Trước tiờn, chỳng ta cần xỏc định cỏc loại tài nguyờn cần được bảo vệ trong hệ thống của chỳng ta là:
- An ninh cho cỏc thiết bị mạng: Router, Switch, cỏc mỏy Server…
- An ninh tài nguyờn của hệ thống mạng gồm: dữ liệu quan trọng của cụng ty, tài khoản của cỏc nhõn viờn cụng ty…
3.7.1. Phõn tớch cỏc nguy cơ cú thể ảnh hưởng đến hệ thống.
- Kẻ trộm đột nhập vào cụng ty để ăn cắp cỏc thiết bị mạng. - Hệ thống điện khụng an toàn cú thể gõy hư hỏng cỏc thiết bị - Cơ sở dữ liệu bị kẻ cắp tấn cụng và lấy trộm cỏc tài liệu mật - Dữ liệu của cụng ty bị chớnh nhõn viờn trong cụng ty ăn cắp - Sự truy cập của cỏc nhõn viờn chưa đủ thẩm quyền
- Bảo mật khụng dõy chưa an toàn. - Hệ thống bị virus tấn cụng.
3.7.2. Kế hoạch an ninh cho cụng ty.
- Bảm đảm cụng ty được bảo vệ an toàn, trỏnh tỡnh trạng trộm cắp - Thiết kế hệ thống điện an toàn, khụng gõy ảnh hưởng đến cỏc thiết bị
- Trang bị cỏc phần mềm tường lửa và bảo mật cú tớnh an toàn cao. - Bảo mật cho cỏc thiết bị khụng dõy.
- Quy định quyền hạn của từng nhõn viờn cụ thể trong việc truy cập tài nguyờn
3.7.3. Chớnh sỏch an ninh cụ thể 3.7.3.1. Bảo vệ cỏc thiết bị mạng
- Xõy dựng một phũng riờng để chứa cỏc mỏy Server: Web Server, Mail, DHCP… được bảo vệ nghiờm ngoặc, đặt tài phũng kỹ thuật, admin và đội ngũ kỹ thuật cú trỏch nhiệm mới được sử dụng
- Xõy dựng 3 hệ thống mỏy phỏt điện cụng suất lớn ở 3 khuụn viờn Hà Nội, Hồ Chớ Minh, Nghệ An để hoạt động mỗi khi mất điện với cỏc mỏy Server hay cỏc thiết bị quan trọng thỡ cần trang bị bộ lưu điện IPS (Intrusion Prevention Systems) riờng. - Tạo 1 đội ngũ kỹ thuật viờn gồm 10 người cú trỡnh độ kỹ thuật cao để sửa chữa và thay thế cỏc thiết bị hỏng và cỏc lỗi xảy ra.
3.7.3.2. An ninh trờn cỏc thiết bị mạng
Sử dụng 2 phần mềm quản lý trờn cỏc thiết bị mạng và trờn cỏc mỏy Server - Cisco Secure Intrusion Detection System: là phần mềm bảo đảm an ninh trờn toàn bộ phõn khỳc mạng.
+ Cisco Secure Intrusion Detection System: là một phần mềm hỗ trợ thiết bị phần cứng kiểm tra cỏc loại và nội dung của cỏc gúi tin trờn mạng. Việc sử dụng và truy cập trỏi phộp cú thể được thực một trong hai cỏch: phỏt hiện việc sử dụng sai bằng cỏch tỡm những tấn cụng đó biết “chữ ký” nú rất giống cỏch mà một phần mềm diệt virus dũ tỡm virus, phỏt hiện sự truy cập bất bỡnh thường bằng cỏch tỡm những hành động bất bỡnh thường dựa trờn thụng tin cỏ nhõn của mỏy tớnh và hoạt động của ứng dụng. Cisco Secure Intrusion Detection System cú lợi thế là cú thể bảo vệ cả hệ thống trờn toàn bộ phõn khỳc mạng. Khả năng này núi chung giỳp việc triển khai phầm mềm Cisco Secure Intrusion Detection System dễ dàng và chi phớ vừa phải.
Cisco Secure Intrusion Detection System phỏt hiện việc sử dụng sai bằng việc kiểm tra cả phần dữ liệu và phần tiờu đề của một gúi. Cỏc tấn cụng dựa trờn nội dung xuất phỏt từ phần dữ liệu và cỏc tấn cụng dựa trờn phạm vi xuất phỏt từ phần
- Cisco Security Agent: l ph n m m b o m an ninh trờn mỏy Server:à ầ ề ả đả
+ Cisco Security Agent bao gồm một cổng quản lý/điều khiển (Management Console) đặt ngay trờn mỏy chủ Windows 2000 và cỏc phõn hệ (agents) được triển khai tại cỏc điểm (host) nơi cú cỏc dữ liệu quan trọng như dũ liệu cơ sở của mỏy Server, cỏc trạm làm việc. Cỏc phõn hệ này dựng giao thức HTTP và giao thức Secure Sockets Layer-SSL (128 bit SSL) cho cỏc giao tiếp quản lý và cho sự trao đổi thụng tin giữa cỏc phõn hệ và cổng quản lý/điều khiển.
+ Cisco Security Agent: được cài ngay trờn hệ điều hành và nú cú thể can thiệp và thẩm định những lệnh gọi phần mềm được làm trong hệ điều hành và hạt nhõn hệ thống (kernel). Cisco Security Agent thực hiện việc giỏm sỏt xõm nhập real-time (thời gian thực), phỏt hiện, ngăn cản những hành động phỏ hoại bằng việc phõn tớch những sự kiện ở cỏc mức trong hạt nhõn hệ thống và những hành động mạng trờn Server, cỏc cơ sở dữ liệu bị tấn cụng.
