GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH NGHIỆP

Vì thế cần xây dựng một giải pháp chống thất thoát dữ liệu cho doanh nghiệp - DLPData Loss Prevention giúp ngăn ngừa tối đa các nguy cơ thất thoát thông tin khi thiết lập chínhxác chính

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN TPHCM

Khoa Mạng Máy Tính Và Truyền Thông

- 

-BÁO CÁO ĐỒ ÁN XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG

TIN CHO DOANH NGHIỆP

GIẢI PHÁP DATA LOSS PREVENTION CHO DOANH

NGHIỆP

GIÁO VIÊN HƯỚNG DẪN: NHÓM SINH VIÊN THỰC HIỆN:

Lời mở đầu

Các tổ chức, doanh nghiệp (TC/DN) có rất nhiều loại hình thông tin cần được bảo vệ chặt chẽnhư thông tin khách hàng, bí mật công nghệ, chiến lược phát triển kinh doanh, hay các tin tứcnhạy cảm khác,… Những thông tin này nếu để lộ ra ngoài có thể gây các hậu quả nghiêm trọngđến tài chính, danh tiếng của công ty và quan hệ với các đối tác của TC/DN

Nhiều người cho rằng TC/DN của mình đã trang bị nhiều giải pháp an ninh bảo mật như tườnglửa, chống virus, chống xâm nhập… nên có thể ngăn ngừa thất thoát thông tin Các giải pháp anninh truyền thống như firewall, IPS, Anti- virus giúp nhận diện và ngăn ngừa các tấn công, mãđộc hại nhưng các giải pháp này không phân biệt được dữ liệu nào là nhạy cảm, dữ liệu nào cầnbảo vệ Vì thế cần xây dựng một giải pháp chống thất thoát dữ liệu cho doanh nghiệp - DLP(Data Loss Prevention) giúp ngăn ngừa tối đa các nguy cơ thất thoát thông tin khi thiết lập chínhxác chính sách đối với các loại thông tin và người được quyền sử dụng thông tin

Bài báo cáo này sẽ giới thiệu giải pháp chống thất thoát dữ liệu cho doanh nghiệp - DLP (DataLoss Prevention) là một giải pháp ngăn ngừa hiệu quả mất mát thông tin nhạy cảm, bí mật củaTC/DN

Nội dung bao gồm:

Phần 1: Tổng quan về DATA LOSS PREVENTION (DLP)

Phần 2: Phân tích và đánh giá mô hình mạng hiện tại

Phần 3: Thiết kế hệ thống mới

Phần 4: Xây dựng qui trình và chính sách bảo mật

Phần 5: Kết luận

MỤC LỤC

PHẦN 1 TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP) 5

1.1 Khái niệm về DLP 5

1.2 Các con đường dẫn đến mất mát dữ liệu 6

1.3 Hiện trạng mất mát dữ liệu trong doanh nghiệp 10

PHẦN 2 PHÂN TÍCH VÀ ĐÁNH GIÁ MÔ HÌNH MẠNG HIỆN TẠI 13

2.1 Những điểm yếu về bảo mật 13

2.2 Những rủi ro về mất mát dữ liệu 14

2.2.1 Từ attacker 15

2.2.2 Từ nhân viên 16

PHẦN 3 THIẾT KẾ HỆ THỐNG MỚI 17

3.1 Mô hình tổng quát 17

3.2 Các giải pháp công nghệ được sử dụng 17

3.2.1 Giải pháp IDS/IPS security trong mạng LAN 17

3.2.1.1 Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion Prevention System) 18

