a. Về hệ thống Sử dụng Firewall Cyberoam Firewall-UTM
Lý do chọn Cyberoam Firewall-UTM là nó đáp ứng đƣợc đầy đủ các tính năng bảo mật cho hệ thống mạng tại tầng ứng dụng cụ thể nó có các tính năng nhƣ sau:
Tính Năng Mô tả
Stateful Inspection Firewall (Đƣợc chứng nhận bởi ICSA Labs)
• Sử dụng bảng trạng thái kiểm soát các gói tin
• Ngăn chặn dịch vụ(DoS ) và tần công dồn dập từ các nguồn bên ngoài vào và bên trong ra.
• Nhận dạng ngƣời sử dụng & kiểm soát các ứng dụng ( P2P, IM)
Cổng kết nối mạng riêng ảo (VPN)
• IPSec, L2TP, PPTP, SSL VPN
• Độ sẵn sàng cao cho các kết nối VPN IPSec, L2TP
• Dual VPNC Certifications - Basic and AES Interop
Gateway Anti-Virus & Anti-Spyware
• Theo dõi các luồng HTTP, HTTPs,FTP, IMAP, POP3 and SMTP
• Phát hiện và loại bỏ viruses, worms, Trojans • Kiểm soát các email vào ra hệ thống bằng chính sách.
• Kiểm soát các file trao đổi dựa trên từ khóa • Nhận dạng ngƣời dung tức thời trong trƣờng hợp bị tấn công
Gateway Anti-Spam • Theo dõi và nhận dạng tấn công spam qua cổng SMTP, POP3 và IMAP cách ly hoặc đính kèm nội dung dựa trên chính sách (Policy) hoặc các danh sách (black list & white list)
• Bảo vệ khỏi sự bùng nổ lây nhiêm virus • Bảo vệ khỏi các hình thức spam bao gồm spam ảnh (image-spam) bằng việc sử dung công nghệ dò tìm mẫu (Recurrent Pattern Detection RPD)
Hệ thống phòng chống thâm nhập trái phép – IPS
• Cơ sở dữ liệu bao gồm hơn 3500 signatures • Hỗ trợ khả năng đa chính sách dựa trên signature
• Nhận dạng và phòng chống thâm nhập sử dụng dấu hiệu do ngƣời sử dụng thiết lập dựa trên hành vi
• Phòng chống thâm nhập dựa trên phƣơng pháp thử sai (Attempts), từ chối dịch vụ (DoS), attacks, chèn mã độc (malicious code), backdoor, và các dang tấn công trên lớp mạng, kiểm soát sử dụng proxy mạo danh bang HTTP signatures, khả năng khoa các hoạt động “phone home”
Bộ lọc nội dung và lọc ứng dụng (Content & Application Filtering)
• Tự động hóa phân loại web theo nhóm, các nhóm bao gồm hàng triệu các trang web đƣợc phân loại sẵn trong 82 nhóm nội dung
• Bộ lọc URL đƣợc sử dụng cho các ứng dụng HTTP & HTTPS.
• Phân cấp chính sách theo nhóm, phòng ban, ngƣời sử dụng, thời gian sử dụng,
• Kiểm soát download streaming media, gaming, tickers etc…
• hỗ trợ tiêu chuẩn CIPA đƣợc sử dụng cho các trƣờng học, thƣ viện
Quản lý băng thông (Bandwidth Management)
• Đảm bảo băng thông tối thiểu và tối đa bằng việc phân cấp theo phòng ban, nhóm ngƣời sử dụng hoặc theo tƣng cá nhân riêng lẻ, theo ứng dụng hoặc giao thức sử dụng
Quản lý đa kết nối (Multiple Link Management)
• Bảo mật thông qua việc quản lý đa kết nối (multiple ISP links) trên một thiết bị đơn • Phân tải dựa trên việc đánh giá luồng (Weighted round robin distribution)
• Tự động chuyển mạch khi có lỗi xảy ra trên cổng kết nối (Link Failover )
Hệ thống báo cáo tích hợp (On-Appliance Reporting)
• Hệ thống báo cáo hoàn thiện có sẵn trên thiết bị
• Báo cáo theo thời gian thực các lƣu lƣợng • Báo cáo theo ngƣời dùng
Hình 3.2: Sơ đồ mạng tổng quát b. Về phần mềm
- Thiết lập các chính sách bảo mật trên server
- Thiết lập cơ chế sao lƣu dữ liệu đồng bộ và tự động.
Trong chiến lƣợc tổng quan về an ninh thông tin, không thể không kể đến các phƣơng án phục hồi và đối phó sự cố. Tổ chức hệ thống mạng sẽ phải có một hệ thống lƣu trữ chuyên nghiệp, đáp ứng nhu cầu lƣu trữ thông tin ngày càng nhiều, đảm bảo các yêu cầu về độ tin cậy, khả năng mở rộng, quản trị dễ dàng, đảm bảo lƣu trữ cho các ứng dụng của bộ trên toàn hệ thống.
- Thiết lập cơ chế phục hồi dữ liệu - Thiết lập chính sách về tài khoản. - Thiết lập chính sách giám sát,
- Thiết lập sự kiện đăng nhập cho hệ thống
- Có áp dụng chính sách IP Sec đƣợc áp dụng để kiểm soát IP truy cập vào server.
- Thiết lập các chính sách về tài khoản (Account policies)
c. Bảo mật cho hệ thống Windows (Máy trạm)
Một trong những yếu tố quan tâm hàng đầu trong việc thiết kế bảo mật một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả các máy tính của tổ chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức. Kẻ tấn công có thể trực tiếp tấn công thẳng vào máy tính và lấy đi những dữ liệu quý báu.
Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả máy tính trong tổ chức là điều thiết yếu và cấp bách .
- Thiết lập cơ chế tạo account và password an toàn. - Vận hành máy tính đúng quy trình.
- Sử dụng password phức hợp, chánh sử dụng một password cho nhiều account.