+ Cisco Security Agent cũng là phần mềm bảo vệ trờn cỏc trạm Server do đú sẽ được cài trờn những mỏy Server nào cần được bảo vệ. Những mỏy Server nào cú dữ liệu mật hoặc cú chứa thụng tin nhạy cảm cần được bảo mật thỡ nờn được cài phần mềm Cisco Security Agent để phũng chống và phỏt hiện xõm nhập.
Hỡnh 3.18. Sơ đồ an ninh mạng
+ Cisco Security Agent cú thể dũ tỡm những truy cập bất thường vào hệ thống theo thời gian thực (real-time). Nú kiểm tra việc xõm nhập vào hệ thống thụng qua chớnh sỏch an ninh được định trước và những hành động bất thường đối với cỏc mỏy Server, và nú sẽ ngăn cản những hành động làm tổn hại đến mỏy Server đồng thời
phỏt sinh thụng điệp gởi đến người quản trị để thụng bỏo về những sự kiện liờn quan tới bảo mật.
3.7.3.3. Phõn quyền người dựng
Hệ thống Server được cài đặt hệ điều hành Window Server 2008. Với vai trũ người quản trị mạng thỡ cần phải cú cỏc chớnh sỏch cụ thể để quy định quyền hạn của từng phũng ban và của từng nhõn viờn trong cụng ty như sau:
Hệ thống chỳng ta cú 7 phũng ban được chia thành 7 group như sau:
Hỡnh 3.19. Phõn quyền người dựng
Quy định thẩm quyền cụ thể cho từng phũng ban cũng như giỏm đốc và cỏc phú giỏm đốc. Mỗi tài khoản nhõn viờn nằm trong nhúm phũng ban nhõn viờn đú làm.
Trong từng phũng ban, cú những chớnh sỏch cụ thể cho cỏc cấp nhõn viờn. Giỏm đốc được truy cập tất cả cỏc tài nguyờn của cụng ty. Trưởng phũng của cỏc phũng ban được truy cập cỏc tài nguyờn của phũng ban mỡnh và cỏc phũng ban liờn quan với phũng mỡnh. Cỏc nhõn viờn trong phũng chỉ được truy cập tài nguyờn của phũng mỡnh.
Mỗi nhõn viờn trong cụng ty đều được cấp tài khoản riờng để truy cập vào tài nguyờn hệ thống. Mật khẩu được quy định bắt buộc trờn 8 kớ tự. Sử dụng cơ chế xỏc thực với mỗi lần truy cập
Và mỗi thỏng mật khẩu truy cập sẽ được bắt buộc thay đổi sang mật khẩu mới.
Quy định chớnh sỏch cho từng loại tài nguyờn (Read Only, Read/Write, Full Control…) trỏnh tỡnh trạng mất dữ liệu quan trọng
3.7.3.4. An ninh tài nguyờn dữ liệu
Đối với những dữ liệu đặc biệt quan trọng, thực hiện sao lưu sang ổ cứng di động và được lưu giữ trong phũng tài liệu mật.
Tài liệu mật thỡ chỉ được giỏm đốc, phú giỏm đốc và cỏc trưởng phũng được truy cập
Xõy dựng hệ thống tường lửa và bảo mật hệ thống đảm bảo an ninh tốt. Xõy dựng hệ thống Mail Server với phương thức bảo mật trong giao thức HTTPs
Cú hệ thống phỏt hiện xõm nhập trờn mỗi phũng ban, quyền điều khiển và kiểm soỏt do đội ngũ kỹ thuật của phũng kỹ thuật đảm nhiệm.
3.7.3.5. Bảo mật từ xa
Tạo cỏc phương thức điều khiển truy nhập (Access Control List) trờn cỏc thiết bị cú điểm truy nhập, quản lý việc truy cập vào cỏc thiết bị này. Ở đõy mỗi phũng ban ta đặt một địa điểm truy cập. Chỳng ta tạo một phương thức Access Control List (ACL) trờn cỏc thiết bị truy cập của 8 phũng ban. Mỗi nhõn viờn trong phũng ban chỉ sử dụng tài nguyờn của phũng đú. Cụ thể như sau: Đặt điểm truy cập ở vị trớ trung tõm trong cỏc phũng ban. Phũng giỏm đốc và phú giỏm đốc dựng chung một điểm truy cập được đặt trước 2 phũng này.
Sử dụng mó truy cập từ xa WPA(Wi-Fi protected access).
Khụng cho nhõn viờn trong cụng ty mang WPA ra ngoài cụng ty
Giỏm soỏt cỏc truy cập của cỏc tài khoản khụng thuộc cụng ty bằng phương thức ACL.
3.7.3.6. Bảo mật trong VTP (VLAN Trunking Protocol )
Để thiết lập hệ thống truy cập từ xa vào hệ thống mạng của cụng ty, cú thể sử dụng một Router riờng chuyờn làm chức năng này. Tuy vậy, chỳng ta cũng cú thể sử dụng cỏc cổng truy cập của Router như một nơi phỏt tớn hiệu từ xa bằng việc trang bị thờm cỏc khe cắm cú cỏc cổng gắn sẵn.
truy cập tương tự và 2 cổng giao tiếp 10/100 Mbps để kết nối vào mạng LAN nội bộ. Ngoài ra Cisco Router 2611XM cho phộp thực hiện tớnh năng mạng riờng ảo VPN(Virtual Private Network) và tường lửa thụng qua phần mềm hệ điều hành IOS để bảo vệ an ninh cho hệ thống mạng của cụng ty.