1. Trang chủ
  2. » Công Nghệ Thông Tin

Báo cáo xây dựng chính sách an toàn thông tin cho doanh nghiệp

24 390 5

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 24
Dung lượng 255,68 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Trong những năm gần đây, cùng với sự phát triển vượt bậc của mạng internet, chúng ta không thể nói đến việc các doanh nghiệp tự thiết kế riêng cho công ty mình một hệ thống mạng nội bộ của công ty, nhằm đảm bảo an toàn cả về dữ liệu chung, dữ liệu riêng tư, cũng như việc dễ dàng kiểm soát và quản lý. Mặc dù cho rất nhiều đơn vị cung cấp dịch vụ như server hosting, vps v.v.. và vô vàn lời hứa, cam kết về bảo mật tuy nhiên với một số doanh nghiệp lớn, không chỉ cần lưu trữ và bảo mật về mặt dữ liệu, mà đôi khi còn cần bảo mật cẩn thận “ mánh khóe làm ăn”. Trong thực tế đã cho thấy, đã có rất nhiều công ty bị mất tập tin dữ liệu quan trọng “vào tay” công ty đang cạnh tranh và gây thiết hại rất nhiều về lợi nhuận, doanh thu của công ty. Điều đó cho chúng ta rút ra được rằng, việc có một hệ thống mạng máy chủ riêng đã là khó, nhưng để có thể bảo vệ, vận hành, bảo trì nâng cấp hệ thống đó còn khó hơn gấp nhiều lần. Nội dung dưới đây, em sẽ nói tổng quan về hệ thống mạng của một doanh nghiệp mà em đã xây dựng, và những chính sách cần thiết để phòng chống virus, cập nhật bản vá hệ điều hành, phân vùng mạng, quản lý truy cập mạng, quản lý tài khoản người dùng, các thiết bị tin học, công tác tại phòng máy chủ, sao lưu và phục hồi dữ liệu.

Trang 1

TRƯỜNG ĐẠI HỌC ĐIỆN LỰC

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ HỌC PHẦN MÔN CHÍNH SÁCH AN TOÀN THÔNG TIN

ĐỀ TÀI:

CHÍNH SÁCH AN TOÀN THÔNG TIN CHO DOANH NGHIỆP 2018

Sinh viên thực hiện : MAI QUANG VINH Giảng viên hướng dẫn : TH.S NGUYỄN VĂN TÙNG

Chuyên ngành : QUẢN TRỊ AN NINH MẠNG

Hà Nội, tháng 4 năm 2018

Trang 2

TRƯỜNG ĐẠI HỌC ĐIỆN LỰC

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ HỌC PHẦN MÔN CHÍNH SÁCH AN TOÀN THÔNG TIN

ĐỀ TÀI:

CHÍNH SÁCH AN TOÀN THÔNG TIN CHO DOANH NGHIỆP 2018

Sinh viên thực hiện : MAI QUANG VINH Giảng viên hướng dẫn : TH.S NGUYỄN VĂN TÙNG

Chuyên ngành : QUẢN TRỊ AN NINH MẠNG

Hà Nội, tháng 4 năm 2018

Trang 4

2 Phạm vi áp dụng các chính sách:

- Trong phạm vi công ty, cả 2 chi nhánh miền bắc và miền nam, nội dung chính sách theo hướng mở, các công ty khác vẫn có thể thông qua và sửa đổi cũng như áp dụng trên từng lĩnh vực phù hợp

3 Đối tượng áp dụng:

- Tất cả các thành viên, người dùng, sau khi được cấp quyền truy cập vào tài khoản, do người quản trị cung cấp đều phải tuân thủ quy định, chính sách về an toàn thông tin mà công ty đề ra

4 Các khái niệm cơ bản:

- Hệ thống thông tin là một hệ thống bao gồm các yếu tố có quan hệ

với nhau cùng làm nhiệm vụ thu thập, xử lý, lưu trữ và phân

phối thông tin và dữ liệu và cung cấp một cơ chế phản hồi để đạt được một mục tiêu định trước

- An toàn thông tin là hành động ngăn cản, phòng ngừa sự sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặt phá hủy thông tin chưa

có sự cho phép

Trang 5

- Chính sách an toàn thông tin là những quy định do cơ quan, tổ chức

đề ra, nhằm đảm bảo an toàn thông tin

- Mã độc hay phần mềm độc hại (Malware = Malicious Sofware), là

phần mềm, chương trình, đoạn mã được thiết kế để thực hiện hành vi:tấn công hệ thống; đánh cắp thông tin; xâm nhập hệ thống

