III. PHÂN CHIA QUÁ TRÌNH TRIỂN KHAI
2. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN II
Internet gateway là điểm kết nối hệ thống mạng của Sacombank với môi trường Internet. Tại đây có thể xem như là một cách cửa rộng nhất để virus và các mã dụng ý xấu xâm nhập vào hệ thống. Chính vì thế việc triển khai giải pháp ngăn chặn từ cổng mạng này là thiết yếu bao gồm:
Interscan VirusWall
InterScanTM VirusWallTM là sản phẩm có chức năng phòng chống virus tại Gateway, sản phẩm này có chức năng quét và diệt virus trên tất cả các luồng Web, email, FTP trong thời gian thực.
Các thành phần chính:
• SMTP VirusWall: thành phần này quét toàn bộ luồng SMTP vào cũng như ra để diệt virus theo thời gian thực. Thành phần này chỉ hỗ trợ cho Microsoft Exchange và Lotus Notes.
• HTTP VirusWall: thành phần này phát hiện các virus nhiễm vào file và bảo vệ người dùng Internet chống lại các đoạn mã Java và ActiveX có hại.
• FTP VirusWall: Có nhiệm vụ ngăn chặn việc lây nhiễm virus từ việc tải xuống các file từ các site bị nhiễm virus. Thành phần này cũng bảo vệ, chống virus khi download/upload từ các FTP server trong mạng.
Các công cụ và tiện ích của giải pháp: InterScan AppletTrap
Đây là công cụ quản lý tập trung dựa trên các chính sách để quản lý vấn đề an toàn của nội dung các trang Web tại Internet Gateway. Nó loại trừ các applet, ActiveX, JavaScript và VBScript có dụng ý xấu (gọi chung là mobile code) thâm nhập vào mạng trên đường lưu thông Internet với 3 mức bảo vệ: phân tích và kiểm tra các chứng thực số (digital certificate), lọc các mã dụng ý xấu đã được định danh tại server, giám sát các hành động của các mobile code chưa được định danh tại browser của client theo thời gian thực. Các đặc điểm nổi bật của InterScan AppletTrap:
• Tốc độ thực hiện nhanh hơn và ổn định hơn: cung cấp chức năng caching làm tăng thông lượng.
• Tính bảo mật được nâng cao: Quản lý chứng thực tập trung tại Internet gateway tạo nên một môi trường kinh doanh điện tử an toàn hơn.
• Quy mô triển khai của sản phẩm được nâng cao cho phép phục vụ trên 500 users truy cập đồng thời.
• Hỗ trợ Check Point FireWall-1, hoạt động tương thích với HTTP Proxy, có ưu điểm trong suốt (transparent) với người sử dụng.
• Người quản trị có thể điều khiển quá trình kiểm tra certificate đối với các Java Applet/ActiveX tại AppletTrap server.
• Dễ dàng triển khai trên Proxy server và chỉ cần cài đặt trên 1 server.
• Cập nhật trên giao diện Web: hỗ trợ cập nhật thủ công hoặc theo lịch qua Internet. Có thể gửi danh sách các Java, URL, và ActiveX cần chặn để Trend Micro nghiên cứu đưa vào danh sách ngăn chặn của Trend Micro.
• Cân bằng tải: Phân tán tải giữa Proxy server hoặc FireWall-1 server và các client giúp giảm nhẹ chi phí trên mỗi trạm.
• Theo dõi real-time các đoạn mã Java Applet trên các các máy trạm client. Sử dụng các công nghệ đã được công nhận rộng rãi của Trend Micro để theo dõi các hành vi đối với các Java Applet trên các máy trạm client theo thời gian thực (real-time). • Cập nhật danh sách ngăn chặn thường xuyên. Bất kỳ một đoạn mã chứa virus nào
được tìm thấy trong các Java Applet hay ActiveX đều được báo cáo một cách tự động về proxy server.
• Các chính sách có thể tuỳ biến để điều khiển hành vi của các applet trên các máy trạm client. Các chính sách này có thể được ánh xạ tới một nhóm người dùng dựa
• Hỗ trợ cơ chế cảng báo: Gửi các thông báo email cho người quản trị mỗi khi có URL bị ngăn chặn, tìm thấy virus trong các applet hoặc khi cơ sở dữ liệu certificate của hệ thống được cập nhật.
