TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN TPHCM Khoa Mạng Máy Tính Và Truyền Thơng  - - BÁO CÁO ĐỒ ÁN XÂY DỰNG CHÍNH SÁCH AN TỒN THƠNG TIN CHO DOANH NGHIỆP GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH NGHIỆP GIÁO VIÊN HƯỚNG DẪN: ThS Nguyễn Duy NHÓM SINH VIÊN THỰC HIỆN: Tống Duy Tân - 12520379 Lâm Vĩ Phượng - 12520331 Đỗ Bảo Thành - 12520396 Nguyễn Phạm Thủy Ngân 12520282 TPHCM, 12/2020 Lời mở đầu Các tổ chức, doanh nghiệp (TC/DN) có nhiều loại hình thơng tin cần bảo vệ chặt chẽ thông tin khách hàng, bí mật cơng nghệ, chiến lược phát triển kinh doanh, hay tin tức nhạy cảm khác,… Những thông tin để lộ ngồi gây hậu nghiêm trọng đến tài chính, danh tiếng công ty quan hệ với đối tác TC/DN Nhiều người cho TC/DN trang bị nhiều giải pháp an ninh bảo mật tường lửa, chống virus, chống xâm nhập… nên ngăn ngừa thất thơng tin Các giải pháp an ninh truyền thống firewall, IPS, Anti- virus giúp nhận diện ngăn ngừa công, mã độc hại giải pháp không phân biệt liệu nhạy cảm, liệu cần bảo vệ Vì cần xây dựng giải pháp chống thất thoát liệu cho doanh nghiệp - DLP (Data Loss Prevention) giúp ngăn ngừa tối đa nguy thất thơng tin thiết lập xác sách loại thơng tin người quyền sử dụng thông tin Bài báo cáo giới thiệu giải pháp chống thất thoát liệu cho doanh nghiệp - DLP (Data Loss Prevention) giải pháp ngăn ngừa hiệu mát thông tin nhạy cảm, bí mật TC/DN Nội dung bao gồm: Phần 1: Tổng quan DATA LOSS PREVENTION (DLP) Phần 2: Phân tích đánh giá mơ hình mạng Phần 3: Thiết kế hệ thống Phần 4: Xây dựng qui trình sách bảo mật Phần 5: Kết luận MỤC LỤC PHẦN TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP) .5 1.1 Khái niệm DLP 1.2 Các đường dẫn đến mát liệu 1.3 Hiện trạng mát liệu doanh nghiệp 10 PHẦN PHÂN TÍCH VÀ ĐÁNH GIÁ MƠ HÌNH MẠNG HIỆN TẠI 13 2.1 Những điểm yếu bảo mật 13 2.2 Những rủi ro mát liệu 14 2.2.1 Từ attacker .15 2.2.2 Từ nhân viên 16 PHẦN THIẾT KẾ HỆ THỐNG MỚI 17 3.1 Mơ hình tổng qt 17 3.2 Các giải pháp công nghệ sử dụng 17 3.2.1 Giải pháp IDS/IPS security mạng LAN .17 3.2.1.1 Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion Prevention System) 18 3.2.2 Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite .20 3.2.3 Giải pháp backup liệu sử dụng hệ thống SAN .21 3.2.4 Giải pháp web security 23 3.2.4.1 Giới thiệu giải pháp 23 3.2.4.2 Triển khai 24 3.2.5 Giải pháp email security 25 3.2.5.1 Giải pháp GFI Archive 2020 26 3.2.5.2 Giải pháp GFI MailEssentials 2020 27 3.2.5.3 Giải pháp quản lý hoạt động user – Spector360 29 3.2.5.4 Giải pháp mã hóa email với iSafeguard 31 3.2.6 Giải pháp file security 32 3.2.6.1 Triển khai DFS Replicate DFS Namespace lên server 32 3.2.6.2 Sử dụng Audit Policy 33 3.2.6.3 Sử dụng NTFS Permission 33 3.2.6.4 Sử dụng Backup & Restore để lưu liệu định kỳ phục hồi cần thiết 34 3.2.6.5 Sử dụng Quota để giới hạn dung lượng sử dụng ổ đĩa File server 34 3.2.6.6 Sử dụng Shadow Copies để lưu phục hồi liệu bị xóa, thay đổi tạm thời 35 3.2.6.7 Một số giải pháp khác .35 PHẦN XÂY DỰNG QUI TRÌNH VÀ CHÍNH SÁCH BẢO MẬT 37 4.1 Xây dựng qui trình 37 4.1.1 Xác định đối tượng 37 4.1.2 Xác định mục tiêu 37 4.1.3 Xác định phương pháp 38 4.2 Xây dựng sách 39 4.2.1 Quản lý thiết bị 39 4.2.2 Quản lý người 43 4.2.3 Quản lý truy cập 46 4.2.4 Quản lý thông tin 47 3.3.3.7 Phân loại thông tin 47 3.3.3.8 Chính sách quản lý thơng tin 48 PHẦN KẾT LUẬN 49 5.1 Những điểm đạt 49 5.2 Những điểm cịn thiếu sót 50 PHẦN TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP) 