Tổ chức hệ thống dữ liệu tại công ty

Mục tiêu Quản lý được dữ liệu Thuận tiện trong chia sẻ trao đổi dữ liệu giữa các thành viên. Bảo mật được từ ngoài vào Bảo mật trong nội bộ công ty. Có chế độ backup đề phòng rủi ro. Hệ thống mạng hiện tại là mạng domain, với windows 2003 AD (domain controler) primary tại nhà máy và 1 AD second tại VP Hà Nội.Dữ liệu hiện tại được tổ chức theo hình thức phân tán. Có một phần nhỏ là tập trung: Data lưu tại các máy trạm, chỉ có phần nhỏ data dùng chung giữa các thành viên lưu trên server

Tổ chức hệ thống dữ liệu

I./Mục tiêu

• Quản lý được dữ liệu

• Thuận tiện trong chia sẻ trao đổi dữ liệu giữa các thành viên.

• Bảo mật được từ ngoài vào

• Bảo mật trong nội bộ công ty.

• Có chế độ backup đề phòng rủi ro.

II./Hiện trạng

Hệ thống mạng hiện tại là mạng domain, với windows 2003 AD (domain controler) primary tại nhà máy và 1 AD second tại VP Hà Nội.Dữ liệu hiện tại được tổ chức theo hình thức phân tán Có một phần nhỏ là tập trung:

o Data lưu tại các máy trạm, chỉ có phần nhỏ data dùng chung giữa các thành viên lưu trên server

o Đa số dữ liệu dùng chung được share ngay trên máy trạm Không hạn chế những người được truy cập và quyền được truy cập

o Trên các PC và server chưa thiết lập chính sách bảo mật, vẫn để nguyên các share ẩn ( mặc định được thiết lập để dùng cho admin từ

xa nhưng bảo mật kém) nên các user vẫn có thể vào xem được

o chưa có hệ thống firewall ra internet để hạn chế virus, spam chiếm băng thông trên mạng Ngoài ra, firewall có thể đặt chính sách không cho upload file, attach file của email, chặn vào một số website,…

o Chưa có chính sách backup data của các user

o Chỉ có backup data của server

Các share ẩn mặc định được mở trên PC

• Các share này không hiện lên trên màn hình, nhưng mặc đinh luôn được share khi cài windows, để truy cập cần thêm dấu $ sau ổ đĩa Ví

dụ :

Các share ẩn trong danh sách các thư mục share – View trong

computer management

Đặc điểm của data phân tán:

- Không cần máy chủ mạnh, có khả năng lưu trữ lớn

- Hệ thống mạng không cần mạnh do lượng dữ liệu truyền trên mạng thấp.

- Các user tự chịu trách nhiệm về dữ liệu trên PC

- Nhược điểm :

- Không quản lý được bảo mật phân quyền data.

- Khả năng chia sẻ, tìm kiếm, quản lý data dùng chung hạn chế

(Vì việc này chủ yếu do các user tự làm.)

- Khó thực hiện việc backup data của các user.

Phương án thay thế:

- Tổ chức lưu trữ dữ liệu tập trung trên server

- Áp dụng các chính sách quản lý và bảo mật có sẵn trên Windows server (group policy) đối với các user và PC: hạn chế cài đặt, copy, truy cập ổ USB…

- không share data trên PC, tất cả đều thực hiện share trên server

- Tắt tất cả các share ẩn.

- Bổ sung application firewall( ví dụ microsoft ISA) để thêm chính sách bảo mật: chặn web, chặn upload file, file attach email.

- Sử dụng các phần mềm bảo mật nâng cao: full disk encryption –

mã hoá toàn bộ dữ liệu trên ổ cứng máy trạm và máy chủ.

- Sử dụng phần mềm quản lý tài liệu Electric Document manager.

III./Triển khai

1.- Tổ chức lưu trữ dữ liệu tập trung trên server( file server)

- Gồm 2 phần :

- Dữ liệu dùng chung:

• Chung cho toàn công ty: tất cả các user trong ty vào

được.