- Virus là phần mềm độc hại tự sao chép bằng cách chèn các bản sao của

chính nó vào chương trình lưu trữ hoặc các tập tin dữ liệu Virusthường được kích hoạt thông qua các tương tác của người dùng như

là mở một tập tin hoặc chạy một chương trình Virus được chia thànhhai tiểu thể loại là: virus biên dịch và virus diễn dịch Virus biên dịch(Compiled virus) được kích hoạt bởi một hệ điều hành, còn Virus diễndịch (Interpreted virus) được khởi động bởi một ứng dụng

- Hệ thống vá lỗi là khi các hãng phần mềm nhận ra được lỗ hổng

trong sản phẩm của họ, họ thường xuyên đưa ra các bản vá để sửa những lỗ hổng đó Và người sử dụng hoặc người quản trị sẽ cập nhậtcác bản vá lỗi thông qua ứng dụng phần mềm hoặc cập nhật hệ điều hành

- Tường lửa là là một bức rào chắn giữa mạng nội bộ (local network) với một mạng khác (chẳng hạn như Internet)

Trang 6

- VLAN là cụm từ viết tắt của virtual local area network hay còn được gọi là mạng LAN ảo VLAN là một kỹ thuật cho phép tạo lập các

mạng LAN độc lập một cách logic trên cùng một kiến trúc hạ tầng vậtlý

- DNS (viết tắt trong tiếng Anh của Domain Name System - Hệ thống tên miền) là một hệ thống cho phép thiết lập tương ứng giữa địa chỉ

IP và tên miền trên Internet

- IDS (Intrucsion Detection System) được hiểu đơn giản là hệ thống

phát hiện xâm phạm thông qua việc phát hiện những bất thường trong lưu thông mạng cũng như các sự kiện xảy ra trên hệ thống máytính, từ đó phân tích và phát hiện các vấn đề về an ninh hệ thống để đám bảo việc phòng thủ trước những đợt tấn công

- IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo

dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn

Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin này Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên

II HIỆN TRẠNG CÔNG NGHỆ THÔNG TIN VÀ AN TOÀN THÔNG TIN CỦA TỔ CHỨC

1 Giới thiệu chung về tổ chức:

Trang 7

- Công ty cổ phần mạng xã hội chia sẻ hình ảnh PlayPhoto VietNam Là một

đơn vị chủ quản mạng xã hội PlayPhoto Dịch vụ mạng xã hội này đáp ứng 3 nền tảng chính là web, android, ios

Đáp ứng nhu cầu truy cập cao thời gian thực Ban đầu thành lập với 2 đơn vị chi nhánh là tại Hà Nội và Tp Hồ Chí Minh Đảm bảo phục vụ trên 500.000 tài khoản sử dụng thường xuyên hàng tháng của khách hàng trong nước và ngoài nước Doanh thu của công ty chủ yếu nhờ vào việc quảng cáo tiếp thị trên bảng tin và đang mở rộng dịch vụ trả phí đối với những tính năng vượt trội như chia sẻ ảnh chất lượng gốc ( không thông qua việc nén ảnh trước khi lưu vô máy chủ ), thêm bộ lọc màu hình ảnh đẹp mắt, quyền riêng tư album v.v

2 Hệ thống mạng nội bộ các phòng ban của công ty:

- 02 đường truyền từ 2 nhà mạng khác nhau.

- 01 máy cảnh báo truy cập trái phép IDS.

- 03 tường lửa bảo vệ.

- 07 switch tương ứng với nhiệm vụ chia cổng cho 7 phòng ban.

- 01 modem wifi chung.

 Tại mỗi đơn vị đều có những phòng ban như sau:

Trang 8

- Phòng giám đốc các chi nhánh thay mặt tổng giám đốc quản lý các chi nhánh.

- Phòng kỹ thuật: chuyên lắp đặt, cấu hình dịch vụ, sửa chữa bảo trì, nâng cấp, bảo quản hệ thống.

- Phòng tổ chức hành chính: chuyên công tác nội vụ cơ quan, tiếp nhận thông tin bên ngoài.

- Phòng kinh doanh : chuyên quản lý các dịch vụ quảng cáo, marketing, thanh toán trực tuyến của khách hàng.

- Phòng tư vấn: chuyên tư vấn giải đáp thắc mắc qua trang web (sub domain)

hỗ trợ và tổng đài tư vấn 24/24.