1.1 Khái niệm DLP Cùng với phát triển doanh nghiệp địi hỏi ngày cao mơi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thơng tin cho nhiều đối tượng khác qua Internet hay Intranet Việc mát, rị rỉ thơng tin ảnh hưởng nghiêm trọng đến tài chính, danh tiếng công ty quan hệ với đối tác Vì vấn đề thất liệu doanh nghiệp ln quan tâm kiểm sốt khắc phục giải pháp chống thất thoát liệu (Data Loss Prevention - DLP) Các hiểm họa hệ thống gây thất liệu (Data Loss) phân loại thành hiểm họa vơ tình hay cố ý, chủ động hay thụ động sau: - Hiểm họa vơ tình: người dùng khởi động lại hệ thống chế độ đặc quyền, họ tùy ý chỉnh sửa hệ thống Nhưng sau hồn thành cơng việc họ khơng chuyển hệ thống sang chế độ thơng thường, vơ tình để kẻ xấu lợi dụng - Hiểm họa cố ý: cố tình truy nhập hệ thống trái phép - Hiểm họa thụ động: hiểm họa chưa không tác động trực tiếp lên hệ thống, nghe trộm gói tin đường truyền - Hiểm họa chủ động: việc sửa đổi thơng tin, thay đổi tình trạng hoạt động hệ thống Giải pháp chống thất thoát liệu (Data Loss Prevention - DLP): giúp kiểm soát giám sát việc truyền nhận liệu quan trọng dựa vào khả nhận biết nội dung, quản lý rủi ro thất thơng tin, liệu quan trọng bên Giải pháp thiết kế cho phép tổ chức xây dựng sách kiểm soát hoạt động nhân viên ứng dụng email cá nhân doanh nghiệp, giao tiếp web hoạt động khác 1.2 Các đường dẫn đến mát liệu Những tác nhân ảnh hưởng đến thông tin: Tự nhiên: thiên tai tác động mơi trường (bão, lũ, động đất, khí hậu, hỏa hoạn, ô nhiễm môi trường,…) Attacker: - Nghe mạng (Eavesdropping): phương pháp đời lâu hiệu quả, kẻ tất công sử dụng thiết bị mạng (router, card mạng, …) chương trình ứng dụng (TCPDump, Ethereal, Wireshark,…) để giám sát lưu lượng mạng, bắt gói tin qua thiết bị này, để khắc phục vấn đề cách tốt mã hóa liệu trước truyền chúng mạng - Giả mạo IP Address (IP Address Spoofing): phương pháp công cho phép kẻ công giả mạo địa IP nạn nhân bao gồm kỹ thuật SYN flooding, TCP hijacking, ARP spoofing - Tấn công Password (Password-Based Attacks): sử dụng chế chứng thực uername password, phương pháp thông dụng guessing, social engineering, dictionary, password sniffing - Tấn công từ chối dịch vụ (Denial-of-Service Attack): mục tiêu công từ chối dịch vụ ngăn chặn người dùng hợp pháp sử dụng dịch vụ mà họ thường nhận từ máy chủ, cơng phát sinh từ máy tính (DoS) từ nhóm máy tính (DDoS) - Tấn cơng tầng ứng dụng (Application Attack): khai thác điểm yếu chương trình ứng dụng chạy máy server sendmail, Postscript FTP Bằng cách khai thác điểm yếu này, chủ thể cơng chiếm quyền truy xuất vào máy tính với quyền truy cập cấp với tài khoản sử dụng - Malicious Code: công phần mền độc hại • Virus: phần mềm tự chép thực thi khởi chạy chương trình vật chủ, làm hại máy tính chép để lây nhiễm máy tính khác hệ thống • Worm: chương trình đứng (stand alone program), thực thi thời điểm, gây nguy hiểm cho hệ thống thường trú • Trojan: ngụy trang kèm theo ứng dụng thơng thường, chức điều khiển máy tính từ xa, ăn cắp thơng tin nạn nhân • Logic BOM: chương trình lệnh nhúng chương trình, kích hoạt lệnh điều khiển có điều kiện Người dùng: Thất liệu xảy trạng thái liệu sau: - Data-in-Motion (dữ liệu vận chuyển): Các liệu truyền thông qua đường Internet gửi thư điện tử, tải liệu nội lên trang web, truyền tải liệu nội qua kết nối từ xa (remote connection) hay qua kênh giao tiếp Yahoo Messenger!, AOL, Skype, … Ví dụ: Rủi ro liệu nội bị luồng