Phòng chống bằng phần mềm

Một phần của tài liệu (Luận văn đại học thương mại) một số giải pháp an toàn bảo mật CSDL trong HTTT của công ty cổ phần truyền thông vccorp (Trang 38)

2.1 .3Tình hình hoạt động trong 3 năm gần đây

3.1.2Phòng chống bằng phần mềm

3.1 Đề xuất các giải pháp

3.1.2Phòng chống bằng phần mềm

a. Biện pháp bảo vệ Khi hệ thống bị xâm nhập trái phép

Qua khảo sát tại công ty, hệ thống hiện tại chưa có hệ thống ngăn chặn xâm nhập trái phép. Đề xuất sử dụng hệ thống ngăn chặn xâm nhập McAfee IntruShield

Lý do lựa chọn McAfee IntruShield: đây là giải pháp bảo vệ toàn diện cho phép phịng chống tấn cơng trên mạng, bảo vệ hệ thống máy tính khỏi các cuộc tấn công phức hợp hay các tấn công thế hệ mới, các dạng tấn công này được khai thác trên nhiều mức độ của hạ tầng mạng bảo mật theo chiều sâu, từ vùng mạng core đến vành đai, bảo mật tồn vẹn cho hệ thống máy chủ, máy trạm, thơng qua hai giải pháp: bảo mật cho hệ thống máy chủ và máy trạm và đảm bảo khả năng bảo vệ và tốc độ của hệ thống mạng. Chiến lược bảo mật theo chiều sâu, có thể quản trị mọi thành phần về bảo mật, tốc độ và tính sẵn sàng của hệ thống mạng từ “network core”, đến hệ thống bảo vệ vành đai và đến việc bảo mật toàn diện cho máy trạm. Đây là một chiến lược được xây dựng tốt cho cả hai thành phần cơ bản về phần cứng và phần mềm của hệ thống máy tính.

Những điểm nổi bật của giải pháp

Giảm thiểu rủi ro cho hệ thống theo phương pháp chủ động - Thiết bị phát hiện và ngăn chặn xâm nhập trái phép McAfee IntruShield đảm bảo tính sẵn sàng và bảo mật của của các thành phần quan trọng của cơ sở hạ tầng mạng thông qua các biện pháp chủ động phát hiện và ngăn chặn xâm nhập trái phép cho phép phát hiện và ngăn chặn các hình thức tấn cơng trước khi chúng tác động đến hệ thống

Bảo vệ hệ thống trước các nguy cơ tấn công ngày càng đa dạng - thiết bị IntruShield IDS/IPS phát hiện và ngăn chặn hầu hết các hình hình thức tấn cơng liên tục thay đổi ngày nay như: các hình thức tấn cơng đã biết, chưa biết, các hình thức khai thác các lỗ hổng chưa có miếng vá từ nhà cung cấp (zero-day threats), tấn công từ chối dịch vụ...

Tính chính xác cao, mức độ cảnh báo giả thấp - Với sự kết hợp cả 3 công nghệ nhận dạng tiên tiến là: Signature detection, anomaly detection và DDoS detection, IntruShield cải thiện đáng kể tính chính xác của thiết bị IDS và giảm thiểu các cảnh báo giả của hệ thống

Dễ mở rộng theo qui mơ của tổ chức - Có thể triển khai hệ thống để bảo vệ từ hệ thống mạng trung tâm đến các văn phòng chi nhánh với năng lực xử lý thay đổi từ vài trăm Mbps đến vài Gbps

Chi phí sở hữu thấp - IntruShield IDS/IPS giảm chi phí sở hữu nhờ giảm chi phí triển khai và nhân sự quản trị hệ thống

b. Khi dữ liệu mất an tồn trong q trình truyền tin

Đề xuất Cơng ty nên sử dụng hệ thống mã hóa bất đối xứng với thuật tốn Diffie-Hellman.

Mã hóa là một cách tuyệt vời để giữ cho dữ liệu an toàn, cho dù nhà quản trị truyền nó qua Internet, sao lưu lên máy chủ hoặc mang qua an ninh sân bay trên máy tính xách tay của mình. Tuy nhiên, từ khảo sát phiếu điều tra, công ty chưa hề thực hiện các giải pháp mã hóa thơng tin, nguy cơ mất dữ liệu trong q trình truyền tin là rất cao. Việc mã hóa khơng cho phép bất cứ ai (trừ nhà quản trị và người sẽ nhận nó) đọc được dữ liệu của cơng ty.

