Đang tải... (xem toàn văn)
3.2 Mô hình chi tiết cho web và mail server 3.3 Giải pháp công nghệ 3.3.1 Chức năng của Endpoint Security 3.3.2 Chức năng của UTM1 130 3.3.3 Giải pháp cụ thể chống thất thoát dữ liệu của Checkpoint 3.3.4 Giải pháp backup: Cloud backup của vinacis 3.3.5 Lợi ích của giải DLP 3.3.6 Tính năng của DLP 4. XÂY DỰNG CHÍNH SÁCH 4.1 Chính sách bảo mật của tổ chức 4.1.1 Internal: Chính sách nội bộ trong công ty 4.1.2 External: Chính sách cho những đối tác tới của công ty 4.2 Chính sách Quản lý tài sản
ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CƠNG NGHỆ THƠNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG ĐỒ ÁN MƠN XÂY DỰNG CHUẨN CHÍNH SÁCH AN TỒN THƠNG TIN TRONG DOANH NGHIỆP - - ĐỀ TÀI: GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH NGHIỆP Hướng dẫn thực : Nguyễn Duy Các thành viên : Đặng Vũ Hiệp 12520590 Đặng Thái Hoà 12520596 Đoàn Hùng Cường 12520552 Nguyễn Thanh Tâm 12520909 Lê Anh Minh Tuấn 11520448 Lời nói đầu NHU CẦU KHÁCH HÀNG MỤC LỤC 1.1 Yêu cầu chung 1.2 Định hướng thiết kế, triển khai PHÂN TÍCH, ĐÁNH GIÁ HỆ THỐNG MẠNG HIỆN TẠI 2.1 Hiện trạng hệ thống 2.2 Phân tích, đánh giá hệ thống 2.2.1 Khả bảo mật 2.2.2 Rủi ro mất thông tin GIẢI PHÁP ĐỀ XUẤT 3.1 Mơ hình tổng thể 3.1.1 Điểm mạnh mơ hình 3.1.2 Triển khai thiết bị 3.2 Mơ hình chi tiết cho web mail server 3.3 Giải pháp công nghệ 3.3.1 Chức Endpoint Security 3.3.2 Chức UTM-1 130 3.3.3 Giải pháp cụ thể chống thất thoát liệu Checkpoint 3.3.4 Giải pháp backup: Cloud backup vinacis 3.3.5 Lợi ích giải DLP 3.3.6 Tính DLP XÂY DỰNG CHÍNH SÁCH 4.1 Chính sách bảo mật tổ chức 4.1.1 Internal: Chính sách nội cơng ty 4.1.2 External: Chính sách cho đối tác tới cơng ty 4.2 Chính sách Quản lý tài sản 4.2.1 Trách nhiệm với tài sản 4.2.2 Thông tin 4.3 Chính sách Quản lý người 4.4 Chính sách quản lý physical 4.4.1 Chính sách quản lý khu vực 4.4.2 Chính sách quản lý thiết bị 4.5 Chính sách quản lý truy cập 4.6 Quản lý thiết bị in ấn thiết bị ngoại vi 4.7 Quản lý thông tin cá nhân quản lý nhân TÀI LIỆU THAM KHẢO Nhu cầu khách hàng Yêu cầu chung - Phân tích điểm yếu mơ hình mạng - Phân tích rủi ro mát liệu a Attacker b Nhân viên - Thiết kế lại hệ thống – mạng với tính bảo mật tốt (hướng tới giải pháp chống thất liệu) a Vẽ mơ hình tổng thể b Vẽ mơ hình chi tiết cho phần (Web Security, Email Security, IDS/IPS Security,…) c Thuyết minh giải pháp cho phần - Xây dựng qui trình sách để phối hợp với công nghệ sử dụng hệ thống để giảm thiểu tối đa khả mất liệu hệ thống 1.1 Định hướng thiết kế, triển khai -Thiết kế lại theo hướng giảm thất thoát liệu đảm bảo độ bảo mật cao -Đề giải pháp có hiệu kinh tế Phân tích, đánh giá hệ thống mạng 2.1 Hiện trạng hệ thống Hiện doanh nghiệp có khoảng 100 người dùng Thơng tin chi tiết dịch vụ chạy hệ thống xem hình bên Những thông tin chi tiết hệ thống: - Quản trị theo mơ hình workgroup - Router Cisco tích hợp firewall - Khơng có phần mềm antivirus, firewall chun dụng sách bảo mật khác 2.2 Phân tích, đánh giá hệ thống 2.2.1 Khả bảo mật Những điểm yếu mô hình mạng: Mơ hình mạng lớn, liệu mang người dùng nhiều mà khơng có quản lý thỉ dễ xảy nhiều bất cập liên quan đến bảo mật khai thác tài ngun Workgroup khơng thích hợp cho mạng có 10 máy Không thuận lợi công tác quản trị tính bảo mật Những tài khoản không quản lý tập trung Không cho phép quản lý tập trung nên liệu phân tán, khả bảo mật thấp, dễ bị xâm nhập Các tài ngun khơng xếp nên khó định vị tìm kiếm Khơng quản trị tập trung, đặc biệt trường hợp có nhiều tài khoản cho người sử dụng (user) truy xuất vào trạm làm việc khác nhau; việc bảo mật mạng bị vi phạm với người sử dụng có chung tên người dùng, mật truy xuất tới tài ngun; khơng thể chép dự phòng (backup) liệu tập trung Dữ liệu lưu trữ rải rác trạm