1. Trang chủ
  2. » Luận Văn - Báo Cáo

GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH NGHIỆP

28 533 12

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 28
Dung lượng 1,17 MB

Nội dung

3.2 Mô hình chi tiết cho web và mail server 3.3 Giải pháp công nghệ 3.3.1 Chức năng của Endpoint Security 3.3.2 Chức năng của UTM1 130 3.3.3 Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint 3.3.4 Giải pháp backup: Cloud backup của vinacis 3.3.5 Lợi ích của giải DLP 3.3.6 Tính năng của DLP 4. XÂY DỰNG CHÍNH SÁCH 4.1 Chính sách bảo mật của tổ chức 4.1.1 Internal: Chính sách nội bộ trong công ty 4.1.2 External: Chính sách cho những đối tác tới của công ty 4.2 Chính sách Quản lý tài sản

Trang 1

ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

ĐỒ ÁN MÔN XÂY DỰNG CHUẨN CHÍNH SÁCH

AN TOÀN THÔNG TIN TRONG DOANH NGHIỆP

- -ĐỀ TÀI: GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH NGHIỆP

Hướng dẫn thực hiện : Nguyễn Duy

Các thành viên : Đặng Vũ Hiệp 12520590

Đặng Thái Hoà 12520596 Đoàn Hùng Cường 12520552 Nguyễn Thanh Tâm 12520909

Lê Anh Minh Tuấn 11520448

Trang 2

Lời nói đầu

Trang 3

1 NHU CẦU KHÁCH HÀNG

1.1 Yêu cầu chung

1.2 Định hướng thiết kế, triển khai

2 PHÂN TÍCH, ĐÁNH GIÁ HỆ THỐNG MẠNG HIỆN TẠI

3.1.1 Điểm mạnh của mô hình

3.1.2 Triển khai thiết bị

3.2 Mô hình chi tiết cho web và mail server

3.3 Giải pháp công nghệ

3.3.1 Chức năng của Endpoint Security

3.3.2 Chức năng của UTM-1 130

3.3.3 Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint 3.3.4 Giải pháp backup: Cloud backup của vinacis

3.3.5 Lợi ích của giải DLP

3.3.6 Tính năng của DLP

4 XÂY DỰNG CHÍNH SÁCH

4.1 Chính sách bảo mật của tổ chức

4.1.1 Internal: Chính sách nội bộ trong công ty

4.1.2 External: Chính sách cho những đối tác tới của công ty4.2 Chính sách Quản lý tài sản

4.2.1 Trách nhiệm với tài sản

4.2.2 Thông tin

MỤC LỤC

Trang 4

4.3 Chính sách Quản lý con người

4.4 Chính sách quản lý physical

4.4.1 Chính sách quản lý khu vực

4.4.2 Chính sách về quản lý thiết bị

4.5 Chính sách quản lý truy cập

4.6 Quản lý thiết bị in ấn và thiết bị ngoại vi

4.7 Quản lý thông tin cá nhân và quản lý nhân sự

5 TÀI LIỆU THAM KHẢO

1. Nhu cầu khách hàng

Trang 5

1. Yêu cầu chung

- Phân tích những điểm yếu trong mô hình mạng hiện tại

- Phân tích những rủi ro mất mát dữ liệu

b Vẽ mô hình chi tiết cho từng phần (Web Security, Email Security, IDS/IPS Security,…)

c Thuyết minh giải pháp cho từng phần

- Xây dựng qui trình và chính sách để phối hợp với các công nghệ được sử dụng trong hệ thống đểgiảm thiểu tối đa khả năng mất mất dữ liệu trong hệ thống

1.1 Định hướng thiết kế, triển khai

-Thiết kế lại theo hướng giảm thất thoát dữ liệu và đảm bảo độ bảo mật cao

-Đề ra giải pháp có hiệu quả kinh tế

2.1 Hiện trạng hệ thống

Hiện tại doanh nghiệp có khoảng 100 người dùng Thông tin chi tiết các dịch vụ chạy trong hệ thống xem hình bên dưới

Những thông tin chi tiết về hệ thống:

- Quản trị theo mô hình workgroup

- Router Cisco tích hợp firewall

- Không có phần mềm antivirus, firewall chuyên dụng cũng như các chính sách bảo mật khác

2. Phân tích, đánh giá hệ thống mạng hiện tại

Trang 6

2.2 Phân tích, đánh giá hệ thống hiện tại

2.2.1 Khả năng bảo mật

Những điểm yếu trong mô hình mạng:

Mô hình mạng càng lớn, dữ liệu trong mang và người dùng càng nhiều mà không có sự quản

lý thỉ rất dễ xảy ra nhiều bất cập liên quan đến bảo mật và khai thác tài nguyên.

