2.1 .Tổng quan về công ty TNHH AI Việt Nam
3.2. Giải pháp nâng cao an tồn bảo mật cho hệ thống thơng tin công ty TNHH
3.2.1. Giải pháp phần cứng
3.2.1.1. Giải pháp đối với các trang thiết bị - Thiết bị lưu trữ
Một trong những cách phổ biến nhất dùng để mang các thông tin dữ liệu ra khỏi tổ chức là copy vào các thiết bị lưu trữ ngồi. Các ổ USB, thẻ nhớ ngày nay có giá thành rất rẻ và cũng rất dễ che dấu, dung lượng lưu trữ ngày càng cao. Ngoài ra dữ liệu cũng có thể được copy từ file dữ liệu sang các thiết bị iPod hoặc MP3 player, hoặc vào các đĩa CD, DVD bằng cách sử dụng ổ ghi. Để tránh tình trạng mất dữ liệu này, Cơng ty TNHH AI Việt Nam cần hạn chế sự cài đặt các thiết bị USB bằng cách gỡ bỏ tất cả các cổng vật lý. Ngồi biện pháp vật lý nói trên, cơng ty có thể sử dụng các phần mềm để vơ hiệu hóa việc sử dụng các thiết bị ngồi trên các máy tính cá nhân hoặc trong toàn bộ mạng bằng cách sử dụng Group Policy. Đây là thiết bị cho phép ngăn chặn người dùng cài đặt các thiết bị trong danh sách ngăn cấm. Chỉ cho phép người dùng cài đặt các thiết bị trong danh sách cho phép. Ngoài ra, thiết bị này còn từ chối việc đọc và ghi của người dùng vào các thiết bị có thể tháo rời, hoặc sử dụng các thiết bị dễ cầm tay như ổ ghi CD, DCD, ổ đĩa mềm, ổ cứng mở rộng và các thiết bị cầm tay khác như điện thoại thông minh hoặc Pocket PC. Phần mềm này giúp giảm rủi ro về việc mất trộm dữ liệu và giúp giảm chi phí hỗ trợ cho cơng ty.
- Thiết bị bảo mật
Hầu hết các doanh nghiệp Việt Nam mà đặc biệt là các doanh nghiệp có quy mơ vừa và nhỏ, đều chưa chú trọng tới bảo mật thơng tin. Do đó mạng kết nối Internet trong doanh nghiệp được thả nổi và các nhân viên được tự do truy cập Internet mà khơng bị kiểm sốt. Bên cạnh các rủi ro về thất thốt thơng tin, thì Internet cịn lấy đi rất nhiều tiền bạc của doanh nghiệp do trong giờ làm việc các nhân viên lại chú tâm vào đọc báo điện tử, chơi game, download, sử dụng mạng xã hơi,…thay vì làm việc. Bên cạnh đó Internet thường xun gây ra tình trạng ngưng trệ cơng việc do máy tính bị nhiễm virus, phần mềm độc hại…
Để tránh tình trạng này, Cơng ty TNHH AI Việt Nam nên triển khai các thiết bị bảo mật. Ví dụ như: Cisco RV016 của Cisco với cá tính năng nổi bật cho phép người dùng kiểm tra trạng thái gói tin, lọc URL, lọc nội dung, lọc web.
Hình 3.1: Cisco RV016 Multi-WAN VPN Router
3.2.1.2. Giải pháp đối với mạng và máy chủ
Để đảm bảo sự phát triển thì hệ thống thơng tin phải luôn đáp ứng ở trạng thái sẵn sàng cung cấp thơng tin, có thể truy cập được 24/24. Người quản trị mạng không thể thức cùng bạn để bật máy khi bạn cần mà chỉ có hệ thống CNTT vận hành liên tục tự động. Vì vậy, máy chủ là một phần khơng thể thiếu trong HTTT của doanh nghiệp. Máy chủ tại công ty TNHH AI Việt Nam được đưa vào sử dụng từ 2003. Tuy nhiên với sự phát triển công nghệ thông tin như hiện nay, công ty cần phải nâng cấp hệ thống máy chủ để đảm bảo an tồn bảo mật HTTT tại cơng ty.