• Cung cấp các tệp log đầy đủ nhất mà nó ghi lại được từ các sự kiện xảy ra. • Có thể được quản lý tập trung dựa trên các chính sách
Giải pháp cho hệ thống thư điện tử
Để kiểm tra virus cho hệ thống thư điện tử, sử dụng sản phẩm InterScan Messaging Security Suite for SMTP (IMSS). Đây là giải pháp chống virus và quản lý nội dung ở mức gateway. Sản phẩm này được thiết kế dành riêng cho các mail server. Ngoài tính năng diệt virus bắt buộc phải có, IMSS còn có thể cấm mail dựa trên nội dung của nó cũng như là chặn spam. Có thể kể ra đây một số điểm đáng lưu ý của IMSS như sau:
• Diệt virus : IMSS phát hiện virus dựa trên cơ chế quét (scan engine) 32 bit của Trend Micro và một tiến trình được gọi là “tựa mẫu” (pattern matching). Scan engine sử dụng file định nghĩa virus (definition hay pattern file) để kiểm tra các file đi qua gateway. Nếu trong file có chứa các dấu hiệu tựa mẫu virus đã được định nghĩa trong file, nó sẽ tiến hành một số thao tác như clean (xoá bỏ đoạn mã virus trong file), quarantine (cách ly cách file bị nhiễm), delete (xóa file bị nhiễm)… các thao tác này có thể do quản trị viên định nghĩa. Ngoài ra, IMSS còn có khả năng phát hiện virus dựa trên hành vi.
• Quản lý nội dung: InterScan MSS for SMTP phân tích nội dung các email cũng như các file đính kèm, nếu email (hoặc file đính kèm) thoả mãn một số điều kiện chặn nào đó đã được quản trị viên định nghĩa trước, nó sẽ bị chặn lại.
• Bảo vệ tránh bị tấn công (DoS): Bằng việc làm tràn ngập một mail server với những file đính kèm có kích thước lớn hoặc gửi kèm theo virus trong email, hacker có thể làm chết hệ thống mail của một doanh nghiệp. InterScan MSS for SMTP bao gồm các tính năng cho phép quản trị viên định nghĩa các đặc điểm của những mail không được phép vào mạng nội bộ, chúng sẽ bị chặn ngay ở mức gateway.
• Ngăn chặn email có chứa virus: File đính kèm theo email cũng là một nguồn lây lan virus phổ biến hiện nay. Chúng có thể là các file thi hành chứa virus, các tài liệu có chứa macro. Ngoài ra, các file đính kèm dạng HTML script, HTML link, Java applet… cũng có thể gây ra những thảm hoạ không lường. InterScan MSS for SMTP cho phép quản trị viên thiết lập chính sách ngăn chặn dựa trên loại email.
• Giảm thiểu việc sử dụng hệ thống mail của công ty vào mục đích riêng: Các email không liên quan đến công việc cũng có thể làm ảnh hưởng đến hiệu quả hoạt động của hệ thống mail khi chúng được gửi đi nhiều làm chậm đường truyền. Cũng như vậy, vấn đề ngăn chặn spam cũng đang làm đau đầu các quản trị viên hệ thống. InterScan MSS for SMTP có khả năng ngăn chặn spam không cho thâm nhập vào mạng nội bộ làm ảnh hưởng đến công việc của các nhân viên, cũng như không cho phép các nhân viên sử dụng hệ thống mail của công ty vào mục đích cá nhân.
• Chính sách ngăn chặn bùng nổ virus (Outbreak Prevention Policy - OPP): Dựa trên các thông tin thu thập được về một virus nào đó vừa mới xuất hiện, Trend Micro sẽ rất nhanh chóng đưa ra một chính sách ngăn chặn trước khi đưa ra một pattern file mới (thao tác này chỉ khoảng 15-20 phút sau khi virus xuất hiện). Chính sách này sẽ được IMSS tải về và triển khai. Nhờ đó, nó có thể ngăn chặn được virus ngay từ mức gateway. Đây là một tính năng rất hợp lý của IMSS giúp giảm tối đa thiệt hại cho doanh nghiệp.
• Quản trị dựa trên một tập các chính sách • Hiệu suất làm việc cao
• Có thể quản trị dựa trên giao diện Web • Có bộ lọc nội dung mail tích hợp
Giải pháp cho File Server:
Để rà soát và loại bỏ virus trong các file hệ thống, các thư mục trên Server, chúng tôi đề nghị sử dụng sản phẩm ServerProtect
ServerProtectTM là thành phần bảo vệ file và các ứng dụng hệ thống của server khỏi sự tấn công của virus. Server Protect cho phép quản trị từ xa thông qua kiến trúc gồm 3 thành phần:
Information Server: được cài trên 1 server với mục đích quản lý tập trung các Server Protect. Information Server sử dụng lời gọi thủ tục từ xa (Remote Procedure–RPC) để connect tới các server Windows NT và sử dụng Sequenced Packet Exchange (SPX) để connect tới các server Novell NetWare.
Normal Server: được cài trên các server (có thể coi đây là bản client của Server Protect) và được quản lý bởi Information Server.
Management Console: Công cụ quản trị sử dụng giao thức TCP/IP, quản trị viên có thể logon vào Information Server thông qua hình thức xác thực dựa trên username và password.để cài đặt ServerProtect cho các Server trong hệ thống (Normal Server) cũng như theo dõi tình hình phòng chống virus trong hệ thống.
Information Server và tất cả các Normal Server đều có thể cài đặt và cập nhật mẫu virus mới một cách đồng thời qua một giao diện của Windows.
