Đối với nhiều doanh nghiệp hoặc cá nhân, dữ liệu trong hệ thống máy tính là một tài sản vô giá quyết định đến sự sống còn của cả một doanh nghiệp hoặc một tổ chức. Do vậy, việc lưu trữ và bảo mật là hết sức cần thiết khi mà ngày nay doanh nghiệp nào cũng đều có kết nối với Internet hoặc có mạng WAN diện rộng. Đây là điều kiện rất dễ bị xâm nhập để tin tặc và các đối thủ cạnh tranh ăn cắp dữ liệu hoặc phá hủy dữ liệu. Công ty cổ phần phong cách Anh cũng vậy, do đó cần có các giải pháp hiệu quả để hệ
thống máy tính của khách hàng luôn luôn được bảo mật và bất khả xâm phạm từ những người muốn xâm nhập vào hệ thống với mục đích ăn cắp hoặc phá hoại dữ liệu.
Những giải pháp đầu tiên mà công ty cổ phần phong cách Anh cần làm trong quá trình bảo đàm an toàn thông tin cho khách hàng đó là việc quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thông tin khách hàng. Tất cả thông tin khách hàng của doanh nghiệp đều phải đảm bảo bí mật. Dù là nhân viên bán hàng hay nhân viên phục vụ khách hàng đều phải ký thỏa thuận này. Việc xử lý, loại bỏ tất cả những tư liệu, giấy tờ liên quan đến khách hàng đều phải huỷ qua máy tài liệu. Các loại giấy tờ, thông tin, phần mềm in ấn vi tính đều không được mang ra khỏi công ty. Giáo dục đạo đức cho nhân viên. Đưa ra cơ chế an toàn liên quan đến việc tuyển, sử dụng nhân viên và sa thải nhân viên, kịp thời bố trí, điều chỉnh, điều động cán bộ nhân viên.
Các giải pháp an toàn thông tin trong giao dịch TMĐT hiện nay có thể kể tới như an toàn chứng thực điện tử, an toàn thư tín điện tử, an toàn mạng riêng ảo, firewall, honeypot.. Hệ thống phát hiện xâm nhập, các kĩ thuật thăm dò.. Bên cạnh đó các thông tin khách hàng mà công ty cần bảo mật giữ an toàn đó là những thông tin quan trọng về khách hàng tiềm năng của công ty, chi tiết nghiệp vụ quan trọng của khách hàng với công ty, chính sách kinh doanh đặc biệt của công ty đối với khách hàng quan trọng. Các doanh nghiệp tổ chức, cá nhân hay chính phủ hiện đang gia tăng nhu cầu sử dụng hệ thống mạng để chia sẻ thông tin trong nội bộ cũng như với khách hàng và đối tác. Trong xã hội hiện đại, thông tin đã trở thành tài sản có giá trị nên các doanh nghiệp, tổ chức cần phải quan tâm thích đáng hơn nữa tới vấn đề an toàn thông tin. Công ty cổ phần phong cách Anh cần có những giải pháp hiệu quả không những giúp doanh nghiệp giảm bớt nguy cơ bị tấn công vào hệ thống mà còn đem lại hiệu quả kinh tế cao cho doanh nghiệp.
Giải pháp được đưa ra ở đây đó là công ty cổ phần phong cách Anh cần áp dụng các giải pháp bảo mật bao phủ toàn bộ quá trình quản lý an toàn thông tin hoặc giải quyết các yêu cầu bảo mật cụ thể cho khách hàng của công ty, bao gồm:
• Giải pháp tư vấn tổng thể hệ thống an toàn thông tin.
• Giải pháp hệ thống tường lửa.
• Giải pháp mạng riêng ảo VPN.
• Giải pháp sử dụng công nghệ ngăn ngừa các truy cập trái phép IDS/IPS.
• Giải pháp an toàn mạng không dây.
• Giải pháp bảo mật thư điện tử.
Trong môi trường làm việc hiện đại, hầu như toàn bộ hoạt động giao tiếp, điều hành của mỗi doanh nghiệp đều được thực hiện trên môi trường mạng Internet và mạng nội bộ. Do đó, việc thiết lập và duy trì được một hệ thống mạng thông suốt sẽ nâng cao hiệu suất công việc, qua đó góp phần nâng cao lợi nhuận của doanh nghiệp.