Các dữ liệu cần được mã hóa:

Mã hóa tồn bộ ổ cứng : Có thể tồn bộ nhân viên đã có mật khẩu đăng nhập Windows trên máy tính của mình, nhưng mật khẩu đó sẽ khơng thực sự bảo vệ dữ liệu nếu ai đó đánh cắp máy tính hoặc ổ cứng của họ. Tên trộm chỉ cần cắm ổ đĩa của bạn vào máy tính khác và truy cập dữ liệu trực tiếp. Nếu có thơng tin nhạy cảm, cần thực hiện mã hóa đĩa cứng để bảo vệ dữ liệu ngay cả khi máy tính rơi vào tay kẻ xấu.

Mã hóa ổ cứng lắp ngồi, ổ USB, mã hóa lưu lượng truy cập Internet

Đơi khi nhà quản trị muốn mã hóa lưu lượng Internet đi/đến của mình. Nếu nhà quản trị đang ở trên một mạng Wi-Fi không an tồn (ví dụ, tại sân bay), tin tặc có thể

chặn dữ liệu chứa thông tin nhạy cảm được truyền đến/đi từ máy tính xách tay của bạn. Để làm những dữ liệu đó trở nên vơ dụng đối với tin tặc, nhà quản trị có thể mã hóa dữ liệu bằng cách sử dụng mạng riêng ảo (VPN).

Mã hóa thư Gmail: Khi sử dụng Gmail, bảo mật email hơi khác một chút do thư được lưu trữ trên máy chủ của Google chứ không phải trên máy tính của bạn. Khi nhà quản trị soạn hoặc xem các email, chúng truyền qua kết nối HTTPS (Hypertext Transfer Protocol Secure) đã mã hóa, vì vậy nhà quản trị khơng phải lo lắng về việc bị chặn. Nguy cơ bảo mật chính với Gmail là người khác sẽ truy cập được vào tài khoản của nhà quản trị. Có thể giảm thiểu nguy cơ này thơng qua việc đặt mật khẩu

Mã hóa tài liệu Word, Excel và PowerPoint: Trong Office 2010 và 2013, nhà quản trị có thể mã hóa bất kỳ tài liệu Word, Excel hoặc PowerPoint nào theo cùng một cách: Nhấp File, chọn tab Info và sau đó nhấp vào nút Protect Document. Cuối cùng, bấm vào Encrypt with Password và chọn một mật khẩu mạnh cho tập tin của chúng ta. Bất cứ ai muốn truy cập tập tin này sẽ cần mật khẩu. Hãy lưu ý, sẽ khơng an tồn nếu gửi mật khẩu thông qua cùng kênh mà nhà quản trị sử dụng để gửi tập tin.

c. Kiểm soát truy cập bằng phần mềm Firewall cho công ty cổ phần truyền thông Vccorp

Đề xuất một giải pháp Firewall cho phù hợp với mạng máy tính của cơng ty cổ phần truyền thơng Vccorp

Một trong những công cụ hiệu quả nhất và cũng thơng dụng nhất là sử dụng Firewall nhằm kiểm sốt sự truy cập từ bên ngoài vào mạng nội bộ và các giao dịch ra/vào mạng. Tuy nhiên, đầu tư cho một Firewall khá tốn kém, nhất là đối với các công ty vừa. Trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an tồn là hợp lý nhất. Thiết bị bảo mật 'Tất cả trong một' này phải đáp ứng yêu cầu về bảo mật - an toàn dữ liệu của công ty một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp.

Sau đây là một số giải pháp phần mềm thông dụng hiện nay đang được nhiều các công ty ở tại Việt Nam cũng như trên thế giới sử dụng rộng rãi. Các phần mềm này đáp ứng rất tốt các điều kiện của doanh nghiệp, do tính chất của các phần mềm này các yêu cầu về cấu hình cho hệ thống mạng khơng phải là q cao cho nên rất phù hợp với mạng máy tính của các cơng ty vừa và nhỏ.

A. ISA Server Enterprise 2000, ISA Server Enterprise 2006 Đây là một phần mềm có các chức năng chính là :

- Bảo vệ mạng chống các cuộc tấn công từ Internet.

- Cho phép các Client bên trong mạng nội bộ truy cập các dịch vụ ngồi Internet, có kiểm sốt.

B. Sonic wall PRO 2040

Firewall dành cho doanh nghiệp loại vừa này có thể đáp ứng mọi yêu cầu, dễ dàng nhận ra ngay điều này khi lấy thiết bị ra khỏi hộp, có thể đặt nó trên bàn, trên kệ tủ, hoặc lắp vào rack 1U đều được cả. Sonic WALL Pro 2040 kết hợp hệ điều hành mở rộng Sonic OS thế hệ mới của Sonic WALL và một kiến trúc phần cứng có khả năng chịu tải tốt, miễn là cấu hình đúng, tất nhiên là khơng đơn giản.

