hệ thống phòng chống rò rỉ thông tin (data loss preventation)

Nếu data center nhưtrái tim của một hệ thống thì các giải pháp về an ninh bảo mật là rào chắn bảo vệtrái tim, bảo vệ các dữ liệu, thông tin và hệ thống của doanh nghiệp an toàn trướccác

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC QUY NHƠN



TIỂU LUẬN CUỐI KỲ HỌC PHẦN AN NINH MẠNG

HỆ THỐNG PHÒNG CHỐNG RÒ RỈ THÔNG TIN

(DATA LOSS PREVENTATION)

CHUYÊN NGÀNH : KHOA HỌC MÁY TÍNH

Bình Định, 02 - 2018

LỜI MỞ ĐẦU

Hiện nay, các mối đe dọa về an toàn thông tin đang có xu hướng chuyển từ tấncông hạ tầng mạng để phá hoại, làm mất uy tín sang đánh cắp thông tin nhạy cảmnhằm trục lợi Trong tổ chức/doanh nghiệp (TC/DN), loại thông tin này nằm rải rác

ở nhiều bộ phận và do vô tình hay cố ý mà chúng có thể bị rò rỉ, phát tán qua nhiềucon đường khác nhau Việc tìm ra giải pháp phù hợp nhằm ngăn ngừa rò rỉ thôngtin không hề đơn giản

Các tổ chức/doanh nghiệp (TC/DN) hoạt động trong lĩnh vực nào, khi đầu tưxây dựng một hệ thống Công nghệ thông tin (CNTT) hoàn chỉnh thì không thểthiếu các giải pháp về an ninh bảo mật cho hệ thống của mình Nếu data center nhưtrái tim của một hệ thống thì các giải pháp về an ninh bảo mật là rào chắn bảo vệtrái tim, bảo vệ các dữ liệu, thông tin và hệ thống của doanh nghiệp an toàn trướccác truy cập trái phép từ bên ngoài lẫn bên trong doanh nghiệp

Phòng chống rò rỉ dữ liệu DLP (Data Leak Prevention) là tập hợp các giải phápgiúp tổ chức phát hiện và ngăn chặn việc rò rỉ dữ liệu nhạy cảm ra bên ngoài.Những dữ liệu có thể là danh sách khách hàng, bí mật kinh doanh, tài liệu kế toántài chính công ty, thông tin hợp đồng, tài liệu kỹ thuật công nghệ, thông tin sở hữutrí tuệ, thông tin sáng chế độc quyền được lưu và phân tán trên hệ thống máychủ, máy trạm, PC, laptop, Những thông tin này nếu để lộ ra ngoài có thể gây cáchậu quả nghiêm trọng đến tài chính, danh tiếng của công ty, gây thiệt hại đến hoạtđộng kinh doanh của doanh nghiệp

Nội dung bao gồm:

Phần 1: Tổng quan về DATA LOSS PREVENTION (DLP)

Phần 2: Phân tích và đánh giá mô hình mạng hiện tại

Phần 3: Thiết kế hệ thống mới

Phần 4: Xây dựng qui trình và chính sách bảo mật

Phần 5: Kết luận

MỤC LỤC

Trang

PHẦN 1 TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP)

1.1 Khái niệm về DLP

Các tổ chức/doanh nghiệp (TC/DN) có rất nhiều loại hình thông tin cần đượcbảo vệ chặt chẽ như thông tin khách hàng, bí mật công nghệ, chiến lược phát triểnkinh doanh, hay các tin tức nhạy cảm khác,… Những thông tin/dữ liệu này nếu để

lộ ra ngoài có thể gây các hậu quả nghiệm trọng đối với TC/DN Vì vậy vấn đề thấtthoát dữ liệu trong doanh nghiệp luôn được quan tâm kiểm soát và khắc phục bằngcác giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP)

Các hiểm họa đối với hệ thống có thể gây thất thoát dữ liệu (Data Loss) đượcphân loại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động như sau:

- Hiểm họa vô tình: khi người dùng khởi động lại hệ thống ở chế độ đặcquyền, họ có thể tùy ý chỉnh sửa hệ thống Nhưng sau khi hoàn thành công việc họkhông chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng

- Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép

- Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếplên hệ thống, như nghe trộm các gói tin trên đường truyền

- Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống

Giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP): giúp kiểm soát

và giám sát việc truyền nhận những dữ liệu quan trọng dựa vào khả năng nhận biếtnội dung, quản lý các rủi ro thất thoát thông tin, dữ liệu quan trọng ra bên ngoài.Giải pháp được thiết kế cho phép các tổ chức xây dựng những chính sách kiểmsoát hoạt động của nhân viên trên các ứng dụng email cá nhân và doanh nghiệp,giao tiếp trên web và các hoạt động khác