• Chung của bộ phận: chỉ user trong bộ phận vào được

• Chung của một nhóm user: chỉ user trong nhóm vào

được

• Dữ liệu tạm: dùng trong thời gian ngắn rồi xoá.

- Dữ liệu cá nhân: chỉ cá nhân sử dụng được.

Đặc điểm của tổ chức dữ liệu tập trung:

• Dễ quản lý, chia sẻ, tìm kiếm, phân quyền bảo mật dữ liệu

• Dễ backup( chỉ cần backup server, backup với nhiều phiên bản

khác nhau), hạn chế mất dự liệu ở máy trạm

• Đòi hỏi máy chủ có ổ cứng lớn, cấu hình mạnh

• Hạ tầng mạng phải ổn định do lưu lượng trao đổi dữ liệu nhiều

• Chuyển trách nhiệm quản lý dữ liệu từ user sang IT

• 2./ triển khai:

• Mô hình tổ chức thường chia thành nhiều Site tuỳ theo độ lớn hoặc

vị trí địa lý, mỗi site có 1 file server riêng :

– để giảm tải cho server , đường truyền mạng,

– Trường hợp đường mạng hỏng cũng không ảnh hưởng

• Vd: site 1: văn phòng

– Site 2 : nhà máy, nếu nhu cầu cao có thể chia thanh 2 site nhỏ hơn

Thư mục riêng của các bộ phận

Thư mục chung của văn phòng Thư mục riêng của cá nhân

tổ chức dữ liệu tập trung

2./ Thiết lập các chính sách trên PC

• Không share data trên các máy trạm, tạo thư mục trên file server phân quyền chia sẻ qua thư mục này.

• Tắt các share thư mục ẩn trên máy trạm.

• Sử dụng chức năng có sẵn group policy: domain policy của windows server thiết lập cho các user:

• Không để các user có quyền local admin:

– không được cài đặt, sửa cấu hình hệ thống,

– có thể giới hạn sử dụng ổ cứng: chỉ sử dụng ổ C, do các dữ liệu chính sẽ để trên server.

– Hạn chế quyền sử dụng ổ DVD , usb.

Group policy

• Trên máy trạm sử dụng windows XP, vista, 7 , Và trên máy chủ Windows server mặc định đều có sẵn các group policy Trên máy trạm là local policy, trên máy chủ gồm có local policy và domain policy

• Khi các user đăng nhập, Server sẽ tìm kiếm các policy tương ứng với user áp đặt các domain policy lên trên máy trạm Mỗi user có các domain policy khác nhau.

• Group policy có trên Windows server được dùng để triển khai (deploy) phần mềm cho một hoặc nhiều máy trạm nào đó một cách tự động;

• để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy;

• để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm, kiểm soát wifi,

• để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logoff), khởi động (start up), và tắt máy (shut down);

• để đơn giản hóa và hạn chế các chương trình chạy trên máy khách;

• để định hướng lại (redirector) một số folder trên máy khách (như My Computer, My Documents chẳng hạn) v.v…

• Các policy có thể được áp dụng cho riêng từng người dùng hay cho cả một nhóm người dùng.

• Quy định các chính sách mật khẩu, khoá chặn tài khoản và kiểm soát cho miền.

• Quy định và thiết đặt những hạn chế trên Desktop của máy người sử dụng.

• Qui định thư mục người sử dụng

• Quy định ổ đĩa người sử dụng : cho phép hoăc ngăn chặn sử dụng ổ USB, CD,

• …………

GROUP POLICY

• Có 2 loại firewall thông dụng : firewall cứng(UTM) và firewall mềm (application firewall) Firewall mềm có chức năng :

• Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet

• - Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). 

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ

Internet vào Intranet). 

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. 

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. 

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng. 

- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng. 