3.2.2 Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite 20

3.2.3 Giải pháp backup dữ liệu sử dụng hệ thống SAN 21

3.2.4 Giải pháp web security 23

3.2.4.1 Giới thiệu giải pháp 23

3.2.4.2 Triển khai 24

3.2.5 Giải pháp email security 25

3.2.5.1 Giải pháp GFI Archive 2020 26

3.2.5.2 Giải pháp GFI MailEssentials 2020 27

3.2.5.3 Giải pháp quản lý hoạt động của user – Spector360 29

3.2.5.4 Giải pháp mã hóa email với iSafeguard 31

3.2.6 Giải pháp file security 32

3.2.6.1 Triển khai DFS Replicate và DFS Namespace lên server 32

3.2.6.2 Sử dụng Audit Policy 33

3.2.6.3 Sử dụng NTFS Permission 33

3.2.6.4 Sử dụng Backup & Restore để sao lưu dữ liệu định kỳ và phục hồi khi cần thiết 34

3.2.6.5 Sử dụng Quota để giới hạn dung lượng sử dụng trên ổ đĩa File server 34

3.2.6.6 Sử dụng Shadow Copies để sao lưu và phục hồi dữ liệu bị xóa, thay đổi tạm thời 35

3.2.6.7 Một số giải pháp khác 35

PHẦN 4 XÂY DỰNG QUI TRÌNH VÀ CHÍNH SÁCH BẢO MẬT 37

4.1 Xây dựng qui trình 37

4.1.1 Xác định đối tượng 37

4.1.2 Xác định mục tiêu 37

4.1.3 Xác định phương pháp 38

4.2 Xây dựng chính sách 39

4.2.1 Quản lý thiết bị 39

4.2.2 Quản lý con người 43

4.2.3 Quản lý truy cập 46

4.2.4 Quản lý thông tin 47

3.3.3.7 Phân loại thông tin 47

3.3.3.8 Chính sách quản lý thông tin 48

PHẦN 5 KẾT LUẬN 49

5.1 Những điểm đạt được 49

5.2 Những điểm còn thiếu sót 50

PHẦN 1 TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP)

1.1 Khái niệm về DLP

Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môitrường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình chonhiều đối tượng khác nhau qua Internet hay Intranet Việc mất mát, rò rỉ thông tin

có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệvới các đối tác Vì vậy vấn đề thất thoát dữ liệu trong doanh nghiệp luôn đượcquan tâm kiểm soát và khắc phục bằng các giải pháp chống thất thoát dữ liệu(Data Loss Prevention - DLP)

Các hiểm họa đối với hệ thống có thể gây thất thoát dữ liệu (Data Loss) được phânloại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động như sau:

- Hiểm họa vô tình: khi người dùng khởi động lại hệ thống ở chế độ đặcquyền, họ có thể tùy ý chỉnh sửa hệ thống Nhưng sau khi hoàn thành côngviệc họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻxấu lợi dụng

- Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép

- Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệ thống, như nghe trộm các gói tin trên đường truyền

- Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống

Giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP): giúp kiểm soát

và giám sát việc truyền nhận những dữ liệu quan trọng dựa vào khả năng nhận biếtnội dung, quản lý các rủi ro thất thoát thông tin, dữ liệu quan trọng ra bên ngoài.Giải pháp được thiết kế cho phép các tổ chức xây dựng những chính sách kiểmsoát hoạt động của nhân viên trên các ứng dụng email cá nhân và doanh nghiệp,giao tiếp trên web và các hoạt động khác

1.2 Các con đường dẫn đến mất mát dữ liệu

Những tác nhân ảnh hưởng đến thông tin:

Tự nhiên: thiên tai và tác động của môi trường (bão, lũ, động đất, khí hậu, hỏa

hoạn, ô nhiễm môi trường,…)

- Giả mạo IP Address (IP Address Spoofing): là phương pháp tấn công chophép kẻ tấn công giả mạo địa chỉ IP của nạn nhân bao gồm các kỹ thuậtSYN flooding, TCP hijacking, ARP spoofing

- Tấn công Password (Password-Based Attacks): là sử dụng cơ chế chứngthực uername password, các phương pháp thông dụng như guessing, socialengineering, dictionary, password sniffing

- Tấn công từ chối dịch vụ (Denial-of-Service Attack): mục tiêu của cuộc tấncông từ chối dịch vụ là ngăn chặn người dùng hợp pháp sử dụng nhữngdịch vụ mà họ thường nhận được từ các máy chủ, cuộc tấn công có thể phátsinh từ một máy tính (DoS) hoặc từ một nhóm máy tính (DDoS)

- Tấn công tầng ứng dụng (Application Attack): là khai thác những điểm yếutrong các chương trình ứng dụng chạy trên các máy server như sendmail,Postscript và FTP Bằng cách khai thác những điểm yếu này, chủ thể tấncông có thể chiếm quyền truy xuất vào các máy tính với quyền truy cậpcùng cấp với tài khoản đang sử dụng

- Malicious Code: tấn công bằng các phần mền độc hại

• Virus: là phần mềm tự sao chép và thực thi khi khởi chạy mộtchương trình vật chủ, làm hại máy tính và sao chép chính nó để lâynhiễm các máy tính khác trong hệ thống.

