm, CD, + Thơng tin bình thường: Xóa bình thường, khơng bắt buộc phải format + Thông tin nhạy cảm: Thiết bị lưu trữ cần format lại 81 + Thông tin mật: Phải ghi đè nhiều lần đảm bảo khơi phục lại Chính sách Quản lý ngƣời - Mỗi học sinh, nhân viên cấp tài khoản để đăng nhập vào hệ thống máy tính Password để đăng nhập vào tài khoản máy tính phải có độ phức tạp (bao gồm chữ in hoa, ký tự đặt biệt… nhân viên IT cấp) học sinh, nhân viên phải tự bảo quản không để mát, rò rỉ Nếu bị bị lộ phải báo với nhân viên IT để giải Nếu học sinh, nhân viên khơng sử dụng tài khoản tài khoản học sinh, nhân viên bị xóa khỏi hệ thống - Mỗi học sinh, nhân viên phải có nghĩa vụ trách nhiệm bảo quản thiết bị ủy quyền sử dụng, có vấn đề xảy phải báo với phận IT để kịp thời xử lý - Học sinh, nhân viên không cài đặt phần mềm không rõ nguồn gốc khơng có quyền ngồi phần mềm phục vụ công việc cài sẵn máy - Mỗi học sinh, nhân viên cần nghiêm túc thực sách nhà trường đưa ra, vi phạm phải chịu trách nhiệm ( khiển trách, trừ lương sa thải ) Học sinh, nhân viên bình thường - Được cấp tài khoản cho phép truy cập liệu thông thường - Chỉ phép sử dụng thiết bị đến hành cho phép - Không cố ý truy cập tài nguyên không thuộc thẩm quyền - Không sử dụng thiết bị vào mục đích khác Nhân viên IT - Có trách nhiệm giám sát, theo dõi hoạt động nhân viên khác nhà trường sử dụng máy tính vào cơng việc mà khơng làm chuyện riêng Đảm bảo liệu nhà trường bảo mật tránh thất ngồi 82 - Khi xảy cố phải báo cáo tình hình mức độ thiệt hại cho cấp biết Phải khắc phục cố với thời gian nhanh để đảm bảo hệ thống hoạt động thông suốt - Chịu quản lý nghiêm chỉnh chấp hành yêu cầu cấp - Quản lý tài nguyên nhà trường, chịu trách nhiệm backup liệu nhà trường theo định kỳ giám sát việc đồng liệu khu vực - Nếu nhân viên IT nghỉ làm việc nhà trường phải thông báo trước với nhà trường bàn giao tồn cơng việc thời làm thiết bị quản lý cho nhân viên khác có chun mơn cho cấp Ban lãnh đạo - Có tồn định sách an ninh thơng tin cho nhà trường - Không truy xuất vào liệu, tài nguyên nội nhân viên khác ngoại trừ trường hợp đặt biệt - Có trách nhiệm tự bảo quản tài nguyên nhà trường, tài liệu cá nhân tránh để xảy tình trạng thất liệu - Có trách nhiệm giám sát nhân viên cấp Chính sách Quản lý thiết bị Chính sách quản lý khu vực - Tách biệt khơng gian, dành riêng phòng để đặt thiết bị quan trọng server, thiết bị đắt tiền - Quản lý, giám sát việc vào khu vực riêng biệt Chỉ cho phép người có trách nhiệm liên quan phép vào Mỗi lần vào phải có ghi chép thời gian, lý (bảo trì, sữa chữa,…) Lắp đặt camera theo dõi hệ thống báo động để tránh việc đột nhập trái phép - Quản lý vào theo thời gian cụ thể hành vào - Bảo vệ khu vực khỏi nguy cháy nổ, ngập nước Các chất dễ bắt lửa, gây cháy nổ phải để cách xa khu vực bảo vệ - Trong khu vực cần có hệ thống báo cháy, bình cứu hỏa 83 - Việc quản lý khu vực cần thiết, tránh nguy gây tổn hại đến tài sản, tài nguyên nhà trường nên sách áp dụng cho vấn đề phải mức cao, cụ thể nhân viên vi phạm bị kỷ luật Chính sách quản lý thiết bị - Quy định rõ ràng việc khơng thay đổi cấu hình máy cài đặt phần mềm không phép - Quy định không ăn uống bàn làm việc gây ảnh hưởng tới thiết bị - Thiết bị phải trì hoạt động