3.2 Mô hình chi tiết cho web và mail server 3.3 Giải pháp công nghệ 3.3.1 Chức năng của Endpoint Security 3.3.2 Chức năng của UTM1 130 3.3.3 Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint 3.3.4 Giải pháp backup: Cloud backup của vinacis 3.3.5 Lợi ích của giải DLP 3.3.6 Tính năng của DLP 4. XÂY DỰNG CHÍNH SÁCH 4.1 Chính sách bảo mật của tổ chức 4.1.1 Internal: Chính sách nội bộ trong công ty 4.1.2 External: Chính sách cho những đối tác tới của công ty 4.2 Chính sách Quản lý tài sản
Trang 1ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG
ĐỒ ÁN MÔN XÂY DỰNG CHUẨN CHÍNH SÁCH
AN TOÀN THÔNG TIN TRONG DOANH NGHIỆP
- -ĐỀ TÀI: GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH NGHIỆP
Hướng dẫn thực hiện : Nguyễn Duy
Các thành viên : Đặng Vũ Hiệp 12520590
Đặng Thái Hoà 12520596 Đoàn Hùng Cường 12520552 Nguyễn Thanh Tâm 12520909
Lê Anh Minh Tuấn 11520448
Trang 2Lời nói đầu
Trang 31 NHU CẦU KHÁCH HÀNG
1.1 Yêu cầu chung
1.2 Định hướng thiết kế, triển khai
2 PHÂN TÍCH, ĐÁNH GIÁ HỆ THỐNG MẠNG HIỆN TẠI
3.1.1 Điểm mạnh của mô hình
3.1.2 Triển khai thiết bị
3.2 Mô hình chi tiết cho web và mail server
3.3 Giải pháp công nghệ
3.3.1 Chức năng của Endpoint Security
3.3.2 Chức năng của UTM-1 130
3.3.3 Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint 3.3.4 Giải pháp backup: Cloud backup của vinacis
3.3.5 Lợi ích của giải DLP
3.3.6 Tính năng của DLP
4 XÂY DỰNG CHÍNH SÁCH
4.1 Chính sách bảo mật của tổ chức
4.1.1 Internal: Chính sách nội bộ trong công ty
4.1.2 External: Chính sách cho những đối tác tới của công ty4.2 Chính sách Quản lý tài sản
4.2.1 Trách nhiệm với tài sản
4.2.2 Thông tin
MỤC LỤC
Trang 44.3 Chính sách Quản lý con người
4.4 Chính sách quản lý physical
4.4.1 Chính sách quản lý khu vực
4.4.2 Chính sách về quản lý thiết bị
4.5 Chính sách quản lý truy cập
4.6 Quản lý thiết bị in ấn và thiết bị ngoại vi
4.7 Quản lý thông tin cá nhân và quản lý nhân sự
5 TÀI LIỆU THAM KHẢO
1. Nhu cầu khách hàng
Trang 51. Yêu cầu chung
- Phân tích những điểm yếu trong mô hình mạng hiện tại
- Phân tích những rủi ro mất mát dữ liệu
b Vẽ mô hình chi tiết cho từng phần (Web Security, Email Security, IDS/IPS Security,…)
c Thuyết minh giải pháp cho từng phần
- Xây dựng qui trình và chính sách để phối hợp với các công nghệ được sử dụng trong hệ thống đểgiảm thiểu tối đa khả năng mất mất dữ liệu trong hệ thống
1.1 Định hướng thiết kế, triển khai
-Thiết kế lại theo hướng giảm thất thoát dữ liệu và đảm bảo độ bảo mật cao
-Đề ra giải pháp có hiệu quả kinh tế
2.1 Hiện trạng hệ thống
Hiện tại doanh nghiệp có khoảng 100 người dùng Thông tin chi tiết các dịch vụ chạy trong hệ thống xem hình bên dưới
Những thông tin chi tiết về hệ thống:
- Quản trị theo mô hình workgroup
- Router Cisco tích hợp firewall
- Không có phần mềm antivirus, firewall chuyên dụng cũng như các chính sách bảo mật khác
2. Phân tích, đánh giá hệ thống mạng hiện tại
Trang 62.2 Phân tích, đánh giá hệ thống hiện tại
2.2.1 Khả năng bảo mật
Những điểm yếu trong mô hình mạng:
Mô hình mạng càng lớn, dữ liệu trong mang và người dùng càng nhiều mà không có sự quản
lý thỉ rất dễ xảy ra nhiều bất cập liên quan đến bảo mật và khai thác tài nguyên.