Mỗi người dùng phải có tài khoản người dùng máy tính mà họ muốn đăng nhập; thay đổi tài khoản người dùng, thay đổi mật thêm tài khoản người dùng mới, phải làm tất máy tính Workgroup, bạn quên bổ sung tài khoản người dùng tới máy tính nhóm người dùng khơng thể đăng nhập vào máy tính khơng thể truy xuất tới tài ngun máy tính đó; việc chia sẻ thiết bị file xử lý máy tính riêng, cho người dùng có tài khoản máy tính sử dụng Các liệu tài nguyên lưu trữ phân tán máy cục bộ, máy tự quản lý tài nguyên cục Trong hệ thống mạng khơng có máy tính chun cung cấp dịch vụ quản lý hệ thống mạng Mơ hình phù hợp với mạng nhỏ yêu cầu bảo mật mạng khơng cao Đồng thời mơ hình mạng máy tính sử dụng hệ điều hành hỗ trợ đa người dùng, lưu trữ thông tin người dùng tập tin SAM (Security Accounts Manager) máy cục Mạng có nhiều tài nguyên mạng người dùng khó xác định chúng để khai thác Quản trị workgroup bao gồm việc quản trị CSDL tài khoản bảo mật máy tính cách riêng lẻ, mang tính cục bộ, phân tán Điều rõ ràng phiền phức khơng thể làm mạng lớn Hệ thống mạng thiết kế theo mơ hình workgroup nên CSDL phân tán, khó quản lý Khơng có firewall chun dụng nên dễ bị công DOS, DDOS… để đánh cắp liệu Các phòng ban có lớp mạng nên truy cập liệu lẫn Dễ bị mát liệu, in ấn tự Khơng có phần mềm antivirus nên dễ bị lây nhiễm virus qua thiết bị di động thông qua việc truy cập mạng nhân viên Hệ thống mạng tính dự phòng Khi router chết làm tê liệt hệ thống mạng Các máy tính môi trường workgroup ngang hàng với kiểm sốt truy cập nhân viên, khơng có sách an ninh áp dụng nên nhân viên chép liệu qua usb hay gởi thơng tin bên ngồi thơng qua internet mà khơng bị phát Hệ thống mạng sử dụng đường truyền mạng, khó mở rộng mơ hình mạng 2.2.2 Rủi ro thông tin Attacker Tấn công vào lỗ hổng bảo mật: Hacker lợi dụng lỗ hổng bảo mật mạng, giao thức lỗ hổng hệ điều hành… để công ăn cắp liệu Ví dụ attacker lợi dụng lỗ hổng SQL injection máy chủ web để công get sở liệu SQL Tấn công giả mạo: Đây thủ đoạn kẻ công nhằm giả dạng nhân vật đáng tin cậy để dò la lấy cắp thơng tin, ví dụ attacker dùng email tự xưng ngân hàng tổ chức hợp pháp thường gởi số lượng lớn Nó yêu cầu người nhận cung cấp thông tin nhạy cảm tên truy cập, mật khẩu, mã đăng ký số PIN cách dẫn đến đường link tới website nhìn hợp pháp, điều giúp cho tên trộm thu thập thông tin quý khách để tiến hành giao dịch bất hợp pháp sau Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng phần mềm độc hại, loại virut tiêm vào phần mềm trông vô hại để dụ người sử dụng nhiễm phải Chúng ăn cắp thông tin, phá hoại liệu máy tính lây lan qua máy khác Tấn cơng trực tiếp qua kết nối vật lí: Bằng cách hay cách khác kẻ cơng tìm cách tiếp cận với mạng nội bộ, chúng dung số công cụ nghe để bắt gói tin, phân tích chúng để ăn cắp liệu Ví dụ thơng tin tài khoản đăng nhập, chiếm quyền điều khiển máy để lấy liệu cơng máy chủ… Tấn cơng thăm dò: Attacker giả dạng công ty bán sản phẩm tin học để hỏi thăm nhân viên số thơng tin phòng server, có thiết bị, thiết bị dùng hãng nào, có firewall hay khơng… để từ làm sở cho cơng đánh cắp liệu Nhân viên Nhân viên gởi thơng tin mật cơng ty ngồi qua email Truy cập mạng, lướt web vơ tình click vào link lạ hay hình ảnh chia sẻ bị dính virus bị đánh cắp thơng tin Sử dụng chương trình chia file, up liệu lên mạng Sử dụng laptop cá nhân cơng việc mà khơng mã hóa liệu vơ tình bị đánh cắp Sử dụng thiết bị di động để chép liệu bên để chép liệu làm việc lại để thiết bị di động Nhân viên ngồi khơng log off tài khoản hay tắt máy tính để nhân viên khác chép liệu đem bên ngồi Lây nhiễm virus nhân viên sử dụng USB cắm vào máy tính cơng ty Nhân viên tiết lộ thơng tin nội bên ngồi q trình sử dụng : skype, yahoo, điện thoại… Nhân viên cài phần mềm nghe vào máy tính công