cổ phần Tinh Vân.
Thông tin và HTTT là những nhân tố ngày càng được coi trọng và có giá trị sống còn đối với tổ chức doanh nghiệp. Vì thế, các công ty đã và đang đầu tư lớn vào việc bảo vệ các thông tin có giá trị. Các nhà quản trị của các doanh nghiệp đang dần ý thức hơn tới việc đảm bảo ATBM HTTT của doanh nghiệp mình. Công ty Cổ phần công nghệ Tinh Vân nắm bắt xu thế đó, trong thời gian tới, công ty định hướng tập trung phát triển các lĩnh vực kinh doanh nhằm:
- Đẩy mạnh tiếp thị, tìm kiếm các hợp đồng lớn.
- Tìm kiếm một số đối tác chiến lược lớn, mở rộng phạm vi phục vụ tới thị trường các nước lân cận.
- Mở rộng quy mô công ty trong 5 năm tới, xây dựng thêm 2 chi nhánh hoạt động trên các địa bàn khác.
- Mức tăng trưởng hàng năm đạt từ 25%-30% so với cùng kì. Công ty định hướng phát triển HTTT với các mục tiêu cụ thể:
- Đảm bảo tính an toàn bảo mật đối với mọi thông tin, dữ liệu trong hệ thống: thông tin khách hàng, thông tin về các đối tác, thông tin hoạt động nội bộ công ty,…. nhằm làm tăng khả năng cạnh tranh và uy tín của công ty trên thị trường.
- Xây dựng HTTT hỗ trợ, phục vụ hiệu quả các hoạt động tác nghiệp của công ty, giúp giảm bớt chi phí hoạt động cho công ty.
- Xây dựng chương trình ATBM HTTT theo một chu trình liên tục theo thời gian. Dựa trên những định hướng của ban lãnh đạo của công ty cổ phần công nghệ Tinh Vân trong tương lai, khóa luận sẽ đưa ra một số giải pháp nhằm hướng tới mục tiêu mà công ty đã đề ra.
3.2. Các giải pháp nhằm nâng cao hiệu qủa ATBM thông tin trong HTTT của công ty Cổ phần công nghệ Tinh Vân.
3.2.1.Bảo mật bằng nâng cấp hệ thống máy chủ
Tổng số máy trong công ty là 100 máy, tất cả máy trong phòng ban đều được kết nối Internet và mạng LAN và được kiểm soát bởi máy chủ tại phòng công nghệ thông tin của công ty. Doanh nghiệp luôn đòi hỏi website, hệ thống e-mail hay CRM, ERP ở trạng thái sẵn sàng cung cấp thông tin, có thể truy cập được 24/24. Người quản trị mạng không thể thức cùng bạn để bật máy khi bạn cần mà chỉ có hệ thống CNTT vận hành liên tục tự động. Vì vậy, máy chủ là một phần không thể thiếu trong HTTT của doanh nghiệp.
Máy chủ tại công ty cổ phần công nghệ Tinh Vân được đưa vào sử dụng 2002. Tuy nhiên với sự phát triển công nghệ thông tin như hiện nay, công ty có ý định mở rộng thêm các chi nhánh mới, cho nên việc nâng cấp hệ thống máy chủ là điều cần thiết để đảm bảo an toàn bảo mật HTTT tại công ty.
Nâng cấp máy chủ tại công ty cổ phần Tinh Vân: máy chủ nâng cấp lên Windows server 2008 để phù hợp với các ứng dụng trong hệ thống mới:
- Server: LifeCom 1U Server Rack S1230-300B - CPU X3430 SATA
- Model Supermicro server board: X8SIL-V, X3430 - X2QI SERVER.
- Platform Chassis:1230-300B, Chipset Intel® 3420 Server chipset,.
- Processor: 1x Intel® Xeon® Lynnfield Quad-Core X3430 2.4GHz 8MB
LGA 1156 95W, Intel® Xeon® X3400 / L3400 series processors, LGA1156. System Bus * Intel QuickPath Interconnect up to 6.4 GT/s.
OS Software * Supports 64-bit Operating Systems * Supports 32-bit Operating Systems * Support RAID Windows * Support RAID Linux.
System Memory 1x 2GB DDR3 1333 240-Pin DDR3 ECC, RDIMMs/UDIMMs (PC3 10666), 4x 240-pin DIMM sockets.
Supports up to 32 GB DDR3 ECC Registered memory (RDIMM).
Supports up to 16 GB DDR3 ECC Un-Buffered memory (UDIMM), 1333 / 1066 / 800 MHz, DIMM Sizes * 1GB, 2GB, 4GB, 8GB, Storage 1x 250GB.
