Giải pháp phần mềm - Giải pháp nâng cao an toàn và- 123docz.net

3.3. Giải pháp nâng cao an toàn và bảo mật cho hệ thống thông tin của doanh

3.3.2. Giải pháp phần mềm

3.3.2.1. Sử dụng các hình thức mã hố

Hiện nay cơng ty đang sử dụng kỹ thuật mã hóa khóa cơng khai để mã hóa các dữ liệu trong cơng ty, kỹ thuật mã hóa này có rất nhiều ưu điểm tuy nhiên nó cũng có một số hạn chế do vậy cơng ty nên sử dụng thêm một số biện pháp, phương pháp khác

- Sử dụng mã hóa file hệ thống (EFS-Encrypting File System)

Trong số phần lớn người sử dụng chúng ta, chắc hẳn các bạn đều đã biết rằng trong Windows XP, Windows 7 và phiên bản hệ điều hành mới nhất hiện nay – Windows 8 đều đã được tích hợp sẵn dịch vụ bảo mật dữ liệu dành cho người dùng khá đơn giản nhưng vô cùng hiệu quả chỉ vài thao tác thiết lập. Đó chính là Encrypted File Service hay còn gọi tắt là EFS.

EFS thực chất là 1 dịch vụ bảo mật được tích hợp sẵn trong Windows kể từ phiên bản XP. Một khi dữ liệu đã được mã hóa bằng EFS thì chỉ có thể được truy cập và sử dụng bằng chính tài khoản thực hiện lệnh mã hóa đó. Mặc dù người dùng khác có thể nhìn thấy file dữ liệu đó, nhưng sẽ khơng thể mở được – cho dù đó là tài khoản Administrator đi chăng nữa. Chúng ta có thể sử dụng phương pháp mã hóa tích hợp nền tảng giấy phép này để bảo vệ các file và thư mục riêng biệt được lưu trữ trên phân vùng định dạng NTFS. Thao tác mã hóa file và thư mục rất đơn giản, chỉ cần click vào nút Advanced trên tab General của trang thuộc tính Properties. Lưu ý rằng chúng ta khơng thể sử dụng kết hợp mã hóa EFS và nén NTFS.

EFS sử dụng kết hợp mã hóa đối xứng và bất đối xứng cho cả bảo mật và thực thi. Để mã hóa file với EFS, người dùng phải có một giấy phép EFS, có thể được tạo bởi Windows Certification Authority, hay một giấy phép tự phân nếu khơng có Certificate Authority nào trên mạng. Các file EFS có thể được mở bởi tài khoản người dùng đã mã hóa chúng, hay bởi một tác nhân khôi phục chuyên dụng. Với Windows XP hay Windows 2003 chúng ta cịn có thể chỉ định những tài khoản người dùng khác được phân quyền để truy cập vào những file được mã hóa bằng EFS.

Lưu ý rằng EFS được sử dụng để bảo vệ dữ liệu trên ổ đĩa. Nếu gửi một file được mã hóa EFS qua mạng và ai đó sử dụng một Sniffer (trình phân tích dữ liệu) để đánh cắp thì họ có thể đọc dữ liệu trong file này.

-Sử dụng cơng cụ mã hóa ổ đĩa

Trong một số phiên bản của Windows Vista, Windows 7, Windows Server 2008 và Windows Server 2008 R2 tích hợp một cơng cụ mã hóa ổ đĩa khá mạnh có tên BitLocker. Mặc định, cơng cụ này sử dụng bộ mã hóa AES (Advanced Encryption Standard) vận hành theo chế độ.

Ngồi ra chúng ta có thể sử dụng nhiều cơng cụ mã hóa ổ đĩa nhóm ba khác cho phép mã hóa tồn bộ ổ đĩa. Khi mã hóa tồn bộ ổ đĩa, người dùng sẽ khơng thể truy cập vào dữ liệu trong đó. Dữ liệu sẽ được mã hóa tự động khi được ghi vào ổ đĩa này, và sẽ tự động được giải mã trước khi được tải vào bộ nhớ. Một số cơng cụ có thể tạo những vùng lưu trữ vơ hình bên trong một phân vùng, sau đó hoạt động như ổ đĩa ẩn bên trong một ổ đĩa. Những người dùng khác chỉ có thể thấy dữ liệu trong ổ đĩa ngoài.