Lưu ý, trước khi thực hiện nâng cấp máy chủ người quản trị cần phải backup toàn bộ dữ liệu quan trọng và cần thiết trên máy chủ: Người quản trị nên sao lưu các dữ liệu trước khi tiến hành nâng cấp tránh mất mát thông tin quan trọng của công ty. Kiểm tra bản ghi kỹ lưỡng sau khi thực hiện thay đổi: Khi nâng cấp máy chủ, không bao giờ được thừa nhận tất cả mọi thứ đều hoạt động tốt chỉ vì máy chủ hoạt động trở lại và không hiển thị lỗi. Kiểm tra các file bản ghi, các báo cáo lỗi, hoạt động backup và các sự kiện quan trọng khác một cách tỉ mỉ hơn bao giờ hết.
Thực hiện sao lưu và phục hồi dữ liệu thường xuyên
Mục đích của việc backup-restore dữ liệu này là để đưa hệ thống trở lại trạng thái trước khi gặp sự cố. Nguyên nhân của sự cố gây ảnh hưởng đến dữ liệu gồm nguyên nhân khách quan hoặc chủ quan.
Hiện nay công ty cần thực hiện backup theo chu kỳ một tháng một lần, thời gian backup dữ liệu như vậy là khá lâu do vậy công ty cần backup dữ liệu thường xuyên hơn khoảng một tuần một lần để đảm bảo dữ liệu của công ty không bị thất lạc. Lượng dữ liệu sẽ bị mất nếu hệ thống bị đánh sập hồn tồn. Cơng ty sử dụng tiện ích backup được tích hợp trong hệ điều hành Windows (ntbackup.exe) để thực hiện những tiến trình backup cơ bản, ngồi ra, có thể sử dụng Wizard Mode để đơn giản hóa tiến
trình tạo và khơi phục các file backup, hay có thể cấu hình thủ cơng các cài đặt backup và lên lịch thực hiện tác vụ backup để tự động hóa tác vụ này.
Data backup là việc tạo ra các bản sao của dữ liệu gốc, cất giữ ở một nơi an toàn. Và lấy ra sử dụng (restore) khi hệ thống gặp sự cố. Sao lưu (backup) dữ liệu là cách tốt nhất hiện nay để bảo vệ dữ liệu của trên máy tính.
-Hệ thống phân quyền truy cập
Hệ thống của cơng ty chia quyền truy cập thành 3 phân loại: quyền truy cập trên phân hệ (module), quyền truy cập nâng cao và quyền truy cập vào phần thiết lập cấu hình. Với quyền truy cập phân hệ, người dùng có các quyền cơ bản sau: chỉ đọc, thêm mới, sửa và xóa thơng tin. Quyền nâng cao cho phép người dùng trộn lắp dữ liệu với các dữ liệu trùng lặp, xem dữ liệu sở hữu. Quyền truy cập cấu hình cho phép thiết lập, thay đổi cấu hình quản lý truy cập và phân quyền người dùng.
Tùy vào chức vụ mà mỗi nhân viên được phân quyền truy cập khác nhau, hầu hết các nhân viên trong một phịng đều có quyền giống nhau để truy cập đến dữ liệu liên quan đến công việc mà mình đảm nhận. Cụ thể:
Đối với phịng ban: Khi tạo một phòng ban mới, bạn phải chỉ định quyền truy cập cho tất cả nhân viên thuộc phòng ban này. Mặc định, các quyền truy cập được thừa kế từ phòng ban cha. Bạn cần thay đổi cho phù hợp với nhu cầu an tồn thơng tin doanh nghiệp.
Đối với người dùng: Khi thêm một người dùng mới vào một phòng ban, mặc định người dùng này sẽ có các quyền truy cập của phòng ban. Tuy nhiên, nếu bạn muốn chỉ định một người dùng cụ thể nào đó vượt quyền truy cập của phòng ban hay hạn chế bớt quyền truy cập, bạn vẫn có thể thay đổi được.
