Chương 1 TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU
3.2. Đề xuất giải pháp đảm bảo ATBMTT cho Công ty
3.2.1. Thiết bị phần cứng
Hầu hết các doanh nghiệp vừa và nhỏ của Việt Nam đều chưa chú trọng tới BMTT, do đó mạng kết nối Internet trong doanh nghiệp được thả nổi và các nhân viên được tự do truy cập Internet mà không bị kiểm soát. Bên cạnh các rủi ro về thất thoát thơng tin, thì Internet cịn lấy đi rất nhiều tiền bạc của doanh nghiệp do trong giờ làm việc các nhân viên lại chú tâm vào đọc báo điện tử, chơi game, download, facebook, twitter…thay vì làm việc. Bên cạnh đó Internet thường xun gây ra tình trạng ngưng trệ cơng việc do máy tính bị nhiễm virus, phần mềm độc…
Việc trước tiên phải làm là kiểm tra máy chủ. Tại FIS, nhân viên kỹ thuật luôn kiểm tra thường xuyên máy chủ cũng như các log file từ các máy chủ và các ứng dụng. Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc chủ yếu vào sự quản lý. Mọi máy chủ nên được kiểm tra từ Internet để phát hiện lỗ hổng bảo
mật. Thêm nữa, việc kiểm tra từ bên trong và quá trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc. Trong rất nhiều trường hợp, đó chính là một trong những cách để xác nhận quy mô của một tấn công vào máy chủ.
Tuy nhiên, hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật tối thiểu và có rất nhiều lỗ hổng bảo mật. Trước khi một máy chủ khi đưa vào sản xuất, sẽ có một q trình kiểm tra theo một số bước nhất định. Toàn bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiết nào phải được loại bỏ. Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệ thống.
Để tránh những tổn thất và rủi ro kể trên, Công ty TNHH vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT nên triển khai thiết bị bảo mật NA-U30 và NA-U70 của NETASQ. Đây là những model nhỏ nhất của NetASQ với kích thước nhỏ gọn nhưng vẫn tích hợp chip ASIC VPN, hai model U-Series NA-U30 và NA-U70 là sự lựa chọn lí tưởng cho FIS để bảo vệ hệ thống và kết nối VPN về trung tâm hoặc làm VPN Server. Thiết bị có những chức năng chính như:
Antivirus: Kết hợp giữa ClamAV và Kaspersky AV, khả năng chặn virus lên tới 99%.
Antispam: Khả năng phân tích theo ngữ cảnh giúp doanh nghiệp tránh được tình trạng thư rác tràn lan như hiện nay.
IPS – Phịng chống tấn cơng: Bẻ gẫy mọi phương tiện tấn công của kẻ phá hoại nhằm vào server hoặc máy dữ liệu quan trọng của doanh nghiệp.
Tường lửa ngăn chặn xâm nhập bất hợp pháp.
VPN: Khả năng kết nối giữa các chi nhánh và người dùng ở xa tới trụ sở chính.
Lọc web: Chặn các trang web, các từ khóa và các ứng dụng khơng phù hợp với công việc của doanh nghiệp. VD: báo điện tử, facebook, yahoo...
Quét lỗ hổng hệ thống (SEIZMO): Tính năng SEIZMO này liên tục quét các máy tính trong mạng và báo cho người quản trị biết máy nào tồn tại lỗ hổng cần phải cập nhập bản vá. SEIZMO rất hữu ích khi trong doanh nghiệp triển khai các server quan trọng.
Có thể coi bộ sản phẩm này là thiết bị bảo mật khá toàn diện và phù hợp với thực trạng Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT.
Với quy mô Công ty hiện nay, FIS nên trang bị một thiết bị NA-U70 cho Server và các thiết bị NA-U30 cho các phòng ban của Công ty. Tất cả các sản phẩm đều đặt
sau Modem ADSL, NA-U70 được đặt trước máy chủ Server NA-U30 được đặt trước Switch tại mỗi phòng ban. Trên thị trường, sản phẩm NA – U70 có giá khoảng 42 triệu VND, cịn NA-U30 có giá khoảng 30 triệu VND.