Khi sử dụng, người dùng phải cài đặt OS mở rộng của Sonic WALL mới khai thác được nhiều tính năng cao cấp như kết nối đến nhiều ISP để dự phòng, cân bằng tải với các Pro 2040 khác, thiết lập NAT dựa theo chính sách và kết nối WAN dự phịng. Mặc dù có thể vận hành Pro 2040 mà không cần hệ điều hành Sonic OS Enhanced, nhưng phải cài hệ điều hành này thì mới có thể kích hoạt cổng giao tiếp thứ tư của thiết bị. Cổng này có chức năng của một cổng WAN, LAN, hay DMZ, hoặc nối sang một thiết bị Pro 2040 khác để dự phịng. Sonic Wall khơng hề thua kém các đối thủ, nó cũng tích hợp chức năng phịng chống virus và lọc nội dung. Pro 2040 hồn tồn làm vừa lịng, chẳng hạn, nó được trang bị một bộ xử lý chỉ làm mỗi nhiệm vụ mã hóa cho nên hiệu suất chẳng có gì khác biệt khi dùng chế độ mã hóa AES-256 hay 3DES. Hàng loạt cuộc tấn công giả lập cũng như ngăn chặn virus khi thử đều bị ngăn cản bởi Firewall này.

C. Zone Alarm

Đây là một phần mềm miễn phí cho người sử dụng, mặc dù vậy nhưng những tính năng của nó cũng khơng kém gì những phần mềm lớn có bản quyền. Sau đây là một số tính năng của nó:

- Overview: Cho phép nắm được các dữ liệu thống kê về hoạt động của Zone Alarm. Bấm vào tab Preferences để thay đổi các thiết lập chi tiết.

- Firewall: Các thiết lập chung, ảnh hưởng tới tồn bộ hoạt động cửa chương trình được đặt tại đây. Để đơn giản hoá, Zone Alarm sử dụng khái niệm Zone (vùng). Internet Zone bao gồm các máy tính và các site trên mạng Internet mà chưa đặt thiết lập bảo vệ.

- Program Control: Program Control cho phép xác định những chương trình nào phải hỏi ý kiến Firewall trước khi truy nhập Internet (Zone Alarm sử dụng những thông tin này khi tạo các cửa sổ cảnh báo). Nếu gặp những vấn đề với các chương trình gián điệp và chương trình quảng cáo, ở một số thời điểm nào đó có thể đặt thiết lập cho mục này ở mức High. Ngoài ra, mức Medium là phù hợp với hầu hết những người sử dụng. Mục Automatic Lock trong Program Contrel cho phép đặt cách ly hoàn tồn với mạng Internet, chặn tất cả các thơng điệp đi từ máy tính ra mạng Internet và ngược lại. Nếu sử dụng Internet băng rộng và bật máy tính suốt ngày, nên chọn Automatic Lock bất cứ lúc nào không làm việc với máy tính nữa. Có thể bật Automatic Lock bằng cách ấn vào biểu tượng ổ khoá bên trên cửa sổ Zone Alarm.

D. Comodo Firewall 7.0.315459.4132

Comodo Firewall là phần mềm tuyệt vời cung cấp một loạt tính năng bảo mật mà tường lửa của Windows khơng có. Nó sẽ giúp người dùng theo dõi mọi kết nối vào và ra tốt hơn, cũng như chặn các cuộc tấn cơng nguy hiểm. Vì vậy, giữ cho dữ liệu của người ln được an tồn và khơng bị ảnh hưởng. Phần mềm này có thể thay đổi máy chủ DNS của bạn sang máy chủ Comodo SecureDNS và kích hoạt “Cloud Based Behavior Analysis” của các chương trình khơng được nhận dạng từ lúc bắt đầu cài đặt.

Nhờ Comodo Firewall, người dùng có thể hiển thị các sự kiện trong hệ thống và nhận được thông báo tức thì ngay khi phát hiện một mối de dọa độc hại đang xâm nhập vào máy tính. Nó sẽ cho phép người dùng thiết lập các quy tắc và đánh dấu những ứng dụng nào là tin cậy và không đáng tin, do đó ngăn chặn chúng khơng truy cập vào hệ thống của bạn và tiêu thụ tài ngun của nó. Các tính năng khác bao gồm giám sát những ứng dụng đang chạy, thiết lập mức độ bảo mật, tần số cảnh báo và nhiều tùy chọn firewall khác.

Một số tính năng chính:

- Đảm bảo chỉ những ứng dụng đáng tin cậy mới được phép khởi chạy trong PC. - Ngăn chặn virus và phần mềm độc hại trước khi chúng truy cập máy tính. - Tích hợp Sandbox - một mơi trường hoạt động ảo dành cho những chương trình khơng đáng tin - nhờ đó đảm bảo rằng virus và các phần mềm độc hại khác hoàn toàn được cơ lập khỏi máy tính.