ty 3.1 In tài liệu, photocopy tự không quản lý tập trung Đem tài liệu in, copy bên Dùng điện thoại, camera chụp lại tài liệu cơng ty Mơ hình tổng thể Giải pháp đề xuất Thiết kế lại hệ thống - Từ sơ đồ ban đầu công ty xây dựng với mơi trường Workgroup, khơng có firewall chun dụng… tồn nhiều nhược điểm công ty yêu cầu cần triển khai lại hệ thống với độ bảo mật cao - Dưới mơ hình tổng thể thiết kế lại theo hướng giảm thất thoát liệu đảm bảo độ bảo mật cao Mơ hình tổng thể 3.1.1 Điểm mạnh mơ hình Sử dụng mơ hình mạng với cấu trúc phân lớp ( lớp): Lớp Core: Gồm Router có nhiệm vụ cung cấp tối ưu hố độ tin cậy trình truyền tin với tốc độ cao Lớp Core Layer đáp ứng vai trò sau: Kiểm tra Access-list, Mã hố liệu, Address translation Lớp Distribution: Gồm Switch layer có vai trò đáp ứng số giao tiếp giúp giảm tải cho lớp Core Layer q trình truyền thơng tin mạng Một sách áp dụng dạng cụ thể sau: Routing updates, Route summaries, VLAN Lớp Access: Lớp truy cập chủ yếu thiết kế cung cấp cổng kết nối đến máy trạm mạng, nên gọi Desktop Layer Bất liệu dịch vụ từ xa (ở VLAN khác, vào) xử lý lớp Phân Phối Mang lại thuận tiện thiết kế, cụ thể triển khai, dễ dàng để quản lý giải cố Và đáp ứng yêu cầu tính mềm dẻo cho hệ thống mạng Mơ hình đáp ứng tương đối đầy đủ yêu cầu kĩ thuật thiết kế mạng như: WebCheck: Bảo vệ chống lại mối đe dọa web bao gồm việc download, cơng zero-day Đưa trình duyệt chạy mơi trường ảo hóa an ninh Firewall/Compliance Check: Bảo vệ bên bên giúp ngăn chặn malware từ hệ thống bị nhiễm, khóa cơng có mục tiêu ngăn chăn luồng traffic không mong muốn 3.3.2 Chức UTM-1 130[2] Firewall: Trường lửa thử thách bảo vệ cho 200 ứng dụng, giao thức dịch vụ với tính cơng nghệ kiểm sốt thích ứng thơng minh IPsec VPN: Kết nối an tồn cho văn phòng người dùng cuối thông qua VPN Site-to-Site quản lý truy cập từ xa mềm dẻo IPS: Giải pháp phòng chống xâm nhập IPS tích hợp hiệu cao với tầm bao phủ nguy tốt Web Security: Bảo vệ tiên tiến cho toàn môi trường Web đặc trưng bảo vệ mạnh chống lại công tràn đệm URL Filtering: Bộ lọc Web thuộc hạng tốt bao phủ 20 triệu URLs, bảo vệ người dùng doanh nghiệp cách cấm truy cập tới trang Web nguy hiểm Antivirus & Anti-Malware: Bảo vệ diệt virus hàng đầu bao gồm phân tích virus heuristic, ngăn chặn virus, sâu malware khác cổng Anti-Spam & Email Security: Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam, bảo vệ servers hạn chế cơng qua email Tích hợp squid proxy firewall: Kiểm soát truy cập người dùng,tăng tốc độ mạng,… 3.3.3 Giải pháp cụ thể chống thất thoát liệu Checkpoint Email Mã hóa tất email nhân viên gởi ngồi mạng Internet (Dùng tính Anti-Spam & Email Security UTM-1 130) Chống thư rác từ bên gởi vào Internet (Dùng tính Anti-Spam & Email Security UTM-1 130) Từ chối tất email có đính kèm số file sau: exe, bat, msi, vbx…(Dùng tính AntiSpam & Email Security UTM-1 130) Chống công DOS Buffer over flow (Dùng tính Anti-Spam & Email Security UTM-1 130) Web Chặn web theo thể loại streaming media, search engine… Hạn chế nhân viên sử dụng web để tìm kiếm liệu xem video hay phim (Dùng tính Web Filtering UTM-1 130) Chặn URL mà người quản trị không muốn nhân viên truy cập vào làm việc (Dùng tính Web Filtering UTM-1 130) Bảo vệ an tồn truy cập web (Dùng tính Antivirus & Anti Malware UTM-1 130) File share Cấm tải liệu lên mạng giao thức FTP trang mediafire, dropbox, 4share…(Dùng tính Web Security UTM-1 130) Mã hóa tất liệu chia sẻ chép qua thiết bị di động (Dùng tính Media Encryption Endpoint Security) Chỉ truy cập liệu theo quyền hạn (Cấp quyền Win server 2008 cho user) Các thiết bị Desktop/Laptop Không sử dụng laptop riêng công ty Mã hóa liệu ổ đĩa Desktop (Dùng tính Full Disk Encryption Endpoint Security) Triển khai firewall máy Desktop công ty