2.3.4.1 Những vấn đề còn tồn tại của hệ thống LAN
Công ty làm việc ở 2 phòng ban khác nhau, được chia làm 2 tầng của một tòa nhà vì vậy tồn tại hai hệ thống mạng LAN riêng biệt giữa 2 tầng tòa nhà.
- Tầng 15 bao gồm các phòng: tổng giám đốc, phòng kinh doanh, phòng hành chính nhân sự, phòng kế toán.
- Tầng 3 bao gồm các phòng: phòng giám đốc, phòng kỹ thuật,trung tâm dữ liệu . Trong phòng kỹ thuật bao gồm các phòng quản trị mạng và phòng triển khai.
2.3.4.2.Ảnh hưởng của nó đến hoạt động của công ty
Theo phương pháp truyền thống, muốn chép dữ liệu giữa hai máy thì chúng ta dùng đĩa mềm, USB hoặc dùng cáp link để nối hai máy lại với nhau sau đó chép dữ liệu. Chúng ta thấy rằng hai giải pháp trên sẽ không thực tế khi phòng làm việc của công ty lại ở hai tầng của một tòa nhà. Việc trao đổi dữ liệu giữa các máy tính ngày càng nhiều hơn, đa dạng hơn, khoảng cách giữa các phòng ban trong một công ty cũng không thuận tiện để chia sẻ dữ liệu theo phương pháp truyền thống nên việc trao đổi dữ liệu theo phương thức truyền thống không còn được áp dụng nữa, thay vào đó tất cả các thành viên trong công ty khi muốn chia sẻ dữ liệu giữa các thành viên trong công
ty sẽ dùng email do công ty lập cho mỗi nhân viên trước khi vào công ty.Vì vậy hệ thống LAN công ty gặp phải những khó khăn sau:
- Đặc điểm của việc chia sẻ dữ liệu qua email sẽ không được đảm bảo về bảo mật thông tin hay việc chia sẻ dữ liệu qua email chỉ gửi được dữ liệu có một dung lượng nhất định do mail giới hạn về dung lượng.
- Do đó việc gửi các dữ liệu có dung lượng lớn thường được thực hiện bằng cách sử dụng các phương tiện lưu trữ di động như USB, ổ cứng di động... Đây là một điều khá bất tiện khi mà trong một doanh nghiệp thường xuyên phải trao đổi dữ liệu và chia sẻ các thông tin.
- Ngoài ra việc quản lý các máy con của các nhân viên cũng gặp khó khăn bởi không chung một mạng LAN thống nhất.
Phần 3: MỘT SỐ GIẢI PHÁP HOÀN THIỆN HỆ THỐNG LAN CÔNG TY CỔ PHẦN DỊCH VỤ VIỄN THÔNG CMC
3.1.Một số vấn đề nhằm giải quyết các hạn chế
3.1.1.Tốc độ truy cập
Hình 3.1.Sơ đồ hoàn thiện hệ thống LAN cho công ty
Hạ tầng mạng LAN đang sử dụng Switch 24 port DES-1024D của D-Link làm bộ xử lý trung tâm kết nối với các switch16 port ở các phòng ban. Đây là hệ thống chuyển mạch đời mới có thể đáp ứng các yêu cầu cơ bản và kết nối cho hơn 100 máy kết nối ra mạng Internet. Nhưng để nâng cao hiệu suất mạng nên thay bộ xử lý trung tâm Switch 24 ports của Dlink bằng thiết bị Switch tổng CMC Coreswitch đồng thời cho filewall NESTASQ đứng trước hệ thống lọc lưu lượng nhằm tăng khả năng bảo vệ hệ thống mạng cho công ty., bảo vệ dữ liệu, tài nguyên của hệ thống, chống lại các cuộc tấn công từ bên ngoài vào hệ thống mạng LAN và server, ngăn chặn các cuộc tấn
công từ trong mạng LAN như sniffer, Dos, virus…. Giảm thiểu các lỗi quản trị hệ thống, thao tác do con nhân viên gây ra cho hệ thống.
Đồng thời để tăng tốc độ xử lý cần bố trí thêm một số Swith và Repeater (tăng cường tín hiệu) cho những máy nằm xa bộ phát tín hiệu từ đó tăng tốc độ mạng của các máy khách trong hệ thống.
3.1.2.Đảm bảo an toàn
3.1.2.1.Giải pháp nhằm đảm bảo an toàn khi truyền nhận dữ liệu
Trong môi trường mạng LAN,thông tin được chia sẻ một cách thoải mái nhằm đạt được sự tiện lợi trong công việc.Tuy nhiên có những thông tin quan trọng mà bạn không muốn cho nhiều người biết thì phải làm thế nào? Mã hóa thông tin là cách làm tuy đơn giản nhưng đem lại hiệu quả cao.