- Bảng so sánh thông số kỹ thuật giữa máy chủ cũ và máy chủ được đề xuất
Thông số kỹ thuật
Máy chủ cũ Máy chủ đề xuất
Server HP Proliant ML115 T01 LifeCom 1U Processor AMD Opteron 4450B Dual Core
Processor 2.30 Ghz
1x Intel® Xeon® Lynnfield Quad-Core X3430 2.4GHz
Chipset nVidia MCP 55S Pro Intel® 3420 Server chipset
Storage 160GB 250GB (adsbygoogle = window.adsbygoogle || []).push({});
Cache Memory 2MB 8MB
Memory 1024 MB PC2-6400 ECC (DDR2- 800Mhz)
2GB DDR3 1333
240- Pin DDR3 ECC Registered (PC3 10666)
Hình 2.14: Bảng so sánh kỹ thuật giữa server cũ và server đề xuất
Các lưu ý khi nâng cấp máy chủ:
- Luôn bắt đầu với một backup dữ liệu đã thẩm định
Không bao giờ tạo bất cứ thay đổi nào đối với một máy chủ, thậm chỉ cả những nâng cấp nhỏ, trước khi xác nhận có một backup dữ liệu chắc chắn. Bất cứ khi nào thực hiện những thay đổi với máy chủ cũng đều không có sự bảo đảm rằng máy chủ đó sẽ quay trở lại làm việc ngay lập tức.
- Cân nhắc việc tạo một backup image
Một số nhà sản xuất cung cấp các kỹ thuật disk cloning chuyên nghiệp để khôi phục một cách đơn giản các máy chủ khi xuất hiện lỗi. Một số trong đó gồm có như Acronis Inc và StorageCraft Technology Corp, cung cấp một tùy chọn khôi phục khá phổ dụng, tùy chọn này cho phép bạn có thể khôi phục một máy chủ bị lỗi sang một máy tính khác hoàn toàn mới chưa có cài đặt bất cứ hệ điều hành nào. Thời gian ngừng làm việc của máy móc cũng giảm rõ rệt. Khi các nâng cấp gặp vấn đề gì đó, các disk image có thể giúp bạn khôi phục một cách nhanh chóng không chỉ dữ liệu mà còn cả những cấu hình phức tạp của máy chủ.
- Không tạo nhiều thay đổi cùng lúc
Hầu hết các chuyên gia CNTT đều hiểu được tầm quan trọng của việc tối thiểu hóa số lần khởi động lại máy chủ, vì vậy những người mới vào nghề cũng bị lôi cuốn vào việc muốn hoàn tất các nâng cấp một cách đồng thời qua một lần shutdown máy. Tuy nhiên việc thêm vào ổ cứng, thay thế bộ nhớ, cài đặt lại một số card bổ sung và các nhiệm
vụ khác tất cả có nên được thực hiện một cách riêng rẽ? Tại sao? Khi có một vấn đề nào đó xảy ra sau đó một hoặc hai ngày, quá trình tìm ra thành phần nào gây ra sự cố đó là một điều hết sức khó khăn. Chính vì vậy để tránh những khó khăn không đáng có này, bạn không nên tạo nhiều thay đổi cùng một lúc cho máy chủ của mình.
- Kiểm tra bản ghi kỹ lưỡng sau khi thực hiện thay đổi
Khi nâng cấp máy chủ, không bao giờ được thừa nhận tất cả mọi thứ đều hoạt động tốt chỉ vì máy chủ hoạt động trở lại và không hiển thị lỗi. Kiểm tra các file bản ghi, các báo cáo lỗi, hoạt động backup và các sự kiện quan trọng khác một cách tỉ mỉ hơn bao giờ hết. Sử dụng các báo cáo hiệu suất bên trong của Windows hay các tiện ích kiểm tra của các bên thứ ba, chẳng hạn như những tiện ích HoundDog của GFI Software và PacketTrap của Quest Software, để bảo đảm tất cả đều diễn ra tốt đẹp như dự định bất cứ khi nào hoàn tất việc thay đổi hoặc nâng cấp.
- Xác nhận hệ điều hành
Rất dễ quên hệ điều hành một máy chủ đang chạy. Điều này đặc biệt đúng với cả một phòng có nhiều máy chủ nhưng không sử dụng cùng một chủng loại hệ điều hành và thay vào đó là sự hỗn tạp các phiên bản hệ điều hành khác nhau. Một quản trị viên kỳ cựu cũng có thể mắc phải lỗi chẳng hạn như cài đặt thêm 8GB RAM cho máy chủ Windows Server 2003 phiên bản 32-bit. Chỉ cần thực hiện một hành động thẩm định nhanh chóng (gồm có kiểm tra 32-bit và 64-bit) đối với hệ thống cần được nâng cấp, bạn sẽ xác nhận được hệ điều hành nào có khả năng tương thích và có thể sử dụng thêm RAM (hoặc các tài nguyên khác).