để chống lại malware, virus Hạn chế lây nhiễm virus qua usb (Dùng tính Anti-Malware Endpoint Security) Lưu profile người sử dụng server,người sử dụng thao tác thông qua số thiết bị định: hình có cắm mạng,chuột,bàn phím Thiết bị di động Mã hóa tất liệu chép vào thiết bị di động USB, CD/DVD… (Dùng tính Media Encryption Endpoint Security) Truy cập từ xa (VPN) Mã hóa đường truyền truy cập từ xa, hạn chế bị hacker cơng (Dùng tính IPSec VPN) Ngăn chặn cơng Với tính IPS UTM-1 130 ghi nhận lại thông tin luồng liệu vào mạng để phân tích bất thường cảnh báo cho quản trị viên Thiết lập rules để chống lại công DOS, DDOS, Buffer over flow… Sử dụng hệ thống IDS/IPS để theo dõi,cảnh báo,ngăn chặn 3.3.4 Giải pháp backup: Cloud backup vinacis - Lập lịch lưu: việc lưu liệu thực thi hoàn toàn tự động theo lịch trình định sẵn - Khôi phục liệu thông qua giao diện web: cung cấp cổng quản lý trực tuyến cho phép người dùng cuối dễ dàng truy cập lấy lại liệu lưu từ đâu - Tích hợp plugin ứng dụng: Cloud Backup kèm theo plugin tích hợp sẵn vào ứng dụng thơng dụng nhằm đơn giản hóa qui trình lưu - Hỗ trợ lưu máy chủ: tạo lưu cho dịch vụ máy chủ MS Exchange, MS SQL, MySQL - Mã hóa 256-bit AES: liệu lưu ln Cloud Backup mã hóa chế 256-bit AES với khóa mã hóa bạn thiết lập nhằm tránh việc truy xuất trái phép - Đường truyền SSL: kết nối máy tính bạn hệ thống Cloud Backup bảo mật kênh truyền SSL SSL mã hóa gói tin gửi từ máy tính bạn hệ thống Cloud Backup Do đó, loại trừ hồn tồn nguy kẻ xấu đánh cắp liệu bạn Internet Ngoài chức Checkpoint cung cấp giải pháp nhằm hướng đến giải pháp chống thất thoát liệu công ty với tên gọi DLP (Data Loss Prevetion) Giải pháp triển khai mức gateway firewall UTM Checkpoint 3.3.5 Lợi ích giải DLP[3] Dễ dàng triển khai quản lý đơn giản Chính sách cấu hình sẵn cho phép phòng chống thất liệu Hổ trợ nhiều tập tin kiểu liệu Sử dụng công nghệ UserCheck cho phép khắc phục hậu thời gian thực Kiểm tra kiểm sốt liệu vào cơng ty phòng ban với 3.3.6 Tính DLP Checkpoint UserCheck: Công nghệ cảnh báo cho người dùng vi phạm sách cơng ty người dùng phải khắc phục cố Nếu người dùng cố tình vi phạm có thơng tin log gởi cho nhà quản trị Bảo vệ thơng tin nội bộ: DLP kiểm sốt tồn thơng tin email rời khỏi công ty Tất email muốn rời khỏi cơng ty phải chuyển đến DLP gateway kiểm tra Mã hóa tồn liệu qua DLP gateway DLP giải mã liệu public key người gởi để kiểm tra, bảo vệ sau mã hóa lại gởi đến cho người nhận Bảo vệ liệu gởi qua mạng như: SMTP, HTTP, FTP Fingerprint Sensitive Files: Quét kiểm tra kho tập tin nhạy cảm liệu gởi bên Nếu tập tin nhạy cảm phù hợp với kho liệu tập tin giữ lại khơng cho gởi bên ngồi Triển khai nhanh chóng linh hoạt: Check Point DLP Software Blades cài đặt Check Point gateway Triển khai dễ dàng nhanh chóng, tiết kiệm thời gian giảm chi phí cách tận dụng sở hạ tầng bảo mật Xây dựng sách 4.1 Chính sách bảo mật tổ chức 4.1.1 Internal: Chính sách nội cơng ty Xây dựng tài liệu mơ tả tồn hệ thống mạng công ty Tài liệu mô tả chi tiết thiết bị , kết nối thiết bị, địa IP thiết bị , cấu trúc mạng để nắm nhìn tổng qt cho tồn hệ thống mạng Hệ thống mạng phải có sách bảo mật thích hợp: Cần phải quản lý chi tiết việc truy cập vào dịch vụ mạng user như: ứng dụng mạng phép sử dụng, trang web phép truy cập, thời gian truy cập, ngăn chặn download định dạng file cụ thể để tránh làm giảm hiệu mạng… Ngoài , phải giám sát hiệu suất hệ thống mạng công ty , đảm bảo băng thông cho việc sử dụng quan trọng Để thực sách giải pháp tối ưu sử dụng hệ thống UTM (Unified Thread Management) Endpoint Security mà cụ thể sử dụng thiết bị hãng Checkpoint Chính sách đảm bảo an tồn cho vùng DMZ mà cụ thể web server mail server nhằm hạn chế công từ bên ngồi vào DOS, DDOS, spam email… Chính sách đảm