bên kỹ thuật cơng attacker, rị rỉ liệu qua mạng xã hội, giao tiếp nhân viên qua website, gửi nhận mail cá nhân, gửi nhận liệu từ bên ngoài, điểu khiển từ xa,… - Data-at-Rest (dữ liệu lưu trữ): liệu lưu trữ thư mục chia ổ đĩa người dùng Ví dụ: Thất liệu xảy hệ thống lưu trữ bị cơng, chương trình ứng dụng bị đính kèm phần mềm gián điệp, phần mềm độc hại, liệu bị đánh cấp người có đặc quyền sử dụng, quản lý liệu nội bộ,… - Data-in-Use (dữ liệu sử dụng): thao tác người dùng cuối copy data in ấn Ví dụ: Các thao tác nhân viên vơ tình hay hữu ý làm liệu bị rị rỉ bên ngồi chép liệu qua usb, in ấn tài liệu, nhập liệu qua bàn phím, máy tính bị giám sát key logger,… Tương ứng ta có giải pháp DLP phù hợp để ngăn chặn việc thất thoát liệu: - DLP for Endpoint: kiểm soát, quản lý liệu trạng thái sử dụng - DLP for Network: kiểm soát, quản lý liệu trạng thái vận chuyển mạng - DLP for Stored data discovery: kiểm soát, quản lý liệu trạng thái lưu trữ, tài ngun máy tính Hình 1.2.1: Mất mát liệu từ phía người dùng Bên cạnh theo báo cáo vi phạm liệu từ Verizon (verizonenterprise.com) năm 2010 cho thấy liệu bị vi phạm ghi nhận chủ yếu liên quan đến nguy từ nội bộ, hình thức lừa đảo kỹ xã hội (Social Engineering) tham gia tổ chức tội phạm Hình 1.2.2: Báo cáo ngun nhân thất liệu thơng kê năm 2010 Cụ thể là: Có tới 48% vi phạm từ phía nội Nhiều vi phạm liên quan đến lạm dụng, lợi dụng đặc quyền, 48% người dùng, 40% hacking, 28% Social Engineering Còn số liệu Verizon (verizonenterprise.com) cuối năm 2020 cho thấy nguy mát liệu từ nội (Insider Misuse) giảm so với năm nhiên chiếm tỉ lệ đáng kể Hình 1.2.3: Báo cáo cố an ninh qua năm 1.3 Hiện trạng mát liệu doanh nghiệp Theo báo cáo thất thoát liệu tháng đầu năm 2020 – “Global Data Leakage Report, H1 2020” InfoWatch Analytical Center *InfoWatch dự án Kaspersky Lab hoạt động 10 năm với mục đích bảo vệ an tồn thơng tin doanh nghiệp* Có 723 tin tức mát liệu phương tiện thông tin đại chúng, cao 10% so với kỳ năm 2014 Tấn công từ bên (external attacks) đứng 32%, cao 9% kỳ năm ngối Tính Device Control giúp ta quản lý việc giao tiếp Endpoint thiết bị ngoại vi Sophos chia thiết bị ngoại vi thành nhóm : - Nhóm lưu trữ : gồm ổ mềm, ổ quang, thẻ nhớ, thiết bị lưu trữ giao tiếp USB - Nhóm kết nối mạng : gồm modem, thiết bị khơng dây - Nhóm giao tiếp gần : gồm Bluetooth, hồng ngoại - Về bản, có quyền áp dụng cho thiết bị ngoại vi kể trên: • Blocked : khơng cho sử dụng • Full Access : tồn quyền sử dụng Với thiết bị nhóm lưu trữ có thêm quyền :Read-Only : cho giao tiếp chiều từ thiết bị đến Endpoint Nghĩa không cho chép liệu từ Endpoint thiết bị lưu trữ ngoài, cho chép từ thiết bị lưu trữ ngồi vào Endpoint Sử dụng tính Web Filtering: Những Website Internet SophosLABs phân loại theo 14 chủ đề khác Qua kiểm sốt việc truy xuất người dùng vào website tương ứng theo chủ đề Người dùng phép (Allow) bị chặn (Deny) cảnh báo trước truy cập (Warn) Đi kèm hệ thống ghi nhận báo cáo người dùng cố ý vượt qua cảnh báo cố gắng truy cập vào website bị chặn Hơn nữa, việc kiểm soát ln có hiệu lực cho dù người dùng làm việc nhà hay đâu mà khơng cần phải cài đặt thêm Tính Application Control: tạo sách sử dụng phần mềm phân quyền cách tường minh Việc cài đặt sử dụng ứng dụng cách tùy ý dễ phát sinh vấn đề hệ thống bạn như: • Nhiều ứng dụng chứa Trojan • Nhiều ứng dụng làm tiêu hao băng thông mạng bạn khơng sử dụng • Các Portable Application khó kiểm sốt • Các ứng dụng chia sẻ ngang hàng (Peer-to-Peer) tin nhắn tức (Instant Messaging) thường làm ảnh hưởng đến sách an tồn thơng tin Tính Application Control giúp ta giải vấn đề Các ứng dụng phổ biến Sophos phân tích phân loại thành 46 chủ đề khác PHẦN XÂY DỰNG QUI TRÌNH VÀ CHÍNH SÁCH BẢO MẬT 4.1 Xây dựng qui trình 4.1.1 Xác định đối tượng Chính sách áp dụng rộng rãi cho toàn nhân lực doanh nghiệp bao gổm ban lãnh đạo, nhân viên thức thực tập sinh Tồn thể nhân viên có trách nhiệm tn thủ nghiêm ngặt sách doanh nghiệp đề ra, có rủi ro, cố, hay tác nhân gây ảnh hưởng đến tính bảo mật thơng tin tính khả dụng sách phải trình báo với phận trưởng phòng IT để kịp thời xử lý khắc phục Phạm vi áp dụng cụ thể sau: - Đối với ban lãnh đạo, giám đốc điều hành cần phổ biến rộng rãi sách bảo mật thơng tin doanh nghiệp đến phân công ty - Bộ phận IT có trách nhiệm hỗ trợ, hoạch định, thiết kế, triển khai sách kịp thời xử lý rủi ro có - Các trưởng phòng phòng ban doanh nghiệp cần phổ biến hướng dẫn nhân viên, thực tập sinh tuân thủ đắn sách đề chịu trách nhiệm xử lý vi phạm sách nhân viên, thực tập sinh - Mỗi nhân viên, thực tập sinh có trách nhiệm tn thủ sách đảm bảo an tồn thơng tin doanh nghiệp 4.1.2 Xác định mục tiêu Xây dựng môi trường làm việc an ninh, bảo mật Chính sách xác định phạm vi xây dựng hệ thống ISMS cho phù hợp với doanh nghiệp (hoạt động kinh doanh, vị doanh nghiệp, tài sản doanh nghiệp) Chính sách cung cấp cách thức đảm bảo việc thỏa mãn khách hàng - thông qua cung cấp việc tin cậy mà thơng tin cá nhân bảo vệ  Tính liên tục doanh nghiệp - thông qua quản lý rủi ro, phù hợp luật pháp cẩn trọng vấn đề bảo mật tương lai  Phù hợp luật pháp - thông qua việc thấu hiểu yêu cầu quy định pháp lý ảnh hưởng đến tổ chức khách hàng họ  quản lý rủi ro cải thiện - thông qua chương trình làm việc tự động để đảm bảo hồsơ khách hàng, thơng tin tài tài sản trí tuệ bảo vệ tránh khỏi mất, trộm hư hại  tăng khả cạnh trạnh với doanh nghiệp - đặc biệt nơi mà đặc tính kỹ thuật yêu cầu chứng nhận điều kiện tiên để cung ứng dịch vụ Chính sách đáp ứng trì:  Tính bảo mật thơng tin  Tính tồn vẹn thơng tin  Tính sẵn sàng thơng tin  Nhận thức trách nhiệm nhân viên nhiệm vụ việc bảo đảm an tồn thơng tin doanh nghiệp  Cung cấp sở chung cho tổ chức phát triển, thực đánh giá thực hành quản lý an tồn thơng tin 4.1.3 Xác định phương pháp Hiện thực hệ thống quản lý an tồn thơng tin (ISMS) phù hợp với tiêu chuẩn ISO 27001/27002 Chúng ta có thể: - Cho phép chia sẻ thơng tin an tồn - Bảo vệ thơng tin tổ chức từ tất mối đe dọa: nội bên ngồi, cố tình hay vơ ý - Tính bảo mật thơng tin đảm bảo - Tính tồn vẹn thơng tin trì - Tính sẵn có thơng tin q trình kinh doanh có liên quan trì - Các yêu cầu pháp luật chế định, ràng buộc hợp đồng với khách hàng đáp ứng - Việc đào tạo an tồn thơng tin sẵn có nhân viên 4.2 Xây dựng sách 4.2.1 Quản lý thiết bị Giải pháp quản lý quyền truy cập thiết bị giúp doanh nghiệp giám sát hạn chế hành vi chép thiết bị di động nhằm mục đích phịng chống thất thơng tin nhạy cảm tổ chức Cấu hình bảo mật cần thiết cho thiết bị mạng Firewall, thiết bị phát ngăn ngừa xâm nhập IDS/IPS, Router, Switch,… Firewall (Tường lửa) Mục đích việc sử dụng Firewall là: - Bảo vệ hệ thống bị công - Lọc kết nối dựa sách truy cập nội dung - Áp đặt sách truy cập người dùng nhóm người dùng - Ghi lại nhật ký để hỗ trợ phát xâm nhập điều tra cố Cần thiết lập Access Control List cho Firewall từ chối tất kết nối từ bên Web Server Internet