Những cơng cụ mã hóa ổ đĩa có thể được sử dụng để mã hóa ổ đĩa di động. Một số cho phép tạo một mật khẩu chủ cùng với những mật khẩu phụ với quyền thấp hơn để cấp cho những người dùng khác, như Whole Disk Encryption, Drive Crypt, …

-Nâng cấp hệ thống website

Việc đảm bảo an toàn dữ liệu của doanh nghiệp và thông tin về khách hàng luôn được đưa lên hàng đầu, chính vì vậy vấn đề nâng cấp website là giải pháp mà doanh nghiệp cần có biện pháp hiệu quả để tránh sự xâm nhập vào hệ thống với mục đích đánh cắp. Nâng cấp máy chủ tại cơng ty lên Windows server 2015 để phù hợp với các ứng dụng trong hệ thống mới, cấu hình cao hơn phù hợp với tình hình phát triển của cơng ty.

-Sử dụng chữ ký điện tử (Public Key Infrastructure)

Một chữ ký điện tử Public Key Infrastructure (PKI) là một hệ thống quản lý những cặp Private Key và Public Key, và các giấy phép số. Do các khóa và giấy phép được phát hành bởi một cơng cụ nhóm ba đáng tin cậy nên bảo mật nền tảng giấy phép mà hệ thống này cung cấp khá mạnh.

Chúng ta có thể bảo mật dữ liệu muốn chia sẻ với người khác bằng cách mã hóa dữ liệu này với một Public Key và người được chia sẻ. Tất cả người dùng trong mạng

sẽ thấy dữ liệu này, tuy nhiên duy nhất người dùng có Private Key tương ứng với Public Key mới có thể giải mã.

Cơng ty nên sử dụng dịch vụ chữ ký số của Tập đồn Viễn thơng Qn đội Viettel với mức giá 990,000 đồng/ năm bởi đây là nhà cung cấp khá uy tín tại việt nam với cơ sở vật chất mạnh và ổn định, và cũng là một trong 6 nhà cung cấp dịch vụ chứng thực chữ ký số được cho phép tại Việt Nam.

3.3.2.2 . Thực hiện Sao lưu và phục hồi dữ liệu kịp thời và thường xuyên

Mục đích của việc backup-restore dữ liệu này là để đưa hệ thống trở lại trạng thái trước khi gặp sự cố. Nguyên nhân của sự cố gây ảnh hưởng đến dữ liệu có thể thuộc một trong 2 dạng chính sau:

+ Nguyên nhân khách quan: Sự cố xảy ra ngồi ý muốn, con người khơng thể biết trước được, thường là các thảm họa (VD: thiên tai, cháy nổ…). Do đó cần cất giữ bản sao ở xa bản chính.

+ Nguyên nhân chủ quan: Sự cố xảy ra do những thao tác khơng chính xác của con người (ví dụ: lỗi phần cứng, lỗi phần mềm, thao tác nhầm…). Do đó cần cất giữ bản sao ở vị trí sao cho thuận lợi cho việc phục hồi dữ liệu, không nhất thiết phải lưu trữ ở nơi xa bản chính.

Hiện nay cơng ty cần thực hiện backup theo chu kỳ một tháng một lần, thời gian backup dữ liệu như vậy là khá lâu do vậy công ty nên backup dữ liệu thường xuyên hơn khoảng một tuần một lần để đảm bảo dữ liệu của công ty không bị thất lạc. Lượng dữ liệu sẽ bị mất nếu hệ thống bị đánh sập hồn tồn. Cơng ty có thể sử dụng tiện ích backup được tích hợp trong hệ điều hành Windows (ntbackup.exe) để thực hiện những tiến trình backup cơ bản, ngồi ra, có thể sử dụng Wizard Mode để đơn giản hóa tiến trình tạo và khơi phục các file backup, hay có thể cấu hình thủ cơng các cài đặt backup và lên lịch thực hiện tác vụ backup để tự động hóa tác vụ này.

Data backup là việc tạo ra các bản sao của dữ liệu gốc, cất giữ ở một nơi an toàn. Và lấy ra sử dụng (restore) khi hệ thống gặp sự cố. Sao lưu (backup) dữ liệu là cách tốt nhất hiện nay để bảo vệ dữ liệu của trên máy tính.

3.3.2.3 Bảo mật dữ liệu truyền qua mạng Wifi

Dữ liệu mà chúng ta gửi qua mạng Wifi dễ bị tác động hơn so với khi gửi qua mạng Internet. Tin tặc không cần phải truy cập vật lý tới mạng hay các thiết bị trên đó,

bất cứ người dùng nào sử dụng laptop đã được kích hoạt Wifi và một ăng ten thu phát sóng mạnh có thể đánh cắp dữ liệu hay đột nhập vào mạng và truy cập vào dữ liệu được lưu trữ trên mạng đó nếu điểm truy cập Wifi khơng được cấu hình bảo mật.

Chúng ta chỉ nên gửi và lưu trữ dữ liệu những mạng Wifi đã được mã hóa. Để mã hóa mạng Wifi, tốt nhất nên sử dụng Wifi Protected Access (WPS), mạnh hơn nhiều so với Wired Equivalent Protocol (WEP).