bảo an toàn cho vùng server nội : Phân chia quyền truy cập vào server cần thiết vi nguya từ bên công ty lớn, không trọng việc ngăn cản từ bên ngồi cơng vào hệ thống mà việc đảm bảo độ an toàn nội cần thiết Trong công ty , server nội nằm vùng Vlan riêng biệt nên cần phân quyền cho phép người dùng truy cập vào Vlan Sao lưu liệu thường xuyên: Sao lưu liệu thường thực hàng ngày theo khung cụ thể phù hợp cố định thống để có liệu backup restore kịp thời có cố xảy Quản lý file cấu hình thiết bị mạng : file cấu hình router, switch, access point cần phải quản lý lưu 4.1.2 External: Chính sách cho đối tác tới cơng ty Chính sách cho khách hàng : Các khách hàng đến công ty giao dịch sử dụng mạng khơng dây mà cơng ty cung cấp Hệ thống nằm VLAN riêng biệt gọi VLAN khách người dùng VLAN ngồi internet mà ko phép truy cập đến tài nguyên nội cơng ty server , máy tính mạng máy in, máy fax Chính sách cho đối tác: Đảm bảo trình truyền liệu thơng tin trao đỗi giao dịch công ty đến đối tác tuyệt đối an tồn, bảo mật 4.2 Chính sách Quản lý tài sản Tất nhân viên cá nhân có quyền truy nhập vào hệ thống máy tính cơng ty phải tuân thủ sách đề nhằm bảo vệ hệ thống máy tính, mạng máy tính, tồn vẹn liệu an tồn thơng tin cơng ty 4.2.1 Trách nhiệm với tài sản a Danh mục tài sản Tài sản cơng ty bao gồm nhóm danh mục sau: Server Máy tính Các thiết bị phụ kiện: Printer, Photocopy, Fax, IP camera Thiết bị mạng: Router, Switch, Firewall, Access Point Thiệt bị lưu trữ (USB, Tape…) Phần mềm phục vụ hệ thống công việc Đối với thiết bị lưu trữ theo dõi đặc biệt HDD Tape (Chứa liệu, backup) Các đĩa CD/DVD, đĩa mềm, usb b Sở hữu sử dụng tài sản u cầu cơng ty ban hành sách việc sở hữa sử dụng tài sản thơng qua , triển khai xuống phòng ban, phận công ty Các cá nhân làm việc ví trí chứa thiết bị có trách nhiệm bảo quản, giám sát, bảo vệ thiết bị Các cá nhân ủy quyền sử dụng thiết bị di động, lưu trữ có trách nhiệm bảo quản thiết bị Khơng sử dụng thiết bị lưu trữ thơng tin nội bộ, nhạy cảm cơng ty mà khơng có cho phép Di chuyển tài sản: Phải điền mẫu xác nhận cập nhật vào CSDL Số serial Tên Vị trí Vị trí Chủ sở hữu 4.2.2 Thông tin a Phân loại thơng tin Thơng tin bình thường: Là thơng tin trao đổi bình thường nhân viên, khách hàng trang đổi mạng (Web, liên lạc email, IM…., khách hàng sử dụng wifi) Thông tin nhạy cảm: Là thông tin liên quan đến hoạt động kinh doanh (PR, chăm sóc khách hàng), log file, trao đổi file, giấy tờ nội công ty Thông tin mật: Là thông tin liên quan đến tài khoản – mật khẩu, thơng tin tài chính, giao dịch cơng ty, backup data Thông tin tuyệt mật: Thông tin định hướng, chiến lược kinh doanh công ty b Chính sách Đánh nhãn thiết bị lưu trữ, tài liệu giấy tờ: Tùy nhãn chúng mà lưu trữ khu vực khác nhau, phân loại mức độ theo màu sắc Thơng tin nhạy cảm: Do trưởng phòng, nhân viên ủy quyền lưu trữ Thơng tin bảo mật: Phó giám đốc trở lên người ủy quyền lưu trữ Thông tin tuyệt mật: Giám đốc trở người ủy quyền lưu trữ Sử dụng, truy xuất thiết bị lưu trữ: USB, Đĩa Mềm, CD/DVD, Băng từ Thơng tin bình thường: Nhân viên tùy nghi sử dụng Thông tin nhay cảm: Cần phải có đồng ý cấp nhân viên sử dụng hay mang ngồi Thơng tin mật: Cần xác nhận Phó Giám đốc trở lên Thơng tin tuyệt mật: Chỉ có Giám đốc trở lên định Hủy liệu thiết bị: USB, Đĩa Mềm, CD, Băng Từ, HDD Thông tin bình thường: Xóa bình thường, khơng bắt buộc phải format Thông tin nhạy cảm: Thiết bị lưu trữ cần format lại Thông tin mật: Phải ghi đè nhiều lần đảm bảo khôi phục lại Thông tin mật: Hủy liệu lẫn thiết bị 4.3 Chính sách Quản lý người Mỗi nhân viên công ty cấp tài khoản để đăng nhập vào hệ thống máy tính cơng ty Password để đăng nhập vào tài khoản máy tính cơng ty phải có độ phức tạp (bao gồm chữ in hoa, ký tự đặt biệt… nhân viên IT