3.2.2. Phần mềm.
3.2.2.1. Phần mềm bảo mật.
Nhằm tránh sự xâm nhập nội bộ trong doanh nghiệp cũng như sự xâm nhập mà nguy hiểm nhất là từ các đối thủ cạnh tranh, FIS cần lựa chọn, triển khai phần mềm bảo mật có uy tín với các tính năng chống virus, mã độc, thư rác trên các máy chủ, các thiết bị di động trong mạng để phát hiện, loại trừ những đoạn mã độc hại (Virus, trojan, worms,...) và hỗ trợ người sử dụng cài đặt các phần mềm này trên máy trạm. Để đối phó với các chương trình diệt virus hiện nay, hacker cũng liên tục tạo ra nhiều phiên bản khác nhau của các loại phần mềm độc hại, và chúng thay đổi hàng ngày. Chính vì vậy phải thường xun cập nhật các phiên bản (Version) mới, các bản vá lỗi của các phần mềm chống virus để bảo đảm chương trình qt virus của cơng ty trên máy chủ và các máy trạm luôn được cập nhật mới nhất, thiết lập chế độ quét thường xuyên ít nhất là hằng tuần. Hầu hết các chương trình diệt virus hiện nay đều có cơ chế tự động thực hiện việc này và hồn tồn có thể thay đổi phần thiết lập này cho phù hợp với nhu cầu của doanh nghiệp.
Hiện nay, trên thị trường công nghệ Việt Nam thì phần mềm bảo mật của Kaspersky đang được sử dụng phổ biến cho các doanh nghiệp. Với Kaspersky, Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT có thể sử dụng trọn bộ sản phẩm Kaspersky® Small Office Security cho Server và các máy lưu trữ dữ liệu chính ở mỗi phịng ban. Việc sử dụng trọn bộ sẽ giúp phát huy tối đa hiệu quả sản phẩm và bảo vệ tồn diện HTTT hơn. Các máy cịn lại nên sử dụng Kaspersky
Anti-Virus. Đây cũng là hai tính năng đã được tích hợp trong thiết bị bảo mật NA-
U30 và NA-U70 mà em đã đề xuất bên trên.
3.2.2.2. Phần mềm mã hóa.
Để thực hiện mục tiêu đảm bảo tính ATBMTT, dữ liệu trong hệ thống mã hóa dữ liệu là một trong những cách cơ bản nhất để bảo vệ thơng tin trên máy tính. Người sử dụng cần tiến hành mã hóa các thơng tin, dữ liệu quan trọng mà mình khơng muốn bất kỳ người dùng nào khác có thể đọc được.
Về phần mềm mã hóa thì Cơng ty nên sử dụng ABI-Coder. Đây là một phần mềm mã hóa cá nhân mạnh, nhưng rất dễ sử dụng. Nó cho phép mã hóa nhiều file trong nhiều thư mục bằng cách sử dụng một trong 3 thuật tốn mã hóa của nó. Phần mềm này cũng có một cơng cụ tự giải mã tập tin, do đó, nó có thể tạo các tập tin đã mật mã, mà không cần bất cứ phần mềm giải mã nào. Đây là một phần mềm miễn phí
nên tất cả các máy của cơng ty đều có thể cài đặt mà khơng cần lo ngại về chi phí. Hiện tại, phiên bản mới nhất của phần mềm này là 3.6.1.4.
Tuy nhiên, khơng hề có bất cứ phần mềm, ứng dụng hỗ trợ nào có thể đáp ứng 100% nhu cầu của người sử dụng. Mà bên cạnh đó, kinh nghiệm trong quá trình sử dụng của nhân viên mới là yếu tố quyết định tất cả.