• Worm: là một chương trình đứng một mình (stand alone program),thực thi bất kì thời điểm, gây nguy hiểm cho hệ thống nó thường trú

• Trojan: ngụy trang kèm theo những ứng dụng thông thường, chứcnăng chính là điều khiển máy tính từ xa, ăn cắp thông tin của nạnnhân

• Logic BOM: là chương trình con hoặc một lệnh được nhúng trong chương trình, kích hoạt bởi những lệnh điều khiển có điều kiện

Người dùng:

Thất thoát dữ liệu có thể xảy ra ở các trạng thái của dữ liệu như sau:

- Data-in-Motion (dữ liệu vận chuyển): Các dữ liệu được truyền thông quađường Internet như gửi thư điện tử, tải các dữ liệu nội bộ lên các trang web,truyền tải dữ liệu nội bộ qua các kết nối từ xa (remote connection) hay quacác kênh giao tiếp như Yahoo Messenger!, AOL, Skype, …

Ví dụ: Rủi ro dữ liệu nội bộ bị luồng ra bên ngoài bằng các kỹ thuật tấncông của attacker, rò rỉ dữ liệu qua mạng xã hội, giao tiếp của nhân viênqua website, gửi nhận mail cá nhân, gửi nhận dữ liệu từ bên ngoài, điểukhiển từ xa,…

- Data-at-Rest (dữ liệu lưu trữ): dữ liệu được lưu trữ trong thư mục chia sẽ hoặc ổ đĩa của người dùng

Ví dụ: Thất thoát dữ liệu có thể xảy ra khi hệ thống lưu trữ bị tấn công, cácchương trình ứng dụng bị đính kèm các phần mềm gián điệp, phần mềmđộc hại, dữ liệu bị đánh cấp bởi người có đặc quyền sử dụng, quản lý dữliệu trong nội bộ,…

- Data-in-Use (dữ liệu đang sử dụng): các thao tác của người dùng cuối như copy data hoặc in ấn

Ví dụ: Các thao tác của nhân viên vô tình hay hữu ý cũng có thể làm dữliệu bị rò rỉ ra bên ngoài bởi sao chép dữ liệu qua usb, in ấn tài liệu, nhậpliệu qua bàn phím, máy tính bị giám sát bởi key logger,…

Tương ứng ta có các giải pháp DLP phù hợp để ngăn chặn việc thất thoát dữ liệu:

- DLP for Endpoint: kiểm soát, quản lý dữ liệu trong trạng thái đang sử dụng

- DLP for Network: kiểm soát, quản lý dữ liệu trong trạng thái đang vận chuyển trên mạng

- DLP for Stored data discovery: kiểm soát, quản lý dữ liệu trong trạng thái đang được lưu trữ, tài nguyên máy tính

Hình 1.2.1: Mất mát dữ liệu từ phía người dùng

Bên cạnh đó theo báo cáo về vi phạm dữ liệu từ Verizon (verizonenterprise.com)năm 2010 cho thấy các dữ liệu bị vi phạm ghi nhận chủ yếu liên quan đến cácnguy cơ từ nội bộ, các hình thức lừa đảo bằng kỹ năng xã hội (Social Engineering)

và sự tham gia của các tổ chức tội phạm

Hình 1.2.2: Báo cáo về nguyên nhân thất thoát dữ liệu được thông kê năm 2010.

Cụ thể là:

Có tới 48% các vi phạm là từ phía trong nội bộ

Nhiều vi phạm liên quan đến lạm dụng, lợi dụng đặc quyền, trong đó 48% là dongười dùng, 40% là hacking, 28% là Social Engineering

Còn đây là số liệu mới nhất của Verizon (verizonenterprise.com) cuối năm 2020cho thấy nguy cơ mất mát dữ liệu từ nội bộ (Insider Misuse) giảm so với các nămtuy nhiên vẫn chiếm tỉ lệ đáng kể

Hình 1.2.3: Báo cáo về các sự cố an ninh qua các năm.