ngoại trừ kết nối thiết lập - tức từ chối tất gói tin TCP xuất cờ SYN Điều ngăn chặn việc tin tặc có khả chạy kịch mã độc Web Server khơng thể cho mã độc nối ngược từ Web Server trở máy tính tin tặc IDS/IPS (Thiết bị phát hiện/phịng, chống xâm nhập) Các thiết bị IDS có tính phát dấu hiệu xâm nhập trái phép, thiết bị IPS có tính phát ngăn chặn việc xâm nhập trái phép tin tặc vào hệ thống Như thiết bị mạng, IDS/IPS bị cơng chiếm quyền kiểm sốt bị vơ hiệu hóa tin tặc Vì cần thiết đảm bảo thực số tiêu chí triển khai vận hành, gồm: - Xác định công nghệ IDS/IPS đã, dự định triển khai - Xác định thành phần IDS/IPS - Thiết đặt cấu hình an tồn cho IDS/IPS - Xác định vị trí hợp lý để đặt IDS/IPS - Có chế xây dựng, tổ chức, quản lý hệ thống luật (rule) - Hạn chế thấp tình cảnh báo nhầm (false positive) không cảnh báo có xâm nhập (false negative) Thiết đặt cấu hình hệ thống máy chủ an tồn Để vận hành máy chủ an toàn, việc cần lưu ý cập nhật phiên vá cho hệ thống Ngoài ra, với loại máy chủ khác có biện pháp thiết đặt cấu hình cụ thể để đảm bảo vận hành an toàn Hệ thống máy chủ Linux - Đối với hệ thống cài đặt phải đảm bảo số yêu cầu sau: • Khả hỗ trợ từ phân phối (thông tin vá lỗi, thời gian cập nhật, nâng cấp, kênh thông tin hỗ trợ kỹ thuật) • Khả tương thích với sản phẩm bên thứ (tương thích nhân hệ điều hành với ứng dụng, cho phép mở rộng module) • Khả vận hành sử dụng hệ thống người quản trị (thói quen, kỹ sử dụng, tính tiện dụng) - Tối ưu hóa hệ điều hành mặt sau: • Chính sách mật khẩu: sử dụng chế mật phức tạp (trên ký tự bao gồm: ký tự hoa, ký tự thường, ký tự đặc biệt chữ số) nhằm chống lại kiểu cơng brute force • Tinh chỉnh thơng số mạng: tối ưu hóa số thơng tin tập tin /etc/sysctl.conf • Cho phép khơng cho phép dịch vụ truy cập đến hệ thống thơng qua hai tập tin /etc/hosts.allow /etc/host.deny • Gỡ bỏ dịch vụ không cần thiết: việc gỡ bỏ gói, dịch vụ khơng cần thiết hạn chế khả tiếp cận kẻ công cải thiện hiệu hệ thống • Điều khiển truy cập: định truy cập phép đến hệ thống thông qua tập tin /etc/security/access.conf, /etc/security/time.conf, /etc/security/limits.conf, giới hạn tài khoản phép sử dụng quyền sudo thông qua tập tin /etc/pam.d/su • Sử dụng kết nối SSH thay cho kênh kết nối khơng an tồn Telnet, FTP, v.v • Quản lý hệ thống ghi nhật ký (log) cách tập trung quán nhằm phục vụ cho mục đích điều tra có cố xảy Hệ thống máy chủ Windows Máy chủ Windows sử dụng phổ biến, việc bảo vệ cho máy chủ Windows thực cần thiết Để đảm bảo cho hệ thống cần thực số biện pháp sau: - Đối với dịch vụ cổng: • Các dịch vụ chạy thiết lập với tài khoản có quyền tối thiểu • Vơ hiệu hóa dịch vụ DHCP, DNS, FTP, WINS, SMTP, NNTP, Telnet dịch vụ không cần thiết khác nhu cầu sử dụng • - Nếu ứng dụng web mở cổng 80 (và cổng 443 có SSL) Đối với giao thức: • Vơ hiệu hóa WebDAV khơng sử dụng ứng dụng u cầu phải bảo mật • - Vơ hiệu hóa NetBIOS SMB (đóng cổng 137, 138, 139 445) Tài khoản nhóm người dùng: • Gỡ bỏ tài khoản chưa sử dụng khỏi máy chủ • Vơ hiệu hóa tài khoản Windows Guest • Đổi tên tài khoản Administrator thiết lập mật mạnh • Vơ hiệu hóa tài khoản IUSR_MACHINE khơng sử dụng ứng dụng khác • Nếu ứng dụng khác yêu cầu truy cập anonymous, thiết lập tài khoản anonymous có quyền tối thiểu • Chính sách tài khoản mật phải đảm bảo an toàn, sử dụng chế mật phức tạp (trên ký tự bao gồm: ký tự hoa, ký tự thường, ký tự đặc biệt chữ số) • Phải giới hạn Remote logons (Chức phải gỡ bỏ khỏi nhóm