5. KẾT CẤU KHÓA LUẬN
3.1. ĐỊNH HƯỚNG PHÁT TRIỂN AN TỒN BẢO MẬT THƠNG TIN CỦA
3.1. ĐỊNH HƯỚNG PHÁT TRIỂN AN TỒN BẢO MẬT THƠNG TIN CỦA CÔNG TY TNHH ZENCO VIỆT NAM. CÔNG TY TNHH ZENCO VIỆT NAM.
Thông tin là một trong những tài sản hết sức quý giá đối với bất kỳ một doanh nghiệp nào. Và với sự phát triển không ngừng của công nghệ thông tin, nhu cầu sử dụng máy tính của con người ngày càng cao, việc lưu trữ thông tin, dữ liệu công ty, đều ở dạng CSDL. Hiện nay, Công Ty Tnhh Zenco Việt Nam đang sử dụng các hệ quản trị CSDL để lưu trữ tất cả các thơng tin của mình, đặc biệt là thông tin.
Tuy nhiên, khi đồng thời nhiều người cùng truy cập CSDL với các mục đích khác nhau và được quản lý tập trung nên khả năng rủi ro mất dữ liệu rất cao. Vì vậy, để dễ dàng đưa ra các giải pháp nhằm đảm bảo an toàn và bảo mật CSDL ta chia hệ thống thành 3 nhóm giải pháp gồm: phần cứng, phần mềm và con người.
3.1.1. Định hướng phát triển chung
Con người là một trong những nhân tố quan trọng nhất góp phần vào việc đảm bảo an tồn và bảo mật CSDL tại cơng ty tránh mất mát ra bên ngồi từ chính các yếu tố bên trong công ty. Dưới đây là một số giải pháp an toàn và bảo mật dữ liệu từ con người:
- Phân quyền cho mỗi người dùng ở các vị trí khác nhau được quyền sử dụng dữ liệu ở các cấp độ khác nhau và đặt pass cho từng file phù hợp với từng vị trí người dùng cụ thể sao cho họ vẫn thực hiện tốt công việc của mình đồng thời vẫn đảm bảo an tồn cho dữ liệu của cơng ty.
- Thực hiện kiểm tra thường xuyên liên tục thiết bị ra vào công ty để kiểm sốt người ra vào cơng ty.
- Tuyên truyền mọi người có ý thức nâng cao vấn đề bảo vệ an tồn thơng tin và dữ liệu cho doanh nghiệp.
- Cơng ty có đầu tư đào tạo về CNTT để giúp nhân viên nhận thức và hiểu về việc bảo vệ an toàn và bảo mật dữ liệu.
Một số phương pháp nổi bật và đạt hiệu quả cao trong bảo mật CSDL đối với các doanh nghiệp trong thời gian gần đây:
- Nâng cấp hệ quản trị CSDL
- Sử dụng các hệ mã hóa để mã hóa dữ liệu trên các thiết bị lưu trữ, đặt mật khẩu cho các file quan trọng để tránh người không được phép sử dụng chúng.
- Sử dụng các biện pháp bảo mật đường truyền tránh các trường hợp dữ liệu bị đánh cắp trong quá trình truyền đi trên mạng.
- Nâng cấp và sử dụng firewall để bảo vệ an toàn cho dữ liệu trong trường hợp dữ liệu bị tấn cơng từ bên ngồi.
- Nâng cấp và sử dụng các chương trình diệt virut để các chương trình này tự động phát hiện sử lý khi bị tấn công ăn cắp dữ liệu và cài đặt truy cập không được phép.
- Sử dụng phần mềm hỗ trợ cho quá trình sao lưu và phục hồi dữ liệu (backup and restore)
3.1.2. Định hướng phát triển của công ty
Đảm bảo tính ATBM HTTT, dữ liệu trong hệ thống: nhằm làm tăng khả năng cạnh tranh và uy tín của cơng ty trên thị trường.
Tránh hiện tượng truy cập trái phép vào CSDL thông tin, giúp tăng khả năng bảo mật thơng tin trong q trình hoạt động kinh doanh.
Xây dựng HTTT hỗ trợ, phục vụ hiệu quả các hoạt động tác nghiệp của cơng ty, giúp giảm bớt chi phí hoạt động cho cơng ty, tránh tuyệt đối sự xâm nhập bên trong cũng như bên ngoài.
Hoàn thiện hệ thống chữ ký số và xác thực chứng chỉ số.
Tổ chức các chương trình đào tạo cho nhân viên kinh doanh nhằm nâng cao kiến thức ATBM HTTT trong doanh nghiệp.
Dựa trên những định hướng của ban lãnh đạo Công Ty Tnhh Zenco Việt Nam về HTTT của công ty trong tương lai, khóa luận sẽ đưa ra một số giải pháp nhằm hướng tới mục tiêu mà Công ty đã đề ra.