điều kiện nhiệt độ thấp, lắp đặt hệ thống làm mát, tản nhiệt giúp thiết bị nâng cao tuổi thọ hiệu làm việc cao - Lắp đặt hệ thống chống sét cho tòa nhà, để đảm bảo an toàn cho thiết bị - Sử dụng hệ thống ổn áp lưu điện máy phát điện giúp cho hệ thống server thiết bị khác khơng bị ảnh hưởng có cố điện - Cáp điện cáp thông tin phải tách riêng để tránh nhiễu cố xảy - Các thiết bị đặc biệt router , swicth, server có nhân viên phép có quyền truy cập vào để cấu hình thay đổi - Thiết bị phải kiểm tra bảo trì định kỳ hàng tuần - Ghi chép lại tình trạng thiết bị để theo dõi có cách khắc phục có xảy lỗi - Có hình thức nhắc nhở, cảnh cáo, kỷ luật mức độ vi phạm Chính sách quản lý truy cập - Quy định rõ quy tắc kiểm soát truy cập quyền cho người nhóm Tạo sách cho user OU domain theo phòng ban cụ thể Qua đưa mức độ cảnh cáo user cố tình sai quy định - Xác định quyền cụ thể file server cho phòng ban thơng qua NTFS permission 84 - Quy định phòng ban khơng phép truy cập vào tài nguyên, tài liệu phòng ban khác Điều tiềm ẩn nguy đánh cắp thơng tin nên phải có mức độ cảnh cáo phù hợp - Cấp quyền phù hợp với user dựa vào vị trí nhân viên nhà trường, phòng ban làm việc, nhu cầu cơng việc đó, mức độ bảo mật nhà trường - Yêu cầu thay đổi mật lần đầu truy cập ID để đảm bảo trách nhiệm thuộc người sử dụng ID khơng phải người quản trị tạo ID - Tránh tái sử dụng mật cũ cách áp đặt thuộc tính DC controller - Yêu cầu user thay đổi mật người quản trị phát có nguy bị lộ mật - Sử dụng hệ thống có tích hợp Single sign on để tránh user đăng nhập nhiều lần để bảo vệ cho mật an toàn - Quy định số lần tối đa đăng nhập sai cho user lần, lần user bị khóa 30 phút ghi lại hoạt động để theo dõi - Hiển thị thời điểm máy tính đăng nhập lần trước để người dùng kiểm tra hoạt động ID - Kiểm tra đảm bảo cung cấp đủ ID cần thiết cho nhân viên - Áp đặt user phép truy cập từ máy nào, theo dõi hoạt động đăng nhập dựa vào audit logon - Theo dõi đăng nhập hệ thống user để ngăn chặn truy cập khơng cần thiết ngồi hành - Có chế log off sau phút user không hoạt động phù hợp để tránh khỏi việc sử dụng trái phép user khác hệ thống - Tắt port không sử dụng tránh đột nhập trái phép - Xây dựng hệ thống chứng thực cấp cho người dùng đối tác có nhu cầu trao đổi từ xa chi nhánh tránh việc giả mạo 85 - Khi user gửi nhận mail yêu cầu phải có mã hóa sử dụng chữ ký số cấp attach file khơng q 4MB - Cấu hình định tuyến router đảm bảo cho luồng thông tin không vi phạm vào sách - Khi máy tính lạ kết nối vào cơng ty phải đảm bảo máy tính an tồn - Quy định rõ user phép truy cập từ xa giám đốc, quản trị viên ... luận văn 20 Chƣơng II: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN Trong chương luận văn nghiên cứu giải pháp bảo mật mạng LAN nhằm đáp ứng yêu cầu bảo mật mạng, bảo mật liệu bảo mật người dùng 2.1 Giải. .. nghiên cứu giải pháp đảm bảo an toàn bảo mật cho mạng LAN Chƣơng 3: ĐỀ XUẤT CÁC GIẢI PHÁP BẢO MẬT CHO MẠNG NỘI BỘ TẠI TRƢỜNG ĐẠI HỌC ĐẠI NAM Chương nghiên cứu hệ thống mạng nội trường Đại Học Đại Nam. .. LAN vấn đề liên quan đến bảo mật mạng LAN Phạm vi nghiên cứu luận văn giải pháp bảo mật mạng LAN ứng dụng cho mạng nội trường đại học Đại Nam Phƣơng pháp nghiên cứu đề tài - Về mặt lý thuyết: Thu