 Workgroup không thích hợp cho mạng có trên 10 máy

 Không thuận lợi trong công tác quản trị và tính bảo mật kém

 Những tài khoản không được quản lý tập trung

 Không cho phép quản lý tập trung nên dữ liệu phân tán, khả năng bảo mật thấp, rất dễ bị xâm nhập

 Các tài nguyên không được sắp xếp nên rất khó định vị và tìm kiếm

 Không quản trị tập trung, đặc biệt trong trường hợp có nhiều tài khoản cho một người sử dụng(user) truy xuất vào các trạm làm việc khác nhau; việc bảo mật mạng có thể bị vi phạm với cácngười sử dụng có chung tên người dùng, mật khẩu truy xuất tới cùng tài nguyên; không thể saochép dự phòng (backup) dữ liệu tập trung Dữ liệu được lưu trữ rải rác trên từng trạm

 Mỗi người dùng phải có một tài khoản người dùng trên mỗi máy tính mà họ muốn đăng nhập; bất

kỳ sự thay đổi tài khoản người dùng, như là thay đổi mật khẩu hoặc thêm tài khoản người dùngmới, phải được làm trên tất cả các máy tính trong Workgroup, nếu bạn quên bổ sung tài khoảnngười dùng mới tới một máy tính trong nhóm thì người dùng mới sẽ không thể đăng nhập vào máy

Trang 7

tính đó và không thể truy xuất tới tài nguyên của máy tính đó; việc chia sẻ thiết bị và file được xử

lý bởi các máy tính riêng, và chỉ cho người dùng có tài khoản trên máy tính đó được sử dụng

 Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyêncục bộ của mình

 Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng Môhình này chỉ phù hợp với mạng nhỏ và yêu cầu bảo mật mạng không cao

 Đồng thời mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng, lưu trữthông tin người dùng trên cùng một tập tin SAM (Security Accounts Manager) ngay chính trên máycục bộ

 Mạng này có quá nhiều tài nguyên trong mạng vì vậy người dùng khó có thể xác định chúng đểkhai thác

 Quản trị workgroup bao gồm việc quản trị CSDL tài khoản bảo mật trên mỗi máy tính một cáchriêng lẻ, mang tính cục bộ, phân tán Điều này rõ ràng rất phiền phức và có thể không thể làm đượcđối với một mạng rất lớn

 Hệ thống mạng được thiết kế theo mô hình workgroup nên CSDL phân tán, khó quản lý

 Không có firewall chuyên dụng nên dễ bị tấn công DOS, DDOS… để đánh cắp dữ liệu

 Các phòng ban có cùng lớp mạng nên có thể truy cập dữ liệu lẫn nhau Dễ bị mất mát dữ liệu, in ấn

tự do

 Không có phần mềm antivirus nên dễ bị lây nhiễm virus qua các thiết bị di động hoặc thông quaviệc truy cập mạng của nhân viên

 Hệ thống mạng không có tính dự phòng Khi router chết thì sẽ làm tê liệt hệ thống mạng

 Các máy tính trong môi trường workgroup là ngang hàng với nhau không thể kiểm soát được truycập của nhân viên, không có chính sách an ninh nào được áp dụng nên nhân viên có thể chép dữliệu qua usb hay gởi thông tin ra bên ngoài thông qua internet mà không bị phát hiện

 Hệ thống mạng chỉ sử dụng 1 đường truyền mạng, khó mở rộng mô hình mạng

2.2.2 Rủi ro mất thông tin

Attacker

Tấn công vào lỗ hổng bảo mật: Hacker lợi dụng các lỗ hổng bảo mật mạng, các giao thức cũng

như các lỗ hổng của hệ điều hành… để tấn công ăn cắp dữ liệu Ví dụ như attacker lợi dụng lỗhổng SQL injection của máy chủ web để tấn công và get cơ sở dữ liệu trong SQL