3.3.2.4 Sử dụng tường lửa cho phần mềm (Firewall)

Firewall mềm: Là những Firewall được cài đặt trên máy chủ (Server)

Đặc điểm của Firewall mềm

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng).

- Firewal mềm có thể kiểm tra được nội dung của gói tin (thơng qua các từ khóa). Tường lửa phần mềm và các tính năng bổ sung cần xem xét

Firewall có sẵn trong Windows

Từ Windows XP, Windows Vista cho đến phiên bản Windows 7 hiện nay, hãng Microsoft đã tích hợp sẵn một tường lửa cá nhân trong hệ điều hành của người dùng cá nhân. Điều khác biệt đầu tiên trong tường lửa của Windows 7 so với hai phiên bản Windows trước là ta có thể tắt hay mở tường lửa cho từng kiểu kết nối. Ví dụ như chúng ta chỉ tắt tường lửa với các kết nối trong gia đình hay ở nơi làm việc (Home or

work network location), mà vẫn giữ nguyên tường lửa khi kết nối ở nơi công cộng

(Public network location) như tại các quán Cafe Wifi… Trong các phiên bản trước, việc tắt mở tường lửa sẽ ảnh hưởng đến toàn bộ mọi kết nối trong máy tính.

Để tắt hay mở tường lửa, bạn chọn menu Start, gõ vào thanh tìm kiếm lệnh từ khóa “Firewall” rồi chọn ứng dụng Windows Firewall. Ở menu cạnh trái, bạn chọn mục Turn

Windows Firewall On or Off. Người dùng thường tắt tính năng tường lửa mặc định này

Hình 3.2: Cho phép người dùng bên ngoài truy cập vào dịch vụ bên trong tường lửa Windows

Mặc định, tường lửa trong Windows 7 có một danh sách các ứng dụng mà người dùng bên ngồi có thể tự do đi xun qua firewall để truy cập vào bên trong. Trong cửa sổ Windows Firewall như trên, bên cạnh trái, bạn chọn mục Allow a program or

feature through Windows Firewall. Trong cửa sổ danh sách các ứng dụng vừa hiện ra,

bạn có thể đánh dấu chọn ở cạnh trái của một ứng dụng hay tính năng bất kỳ để cho phép người dùng bên ngồi sử dụng nó mà khơng bị tường lửa ngăn cản. Thao tác bỏ dấu chọn sẽ loại ứng dụng đó khỏi tính năng này. Bạn cũng có thể quyết định chỉ mở tường lửa cho ứng dụng đã chọn với dạng kết nối mạng nào, Home/Work hay Public.

Nếu ứng dụng bạn định chia sẽ thông qua tường lửa, nhưng chúng khơng có sẵn trong danh sách mặc định này, bạn hãy bấm vào nút Allow another program. Sau đó bạn chọn chương trình được phép truy cập thơng qua tường lửa trong danh sách, hoặc nhấn nút Browse để lựa chọn tập tin trong thư mục trên đĩa cứng. Trong phần Network

Connection Types, bạn cũng chọn đánh dấu các mục Home/Work và Public tương tự

Hình 3.3: Chọn chương trình bạn muốn add

Khi bạn mua một tường lửa phần mềm bạn cũng có thể cần phần mềm có các tính năng bổ sung. Đây là một số tính năng cần cân nhắc khi bạn đi mua hàng. Lưu ý rằng một số tính năng liệt kê dưới đây có thể là phần mềm "khuyến mãi" được cung cấp cùng với tường lửa. Chúng không nhất thiết được gắn sẵn trong chính phần mềm.

Phần mềm diệt virut: Hiện nay virus có mặt ở khắp mọi nơi và việc có một phần mềm diệt virus có ý nghĩa quan trọng sống còn. Nhiều nhà sản xuất tường lửa còn cung cấp cả phần mềm diệt virus. Một số thậm chí cịn cung cấp nhiều gói đặc biệt (hoặc giảm giá) khi bạn mua cả hai.

Phầm mềm ngăn chặn cửa sổ bật lên (pop-up): Một phần phiền hà của Internet là số lượng các quảng cáo có vẻ như là vơ hạn. Có các quảng cáo banner (ảnh quảng cáo tĩnh/động trên các trang web), các quảng cáo pop-up và cả các quảng cáo pop-under (cửa sổ bật xuống). Một phần mềm ngăn chặn quảng cáo tốt có thể giảm đáng kể số pop-up khơng mong muốn.

