Sử dụng Raid 6 để sao lưu đồng thời tăng tốc hoạt động cho đĩa cứng File server.
Sử dụng Raid giúp tăng tốc độ truy xuất dữ liệu cũng như bảo đảm việc sao lưu phục hồi cho ỗ đĩa cứng hệ thống một cách an toàn. Có thể sử dụng Raid trên DC, File Server.
Sử dụng Sophos EndPoint Security chống thất thoát dữ liệu qua đường sao chép
Sử dụng tính năng device control: không cho phép sao chép các dữ liệu quan trọng vào các thiết bị nhớ di động như thẻ nhớ, USB,…
Tính năng Device Control sẽ giúp ta quản lý việc giao tiếp giữa Endpoint và các thiết bị ngoại vi.
Sophos chia thiết bị ngoại vi thành 3 nhóm :
- Nhóm lưu trữ : gồm ổ mềm, ổ quang, thẻ nhớ, thiết bị lưu trữ giao tiếp USB.
- Nhóm kết nối mạng : gồm modem, thiết bị không dây. - Nhóm giao tiếp gần : gồm Bluetooth, hồng ngoại.
- Về cơ bản, sẽ có 2 quyền được áp dụng cho các thiết bị ngoại vi kể trên: • Blocked : không cho sử dụng.
• Full Access : được toàn quyền sử dụng.
Với các thiết bị nhóm lưu trữ sẽ có thêm quyền :Read-Only : chỉ cho giao tiếp 1 chiều từ thiết bị đến Endpoint. Nghĩa là không cho sao chép dữ liệu từ Endpoint ra thiết bị lưu trữ ngoài, chỉ cho sao chép từ thiết bị lưu trữ ngoài vào Endpoint.
Sử dụng tính năng Web Filtering: Những Website trên Internet được SophosLABs phân loại theo 14 chủ đề khác nhau. Qua đó kiểm soát việc truy xuất của người dùng vào những website tương ứng theo từng chủ đề. Người dùng có thể được phép (Allow) hoặc bị chặn (Deny) hoặc được cảnh báo trước khi truy cập (Warn). Đi kèm là một hệ thống ghi nhận và báo cáo về những người dùng cố ý vượt qua cảnh báo hoặc cố gắng truy cập vào những website bị chặn.
Hơn thế nữa, việc kiểm soát trên luôn có hiệu lực cho dù người dùng đang làm việc ở nhà hay bất kì đâu mà không cần phải cài đặt gì thêm
Tính năng Application Control: tạo ra các chính sách sử dụng phần mềm và phân quyền một cách tường minh. Việc cài đặt và sử dụng các ứng dụng một cách tùy ý dễ phát sinh các vấn đề trên hệ thống của bạn như:
• Nhiều ứng dụng chứa Trojan
• Nhiều ứng dụng làm tiêu hao băng thông mạng ngay cả khi bạn không sử dụng • Các Portable Application rất khó kiểm soát
• Các ứng dụng chia sẻ ngang hàng (Peer-to-Peer) và tin nhắn tức thì (Instant Messaging) thường làm ảnh hưởng đến chính sách an toàn thông tin
Tính năng Application Control giúp ta giải quyết các vấn đề trên. Các ứng dụng phổ biến được Sophos phân tích và phân loại thành 46 chủ đề khác nhau.
PHẦN 4. XÂY DỰNG QUI TRÌNH VÀ CHÍNH SÁCH BẢO MẬT 4.1. Xây dựng qui trình
4.1.1. Xác định đối tượng
Chính sách được áp dụng rộng rãi cho toàn bộ nhân lực trong doanh nghiệp bao gổm ban lãnh đạo, nhân viên chính thức và thực tập sinh. Toàn thể nhân viên có trách nhiệm tuân thủ nghiêm ngặt chính sách doanh nghiệp đã đề ra, nếu có bất kì rủi ro, sự cố, hay các tác nhân nào gây ảnh hưởng đến tính bảo mật thông tin và tính khả dụng của chính sách thì phải trình báo ngay với bộ phận trưởng phòng IT để kịp thời xử lý khắc phục.
Phạm vi áp dụng cụ thể như sau:
- Đối với ban lãnh đạo, giám đốc điều hành cần phổ biến rộng rãi chính sách bảo mật thông tin của doanh nghiệp đến từng bộ phân trong công ty.
- Bộ phận IT có trách nhiệm hỗ trợ, hoạch định, thiết kế, triển khai chính sách và kịp thời xử lý các rủi ro nếu có.
- Các trưởng phòng của các phòng ban trong doanh nghiệp cần phổ biến và hướng dẫn nhân viên, thực tập sinh tuân thủ đúng đắn chính sách đã đề ra và chịu trách nhiệm xử lý các vi phạm chính sách của nhân viên, thực tập sinh.