Trang 8

Tấn công giả mạo: Đây là thủ đoạn của kẻ tấn công nhằm giả dạng một nhân vật đáng tin cậy để

dò la và lấy cắp thông tin, ví dụ như các attacker dùng email tự xưng là các ngân hàng hoặc tổchức hợp pháp thường được gởi số lượng lớn Nó yêu cầu người nhận cung cấp các thông tin khánhạy cảm như tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằng cách dẫn đến một đường linktới một website nhìn có vẻ hợp pháp, điều đó giúp cho tên trộm có thể thu thập được những thôngtin của quý khách để tiến hành các giao dịch bất hợp pháp sau đó

Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng các phần mềm độc hại, hoặc các

loại virut được tiêm vào các phần mềm trông như vô hại để dụ người sử dụng nhiễm phải Chúng

có thể ăn cắp thông tin, phá hoại dữ liệu máy tính và lây lan qua các máy khác

Tấn công trực tiếp qua các kết nối vật lí: Bằng cách này hay cách khác kẻ tấn công tìm cách

tiếp cận với mạng nội bộ, chúng có thể dung một số công cụ nghe lén để bắt các gói tin, phân tíchchúng để ăn cắp dữ liệu Ví dụ như thông tin tài khoản đăng nhập, chiếm quyền điều khiển củacác máy để lấy dữ liệu hoặc tấn công máy chủ…

Tấn công thăm dò: Attacker giả dạng các công ty về bán sản phẩm tin học để hỏi thăm nhân

viên về một số thông tin của phòng server, có bao nhiêu thiết bị, thiết bị dùng hãng nào, cófirewall hay không… để từ đó làm cơ sở cho tấn công và đánh cắp dữ liệu

Nhân viên

 Nhân viên có thể gởi những thông tin mật của công ty ra ngoài qua email

 Truy cập mạng, lướt web vô tình click vào những link lạ hay hình ảnh được chia sẻ có thể bị dínhvirus rồi bị đánh cắp thông tin

 Sử dụng các chương trình chia sẽ file, up dữ liệu lên mạng

 Sử dụng laptop cá nhân trong công việc mà không mã hóa dữ liệu rồi vô tình bị đánh cắp

 Sử dụng các thiết bị di động để chép dữ liệu ra bên ngoài hoặc để chép dữ liệu về làm việc nhưnglại để mất các thiết bị di động này

 Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên khác chép dữ liệu củamình đem ra bên ngoài

 Lây nhiễm virus do nhân viên sử dụng USB cắm vào máy tính công ty

 Nhân viên tiết lộ thông tin nội bộ ra bên ngoài trong quá trình sử dụng : skype, yahoo, điệnthoại…

 Nhân viên có thể cài phần mềm nghe lén vào trong máy tính của công ty

Trang 9

 In tài liệu, photocopy tự do không được quản lý tập trung Đem tài liệu in, copy ra bên ngoài

 Dùng điện thoại, camera chụp lại tài liệu của công ty

3.1 Mô hình tổng thể

Thiết kế lại hệ thống

- Từ sơ đồ ban đầu của công ty được xây dựng với môi trường Workgroup, không có firewall chuyêndụng… còn tồn tại nhiều nhược điểm thì công ty yêu cầu cần triển khai lại hệ thống mới với độ bảo mậtcao hơn

- Dưới đây là mô hình tổng thể được thiết kế lại theo hướng giảm thất thoát dữ liệu và đảm bảo độ bảomật cao

Mô hình tổng thể

3. Giải pháp đề xuất

Trang 10

3.1.1 Điểm mạnh của mô hình

 Sử dụng mô hình mạng với cấu trúc phân lớp ( 3 lớp):

Lớp Core: Gồm 2 Router có nhiệm vụ cung cấp tối ưu hoá và độ tin cậy trong quá trình truyền tin với

tốc độ rất cao Lớp Core Layer đáp ứng các vai trò sau: Kiểm tra Access-list, Mã hoá dữ liệu, Addresstranslation

Lớp Distribution: Gồm 2 Switch layer 3 có vai trò đáp ứng một số giao tiếp giúp giảm tải cho lớp Core