• Trong giao thức truyền dữ liệu trên internet mỗi địa chỉ IP có 65535 cổng vào ra.Do cơ chế khi hoạt động của virus, spyware, spam, có sự gửi và nhận dữ liệu thường xuyên ra internet trên hầu hết các cổng này nên chiếm băng thông của mạng khá lớn Sử dụng firewall đóng (chặn) tất cả các cổng Chỉ mở các cổng hay dùng như: 80(web), mail(21,110), portal(2012),… để giảm băng thông trên mạng LAN

4./Backup data

• Do dữ liệu tập trung tại server nên chỉ cần backup

server.

• Sử dụng chế độ tự động backup theo giờ (vào ban đêm)

• Đối với các máy trạm cần backup cần có chính sách

riêng(tự động backup vào buổi trưa).

• Data backup vào băng từ hoặc ổ cứng di động Nếu

dùng ổ cứng thì cần tối thiểu 2 chiếc backup xen kẽ

nhau.

• Thời gian backup tối thiểu:

– backup đầy đủ từ 15-30 ngày(1lần/ngày)

– backup theo tuần: 6-8 tuần(1lần/1tuần ).

5./Phương án mã hoá dữ liệu

Đối với phần mềm mã hoá thường có 2 hình thức mã hoá:

• Mã hoá full disk encryption: mã hoá toàn bộ ổ cứng của máy trạm và máy chủ.

• Mã hoá file và thư mục: chỉ mã hoá file và thư mục nhất định Thông thường sẽ tạo 1 thư mục hoặc 1 ổ đĩa ảo Khi copy hoặc tạo file vào thì phần mềm tự động

mã hoá.

1./ Phần mềm mã hoá cho mô hình công ty , vd:

McAfee Endpoint Encryption.

Microsoft BitLocker Drive Encryption

Sophos SafeGuard Enterprise

Symantec PGP Whole Disk Encryption.

- Phần mềm mã hoá gồm 2 phần:

Phần 1:cài đặt trên server quản lý tất cả các mã hoá: user, chính sách, password Phần 2: cài đặt tại các máy trạm, thực hiên mã hoá tại máy trạm.

Giá thành triển khai đắt: từ 8000 USD trở lên

2./Phần mềm mã hoá cho PC:

-Có nhiều loại: có phí bản quyền và mã nguồn mở Không có quản lý tập trung tại máy chủ Quản lý độc lập tại từng máy

Chức năng cơ bản của phần mềm mã hoá dành cho doanh nghiệp

• Quản lý tập trung : user, chính sách, password

• Hỗ trợ mã hoá toàn bộ đĩa cứng : full disk encryption

• Hỗ trợ mã hoá file hoặc thư mục: file and forder encryption.

• Hỗ trợ giải mã qua token, CA, password, smart card

• Tự động mã hoá và giải mã

• Khi gửi file ra ngoài phải giải mã hoặc gửi CA hoặc key cho người nhận.

• Tích hợp được với Windows server để quản lí user và thiết bị.

• Mã hoá ổ USB, thiết bị di động

• Khi quên password có thể tự recovery pass hoặc reset từ manager

• Có thể tự động cài đặt cho máy trạm

6./Phần mềm quản lý Tài liệu (electric document manage)

• Phần mềm mã nguồn mở:

• LetoDMS

• SeedDMS

• OpenDocMan

• Alfresco

• Nuxeo Platform

• Plone

• Liferay

Một số tính năng của DMS

• Quản lý tài liệu

– Thêm bất kỳ loại tập tin vào hệ thống

– Chỉ định một bộ phận / loại cho mỗi tập tin

– Tính năng kiểm tra để ngăn chặn quá trình văn bản sửa đổi, lịch

sử sửa đổi

– Các tài liệu được lưu trữ vật lý trên máy chủ tập tin hết hạn

• Quản lý quy trình(workflow)

– Tự động quá trình xem xét tài liệu

– Tự động quá trình hết hạn tập tin

– Có thể chấp nhận hoặc từ chối một tài liệu mới hoặc một tài liệu thay đổi

– E-mail tùy chọn thông báo trước và sau khi xem xét

• Tìm kiếm

– Tìm kiếm theo file, thư mục, bộ phận, user

• Bảo mật

– Phân quyền truy cập của mỗi user, nhóm user, file, folder