3.2. GIẢI PHÁP NÂNG CAO AN TỒN VÀ BẢO MẬT THƠNG TIN CỦA CƠNG TY. Trong thời đại kinh doanh cạnh tranh mạnh mẽ như hiện nay, thông tin luôn là tài sản vô cùng quý giá của doanh nghiệp. Hơn nữa, với sự phát triển của Internet cũng rất dễ tạo điều kiện để xâm nhập, ăn cắp dữ liệu. Bảo vệ thông tin doanh nghiệp cũng chính là bảo vệ số mạng của cả doanh nghiệp hay cả tổ chức. Đối với Công ty cũng vậy, do đó cần có các giải pháp hiệu quả để hệ thống máy tính của nhân viên luôn được bảo mật và bất khả xâm phạm từ những người muốn xâm nhập vào hệ thống với mục đích ăn cắp hoặc phá hoại dữ liệu.
3.2.1. Giải pháp phần cứng
3.2.1.1. Các giải pháp bảo vệ bằng tường lửa phần cứng (FireWall)
Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó.
Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo khơng có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng.
Hình 3.1. Tường lửa cho hệ thống mạng
Firewall phần cứng là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall. Trước khi một gói tin Internet đến máy tính, thì Firewall phần cứng sẽ giám sát các gói tin và kiểm tra xem nó đến từ đâu. Nó cũng kiểm tra nếu địa chỉ IP hoặc tiêu đề có thể tin cậy được.
Firewall của Cisco:
Đối với các dòng sản phẩm firewall của Cisco - dòng sản phẩm được rất nhiều doanh nghiệp có quy mơ hoạt động nhỏ và vừa sử dụng, nổi trội bởi các tính năng và giá thành phù hợp. Cisco mới đây đã giới thiệu một thế hệ firewall hoàn toàn mới tên gọi first threat-focused Next-Generation Firewall (NGFW) được thiết kế đặc biệt có
khả năng phát hiện và ngăn chặn các cuộc tấn công. Thế hệ firewall Cisco ASA với FirePOWER Services mới theo hãng cung cấp khả năng nhận thức theo ngữ cảnh và điều khiển linh động để đánh giá các mối đe dọa, phối hợp thông tin và tối ưu hóa phịng thủ nhằm bảo vệ hệ thống mạng cho người dùng.
Theo Cisco, thiết bị firewall mới của hãng là một thiết bị duy nhất được thể kết hợp tường lửa, tính năng kiểm sốt ứng dụng với khả năng phòng chống xâm nhập và phát hiện các cuộc tấn cơng. Điều này có nghĩa là thiết bị của hãng sẽ giúp các tổ chức đơn giản hóa kiến trúc bảo mật cho mình mà cịn tiết kiệm được đáng kể chi phí cũng như giảm bớt số lượng thiết bị bảo mật cần quản lý và triển khai.
Trong bối cảnh hiện tại với các cuộc tấn công vào các hệ thống điều khiển/ngành công nghiệp và sự phát triển của các băng nhóm tội phạm mạng tinh vi, các tổ chức cần phải chủ động để có thể kiểm sốt từng thay đổi dù rất nhỏ từ mơi trường nhằm có những biện pháp bảo vệ tức thời. Các thiết bị phần cứng Cisco ASA with FirePOWER Services thực sự là một bước tiến bộ trong thị trường NGFW, giúp
tăng cường bảo vệ theo thời gian thực từ data center, hệ thống mạng cho đến từng thiết bị đầu cuối.
3.2.1.2. Giao thức bảo mật đường truyền
Trong an toàn bảo mật CSDL thì đảm bảo đường truyền là một trong những vấn đề khá được quan tâm. Trong đó có 2 giao thức cơ bản là IPsec và SSL
Thiết lập các nguyên tắc cho nội dung gửi đi
Tường lửa có thể thực hiện khóa chặn lưu lượng và khơng cho gửi vào, ra khỏi mạng. Chúng cũng có thể cho phép một số lưu lượng nào đó có thể rời mạng. Dữ liệu của cơng ty có thể được gửi ra bên ngồi hoặc có thể được gửi ra một cửa ảo thơng qua email, tính năng chia sẻ file ngang hàng,…Cơng ty có thể thiết lập tường lửa để khóa một số kiểu giao thức gửi ra, chẳng hạn như những giao thức được sử dụng bởi phần mềm P2P.
Có thể thiết lập máy chủ mail sao cho nó khóa chặn việc gửi các đính kèm gửi đi. Ngồi ra bạn có thể khóa nội dung gửi đi bởi các từ khóa bằng các thiết bị, phần mềm hoặc dịch vụ lọc nội dung như: Microsoft, ForeFront technologies, McAfee’s, Google’s Postini.
Dưới đây là một số giao thức bảo mật đường truyền:
- Giao thức WEP- Wired Equivalent Privacy.
WEP được thiết kế để đảm bảo tính bảo mật cho mạng khơng dây đạt mức độ như mạng nối cáp truyền thống. WEP cung cấp bảo mật cho dữ liệu trên mạng không dây qua phương thức mã hóa sử dụng thuật tốn đối xứng RC4. Thuật toán RC4 cho phép chiều dài khóa thay đổi và có thể lên đến 256bit. Hiện nay, đa số các thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128 bit.
Đối với công ty hiện tại nên sử dụng WEP có độ dài khóa 128 bit.