cấp) nhân viên phải tự bảo quản khơng để mát, rò rỉ Nếu bị bị lộ phải báo với nhân viên IT để giải Nếu nhân viên khơng làm việc cơng ty tài khoản nhân viên bị tạm khố Tất thành viên công ty tuyệt đối không chép liệu cơng ty đem ngồi với hình thực Nếu phát tùy vào mức độ nặng nhẹ mà có hình phạt tương xứng (kỷ luật, cảnh cáo, sa thải, truy tố trách nhiệm trước pháp luật) Trường hợp muốn chép liệu chp khách hàng phải đồng ý Trường phòng trở lên phép chép liệu Mỗi nhân viên phải có nghĩa vụ trách nhiệm bảo quản thiết bị công ty ủy quyền sử dụng, có vấn đề xảy phải báo với phận IT để kịp thời xử lý Các nhân viên không cài đặt phần mềm không rõ nguồn gốc khơng có quyền ngồi phần mềm phục vụ công việc cài sẵn máy Mỗi nhân viên nghiêm túc thực sách công ty đưa vi phạm phải chịu trách nhiệm (khiển trách, trừ lương sa thải…) Nhân viên kinh doanh làm bên ngồi cơng ty Được cấp laptop để tiện làm việc bên Laptop cài đặt phần mềm quyền cần thiết để phục vụ cho cơng việc (MS office, chương trình VPN…) Mã hóa tất liệu ổ cứng máy laptop để hạn chế bị đánh cắp liệu nhân viên phải chịu trách nhiệm với liệu chép cho người khác Phải chịu trách nhiệm bảo quản tài sản công ty, sử dụng cho công việc không cho mượn hay cài thêm phần mềm lạ không rõ nguồn gốc vào máy tính Định kỳ tháng đem đến phòng IT để bảo dưỡng, kiểm tra quét virus, nâng cấp phần mềm… Nhân viên phòng ban Chỉ phép sử dụng máy tính desktop phục vụ cho công việc hành chánh không sử dụng cho mục đích khác (như chat, xem phim…) Chỉ truy cập vào tài nguyên phòng ban khơng cố ý truy cập tài ngun mà khơng có thẩm quyền Nhân viên bình thường log on vào tài khoản hành chính, ngồi thời gian làm việc nhân viên khơng thể log on vào máy tính Nhân viên thử việc Được áp dụng giống nhân viên phòng ban, cấp user cho phép sử dụng thông tin phòng ban cơng tác, khơng phép truy cập thơng tin phòng ban khác Nhân viên nghỉ việc Khơng nên xóa Acount ln mà khóa lại, có người vào thay thế, ta đổi thông tin lại mà không cân thời gian đặt lại quyền cấu hình lại từ đầu Nhân viên quản trị phòng IT Có trách nhiệm giám sát, theo dõi hoạt động nhân viên khác cơng ty sử dụng máy tính vào công việc mà không làm chuyện riêng Đảm bảo liệu công ty bảo mật tránh thất ngồi Khi xảy cố phải báo cáo tình hình mức độ thiệt hại cho cấp biết Phải khắc phục cố với thời gian nhanh để đảm bảo hệ thống hoạt động thông suốt Chịu quản lý nghiêm chỉnh chấp hành yêu cầu cấp Quản lý tài nguyên công ty, chịu trách nhiệm backup liệu công ty theo định kỳ Nếu nhân viên IT nghỉ làm việc công ty phải thông báo trước với cấp công ty (theo luật lao động Việt Nam) bàn giao toàn công việc thời làm thiết bị quản lý cho nhân viên khác có chuyên môn cho cấp Ban lãnh đạo giám đốc Có tồn định sách an ninh thơng tin cho cơng ty Không truy xuất vào liệu, tài nguyên nội nhân viên khác ngoại trừ trường hợp đặt biệt Có trách nhiệm tự bảo quản tài nguyên công ty, tài liệu cá nhân tránh để xảy tình trạng thất liệu Có trách nhiệm giám sát nhân viên cấp Thưởng phạt Thực công tác kiểm tra, tuyên dương, khen thưởng Nếu vi phạm tùy theo mức độ để đưa hình thức xử phạt kỷ luật 4.4 Chính sách quản lý physical 4.4.1 Chính sách quản lý khu vực Mục tiêu sách Ngăn chặn truy cập trái phép vật lý, gây thiệt hại cho thiết bị Những thiết bị chứa liệu quan trọng, nhạy cảm tổ chức phải đặt vùng bảo mật có chế quản lý an ninh, kiểm sốt việc vào khu vực Xác định rõ nguy cơ, rủi ro xảy từ có quy định cụ thể phù hợp Các giải pháp đề xuất cụ thể Đầu tiên quản lý theo khu vực vấn đề tách biệt khơng gian, dành riêng phòng để đặt thiết bị quan trọng server farm, thiết bị đắt tiền Quản lý, giám sát việc vào khu vực riêng biệt Chỉ cho phép người có trách nhiệm liên quan phép vào Mỗi lần vào phải có ghi chép thời