- Giao thức bảo mật đường truyền
Giao thức WEP - Wired Equivalent Privacy
Giao thức WEP có chức năng đảm bảo tính bảo mật cho mạng khơng dây đạt mức độ như mạng nối cáp truyền thống. WEP cung cấp bảo mật cho dữ liệu trên mạng không dây qua phương thức mã hóa sử dụng thuật tốn đối xứng RC4. Thuật tốn RC4 cho phép chiều dài khóa thay đổi và có thể lên đến 256bit. Hiện nay, đa số các thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40bit, 64bit và 128 bit.
Đối với Cơng ty TNHH AI Việt Nam, hệ thống thơng tin chưa q phức tạp thì cơng ty sử dụng WEP có độ dài khóa từ 64bit trở lên để đảm bảo an tồn bảo mật cho thông tin của công ty.
Do WEP sử dụng RC4, một thuật toán sử dụng phương thức mã hóa dịng, nên cần một cơ chế đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả giống nhau sau khi được mã hóa hai lần khác nhau. Đây là một yếu tố quan trọng trong vấn đề mã hóa dữ liệu nhằm hạn chế khả năng suy đốn khóa của Hacker.
Khi cài đặt, sử dụng RC4 cùng giá trị Initialization Vector (IV) công ty cần lưu ý các vấn đề sau: cùng IV gây nên vấn đề va chạm, dễ dàng phát hiện IV và bẻ khóa WEP, tấn cơng thụ động phát triển càng gây khó khăn cho người bảo mật dữ liệu. Vì vậy, khi sử dụng WEP các nhân viên của các phòng cần sử dụng kết hợp WEP và các giải pháp khác, gia tăng mức độ bảo mật cho WEP như việc sử dụng khóa WEP có độ dài từ 64bit trở lên sẽ gia tăng số lượng gói dữ liệu Hacker cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP
Giao thức IPsec
IPsec được sử dụng nhằm cung cấp sự bảo mật về dữ liệu trên đường truyền mạng lưới (LAN, INTERNET…). Người quản trị sẽ cấu hình IPsec bằng cách thiết lập các luật giao tiếp giữa các máy. Các luật này được gọi là IPsec Policy. Chúng xác định loại giao thức nào sẽ được mã hóa, loại nào sẽ được kí số (digital sign), và loại nào sẽ dung cả hai phương pháp trên.
Giai đoạn 1: thiết lập giao tiếp giữa 2 máy chủ của công ty
Giai đoạn 2: thiết lập giao tiếp giữa máy chủ và các máy trạm, và giữa các máy trạm với nhau.
IPSEC cung cấp các khả năng bảo mật sau:
- Chứng thực lẫn nhau trước và cả trong khi hai hệ thống giao tiếp với nhau. - Bảo đảm tính bí mật cho các gói (packet): IPsec bao gồm hai loại gói chính là Encapsulating Security Payload (ESP): mã hóa, chứng thực (kí số) và Authentication Header (AH): chỉ chứng thực (kí số) mà khơng mã hóa.
- Bảo tồn việc truy cập:
Khi một gói được gửi đến, hệ thống sẽ kiểm tra các các ký số, nếu ký số khơng trùng, q trình chứng thực khơng thành cơng. Hệ thống sẽ tự động xóa bỏ packet đó ngay tại tầng IP. ESP sẽ mã hóa các địa chỉ nguồn và địa chỉ đích và đặt trong phần payload của gói.
- Ngăn chặn kiểu tấn cơng dùng lại: (Replay attack)
Cả ESP và AH đều sử dụng các chuỗi số thay đổi. Giả sử có một attacker bắt được gói IPsec, giả dạng gói đó để tìm cách thâm nhập vào hệ thống. Khi đó, chuỗi số mà attacker dùng sẽ khơng được hệ thống chấp nhận.