- Firewall sẽ ghi nhớ phần mềm nào được phép hoạt động và thay đổi các cảnh báo của nó cho phù hợp.

- Hệ thống phân tích hành vi dựa trên đám mây sẽ phát hiện các loại phần mềm độc hại Zero-day ngay lập tức.

- Ngăn chặn các hoạt động mà có thể gây trở ngại đến q trình chơi game của bạn như: cảnh báo, cập nhật cơ sở dữ liệu virus hoặc các quá trình quét được lên lịch trình.

- Cung cấp cho người dùng khả năng lockdown máy tính, vì vậy chỉ những ứng dụng đáng tin mới có thể khởi chạy.

- Ln tự động cập nhật chế độ bảo vệ mới nhất. - Cung cấp hệ thống cảnh báo chính xác và cụ thể.

- Cho phép tường lửa quét ngay khi cài đặt và thêm tất cả ứng dụng hiện tại vào danh sách an toàn.

- Dễ dàng truy cập vào ảnh chụp của các thiết lập bảo mật hiện tại. - Giao diện thân thiện với người dùng và nhỏ gọn.

Yêu cầu hệ thống:

- Dung lượng bộ nhớ RAM: 152 MB - Dung lượng ổ cứng có sẵn: 400 MB

3.1.3. Phịng chống từ con người

Theo điều tra khảo sát và thông tin từ phiếu điều tra, chất lượng nguồn nhân lực CNTT trong công ty chưa cao, kiến thức về an toàn và bảo mật lâu ngày chưa được cập nhật. Như vậy, cơng ty nên có khóa đào tạo nhân viên chuyên sâu, cập nhật các kiến thức mới về an toàn và bảo mật, đồng thời mời các chuyên viên về an ninh thông tin đến giảng dạy và thuyết trình trực tiếp cho tồn bộ nhân viên phịng kỹ thuật trong Cơng ty.

Mặt khác, Cơng ty cần có các chính sách, quy định cụ thể đối với nhân viên về vấn đề liên quan đến ATDL trong Công ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật dữ liệu trong cơng ty( phịng tránh trường hợp hệ thống bị tấn cơng bởi chính nhân viên trong cơng ty). Tất cả dữ liệu tài chính, khách hàng, đối tác hay dữ liệu nội bộ của cơng ty đều phải đảm bảo bí mật và tất cả nhân viên có liên quan đều phải ký thỏa thuận này. Giáo dục đạo đức cho nhân viên. Đưa ra cơ chế an toàn liên quan đến việc tuyển, sử dụng nhân viên và sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán bộ, nhân viên.

3.2 Kiến nghị về việc thiết lập một Firewall cho công ty cổ phần truyềnthông Vccorp thông Vccorp

3.2.1 Lựa chọn giải pháp Firewall phần cứng hoặc Firewall phần mềmđể xây dựng một Firewall cho công ty cổ phần truyền thôngVccorp để xây dựng một Firewall cho công ty cổ phần truyền thôngVccorp

Lựa chọn các giải pháp Firewall phần cứng hoặc Firewall phần mềm để xây dưng một Firewall cho công ty. Việc thiết lập Firewall dựa vào các yếu tố sau:

* Trước hết cần xác định tài nguyên cần bảo vệ. Ví dụ như: - Máy trạm.

- Máy chủ.

- Các thiết bị mạng: Bộ định tuyến (Router), Getway, Repeater… - Các máy chủ đầu cuối.

- Các chương trình phần mềm. - Cáp mạng.

- Thông tin lưu trữ trong các tệp dữ liệu. * Nghiên cứu các vấn đề sau:

- Bảo vệ tài nguyên đó khỏi bị ai phá hoại. - Xác suất của nguy cơ đe doạ.

- Mức độ quan trọng của nguồn tài nguyên.

- Các biện pháp có thể thực hiện để bảo vệ tài nguyên với thời gian nhanh nhất, đỡ tốn kém nhất.

- Kiểm tra chính sách an ninh mạng định kì. * Nhận dạng các mối đe doạ

- Truy nhập trái phép: Nói chung việc sử dụng bất cứ tài nguyên nào mà không được sự cho phép trước đều bị coi là truy cập trái phép.

- Nguy cơ để lộ thông tin: Việc để lộ thông tin cũng là một mối đe doạ. Cần phải xác định rõ các giá trị hay độ nhạy cảm của thông tin lưu trữ trên máy. Ở mức hệ thống việc để lọt mật khẩu truy nhập hệ thống có thể tạo thuận lợi cho việc truy nhập

Một phần của tài liệu (Luận văn đại học thương mại) một số giải pháp an toàn bảo mật CSDL trong HTTT của công ty cổ phần truyền thông vccorp (Trang 38)

(52 trang)