Kỹ thuật mã hóa thông tin: là quá trình chuyển văn bản hay các tài liệu gốc
thành các văn bản dưới dạng mật mã để bất cứ ai ngoài người gửi và người nhận đều không thể đọc được.
Mục đích của kỹ thuật mã hóa là đảm bảo an ninh thông tin truyền khi phát. Nó giúp tránh được việc bị lấy trộm thông tin trên đường truyền do không thể hiểu được thông tin đó là gì.
Kỹ thuật mật mã hiện đại được cho là hết sức khó để phá bằng các phương tiện kỹ thuật; các phần mềm mã hóa hiện phổ biến rộng rãi, đem lại cho người dùng khả năng bảo mật thông tin cá nhân hết sức lớn lao trước việc nghe lén hay lấy trộm thông tin. Tuy vậy, kỹ thuật mã hóa thông thường - Encryption- vẫn có thể bị phá bằng nhiều cách, trong đó có các mã độc (malware), hay thường xảy ra là trong khâu lưu giữ chìa khóa (key-management) và trao đổi chìa khóa (key-exchange), khi mà người dùng không thể hay không thực hiện đúng các bước cần thiết để thực hiện việc mã hóa một cách đầy đủ. Ví dụ, các ứng dụng mã hóa Cryptography thường cần một phương thức nào đó để thẩm định danh tính của người hay máy, dùng từ phía kia của kết nối, nếu không, mối liên hệ thông tin có thể bị rủi ro từ các tấn công kiểu kẻ-lạ-mặt-đứng-giữa (man-in-the-middle attack) khi mà những kẻ nghe trộm hay phá hoại giả làm một trong những bên, trong mối liên kết thông tin, nhằm can thiệp các thông tin đáng lẽ ra là bí mật cá nhân. Việc mã hóa định dạng như vậy có thể thực hiện bằng các cách khác
nhau với các phần mềm, nhưng nếu bỏ qua các bước hay thu ngắn quy trình thực hiện sẽ làm tăng rủi ro của người dùng trước sự giám sát theo dõi.
Một kỹ thuật giám sát nữa là theo dõi phân tích lưu lượng kết nối, trong đó các thông số về các kết nối bị sử dụng để phán đoán một số yếu tố về nội dung, nguồn gốc, đoạn kết hay ý nghĩa của thông tin chuyển tải, ngay cả khi kẻ theo dõi không thể nắm được nội dung trực tiếp của luồng thông tin kết nối. Kỹ thuật giám sát lưu lượng có thể trở nên rất mạnh và khó chống lại, đây là mối quan ngại đáng kể cho các hệ thống ẩn danh, vì phân tích lưu lượng có thể đưa đến việc định vị được một thành phần ẩn danh.
Các hệ thống ẩn danh cao cấp như Tor có một số chức năng nhằm làm giảm hiệu quả của việc phân tích lưu lượng, nhưng vẫn có những điểm yếu, phụ thuộc vào khả năng của những kẻ nghe trộm thông tin.
3.1.2.2.Giải pháp nhằm đảm bảo an toàn truy cập dữ liệu
Sử dụng password đủ mạnh: Để đảm bảo bí mật cho mật khẩu, khi thiết lập nên xem xét các tiêu chí như:
Mật khẩu có số ký tự đủ lớn, tối thiểu 8 ký tự và có sự kết hợp giữa chữ hoa, chữ thường, chữ số và biểu tượng. Như vậy sẽ mất rất nhiều thời gian mới có thể tìm ra và phá mật khẩu, mà tới thời gian đó mật khẩu có thể đã được thay đổi. Mật khẩu cũng nên thường xuyên thay đổi (thường từ 30-60 ngày) và không nên sử dụng lại mật khẩu cũ.
Kích hoạt tự động việc khóa không cho truy cập hệ thống nếu sau từ 3-5 lần nhập mật khẩu vẫn không đúng. (adsbygoogle = window.adsbygoogle || []).push({});
Không sử dụng chức năng tự động điền (auto complete) của một số phần mềm ứng dụng như Microsoft Explorer để lưu mật khẩu và số tài khoản
3.1.3.Khả năng xử lý sự cố
3.1.3.1.Khả năng xử lý sự cố khi gặp sự cố kỹ thuật
- Giải pháp cho trường hợp bị tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ là nỗi ác mông với bất kỳ một doanh nghiệp và tổ chức nào và công ty CMC Telecom cũng không phải ngoại lệ. Trong quá khứ hệ thống LAN của công ty đã từng bị tấn công từ chối dịch vụ mặc dù chưa xảy ra hậu quả nghiêm trọng
nhưng đó thực sự là vấn đề cần giải quyết với hệ thống. Phần mềm AntiDDoS chống tấn công từ chối dịch vụ là một giải pháp tốt trong thời điểm hiện tại.