Everyone) • - Tắt chức Null sessions (anonymous logons) Tập tin thư mục: • Tập tin thư mục phải nằm phân vùng định dạng NTFS • Tập tin nhật ký (log) khơng nằm phân vùng NTFS hệ thống • Các nhóm Everyone bị giới hạn (khơng có quyền truy cập vào \Windows\system32) • - Mọi tài khoản anonymous bị cấm quyền ghi (write) vào thư mục gốc Tài nguyên chia sẻ: • Gỡ bỏ tất chia sẻ không sử dụng (bao gồm chia sẻ mặc định) • Các chia sẻ khác (nếu có) cần giới hạn (nhóm Everyone không phép truy cập) - Các phiên vá lỗi: • Cập nhật phiên • Theo dõi thông tin cập nhật từ nhiều nguồn khác • Nên triển khai cập nhật hệ thống thử nghiệm trước cập nhật vào hệ thống thật Quản lý thiết bị lưu trữ di động (USB, PC card reader, ổ cứng di động), CD, DVD, Blu-ray, Đĩa mềm, Modem, Wireless, Bluetooth, Hồng ngoại,… cho phép doanh nghiệp ngăn chặn việc sử dụng thiết bị phần cứng bên ngoài, phương tiện lưu trữ di động, kết nối khơng dây (wireless) máy tính Điều giúp giảm đáng kể việc mát liệu doanh nghiệp từ nhân viên nội tin tặc - Blocked: Chặn thiết bị, thiết bị thiết lập tính thiết bị khơng thể kết nối đến máy tính - Full access: Có quyền truy cập thiết bị - Read only: Thiết bị có quyền đọc, khơng thể chép liệu vào thiết bị Ví dụ: người dùng muốn USB có quyền đọc, khơng thể chép liệu từ máy tính vào USB u cầu cấu hình tính Read only thiết bị lưu trữ di động - Block Bridged: Chặn kết nối Bridge mạng công ty mạng công ty Chỉ áp dụng cho Modem Wireless - Loại trừ thiết bị xác định trước Ví dụ: chặn tất kết nối USB vào mạng công ty, trừ USB Anh A kết nối chép liệu bình thường 4.2.2 Quản lý người Phạm vi: Áp dụng cho tất nhân viên cơng ty: bao gồm nhân viên tồn thời gian, bán thời gian, thực tập sinh …), nhà thầu người sử dụng bên thứ ba 4.2.2.1 Trước làm việc Để đảm bảo nhân viên, nhà thầu người sử dụng bên thứ ba hiểu rõ trách nhiệm họ, thích hợp cho vai trò mà họ xem xét, làm giảm nguy hành vi trộm cắp, lừa đảo lạm dụng phương tiện Chính sách:  Nhân viên, nhà thầu người sử dụng bên thứ ba liệt kê chi tiết tất quy định trách nhiệm việc bảo vệ an tồn thơng tin Sau đồng ý với yêu cầu nêu hợp đồng lao động, hợp đồng với nhà thầu người sử dụng, bên có liên quan phải tuân thủ nghiêm ngặt theo điều khoản ghi 4.2.2.2 Trong làm việc Mục tiêu: Để đảm bảo tất nhân viên, nhà thầu người sử dụng bên thứ ba nhận thức mối đe dọa an ninh thông tin mối quan tâm, trách nhiệm nghĩa vụ pháp lý họ, trang bị để hỗ trợ cho sách an ninh tổ chức trình làm việc bình thường Đảm bảo trang bị kiến thức, điều kiện cần thiết nhằm hỗ trợ sách an tồn thơng tin tổ chức trình làm việc, giảm thiểu rủi ro người gây Chính sách:  Ban giám đốc có trách nhiệm quản lý việc đảm bảo an tồn thơng tin cơng ty quy định, kiểm tra, kiểm sốt ngày  Khi có cố nào, người trực tiếp gây chịu trách nhiệm, bị xử lý kỷ luật theo quy định Người quản lý, giám sát người bị xử lý kỷ luật tùy trường hợp  Nhân viên không cung cấp thông tin đăng nhập, mật email, tài khoản kết nối với liệu công ty cho ai, chí thành viên gia đình  Khi nhân viên, nhà thầu kết nối với liệu công ty phải chịu trách nhiệm việc đảm bảo an tồn thơng tin Phải đảm bảo giải pháp kết nối liệu tiêu chuẩn, khơng, phải có cho phép cơng ty  Thông tin mật tuyệt mật, nhạy cảm khơng trao đổi hình thức với người khơng có quyền sử dụng chúng người có nghi vấn giả mạo người có quyền sử dụng chúng (Người có nghi vấn giả mạo người không trực tiếp đối thoại, người chưa xác định xác nhân thân mà liên lạc