- Phòng chính sách: chuyên xây dựng và sửa đổi bổ sung chính sách và pháp

lý cho trang web, người sử dụng, dữ liệu lưu trữ v.v

- Phòng quản trị trang Web( administrator, moderator v.v )

Trang 9

* Hình ảnh mô hình mạng của công ty, được vẽ trên phần mềm Cisco packet tracet 7.0

3 Hiện trạng về an toàn thông tin của tổ chức.

- Hiện tại tất cả máy chủ đều được cài đặt windows server 2012, hệ

thống phòng ngừa và diệt virus, hệ thống vá lỗi và cập nhật hệ điều hành thường xuyên, kèm theo đó là các ứng dụng phù hợp với nhu cầu sử dụng n

- Hệ thống tường lửa, thiết bị cảnh báo truy cập trái phép hoạt động 24/24 đảm bảo hệ thống an toàn tuyệt đối

- Người quản trị sẽ liên tục kiểm tra các lỗ hổng và luôn đưa ra các giải pháp giải quyết kịp thời, cập nhật các bản vá lỗi bảo mật thường xuyên

- Số lượng nhân viên và quản lý là 198 người chia đều ra các phòngban khác nhau, đều được cấp tài khoản đăng nhập riêng, email riêng được lưu trữ trên máy chủ chung của công ty

- Trình độ người sử dụng: tất cả nhân viên trong công ty đã được đào tạo qua khóa học tin học cơ bản và văn phòng

- Các máy hoạt động trong công ty đã được cài đặt phần mềm diệt virus của hãng X và liên tục cập nhật và phát hiện các loại mã độc mới

Trang 10

III NỘI DUNG CHÍNH SÁCH AN TOÀN THÔNG TIN CỦA TỔ CHỨC

- Về phần nhìn chung, hệ thống mạng hiện tại của công ty chưa bị nhiễm virus mã độc, tuy nhiên vẫn luôn trong tình trạng sẵn sàng phòng thủ trước những tấn công mạng

Trang 11

Các mô hình và giải pháp:

- Liên tục cập nhật tình hình mới về các sự cố an ninh mạng trong nước và toàn thế giới cho tất cả các nhân viên trong công ty,

nhằm nâng cao ý thức phòng chống virus, mã độc, trojan v.v

- Hạn chế việc sao chép không cần thiết và không chạy các chương trình tải từ Internet hoặc sao chép từ máy khác khi chưa đủ tin cậy

- Không mở những tệp gửi kèm trong thư điện tử nếu có nghi ngờ

về nguồn gốc hay nội dung thư

- Không truy cập các trang web có nội dung không lành mạnh

- Thường xuyên cập nhật các bản sửa lỗi cho các phần mềm chạy trên máy tính cùa mình, kể cả hệ điều hành

- Định kì sao lưu dữ liệu để có thể khôi phục khi bị virus phá hoại

- Định kì quét và diệt virus bằng các phần mềm diệt virus

2 Về cập nhật và bản vá hệ điều hành:

Giới thiệu, mở đầu :

Trang 12

Cập nhật và vá hệ điều hành là hành động nâng cấp về mặt phầnmềm của một hệ điều hành, hay nói rõ hơn là một thiết bị chạy hệđiều hành, về cơ bản, nó sẽ khắc phục được hết những khuyết điểmcủa bản cập nhật trước đó, có thể nó cũng sẽ mang lại trải nghiệmtốt hơn hoặc bảo mật hơn.

Hiện trạng vá lỗi hệ điều hành của tổ chức :

- Hiện nay, các máy tính trong công ty đã và luôn cập nhật bảnupdate của windows 10 mới nhất và bản quyền

- Nhân viên kỹ thuật luôn kiểm tra các thiết bị và đảm bảo rằng, tất cảcác thiết bị đó đang chạy bản vá ổn định nhất, trước khi giao lại chongười dùng

Phân tích những tác hại, ảnh hưởng đến tổ chức :

- Một số tác hại nếu không cập nhật bản vá hoặc hệ điều hành sẽ cóảnh hưởng không nhỏ đến việc các thiết bị hoạt động

- Trong số đó có thể nói đến có nhiều nguy cơ bị lây nhiễm virus máytính từ những lỗ hổng bảo mật chưa được vá

- Một số máy tính sẽ bị hiện tưởng không phản hồi do lỗi của một sốphần mềm gây ra, trong quá trình hoạt động sai cách, hoặc xungđột giữa các phần mềm với nhau

Trang 13

Các

mô hình, giải pháp :

