Giải pháp tường lửa cho HTTT của công ty

Một phần của tài liệu (Luận văn đại học thương mại) giải pháp đảm bảo an toàn và bảo mật HTTT cho công ty cổ phần climax việt nam (Trang 41)

PHẦN I : TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU

3.2. Đề xuất giải pháp đảm bảo an toàn và bảo mật HTTT cho công ty

3.2.1. Giải pháp tường lửa cho HTTT của công ty

Đối với từng tổ chức doanh nghiệp cụ thể thì cần có những chính sách xây dựng tường lửa khác nhau sao cho hoạt động một cách hiệu quả và phù hợp với quy mơ của doanh nghiệp mình.

Đối với các cơng ty vừa và nhỏ có hạn chếvềnhiều mặt như kinh phí cũng như thiết bị cho nên trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất. Thiết bị bảo mật 'Tất cả trong một' này phải đáp ứng yêu cầu về bảo mật - an toàn dữ liệu của tổ chức - công ty một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bịđắt tiền và phức tạp, cộng thêm một nhân viên chuyên trách. Điều này quả thật rất cần thiết trong tình trạng Internet hiện nay đầy rẫy các mối đe dọa như sâu máy tính, chương trình phá hoại và ăn cắp thông tin, lỗ hổng bảo mật của các hệ điều hành và ứng dụng. Việc bảo mật cho các mạng máy tính của cơng ty cổ phần Climax Việt Nam cũng khơng phức tạp như các cơng ty lớn vì cơ sở dữ liệu ít, gọn, khơng nằm phân tán như các cơng ty lớn. Vì vậy có thể lựa chọn những Firewall phần mềm miễn phí hoặc bật các chức năng Firewall được cung cấp sẵn trong các hệ điều hành như Windows XP Home Edition, sử dụng Internet Connection Firewall trong phiên bản Window XP Professional.

Trong số những sản phẩm tường lửa (firewall) trên thị trường hiện nay thì ASA là sản phẩm bảo mật dẫn đầu trên thị trường về hiệu năng và cung cấp các mơ hình phù hợp doanh nghiệp, tích hợp giải pháp bảo mật mạng.

Dịng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai. Nó bao gồm các thuộc tính sau:

+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco + Cơng nghệ Stateful firewall sử dụng thuật tốn SA của Cisco + Sử dụng SNR để bảo mật kết nối TCP

+ Sử dụng Cut through proxy để chứng thực telnet, http, ftp

+ Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn

+ VPN: IPSec, SSL và L2TP

+ NAT động, NAT tĩnh, NAT port

+ Ảo hóa các chính sách sử dụng Context

Có tất cả 6 model khác nhau. Dịng sản phẩm này phân loại khác nhau từ tổ chức nhớ đến mơ hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP. Mơ hình càng cao thì thơng lượng, số port, chi phí càng cao. Sản phẩm bao gồm : ASA 5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40.

Công ty cổ phần Climax Việt Nam thuộc loại doanh nghiệp vừa và nhỏ, hệ thơng vẫn cịn khá đơn giản nên sử dụng ASA 5510 là thích hợp nhất. Cisco ASA 5510 thích ứng Security Appliance cung cấp dịch vụ an ninh mạng cao cấp cho các doanh nghiệp vừa và nhỏ và doanh nghiệp từ xa văn phòng / chi nhánh trong một, thiết bị chi phí- hiệu quả dễ triển khai. Những dịch vụ này có thể dễ dàng quản lý và giám sát bởi các tích hợp, an ninh thích ứng Cisco ứng dụng Device Manager Web-based, do đó làm giảm các hoạt động triển khai và tổng chi phí liên quan đến việc cung cấp mức độ cao bảo mật này. Cisco ASA 5510 thích ứng Security Appliance cung cấp tường lửa hiệu suất cao và các dịch vụ VPN và ba tích hợp giao diện 10/100 Fast Ethernet. Nó tùy chọn cung cấp dịch vụ giảm thiểu sâu phịng chống xâm nhập hiệu suất cao và thơng qua các AIP SSM, hoặc các dịch vụ bảo vệ phần mềm độc hại tồn diện thơng qua các CSC SSM. Sự kết hợp độc đáo của các dịch vụ trên một nền tảng duy nhất làm cho Cisco ASA 5510 là một sự lựa chọn tuyệt vời cho các doanh nghiệp đòi hỏi một chi phí-hiệu quả, mở rộng, giải pháp an ninh DMZ-kích hoạt.