gian, lý (bảo trì, sữa chữa,…) Lắp đặt camera theo dõi hệ thống báo động để tránh việc đột nhập trái phép Lắp đặt máy quét vân tay kiểm tra trước vào thấy cần mức độ bảo mật cao Quản lý vào theo thời gian cụ thể hành vào, ngồi hành chính, hành vi vào khu vực phải có dám sát người đại diện cao tổ chức người ủy quyền Bảo vệ khu vực khỏi nguy cháy nổ, ngập nước Các chất dễ bắt lửa, gây cháy nổ phải để cách xa khu vực bảo vệ Các thiết bị dự phòng phải đặt cách xa để tránh hư hỏng hàng loạt xảy cố Trong khu vực cần có hệ thống báo cháy, bình cứu hỏa, sensor Vì cơng ty phân rõ phòng ban nên việc nhân viên thuộc phòng ban vào phòng ban không cần thiết Việc quản lý khu vực cần thiết, tránh nguy gây tổn hại đến tài sản, tài ngun cơng ty nên sách áp dụng cho vấn đề phải mức cao, cụ thể nhân viên vi phạm bị kỷ luật 4.4.2 Chính sách quản lý thiết bị Mục tiêu sách Tránh hư hỏng, mát thiết bị, tài sản công ty gây nên gián đoạn hoạt động công ty Thiết bị phải tránh mối đe dọa vật lý môi trường Bảo vệ thiết bị cần thiết để giảm nguy truy cập trái phép vào tài nguyên Các giải pháp cụ thể Các thiết bị, máy tính dùng riêng cho nhân viên đánh mã số để quản lý giao trách nhiệm cho người sử dụng Phải đền bù cho thiết bị bị hư hỏng Quy định rõ ràng việc khơng thay đổi cấu hình máy tính cài đặt phần mềm khơng phép Quy định không ăn uống bàn làm việc Thiết bị phải trì hoạt động điều kiện nhiệt độ thấp, lắp đặt hệ thống làm mát, tản nhiệt giúp thiết bị nâng cao tuổi thọ hiệu làm việc cao Lắp đặt hệ thống chống sét cho tòa nhà, để đảm bảo an toàn cho thiết bị Sử dụng hệ thống ổn áp, lưu điện máy phát điện giúp cho hệ thống server thiết bị khác khơng bị ảnh hưởng có cố điện Thuê nhiều đường điện nhiều khu vực để đảm bảo thiết bị hoạt động tốt Cáp điện cáp thông tin phải tách riêng để tránh nhiễu cố xảy Các loại cáp phải gắn nhãn tên thiết bị mà nối tới tránh gây nhầm lẫn thiết bị gây hư hại tới thiết bị Sử dụng ống bảo vệ để cáp thiệt bị cần có bảo mật cao cáp đến server Các thiết bị đặc biệt router , swicth, acess point , server có nhân viên IT phép có quyền truy cập vào để cấu hình thay đổi Thiết bị phải kiểm tra bảo trì định kỳ hàng tuần Chỉ có nhân viên bảo trì thực việc Ghi chép lại tình trạng thiết bị để theo dõi có cách khắc phục có xảy lỗi Trong trường hợp nhân viên bảo trì từ ngồi tổ chức cần có người giám sát trình Thực thu hồi thiết bị cấp cho nhân viên trường hợp sử dụng sai mục đích Có hình thức nhắc nhở, cảnh cáo, kỷ luật mức độ vi phạm 4.5 Chính sách quản lý truy cập Mục tiêu sách Kiểm sốt thơng tin truy cập Đảm bảo người truy cập có quyền, tránh truy cập trái phép Áp đặt trách nhiệm cho người dùng với tài khoản truy cập để tránh việc mát thông tin Ngăn chặn sử dụng trái phép dịch vụ mạng từ bên lẫn bên ngồi cơng ty Kiểm sốt truy cập trái phép vào hệ điều hành Thiết lập quyền phép cho người dùng ứng dụng Đảm bảo an toàn truy cập từ xa qua thiết bị di động Giải pháp cụ thể Quy định rõ quy tắc kiểm soát truy cập quyền cho người nhóm Tạo sách cho user OU domain theo phòng ban cụ thể Qua đưa mức độ cảnh cáo user cố tình sai quy định Xác định quyền cụ thể file server cho phòng ban thơng qua NTFS permission Quy định phòng ban khơng phép truy cập vào tài nguyên, tài liệu phòng ban khác Điều tiềm ẩn nguy đánh cắp thơng tin nên phải có mức độ cảnh cáo phù hợp Cấp ID cho nhân viên vào làm xác định rõ quyền mà user phép làm quy trách nhiệm hành động user gây Cấp quyền phù hợp với user dựa vào vị trí nhân viên cơng ty, phòng ban làm việc, nhu cầu cơng việc đó, mức độ bảo mật tổ chức Có văn ký kết nhân viên cấp ID với tổ chức việc hiểu rõ quyền mà ID phép Khi ID tạo đảm bảo bị cấm trước ký kết điều khoản với người dùng Yêu cầu thay đổi mật lần đầu truy cập ID để đảm bảo trách nhiệm thuộc