Đang tải... (xem toàn văn)
Mục tiêu Quản lý được dữ liệu Thuận tiện trong chia sẻ trao đổi dữ liệu giữa các thành viên. Bảo mật được từ ngoài vào Bảo mật trong nội bộ công ty. Có chế độ backup đề phòng rủi ro. Hệ thống mạng hiện tại là mạng domain, với windows 2003 AD (domain controler) primary tại nhà máy và 1 AD second tại VP Hà Nội.Dữ liệu hiện tại được tổ chức theo hình thức phân tán. Có một phần nhỏ là tập trung: Data lưu tại các máy trạm, chỉ có phần nhỏ data dùng chung giữa các thành viên lưu trên server
Tổ chức hệ thống liệu I./Mục tiêu • Quản lý liệu • Thuận tiện chia sẻ trao đổi liệu thành viên • Bảo mật từ ngồi vào • Bảo mật nội cơng ty • Có chế độ backup đề phòng rủi ro II./Hiện trạng Hệ thống mạng mạng domain, với windows 2003 AD (domain controler) primary nhà máy AD second VP Hà Nội.Dữ liệu tổ chức theo hình thức phân tán Có phần nhỏ tập trung: o Data lưu máy trạm, có phần nhỏ data dùng chung thành viên lưu server o Đa số liệu dùng chung share máy trạm Không hạn chế người truy cập quyền truy cập o Trên PC server chưa thiết lập sách bảo mật, để nguyên share ẩn ( mặc định thiết lập để dùng cho admin từ xa bảo mật kém) nên user vào xem o chưa có hệ thống firewall internet để hạn chế virus, spam chiếm băng thơng mạng Ngồi ra, firewall đặt sách khơng cho upload file, attach file email, chặn vào số website,… o Chưa có sách backup data user o Chỉ có backup data server Các share ẩn mặc định mở PC • Các share khơng lên hình, mặc đinh ln share cài windows, để truy cập cần thêm dấu $ sau ổ đĩa Ví dụ : Các share ẩn danh sách thư mục share – View computer management Đặc điểm data phân tán: -Không cần máy chủ mạnh, có khả lưu trữ lớn -Hệ thống mạng không cần mạnh lượng liệu truyền mạng thấp -Các user tự chịu trách nhiệm liệu PC -Nhược điểm : -Không quản lý bảo mật phân quyền data -Khả chia sẻ, tìm kiếm, quản lý data dùng chung hạn chế (Vì việc chủ yếu user tự làm.) -Khó thực việc backup data user Phương án thay thế: -Tổ chức lưu trữ liệu tập trung server - Áp dụng sách quản lý bảo mật có sẵn Windows server (group policy) user PC: hạn chế cài đặt, copy, truy cập ổ USB… - không share data PC, tất thực share server -Tắt tất share ẩn - Bổ sung application firewall( ví dụ microsoft ISA) để thêm sách bảo mật: chặn web, chặn upload file, file attach email -Sử dụng phần mềm bảo mật nâng cao: full disk encryption – mã hố tồn liệu ổ cứng máy trạm máy chủ -Sử dụng phần mềm quản lý tài liệu Electric Document manager III./Triển khai 1.- Tổ chức lưu trữ liệu tập trung server( file server) - Gồm phần : - Dữ liệu dùng chung: • Chung cho tồn cơng ty: tất user ty vào • Chung phận: user phận vào • Chung nhóm user: user nhóm vào • Dữ liệu tạm: dùng thời gian ngắn xoá - Dữ liệu cá nhân: cá nhân sử dụng Đặc điểm tổ chức liệu tập trung: • Dễ quản lý, chia sẻ, tìm kiếm, phân quyền bảo mật liệu • Dễ backup( cần backup server, backup với nhiều phiên khác nhau), hạn chế dự liệu máy trạm • Đòi hỏi máy chủ có ổ cứng lớn, cấu hình mạnh • Hạ tầng mạng phải ổn định lưu lượng trao đổi liệu nhiều • Chuyển trách nhiệm quản lý liệu từ user sang IT • 2./ triển khai: • Mơ hình tổ chức thường chia thành nhiều Site tuỳ theo độ lớn vị trí địa lý, site có file server riêng : – để giảm tải cho server , đường truyền mạng, – Trường hợp đường mạng hỏng khơng ảnh hưởng • Vd: site 1: văn phòng – Site : nhà máy, nhu cầu cao chia site nhỏ tổ chức liệu tập trung Thư mục riêng phận Thư mục chung văn phòng Thư mục riêng cá nhân 2./ Thiết lập sách PC • Khơng share data máy trạm, tạo thư mục file server phân quyền chia sẻ qua thư mục • Tắt share thư mục ẩn máy trạm • Sử dụng chức có sẵn group policy: domain policy windows server thiết lập cho user: • Khơng để user có quyền local admin: – khơng cài đặt, sửa cấu hình hệ thống, – giới hạn sử dụng ổ cứng: sử dụng ổ C, liệu để server – Hạn chế quyền sử dụng ổ DVD , usb Group policy • • • • • • • • • • • • • • Trên máy trạm sử dụng windows XP, vista, , Và máy chủ Windows server mặc định có sẵn group policy Trên máy trạm local policy, máy chủ gồm có local policy domain policy Khi user đăng nhập, Server tìm kiếm policy tương ứng với user áp đặt domain policy lên máy trạm Mỗi user có domain policy khác Group policy có Windows server dùng để triển khai (deploy) phần mềm cho nhiều máy trạm cách tự động; để ấn định quyền hạn cho số người dùng mạng, để giới hạn ứng dụng mà người dùng phép chạy; để kiểm soát hạn ngạch sử dụng đĩa máy trạm, kiểm soát wifi, để thiết lập kịch (script) đăng nhập (logon), đăng xuất (logoff), khởi động (start up), tắt máy (shut down); để đơn giản hóa hạn chế chương trình chạy máy khách; để định hướng lại (redirector) số folder máy khách (như My Computer, My Documents chẳng hạn) v.v… Các policy áp dụng cho riêng người dùng hay cho nhóm người dùng Quy định sách mật khẩu, khoá chặn tài khoản kiểm soát cho miền Quy định thiết đặt hạn chế Desktop máy người sử dụng Qui định thư mục người sử dụng Quy định ổ đĩa người sử dụng : cho phép hoăc ngăn chặn sử dụng ổ USB, CD, ………… GROUP POLICY 3./FIREWALL • • • • Có loại firewall thông dụng : firewall cứng(UTM) firewall mềm (application firewall) Firewall mềm có chức : Chức Firewall kiểm sốt luồng thơng tin từ Intranet Internet - Cho phép cấm dịch vụ truy nhập (từ Intranet Internet). - Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet). - Theo dõi luồng liệu mạng Internet Intranet. - Kiểm soát địa truy nhập, cấm địa truy nhập. - Kiểm soát người sử dụng việc truy nhập người sử dụng. - Kiểm sốt nội dung thơng tin thơng tin lưu chuyển mạng. Trong giao thức truyền liệu internet địa IP có 65535 cổng vào ra.Do chế hoạt động virus, spyware, spam, có gửi nhận liệu thường xuyên internet hầu hết cổng nên chiếm băng thơng mạng lớn Sử dụng firewall đóng (chặn) tất cổng Chỉ mở cổng hay dùng như: 80(web), mail(21,110), portal(2012),… để giảm băng thông mạng LAN 4./Backup data • Do liệu tập trung server nên cần backup server • Sử dụng chế độ tự động backup theo (vào ban đêm) • Đối với máy trạm cần backup cần có sách riêng(tự động backup vào buổi trưa) • Data backup vào băng từ ổ cứng di động Nếu dùng ổ cứng cần tối thiểu backup xen kẽ • Thời gian backup tối thiểu: – backup đầy đủ từ 15-30 ngày(1lần/ngày) – backup theo tuần: 6-8 tuần(1lần/1tuần ) 5./Phương án mã hoá liệu Đối với phần mềm mã hố thường có hình thức mã hố: • Mã hố full disk encryption: mã hố toàn ổ cứng máy trạm máy chủ • Mã hoá file thư mục: mã hoá file thư mục định Thông thường tạo thư mục ổ đĩa ảo Khi copy tạo file vào phần mềm tự động mã hố 1./ Phần mềm mã hố cho mơ hình cơng ty , vd: McAfee Endpoint Encryption Microsoft BitLocker Drive Encryption Sophos SafeGuard Enterprise Symantec PGP Whole Disk Encryption - Phần mềm mã hoá gồm phần: Phần 1:cài đặt server quản lý tất mã hố: user, sách, password Phần 2: cài đặt máy trạm, thực hiên mã hoá máy trạm Giá thành triển khai đắt: từ 8000 USD trở lên 2./Phần mềm mã hố cho PC: -Có nhiều loại: có phí quyền mã nguồn mở Khơng có quản lý tập trung máy chủ Quản lý độc lập máy Chức phần mềm mã hoá dành cho doanh nghiệp • • • • • • • • • • Quản lý tập trung : user, sách, password Hỗ trợ mã hố tồn đĩa cứng : full disk encryption Hỗ trợ mã hoá file thư mục: file and forder encryption Hỗ trợ giải mã qua token, CA, password, smart card Tự động mã hoá giải mã Khi gửi file phải giải mã gửi CA key cho người nhận Tích hợp với Windows server để quản lí user thiết bị Mã hoá ổ USB, thiết bị di động Khi quên password tự recovery pass reset từ manager Có thể tự động cài đặt cho máy trạm 6./Phần mềm quản lý Tài liệu (electric document manage) • • • • • • • • Phần mềm mã nguồn mở: LetoDMS SeedDMS OpenDocMan Alfresco Nuxeo Platform Plone Liferay Một số tính DMS • • • • Quản lý tài liệu – Thêm loại tập tin vào hệ thống – Chỉ định phận / loại cho tập tin – Tính kiểm tra để ngăn chặn trình văn sửa đổi, lịch sử sửa đổi – Các tài liệu lưu trữ vật lý máy chủ tập tin hết hạn Quản lý quy trình(workflow) – Tự động trình xem xét tài liệu – Tự động trình hết hạn tập tin – Có thể chấp nhận từ chối tài liệu tài liệu thay đổi – E-mail tùy chọn thông báo trước sau xem xét Tìm kiếm – Tìm kiếm theo file, thư mục, phận, user Bảo mật – Phân quyền truy cập user, nhóm user, file, folder ... cho tồn công ty: tất user ty vào • Chung phận: user phận vào • Chung nhóm user: user nhóm vào • Dữ liệu tạm: dùng thời gian ngắn xoá - Dữ liệu cá nhân: cá nhân sử dụng Đặc điểm tổ chức liệu tập... hố tồn liệu ổ cứng máy trạm máy chủ -Sử dụng phần mềm quản lý tài liệu Electric Document manager III./Triển khai 1.- Tổ chức lưu trữ liệu tập trung server( file server) - Gồm phần : - Dữ liệu. ..I./Mục tiêu • Quản lý liệu • Thuận tiện chia sẻ trao đổi liệu thành viên • Bảo mật từ ngồi vào • Bảo mật nội cơng ty • Có chế độ backup đề phòng rủi ro II./Hiện trạng Hệ thống mạng mạng domain,