III. PHÂN CHIA QUÁ TRÌNH TRIỂN KHAI
4. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN IV
4.4 Tổng kết mô hình khuyến nghị triển khai hệ thống bảo vệ mạng Sacombank
Sacombank
• Chúng tôi khuyến nghị tách các máy chủ chứa các dữ liệu quan trọng(Database server, Web server phục vụ khách hàng,…) ra một mạng riêng - Server Farm và các máy chủ truy cập public (Web server, mail server,…) ra một mạng riêng-DMZ. Giải pháp này cho phép tạo chính sách bảo mật chặt chẽ hơn và tăng tính bảo mật của toàn bộ hệ thống
• Các máy chủ quan trọng được bảo vệ bằng cách cài phần mềm phát hiện thâm nhập Server Sensor. Phần mềm này ngăn chặn kẻ tấn công tìm cách lợi dụng các điểm yếu, lỗ hổng bảo mật của hệ điều hành và các ứng dụng chạy trên đó, phát hiện các tấn công từ bên trong và bên ngoài như tấn công tràn bộ đệm, trojan, worm… Chúng tôi khuyến nghị cài phần mềm này trên tất cả các máy chủ trong vùng Server Farm và trong vùng DMZ.
• Các điểm mạng quan trọng được bảo vệ bằng appliance Proventia A201. Thành phần phát hiện xâm nhập này sẽ phát hiện các tấn công, thâm nhập trái phép trước khi nó gây hậu quả đến các máy chủ bên trong.
• Khuyến nghị sử dụng thêm hệ thống dò quét và phát hiện các điểm yếu của máy chủ CSDL- Database Scanner nếu có điều kiện. Thành phần này sẽ phát hiện các lỗ hổng bảo mật , lỗi đặt mật khẩu trắng hoặc dễ đoán,… và được cài trên một máy riêng. Chúng tôi khuyến nghị cài Database Scanner trên Management Point.
• Một thành phần dò quét và phát hiện các điểm yếu của các máy chủ trên mạng Internet Scanner. Thành phần này sẽ phát hiện các lỗ hổng bảo mật của hệ điều hành, các dịch vụ
trên máy được quét và được cài trên một máy riêng. Chúng tôi khuyến nghị cài Internet Scanner trên Management Point.
• Mạng của trung tâm được bảo vệ bởi thành phần Firewall PIX đặt phía bên ngoài. Pix có nhiệm vụ bảo vệ mạng trung tâm khỏi các tấn công từ bên ngoài, xác thực người dùng, bảo vệ các mạng khác nhau(Server Farm, DMZ, LAN) với các chính sách bảo mật mềm dẻo. Chức năng VPN có nhiệm vụ mã hoá dữ liệu truyền giữa trung tâm với các chi nhánh Các client trong mạng LAN muốn truy cập vào hệ thống máy chủ quan trọng trong cùng Server Farm thì phải thông qua lớp Firewall Checkpoint thứ 2 và có thể áp dụng hệ thống VPNClient để mã hoá dữ liệu truyền giữa máy trạm đó với máy chủ