1.2 Các con đường dẫn đến mất mát dữ liệu

Những tác nhân ảnh hưởng đến thông tin:

Tự nhiên: thiên tai và tác động của môi trường (bão, lũ, động đất, khí hậu, hỏa

hoạn, ô nhiễm môi trường,…)

Attacker: Nghe lén trên mạng (Eavesdropping): là một phương pháp ra đời khá

lâu nhưng hiệu quả, kẻ tất công sử dụng các thiết bị mạng (router, card mạng,…)

và một chương trình ứng dụng (TCPDump, Ethereal, Wireshark,…) để giám sátlưu lượng mạng, bắt các gói tin đi qua các thiết bị này, để khắc phục vấn đề nàycách tốt nhất là mã hóa dữ liệu trước khi truyền chúng trên mạng.

- Giả mạo IP Address (IP Address Spoofing): là phương pháp tấn công

cho phép kẻ tấn công giả mạo địa chỉ IP của nạn nhân bao gồm các kỹ thuật SYNflooding, TCP hijacking, ARP spoofing

- Tấn công Password (Password-Based Attacks): là sử dụng cơ chế chứng

thực uername password, các phương pháp thông dụng như guessing, socialengineering, dictionary, password sniffing

- Tấn công từ chối dịch vụ (Denial-of-Service Attack): mục tiêu của cuộc

tấn công từ chối dịch vụ là ngăn chặn người dùng hợp pháp sử dụng những dịch vụ

mà họ thường nhận được từ các máy chủ, cuộc tấn công có thể phát sinh từ mộtmáy tính (DoS) hoặc từ một nhóm máy tính (DDoS)

- Tấn công tầng ứng dụng (Application Attack): là khai thác những điểm

yếu trong các chương trình ứng dụng chạy trên các máy server như sendmail,Postscript và FTP Bằng cách khai thác những điểm yếu này, chủ thể tấn công cóthể chiếm quyền truy xuất vào các máy tính với quyền truy cập cùng cấp với tàikhoản đang sử dụng

- Malicious Code: tấn công bằng các phần mền độc hại

• Virus: là phần mềm tự sao chép và thực thi khi khởi chạy một chương trìnhvật chủ, làm hại máy tính và sao chép chính nó để lây nhiễm các máy tính kháctrong hệ thống

• Worm: là một chương trình đứng một mình (stand alone program), thực thibất kì thời điểm, gây nguy hiểm cho hệ thống nó thường trú

• Trojan: ngụy trang kèm theo những ứng dụng thông thường, chức năngchính là điều khiển máy tính từ xa, ăn cắp thông tin của nạn nhân

• Logic BOM: là chương trình con hoặc một lệnh được nhúng trong chươngtrình, kích hoạt bởi những lệnh điều khiển có điều kiện

Người dùng:

Thất thoát dữ liệu có thể xảy ra ở các trạng thái của dữ liệu như sau:

Data-in-Motion: là phương pháp phát hiện và kiểm soát thông tin lưu chuyểntrên mạng như qua mail, web, phương pháp này còn được gọi là ngăn ngừa mứcmạng (Network-based DLP).

Ưu điểm: phạm vi kiểm soát thông tin rộng, từ tất cả các máy bên trong gửi ra

bên ngoài, chính sách kiểm soát thống nhất tại mạng vành đai (giữa mạng nội bộ LAN và mạng công cộng - Internet), triển khai đơn giản, không đòi hỏi cài đặt cácphần mềm trên các máy trạm, máy chủ

-Nhược điểm: không kiểm soát được việc copy, in, các thông tin từ máy trạm,

máy chủ

Data-in-Use: là phương pháp phát hiện và kiểm soát dữ liệu trên máy trạm, máychủ như copy ra USB, ghi CD/DVD, in trên giấy, Phương pháp này còn được gọi

là ngăn ngừa tại các điểm đầu cuối (Endpoint DLP)

Ưu điểm: Phạm vi kiểm soát thông tin với mọi hành động của người dùng (in,

sao chép, gửi thông tin qua mạng)

Nhược điểm: Chính sách được thiết lập phân tán trên các máy đầu cuối dẫn tới

có máy không được áp dụng chính sách và/hoặc để giảm thiểu chi phí cho bảnquyền, chi phí bảo trì nên khách hàng thường không mua đầy đủ license cho toàn

bộ các máy trạm, máy chủ; không kiểm soát được đối với các máy không cài phầnmềm, phần mềm không tương thích, phần mềm bị cố tình làm vô hiệu ; triển khaiphức tạp vì phải cài đặt, cấu hình phần mềm trên các máy trạm, máy chủ,