Workgroup không thích hợp cho mạng có trên 10 máy
Không thuận lợi trong công tác quản trị và tính bảo mật kém
Những tài khoản không được quản lý tập trung
Không cho phép quản lý tập trung nên dữ liệu phân tán, khả năng bảo mật thấp, rất dễ bị xâm nhập
Các tài nguyên không được sắp xếp nên rất khó định vị và tìm kiếm
Không quản trị tập trung, đặc biệt trong trường hợp có nhiều tài khoản cho một người sử dụng(user) truy xuất vào các trạm làm việc khác nhau; việc bảo mật mạng có thể bị vi phạm với cácngười sử dụng có chung tên người dùng, mật khẩu truy xuất tới cùng tài nguyên; không thể saochép dự phòng (backup) dữ liệu tập trung Dữ liệu được lưu trữ rải rác trên từng trạm
Mỗi người dùng phải có một tài khoản người dùng trên mỗi máy tính mà họ muốn đăng nhập; bất
kỳ sự thay đổi tài khoản người dùng, như là thay đổi mật khẩu hoặc thêm tài khoản người dùngmới, phải được làm trên tất cả các máy tính trong Workgroup, nếu bạn quên bổ sung tài khoảnngười dùng mới tới một máy tính trong nhóm thì người dùng mới sẽ không thể đăng nhập vào máy
Trang 7tính đó và không thể truy xuất tới tài nguyên của máy tính đó; việc chia sẻ thiết bị và file được xử
lý bởi các máy tính riêng, và chỉ cho người dùng có tài khoản trên máy tính đó được sử dụng
Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyêncục bộ của mình
Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng Môhình này chỉ phù hợp với mạng nhỏ và yêu cầu bảo mật mạng không cao
Đồng thời mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng, lưu trữthông tin người dùng trên cùng một tập tin SAM (Security Accounts Manager) ngay chính trên máycục bộ
Mạng này có quá nhiều tài nguyên trong mạng vì vậy người dùng khó có thể xác định chúng đểkhai thác
Quản trị workgroup bao gồm việc quản trị CSDL tài khoản bảo mật trên mỗi máy tính một cáchriêng lẻ, mang tính cục bộ, phân tán Điều này rõ ràng rất phiền phức và có thể không thể làm đượcđối với một mạng rất lớn
Hệ thống mạng được thiết kế theo mô hình workgroup nên CSDL phân tán, khó quản lý
Không có firewall chuyên dụng nên dễ bị tấn công DOS, DDOS… để đánh cắp dữ liệu
Các phòng ban có cùng lớp mạng nên có thể truy cập dữ liệu lẫn nhau Dễ bị mất mát dữ liệu, in ấn
tự do
Không có phần mềm antivirus nên dễ bị lây nhiễm virus qua các thiết bị di động hoặc thông quaviệc truy cập mạng của nhân viên
Hệ thống mạng không có tính dự phòng Khi router chết thì sẽ làm tê liệt hệ thống mạng
Các máy tính trong môi trường workgroup là ngang hàng với nhau không thể kiểm soát được truycập của nhân viên, không có chính sách an ninh nào được áp dụng nên nhân viên có thể chép dữliệu qua usb hay gởi thông tin ra bên ngoài thông qua internet mà không bị phát hiện
Hệ thống mạng chỉ sử dụng 1 đường truyền mạng, khó mở rộng mô hình mạng
2.2.2 Rủi ro mất thông tin
Attacker
Tấn công vào lỗ hổng bảo mật: Hacker lợi dụng các lỗ hổng bảo mật mạng, các giao thức cũng