- Mỗi nhân viên, thực tập sinh có trách nhiệm tuân thủ chính sách và đảm bảo an toàn thông tin trong doanh nghiệp.
Xây dựng môi trường làm việc an ninh, bảo mật. Chính sách xác định phạm vi xây dựng hệ thống ISMS sao cho phù hợp nhất với doanh nghiệp (hoạt động kinh doanh, vị thế của doanh nghiệp, tài sản doanh nghiệp). Chính sách này cung cấp cách thức đảm bảo việc thỏa mãn khách hàng - thông qua cung cấp việc tin cậy mà các thông tin cá nhân
được bảo vệ
Tính liên tục của doanh nghiệp - thông qua quản lý rủi ro, phù hợp
luật pháp và sự cẩn trọng vấn đề bảo mật trong tương lai
Phù hợp luật pháp - thông qua việc thấu hiểu các yêu cầu và quy định
pháp lý ảnh hưởng như thế nào đến tổ chức và khách hàng của họ
quản lý rủi ro được cải thiện - thông qua chương trình làm việc tự động để
đảm bảo các hồsơ khách hàng, thông tin tài chính và tài sản trí tuệ được bảo vệ tránh khỏi mất, trộm và hư hại.
tăng khả năng cạnh trạnh với các doanh nghiệp - đặc biệt những nơi mà các
đặc tính kỹ thuật yêu cầu chứng nhận như một điều kiện tiên quyết để cung ứng dịch vụ
Chính sách đáp ứng và duy trì:
Tính bảo mật của thông tin
Tính toàn vẹn của thông tin
Tính sẵn sàng của thông tin
Nhận thức và trách nhiệm của nhân viên về nhiệm vụ của mình trong
việc bảo đảm an toàn thông tin trong doanh nghiệp
Cung cấp cơ sở chung cho tổ chức phát triển, thực hiện và đánh giá
thực hành quản lý an toàn thông tin
4.1.3. Xác định phương pháp
Hiện thực hệ thống quản lý an toàn thông tin (ISMS) phù hợp với tiêu chuẩn ISO 27001/27002. Chúng ta có thể:
- Cho phép chia sẻ thông tin an toàn.
- Bảo vệ thông tin của tổ chức từ tất cả các mối đe dọa: nội bộ hoặc bên ngoài, cố tình hay vô ý.
- Tính bảo mật của thông tin sẽ được đảm bảo - Tính toàn vẹn của thông tin sẽ được duy trì.
- Tính sẵn có của thông tin đối với các quá trình kinh doanh có liên quan sẽ được duy trì.
- Các yêu cầu về pháp luật và chế định, các ràng buộc hợp đồng với khách hàng sẽ được đáp ứng.
- Việc đào tạo an toàn thông tin là sẵn có đối với mọi nhân viên.
4.2. Xây dựng chính sách 4.2.1. Quản lý thiết bị
Giải pháp quản lý quyền truy cập thiết bị giúp doanh nghiệp có thể giám sát và hạn chế được các hành vi sao chép trên các thiết bị di động nhằm mục đích phòng chống thất thoát các thông tin nhạy cảm của tổ chức.
Cấu hình bảo mật cần thiết cho các thiết bị mạng Firewall, thiết bị phát hiện và ngăn ngừa xâm nhập IDS/IPS, Router, Switch,…
Firewall (Tường lửa)
Mục đích của việc sử dụng Firewall là: - Bảo vệ hệ thống khi bị tấn công.
- Lọc các kết nối dựa trên chính sách truy cập nội dung.
- Áp đặt các chính sách truy cập đối với người dùng hoặc nhóm người dùng. - Ghi lại nhật ký để hỗ trợ phát hiện xâm nhập và điều tra sự cố.
Cần thiết lập Access Control List cho Firewall từ chối tất cả các kết nối từ bên trong Web Server ra ngoài Internet ngoại trừ các kết nối đã được thiết lập - tức là chỉ từ chối tất cả các gói tin TCP khi xuất hiện cờ SYN. Điều này sẽ ngăn chặn việc nếu như tin tặc có khả năng chạy các kịch bản mã độc trên Web Server thì
cũng không thể cho các mã độc nối ngược từ Web Server trở về máy tính của tin tặc.
IDS/IPS (Thiết bị phát hiện/phòng, chống xâm nhập)
Các thiết bị IDS có tính năng phát hiện dấu hiệu các xâm nhập trái phép, còn các thiết bị IPS có tính năng phát hiện và ngăn chặn việc xâm nhập trái phép của tin tặc vào hệ thống. Như các thiết bị mạng, IDS/IPS cũng có thể bị tấn công và chiếm quyền kiểm soát và do đó bị vô hiệu hóa bởi tin tặc. Vì vậy cần thiết đảm bảo thực hiện một số tiêu chí khi triển khai và vận hành, gồm:
- Xác định công nghệ IDS/IPS đã, đang hoặc dự định triển khai. - Xác định các thành phần của IDS/IPS.