3.2.2. Bảo mật bằng kỹ năng sử dụng các thiết bị công nghệ cho nhân viên
Bảo mật bằng chính sách đối với trang thiết bị
- Một trong những cách phổ biến nhất để mang các thông tin dữ liệu ra khỏi tổ chức là copy nó vào các thiết bị lưu trữ ngoài. Các ổ USB ngày nay có giá thành rất rẻ và cũng rất dễ che dấu, dung lượng lưu trữ ngày càng cao. Ngoài ra người dùng cũng có thể copy file dữ liệu sang các thiết bị iPod hoặc MP3 player, hoặc vào các đĩa CD, DVD bằng cách sử dụng ổ ghi. Để tránh tình trạng mất dữ liệu kiểu này, công ty cần hạn chế vĩnh viễn sự cài đặt các thiết bị USB bằng cách gỡ bỏ tất cả các cổng vật lý. Ngoài biện pháp vật lý nói trên, công ty có thể sử dụng các phần mềm để vô hiệu hóa việc sử dụng các thiết bị ngoài trên các máy tính cá nhân hoặc trong toàn bộ mạng bằng cách sử dụng Group Policy.
- Group Policy
Cho phép người dùng chỉ cài đặt các thiết bị trong danh sách cho phép. Nếu thiết bị nào đó không được liệt kê trong danh sách thì người dùng không thể cài đặt nó.
Ngăn chặn người dùng cài đặt các thiết bị trong danh sách ngăn cấm. Nếu một thiết bị nào đó không có trong danh sách thì người dùng có thể cài đặt.
Từ chối việc đọc và ghi của người dùng vào các thiết bị có thể tháo rời, hoặc sử dụng các thiết bị dễ cầm tay như ổ ghi CD, DCD, ổ đĩa mềm, ổ cứng mở rộng và các thiết bị cầm tay khác như điện thoại thông minh hoặc Pocket PC.
+ Lợi ích mang lại từ việc kiểm soát cài đặt thiết bị bằng Group Policy
Việc giới hạn các thiết bị mà người dùng có thể cài đặt cho phép bạn có các lợi ích sau:
Giảm rủi ro việc mất trộm dữ liệu: nó làm khó khăn trong việc copy trái phép dữ liệu công ty nếu máy tính của người dùng không thể cài đặt thiết bị không được phép hỗ trợ cho các phương tiện có thể tháo rời. Ví dụ, nếu người dùng không thể cài đặt một ổ CD-R thì họ không thể ghi dữ liệu vào đĩa CD được. Lợi thế này tuy không thể loại trừ được những tên trộm dữ liệu song nó cũng tạo ra một hàng rào chắn đối với việc lấy dữ liệu trái phép. Bạn cũng có thể qiảm rủi ro trong việc mất trộm dữ liệu bằng cách sử dụng Group Policy để từ chối sự truy cập có thể ghi đối với người dùng thiết bị có thể tháo rời. Bạn có thể cho phép sự truy cập trên một nhóm cơ bản các thiết bị khi sử dụng Group Policy.
Giảm chi phí hỗ trợ: Bạn có thể bảo đảm rằng người dùng chỉ cài đặt các thiết bị mà bàn trợ giúp của bạn được đào tạo và được trang bị để hỗ trợ. Lợi thế này giảm chi phí hỗ trợ và sự lộn xộn.
+ Các bước cài đặt Group Policy
Bước 1: Cấu hình chính sách ngăn chặn cài đặt đối với bất kỳ thiết bị nào. Cấu hình chính sách ngăn chặn cài đặt hoặc nâng cấp đối với các thiết bị. (adsbygoogle = window.adsbygoogle || []).push({});
1. Đăng nhập vào máy tính như DMI-Client1\TestAdmin.
2. Mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start Search, và sau đó nhấn ENTER.
3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận rằng hoạt động đang hiển thị là những gì bạn muốn, sau đó nhấn Continue để tiếp tục.
4. Trong cửa sổ trình soạn thảo Group Policy Object Editor, kích đúp vào Computer Configurationđể mở. Sau đó mở Administrative Templates > System > Device Installation > Device Installation Restrictions.