như các lỗ hổng của hệ điều hành… để tấn công ăn cắp dữ liệu Ví dụ như attacker lợi dụng lỗhổng SQL injection của máy chủ web để tấn công và get cơ sở dữ liệu trong SQL
Trang 8 Tấn công giả mạo: Đây là thủ đoạn của kẻ tấn công nhằm giả dạng một nhân vật đáng tin cậy để
dò la và lấy cắp thông tin, ví dụ như các attacker dùng email tự xưng là các ngân hàng hoặc tổchức hợp pháp thường được gởi số lượng lớn Nó yêu cầu người nhận cung cấp các thông tin khánhạy cảm như tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằng cách dẫn đến một đường linktới một website nhìn có vẻ hợp pháp, điều đó giúp cho tên trộm có thể thu thập được những thôngtin của quý khách để tiến hành các giao dịch bất hợp pháp sau đó
Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng các phần mềm độc hại, hoặc các
loại virut được tiêm vào các phần mềm trông như vô hại để dụ người sử dụng nhiễm phải Chúng
có thể ăn cắp thông tin, phá hoại dữ liệu máy tính và lây lan qua các máy khác
Tấn công trực tiếp qua các kết nối vật lí: Bằng cách này hay cách khác kẻ tấn công tìm cách
tiếp cận với mạng nội bộ, chúng có thể dung một số công cụ nghe lén để bắt các gói tin, phân tíchchúng để ăn cắp dữ liệu Ví dụ như thông tin tài khoản đăng nhập, chiếm quyền điều khiển củacác máy để lấy dữ liệu hoặc tấn công máy chủ…
Tấn công thăm dò: Attacker giả dạng các công ty về bán sản phẩm tin học để hỏi thăm nhân
viên về một số thông tin của phòng server, có bao nhiêu thiết bị, thiết bị dùng hãng nào, cófirewall hay không… để từ đó làm cơ sở cho tấn công và đánh cắp dữ liệu
Nhân viên
Nhân viên có thể gởi những thông tin mật của công ty ra ngoài qua email
Truy cập mạng, lướt web vô tình click vào những link lạ hay hình ảnh được chia sẻ có thể bị dínhvirus rồi bị đánh cắp thông tin
Sử dụng các chương trình chia sẽ file, up dữ liệu lên mạng
Sử dụng laptop cá nhân trong công việc mà không mã hóa dữ liệu rồi vô tình bị đánh cắp
Sử dụng các thiết bị di động để chép dữ liệu ra bên ngoài hoặc để chép dữ liệu về làm việc nhưnglại để mất các thiết bị di động này
Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên khác chép dữ liệu củamình đem ra bên ngoài
Lây nhiễm virus do nhân viên sử dụng USB cắm vào máy tính công ty
Nhân viên tiết lộ thông tin nội bộ ra bên ngoài trong quá trình sử dụng : skype, yahoo, điệnthoại…
Nhân viên có thể cài phần mềm nghe lén vào trong máy tính của công ty
Trang 9 In tài liệu, photocopy tự do không được quản lý tập trung Đem tài liệu in, copy ra bên ngoài
Dùng điện thoại, camera chụp lại tài liệu của công ty
3.1 Mô hình tổng thể
Thiết kế lại hệ thống
- Từ sơ đồ ban đầu của công ty được xây dựng với môi trường Workgroup, không có firewall chuyêndụng… còn tồn tại nhiều nhược điểm thì công ty yêu cầu cần triển khai lại hệ thống mới với độ bảo mậtcao hơn
- Dưới đây là mô hình tổng thể được thiết kế lại theo hướng giảm thất thoát dữ liệu và đảm bảo độ bảomật cao
Mô hình tổng thể
3. Giải pháp đề xuất
Trang 103.1.1 Điểm mạnh của mô hình