- Thiết đặt và cấu hình an toàn cho IDS/IPS. - Xác định vị trí hợp lý để đặt IDS/IPS.
- Có cơ chế xây dựng, tổ chức, quản lý hệ thống luật (rule).
- Hạn chế thấp nhất các tình huống cảnh báo nhầm (false positive) hoặc không cảnh báo khi có xâm nhập (false negative).
Thiết đặt và cấu hình hệ thống máy chủ an toàn
Để vận hành một máy chủ an toàn, việc cần lưu ý đầu tiên là luôn cập nhật phiên bản và bản vá mới nhất cho hệ thống. Ngoài ra, với mỗi loại máy chủ khác nhau sẽ có những biện pháp thiết đặt và cấu hình cụ thể để đảm bảo vận hành an toàn.
Hệ thống máy chủ Linux
- Đối với hệ thống cài đặt mới thì phải đảm bảo một số yêu cầu sau: • Khả năng hỗ trợ từ các bản phân phối (thông tin vá lỗi, thời gian cập
nhật, nâng cấp, kênh thông tin hỗ trợ kỹ thuật).
• Khả năng tương thích với các sản phẩm của bên thứ 3 (tương thích giữa nhân hệ điều hành với các ứng dụng, cho phép mở rộng module).
• Khả năng vận hành và sử dụng hệ thống của người quản trị (thói quen, kỹ năng sử dụng, tính tiện dụng).
• Chính sách mật khẩu: sử dụng cơ chế mật khẩu phức tạp (trên 7 ký tự và bao gồm: ký tự hoa, ký tự thường, ký tự đặc biệt và chữ số) nhằm chống lại các kiểu tấn công brute force.
• Tinh chỉnh các thông số mạng: tối ưu hóa một số thông tin trong tập tin /etc/sysctl.conf.
• Cho phép hoặc không cho phép các dịch vụ truy cập đến hệ thống thông qua hai tập tin /etc/hosts.allow và /etc/host.deny.
• Gỡ bỏ các dịch vụ không cần thiết: việc gỡ bỏ các gói, dịch vụ không cần thiết sẽ hạn chế khả năng tiếp cận của kẻ tấn công và cải thiện hiệu năng của hệ thống.
• Điều khiển truy cập: chỉ định các truy cập được phép đến hệ thống thông qua tập tin /etc/security/access.conf, /etc/security/time.conf, /etc/security/limits.conf, giới hạn tài khoản được phép sử dụng quyền sudo thông qua tập tin /etc/pam.d/su.
• Sử dụng kết nối SSH thay cho các kênh kết nối không an toàn như Telnet, FTP, v.v...
• Quản lý hệ thống ghi nhật ký (log) một cách tập trung và nhất quán nhằm phục vụ cho mục đích điều tra khi có sự cố xảy ra.
Hệ thống máy chủ Windows
Máy chủ Windows được sử dụng khá phổ biến, việc bảo vệ cho máy chủ Windows là thực sự cần thiết. Để đảm bảo cho hệ thống cần thực hiện một số biện pháp sau:
- Đối với các dịch vụ và cổng:
• Các dịch vụ đang chạy thiết lập với tài khoản có quyền tối thiểu.
• Vô hiệu hóa các dịch vụ DHCP, DNS, FTP, WINS, SMTP, NNTP, Telnet và các dịch vụ không cần thiết khác nếu không có nhu cầu sử dụng.
• Nếu là ứng dụng web thì chỉ mở cổng 80 (và cổng 443 nếu có SSL). - Đối với các giao thức:
• Vô hiệu hóa WebDAV nếu không sử dụng bởi ứng dụng nào hoặc nếu nó được yêu cầu thì nó phải được bảo mật.
• Vô hiệu hóa NetBIOS và SMB (đóng các cổng 137, 138, 139 và 445). - Tài khoản và nhóm người dùng:
• Gỡ bỏ các tài khoản chưa sử dụng khỏi máy chủ. • Vô hiệu hóa tài khoản Windows Guest.
• Đổi tên tài khoản Administrator và thiết lập một mật khẩu mạnh. • Vô hiệu hóa tài khoản IUSR_MACHINE nếu nó không được sử dụng
bởi ứng dụng khác.
• Nếu một ứng dụng khác yêu cầu truy cập anonymous, thì thiết lập tài khoản anonymous có quyền tối thiểu.