3.2.3. Hệ thống mạng.
Công ty cần xây dựng lại toàn bộ hệ thống mạng theo mơ hình Client-Server. Việc sử dụng mơ hình mạng ngang hàng Peer-to-Peer tại các phịng ban có thể làm nguy cơ mất ATTT tăng lên.
Trong mơ hình Client-Server, các thành phần xử lý ứng dụng trên hệ thống Client đưa ra yêu cầu cho phần mềm CSDL trên máy Client, phần mềm này sẽ kết nối với phần mềm CSDL chạy trên Server. Phần mềm CSDL trên Server sẽ truy nhập vào CSDL và gửi trả kết quả cho máy Client. Mơ hình mạng này giúp hạn chế lượng thông tin lưu chuyển trong mạng (thông tin chỉ được chuyển tới địa chỉ yêu cầu), vì vậy các nguy cơ mất ATTT cũng sẽ giảm theo.
Ngoài ra, để thuận tiện cho các nhân viên đôi khi phải làm việc di động hoặc cung cấp thông tin cần thiết cho đối tác, khách hàng, Công ty nên xây dựng hệ thống mạng riêng ảo(VPN). Đây là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Để tiết kiệm chi phí, cơng ty có thể thiết lập mạng riêng ảo dựa trên chức năng sẵn có đực cung cấp bởi hệ điều hành Window.
Đây cũng được coi là phương án hiệu quả để đảm bảo ATBM trên web cho FIS hiện nay. Việc sử dụng VPN để cung cấp cho các nhân viên hay các cộng sự truy cập tới các tài nguyên của công ty từ nhà hay nơi làm việc khác với mức bảo mật cao, hiệu quả nhất trong q trình truyền thơng, và làm tăng hiệu quả sản xuất của nhân viên. Để đảm bảo mức bảo mật cho hệ thống này, nhân viên phải thực hiện đầy đủ các chính sách bảo mật của cơng ty. Điều này có thể thực hiện được qua việc sử dụng các hướng dẫn của nhà sản xuất về dịch vụ VPN như hạn chế các ứng dụng có thể chạy ở nhà, cổng mạng có thể mở, loại bỏ khả năng chia kênh dữ liệu, thiết lập hệ thống bảo vệ virus khi chạy hệ thống từ xa. Tất cả công việc này sẽ giúp giảm thiểu tính rủi ro cho hoạt động của doanh nghiệp.
3.2.4. Cơ sở dữ liệu.
Hiện tại, Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT đang sử dụng hệ quản trị CSDL SQL Server với các tính năng chính như: mã hóa trong suốt và hiệu quả, khả năng giám sát thơng minh, tính ổn định cao, cho phép
quản lý CSDL bằng cơng cụ và chính sách, khả năng tích hợp với System Center, lập trình dễ dàng và hiệu quả, lưu trữ được nhiều loại dữ liệu, khả năng thao tác song hành trên các bảng dữ liệu phân vùng,…. Tuy hệ quản trị này có nhiều chức năng nổi trội như vậy nhưng để đảm bảo mục tiêu ATBMTT, công ty vẫn cần quan tâm tới một số vấn đề sau:
Thiết lập và cấu hình CSDL an tồn.
Luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị CSDL; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ CSDL;
Gỡ bỏ các CSDL khơng sử dụng;
Có các cơ chế sao lưu dữ liệu, tài liệu hóa q trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,...
Tổ chức quản lý tài khoản.
Các tài khoản và định danh người dùng trong HTTT, bao gồm: tạo mới, kích hoạt, sửa đổi và loại bỏ các tài khoản, đồng thời tổ chức kiểm tra các tài khoản của HTTT ít nhất 6 tháng 1 lần thơng qua các công cụ của hệ thống. Hủy tài khoản, quyền truy nhập hệ HTTT, thu hồi lại tất cả các tài sản liên quan tới HTTT (khóa, thẻ nhận dạng, thư mục lưu trữ,...) đối với cán bộ, công chức, viên chức đã chuyến công tác, chấm dứt hợp đồng lao động.
Quản lý đăng nhập hệ thống.
Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống. Hệ thống tự động khóa tài khoản hoặc cơ lập tài khoản khi liên tục đăng nhập sai vượt quá số lần quy định. Tổ chức theo dõi, giám sát tất cả các phương pháp đăng nhập từ xa (quay số, internet,...), nhất là các đăng nhập có chức năng quản trị, tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) khi có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật khấu với độ an toàn cao, giám sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật khẩu.
Tổ chức quản lý tài nguyên.
Kiểm tra, giám sát chức năng chia sẻ thông tin (Network File and Folder Sharing). Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục thư mục cho từng phòng/đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ trên máy đang sử dụng, tuyệt đối khơng được chia sẻ tồn bộ ổ cứng. Khi thực hiện việc chia sẻ tài nguyên trên máy chủ hoặc trên máy cục bộ nên sử dụng mật khẩu để bảo vệ thông tin.
Bên cạnh việc bảo mật dữ liệu mềm trên máy tính, Cơng ty cũng ln phải chú ý tới tính ATBM của các dữ liệu cứng như: các báo cáo, hợp đồng, đơn đặt hàng, phiếu nhập xuất,…. Các tài liệu này ngoài việc bảo quản cẩn thận trong tủ hồ sơ của Công ty thì cần được sao lưu để lưu trữ trên máy chủ CSDL của Công ty.
Giải pháp giám sát CSDL (Database-IPS).
Mọi hành vi truy cập dữ liệu quan trọng sẽ được theo dõi và ghi vết, trường hợp nghiêm trọng sẽ chặn những thao tác lệnh SQL nguy hiểm, tránh rủi ro và ảnh hưởng cho CSDL. Các giải pháp về kiểm sốt quyền người dùng, mã hóa, xác thực có thể xem xét ứng dụng vào thời điểm thích hợp hơn. Chúng ta cần xây dựng hệ thống giải pháp phịng thủ nhiều cấp, vì vậy cần phải áp dụng đồng bộ các giải pháp trên, không được bỏ qua.
Mã hóa dữ liệu quan trọng.
Trong thực tế doanh nghiệp, việc mã hóa dữ liệu có thể bảo vệ Cơng ty trước nguy cơ thơng tin bị tuồn ra ngồi một cách trái phép . Cũng như với e-mail và file, Cơng ty có thể bảo vệ thơng tin mật trên một máy chủ Web bằng cách mã hóa, việc này sẽ khởi hoạt chương trình mã hóa cài sẵn trong các trình duyệt Web và bảo đảm rằng bất cứ dữ liệu nào gửi từ máy chủ sang trình duyệt và ngược lại đều khơng thể đọc được đối với người ngoài.
Phát triển hệ thống sao lưu.
Mọi hệ thống phức tạp chẳng sớm thì muộn rồi cũng hỏng do đó FIS nên sao lưu dự phòng hệ thống mạng cũng như dữ liệu. Cách tốt nhất với FIS để phòng tránh sự cố hệ thống tồn cơng ty là xây dựng hệ thống dự phòng tại một địa điểm khác. Địa điểm đó phải có máy tính đủ mạnh, dung lượng đĩa lớn và được nối kết mạng để có thể thay thế mạng chính. Mạng dự phịng này phải được trao đổi dữ liệu thường xuyên với file server sao cho các file trong mạng dự phịng ln được cập nhật kịp thời để khi cần có thể chuyển ngay qua mạng dự phịng.
Ngồi ra đối với thơng tin, dữ liệu có giá trị thì nguy cơ bị tấn công xảy ra hàng giờ. Ngồi các nguy cơ từ mạng Internet thì khơng nên loại trừ ngun nhân từ chính cá nhân trong công ty. Với nguy cơ từ các cá nhân trong chính doanh nghiệp thì phải phân quyền người sử dụng. Với nguy cơ mất mát hoặc dữ liệu bị thay đổi, giả mạo trong quá trình truyền nên bảo mật kênh truyền dữ liệu.