Giải pháp tư vấn tổng thể hệ thống an toàn thông tin:
Đây là giải pháp tổng quát về hệ thống an toàn thông tin cho doanh nghiệp và khách hàng nhằm hỗ trợ, tư vấn những giải pháp thiết kế, xây dựng hệ thống mạng mạnh, hiện đại và đạt tiêu chuẩn theo nhu cầu đặt ra của doanh nghiệp, cung cấp dịch vụ thiết kế triển khai hệ thống mạng LAN, WAN và LAN to WAN với công nghệ và sản phẩm hoàn thiện của các hãng như: Cisco, IBM, HP, Juniper….
Giải pháp này cũng hỗ trợ giúp doanh nghiệp đào tạo cho nhân viên, cán bộ những kỹ năng về sử dụng các phần mềm máy tính, cách thức để bảo vệ và phòng chống các nguy cơ mất an toàn thông tin. Đồng thời, giải pháp cung cấp những kiến thức cần thiết về HTTT, TMĐT, tầm quan trọng của vấn đề an ninh mạng đối với cá nhân và doanh nghiệp để giúp nhân viên, cán bộ có ý thức hơn trong việc bảo vệ thông tin, bảo vệ hệ thống mạng.
Cung cấp cho doanh nghiệp giải pháp về an ninh hệ thống theo 06 cấp độ (tổ chức, pháp luật, điều hành, thương mại, tài chính và về con người) đúng theo tiêu chuẩn của ISO 27001: 2005 cho 10 thành phần (chính sách an ninh, tổ chức, phân loại và kiểm soát tài nguyên, an ninh nhân sự, an ninh môi trường và vật lý, quản lý tác nghiệp và truyền thông, kiểm soát truy cập, duy trì và cải tiến, quản lý liên tục, tính tuân thủ) có thể ảnh hưởng đến an ninh thông tin của doanh nghiệp nhằm đảm bảo 3 thuộc tính của nó: Tính tin cậy (Confidentiality), tính toàn vẹn (Integrity) và tính sẵn sàng (Availability). Giải pháp cụ thể như sau:
Hình 3.1: Mô hình giải pháp bảo vệ đa cấp về phần cứng
Lớp Firewall bên ngoài
Đây là lớp an ninh chủ lực chuyên dùng để chống lại các cuộc tấn công từ môi trường bên ngoài như hacker, virus, spam….bảo vệ hệ thống giảm thiểu tối đa các ảnh hưởng xấu từ bên ngoài khi được kết nối với môi trường bên ngoài. Trong thực tế: nguy cơ xâm nhập vào hệ thống nội bộ của doanh nghiệp từ các đối tượng ngoại vi (như hacker, virus…), thông tin cung cấp tới người dùng, khách hàng phải được toàn vẹn và các người dùng được phép truy cập dê dàng từ bên ngoài.
Hình 3.2: Mô hình về giải pháp lớp Firewall bên ngoài
Lớp an ninh trung gian
Lớp an ninh này chủ yếu dựa trên các tính năng an ninh cơ bản của thiết bị mạng, hệ điều hành,... Đối với thiết bị mạng cao cấp chúng ta có thể triển khai những tính năng an ninh mạng cơ bản như:
+ Access control list hạn chế truy cập của người dùng cuối qua những phần vùng, những ứng dụng không thuộc phạm vi truy xuất của mình.
+ Thiết lập các quyền truy cập thông qua username, password
+ Hạn chế kết nối vào hệ thống (kết nối vật lý) tại những vị trí không được phép thông qua tính năng port security, VLAN access control list của thiết bị mạng.
+ Phân vùng VLAN hạn chế các dữ liệu vô ích (Broadcast, ARP signal…) tràn ngập từ khu vực này qua khu vực khác, tận dụng tối đa băng thông cho thông tin có ích (traffic thực sự của người dùng) của hệ thống. Ngăn chặn khuyếch tán Virus hay ảnh hưởng liên đới do trường hợp không ổn định của hệ thống phần cứng từ vùng này qua vùng khác.