Với AntiDDoS, đây là dịch vụ chống tấn công từ chối dịch vụ DDoS (Distributed Denial of Service), ngăn chặn các cuộc tấn công phổ biến và nguy hiểm nhất trên mạng hiện nay.
AntiDDoS sẽ cung cấp đường truyền “sạch” cho những khách hàng là cơ quan Nhà nước, tổ chức Chính phủ, doanh nghiệp có các trung tâm dữ liệu, hệ thống email, website, cổng giao dịch điện tử... để chặn các cuộc tấn công DDoS từ bên ngoài. AntiDDoS sử dụng giải pháp Arbor Peakflow SP của Arbor Network (Mỹ), có khả năng bảo vệ hệ thống mạng của khách hàng, phát hiện nhanh, loại bỏ chính xác nguồn tấn công và duy trì hoạt động của hệ thống mạng.
- Giải pháp khi gặp lỗi thắt nút cổ chai:
Lỗi thắt nút cổ chai là hiện tượng đường truyền mạng bị tắc nghẽn ở một thời điểm, vị trí nào đó làm giảm hiệu suất của hệ thống.Thiết bị mạng Switch Planet FNSW-1601 có 16 cổng 10/100Base-TX Ethernet, được thiết kế với tiêu chí “giảm giá thành nhưng hiệu suất cao” dễ dàng sử dụng, cài đặt nên là lựa chọn cần thiết cho hệ thống LAN của công ty.
Với sự đòi hỏi về băng thông mạng trong hệ thống LAN, sản phẩm FNSW-1601 của Panet là sự lựa chọn lý tưởng, tiết kiệm giảm bớt hiện tượng thắt nút cổ chai trong mạng.
Thiết bị này cung cấp 16 cổng Fast Ethernet cho người sử dụng mạng kết nối tốc độ cao. Các cổng RJ-45/STP của FNSW-1601 có thể cấu hình ở các tốc độ 10/20Mbps, cho đến 100/200Mbps tự động nhờ khả năng tự động cảm nhận tốc độ (Auto- Negotiation)
(tốc độ lọc/truyền: 14,880pps (pocket per second) ở tốc độ 10Mbps, 148,800pps trong tốc độ 100Mbps) và bộ nhớ đệm tự động chia sẻ, sẽ giúp FNSW-1601 có thể nâng cao băng thông, loại trừ những lưu lượng không cần thiết, và giảm những tắc nghẽn đến máy chủ.
- Giải pháp khi bị lỗi do virus, trojan, backdoor
Theo thống kê trung bình mỗi tháng có hơn 500 virus ra đời, do đó doanh nghiệp nên sử dụng các phần mềm chống virus để kiểm tra tất cả các dữ liệu hoặc được truyền qua cổng máy chủ ở mạng hoặc truyền giữa các cổng nội bộ. Các phần mềm chống virus cũng nên được cập nhật thường xuyên (hàng ngày, hàng tuần). Thông thường, các công ty phần mềm virus uy tín thường gửi email tới khách hàng thông báo về việc xuất hiện những virus mới và cung cấp công cụ update tự động cho khách hàng.
Định dạng cổng email để khóa các tệp có đuôi dạng VBS, SHS, EXE, SCR, CHM và BAT hoặc những tệp có hai phần mở rộng dạng như .txt.vbs hoặc .jpg.vbs vì những tệp dạng này thường do virus tạo ra.
Phố biến kiến thức cho người sử dụng là giải pháp hiệu quả mà tốn chi phí thấp nhất, ví dụ, không mở những email lạ có tệp đính kèm, thậm chí từ người gửi có tên trong sổ địa chỉ, không tải về những tệp từ những nguồn không rõ ràng, thường xuyên quét virus, cập nhật phần mềm quét virus thường xuyên, không gửi những cảnh báo về virus hoặc các thư dây chuyền cho những người sử dụng khác.
3.1.3.2.Các giải pháp khi gặp sự cố phi kỹ thuật:
Đây là những lỗi thường mắc phải trong bảo mật xuất phát từ sự thiếu cảnh giác hoặc thiếu hiểu biết của người sử dụng.Giải pháp tốt nhất chính là nâng cao hiểu biết của người sử dụng.Dưới đây là một số lỗi mà người dùng hay gặp phải cần tránh
- Giải pháp khi môi trường mạng máy tính cá nhân không an toàn
Hiện nay các nhân viên thường đem máy tính xách tay (laptop) của mình đến văn phòng để làm việc. Trong môi trường mạng tại gia đình, chế độ bảo mật thường rất kém hay thậm chí không có những thiết lập bảo vệ. Do đó, những chiếc laptop của nhân viên có thể là nguồn gốc phát tán virus, malware hay trở thành zombie trung gian để tin tặc tấn công vào hệ thống mạng của doanh nghiệp.Giải pháp đề ra là hạn chế sử dụng máy tính cá nhân trong môi trường làm việc của cơ quan, chỉ sử dụng khi cần thiết và được cho phép.