Sử dụng mô hình mạng với cấu trúc phân lớp ( 3 lớp):
Lớp Core: Gồm 2 Router có nhiệm vụ cung cấp tối ưu hoá và độ tin cậy trong quá trình truyền tin với
tốc độ rất cao Lớp Core Layer đáp ứng các vai trò sau: Kiểm tra Access-list, Mã hoá dữ liệu, Addresstranslation
Lớp Distribution: Gồm 2 Switch layer 3 có vai trò đáp ứng một số giao tiếp giúp giảm tải cho lớp Core
Layer trong quá trình truyền thông tin trong mạng Một chính sách có thể áp dụng các dạng cụ thể sau:Routing updates, Route summaries, VLAN
Lớp Access: Lớp truy cập chủ yếu được thiết kế cung cấp các cổng kết nối đến từng máy trạm trên cùng
một mạng, nên thỉnh thoảng nó còn được gọi là Desktop Layer Bất cứ các dữ liệu nào của các dịch vụ từ
xa (ở các VLAN khác, ở ngoài vào) đều được xử lý ở lớp Phân Phối
Mang lại sự thuận tiện trong thiết kế, cụ thể trong triển khai, dễ dàng để quản lý và giải quyết sự cố Vàcũng đáp ứng được yêu cầu về tính mềm dẻo cho hệ thống mạng
Mô hình trên đáp ứng tương đối đầy đủ các yêu cầu kĩ thuật khi thiết kế mạng như:
Trang 11 Khả năng dự phòng, sẵn sàng được đánh giá rất cao trong mô hình mạng này
Dự phòng hai nhà cung cấp mạng
Các thiết bị,đường dây đều được dự phòng khi xảy ra sự cố
Hiệu suất hoạt động của mạng rất ổn định:
Thiết kế theo mô hình ba lớp nên mỗi tầng có nhiệm vụ riêng đảm bảo không tầng nào bị quá tải
Sử dụng router có tính năng load balancing đảm bảo cân bằng tải khi đi ra bên ngoài hệ thống
Khả năng quản trị:
Mô hình được thiết kế tập trung: các truy cập bên trong, cũng như ra bên ngoài đều được kiểmsoát bởi các phần mềm bảo mật được cài trên server cục bộ
Vùng DMZ được thiết kế tách biệt với Server nội bộ để đảm bảo tính bảo mật
Khách hàng được thiết kế đường dây wifi riêng biệt để tránh các truy cập trái phép vào hệ thống
Mỗi phòng ban là một vlan riêng đảm bảo các phòng ban không thể truy cập dữ liệu của nhau vàđảm bảo độ bảo mật cho hệ thống mạng
Khả năng mở rộng của mô hình này rất linh hoạt: do các thiết bị được backup, kết hợp với tính mềmdẻo của mô hình 3 lớp nên việc mở rộng mô hình rất dễ thực hiện
Mô hình mạng được thiết kế để đảm bảo hệ thống mạng thích ứng với các công nghệ mới trongtương lai
Bảo mật:
Sử dụng 2 firewall UTM tích hợp nhiều tính năng bảo mật tốt
Bên trong hệ thống sử dụng các dịch vụ bảo mất tốt nhất hiện nay
Các kết nối từ xa được đảm bảo thông qua đường hâm VPN
3.1.2 Triển khai thiết bị
Hệ thống sử dụng 2 nhà mạng là FPT và Viettel để đảm bảo không bị gián đoạn hệ thông mạng
Trang 12 Hệ thống tường lửa được đặt sau router nhằm bảo vệ vùng DMZ và vùng Server farm được an toàn.Tường lửa ở đây công ty sử dụng tường lửa của hãng Checkpoint với sản phẩm UTM-1 130 triểnkhai ở mức gateway nhằm kiểm soát tất cả lưu lượng mạng ra và vào Ngoài ra, thì hệ thống còn xâydựng thêm firewall mềm cũng của hãng checkpoint với dòng sản phẩm Endpoint Security trên máyDomain Controller nhằm kiểm soát nhân viên truy cập đầu cuối.