5.Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices not described by orther policy settings, chọn Properties. Hộp thoại chính sách xuất hiện với các thiết lập hiện thời của nó
6. Trên tab Setting, bạn kích Enabled để vào chính sách
7. Kích OK để lưu các thiết lập và quay trở lại Group Policy Object Editor.
Bước 2: Cấu hình chính sách cho phép các quản trị viên có thể ghi đè trong việc cài đặt thiết bị
Chính sách tiếp theo cho phép các quản trị viên có thể ghi đè lên những hạn chế Được áp đặt đối với chính sách cài đặt thiết bị , gồm chính sách bạn vừa kích hoạt.
1. Trong cửa sổ chi tiết, kích chuột phải vào Allow administrators to override deviceinstallation policy, sau đó ích vào Properties.
Hộp thoại chính sách xuất hiện cùng với các thiết lập hiện hành của nó. 2. Trong tab Setting, kích Enabled để vào thiết lập chính sách.
3. Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor. Cả hai chính sách bây giờ thể hiện trạng thái được kích hoạt của chúng
4. Đóng Group Policy Oject Editor
Bước 3: Kiểm tra tác động của các thiết lập hạn chế đối với người dùng
Với cả hai chính sách được kích hoạt, bạn có thể áp dụng chúng cho máy tính và cố gắng cài đặt thiết bị để xem các hạn chế mà bạn thiết lập làm việc thế nào.Kiểm tra kết quả thu được đối với người dùng.
1. Nếu thiết bị của bạn được cài đặt, thực hiện gỡ bỏ cài đặt ổ nhớ USB. 2. Kích vào nút Start, đánh groupdate/force trong hộp Start sau đó ấn ENTER.
3. Khi lệnh GPUdate kết thúc, log off máy tính của bạn, sau đó đăng nhập như DMI- Client1\TestUser.
4. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau đó nhấn ENTER.
Thông báo dưới đây sẽ xuất hiện cho biết rằng bạn không có quyền tạo bất kỳ thay đổi nào trong Device Manager
5. Kích OK để thừa nhận thông báo Device Manager bắt đầu và bạn có thể xem được các thiết bị trong máy tính.
6. Cắm ổ USB của bạn vào cho tới khi sự cài đặt được hoàn tất, thiết bị sẽ xuất hiện trong Device Manager dưới nút Other devices
7. Vì bạn đã đăng nhập như một người dùng chuẩn không có các quyền quản trị viên và sự cài đặt thiết bị bị giới hạn, do đó xuất hiện hộp thoại sau:
8. Để mô phỏng sự đáp trả đối với người dùng điển hình, kích Locate and install driver software (recommended). Một biến thể của hộp thoại User Account Control xuất hiện yêu cầu bạn cấp tên người dùng và password cho tài khoản có quyền quản trị viên. 9. Vì người dùng không có quyền quản trị viên nên kích Cancel để bỏ qua. Việc cài đặt bộ cài thất bại và thiết bị duy trì dưới nút Other devices không có tác dụng.
Dù có thể khóa việc gửi đi một số dữ liệu nào đó bằng tường lửa hoặc các hệ thống lọc, nhưng vẫn có người có thể kết nối laptop trong công ty đến một mạng không dây khác. Hoặc vẫn có người có thể truy cập Internet qua cách sử dụng điện thoại di động làm modem. Để phòng tránh những lỗ hổng này, công ty cần phải kiểm soát chặt chẽ các mạng không dây gần đó, và nếu có thể, cần phải thực thi biện pháp khóa tín hiệu của chúng một cách hợp lý.
Do các máy tính có thể đang chia sẻ các file hoặc có chứa dữ liệu nhạy cảm trong chúng nên bạn cần tránh kết nối chúng với các mạng khác. Kiểm tra Windows để bảo đảm rằng nó không được thiết lập để tự động kết nối đến các mạng có sẵn. Trong Vista, bạn có thể sử dụng các lệnh WLAN cho tiện ích netsh để hóa tất cả các mạng trừ mạng của bạn. Điều này sẽ ngăn chặn tình trạng nhân viên trong công ty vô tình kết nối đến các mạng gần đó.
- Netsh WLAN cung cấp:
Cấu hình kết nối không dây và các thiết lập mạng cho laptop hoặc máy tính Windows này.Ví dụ, bạn có thể cấu hình một laptop khi đăng nhập, để kết nối, an toàn đối với mạng không dây của công ty. (adsbygoogle = window.adsbygoogle || []).push({});
Xem các thiết lập chính sách nhóm không dây đã được áp dụng cho máy tính Windows này.
Kết nối với các mạng “mixed mode” (trộn lẫn nhiều chế độ), bạn có thể kết nối đối với cả mạng không dây WPA hoặc WPA2.
Ẩn các mạng không dây đối với người dùng – với netsh wlan, bạn có thể ẩn