- Giải pháp khi nhân viên thiếu cảnh giác với mạng công cộng
Một thủ đoạn chung tin tặc hay sử dụng để dẫn dụ những nạn nhân là đặt một thiết bị trung chuyển wireless access-point không cài đặt mật khẩu (unsecured) rồi gán
một cái nhãn như "Mạng Wi-Fi miễn phí" và rung đùi ngồi chờ những kết nối "ngây thơ" rơi vào bẫy. Tin tặc sẽ dùng các công cụ thâu tóm gói dữ liệu mạng giúp nhận biết cả những văn bản hay bất kỳ những gì mà nhân viên doanh nghiệp gõ rồi gửi ra ngoài. Giải pháp tốt nhất phòng tránh là không nên sử dụng những mạng trái phép, không rõ nguồn gốc để trao đổi những thông tin quan trọng tuyệt mật.
- Giải pháp khi bị mất mát thiết bị di động
Rất nhiều doanh nghiệp, thậm chí gần đây còn có cả một vài hãng lớn bị thất thoát dữ liệu quan trọng do mất cắp máy tính xách tay, thất lạc điện thoại di động hay các đĩa flash USB lưu trữ. Dữ liệu trong các thiết bị này thường ít được mã hóa hay bảo vệ bằng mật khẩu, rất dễ dàng xử lý một khi đã sở hữu chúng. Giải pháp đề ra là không nên để những thông tin dữ liệu quan trọng trong các thiết bị di động, khi cần thiết sử dụng nên mã hóa những file quan trọng.
- Giải pháp khi duyệt web tràn lan
Không phải nhân viên văn phòng nào cũng đủ am hiểu tường tận về những hiểm họa rình rập trên mạng Internet như malware, spyware, virus, trojan... Họ cứ vô tư truy cập vào các website không xác định hoặc bị dẫn dụ click vào những website được tin tặc bày cỗ chào đón và thế là máy tính của nhân viên sẽ là cánh cửa giúp tin tặc xâm nhập vào trong mạng của doanh nghiệp. Giải pháp đề ra là chặn các web xấu, nguồn gốc không rõ ràng.Có những biện pháp cảnh cáo, kiểm điểm những nhân viên sử dụng web không phải mục đích phục vụ công việc trong giờ hành chính.
- Giải pháp khi Email chứa đựng mã độc
Những cuộc giội bom thư rác sẽ làm tràn ngập hộp thư của bạn với những tiêu đề hấp dẫn như những vụ scandal tình ái, hình ảnh nóng bỏng hay các lời mời chào kinh doanh... chỉ một cú nhấp chuột sai lầm thì ngay lập tức máy tính sẽ tải về các đoạn mã độc làm tiền đề cho hàng loạt phần mềm độc hại đi sau xâm nhập vào máy tính. Giải pháp đề ra là dùng những phần mềm lọc các gói tin rác, spam vào hệ thống. (adsbygoogle = window.adsbygoogle || []).push({});
3.2.Các giải pháp cụ thể
3.2.1.Giải pháp về phần cứng nhằm hỗ trợ hoạt động của mạng
NETASQ là giải pháp phần cứng hàng đầu cho việc bảo mật mạng LAN
Hình 3.2. Phần cứng NETASQ
Đây là thiết bị đa chức năng, có thể miêu tả NETASQ giống như một bộ chia LAN cho hệ thống, ngoài ra, sản phẩm này còn cung cấp một hệ thống tường lửa và chương trình diệt virus tương đối hiệu quả, phù hợp với doanh nghiệp nhỏ và vừa hiện nay.
NETASQ có các chức năng chính
Tiêu diệt virus, trojan, backdoor. Có khả năng phân tích theo ngữ cảnh giúp doanh nghiệp của bạn đứng ngoài cuộc chơi giữa các spammer.
Phòng chống tấn công IPS bẻ gãy mọi phương tiện tấn công của kẻ phá hoại nhằm vào server hoặc máy chủ dữ liệu quan trọng của doanh nghiệp.
Tường lửa ngăn chặn xâm nhập bất hợp pháp không được cho phép. VPN khả năng tăng cường kết nối giữa người dùng ở xa tới hệ thống.
Lọc web có nhiệm vụ chặn các trang web, các từ khóa và các ứng dụng không phù hợp với công việc của doanh nghiệp
Quét lỗ hổng hệ thống (SEIZMO) : Tính năng SEIZMO này liên tục quét các máy tính trong mạng và báo cho người quản trị biết máy nào tại lỗ hổng cần được cập nhật vá lỗi, chương trình này đăc biết có tác dụng khi quy mô của công ty được mở