Chương trình chống gián điệp: Bạn có thể chưa nghe nói về nó trước đây, nhưng phần mềm gián điệp là phần mềm bắt đầu phát sinh nguy hiểm trên Internet. Một chương trình gián điệp tự nhúng vào máy tính của bạn và gửi thơng tin cá nhân trở lại nơi nó xuất phát. Nó có thể chỉ đơn giản là những trang web mà bạn ghé thăm, hoặc

xảo quyệt hơn như là các bản ghi về giao dịch ngân hàng của bạn. Một gói phần mềm chống gián điệp tốt sẽ chẩn đốn và gỡ bỏ phần mềm gián điệp từ máy tính của bạn.

3.3.2.5 Bảo mật bằng phần mềm mới

 Phần mềm bảo mật

Cần lựa chọn, triển khai phần mềm bảo mật với các tính năng chống virus, mã độc, thư rác trên các máy chủ, các thiết bị di động trong mạng để phát hiện, loại trừ những đoạn mã độc hại (Virus, trojan, worms,...) và hỗ trợ người sử dụng cài đặt các phần mềm này trên máy trạm. Thường xuyên cập nhật các phiên bản (Version) mới, các bản vá lỗi của các phần mềm chống virus để bảo đảm chương trình quét virus của công ty trên máy chủ và các máy trạm luôn được cập nhật mới nhất, thiết lập chế độ quét thường xuyên ít nhất là hằng tuần.

Hiện nay, trên thị trường công nghệ Việt Nam thì phần mềm bảo mật của Kaspersky đang được sử dụng phổ biến cho các doanh nghiệp. Với Kaspersky, Công ty TNHH máy và thiết bị công nghiệp Việt Nam có thể sử dụng trọn bộ sản phẩm

Kaspersky® Small Office Security(5PC +1Fileserver) cho Server và các máy lưu trữ dữ liệu chính ở mỗi phịng ban. Các máy cịn lại nên sử dụng Kaspersky Anti-Virus.

Kaspersky® Small Office Security có một số tính năng đặc biệt như: - Bảo vệ thời gian thực khỏi các mối đe dọa từ Internet

Với cơ sở dữ liệu phần mềm độc hại mạnh mẽ của Kaspersky Lab, được cập nhật thường xuyên và khả năng bảo vệ thời gian thực, điều này có giá trị rất lớn trong việc bảo vệ an toàn dữ liệu cho doanh nghiệp ngay cả khi xuất hiện các mối đe dọa mới nhất. Có thể ẩn các q trình qt để khơng làm phiền nhân viên trong q trình làm việc, giúp họ tập trung vào công việc và đạt hiệu quả tốt nhất.

- Quản lý bảo mật tập trung cho máy chủ và máy trạm của bạn

Giao diện mạnh mẽ nhưng đơn giản của Kaspersky Small Office Security giúp bảo vệ hệ thống mạng doanh nghiệp một cách đơn giản. Có thể quản lý và thiết lập bảo vệ tồn bộ hệ thống từ một máy tính, cho phép thực hiện quét virus và sao lưu, hoặc kiểm tra gia hạn bản quyền khi cần.

- Kiểm soát truy cập web và các ứng dụng

Kaspersky Small Office Security giúp duy trì hiệu suất làm việc của nhân viên. Cơng ty có thể kiểm sốt những người sử dụng mạng xã hội hoặc các trang web chơi

game trong giờ làm việc, hạn chế tải tập tin, quản lý Internet và truy cập ứng dụng của nhân viên. Báo cáo chi tiết việc sử dụng mạng máy tính nhanh chóng và dễ dàng.

- Bảo vệ thời gian thực cho các hoạt động kinh doanh

Kaspersky Small Office Security là một giải pháp bảo vệ đủ mạnh để đáp ứng nhu cầu bảo mật cho hoạt động kinh doanh của công ty. Có thể chọn khi nào và bao lâu thì cơng ty nên sao chép dự phịng các dữ liệu kinh doanh có giá trị, các thơng tin nhạy cảm được lưu trữ và chuyển giao an toàn trong các tập tin mã hóa, mật khẩu bảo vệ, chạy tiện ích quản lý các mật khẩu được tạo ra. Và sử dụng các công nghệ tiên tiến để các dữ liệu nhạy cảm không thể phục hồi lại khi được xóa.

- Khơng yều cầu phải có chun mơn về IT

Kaspersky Small Office Security đã được thiết kế đặc biệt để cung cấp tính năng bảo vệ hàng đầu thế giới cho mạng doanh nghiệp mà khơng cần đến một chun viên IT. Vì vậy hệ thống mạng của cơng ty vẫn sẽ được bảo vệ mà không cần phải tốn thời gian.

Kaspersky Anti-Virus cung cấp sự bảo vệ tự động trong thời gian thực giúp