Data-at-Rest: là phương pháp phát hiện sự tồn tại của dữ liệu nhạy cảm nằmtrong các máy trạm, máy chủ, ổ đĩa cứng, thiết bị đầu cuối, việc thực thi cácchính sách ngăn ngừa mất mát dữ liệu không phải là một kết quả trực tiếp củaData- at- Rest DLP Các thông tin thu thập được qua Data- at- Rest DLP có thểđược sử dụng để đưa ra một kế hoạch hành động nhằm làm giảm nguy cơ mất dữliệu

Ưu điểm: Phạm vi phát hiện sự tồn tại của dữ liệu nhạy cảm khi thực hiện quét

các vị trí được chỉ ra

Nhược điểm: Phát hiện sự tồn tại của dữ liệu nhạy cảm, nhưng không thực hiện

được các chính sách ngăn ngừa thất thoát dữ liệu; thực hiện quét với phần mềm

(Agent) thường trú, hoặc phần mềm tạm thời khiến tiêu tốn tài nguyên của các hệthống bị quét.

Tương ứng ta có các giải pháp DLP phù hợp để ngăn chặn việc thất thoát dữliệu:

- DLP for Endpoint: kiểm soát, quản lý dữ liệu trong trạng thái đang sửdụng

- DLP for Network: kiểm soát, quản lý dữ liệu trong trạng thái đang vậnchuyển trên mạng

- DLP for Stored data discovery: kiểm soát, quản lý dữ liệu trong trạng tháiđang được lưu trữ, tài nguyên máy tính

Mất mát dữ liệu từ phía người dùng 1.3 Hiện trạng mất mát dữ liệu trong doanh nghiệp

Theo báo cáo thất thoát dữ liệu 6 tháng đầu năm 2015 – “Global Data Leakage

Report, H1 2015” của InfoWatch Analytical Center *InfoWatch là một dự án của

Kaspersky Lab hoạt động trên 10 năm với mục đích bảo vệ an toàn thông tin doanh nghiệp*

- Có 723 tin tức về mất mát dữ liệu trên phương tiện thông tin đại chúng, caohơn 10% so với cùng kỳ năm 2014

- Tấn công từ bên ngoài (external attacks) đứng 32%, cao hơn 9% cùng kỳnăm ngoái

- Tổ chức chính phủ có sự sụt giảm tỷ lệ mất mát dữ liệu, nhưng đối với cáccông ty thương mại tăng đến 75%.

- Công ty vận tải, cùng với các dịch vụ trực tuyến, các nhà bán lẻ, và các tổchức y tế là nguồn lớn nhất của rò rỉ dữ liệu cá nhân

- 90% sự rò rỉ liên quan đến thông tin cá nhân, hơn 262 triệu hồ sơ bị tổn hạibao gồm cả dữ liệu tài chính Đặc biệt, mất mát về bí mật thương mại, bí quyếtkinh doanh tăng 1.6%

- Nhân viên chịu gần 58% trách nhiệm cho các vụ rò rỉ, trong khi giám đốcđiều hành là 1%

Kết luận:

Hiện nay, hầu hết các tổ chức và doanh nghiệp tại Việt Nam đều áp dụng CNTTphục vụ trong việc hoạt động, kinh doanh và sản xuất nhằm mục đích tối ưu vàhiệu quả nhất Điều này đồng nghĩa với việc thất thoát và rò rỉ thông tin sẽ ảnhhưởng rất lớn đến việc hoạt động, kinh doanh và sản xuất của tổ chức, doanhnghiệp Từ những số liệu thống kê kể trên, ta thấy rằng nếu tình trạng thất thoát dữliệu nói chung và thất thoát dữ liệu trong doanh nghiệp đã lên đến con số báo độngtrong những năm gần đây Các vụ tấn công từ bên ngoài, tình trạng nhân viên bêntrong ảnh hưởng đến dữ liệu công ty … cho thấy cần phải có một hoặc nhiều giảipháp chống thất thoát dữ liệu hiện đại, toàn diện, có sự kết hợp của nhiều phía:công nghệ, quy trình, chính sách, con người

PHẦN 2 PHÂN TÍCH VÀ ĐÁNH GIÁ MÔ HÌNH MẠNG HIỆN TẠI 2.1 Những điểm yếu về bảo mật

Mô hình mạng hiện tại

Mô hình mạng được sử dụng hiện tại bộc lộ những điểm yếu như:

• Quản trị theo mô hình Domain

• Router Cisco tích hợp firewall

• Không có phần mềm antivirus, firewall chuyên dụng cũng như các chínhsách bảo mật khác

• Chưa có chính sách vận hành hệ thống, chính sách về vấn đề an toàn thôngtin trong hệ thống và chính sách sao lưu và phục hồi dữ liệu

• Tất cả các máy chủ đặt tại Data Center

Nguyên nhân:

• Không có firewall chuyên dụng dễ bị tấn công DoS, DdoS … để đánh cắp dữliệu

• In ấn tự do, không có sự quản lý tập trung

• Không có phần mềm antivirus nên dễ bị lây nhiễm virus qua các thiết bị diđộng hoặc truy cập mạng, attacker cố tình tấn công …

• Hệ thống mạng không có tính dự phòng, điều này gây khó khăn trong việcsao lưu và phục hồi dữ liệu khi có sự cố xảy ra

• Không có chính sách an ninh, nhân viên có thể sao chép dữ liệu qua USB,gửi thông tin qua các internet mà không bị pháp hiện

• Không có sự phân chia luận lý giữa các phòng ban

• Chưa có cơ chế cập nhật bản vá lỗi cho client và server và chưa có hệ thốngchủ động tìm kiếm, phát hiện và ngăn ngừa xâm nhập

• Thiếu cơ chế bảo mật web, mail chuyên dụng tại gateway và thiếu cơ chếquản lý các nhân viên truy cập từ xa

• Thiếu việc triển khai các hệ thống giám sát hệ thống mạng (NetworkMonitoring) cũng như chính sách triển khai baseline và theo dõi, ghi log toàn

bộ sự kiện xảy ra trong hệ thống

Attacker có thể tấn công dữ liệu bằng cách:

• Tấn công vào lỗ hổng bảo mật: Hacker lợi dụng các lỗ hổng bảo mật mạng, cácgiao thức cũng như các lỗ hổng của hệ điều hành… để tấn công ăn cắp dữ liệu Ví

dụ như hacker lợi dụng lỗ hổng SQL injection của việc kiểm tra dữ liệu đầu vàotrong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về đểinject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp SQL injection có thểcho phép những kẻ tấn công thực hiện các thao tác, delete, insert, update, v.v trên

cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy SQLinjection thường được biết đến như là một vật trung gian tấn công trên các ứngdụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQLServer, MySQL, Oracle, DB2, Sysbase

• Tấn công giả mạo DNS (DNS cache poisoning) là kỹ thuật tấn công MITM, theo

đó dữ liệu sai sẽ được đưa vào hệ thống tên miền (DNS) cho một máy chủ, để khingười dùng duyệt đến một địa chỉ nào đó sẽ bị chuyển sang một địa chỉ khác màkhông hề hay biết Ví dụ như người dùng duyệt đến địa chỉ www.abc.com có IP làXXX.XX.XX.XX thì trình duyệt sẽ được chuyển đến một địa chỉ www.abc.com giảmạo cư trú ở địa chỉ IP YYY.YY.YY.YY với giao diện hoàn toàn giống với giaodiện khi dùng địa chỉ thật, đây là địa chỉ mà kẻ tấn công đã tạo trước để đánh cắp

các thông tin người dùng, chẳng hạn như tài khoản ngân hàng trực tuyến của ngườidùng, Hoặc kẻ tấn công nhằm giả dạng một nhân vật đáng tin cậy để dò la và lấycắp thông tin, ví dụ như các attacker dùng email tự xưng là các ngân hàng hoặc tổchức hợp pháp thường được gởi số lượng lớn Nó yêu cầu người nhận cung cấp cácthông tin khá nhạy cảm như tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằngcách dẫn đến một đường link tới một website nhìn có vẻ hợp pháp, điều đó giúpcho tên trộm có thể thu thập được những thông tin của quý khách để tiến hành cácgiao dịch bất hợp pháp sau đó

• Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng các phần mềm độc hại,hoặc các loại virut được tiêm vào các phần mềm trông như vô hại để dụ người sửdụng nhiễm phải Chúng có thể ăn cắp thông tin, phá hoại dữ liệu máy tính và lâylan qua các máy khác

• Tấn công trực tiếp qua các kết nối vật lí: Bằng cách này hay cách khác kẻ tấn côngtìm cách tiếp cận với mạng nội bộ, chúng có thể dung một số công cụ nghe lén đểbắt các gói tin, phân tích chúng để ăn cắp dữ liệu Ví dụ như thông tin tài khoảnđăng nhập, chiếm quyền điều khiển của các máy để lấy dữ liệu hoặc tấn công máychủ…

• Tấn công thăm dò: Attacker giả dạng các công ty về bán sản phẩm tin học để hỏithăm nhân viên về một số thông tin của phòng server, có bao nhiêu thiết bị, thiết bịdùng hãng nào, có firewall hay không… để từ đó làm cơ sở cho tấn công và đánhcắp dữ liệu

• Thông qua các kỹ thuật nghe lén: Các thông tin nhạy cảm dưới dạng bản cứngkhông được hủy bỏ một cách thích hợp, thường thì chỉ được vứt vào sọt rác.Attacker có thể thu thập được các thông tin này một cách dễ dàng

• Phishing và Pre-Phishing: Phishing là một phương thức lừa đảo nhằm giả mạo các

tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến và các công ty thẻtín dụng để lừa người dùng chia sẻ thông tin tài chính như: tên đăng nhập, mật khẩugiao dịch, những thông tin nhạy cảm khác của họ Attacker có thể dễ dàng lừa nhânviên truy cập vào trang web độc hại, tải và cài đặt các keylogger ghi lại toàn bộthông tin trong máy nạn nhân Phương thức tấn công này còn có thể cài phần mềm

độc hại vào thiết bị của người dùng Chúng thực sự là mối quan ngại lớn nếu ngườidùng chưa có kiến thức về kiểu tấn công này hoặc thiếu cảnh giác về nó

và gửi nó đi thông qua các trình tin nhắn nhanh chuyên dụng Bằng cách tương tự,

người dùng có thể gửi tiết lộ thông tin bí mật thông qua phiên hội thoại (chat text)

• Chia sẻ file ngang hàng P2P: Nhân viên có thể dễ dàng sử dụng giao thức P2P đểgửi file ra ngoài

• Web mail: Nhân viên có thể sử dụng web mail như Yahoo, Google, Hotmail có thểđính kèm file hay copy nội dung vào phần message text để gửi ra ngoài.Tuy nhiên,các phiên làm việc với web mail được mã hóa, nên khó bị phát hiện hơn

• Có thể do sự vô ý của nhân viên: Nhân viên đính kèm nhầm file, nhân viên chọn saingười gửi (tính năng AutoComplete trên Outlook, nếu như nhân viên không kiểmtra kỹ thì nguy cơ nhân viên gửi nhầm mail quan trọng rất có khả năng xảy ra),nhân viên bị lừa để gửi thông tin ra ngoài Hoặc thông qua các dịch vụ cloudstorage miễn phí: Nhân viên có thể upload dữ liệu nhạy cảm lên các hệ thống lưutrữ đám mây miễn phí như dropbox hay Skydriver

• Nhân viên có thể upload dữ liệu lên một FTP server trên internet để gửi thông tin rangoài

• In tài liệu, photocopy tự do không được quản lý tập trung Đem tài liệu in, copy rabên ngoài

• Dùng điện thoại, camera chụp lại tài liệu của công ty

• Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên khác chép

dữ liệu của mình đem ra bên ngoài

• Thiết bị USB chứa dữ liệu quan trọng bị mất hay để quên tại nơi làm việc

PHẦN 3 THIẾT KẾ HỆ THỐNG MỚI 3.1 Mô hình tổng quát

3.2 Các giải pháp công nghệ được sử dụng

3.2.1 Giải pháp IDS/IPS security trong mạng LAN

Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion Prevention System)

Giới thiệu giải pháp

Được phát triển dựa trên cổ máy phát hiện xâm nhập nổi tiếng nhất thế giới SNORT® rules-based detection engine Sourcefire IPS kết hợp sức mạnh của cácgiải pháp phát hiện lỗ hổng bảo mật và phát hiện nguy cơ dựa trên các dấu hiệu bấtthường, với tốc độ lên tới 10 Gbps, cho phép phân tích lưu lượng dữ liệu trên mạng

-và phòng chống các nguy cơ nghiêm trọng cho mạng lưới Có thể dùng để triểnkhai bảo vệ mạng tại vùng biên, tại DMZ, trong mạng Core hoặc tại bất kỳ phânvùng mạng nào; có thể triển khai phòng chống tích cực bằng cách xen giữa các lưu

lượng cần bảo vệ hoặc giám thính lưu lượng một cách thụ động với các thông báohữu ích

