Giải pháp file security

Một phần của tài liệu GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH NGHIỆP (Trang 32 - 37)

PHẦN 3. THIẾT KẾ HỆ THỐNG MỚI

3.2. Các giải pháp công nghệ được sử dụng

3.2.6. Giải pháp file security

3.2.6.1. Triển khai DFS Replicate và DFS Namespace lên server.

- Distributed File System (DFS) là một giải pháp cho phép người quản trị tập trung các dữ liệu nằm rời rạc trên các file server về một thư mục chung và thực hiện các tính năng replicate nhằm đảm bảo dữ liệu luôn sẵn sang khi có sự cố về file server. Bao gồm 2 tính năng: DFS Namespace và DFS Replication. Cung cấp 3 giải pháp :

Sharing File Across banch office : người dùng đi ở site nào cũng có thể truy cập các thư mục trên, và họ lưu dữ liệu trên các thư mục này thì dữ liệu sẽ được replicate qua các site khác, nhờ vào DFS Replication

Data collection: dữ liệu của các file server ở chi nhánh sẽ được replicate tới văn phòng chính hoặc data center, điều này giúp tập trung các dữ liệu về một nơi duy nhất. Sau đó người quản trị ở văn phòng chính sẽ dùng các giải pháp backup để sao lưu toàn bộ dữ liệu.

Data distribution: kết hợp DFS Namespace và DFS Replication cho các thư mục như Software, Trainning, Document, Project. Người dùng sẽ dễ dàng truy cập và tăng độ sẵn sàng khi có sự cố xảy ra (nhờ vào tính năng DFS Replication), khi người dùng không truy cập được tới DFS Server trong Site của họ, thì hệ thống sẽ tự redirect người dùng qua DFS Server của Site khác. Dữ liệu vẫn đầy đủ.

- Giới hạn không gian sử dụng của từng nhân viên.

- Giám sát việc sử dụng tài nguyên của nhân viên - Phục hồi dữ liệu nếu lỡ bị xóa, thay đổi.

- Backup dữ liệu định kỳ để phục hồi khi cần thiết.

- Hoạt động nhanh, ổn định, bảo mật.

3.2.6.2. Sử dụng Audit Policy

Audit Policy cho phép ta giám sát hoạt động của hệ thống, cũng như tương tác của người dùng, ghi nhận các hoạt động đó một cách có chọn lọc vào Security log. Mục đích chính:

• Cung cấp chức năng giám sát hoạt động ( của hệ điều hành, của AD hay user v.v) , ghi nhận các sự kiện để xác định nguồn gốc và thiệt hại của hệ thống.

• Đề phòng các đợt tấn công trong server.

- Ưu điểm: giám sát giúp quản lý được công việc của user và có thể ghi ra báo cáo khi cần thiết.

- Nhược điểm: làm công việc xử lý trên file server diễn ra chậm hơn do mỗi lần có các sự kiện xảy ra phải ghi lại những sự kiện đó.

- Cách thực hiện: Thêm danh sách các nhân viên muốn giám sát vào và tùy chọn các sự kiện Successful hoặc Failed phù hợp với quyền của từng nhân viên trên ỗ đĩa.

3.2.6.3. Sử dụng NTFS Permission

Sử dụng NTFS Permission để phân quyền trên các thư mục chia sẽ cho các Group chứa user trên AD.

Cách thực hiện:

- Share 2 thư mục với tên tương ứng

- Thiết lập Full Control cho Everyone ở Share Permission cho tấc cả các thư mục share

- Cấu hình NTFS Permission:

• Gỡ bỏ đặc tính thừa hưởng trên ổ đĩa

• Remove group nhân viên khỏi ổ đĩa

• Add các group tương ứng của phòng ban vào

• Thiết lập Full control cho tài khoản CREATE OWNER

3.2.6.4. Sử dụng Backup & Restore để sao lưu dữ liệu định kỳ và phục hồi khi cần thiết.

- Ưu điểm: có thể kết hợp nhiều phương pháp sao lưu, giúp lấy lại giữ liệu của bất cứ thời điểm nào nếu cần thiết.

- Nhược điểm: dữ liệu ngày càng tăng lên càng tốn nhiều thiết bị để lưu trữ, thời gian sao lưu càng chậm.

- Sử dụng băng từ để lưu trữ (Tape Drive), giúp bảo quản tốt hơn là DVD - Backup vào thời điểm ít nhân viên làm việc hoặc tấc cả đã nghỉ để tránh

trường hợp nhân viên cập nhật dữ liệu sau thời điểm backup của server.

Backup vào ban đêm khoảng 10h là tốt nhất

- Backup làm sao để dữ liệu tạo ra là ít nhất, thời gian ngắn nhất nhưng vẫn đảm bảo đầy đủ, ổn định, có thể lấy lại dữ liệu của một ngày bất kỳ trong tuần.

3.2.6.5. Sử dụng Quota để giới hạn dung lượng sử dụng trên ổ đĩa File server.

- Ưu điểm: Giới hạn được không gian sử dụng ỗ đĩa mạng cho nhân viên, tránh tình trạng sử dụng quá nhiều làm ảnh hưởng cho file server, lãng phí tài nguyên cũng như tốc độ truy xuất dữ liệu của những nhân viên khác

- Nhược điểm: Đối với các phòng khác nhau phải thiết lập các mức hạn ngạch khác nhau tùy vào nhu cầu, mỗi khi dữ liệu làm việc của một ai đó đã đầy chúng ta phải điều chỉnh lại mức hạn ngạch. Không thể thiết lập một lần để sử dụng mãi mãi.