- Quản trị viên hệ thống hoặc nhân viên kỹ thuật cần liên tục kiểm tra lỗ hổng, báo cáo lại cho nhà phát triển, và chủ động cập nhật

và tìm cách sửa lỗi, vá lỗi hệ thống

- Phải luôn đảm bảo rằng phiên bản ứng dụng và hệ điều hành của tất cả những máy chủ và máy khách trong công ty đều đang là bản

vá bảo mật mới nhất, ứng dụng cập nhật mới nhất và bản quyền của nhà phát triển

- Triển khai cập nhật và bản vá hệ điều hành cần thực hiện một cách đồng bộ trên tất cả các thiết bị có trong công ty, mang lại tính đồng nhất trong quản lý cũng như xử lý sự cố sau này

- Trước khi cập nhật và bản vá hệ thống, cần đảm bảo phải sao lưu lại dữ liệu và hệ điều hành cũ, đề phòng trường hợp phát sinh lỗi trong quá trình cài đặt

Trang 14

- Vùng DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng Internet, là nơi chứa các thông tin cho phép người dùng từ

Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet Các dịch vụ thường được triển khai trong vùng DMZ là: máy chủ Web, máy chủ Mail, máy chủ DNS, máy chủ FTP,…

Vùng mạng Server

- Vùng mạng Server hay Server Farm, là nơi đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet Các máy chủ triển khai ở vùng mạng này thường là Database Server, LDAP Server,…

Trang 15

- Các máy chủ không trực tiếp cung cấp dịch vụ ra mạng ngoài như máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực… nênđặt trong vùng mạng server network để tránh các tấn công trực diện từ Internet và từ mạng nội bộ Đối với các hệ thống thông tin yêu cầu có mức bảo mật cao, hoặc có nhiều cụm máy chủ khác nhau có thể chia vùng server network thành các vùng nhỏ hơn độc lập để nâng cao tính bảo mật.

- Nên thiết lập các hệ thống phòng thủ như tường lửa (firewall) và thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống tấn công và xâm nhập trái phép Khuyến cáo đặt firewall và IDS/IPS ở các vị trí như sau: đặt firewall giữa đường nốimạng Internet với các vùng mạng khác nhằm hạn chế các tấn công

từ mạng từ bên ngoài vào; đặt firewall giữa các vùng mạng nội bộ

và mạng DMZ nhằm hạn chế các tấn công giữa các vùng đó; đặt IDS/IPS tại vùng cần theo dõi và bảo vệ

- Nên đặt một Router ngoài cùng (Router biên) trước khi kết nối đến nhà cung cấp dịch vụ internet (ISP) để lọc một số lưu lượng không mong muốn và chặn những gói tin đến từ những địa chỉ IP không hợp lệ

4 Chính sách quản lý truy cập mạng:

Trang 16

Tại sao cần quản lý truy cập mạng:

- Việc quản lý truy cập mạng là quản lý những trang web mà các máy clien truy cập trong quá trình sử dụng, việc làm đó không chỉ ngăn chặn các máy clien truy cập những web độc hại, gắn mã độc v.v

Một số giải pháp quản lý truy cập mang:

- Mỗi một đơn vị máy khách đều được cấp một địa chỉ IP tĩnh, và quản lý bởi quản trị viên hệ thống hoặc nhân viên kỹ thuật của công ty

- Những máy clien ở những bộ phận quan trọng trong công ty sẽ không được lắp card mạng wifi mà chỉ có card mạng LAN cổng RJ-

45 thông thường, nhằm hạn chế việc kết nối wifi công cộng của công ty

- Wifi công cộng của công ty, được sử dụng cho nhiều mục đích chung, sẽ luôn được đặt mật khẩu, thay đổi 7 ngày 1 lần, mật khẩu mới sẽ được ghi trên bảng thông tin chung của công ty cứ mỗi sáng thứ 2 hàng tuần, nhằm việc hạn chế truy cập internet từ bên ngoài

- Trong thời gian làm việc theo quy định, sẽ chặn tất cả những liên kết truy cập tới các trang mạng xã hội như facebook, instagram, zalo v.v nhằm đảm bảo nhân viên tập trung cao độ nhất trong công việc

Trang 17

- Mọi liên lạc trong công ty sẽ thông qua ứng dụng Skype dành cho doanh nghiệp và không sử dụng ứng dụng khác.

- Thống kê lịch sử trang web và băng thông cho từng máy clien, phát hiện sai phạm trong quá trình làm việc sẽ có những hình phạttương ứng

5 Chính sách quản lý người dùng:

Thực trạng người dùng của doanh nghiệp:

- Hiện tại doanh nghiệp đang có 198 người trong tất cả các bộ phầnphòng ban

- Với một đơn vị người dùng, sẽ được cấp phát tài khoản và mật khẩu đăng nhập khác nhau

Giải pháp quản lý người dùng trong phạm vi doanh nghiệp nhỏ

- Để liên lạc và gửi tài liệu, hồ sơ v.v với các thành viên khác trong công ty, cần phải được cấp email riêng theo tên và quy định của công ty Ví dụ: Họ và tên là Mai Quang Vinh thì email được cấp sẽ

Trang 18

- Trong trường hợp có 2hay nhiều hơn những nhân viên có cùng tên, thì tên tài khoản và email sẽ có thêm 3 số cuối của mã nhân viên tương ứng.