Do WEP sử dụng RC4, một thuật tốn sử dụng phương thức mã hóa dịng, nên cần một cơ chế đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả giống nhau sau khi được mã hóa hai lần khác nhau. Đây là một yếu tố quan trọng trong vấn đề mã hóa dữ liệu nhằm hạn chế khả năng suy đốn khóa của Hacker. Để đạt được mục đích trên, sử dụng RC4 cùng giá trị Initialization Vector (IV) nên có các vấn đề: cùng IV gây nên vấn đề va chạm, dễ dàng phát hiện IV và bẻ khóa WEP, tấn cơng thụ động phát triển càng gây khó khăn cho người bảo mật dữ liệu. Giải pháp WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ bảo mật cho WEP như việc sử dụng khóa WEP có độ dài 128 bit sẽ gia tăng số lượng gói dữ liệu Hacker cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP.
- Giao thức SSL.
SSL (Secure Sockets Layer) là một giao thức (protocol) cho phép truyền đạt thông tin một cách bảo mật và an tồn qua mạng. SSL là tiêu chuẩn của cơng nghệ bảo
mật, truyền thơng mã hố giữa máy chủ Web server và trình duyệt (browser). Tiêu chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư và toàn vẹn.
Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà khơng có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền. Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm sốt được liệu có ai đó thâm nhập vào thông tin trên đường truyền. Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn:
- Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng.
- Mã hố: đảm bảo thơng tin khơng thể bị truy cập bởi đối tượng thứ ba. Để loại trừ việc nghe trộm những thơng tin “nhạy cảm” khi nó được truyền qua Internet, dữ liệu phải được mã hố để khơng thể bị đọc được bởi những người khác ngoài người gửi và người nhận.
- Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện chính xác thơng tin gốc gửi đến.
Với việc sử dụng SSL, các Web site có thể cung cấp khả năng bảo mật thơng tin, xác thực và tồn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các browser và Web server, cho phép người sử dụng làm việc với các trang Web ở chế độ an toàn. Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa sẽ xuất hiện trên thanh trạng thái của cửa sổ browser
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP (Hyper Text Transport Protocol), IMAP (Internet Messaging Access Protocol) và FTP (File Transport Protocol). Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL được sử dụng chính cho các giao dịch trên Web.
SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối. Lúc này, phía browser sử dụng các kỹ thuật mã hố cơng khai để chắc chắn rằng certificate và public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của client.
Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và public ID của server có giá trị hay khơng và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng đối với các nhà cung cấp.
Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư. Ngồi ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hố cịn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu. ( đó là các thuật tốn băm – hash algorithm).
Chứng thực Tên miền(DV)
Số domain bảo mật 1-2 Subdomain
Thanh địa chỉ xanh https+ổ khóa
Mã hóa đến 256bits
Hỗ trợ SAN 250.000/domain/năm
Số domain được bao mật 3-100
Chính sách bảo hiểm 10.000USD
Phí cài đặt Miễn phí
Hỗ trợ kĩ thuật 24/24
Bảng 3.2 Gói dịch vụ cung cấp SSL
Khi một client và server trao đổi thông tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hố mạnh nhất có thể và sử dụng chúng trong phiên giao dịch SSL.
Nhược điểm:
Khi áp dụng giao thức SSL cho đường truyền dữ liệu cũng sẽ có một số nhược điểm vì SSL kế thừa từ một số cơng cụ mà nó sử dụng nên cũng có một số điểm yếu như các thuật tốn mã hóa và SSL khơng thể khắc phục từ đó việc thơng tin được mã hóa có thể khơng chính xác dẫn tới sai lệch thơng tin,…
3.2.2. Giải pháp phần mềm
3.2.2.1. Sử dụng các hình thức mã hố
Hiện nay công ty đang sử dụng kỹ thuật mã hóa khóa cơng khai để mã hóa dữ liệu, kỹ thuật mã hóa này có rất nhiều ưu điểm tuy nhiên nó cũng có một số hạn chế do vậy công ty nên sử dụng thêm một số biện pháp, phương pháp khác
- Sử dụng mã hóa file hệ thống (EFS-Encrypting File System)
Trong số phần lớn người sử dụng chúng ta, chắc hẳn các bạn đều đã biết rằng trong Windows XP, Windows 7 và phiên bản hệ điều hành mới nhất hiện nay – Windows 8 đều đã được tích hợp sẵn dịch vụ bảo mật dữ liệu dành cho người dùng khá đơn giản nhưng vô cùng hiệu quả chỉ vài thao tác thiết lập. Đó chính là Encrypted File Service hay còn gọi tắt là EFS.
EFS thực chất là 1 dịch vụ bảo mật được tích hợp sẵn trong Windows kể từ phiên bản XP. Một khi dữ liệu đã được mã hóa bằng EFS thì chỉ có thể được truy cập và sử dụng bằng chính tài khoản thực hiện lệnh mã hóa đó. Mặc dù người dùng khác có thể nhìn thấy file dữ liệu đó, nhưng sẽ khơng thể mở được – cho dù đó là tài khoản