- Cách thực hiện:

Mỗi nhân viên chỉ được sử dụng 3Gb trên ỗ đĩa cứng của file server

Thông báo cho nhân viên khi dùng đến 2Gb, đến 3Gb thì không lưu dữ liệu được nữa.

Thiết lập quota cho tấc cả các nhân viên như sau:

• Limit disk space: 3Gb

• Warning level: 2Gb

3.2.6.6. Sử dụng Shadow Copies để sao lưu và phục hồi dữ liệu bị xóa, thay đổi tạm thời.

- Ưu điểm: restore lại một cách nhanh chóng, ghi lại nhiều version khác nhau của một file cho phép thực hiện quá trình restore theo ngày giờ cụ thể.

- Nhược điểm: chỉ khắc phục những sự cố nhỏ khi bị xoá mất file hay thư mục.

- Cách thực hiện:

+ Enable chức năng Shadow Copies trên đĩa cứng file server.

+ Lập lịch để tự động sao lưu

+ Cho máy tính nhân viên cài đặt chương trình Previous Versions Client trong thư mục C:\WINDOWS\system32\clients\twclient\x86 + Để thực hiện phục hồi: từ máy nhân viên vào thư mục mà user đã thực hiện thay đổi chọn Properties -> chọn Previous Versions -> Chọn thời điểm đã sao lưu -> Chọn Restore.

3.2.6.7. Một số giải pháp khác

Sử dụng Raid 6 để sao lưu đồng thời tăng tốc hoạt động cho đĩa cứng File server.

Sử dụng Raid giúp tăng tốc độ truy xuất dữ liệu cũng như bảo đảm việc sao lưu phục hồi cho ỗ đĩa cứng hệ thống một cách an toàn. Có thể sử dụng Raid trên DC, File Server.

Sử dụng Sophos EndPoint Security chống thất thoát dữ liệu qua đường sao chép

Sử dụng tính năng device control: không cho phép sao chép các dữ liệu quan trọng vào các thiết bị nhớ di động như thẻ nhớ, USB,…

Tính năng Device Control sẽ giúp ta quản lý việc giao tiếp giữa Endpoint và các thiết bị ngoại vi.

Sophos chia thiết bị ngoại vi thành 3 nhóm :

- Nhóm lưu trữ : gồm ổ mềm, ổ quang, thẻ nhớ, thiết bị lưu trữ giao tiếp USB.

- Nhóm kết nối mạng : gồm modem, thiết bị không dây.

- Nhóm giao tiếp gần : gồm Bluetooth, hồng ngoại.

- Về cơ bản, sẽ có 2 quyền được áp dụng cho các thiết bị ngoại vi kể trên:

• Blocked : không cho sử dụng.

• Full Access : được toàn quyền sử dụng.

Với các thiết bị nhóm lưu trữ sẽ có thêm quyền :Read-Only : chỉ cho giao tiếp 1 chiều từ thiết bị đến Endpoint. Nghĩa là không cho sao chép dữ liệu từ Endpoint ra thiết bị lưu trữ ngoài, chỉ cho sao chép từ thiết bị lưu trữ ngoài vào Endpoint.

Sử dụng tính năng Web Filtering: Những Website trên Internet được SophosLABs phân loại theo 14 chủ đề khác nhau. Qua đó kiểm soát việc truy xuất của người dùng vào những website tương ứng theo từng chủ đề. Người dùng có thể được phép (Allow) hoặc bị chặn (Deny) hoặc được cảnh báo trước khi truy cập (Warn). Đi kèm là một hệ thống ghi nhận và báo cáo về những người dùng cố ý vượt qua cảnh báo hoặc cố gắng truy cập vào những website bị chặn.

Hơn thế nữa, việc kiểm soát trên luôn có hiệu lực cho dù người dùng đang làm việc ở nhà hay bất kì đâu mà không cần phải cài đặt gì thêm

Tính năng Application Control: tạo ra các chính sách sử dụng phần mềm và phân quyền một cách tường minh. Việc cài đặt và sử dụng các ứng dụng một cách tùy ý dễ phát sinh các vấn đề trên hệ thống của bạn như:

• Nhiều ứng dụng chứa Trojan

• Nhiều ứng dụng làm tiêu hao băng thông mạng ngay cả khi bạn không sử dụng

• Các Portable Application rất khó kiểm soát

• Các ứng dụng chia sẻ ngang hàng (Peer-to-Peer) và tin nhắn tức thì (Instant Messaging) thường làm ảnh hưởng đến chính sách an toàn thông tin

Tính năng Application Control giúp ta giải quyết các vấn đề trên. Các ứng dụng phổ biến được Sophos phân tích và phân loại thành 46 chủ đề khác nhau.

PHẦN 4. XÂY DỰNG QUI TRÌNH VÀ CHÍNH SÁCH BẢO MẬT

Một phần của tài liệu GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH NGHIỆP (Trang 32 - 37)

Tải bản đầy đủ (PDF)

(50 trang)