Giao thức SSL
SSL (Secure Sockets Layer) là một giao thức (protocol) cho phép truyền đạt thông tin một cách bảo mật và an toàn qua mạng. SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên tồn thế giới, nó bảo vệ dữ liệu truyền đi trên mơi trường internet được an tồn, là tiêu chuẩn của công nghệ bảo mật, truyền thông mã hố giữa máy chủ Web server và trình duyệt (browser). Tiêu chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư và toàn vẹn.
Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà khơng có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền. Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm sốt nào đối với đường đi của dữ liệu hay có thể kiểm sốt được liệu có ai đó thâm nhập vào thơng tin trên đường truyền. Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an tồn:
Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng.
Mã hố: đảm bảo thơng tin khơng thể bị truy cập bởi đối tượng thứ ba. Để loại trừ việc nghe trộm những thơng tin “nhạy cảm” khi nó được truyền qua Internet, dữ liệu phải được mã hố để khơng thể bị đọc được bởi những người khác ngoài người gửi và người nhận.
Toàn vẹn dữ liệu: đảm bảo thơng tin khơng bị sai lệch và nó phải thể hiện chính xác thơng tin gốc gửi đến.
Với việc sử dụng SSL, các Website có thể cung cấp khả năng bảo mật thơng tin, xác thực và tồn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các browser và Web server, cho phép người sử dụng làm việc với các trang Web ở chế độ an toàn. Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa sẽ xuất hiện trên thanh trạng thái của cửa sổ browser.
Ngày nay giao thức Secure Socket Layer (SSL) đã được sử dụng rộng rãi trên World Wide Web trong việc xác thực và mã hố thơng tin giữa client và server. Tổ chức IETF (Internet Engineering Task Force ) đã chuẩn hoá SSL và đặt lại tên là TLS (Transport Layer Security). Mặc dù là có sự thay đổi về tên nhưng TSL chỉ là một phiên bản mới của SSL. Phiên bản TSL 1.0 tương đương với phiên bản SSL 3.1. Tuy nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn.
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP (Hyper Text Transport Protocol), IMAP (Internet Messaging Access Protocol) và FTP (File Transport Protocol). Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch an tồn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL được sử dụng chính cho các giao dịch trên Web.
SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối. Lúc này, phía browser sử dụng các kỹ thuật mã hố công khai để chắc chắn rằng certificate và public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của client. Điều này rất quan trọng đối với người dùng. Ví dụ như khi gửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệu server sẽ nhận thơng tin này có đúng là server mà họ định gửi đến khơng.
Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối. Phía server cũng sử dụng các kỹ thuật mã hố cơng khai để kiểm tra xem certificate và public ID của server có giá trị hay khơng và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng đối với các nhà cung cấp. Ví dụ như khi cơng ty định gửi các thơng tin tài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra định danh của người nhận.
Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư. Ngồi ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hố cịn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu (đó là các thuật tốn băm – hash algorithm).
Giao thức SSL bao gồm 2 giao thức con: Giao thức SSL record và giao thức SSL handshake. Giao thức SSL record xác định các định dạng dùng để truyền dữ liệu. Giao thức SSL handshake (gọi là giao thức bắt tay) sẽ sử dụng SSL record protocol để trao đổi một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL.
Khi một client và server trao đổi thông tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hoá mạnh nhất có thể và sử dụng chúng trong phiên giao dịch SSL.
- Xác thực người dùng
Phương thức bảo mật được công ty dùng để xác thực ứng dụng vào hệ thống mạng cho phép nhận dạng người dùng muốn truy xuất các ứng dụng dịch vụ mạng và làm nhiệm vụ cho phép, hạn chế truy cập. Mỗi nhân viên khi vào cơng ty sẽ có tài khoản ID và password để khai báo cho các máy chủ bảo mật khi có nhu cầu truy xuất tài nguyên hệ thống, các login ID và password này sau đó sẽ được kiểm tra bởi máy chủ.
Cấp quyền truy cập (Authorization): Kết hợp với phương thức bảo mật dùng xác thực, phương pháp cấp quyền truy cập có thể định nghĩa và quản lý người dùng