- Đối với những nhân viên đã hết hợp đồng, quản trị viên hệ thống hoặc nhân viên kỹ thuật của công ty sẽ tạm thời vô hiệu hóa tài khoản trong 14 ngày, nếu sau 14 ngày, nhân viên đó không quay trở lại làm việc công ty hoặc làm việc tại công ty khác sẽ xóa tài khoản và tất cả dữ liệu cũ liên quan đến công ty

- Đối với những nhân viên, hoặc đối tác, tác nghiệp tại công ty, có thời hạn lớn hơn hoặc bằng 3 ngày, sẽ đều phải được thông qua điều khoản an toàn thông tin của công ty, và được cấp tài khoản đăng nhập, địa chỉ email riêng Hồ sơ của người đó sẽ được lưu trữ tại phòng ban quản lý hành chính

6 Chính sách về thiết bị tin học :

Hiện trạng thiết bị tin học của công ty:

- Hiện tại đã có 212 máy clien đang hoạt động trong công ty

- Tất cả thiết bị được trang bị đều là mới 100%

- Nguồn cấp rõ ràng, chế độ bảo hành, và đổi trả minh bạch

Một số giải pháp quản lý thiết bị tin học :

Trang 19

- Mỗi nhân viên khi được chấp nhận làm việc tại công ty đều phải được cấp chứng chỉ tin học văn phòng cơ bản.

- Nhân viên cần xem xét và báo cáo lỗi cho quản trị viên về tình trạng lỗi trên thiết bị của mình, để khắc phục lỗi sớm nhất có thể

- Sau khi sử dụng máy tính hoặc khi ra về, cần tắt hết thiết bị đúng cách nhằm tiết kiệm điện cho công ty, cũng như bảo quản thiết bị tin học và dữ liệu có trong đó

- Mỗi nhân viên cần nâng cao ý thức tự giác trong việc giữ gìn, bảo quản thiết bị tin học của công ty

- Khi trang bị thiết bị mới cho công ty, cần thống kê chi tiết về thiết

bị đó, như hãng sản xuất, thời gian bảo hành, các tính năng,

hướng dẫn sử dụng v.v

- Thay thế và bảo trì những thiết bị cũ, nhằm đảm bảo phục vụ làm việc một cách xuyên suốt

7 Chính sách vào ra trong công ty :

Một số quy định về việc vào ra công ty:

- Mỗi nhân viên đều được đánh mã nhân viên, họ tên, ngày tháng năm sinh trên thẻ nhân viên

Trang 20

- Khi vào ra trong công ty cần có thẻ nhân viên hợp lệ, được xác thực bằng nhân viên bảo vệ hoặc hệ thống tự động.

- Mỗi một đơn vị công cụ di chuyển như xe ô tô, xe máy, xe đạp điện đều phải được đánh mã số khi gửi vô bãi đỗ xe

- Việc nhân viên vào ra trong công ty sẽ được giám sát bởi camera giám sát 24/24

- Khi có người lạ ra vào công ty, cần có biện pháp ngăn chặn nếu không có lý do chính đáng Camera sẽ lưu giữ hình ảnh những người lạ khi xuất hiện tại công ty, nhằm đảm bảo an ninh công ty

8 Chính sách làm việc tại phòng máy chủ:

- Với đặc thù riêng của phòng server là chỉ cấp quyền cho một số lượng người nhất định có quyền ra vào như: phòng kỹ thuật,

phòng IT, ban lãnh đạo

- Phòng máy chủ là nơi lưu trữ và xử lý nhiều dữ liệu và tác vụ quantrọng của công ty Thế nên việc vào ra phòng máy chủ cũng có khánhiều quy định khắt khe so với những phòng ban khác

- Sẽ có tối đa 3 nhân viên được cấp phép quản lý, bảo trì, vận hành máy chủ Đảm bảo tính sẵn sàng về mặt dữ liệu và xử lý dữ liệu

- Phòng máy chủ sẽ có máy quét vân tay của 3 nhân viên quản trị

Và chỉ 3 người đó mới có quyền vào ra phòng máy chủ Những

Ngày đăng: 10/08/2018, 20:47

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w