Layer trong quá trình truyền thông tin trong mạng Một chính sách có thể áp dụng các dạng cụ thể sau:Routing updates, Route summaries, VLAN

Lớp Access: Lớp truy cập chủ yếu được thiết kế cung cấp các cổng kết nối đến từng máy trạm trên cùng

một mạng, nên thỉnh thoảng nó còn được gọi là Desktop Layer Bất cứ các dữ liệu nào của các dịch vụ từ

xa (ở các VLAN khác, ở ngoài vào) đều được xử lý ở lớp Phân Phối

 Mang lại sự thuận tiện trong thiết kế, cụ thể trong triển khai, dễ dàng để quản lý và giải quyết sự cố Vàcũng đáp ứng được yêu cầu về tính mềm dẻo cho hệ thống mạng

 Mô hình trên đáp ứng tương đối đầy đủ các yêu cầu kĩ thuật khi thiết kế mạng như:

Trang 11

 Khả năng dự phòng, sẵn sàng được đánh giá rất cao trong mô hình mạng này

Dự phòng hai nhà cung cấp mạng

Các thiết bị,đường dây đều được dự phòng khi xảy ra sự cố

 Hiệu suất hoạt động của mạng rất ổn định:

Thiết kế theo mô hình ba lớp nên mỗi tầng có nhiệm vụ riêng đảm bảo không tầng nào bị quá tải

Sử dụng router có tính năng load balancing đảm bảo cân bằng tải khi đi ra bên ngoài hệ thống

 Khả năng quản trị:

Mô hình được thiết kế tập trung: các truy cập bên trong, cũng như ra bên ngoài đều được kiểmsoát bởi các phần mềm bảo mật được cài trên server cục bộ

Vùng DMZ được thiết kế tách biệt với Server nội bộ để đảm bảo tính bảo mật

Khách hàng được thiết kế đường dây wifi riêng biệt để tránh các truy cập trái phép vào hệ thống

Mỗi phòng ban là một vlan riêng đảm bảo các phòng ban không thể truy cập dữ liệu của nhau vàđảm bảo độ bảo mật cho hệ thống mạng

 Khả năng mở rộng của mô hình này rất linh hoạt: do các thiết bị được backup, kết hợp với tính mềmdẻo của mô hình 3 lớp nên việc mở rộng mô hình rất dễ thực hiện

 Mô hình mạng được thiết kế để đảm bảo hệ thống mạng thích ứng với các công nghệ mới trongtương lai

 Bảo mật:

Sử dụng 2 firewall UTM tích hợp nhiều tính năng bảo mật tốt

Bên trong hệ thống sử dụng các dịch vụ bảo mất tốt nhất hiện nay

Các kết nối từ xa được đảm bảo thông qua đường hâm VPN

3.1.2 Triển khai thiết bị

 Hệ thống sử dụng 2 nhà mạng là FPT và Viettel để đảm bảo không bị gián đoạn hệ thông mạng

Trang 12

 Hệ thống tường lửa được đặt sau router nhằm bảo vệ vùng DMZ và vùng Server farm được an toàn.Tường lửa ở đây công ty sử dụng tường lửa của hãng Checkpoint với sản phẩm UTM-1 130 triểnkhai ở mức gateway nhằm kiểm soát tất cả lưu lượng mạng ra và vào Ngoài ra, thì hệ thống còn xâydựng thêm firewall mềm cũng của hãng checkpoint với dòng sản phẩm Endpoint Security trên máyDomain Controller nhằm kiểm soát nhân viên truy cập đầu cuối.

 Vùng DMZ sẽ triển khai hệ thống Web server và Mail server (DOVECOT-POSTFIX) Vùng này sẽnối trực tiếp với Firewall Checkpoint để kiểm soát mọi lưu lượng ra vào nhằm đảm bảo an toàn chovùng DMZ hạn chế tấn công từ bên ngoài

 Vùng Server farm sẽ triển khai hệ thống File server, Domain Controller, DHCP, DNS và Serverbackup Riêng máy Domain Controller sẽ triển khai winserver 2008 và EndPoint Security củaCheckpoint