trực tiếp gián tiếp: qua email, điện thoại, bàn tiếp tân … yêu cầu tiết lộ thông tin để vấn, điều tra nhân viên công ty quên mật khẩu) Phải báo cho quản lý, người giám sát hành vi  Tất nhân viên phải tập huấn quy trình bảo đảm an tồn thông tin từ bắt đầu trở thành nhân viên  Bộ phận quản lý thơng tin có quyền giám sát việc sử dụng internet tất thiết bị kết nối với mạng công ty  Thông tin chi tiết thời gian, nội dung phiên kết nối mạng nhân viên công ty với internet bao gồm: duyệt web, nhắn tin instant message, email, trao đổi , chia sẻ tập tin phải cung cấp cho nhân viên phận IT có u cầu  Bộ phận IT có tồn quyền ngăn chặn, giới hạn trang web, giao thức trao đổi thông tin không phù hợp với công ty Nội dung quy định ngăn chặn, giới hạn phận IT ban Giám đốc công ty quy định chi tiết 4.2.2.3 Chấm dứt thay đổi việc làm Tất nhân viên, nhà thầu người sử dụng bên thứ ba phải trả lại tất Tài sản tổ chức sở hữu họ kết thúc làm việc, hợp đồng thỏa thuận họ Chính sách:  Sau kết thúc hợp đồng, nhân viên, nhà thầu, người sử dụng bên thứ có trách nhiệm bàn giao lại tồn tài sản thuộc sở hữu cơng ty  Có trách nhiệm đảm bảo việc hủy bỏ quyền truy cập trước kết thúc hợp đồng Nếu chưa, phải báo cho phận chuyên trách  Khi nhân viên thay đổi vị trí làm việc cơng ty, nhân viên phải có trách nhiệm trả lại bàn giao lại tài sản không thuộc sở hữu cá nhân cho nơi làm việc  Có trách nhiệm đảm bảo việc hủy bỏ quyền truy cập vào phịng ban, thơng tin có liên quan đến vị trí cũ 4.2.3 Quản lý truy cập - Các nhân viên truy cập, sử dụng chia sẻ thông tin độc quyền phạm vi ủy quyền thực cần thiết để thực nhiệm vụ công việc giao - Bộ phận IT có trách nhiệm tạo hướng dẫn liên quan đến sử dụng cá nhân hệ thống mạng Internet/Intranet/Extranet Trong trường hợp khơng có sách vậy, nhân viên phải hướng dẫn việc sử dụng có vấn đề gì, nhân viên cần tham khảo ý kiến trưởng phòng phòng ban mà họ làm việc - Mọi hoạt động người dùng hệ thống ghi log lại - Tất thiết bị di động máy tính có kết nối với mạng nội phải tuân thủ sách quyền truy cập tối thiểu - Tất thơng tin bí mật cơng ty lưu trữ phân tán hai file server, phân quyền gán nhãn tự động Windows Server 2012 Dynamic Access Control kết hợp windows Right Management Services tự động mã hóa.Khơng có nhân viên phép truy xuất thông tin trừ ban lãnh đạo công ty - Mức độ sử dụng mật phải tuân thủ sách mật - Tất nhân viên phải cẩn trọng mở file đính kèm email nhận từ người gửi khơng rõ, chứa phần mềm độc hại - Cấm chép trái phép tài liệu có cứng - Các nhân viên khơng phép tiết lộ mật tài khoản cho người khác cho phép người khác sử dụng tài khoản minh, bao gồm gia đình thực công việc nhà - Cấm hành vi vi phạm an ninh hay làm gián đoạn truyền thông mạng bao gồm: cài đặt malicious code, công từ chối dịch vụ, giả mạo hay ăn cắp thông tin nhân viên khác - Nhân viên bị cấm việc tiết lộ thông tin bí mật cơng ty trang blog, mạng xã hội Facebook, Twitter, Google Plus,… 4.2.4 Quản lý thông tin 3.3.3.7 - Phân loại thông tin Thơng tin bình thường: thơng tin ngồi công việc, không liên quan đến công ty, trao đổi hàng ngày nhân viên công ty với (chuyện gia đình, tình cảm, đời sống ngày) - Thông tin nhạy cảm: thông tin liên quan đến công việc nội công ty nhân viên với nhân viên nhân viên với khách hàng (doanh thu, lợi nhuận, tiền lương, PR, chăm sóc khách hàng) - Thơng tin mật: thơng tin quan trọng cơng ty, người có quyền hạn thuộc công ty biết (thông tin cá nhân nhân viên, khách