Firewall bảo vệ hệ thống máy chủ (serverfarm) - internal firewall
Phân hệ tường lửa nội bộ (internal firewall) đóng vai trò hết sức quan trọng là chốt chặn bảo mật cuối cùng bảo vệ toàn bộ hệ thống dữ liệu của doanh nghiệp. Phân hệ này đồng thời là cửa ngõ kiểm soát trước khi đi vào khu vực nhạy cảm nhất trong hệ thống, là khu vực các máy chủ trung tâm. Điểm đặc biệt tại đây là ngoài việc ngăn chặn các tấn công từ môi trường bên ngoài xâm nhập vào hệ thống, các thiết bị tường lửa còn phải phân tích các truy cập từ cả trong mạng LAN, lọc và ngăn chặn được những tấn công xuất phát từ trong nội bộ. Hơn nữa do tầm quan trọng như vậy, các thiết bị tường lửa tại phân hệ này phải là loại có công suất xử lý (throughput) cao và đặc biệt là có khả năng hoạt động như là thiết bị ngăn chặn xâm nhập IPS (Intrusion Prevention System).
Trung tâm dữ liệu là nơi chứa đựng tất cả tài sản vô giá của doanh nghiệp về mặt tài chính, thông tin khách hàng… chính vì vậy tại khu vực có tầm quan trọng sống còn này của hệ thống chúng ta cần có giải pháp bảo vệ an toàn cao nhất trong khả năng có thể của công nghệ.
Hình 3.3: Mô hình về lớp Firewall bảo vệ máy chủ
− Một số lựa chọn bảo mật cụ thể khác trong giải pháp, bảo gồm:
Phần mềm phòng chống Virus, chống spam tổng thể (BKAV, McAfee, TrendMicro, Symantec,…)
Đây là thành phần không thể thiếu cho một hệ thống có khả năng phòng chống thâm nhập cao, nhằm chống lại các lây nhiễm từ môi trường bên trong do người dùng gây ra.
Giải pháp ngăn chặn mất mát dữ liệu (data lost prevention)
Đó là các giải pháp chống thất thoát thông tin như: chống sao chép thông tin ra khỏi hệ thống, chống gởi mail kèm tập tin nhạy cảm đã được định trước ...nhằm hỗ trợ doanh nghiệp giảm thiểu tối đa khả năng bị đánh cắp thông tin quan trọng hoặc "lộ" thông tin với các đối thủ cạnh tranh.
Giải pháp an ninh vật lý cho các phòng máy chủ
Đó là việc giám sát an ninh vật lý cho phòng máy chủ như: hệ thống kiểm soát vào ra, hệ thống camera theo dõi...chuyên dụng riêng cho phòng máy chủ.
Hệ thống giám sát và quản trị hệ thống an ninh thông tin
Bất kỳ hệ thống an ninh mạng nào dù có hiện đại đến đâu cũng sẽ không phát huy hết tác dụng nếu không có hệ thống giám sát giúp người quản trị phát hiện và ngăn chăn các thâm nhập trái phép kịp thời và đưa ra những giải pháp hỗ trợ tiếp theo.
Đây là một trong những thành phần rất quan trọng có tầm ảnh hưởng rất lớn đến hệ thống an ninh. Xây dựng các chính sách an ninh đặc thù và phù hợp cho doanh nghiệp.
Giải pháp hệ thống tường lửa:
Trong công nghệ mạng, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng nhằm ngăn chặn việc truy cập dữ liệu trái phép, nhằm bảo vệ nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu FireWall là một cơ chế bảo vệ trust network (mạng nội bộ) khỏi các Untrust Network (mạng internet).
* Firewall cứng
Là loại firewall được tích hợp trực tiếp lên phần cứng(như Router Cisco, Check point , Planet, Juniper…).
* Firewall mềm
Là những phần mềm được cài đặt trên máy tính đóng vai trò làm firewall. Có 2 loại là Stateful Firewall (Tường lửa có trạng thái) và Stateless Firewall (Tường lửa không trạng thái).
Áp dụng:Lắp đặt các chương trình FireWall bảo vệ cho các kết nối Internet.
(Check point, Microsoft ISA…), các giải pháp FireWall được tích hợp trên thiết bị phần cứng (Router, Remote Access Server) hay các thiết bị FireWall chuyên dụng (Cisco PIX FireWall).
Vị trí lắp đặt của Firewall trong hệ thống: Tường lửa luôn được lắp đặt ở vùng
biên giới của hệ thống mạng hay hệ thống máy tính.