Thiết bị bảo mật Cisco ASA 5510

– Nâng cao an ninh và cung cấp dịch vụ mạng, bao gồm cả các dịch vụ VPN, cho các doanh nghiệp nhỏ.

– Cung cấp lên tới 130,000 kết nối đồng thời. – Thơng lượng có thể đáp ứng tới 300-Mbps.

– Các interface được hỗ trợ: Lên tới 5 cổng 10/100 Fast Ethernet, lên tới 25

VLANs. lên tới 5 ngữ cảnh (contexts).

– Hỗ trợ failover: Active/standby.

– Hỗ trợ VPNs: Site to site (250 peers).remote access. webVPN.

– Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port).

Hình 3.1. Thiết bị bảo mật Cisco ASA 5510 3.2.2. Giải pháp bảo mật dữ liệu cho HTTT của công ty. 3.2.2. Giải pháp bảo mật dữ liệu cho HTTT của công ty.

a. Phân quyền người sử dụng.

Phân quyền người dùng là biện pháp giúp phân chia rõ rang quyrnf hạn, cách thức thao tác đối với hệ thống theo yêu cầu khác nhau nhằm đảm bảo được sự an toàn của hệ thống cũng như đảm bảo tính riêng tư của mỗi người.

Ngày nay trong cơng việc hàng ngày chúng ta thường xuyên làm việc với các hệ thống máy tính lớn được nối liên thơng với nhau, ngồi ran gay trên một máy tính cũng có thể có nhiều người dùng khác nhau. Vì vậy nếu chúng ta khơng có sự phân biệt rõ ràng về quyền hạn đối với những người dùng này thì sẽ gây ra tình trang mất an tồn hệ thống đồng thời đánh mất tính riêng tư của những người dùng trong hệ thống.

b. Backup kịp thời và thường xuyên.

Bước quan trọng nhất trong việc bảo vệ dữ liệu khỏi bị thất lạc là thực hiện backup thường xuyên. Chúng ta cần thực hiện backup theo chu kỳ bao lâu? Điều này phụ thuộc vào lượng dữ liệu sẽ bị mất nếu hệ thống bị đánh sập hồn tồn. Chúng ta có thể thực hiện backup hàng tuần, hàng ngày, hay hàng giờ.

Chúng ta có thể sử dụng tiện ích backup được tích hợp trong hệ điều hành Windows (ntbackup.exe) để thực hiện những tiến trình backup cơ bản, ngồi ra, có thể sử dụng Wizard Mode để đơn giản hóa tiến trình tạo và khơi phục các file backup, hay có thể cấu hình thủ cơng các cài đặt backup và lên lịch thực hiện tác vụ backup để tự động hóa tác vụ này.

Ngồi cơng cụ trên, có rất nhiều cơng cụ backup nhóm ba khác với nhiều tùy chọn nâng cao hơn. Cho dù chúng ta lựa chọn cơng cụ nào, thì việc lưu trữ một bản copy dự phòng của file backup là rất quan trọng để đề phòng trường hợp những băng/đĩa chứa file backup bị phá hủy cùng với dữ liệu gốc. Hiện nay có một phương

pháp rất hiệu quả mà chúng ta có thể sử dụng để lưu trữ dự phịng bản backup đó là backup trực tuyến.

c. Áp dụng bảo mật chia sẻ và bảo mật cấp độ file.

Để bảo mật dữ liệu, thao tác đầu tiên là cài đặt giấy phép cho file và thư mục. Nếu đang chia sẻ dữ liệu qua mạng, chúng ta có thể cài đặt các giấy phép chia sẻ để kiểm sốt những tài khoản người dùng nào có thể hay khơng thể truy cập vào những file này qua mạng. Với Windows 2000 và Windows XP, chúng ta thực hiện cài đặt giấy phép bằng cách click vào nút Permissions trên tab Sharing của cửa sổ thuộc tính Properties của thư mục hay file.

Tuy nhiên, những giấy phép cấp độ chia sẻ sẽ khơng có hiệu lực với người dùng đang sử dụng máy tính lưu trữ dữ liệu chia sẻ. Nếu máy tính được nhiều người sử dụng thì chúng ta phải sử dụng các giấy phép cấp độ file (còn được gọi là giấy phép NTFS vì chúng chỉ xuất hiện trên những thư mục và file được lưu trữ trên phân vùng được định dạng NTFS). Những giấy phép cấp độ file, được cài đặt trong tab Security của hộp thoại thuộc tính Properties, bảo mật hơn so với các giấy phép cấp độ chia sẻ.

Trong cả hai trường hợp, chúng ta có thể cài đặt giấy phép cho tài khoản người dùng hay nhóm, và có thể cho phép hay từ chối nhiều cấp độ truy cập khác nhau từ read-only (chỉ đọc) tới toàn quyền truy cập.

d. Đặt mật khẩu bảo vệ tài liệu.

Một số ứng dụng, như Microsoft Office và Adobe Acrobat, cho phép chúng ta cài đặt mật khẩu trên nhiều tài liệu khác nhau. Để mở những tài liệu này chúng ta sẽ phải nhập vào mật khẩu đã cài đặt cho chúng. Trong Microsoft Word 2003, để đặt mật khẩu cho tài liệu, vào menu Tools | Options rồi click vào tab Security. Chúng ta có thể cài đặt mật khẩu mở file này và đặt mật khẩu chống chỉnh sửa. Ngồi ra chúng ta có thể cài đặt kiểu mã hóa được sử dụng.

Một số phần mềm nén như WinZip hay PKZip cũng hỗ trợ cả tính năng mã hóa file nén.

3.2.3. Xây dựng quy trình kiểm sốt mạng chặt chẽ cho HTTT của công ty.

Năm bước để giành quyền kiểm sốt mạng:

Mơ hình đe dọa đối với an ninh nội bộ khác so với mơ hình an ninh vành đai. An ninh vành đai bảo vệ mạng của bạn khỏi những kẻ tấn công trên Internet được trang bị với những công cụ khai thác của các dịch vụ Internet phổ biến như HTTP và SMTP.

Bước 2: Bảo vệ các tài nguyên quan trọng.

Xếp hạng các hệ thống nội bộ của công ty theo mức độ quan trọng và đưa ra các phương án bảo vệ chúng.

Bước 3: Tắt các dịch vụ mạng không sử dụng.

Kiểm tra các máy chủ và máy tính trung tâm hiện có của cơng ty một cách thường xuyên để rà soát các dịch vụ mạng và khóa chúng lại khu khơng sử dụng nữa. Chắc chắn rằng chuẩn của những người dùng máy tính trong cơng ty loại trừ tất cả các dịch vụ truy cập từ xa phổ biến đối với hệ điều hành đang sử dụng. Quan tâm đến các máy tính xách tay lưu động và các cuộc tấn công từ bên trong.

Bước 4: Tạo ra vành đai ảo.

Đánh giá mạng của cơng ty từ đó xây dựng vành đai ảo.

Bước 5: Biết được người sử dụng của công ty là ai bằng cách thực thi việc kiểm tra nhận dạng.

Xác định người sử dụng là ai, những tài nguyên họ được phép truy nhập vào sau đó thực thi những chính sách kiểm sốt truy nhập đó cho các ứng dụng và máy chủ nội bộ.

3.2.4. Quy định việc đảm bảo an toàn, bảo mật hệ thống.

Nguyên tắc chung:

- Từng đơn vị phải đảm bảo an toàn, bảo mật hệ thống CNTT của đơn vị mình theo các quy định tại Thơng tư này.

- Kịp thời nhận biết, phân loại, đánh giá và xử lý có hiệu quả các rủi ro CNTT có thể xảy ra trong đơn vị.

- Xây dựng, triển khai quy chế an toàn, bảo mật hệ thống CNTT trên cơ sở hài hịa giữa lợi ích, chi phí và mức độ chấp nhận rủi ro của đơn vị.

- Bố trí đủ nguồn lực có chất lượng phù hợp với quy mơ nhằm đảm bảo an toàn, bảo mật hệ thống CNTT.

- Xác định rõ quyền hạn, trách nhiệm của thủ trưởng đơn vị, các cấp, các bộ phận và từng cá nhân trong đơn vị đối với cơng tác đảm bảo an tồn, bảo mật hệ thống CNTT.

Nguyên tắc an toàn, bảo mật HT CNTT:

- Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống CNTT phù hợp với hệ thống CNTT, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị. Quy chế an toàn, bảo mật hệ thống CNTT phải được thủ trưởng đơn vị phê duyệt, tổ chức thực hiện và được triển khai tới tất cả các cán bộ, nhân viên và các bên liên quan.

- Quy chế an toàn, bảo mật hệ thống CNTT phải bao gồm các quy định cơ bản về: Quản lý tài sản CNTT; quản lý nguồn nhân lực; quy định về vật lý và môi trường; quy định về truyền thông và vận hành; quản lý truy cập; tiếp nhận, phát triển, duy trì hệ thống thơng tin; quản lý sự cố;lưu trữ và dự phòng thảm họa.

- Định kỳ, đơn vị phải rà sốt, chỉnh sửa, hồn thiện quy chế an toàn, bảo mật hệ thống CNTT tối thiểu mỗi năm một lần, đảm bảo sự phù hợp, đầy đủ và có hiệu quả của quy chế. Trong trường hợp phát hiện những bất cập, bất hợp lý gây ra mất an toàn hệ thống CNTT hoặc theo yêu cầu của cơ quan có thẩm quyền, đơn vị phải tiến hành chỉnh sửa, bổ sung ngay quy chế của mình.

3.2.5. Nâng cao chất lượng nguồn nhân lực phục vụ hoạt động đảm bảo antoàn và bảo mật HTTT cho cơng ty. toàn và bảo mật HTTT cho cơng ty.

Do trình độ hiểu biết về ATTT của nhân viên cịn yếu kém, do đó, Cơng ty cổ phần Climax Việt Nam cần có kế hoạch đào tạo, nâng cao hiểu biết về ATTT cho nhân viên.

Công ty nên chọn ra một vài nhân viên tiêu biểu để đưa đi đào tạo chuyên sâu về ATTT, đồng thời mời các chuyên viên về an ninh thông tin đến giảng dạy và thuyết trình trực tiếp cho tồn bộ nhân viên trong Cơng ty.

Mặt khác, Cơng ty cần có các chính sách, quy định cụ thể đối với nhân viên về vấn đề liên quan đến ATTT trong Công ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng. Tất cả thông tin khách hàng, đối tác hay thông tin nội bộ của công ty đều phải đảm bảo bí mật và tất cả nhân viên đều phải ký thỏa thuận này. Việc xử lý, loại bỏ những tư liệu, giấy tờ liên quan đến hoạt động của công ty đều phải huỷ qua máy tài liệu. Các loại giấy tờ, thơng tin, phần mềm in ấn vi tính đều khơng được mang ra khỏi công ty. Giáo dục đạo đức cho nhân viên. Đưa ra cơ chế an toàn liên quan đến việc tuyển, sử dụng nhân viên và sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán bộ, nhân viên.

Ngồi ra Cơng ty cổ phần Climax Việt Nam cũng cần chú ý tới các giải pháp ATTT trong giao dịch TMĐT như: an toàn chứng thực điện tử, an tồn thư tín điện tử, an tồn mạng riêng ảo, Firewall, Honeypot.. hệ thống phát hiện xâm nhập, các kĩ thuật thăm dò….

3.3. Một số kiến nghị.

Hiện nay việc phát triển vượt bậc của công nghệ Mạng và Internet cùng với các Website thông tin trực tuyến trong các lĩnh vực của cuộc sống đã làm cho nhu cầu triển khai các hệ thống ứng dụng trong lĩnh vực mạng máy tính và truyền thơng tăng lên nhanh chóng. Đối với các doanh nghiệp, mạng máy tính và Internet đã trở thành một trong những nhân tố tăng sức mạnh, khả năng cạnh tranh trên thị trường; chính vì vậy hiện nay mỗi doanh nghiệp đang cố gắng xây dựng cho mình một hệ thống Mạng máy tính mạnh, ổn định và có khả năng bảo mật cao. Tuy nhiên cùng với phát triển của mạng Internet, tình hình mất an ninh mạng đang diễn biến phức tạp và xuất hiện nhiều nguy cơ đe dọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục vụ phát triển kinh tế xã hội và đảm bảo quốc phòng, an ninh. Số vụ tấn công trên mạng và các vụ xâm nhập hệ thống công nghệ thông tin nhằm do thám, trục lợi, phá hoại dữ liệu, ăn cắp tài sản, cạnh tranh không lành mạnh và một số vụ việc mất an tồn thơng tin số khác đang gia tăng ở mức báo động về số lượng, đa dạng về hình thức, tinh vi về cơng nghệ...

Để đảm bảo an tồn hệ thống thông tin cho công ty cổ phần Climax Việt Nam tơi xin có vài kiến nghị với cơng ty cổ phần Climax Việt Nam:

- Đầu tư thêm hệ thống tường lửa phù hợp với công ty để nâng cao tính an tồn và bảo mật cho HTTT của cơng ty.

- Nhanh chóng đưa ra các quy trình để đảm bảo an toàn và bảo mật cho HTTT.

Một phần của tài liệu (Luận văn đại học thương mại) giải pháp đảm bảo an toàn và bảo mật HTTT cho công ty cổ phần climax việt nam (Trang 41)

Tải bản đầy đủ (PDF)

(65 trang)