hàng, username, password, hợp đồng, thông tin đối tác) - Thông tin tuyệt mật: thơng tin mang tính chiến lược kinh doanh, định hướng công ty (bản thiết kế, kế hoạch) 3.3.3.8 Chính sách quản lý thơng tin Đối với thơng tin bình thường: nhân viên tùy ý sử dụng, trao đổi ngồi làm việc Đối với thơng tin nhạy cảm: - Các nhân viên phải đảm bảo tất thông tin nhạy cảm dạng cứng tài liệu điện tử phải an toàn khu vực làm việc - Máy tính nhân viên phải khóa lại khơng làm việc tắt hoàn toàn hết làm việc - Những tài liệu lưu hành nội không để bàn làm việc mà phải cất ngăn kéo khóa cẩn thận nhân viên hết làm việc - Nhân viên không viết mật cá nhân lên giấy dán, notebook, hay vị trí dễ tiếp cận khác - Các nhân viên không phép tiết lộ mật tài khoản cho người khác cho phép người khác sử dụng tài khoản minh, bao gồm gia đình thực cơng việc nhà - Nhân viên không tự ý tiết lộ thông tin liên quan đến công ty trang blog, mạng xã hội Facebook, Twitter, Google Plus,… Đối với thông tin mật: - Bao gồm tất sách - Thơng tin cá nhân, username, password lưu trữ server phải đặt phịng đặc biệt, khóa chắn giám sát liên tục qua camara, có nhân viên IT phụ trách phép tiếp cận - Các văn bản, giấy tờ quan trọng phải lấy khỏi máy in sau in xong - Tất liệu mật lưu trữ thiết bị ngoại vi CD-ROM, DVD hay USB phải mã hóa đặt password Đối với thông tin tuyệt mật: - Bao gồm tất sách - Tất tài liệu, giấy tờ sau khơng cịn sử dụng phải băm nhỏ máy cắt giấy thùng xử lý liệu bí mật phải khố cẩn thận - Bảng trắng sử dụng hội họp cần phải xóa sau họp kết thúc - Tất máy in máy fax phải xóa hết liệu, giấy tờ sau chúng in - Tất thông tin tuyệt mật công ty lưu trữ phân tán hai file server, phân quyền, gán nhãn tự động Windows Server 2012 Dynamic Access Control kết hợp Right Management Services (cho phép người gửi phân quyền tương tác với nội dung cho người nhận như: cấm in tài liệu, cấm chuyển email cho người khác, thiết lập thời gian hết hạn tài liệu) tự động mã hóa Khơng có nhân viên phép truy xuất thông tin trừ ban lãnh đạo công ty PHẦN KẾT LUẬN 5.1 Những điểm đạt - Nhóm tìm hiểu trạng thất thoát liệu doanh nghiệp nay, đường dẫn đến thất thoát liệu Nắm khái niệm thất thoát liệu - Phân tích điểm yếu bảo mật mơ hình mạng - Xác định rủi ro thất thoát liệu đến từ attacker chí từ nhân viên công ty - Xây dựng triển khai mơ hình hệ thống mới, có kết hợp giải pháp, công nghệ bảo mật với qui định, sách quản lý người Góp phần giảm thiếu tối ta tình trạng thất liệu doanh nghiệp 5.2 Những điểm cịn thiếu sót - Thất liệu vấn đề rộng lớn, với mà nhóm em tìm hiểu đường dẫn đến thất liệu doanh nghiệp có giá trị Với phát triển vượt bậc khoa học cơng nghệ tương lai có thêm nhiều đường khác dẫn đến thất liệu mà nhóm chưa nhìn - Tương tự vậy, cơng nghệ qui trình, sách mà nhóm đề xuất phù hợp thời điểm tại, đáp ứng số nhu cầu định doanh nghiệp ... thiệu giải pháp chống thất thoát liệu cho doanh nghiệp - DLP (Data Loss Prevention) giải pháp ngăn ngừa hiệu mát thơng tin nhạy cảm, bí mật TC/DN Nội dung bao gồm: Phần 1: Tổng quan DATA LOSS PREVENTION. .. ngăn ngừa công, mã độc hại giải pháp không phân biệt liệu nhạy cảm, liệu cần bảo vệ Vì cần xây dựng giải pháp chống thất thoát liệu cho doanh nghiệp - DLP (Data Loss Prevention) giúp ngăn ngừa... TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP) 1.1 Khái niệm DLP Cùng với phát triển doanh nghiệp đòi hỏi ngày cao môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin cho nhiều đối