Hệ thống có thể đưa ra các cảnh báo khi phát hiện thấy: đang bị nhiễm virus, cấu hình bị thay đổi, một dịch vụ nào đó bị gỡ bỏ, mẫu virus không được cập nhật kịp thời, hệ thống phòng chống đang bị sửa đổi. Các cảnh báo này được đưa đến cho quản trị viên theo nhiều con đường khác nhau: qua email, nhắn tin, in ra máy in, hoặc viết ra Windows Event Box
Giải pháp cho các Client: Dùng sản phẩm Trend Micro OfficeScan
OfficeScanTM là thành phần chống virus cho các máy trạm. Thành phần này hoạt động “trong suốt” đối với người sử dụng . Các thao tác như quét virus định kỳ, cập nhật mẫu virus mới diễn ra hoàn toàn theo chính sách của quản trị viên hệ thống. Người dùng sẽ không phải thực hiện các thao tác trên.
Việc cài đặt OfficeScanTM cho từng client hoàn toàn thông qua giao diện Web, kết nối vào một server quản trị tập trung, điều này rất thuận tiện khi triển khai hệ thống trong mạng LAN.
Trong trường hợp vị trí triển khai chỉ có đường kết nối có băng thông hẹp, TrendMicro có giải pháp riêng để đảm bảo triển khai và cập nhật cho các client này.
Người dùng không thể tự ý gỡ bỏ chương trình chống virus trên máy tính nếu không có sự đồng ý của quản trị mạng, chức năng này cho phép giữ vững chính sách phòng chống virus trong mạng. Giải pháp trên định hướng sẽ triển khai trong giai đọan 4.
Thành phần quản lý tập trung: Sử dụng sản phẩm Trend Micro Control Manager
Chức năng của TMCM:
- Cung cấp khả năng nhận diện và phân tích về tình hình nhiễm virus trong mạng diện rộng.
- Cho phép cập nhật mẫu virus một cách tự động và thống nhất., cho phép người quản trị hệ thống có quyền bắt buộc các thành phần trong hệ thống thực hiện một chính sách chống virus một cách thống nhất.
- Việc cài đặt và triển khai các agent xuống các thành phần khác trong hệ thống thực hiện một cách tập trung trên một máy chủ Windows.
- Chống lại việc “bùng nổ” virus ở trong mạng một cách hữu hiệu hơn.
Hỗ trợ nhiều tính năng cho người quản trị mạng để giảm thời gian và chi phí trong việc vận hành và duy trì hệ thống
Mô hình triển khai giải pháp phòng chống virus cho hệ thống mạng của SacomBank
Mô hình triển khai giải pháp phòng chống virus tại toà nhà trung tâm như sau:
Mô tả:
Tại điểm kết nối hệ thống mạng Sacombank với Internet (gateway) :
Giải pháp: Đặt một server trong vùng DMZ để cài các thành phần sau:
Cài đặt InterScan viruswall để kiểm tra và trừ virus trên các giao thức HTTP, FTP và SMTP Cài đặt InterScan AppletTrap để kiểm tra và loại trừ các ActiveX, JavaScript, VBScript .
Giải pháp cho thư điện tử:
Cài đặt IMSS lên một server trong vùng DMZ để kiểm tra và loại trừ virus trên các luồng email vào ra hệ thống.
Mailserver sẽ nhận outgoing mail và chuyển cho IMSS server để ra ngoài.
Tại các Server:
Cài đặt thành phần Server Protect – Information Server lên một server.
Các server khác trong hệ thống mạng sẽ được cài thành phần ServerProtect – Nomal Server để kiểm tra và loại trừ virus.
Information server là thành phần quản lý các Normal Server
Tại các client:
Cài đặt thành phần OfficeScan Server lên một Server.
Các máy trạm trong hệ thống được cài đặt thành phần OfficeScan Client. OfficeScan Server sẽ quản lý các OfficeScan Client.
Thành Phần Quản trị:
Cài đặt Trend Micro Control Manager lên một server để quản lý tất cả các thành phần khác (TMCM Agents) của Trend Micro trên hệ thống mạng Sacombank.
Thao tác cập nhật:
Mẫu virus và engine mới được cập nhật theo định kỳ đến máy chủ TMCM. Từ máy chủ TMCM, mẫu virus mới sẽ được tự động cập nhật cho máy chủ có thành phần TMCM Agent.
Các NormalServer sẽ tự động update mẫu virus và engine từ Information Server Các OfficeScan Client sẽ tự động update mẫu virus và engine từ OfficeScan Server
Quá trình cập nhật là hoàn toàn tự động, quản trị viên hệ thống chỉ cần qui định lịch để cập nhật mẫu virus mới.
Ngoài ra người quản trị cũng có thể quy định chính sách ngăn chặn, đối phó với các nguy cơ bùng nổ virus (virus outbreak) với TMCM hoặc download chính sách này từ TrendMicro website.