 Mỗi phòng ban là 1 Vlan riêng để đảm bảo dữ liệu của mỗi phòng ba là bảo mât Nhân viên củaphòng ban này không thể truy cập dữ liệu của phòng ban khác Mỗi vlan sẽ nối trực tiếp với Switchlayer2, rồi từ switch layer 2 sẽ nối trực tiếp với Switch layer3 ở lớp Distribution

 Đối với khách hàng và đối tác của công ty thì chỉ sử dụng được hệ thống wifi của công ty cấp hệthống wifi này sử dụng 1 Vlan riêng tách biệt với hệ thống mạng dây của công ty

3.2 Mô hình chi tiết cho web và mail server

Mô hình web server

Trang 13

Web server được xây dựng tách biệt với các vùng khác, được nối trực tiếp với 2 Firewall UTM nhằm đảobảo độ an toàn cho web server này.Với mô hình này thì web server đảm bảo được tính sẵn sàng cao

Mô hình cho mail server

Mail server được xây dựng tách biệt với các vùng khác, được nối trực tiếp với 2 Firewall UTM nhằm đảobảo độ an toàn cho mail server này.Với mô hình này thì mail server đảm bảo được tính sẵn sàng cao

3.3 Giải pháp công nghệ

Để đảm bảo an toàn cho cả hệ thống mạng, công ty đã sử dụng sản phẩm tường lửa của hãng Checkpoint

ở mức Gateway và Endpoint Checkpoint là hãng luôn đi đầu nhiều năm liền trong lĩnh vực tường lửa vàtrong lĩnh vực VPN Sau đây là một số chức năng của dòng sản phầm này:

3.3.1 Chức năng của Endpoint Security[1]

Full Disk Encryption : Bảo đảm an ninh các ổ đĩa cứng hoàn toàn tự động và ẩn đi với người dùng

cuối Dùng cơ chế xác thực khởi động (Multi-factor pre-boot authentication) để định danh người dùng

Media Encryption: Cung cấp khả năng mã hóa thiết bị lưu trữ đa phương tiện Khả năng kiểm soátPort cho phép quản lí các Port thiết bị đầu cuối, bao gồm khả năng truy cập vào hoạt đông của Port đó

Remote Access : Cung cấp cho người dùng truy cập một cách an ninh và liền lạc đến mạng hay tài

nguyên công ty khi người dùng di chuyển

Anti-Malware/Program Control : Phát hiện và xóa bỏ hiệu quả malware ở thiết bị đầu cuối với bộ lọc

đơn Phần mềm kiểm soát chương trình chỉ cho phép các chương trình hợp pháp và được cho phépchạy trên thiết bị đầu cuối

Trang 14

WebCheck : Bảo vệ chống lại các mối đe dọa trên nền web mới nhất bao gồm việc download, tấn công

zero-day Đưa trình duyệt chạy trên môi trường ảo hóa an ninh

Firewall/Compliance Check: Bảo vệ bên trong và bên ngoài giúp ngăn chặn malware từ những hệthống đã bị nhiễm, khóa các cuộc tấn công có mục tiêu và ngăn chăn các luồng traffic không mongmuốn

3.3.2 Chức năng của UTM-1 130[2]

Firewall : Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và dịch vụ với tính

năng công nghệ kiểm soát thích ứng và thông minh nhất

IPsec VPN: Kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Site-to-Site được quản

Tích hợp squid proxy trên firewall: Kiểm soát truy cập của người dùng,tăng tốc độ mạng,….

3.3.3 Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint

Trang 15

 Không được sử dụng laptop riêng trong công ty.

 Mã hóa các dữ liệu trên các ổ đĩa của Desktop (Dùng tính năng Full Disk Encryption của EndpointSecurity)

 Triển khai firewall trên máy Desktop trong công ty để chống lại malware, virus Hạn chế lây nhiễmvirus qua usb (Dùng tính năng Anti-Malware của Endpoint Security)

 Lưu profile người sử dụng trên server,người sử dụng chỉ thao tác thông qua một số thiết bị nhất định:màn hình có cắm mạng,chuột,bàn phím

 Thiết lập các rules để chống lại các cuộc tấn công như DOS, DDOS, Buffer over flow…

 Sử dụng hệ thống IDS/IPS để theo dõi,cảnh báo,ngăn chặn

3.3.4 Giải pháp backup: Cloud backup của vinacis

Ngày đăng: 19/03/2018, 11:28

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w