• Chính sách về tài khoản và mật khẩu phải đảm bảo an toàn, sử dụng cơ chế mật khẩu phức tạp (trên 7 ký tự và bao gồm: ký tự hoa, ký tự thường, ký tự đặc biệt và chữ số).
• Phải giới hạn Remote logons. (Chức năng này phải được gỡ bỏ khỏi nhóm Everyone).
• Tắt chức năng Null sessions (anonymous logons). - Tập tin và thư mục:
• Tập tin và thư mục phải nằm trên phân vùng định dạng NTFS. • Tập tin nhật ký (log) không nằm trên phân vùng NTFS hệ thống. • Các nhóm Everyone bị giới hạn (không có quyền truy cập vào
\Windows\system32).
• Mọi tài khoản anonymous bị cấm quyền ghi (write) vào thư mục gốc. - Tài nguyên chia sẻ:
• Gỡ bỏ tất cả các chia sẻ không sử dụng (bao gồm cả chia sẻ mặc định). • Các chia sẻ khác (nếu có) cần được giới hạn (nhóm Everyone không
được phép truy cập). - Các phiên bản vá lỗi:
• Theo dõi thông tin cập nhật từ nhiều nguồn khác nhau.
• Nên triển khai cập nhật trên hệ thống thử nghiệm trước khi cập nhật vào hệ thống thật.
Quản lý các thiết bị lưu trữ di động (USB, PC card reader, ổ cứng di động), CD, DVD, Blu-ray, Đĩa mềm, Modem, Wireless, Bluetooth, Hồng ngoại,… cho phép doanh nghiệp ngăn chặn việc sử dụng thiết bị phần cứng bên ngoài, các phương tiện lưu trữ di động, kết nối không dây (wireless) trên máy tính. Điều này giúp giảm đáng kể việc mất mát dữ liệu của doanh nghiệp từ nhân viên nội bộ và tin tặc.
- Blocked: Chặn thiết bị, nếu thiết bị được thiết lập tính năng này thì thiết bị đó không thể kết nối đến máy tính.
- Full access:Có mọi quyền truy cập trên thiết bị.
- Read only: Thiết bị chỉ có quyền đọc, không thể chép dữ liệu vào thiết bị. Ví dụ: người dùng muốn các USB chỉ có quyền đọc, không thể chép dữ liệu từ máy tính vào USB thì có thể yêu cầu cấu hình tính năng Read only trên các thiết bị lưu trữ di động.
- Block Bridged: Chặn kết nối Bridge giữa mạng công ty và một mạng không phải của công ty. Chỉ áp dụng cho Modem và Wireless.
- Loại trừ 1 thiết bị xác định trước.
Ví dụ: chặn tất cả các kết nối USB vào mạng công ty, trừ USB của Anh A là có thể kết nối và chép dữ liệu bình thường.
4.2.2. Quản lý con người
Phạm vi: Áp dụng cho tất cả nhân viên của công ty: bao gồm nhân viên toàn
thờigian, bán thời gian, thực tập sinh …), nhà thầu và người sử dụng bên thứ ba.
4.2.2.1. Trước khi làm việc
Để đảm bảo rằng các nhân viên, nhà thầu và người sử dụng của bên thứ ba hiểu rõ trách nhiệm của họ, và thích hợp cho các vai trò mà họ đang xem xét, và làm giảm nguy cơ của hành vi trộm cắp, lừa đảo hoặc lạm dụng các phương tiện.
Chính sách:
Nhân viên, nhà thầu và người sử dụng của bên thứ ba được liệt kê chi tiết
tất cả những quy định về trách nhiệm của mình trong việc bảo vệ an toàn thông tin. Sau khi đồng ý với những yêu cầu được nêu trong hợp đồng lao động, hợp đồng với nhà thầu và người sử dụng, các bên có liên quan phải tuân thủ nghiêm ngặt theo những điều khoản đã ghi.
4.2.2.2. Trong khi làm việc
Mục tiêu: Để đảm bảo rằng tất cả các nhân viên, nhà thầu và người sử dụng của bên thứ ba nhận thức của các mối đe dọa an ninh thông tin và các mối quan tâm, trách nhiệm và nghĩa vụ pháp lý của họ, và được trang bị để hỗ trợ cho chính sách an ninh tổ chức trong quá trình làm việc bình thường. Đảm bảo được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toàn thông tin của tổ chức trong quá trình làm việc, và giảm thiểu các rủi ro do con người gây ra
Chính sách:
Ban giám đốc có trách nhiệm quản lý việc đảm bảo an toàn thông tin trong
công ty bằng các quy định, kiểm tra, kiểm soát mỗi ngày.
Khi có bất kỳ sự cố nào, người trực tiếp gây ra nó sẽ chịu trách nhiệm, bị