Các hệ thống IDS của Sourcefire rất dễ sử dụng và cung cấp một khả năng phòngchống nguy cơ một cách toàn diện Sourcefire IPS nổi bật ở khả năng phân tích cao,tường trình mạnh mẽ và độ linh hoạt không gì sánh bằng Nhờ Sourcefire RNA™(Real-time Network Awareness), người dùng có thể khai thác Sourcefire IPS ở mộtmức độ cao cấp hơn nữa RNA cho phép giám sát hoạt động mạng 24x7, quản lý tàinguyên mạng trong thời gian thực - hệ điều hành, dịch vụ mạng, ứng dụng, giaothức mạng sử dụng, các nguy cơ tiềm ẩn hiện hữu trong mạng Bằng việc tích hợptrong thời gian thực các thông tin mạng lưới vào hệ thống IPS, RNA giúp tự độnghóa cho các quá trình tiếp theo trong việc tinh chỉnh IPS và đánh giá tầm ảnhhưởng của các biến cố an ninh trong mạng Các hệ thống IPS của Sourcefire có khảnăng phòng chống các loại nguy cơ rất đa dạng:





Zero-day threats TCPreassembly & IPdefragmentation

Triển khai giải pháp

• Một thiết bị IPS được đặt ở chế độ inline nằm giữa core switch và vùng Server

• Farm để phát hiện và ngăn chặn các cuộc tấn công từ bất kỳ đâu (kể cả client) vàoServer Farm

• Một thiết bị IPS đặt giữa Firewall và vùng DMZ cho phép phát hiện, ngăn chặn cáccuộc tấn công từ internet vào DMZ

• Một thiết bị IPS đực đặt giữa tường lửa và hệ thống mạng bên trong để phát hiện vàngăn chặn các cuộc tấn công từ bên ngoài vào

• Sourcefire Defense Center™: là trung tâm quản lý của Sourcefire 3D System.Defense Center (DC) kết hợp nhiều chức năng bảo mật bao gồm quản lý sự kiện,thiết lập tương quan và phân cấp độ ưu tiên trong đánh giá, phân tích các xu hướng

và quản lý các báo cáo Tất cả các dữ liệu sự kiện sẽ được gửi từ Sourcefire IPSSensor về DC để phân tích và lưu trữ tập trung tại đây DC được thiết kế đặc biệt để

có thể quản lý đến 100 IPS sensors và trên 100 triệu events

3.2.2 Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite

Giới thiệu giải pháp

McAfee Endpoint Protection Suite (EPS) là bộ sản phẩm tích hợp nhiều côngnghệ bảo mật của McAfee , nhằm tạo ra nhiều lớp bảo vệ cho hệ thống máy trạm,máy chủ, ngăn chặn những nguy cơ và rủi ro về thất thoát dữ liệu đối với máy chủ,máy trạm trong hệ thống Với bộ giải pháp bảo mật McAfee EPS chúng ta sẽ cóđược những lợi ích sau:

• McAfee EPS bao gồm tính năng Antivirus/Antispyware giúp cho các máy trạm,máy chủ phòng chống hiệu quả trước các nguy cơ lây nhiễm virus/Malware và cáctấn công zero-day với công nghệ dựa trên mẫu, công nghệ dựa trên phân tích hành

vi và điện toán đám mây

• Tính năng tường lửa cá nhân kiểm soát toàn diện luồng dữ liệu vào ra máy chủ/máytrạm, phát hiện và ngăn chặn các luồng dữ liệu bất hợp pháp vào ra hệ thống

• Khả năng kiểm soát thiết bị ngoại vi giúp giảm thiểu tối đa các nguy cơ phát tánvirus/Malware qua USB, đồng thời đảm bảo tính tuân thủ của người dùng trong tổchức về việc sử dụng thiết bị ngoại vi (chỉ được phép sử dụng thiết bi ngoại vi mà

• Việc triển khai không gây ảnh hưởng tới người dùng cuối Việc phân hoạch và quản

lý một cách dễ dàng Giảm thiểu tối đa thời gian triển khai và cài đặt

• Cho phép quản trị phân hoạch, gộp nhóm tài nguyên (máy trạm, máy chủ) từ đó dễdàng xây dựng chính sách bảo mật cho từng nhóm tài nguyên, giúp giảm thiểu tối

đa thời gian triển khai cài đặt, xây dựng chính sách bảo mật cũng như quản lý cácmáy trạm, máy chủ

Triển khai giải pháp

Triển khai McAfee EPS xuống tất cả các máy trạm một cách tự động thông quamột Agent duy nhất, McAfee Agent Thực hiện phân hoạch, gộp nhóm tài nguyên(máy chủ, máy trạm) để dễ dàng xây dựng chính sách bảo mật cũng như quản lýcác máy trạm, máy chủ

3.2.3 Giải pháp backup dữ liệu sử dụng hệ thống SAN

SAN (Storage Area Network) là một mạng riêng tốc độ cao dùng cho việctruyền dữ liệu giữa các máy chủ tham gia vào hệ thống lưu trữ cũng như giữa cácthiết bị lưu trữ với nhau SAN cho phép thực hiện quản lý tập trung và cung cấpkhả năng chia sẻ dữ liệu và tài nguyên lưu trữ Hầu hết mạng SAN hiện nay dựatrên công nghệ kênh cáp quang, cung cấp cho người sử dụng khả năng mở rộng,hiệu năng và tính sẵn sàng cao

Hê thống SAN được chia làà̀m hai mức: mức vật lý và logic

• Mức vật lý: mô tả sự liên kết các thành phần của mạng tạo ra một hệ thống lưu trữđồng nhất và có thể sử dụng đồng thời cho nhiều ứng dụng vàà̀ người dùng

• Mức logic: bao gồm các ứng dụng, các công cụ quản lý và dịch vụ được xây dựngtrên nềà̀n tảng của các thiết bị lớp vật líí́, cung cấp khả năng quản lý hệ thống SAN

Ưu điểm của hệ thống SAN:

• Có khả năng sao lưu dữ liệu với dung lượng lớn và thường xuyên mà không làmảnh hưởng đến lưu lượng thông tin trên mạng ̣

• SAN đặc biệt thích hợp với các ứng dụng cần tốc độ và độ trễ nhỏ ví dụ như cácứng dụng xử lý giao dịch trong ngành ngân hàng, tài chính

• Dữ liệu luôn ởở̉ mức độ sẵn sàà̀ng cao

• Dữ liệu được lưu trữ thống nhất, tập trung và có khả năng quản lý cao Có khả năngkhôi phục dữ liệu nếu có xảy ra sự cố

• Hỗ trợ nhiều giao thức, chuẩn lưu trữ khác nhau như: iSCSI, FCIP, DWDM

• Có khả năng mở rộng tốt trên cả phương diện số lượng thiết bị, dung lượng hệthống cũng như khoảng cách vật lý

• Mức độ an toàn cao do thực hiện quản lý tập trung cũng như sử dụng các.̣ công cụ

hỗ trợ quản lý SAN

3.2.4 Giải pháp web security

3.2.4.1 Giới thiệu giải pháp

* Giải pháp chống thất thoát dữ liệu và bảo mật Web với McAfee Web

Gateway

McAfee là công ty chuyên về an toàn an ninh mạng, cung cấp các giải pháp bảomật toàn diện cho đối tượng khách hàng rộng khắp từ doanh nghiệp lớn, tổ chứcchính phủ, tới doanh nghiệp vừa và nhỏ, cũng như các khách hàng khác Giải phápbảo vệ toàn diện cho phép phòng chống tấn công trên mạng, bảo vệ hệ thống máytính khỏi các cuộc tấn công phức hợp hay các tấn công thế hệ mới, các dạng tấncông này được khai thác trên nhiều mức độ của hạ tầng mạng McAfee cung cấpgiải pháp bảo mật theo chiều sâu, từ vùng mạng core đến vành đai, bảo mật toànvẹn cho hệ thống máy chủ, máy trạm, thông qua hai giải pháp: McAfee SystemProtection Solution nhằm bảo mật cho hệ thống máy chủ và máy trạm và McAfeeNetwork Protection Solutions để đảm bảo khả năng bảo vệ và tốc độ của hệ thốngmạng Trong đó McAfee Network Protection Solutions là giải pháp bảo vệ trướcnhững tấn công cho cả mô hình mạng lớn và nhỏ Giải pháp bảo vệ này bao gồm:McAfee Foundstone® là hệ thống quản lý rủi ro và McAfee IntruShield® thànhphần phòng chống tấn công trên hệ thống mạng

Nói đến bảo mật Web thì không thể không nhắc đến các giải pháp NetworkSecurity: Là giải pháp bảo mật, phòng thủ có chiều sâu giúp bảo vệ hệ thống mạngdoanh nghiệp, các vùng mạng vành đai, vùng mạng core trước các tấn công củavirus, worm, hacker nhằm vào các ứng dụng của doanh nghiệp

Trong đó sản phẩm điển hình hiệu quả nhất cho Bảo mật Web là: McAfee WebGateway (Webwasher): giải pháp kiểm soát an ninh cho doanh nghiêp, ̣ phòngchống những đoạn mã độc trước khi thâm nhập vào hệ thống mạng (trong môitrường web), spyware, virus, phishing…

McAfee Web Gateway cung cấp một số ưu điểm sau:

• Chống được hầu hết các mối đe dọa đến từ môi trường web: virus, spyware,malicious code, phishing …

• Hỗ trợ tất cả các giao thức duyệt web, chống dữ liệu bị thất thoát thông qua conđường web như Wiki , web post, blog và hỗ trợ hầu hết các ứng dụng web 2.0thông qua một danh sách các từ khóa được định nghĩa sẵn (kể cả giao thức SSL).Thực hiện mã hóa file khi được upload lên các cloud storage hay thông qua một sốtrang web chia sẻ file thông dụng, cho phép thực thi các chính sách kể cả trên thiết

bị di động, điện thoại thông minh, máy tính bảng, tự động hóa bảo mật các nguồntài nguyên trong mạng kể cả lúc tài nguyên đó không được quan tâm đến

• Lọc các luồng dữ liệu mã hóa SSL thông qua chức năng SSL Deep Packetinspections

• Hỗ trợ tích hợp cùng với các giải pháp DLP khác

• Đơn giản hóa trong việc quản trị trong một giao diện duy nhất

3.2.4.2 Triển khai

Mô hình triển khai McAfee Web Gateway.

Mô tả:

• User duyệt web bằng cách gởi yêu cầu đến Web Proxy Server

• Web Proxy Server sẽ tiến hành gửi các luồng dữ liệu duyệt web đến McAfee WebGateway Tại đây McAfee Web Gateway sẽ phân tích luồng dữ liệu vừa đến với cácluật đã được thiết lập trước đó, nếu phát hiện vi phạm từ các chính sách McAfeeWeb Gateway đề ra, nó sẽ chuyển tiếp luồng dữ liệu đến Web Proxy Server và chặnchúng lại

• Nếu ngược lại các yêu cầu đều được phép, Web Proxy Server sẽ thực hiện yêu cầu

và trả kết quả về cho user

3.2.5 Giải pháp email security

Nguy cơ: Hiện nay, các cá nhân, tổ chức, doanh nghiệp sử dụng email để giao

tiếp trong công việc, trong trao đổi thông tin, dữ liệu đều đang phải đối diện vớinhững nguy cơ tìm ẩn như mất mát dữ liệu, bị tấn công bởi virus, virus, spam,spyware, malware từ email

Trước tình trạng một khối lượng vô cùng lớn spam gia tăng đáng kể từng ngày

đã trở nên "lấn lướt" các email server doanh nghiệp và email người sử dụng Spamdẫn đến việc làm lãng phí tài nguyên của doanh nghiệp, giảm hiệu suất lao độngcũng như trở thành gánh nặng cho doanh nghiệp Ngoài ra, các nguy cơ ngày càng

tinh tế về nội dung của Spam làm cho chúng trở thành một loại hình tấn công mớirất nguy hiểm và khó bảo vệ Chính vì lẽ đó, doanh nghiệp cần có giải pháp quản

lý lưu trữ email, chống spam, lọc nội dung mail, chống virus, mailware … từ email

và kiểm soát việc sử dụng email của nhân viên

3.2.5.1 Giải pháp GFI Archive 2015

GFI Archiver cho phép các công ty lưu trữ và quản lý tập trung email, lịch vàlịch sử tập tin và dễ dàng truy cập vào các dữ liệu khi cần thiết GFI Archiver làmột sự bổ sung cần thiết cho mọi chiến lược sao lưu vì nó giữ một phiên bản cósẵn của các cuộc hội thoại email của người sử dụng cũng như các tập tin quantrọng

Các tính năng nổi bật:

- Quản lý lịch sử thông tin điện tử của công ty bao gồm email, file đính kèm,tập tin, các mục lịch, fax và SMS (văn bản) và các tin nhắn thoại được gửi quaemail

- Tự động lưu trữ email để tăng hiệu quả, cải thiện hiệu suất máy chủ

và giảm sự phụ thuộc vào các tập tin PST không đáng tin cậy

- File Archiving Assistant cho phép nhân viên và các nhóm làm việc trên tài liệuđược chia sẻ mà không dựa vào bên thứ ba lưu trữ tập tin trực tuyến

- Tìm và nhận mail, file đính kèm và các tập tin cũ một cách nhanh chóng và dễdàng bằng cách sử dụng tìm kiếm nâng cao và chức năng restore

- Xác định các vấn đề kinh doanh, giảm thiểu rủi ro pháp lý và quản lý năngsuất bằng cách báo cáo về các dữ liệu kinh doanh quan trọng được tìm thấy trongkho lưu trữ của bạn

- Tùy chọn lưu trữ linh hoạt cho phù hợp với nhu cầu kinh doanh của bạn; chọn

để lưu trữ tất cả mọi thứ, hoặc chỉ các mục bạn cần thông qua các quy tắc, emailhoặc thư mục