người sử dụng ID khơng phải người quản trị tạo ID Tránh tái sử dụng mật cũ cách áp đặt thuộc tính DC controller Yêu cầu user thay đổi mật người quản trị phát có nguy bị lộ mật Sử dụng hệ thống có tích hợp Single sign on (Checkpoint) để tránh user đăng nhập nhiều lần để bảo vệ cho mật an toàn Quy định số lần tối đa đăng nhập sai cho user lần, lần user bị khóa 30 phút ghi lại hoạt động để theo dõi Hiển thị thời điểm máy tính đăng nhập lần trước để người dùng kiểm tra hoạt động ID Thiết lập chế mã hóa kênh truyền IPSec policy để tăng tính bảo mật thơng tin Khi người dùng ID thay đổi vị trí cơng tác, cần thay đổi quyền phù hợp với công việc Kiểm tra đảm bảo cung cấp đủ ID cần thiết cho nhân viên Áp đặt user phép truy cập từ máy nào, theo dõi hoạt động đăng nhập dựa vào audit logon Theo dõi đăng nhập hệ thống user để ngăn chặn truy cập khơng cần thiết ngồi hành Có chế log off sau phút user không hoạt động phù hợp để tránh khỏi việc sử dụng trái phép user khác hệ thống Tắt port không sử dụng tránh đột nhập trái phép Xây dựng hệ thống chứng thực cấp cho người dùng đối tác có nhu cầu trao đổi từ xa chi nhánh tránh việc giả mạo Khi user gửi nhận mail yêu cầu phải có mã hóa sử dụng chữ ký số cấp attach file khơng q 4MB Cấu hình định tuyến router đảm bảo cho luồng thông tin không vi phạm vào sách Quy định rõ user phép truy cập từ xa giám đốc, quản trị viên 4.6 Quản lý thiết bị in ấn thiết bị ngoại vi Mục tiêu sách Kiểm soát việc sử dụng thiết bị ngoại vi Hạn chế việc in, photo tài liệu tự Giải pháp cụ thể Sử dụng in ấn tập trung, cho phép in ấn qua mạng Mỗi nhân viên muốn in tài liệu phải log on tài khoản cấp tiến hành in ấn Không sử dụng máy in, photo cho mục đich khác ngoại trừ công việc Cấm sử dụng thiết bị di động như: USB, CD/DVD, ổ đĩa mềm… bẳng cách tạo sách Group Policy Checkpoint Những trường hợp muốn sử dụng thiết bị phải cho phép trường phòng phải mã hóa tồn liệu copy Cấm nhân viên không đem máy ảnh, máy quay camera thiết bị ghi âm, ghi hình khác vào cơng ty Nếu bị phát tùy trường hợp nặng nhẹ mà cơng ty có hình thức xử phạt (khiển trách, cảnh cáo, trừ lương, buộc việc) 4.7 Quản lý thông tin cá nhân quản lý nhân Mục tiêu sách Quản lý thông tin cá nhân nhân viên: tiểu sử, gia đình, quan hệ xã hội… Giải pháp cụ thể Mỗi nhân viên có trách nhiệm bảo mật thơng tin nhân Phòng nhân có trách nhiệm quản lý thơng tin cá nhân nhân viên, sai sót phòng nhân chịu trách nhiệm Không phép bán hay gởi thơng tin nhân viên bên ngồi với hình thức Đối với thơng tin nhạy cảm như: tiểu sử, gia đình, mối quan hệ xã hội… phòng nhân khơng phép cung cấp thông tin cho đối tác, bán thông tin bên ngồi Nhân viên có trách nhiệm cung cấp thông tin nơi ở, số điện thoại… cho phòng nhân có thay đổi Tùy mức độ vi pham mà công ty có hình thức xử phạt http://www.checkpoint.com/products/index.html#gateways Tài liệu tham khảo http://www.checkpoint.com/products/index.html#endpoint http://www.checkpoint.com/products/dlp-software-blade/index.html http://www.spector360.com/Resources/OnlineDemos/index.html http://supportcontent.checkpoint.com/documentation_download?ID=22912 File Chương 08 - Chuẩn ISO 27001 & ISO 27002 ... Checkpoint cung cấp giải pháp nhằm hướng đến giải pháp chống thất liệu cơng ty với tên gọi DLP (Data Loss Prevetion) Giải pháp triển khai mức gateway firewall UTM Checkpoint 3.3.5 Lợi ích giải DLP[3]... mật tốt (hướng tới giải pháp chống thất liệu) a Vẽ mơ hình tổng thể b Vẽ mơ hình chi tiết cho phần (Web Security, Email Security, IDS/IPS Security,…) c Thuyết minh giải pháp cho phần - Xây dựng... 2.2.2 Rủi ro mất thông tin GIẢI PHÁP ĐỀ XUẤT 3.1 Mơ hình tổng thể 3.1.1 Điểm mạnh mơ hình 3.1.2 Triển khai thiết bị 3.2 Mơ hình chi tiết cho web mail server 3.3 Giải pháp công nghệ 3.3.1 Chức