1.3 Hiện trạng mất mát dữ liệu trong doanh nghiệp

Theo báo cáo thất thoát dữ liệu 6 tháng đầu năm 2020 – “Global Data Leakage

Report, H1 2020” của InfoWatch Analytical Center *InfoWatch là một dự án của

Kaspersky Lab hoạt động trên 10 năm với mục đích bảo vệ an toàn thông tin doanh nghiệp*

Có 723 tin tức về mất mát dữ liệu trên phương tiện thông tin đại chúng, cao

hơn 10% so với cùng kỳ năm 2014

Tấn công từ bên ngoài (external attacks) đứng 32%, cao hơn 9% cùng kỳ năm ngoái.

Tổ chức chính phủ có sự sụt giảm tỷ lệ mất mát dữ liệu, nhưng đối với các công ty thương mại

tăng đến 75%

Công ty vận tải - cùng với các dịch vụ trực tuyến, các nhà bán lẻ, và các tổ chức y tế - là

nguồn lớn nhất của rò rỉ dữ liệu cá nhân.

90% sự rò rỉ liên quan đến thông tin cá nhân, hơn 262 triệu hồ sơ bị tổn hại bao gồm cả dữ liệu tài chính Đặc biệt, mất mát về bí mật thương mại, bí quyết kinh doanh tăng 1.6%

Nhân viên chịu gần 58% trách nhiệm cho các vụ rò rỉ, trong khi giám đốc điều hành là 1%

Kết luận:

Hiện nay, hầu hết các tổ chức và doanh nghiệp tại Việt Nam đều áp dụng CNTTphục vụ trong việc hoạt động, kinh doanh và sản xuất nhằm mục đích tối ưu và hiệu quả nhất Điều này đồng nghĩa với việc thất thoát và rò rỉ thông tin sẽ ảnh hưởng rất lớn đến việc hoạt động, kinh doanh và sản xuất của tổ chức, doanh nghiệp

Từ những số liệu thống kê kể trên, ta thấy rằng nếu tình trạng thất thoát dữ liệu nóichung và thất thoát dữ liệu trong doanh nghiệp đã lên đến con số báo động trong những năm gần đây Các vụ tấn công từ bên ngoài, tình trạng nhân viên bên trong ảnh hưởng đến dữ liệu công ty … cho thấy cần phải có một hoặc nhiều giải pháp chống thất thoát dữ liệu hiện đại, toàn diện, có sự kết hợp của nhiều phía: công nghệ, quy trình, chính sách, con người

PHẦN 2 PHÂN TÍCH VÀ ĐÁNH GIÁ MÔ HÌNH MẠNG HIỆN TẠI2.1 Những điểm yếu về bảo mật

Mô hình mạng hiện tại

Thông tin chi tiết:

- Quản trị theo mô hình Domain

- Router Cisco tích hợp firewall

- Thiết bị cân bằng tải kết nối internet

- Không có phần mềm antivirus, firewall chuyên dụng cũng như các chínhsách bảo mật khác.

- Chưa có chính sách vận hành hệ thống

- Chưa có chính sách về vấn đề an toàn thông tin trong hệ thống

- Chưa có chính sách sao lưu và phục hồi dữ liệu

- Tất cả các máy chủ đặt tại Data Center

Phân tích mô hình hiện tại:

- Không có firewall chuyên dụng dễ bị tấn công DoS, DdoS … để đánh cắp dữ liệu

- In ấn tự do, không có sự quản lý tập trung

- Không có phần mềm antivirus nên dễ bị lây nhiễm virus qua các thiết bị

di động hoặc truy cập mạng, attacker có tình tấn công …

- Hệ thống mạng không có tính dự phòng - Khó khăn trong việc sao lưu

và phục hồi dữ liệu khi có sự cố xảy ra

- Không có chính sách an ninh, nhân viên có thể sao chép dữ liệu qua USB, gửi thông tin qua các internet mà không bị pháp hiện

- Không có sự phân chia luận lý giữa các phòng ban

- Chưa có cơ chế cập nhật bản vá lỗi cho client và server

- Chưa có hệ thống chủ động tìm kiếm, phát hiện và ngăn ngừa xâm nhập

- Thiếu cơ chế bảo mật web, mail chuyên dụng tại gateway

- Thiếu cơ chế quản lý các nhân viên truy cập từ xa

- Thiếu việc triển khai các hệ thống giám sát hệ thống mạng (Network Monitoring) cũng như chính sách triển khai baseline và theo dõi, ghi log toàn bộ sự kiện xảy ra trong hệ thống

- Hệ thống chỉ sử dụng một đường truyền mạng

- Khó mở rộng mô hình mạng

2.2 Những rủi ro về mất mát dữ liệu

- Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng các phần mềmđộc hại, hoặc các loại virut được tiêm vào các phần mềm trông như vô hại

để dụ người sử dụng nhiễm phải Chúng có thể ăn cắp thông tin, phá hoại

dữ liệu máy tính và lây lan qua các máy khác

- Tấn công trực tiếp qua các kết nối vật lí: Bằng cách này hay cách khác kẻtấn công tìm cách tiếp cận với mạng nội bộ, chúng có thể dung một số công

cụ nghe lén để bắt các gói tin, phân tích chúng để ăn cắp dữ liệu Ví dụ nhưthông tin tài khoản đăng nhập, chiếm quyền điều khiển của các máy để lấy

dữ liệu hoặc tấn công máy chủ…

- Tấn công thăm dò: Attacker giả dạng các công ty về bán sản phẩm tin học

để hỏi thăm nhân viên về một số thông tin của phòng server, có bao nhiêuthiết bị, thiết bị dùng hãng nào, có firewall hay không… để từ đó làm cơ sởcho tấn công và đánh cắp dữ liệu

- Thông qua các kỹ thuật nghe lén: Các thông tin nhạy cảm dưới dạng bảncứng không được hủy bỏ một cách thích hợp, thường thì chỉ được vứt vàosọt rác Attacker có thể thu thập được các thông tin này một cách dễ dàng.

- Phishing và Pre-Phishing: Attacker có thể dễ dàng lừa nhân viên truy cậpvào trang web độc hại, tải và cài đặt các keylogger ghi lại toàn bộ thông tintrong máy nạn nhân

- Chia sẻ file ngang hàng P2P: Nhân viên có thể dễ dàng sử dụng giao thức P2P để gửi file ra ngoài

- Web mail: Nhân viên có thể sử dụng web mail như Yahoo, Google, Hotmail

có thể đính kèm file hay coppy nội dung vào phần message text để gửi rangoài.Tuy nhiên, các phiên làm việc với web mail được mã hóa, nên khó bịphát hiện hơn

- Có thể do sự vô ý của nhân viên: Nhân viên đính kèm nhầm file, nhân viênchọn sai người gửi (tính năng AutoComplete trên Outlook, nếu như nhânviên không kiểm tra kỹ thì nguy cơ nhân viên gửi nhầm mail quan trọng rất

có khả năng xảy ra), nhân viên bị lừa để gửi thông tin ra ngoài Hoặc thôngqua các dịch vụ cloud storage miễn phí: Nhân viên có thể upload dữ liệunhạy cảm lên các hệ thống lưu trữ đám mây miễn phí như dropbox haySkydriver

- Nhân viên có thể upload dữ liệu lên một FTP server trên internet để gửi thông tin ra ngoài

- In tài liệu, photocopy tự do không được quản lý tập trung Đem tài liệu in, copy ra bên ngoài.

- Dùng điện thoại, camera chụp lại tài liệu của công ty

- Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên khác chép dữ liệu của mình đem ra bên ngoài

PHẦN 3 THIẾT KẾ HỆ THỐNG MỚI

3.1 Mô hình tổng quát

3.2 Các giải pháp công nghệ được sử dụng

3.2.1 Giải pháp IDS/IPS security trong mạng LAN

3.2.1.1 Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion

Prevention System)

Giới thiệu giải pháp

Được phát triển dựa trên cổ máy phát hiện xâm nhập nổi tiếng nhất thế giới SNORT® rules-based detection engine

-Sourcefire IPS kết hợp sức mạnh của các giải pháp phát hiện lỗ hổng bảo mật vàphát hiện nguy cơ dựa trên các dấu hiệu bất thường, với tốc độ lên tới 10 Gbps,cho phép phân tích lưu lượng dữ liệu trên mạng và phòng chống các nguy cơnghiêm trọng cho mạng lưới Có thể dùng để triển khai bảo vệ mạng tại vùng biên,tại DMZ, trong mạng Core hoặc tại bất kỳ phân vùng mạng nào; có thể triển khaiphòng chống tích cực bằng cách xen giữa các lưu lượng cần bảo vệ hoặc giámthính lưu lượng một cách thụ động với các thông báo hữu ích

Các hệ thống IDS của Sourcefire rất dễ sử dụng và cung cấp một khả năng phòngchống nguy cơ một cách toàn diện Sourcefire IPS nổi bật ở khả năng phân tíchcao, tường trình mạnh mẽ và độ linh hoạt không gì sánh bằng

Nhờ Sourcefire RNA™ (Real-time Network Awareness), người dùng có thể khaithác Sourcefire IPS ở một mức độ cao cấp hơn nữa RNA cho phép giám sát hoạtđộng mạng 24x7, quản lý tài nguyên mạng trong thời gian thực - hệ điều hành,dịch vụ mạng, ứng dụng, giao thức mạng sử dụng, các nguy cơ tiềm ẩn hiện hữutrong mạng Bằng việc tích hợp trong thời gian thực các thông tin mạng lưới vào

hệ thống IPS, RNA giúp tự động hóa cho các quá trình tiếp theo trong việc tinhchỉnh IPS và đánh giá tầm ảnh hưởng của các biến cố an ninh trong mạng

Các hệ thống IPS của Sourcefire có khả năng phòng chống các loại nguy cơ rất đadạng:

 Spyware  Statistical  Zero-day threats

anomalies

Triển khai giải pháp

- 1 thiết bị IPS được đặt ở chế độ inline nằm giữa core switch và vùng ServerFarm để phát hiện và ngăn chặn các cuộc tấn công từ bất kỳ đâu (kể cả client)vào Server Farm

- 1 thiết bị IPS đặt giữa Firewall và vùng DMZ cho phép phát hiện, ngăn chặn các cuộc tấn công từ internet vào DMZ.

- 1 thiết bị IPS đực đặt giữa tường lửa và hệ thống mạng bên trong để phát hiện

và ngăn chặn các cuộc tấn công từ bên ngoài vào

- Sourcefire Defense Center™: là trung tâm quản lý của Sourcefire 3D System.Defense Center (DC) kết hợp nhiều chức năng bảo mật bao gồm quản lý sựkiện, thiết lập tương quan và phân cấp độ ưu tiên trong đánh giá, phân tích các

xu hướng và quản lý các báo cáo Tất cả các dữ liệu sự kiện sẽ được gửi từSourcefire IPS Sensor về DC để phân tích và lưu trữ tập trung tại đây DC đượcthiết kế đặc biệt để có thể quản lý đến 100 IPS sensors và trên 100 triệu events

3.2.2 Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite Giới thiệu giải pháp

McAfee Endpoint Protection Suite (EPS) là bộ sản phẩm tích hợp nhiều công nghệbảo mật của McAfee , nhằm tạo ra nhiều lớp bảo vệ cho hệ thống máy trạm, máychủ, ngăn chặn những nguy cơ và rủi ro về thất thoát dữ liệu đối với máy chủ, máytrạm trong hệ thống

Với bộ giải pháp bảo mật McAfee EPS chúng ta sẽ có được những lợi ích sau:

- McAfee EPS bao gồm tính năng Antivirus/Antispyware giúp cho các máytrạm, máy chủ phòng chống hiệu quả trước các nguy cơ lây nhiễmvirus/Malware và các tấn công zero-day với công nghệ dựa trên mẫu, côngnghệ dựa trên phân tích hành vi và điện toán đám mây

- Tính năng tường lửa cá nhân kiểm soát toàn diện luồng dữ liệu vào ra máychủ/máy trạm, phát hiện và ngăn chặn các luồng dữ liệu bất hợp pháp vào ra hệthống

- Khả năng kiểm soát thiết bị ngoại vi giúp giảm thiểu tối đa các nguy cơ pháttán virus/Malware qua USB, đồng thời đảm bảo tính tuân thủ của người dùng

trong tổ chức về việc sử dụng thiết bị ngoại vi (chỉ được phép sử dụng thiết bi ngoại vi mà tổ chức cho phép).

- Tính năng cảnh báo mức độ nguy hiểm/rủi ro của các website giúp người dùng biết được website nào đáng tin cậy, website nào tiềm ẩn các nguy cơ tấn công

- McAfee EPS cung cấp sẵn tính năng lọc virus/malware và phòng chống Spam mail Giảm thiểu nguy cơ lây lan virus, malware và Spam mail

- Việc triển khai không gây ảnh hưởng tới người dùng cuối Việc phân hoạch và quản lý một cách dễ dàng Giảm thiểu tối đa thời gian triển khai và cài đặt

- cho phép quản trị phân hoạch, gộp nhóm tài nguyên (máy trạm, máy chủ) từ đó

dễ dàng xây dựng chính sách bảo mật cho từng nhóm tài nguyên, giúp giảmthiểu tối đa thời gian triển khai cài đặt, xây dựng chính sách bảo mật cũng nhưquản lý các máy trạm, máy chủ

Triển khai giải pháp

Triển khai McAfee EPS xuống tất cả các máy trạm một cách tự động thông quamột Agent duy nhất, McAfee Agent

Thực hiện phân hoạch, gộp nhóm tài nguyên (máy chủ, máy trạm) để dễ dàng xâydựng chính sách bảo mật cũng như quản lý các máy trạm, máy chủ

3.2.3 Giải pháp backup dữ liệu sử dụng hệ thống SAN

SAN (Storage Area Network) là một mạng riêng tốc độ cao dùng cho việc truyền

dữ liệu giữa các máy chủ tham gia vào hệ thống lưu trữ cũng như giữa các thiết bịlưu trữ với nhau SAN cho phép thực hiện quản lý tập trung và cung cấp khả năngchia sẻ dữ liệu và tài nguyên lưu trữ Hầu hết mạng SAN hiện nay dựa trên côngnghệ kênh cáp quang, cung cấp cho người sử dụng khả năng mở rộng, hiệu năng

và tính sẵn sàng cao

Hê ̣thống SAN đươc ̣ chia làm hai mức: mức vật lývàlogic

- Mức vật lý: mô tảsư ̣liên kết các thành phần của mang ̣ taọ ra một hê ̣thốnglưu trữđồng nhất vàcóthểsử dung ̣ đồng thời cho nhiều ứng dung ̣ vàngườidùng.

- Mức logic: bao gồm các ứng dung, ̣ các công cu ̣quản lývàdịch vu ̣đươc ̣ xâydưng ̣ trên nền tảng của các thiết bi ̣lớp vật lý, cung cấp khảnăng quản lýhê ̣thống SAN

Ưu điểm của hệ thống SAN

- Cókhảnăng sao lưu dữliêụ với dung lương ̣ lớn vàthường xuyên màkhông làm ảnh hưởng đến lưu lương ̣ thông tin trên mang ̣

- SAN đặc biệt thích hợp với các ứng dụng cần tốc độ và độ trễ nhỏ ví dụ như các ứng dụng xử lý giao dịch trong ngành ngân hàng, tài chính

- Dữliêụ luôn ởmức đô ̣sẵn sàng cao

- Dữliêụ đươc ̣ lưu trữthống nhất, tập trung vàcókhảnăng quản lýcao Có khảnăng khôi phục dữliêụ nếu cóxảy ra sư ̣cố

- Hỗ trơ ̣nhiều giao thức, chuẩn lưu trữ khác nhau như: iSCSI, FCIP,DWDM

- Cókhảnăng mởrông ̣ tốt trên cảphương diêṇ sốlương ̣ thiết bi, ̣dung lương ̣ hê ̣thống cũng như khoảng cách vật lý

- Mức đô ̣an toàn cao do thực hiêṇ quản lýtập trung cũng như sử dung ̣ các công cu ̣hỗtrơ ̣quản lýSAN

3.2.4 Giải pháp web security

3.2.4.1 Giới thiệu giải pháp

Giải pháp chống thất thoát dữ liệu và bảo mật Web với McAfee Web Gateway

McAfee là công ty chuyên về an toàn an ninh mạng, cung cấp các giải pháp bảomật toàn diện cho đối tượng khách hàng rộng khắp từ doanh nghiệp lớn, tổ chứcchính phủ, tới doanh nghiệp vừa và nhỏ, cũng như các khách hàng khác Giải phápbảo vệ toàn diện cho phép phòng chống tấn công trên mạng, bảo vệ hệ thống máytính khỏi các cuộc tấn công phức hợp hay các tấn công thế hệ mới, các dạng tấncông này được khai thác trên nhiều mức độ của hạ tầng mạng McAfee cung cấpgiải pháp bảo mật theo chiều sâu, từ vùng mạng core đến vành đai, bảo mật toànvẹn cho hệ thống máy chủ, máy trạm, thông qua hai giải pháp: McAfee SystemProtection Solution nhằm bảo mật cho hệ thống máy chủ và máy trạm và McAfeeNetwork Protection Solutions để đảm bảo khả năng bảo vệ và tốc độ của hệ thốngmạng

Trong đó McAfee Network Protection Solutions là giải pháp bảo vệ trước nhữngtấn công cho cả mô hình mạng lớn và nhỏ Giải pháp bảo vệ này bao gồm:McAfee Foundstone® là hệ thống quản lý rủi ro và McAfee IntruShield® thànhphần phòng chống tấn công trên hệ thống mạng

Nói đến bảo mật Web thì không thể không nhắc đến các giải pháp NetworkSecurity: Là giải pháp bảo mật, phòng thủ có chiều sâu giúp bảo vệ hệ thống mạngdoanh nghiệp, các vùng mạng vành đai, vùng mạng core trước các tấn công củavirus, worm, hacker nhằm vào các ứng dụng của doanh nghiệp.

Trong đó sản phẩm điển hình hiệu quả nhất cho Bảo mật Web là: McAfee WebGateway (Webwasher): giải pháp kiểm soát an ninh cho doanh nghiêp, ̣ phòngchống những đoạn mã đôc ̣ trước khi thâm nhâp ̣ vào hê ̣thống mạng (trong môitrường web), spyware, virus, phishing…

McAfee Web Gateway cung cấp một số ưu điểm sau:

- Chống được hầu hết các mối đe dọa đến từ môi trường web: virus, spyware,malicious code, phishing …

- Hỗ trợ tất cả các giao thức duyệt web, chống dữ liệu bị thất thoát thông quacon đường web như Wiki , web post, blog và hỗ trợ hầu hết các ứng dụngweb 2.0 thông qua một danh sách các từ khóa được định nghĩa sẵn (kể cảgiao thức SSL) Thực hiện mã hóa file khi được upload lên các cloudstorage hay thông qua một số trang web chia sẻ file thông dụng, cho phépthực thi các chính sách kể cả trên thiết bị di động, điện thoại thông minh,máy tính bảng, tự động hóa bảo mật các nguồn tài nguyên trong mạng kể cảlúc tài nguyên đó không được quan tâm đến

- Lọc các luồng dữ liệu mã hóa SSL thông qua chức năng SSL Deep Packet inspections

- Hỗ trợ tích hợp cùng với các giải pháp DLP khác

- Đơn giản hóa trong việc quản trị trong một giao diện duy nhất

3.2.4.2 Triển khai

(1) User duyệt web bằng cách gởi yêu cầu đến Web Proxy Server

(2) Web Proxy Server sẽ tiến hành gửi các luồng dữ liệu duyệt web đến

(3) Tại đây McAfee Web Gateway sẽ phân tích luồng dữ liệu vừa đến với cácluật đã được thiết lập trước đó, nếu phát hiện vi phạm từ các chính sáchMcAfee Web Gateway đề ra, nó sẽ chuyển tiếp luồng dữ liệu đến WebProxy Server và chặn chúng lại

(4) Nếu ngược lại các yêu cầu đều được phép, Web Proxy Server sẽ thực hiện yêu cầu và trả kết quả về cho user

3.2.5 Giải pháp email security

Nguy cơ: Hiện nay, các cá nhân, tổ chức, doanh nghiệp sử dụng email để giao tiếp

trong công việc, trong trao đổi thông tin, dữ liệu đều đang phải đối diện với nhữngnguy cơ tìm ẩn như mất mát dữ liệu, bị tấn công bởi virus, virus, spam, spyware,malware từ email