Việc sử dụng một tường lửa duy nhất trong hệ thống có khá nhiều yếu điểm và nguy cơ, cụ thể:
- Hai nguy cơ chính mà bạn thường gặp khi sử dụng tường lửa trong hệ thống mạng là cấu hình sai và lỗi phần mềm. Do chưa nắm vững kỹ thuật cấu hình, đưa ra các chính sách bảo mật không phù hợp hoặc sai lầm trong quá trình thực hiện, tường lửa có thể khóa cứng hệ thống hoặc trở nên mất tác dụng bảo vệ hệ thống, để cho bất kỳ ai từ ngoài Internet cũng có thể truy cập vào các phân vùng mạng bên trong.
- Nguy cơ thứ hai, khó tránh hơn, là các lỗi Zero-day xảy ra với phần mềm tường lửa, kể cả với thiết bị phần cứng. Các lỗi Zero-day là các lỗi đã được giới hacker phát hiện ra,
nhưng các nhà sản xuất chưa biết hoặc chưa kịp đưa ra giải pháp để khắc phục, sửa lỗi hay thông báo với người dùng.
Nguyên nhân là hệ thống thông tin của công ty chỉ có một bộ lọc duy nhất với các mối nguy hại từ bên ngoài. Nếu tấn công và đi xuyên qua được bức tường lửa duy nhất này, hacker sẽ có thể xâm nhập vào bất cứ phân vùng mạng nào trong hệ thống.
Giải pháp là sử dụng hai lớp tường lửa: Mặc dù chi phí sẽ cao hơn, nhưng đây
có thể được xem như một giải pháp cực kỳ an toàn cho hệ thống mạng bên trong.
Mô hình giải pháp:
Hình 3.4: Mô hình giải pháp hai lớp tường lửa
Hiệu quả:Giải pháp này cũng làm giảm khả năng chịu tải trên hai tường lửa được
sử dụng, thiết bị phía ngoài sẽ ngăn chặn và lọc bớt các tấn công từ Internet trước khi chúng vào đến tường lửa bên trong. Ngược lại, tường lửa bên trong lại là bộ lọc các luồng dữ liệu không cần thiết từ bên trong trước khi chúng ra được đến thiết bị bên ngoài giao tiếp với mạng WAN.
Giải pháp mạng riêng ảo VPN:
Mạng riêng ảo hay VPN (Virtual Private Network) là một mạng dành riêng để kết nối các máy tính lại với nhau thông qua mạng Internet công cộng. Những máy tính tham gia mạng riêng ảo sẽ "nhìn thấy nhau" như trong một mạng nội bộ - LAN (Local Area Network).
Mạng VPN an toàn bảo vệ sự lưu thông trên mạng và cung cấp sự riêng tư, sự chứng thực và toàn vẹn dữ liệu thông qua các giải thuật mã hoá.
Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền
qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel.
Áp dụng: Đối với công ty cổ phần phong cách Anh là một doanh nghiệp nhỏ nên
lựa chọn hình thức Intranet/ Internal VPN. Đó là đảm bảo tính riêng tư trong quá trình truyền dữ liệu giữa các bộ phận trong công ty, không cho phép các bộ phận khác truy cập nhằm hạn chế sự xâm nhập trái phép của cá nhân có ý đồ không tốt đối với công ty và đảm bảo an toàn dữ liệu cho từng bộ phận. Khi truyền các gói tin, công ty cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật: SSL (Secure Socket Layer),- IPSec (IP Security Tunnel Mode, PPTP (Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol) và cần xác thực, xác nhận và quản lý tài khoản (AAA - Authentication, Authorization, Accounting): AAA được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN để bảo đảm an toàn thông tin.
Mô hình giải pháp:
Hình 3.5: Mô hình giải pháp mạng riêng ảo
Hiệu quả:kết nối nhanh chóng, dễ dàng với chi phí thấp giúp doanh nghiệp nâng
cao được hiệu quả công việc của mình. Người dùng có thể kết nối bất cứ khi nào, bất cứ nơi đâu, thông tin liên tục chỉ cần ở đó có thể truy cập Internet . Ngoài ra, doanh nghiệp có thể phát triển mô hình “làm việc từ xa” để giảm chi phí thuê mặt bằng, tăng thời gian làm việc nhờ giảm thời gian di chuyển của nhân viên
Giải pháp sử dụng công nghệ ngăn chặn xâm nhập mạng IPS:
IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn.
IPS là giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.
Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.
IPS ngăn chặn các cuộc tấn công dưới những dạng sau:
− Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy