Trong thời đại công nghệ phát triển, các doanh nghiệp đều sử dụng Internet tuy nhiên chưa chú ý tới bảo mật đặc biệt là các doanh nghiệp nhỏ và vừa, do đó mạng kết nối Internet trong doanh nghiệp được thả nổi và các nhân viên được tự do truy cập Internet mà khơng bị kiểm sốt, chính điều đó đã tạo điều kiện rất dễ xâm nhập ăn cắp dữ liệu, mà hơn hết các dữ liệu cá nhân hay doanh nghiệp là tài sản vô cùng quý giá quyết định số mạng của cả một doanh nghiệp hay một tổ chức nào đó.
Do đó cần có các giải pháp hiệu quả để hệ thống máy tính doanh nghiệp được bảo mật và bất khả xâm phạm từ những người muốn xâm nhập vào hệ thống với mục đích ăn cắp hoặc phá hoại dữ liệu.
Để ngăn chăn tình trạng này, doanh nghiệp nên sử dụng tường lửa cho phần
cứng (Firewall). Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị
hay phần mềm có nhiệm vụ lọc những thơng tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó. Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngồi hệ thống, cũng như đảm bảo khơng có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng.
Cơng ty có sử dụng tường lửa Firewall để đảm bảo an tồn và bảo mật thơng tin, tuy nhiên việc sử dụng Firewall của phần mềm có sẵn trên Windows chưa đáp ứng và sử dụng hiệu quả cho công ty.
Firewall phần cứng là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall. Trước khi một gói tin Internet đến
máy tính, thì Firewall phần cứng sẽ giám sát các gói tin và kiểm tra xem nó đến từ đâu. Nó cũng kiểm tra nếu địa chỉ IP hoặc tiêu đề có thể tin cậy được.
Firewall của Cisco: Đối với các dòng sản phẩm firewall của Cisco - dòng sản phẩm được rất nhiều doanh nghiệp có quy mơ hoạt động nhỏ và vừa sử dụng, nổi trội bởi các tính năng và giá thành phù hợp. Doanh nghiệp có thể triển khai thiết bị bảo mật “Firewall ASA 5505”:
ASA 5505 là model nhỏ nhất trong các dịng sản phẩm của ASA, cả về kích thước vật lý cũng như hiệu suất. Nó được thiết kế dành cho các văn phịng nhỏ và văn phịng gia đình, thiết bị này khá phù hợp với thực trạng của cơng ty. Có 8 cổng FastEthernet trên ASA 5505, tất cả kết nối đến một switch nội bộ. 2 trong số các cổng có khả năng cung cấp Power over Ethernet (PoE) với các thiết bị kèm theo. (ASA chính nó khơng thể hỗ trợ bởi PoE). The mặc định, tất cả 8 cổng được kết nối đến các VLAN giống nhau trong switch, cho phép kết nối các thiết bị để giao tiếp ở lớp 2.
Các cổng của switch có thể chia thành nhiều VLAN để hỗ trợ các khu vực hoặc chức năng khác nhau trong một văn phòng nhỏ. ASA kết nối với mỗi VLAN qua các interface các nhân luận lý. Bất kỳ luồng dữ liệu nào qua giữa các VLAN đều qua ASA và các chính sách bảo mật của nó. ASA 5505 có một khe Security Services Card (SSC) có thể chấp nhận một tùy chọn AIPSSC-5 IPS module. Với module được cài đặt, ASA có thể tăng cường các đặc tính bảo mật của nó với các chức năng mạng IPS.
Ngồi ra, doanh nghiệp cũng có thể sử dụng thiết bị bảo mật khác ví dụ:
“Cisco RV016 Multi-WAN VPN Router” với nhiều tính năng như: An ninh mạnh:
Cung cấp khả năng kiểm tra trạng thái gói tin (SPI) bức tường lửa và mã hóa phần cứng; Ngăn chặn Java, cookies, ActiveX, HTTP proxy; Tường lửa SPI, từ chối dịch vụ (DoS), bóng của cái chết, lũ lụt SYN, tấn công mặt đất, IP giả mạo, thông báo qua email cho hacker tấn cơng cùng nhiều các tính năng khác.
3.3.2. Giải pháp sử dụng phần mềm ứng dụng
Phần mềm bảo mật
Phần mềm bảo mật lựa chọn cho cơng ty cần có các tính năng chống virus, mã độc, thư rác trên máy chủ, các thiết bị di động trong mạng để phát hiện kịp thời và loại bỏ những đoạn mã độc hại (Virus, trojan, worms,...) và hỗ trợ người sử dụng
cài đặt các phần mềm này trên máy trạm đồng thời cần phải thường xuyên cập nhật các phiên bản mới, các bản vá lỗi của các phần mềm chống virus để bảo đảm chương trình quét virus của cơng ty trên máy chủ và các máy trạm luôn được cập nhật và thiết lập chế độ quét thường xuyên.
Công ty Trung Thành Việt Nam có thể sử dụng dụng sản phẩm của Bitdefender, bộ sản phẩm gồm có: Bitdefender Antivirus Plus, Bitdefender Internet
Security, Bitdefender Total Security.
Bitdefender Antivirus Plus 2017 cung cấp cho người dùng một chế độ bảo vệ
chủ động và tiên tiến chống lại virus, phần mềm gián điệp, cuộc tấn công lừa đảo và hành vi ăn trộm danh tính mà khơng làm chậm tốc độ của máy tính. Bitdefender
Antivirus Plus có rất nhiều các tính năng hữu ích:
- Bảo vệ máy tính khỏi virus:
Bảo vệ dữ liệu tồn diện: Bitdefender khóa tất cả mọi thứ từ các loại virus truyền thống, sâu, Trojan đến mã độc ransomware, khai thác lỗ hổng zero-day, rootkit và phần mềm gián điệp.
Báo cáo an ninh hàng tuần: Bitdefender Antivirus Plus 2017 luôn hoạt động ở chế độ nền, ngăn chặn phần mềm độc hại mới và loại bỏ những lây nhiễm. Mỗi tuần người dùng sẽ nhận được một bản báo cáo tóm tắt về tình trạng an tồn của máy tính; và cịn rất nhiều các tính năng khác như: đảm bảo an toàn cho giao dịch trực tuyến, duyệt web an toàn, bảo vệ USB, bảo vệ mạng xã hội hay kiểm sốt các hoạt động nguy hiểm.
- Hiệu suất tốt:
Tích hợp điện tốn đám mây: phần mềm có thể thực thi tất cả các chế độ quét trên đám mây, do đó khơng làm giảm hiệu suất của máy tính. Chỉ có chữ ký của dữ liệu được quét, Bitdefender Antivirus Plus 2017 không tải lên tập tin hay lưu trữ chúng.
Chế độ làm việc, xem phim, chơi game: đảm bảo nhân viên cơng ty có thể tập trung vào các hoạt động của mình. Nó sẽ phát hiện khi nhân viên chơi game, làm việc hoặc xem phim và tạm thời loại bỏ những thông báo, điều chỉnh các thiết lập trực quan và tạm dừng các chương trình nền khơng cần thiết.
Hủy file tài liệu nhạy cảm: Bitdefender Antivirus Plus cung cấp cho người dùng một cơng cụ băm nhỏ tập tin để xóa hồn tồn thơng tin nhạy cảm từ máy tính và thậm chí ngăn chặn những cơng cụ khôi phục tập tin chuyên nghiệp tái tạo lại.
- An toàn với một cú nhấp chuột: Thanh tốn nhanh và an tồn; Quét nhanh các vùng dễ bị tổn thương hay tối ưu hóa các quyết định liên quan đến an ninh mà không cần nhập vào bất cứ dữ liệu gì.
Bitdefender Total Security ngồi những khả năng chống Virus xâm nhập, ăn
cắp tài khoản, bảo vệ hệ thống mà cịn cho phép người dùng mã hóa các dữ liệu trên máy tính để bảo mật an tồn, ngăn chặn các hành vi truy cập trái phép cùng rất nhiều các tính năng tiện ích.
- Chương trình bảo mật tồn diện cho hệ thống: bảo vệ hệ thống tránh được virus và các phần tử độc hại, bảo mật dữ liệu, bảo vệ thơng tin cá nhân khi trực tuyến, mã hóa các tập tin, thư mục và tối ưu hóa hoạt động của máy tính.
- Chế độ quét mạnh mẽ và nhanh chóng: BitDefender Total Security quét nhanh chóng tồn bộ hệ thống bao gồm các ổ đĩa, phân vùng, thư mục... phát hiện triệt để nhiều loại virus và phần tử đặc biệt nguy hiểm để cảnh báo kịp thời cho người dùng, loại bỏ chúng ra khỏi máy tính.
- Bảo vệ các thơng tin cá nhân cho người dùng: Tính năng Anti-Phishing được cải thiện và nâng cao đảm bảo cho người dùng tránh được những trang web lừa đảo với mục đích ăn cắp các thơng tin cá nhân quan trọng. Mặt khác, tiện ích này cịn quét các liên kết có hại và theo dõi các thiết lập bảo mật trên máy tính.
- Sao lưu và đồng bộ dữ liệu trực tuyến: BitDefender Total Security có khả năng theo dõi, kiểm soát và sao lưu các tập tin trực tiếp lên máy chủ, đồng thời đồng bộ hóa chúng trên nhiều máy tính khác nhau nếu phát hiện có thay đổi. Chức năng này giúp người dùng đề phòng được những trường hợp mất mát dữ liệu khơng đáng có.
- Hỗ trợ giám sát hoạt động máy tính: Người dùng được quyền hạn chế truy cập vào nhiều trang web được chỉ định từ con cái, nhân viên của họ nhằm quản lý hoạt động lướt web một cách an tồn nhất. Tính năng Parental Control cho phép người dùng quy định thời gian cũng như hạn chế lưu lượng truy cập mạng từ người dùng khác, lọc bỏ những trang web có nội dung khiêu dâm, bạo lực...
Bitdefender Internet Security là phiên bản hỗ trợ mạnh trong mơi trường
Internet. Bao gồm các tính năng cơ bản của phiên bản Bitdefender Anti Virus Plus. Ngoài ra Bitdefender Internet Security cịn có thêm các tính năng khác như: Kiểm soát trẻ em; Chống thư rác; Tường lửa hai chiều.
Phần mềm mã hóa
Mã hóa dữ liệu là một trong những cách cơ bản nhất mà người dùng thường sử dụng để bảo vệ thơng tin trên máy tính. Người sử dụng cần tiến hành mã hóa các thơng tin, dữ liệu quan trọng mà mình khơng muốn bất kỳ người dùng nào khác có thể đọc được. Cơng ty nên sử dụng GiliSoft File Lock Pro vì các chức năng nổi trội: • Ẩn dữ liệu: GiliSoft File Lock Pro có thể ẩn các tập tin, thư mục cá nhân và ổ đĩa của người dùng, làm cho chúng trở nên “hồn tồn vơ hình” đối với người dùng và chương trình.
• Khóa dữ liệu: Bảo vệ các tập tin/thư mục/ổ đĩa bị khóa khơng bị truy cập. Người dùng khơng thể mở, đọc, chỉnh sửa, di chuyển, xóa, sao chép, đổi tên các tập tin/thư mục được bảo vệ mà không cần mật khẩu. Các tập tin và thư mục con trong một thư mục bị khóa cũng được bảo vệ.
• Mã hóa dữ liệu: Chương trình có thể mã hóa bất kỳ tập tin và thư mục nào. • Mã hóa di động: Gói và mã hóa một thư mục thành một file thực thi (exe file) với thuật tốn mã hóa AES. Bạn có thể mã hóa những dữ liệu quan trọng bằng phương pháp này, và sau đó gửi nó qua mạng hoặc các phương tiện khác để sử dụng trên máy tính mà khơng cần Gili File Lock Pro.
• Xóa an tồn: GiliSoft File Lock Pro cho phép bạn gỡ bỏ hoàn toàn dữ liệu nhạy cảm từ ổ đĩa cứng của bạn bằng cách ghi đè lên nó nhiều lần với các mẫu lựa chọn cẩn thận. Khơng ai có thể phục hồi dữ liệu bị xóa từ ổ đĩa cứng của bạn nếu bạn xóa nó an tồn.
3.3.3. Giải pháp bảo vệ cơ sở dữ liệu
Hiện tại, Công ty Cổ phần Trung Thành đang sử dụng hệ quản trị CSDL SQL Server với các tính năng chính như: mã hóa trong suốt và hiệu quả, khả năng giám sát thơng minh, tính ổn định cao, cho phép quản lý CSDL bằng cơng cụ và chính sách, khả năng tích hợp với System Center, lập trình dễ dàng và hiệu quả, lưu trữ được nhiều loại dữ liệu, khả năng thao tác song hành trên các bảng dữ liệu phân
mục tiêu ATTT, công ty vẫn cần quan tâm tới một số hướng giải quyết đảm bảo an toàn cơ sở dữ liệu sau:
- Phân hoạch CSDL: CSDL nên được phân hoạch theo chiều ngang tùy theo độ nhạy cảm của dữ liệu. Với mỗi phân hoạch hệ thống an toàn sẽ thực hiện một chiến lược bảo mật riêng theo yêu cầu bảo mật của dữ liệu. Việc khai thác trên các thành phần CSDL chỉ có thể tiến hành qua thành phần giao diện ứng dụng. Khi làm việc chỉ người dùng có thẩm quyền mới có thể chuyển CSDL về trạng thái sẵn sàng phục vụ và khi kết thúc công việc CSDL lại được chuyển về trạng thái lưu trữ, tức trạng thái mã hóa trong hệ điều hành.