Vùng DMZ sẽ triển khai hệ thống Web server và Mail server (DOVECOT-POSTFIX) Vùng này sẽnối trực tiếp với Firewall Checkpoint để kiểm soát mọi lưu lượng ra vào nhằm đảm bảo an toàn chovùng DMZ hạn chế tấn công từ bên ngoài
Vùng Server farm sẽ triển khai hệ thống File server, Domain Controller, DHCP, DNS và Serverbackup Riêng máy Domain Controller sẽ triển khai winserver 2008 và EndPoint Security củaCheckpoint
Mỗi phòng ban là 1 Vlan riêng để đảm bảo dữ liệu của mỗi phòng ba là bảo mât Nhân viên củaphòng ban này không thể truy cập dữ liệu của phòng ban khác Mỗi vlan sẽ nối trực tiếp với Switchlayer2, rồi từ switch layer 2 sẽ nối trực tiếp với Switch layer3 ở lớp Distribution
Đối với khách hàng và đối tác của công ty thì chỉ sử dụng được hệ thống wifi của công ty cấp hệthống wifi này sử dụng 1 Vlan riêng tách biệt với hệ thống mạng dây của công ty
3.2 Mô hình chi tiết cho web và mail server
Mô hình web server
Trang 13Web server được xây dựng tách biệt với các vùng khác, được nối trực tiếp với 2 Firewall UTM nhằm đảobảo độ an toàn cho web server này.Với mô hình này thì web server đảm bảo được tính sẵn sàng cao
Mô hình cho mail server
Mail server được xây dựng tách biệt với các vùng khác, được nối trực tiếp với 2 Firewall UTM nhằm đảobảo độ an toàn cho mail server này.Với mô hình này thì mail server đảm bảo được tính sẵn sàng cao
3.3 Giải pháp công nghệ
Để đảm bảo an toàn cho cả hệ thống mạng, công ty đã sử dụng sản phẩm tường lửa của hãng Checkpoint
ở mức Gateway và Endpoint Checkpoint là hãng luôn đi đầu nhiều năm liền trong lĩnh vực tường lửa vàtrong lĩnh vực VPN Sau đây là một số chức năng của dòng sản phầm này:
3.3.1 Chức năng của Endpoint Security[1]
Full Disk Encryption : Bảo đảm an ninh các ổ đĩa cứng hoàn toàn tự động và ẩn đi với người dùng
cuối Dùng cơ chế xác thực khởi động (Multi-factor pre-boot authentication) để định danh người dùng
Media Encryption: Cung cấp khả năng mã hóa thiết bị lưu trữ đa phương tiện Khả năng kiểm soátPort cho phép quản lí các Port thiết bị đầu cuối, bao gồm khả năng truy cập vào hoạt đông của Port đó
Remote Access : Cung cấp cho người dùng truy cập một cách an ninh và liền lạc đến mạng hay tài
nguyên công ty khi người dùng di chuyển
Anti-Malware/Program Control : Phát hiện và xóa bỏ hiệu quả malware ở thiết bị đầu cuối với bộ lọc
đơn Phần mềm kiểm soát chương trình chỉ cho phép các chương trình hợp pháp và được cho phépchạy trên thiết bị đầu cuối
Trang 14 WebCheck : Bảo vệ chống lại các mối đe dọa trên nền web mới nhất bao gồm việc download, tấn công
zero-day Đưa trình duyệt chạy trên môi trường ảo hóa an ninh
Firewall/Compliance Check: Bảo vệ bên trong và bên ngoài giúp ngăn chặn malware từ những hệthống đã bị nhiễm, khóa các cuộc tấn công có mục tiêu và ngăn chăn các luồng traffic không mongmuốn
3.3.2 Chức năng của UTM-1 130[2]
Firewall : Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và dịch vụ với tính
năng công nghệ kiểm soát thích ứng và thông minh nhất
IPsec VPN: Kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Site-to-Site được quản
Tích hợp squid proxy trên firewall: Kiểm soát truy cập của người dùng,tăng tốc độ mạng,….
3.3.3 Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint
Trang 15 Không được sử dụng laptop riêng trong công ty.
Mã hóa các dữ liệu trên các ổ đĩa của Desktop (Dùng tính năng Full Disk Encryption của EndpointSecurity)
Triển khai firewall trên máy Desktop trong công ty để chống lại malware, virus Hạn chế lây nhiễmvirus qua usb (Dùng tính năng Anti-Malware của Endpoint Security)
Lưu profile người sử dụng trên server,người sử dụng chỉ thao tác thông qua một số thiết bị nhất định:màn hình có cắm mạng,chuột,bàn phím
Thiết lập các rules để chống lại các cuộc tấn công như DOS, DDOS, Buffer over flow…
Sử dụng hệ thống IDS/IPS để theo dõi,cảnh báo,ngăn chặn
3.3.4 Giải pháp backup: Cloud backup của vinacis