- Mã hóa các trường dữ liệu quan trọng: Những trường chứa thơng tin có độ bảo mật cao được mã hóa bằng hệ mật đã được lựa chọn phù hợp với yêu cầu của dữ liệu. Việc xác định độ mật tương ứng của từng trường phải được người có thẩm quyền xác định. Các thơng tin có độ mật cao ln được lưu trữ ở dạng mã hóa. Những thơng tin này chỉ được giải mã ở tầng giao diện với người dùng và chỉ có những thơng tin thỏa mãn yêu cầu của người dùng và trong thẩm quyền được phép của người dùng mới được giải mã.
Hình 3.1: Mơ hình phân hoạch dữ liệu đảm bảo an tồn khi khai thác
- Kiểm sốt truy cập: Hệ thống bảo mật CSDL HSTCNH sử dụng một thiết bị eToken duy nhất chứa khóa riêng và chứng thư số của người dùng. Q trình thiết lập an tồn sẽ diễn ra như sau: Mật khẩu cho người sử dụng truy cập vào hệ thống CSDL sẽ được sinh ngẫu nhiên và đăng ký với MySQL cùng với tên của người dùng. Mật khẩu ngẫu nhiên sau đó được mã hóa bởi khóa cơng khai của người dùng trong chứng thư và lưu vào hệ thống để kiểm soát. Khi kết nối vào hệ thống CSDL, chương trình sẽ dùng khóa bí mật trong eToken để giải mã mật khẩu ngẫu nhiên và truy cập vào CSDL. Như vậy, người dùng sẽ thuận tiện khi sử dụng hệ thống và chỉ người dùng có eToken phù hợp mới có thể truy cập vào hệ thống.
3.3.4. Giải pháp hệ thống mạng
Giải pháp mã hóa và bảo mật đường truyền
Trong thời đại CNTT phát triển, mọi dữ liệu, thông tin đều được gửi qua đường truyền mạng để gửi và nhận dữ liệu một cách nhanh chóng. Vì vậy, để nâng cao hơn vấn đề bảo mật CSDL Công ty nên chú trọng giải pháp bảo mật đường truyền để tranh mất mát giữ liệu trong quá trình lưu trữ, truyền và nhận dữ liệu
Dưới đây là một số giao thức bảo mật đường truyền mà Cơng ty có thể áp dụng tùy thuộc vào mức chi trả đầu tư cho HTTT của công ty:
Giao thức WEP- Wired Equivalent Privacy.
WEP được thiết kế để đảm bảo tính bảo mật cho mạng khơng dây đạt mức độ như mạng nối cáp truyền thống. WEP cung cấp bảo mật cho dữ liệu trên mạng không dây qua phương thức mã hóa.
Đối với Cơng ty Trung Thành hiện tại nên sử dụng WEP có độ dài khóa 128 bit. Do WEP sử dụng RC4, một thuật toán sử dụng phương thức mã hóa dịng, nên cần một cơ chế đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả giống nhau sau khi được mã hóa hai lần khác nhau. Đây là một yếu tố quan trọng trong vấn đề mã hóa dữ liệu nhằm hạn chế khả năng suy đốn khóa của Hacker.
Giải pháp WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ bảo mật cho WEP như việc sử dụng khóa WEP có độ dài 128 bit sẽ gia tăng số lượng gói dữ liệu Hacker cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP.
Giao thức SSL.
SSL (Secure Sockets Layer) là một giao thức (protocol) cho phép truyền đạt thông tin một cách bảo mật và an toàn qua mạng. SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên tồn thế giới, nó bảo vệ dữ liệu truyền đi trên môi trường internet được an tồn., là tiêu chuẩn của cơng nghệ bảo mật, truyền thơng mã hố giữa máy chủ Web server và trình duyệt (browser). Tiêu chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư và toàn vẹn. SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên tồn thế giới, nó bảo vệ dữ liệu truyền đi trên môi trường internet được an toàn.
Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi