Video Giao trình quản lý và xây dựng chính sách an toàn thông tin 🆗
Kinh Nghiệm về Giao trình quản lý và xây dựng chủ trương bảo vệ an toàn và đáng tin cậy thông tin 2022
Hoàng Gia Vịnh đang tìm kiếm từ khóa Giao trình quản lý và xây dựng chủ trương bảo vệ an toàn và đáng tin cậy thông tin được Update vào lúc : 2022-04-21 02:07:05 . Với phương châm chia sẻ Bí quyết về trong nội dung bài viết một cách Chi Tiết Mới Nhất. Nếu sau khi đọc tài liệu vẫn ko hiểu thì hoàn toàn có thể lại phản hồi ở cuối bài để Tác giả lý giải và hướng dẫn lại nha.
- Tổng
quan1. Giới
thiệu tổng thể 1.1 Mô hình logic:2. Phân tích những mối đe dọa tiềm ẩn 2.2
Xác định những mối đe dọa tiềm ẩn:3
Xây dựng
chủ trương 3.1.2 External: Chính sách cho những đối tác tới
của công ty3.2.1 Trách nhiệm với tài sản 3.4.1 Chính sách quản lý khu vực:3.4.2 Chính sách về quản lý thiết bị4.
Giải Pháp 4.4 Một số giải
pháp xử lý sự cố
Đại Học Quốc Gia Tp HCM
Trường Đại Học Công Nghệ Thông Tin
˜²™
Xây Dựng Chính Sách An Toàn Thông Tin Cho
Công Ty Trách Nhiệm Hữu Hạn Nhân Hòa
GVHD: Nguyễn Duy
SVTH: Lương Vĩnh Thảo 07520499
Đỗ Huy Hưng 07520167
Lê Thanh Hải 07520466
Võ Trung Hưng 07520164
TPHCM, Tháng 4 năm 2011
Tổng quan. 3
1. Giới thiệu tổng thể. 3
1.1 Mô hình logic: 4
1.2 Mô hình vật lý: 7
2. Phân tích những mối đe dọa tiềm ẩn. 10
2.1 Đánh giá khối mạng lưới hệ thống mạng công ty. 10
2.2 Xác định những mối đe dọa tiềm ẩn: 11
3 Xây dựng chủ trương. 12
3.1 Chính sách bảo mật thông tin của tổ chức: 12
3.1.1 Internal: Chính sách nội bộ trong công ty. 12
3.1.2 External: Chính sách cho những đối tác tới của công ty. 13
3.2 Chính sách Quản lý tài sản. 14
3.2.1 Trách nhiệm với tài sản. 14
3.2.2 tin tức. 15
3.3 Chính sách Quản lý con người 17
3.4 Chính sách Quản lý physical 19
3.4.1 Chính sách quản lý khu vực: 20
3.4.2 Chính sách về quản lý thiết bị 21
3.5 Chính sách Quản lý truy cập. 23
4. Giải Pháp. 25
4.1 Giải pháp bảo mật thông tin khối mạng lưới hệ thống mạng của công ty: 25
4.2 Giải pháp quản lý tài sản của công ty: 29
4.3 Quản lý log: 33
4.4 Một số giải pháp xử lý sự cố. 35
5. Đánh giá chủ trương. 36
Tổng quan
Ngày nay Internet là
môi trường tự nhiên thiên nhiên tiện lợi cho việc trao đổi thông tin Một trong những tổ chức, những doanh
nghiệp và những thành viên với nhau. Các thanh toán giao dịch thanh toán trao đổi thư tín điện tử (email),
những thanh toán giao dịch thanh toán mua và bán, tìm kiếm thông tin, … thông qua mạng Internet không ngừng nghỉ
được mở rộng và ngày càng phát triển. Bên cạnh những quyền lợi mà Internet mang lại
thì đây cũng đó đó là môi trường tự nhiên thiên nhiên tiềm ẩn những rủi ro tiềm ẩn tiềm ẩn gây mất bảo vệ an toàn và đáng tin cậy bảo mật thông tin an ninh
cho những khối mạng lưới hệ thống mạng của những tổ chức, doanh nghiệp có tham gia thanh toán giao dịch thanh toán trên
Internet hoặc Extranet. Một vấn đề đặt ra cho những tổ chức, doanh nghiệp là làm
sao bảo vệ được những nguồn thông tin tài liệu vô cùng quí giá của tớ như những số
liệu về tài chính kế toán, những số liệu về nguồn nhân lực, những tài liệu về công
nghệ, sản phẩm, … trước vô số mối đe dọa trên mạng hoàn toàn có thể làm tổn hại đến sự an
toàn thông tin và gây ra những hậu quả nghiêm trọng khó hoàn toàn có thể lường trước được.
Hiện nay, cùng với sự phát triển của công nghệ tiên tiến thông tin, những phương thức tấn
công cũng ngày càng tinh vi và đa dạng, nó thực sự đe dọa tới sự bảo vệ an toàn và đáng tin cậy của hệ
thống thông tin nếu tất cả chúng ta không còn sự nhận thức đúng đắng về vấn đề này để
có những giải pháp hiệu suất cao để bảo vệ khối mạng lưới hệ thống của tớ. Vì vậy việc xây dựng một
bộ chủ trương về bảo vệ an toàn và đáng tin cậy thông tin là vấn đề khá thiết yếu đối với những doanh nghiệp
lúc bấy giờ nhằm mục đích tự bảo vệ mình trước những nguy hiểm từ bên phía ngoài
1. Giới thiệu tổng thể
Công ty Nhân Hòa là một công ty marketing thương mại những thiết bị điện tử, điện máy, máy tính .Ngoài việc mua và bán những thiết bị điện, điện tử , siêu thị còn đáp ứng dịch vụ bảo hành của một số trong những hàng điện tử như Sony, Sanyo, Samsung, Toshiba và đáp ứng dịch vụ sữa chữa thiết bị điện , điện tử , điện lạnh tại nhà theo yêu cầu của người tiêu dùng. Siêu thị hiện tại có 2 địa điểm hoạt động và sinh hoạt giải trí
Ø Trụ sở chính đặt tại ngã bảy Cách Mạng Tháng Tám – Ba Tháng Hai- Võ Thị Sáu- Lý Chính Thắng- Nguyễn Thượng Hiền- Nguyễn Phúc Nguyên, Quận 10. Trụ sở chính gồm 1 tòa nhà 3 tầng có diện tích s quy hoạnh mặt sàn 2400 mét vuông gồm những phòng : Phòng Giám đốc điều hành , phòng phó giám đốc, phòng nghiên cứu và phân tích thị trường, bộ phận bán hàng và quầy hàng , kho hàng , bộ phận lắp đặt thiết bị tại nhà và bảo dưỡng, trung tâm bảo hành
Ø Chi nhánh 1 đặt tại ngã ba Hoàng Văn Thụ - Hoàng Việt, Quận Tân Bình . Chi nhánh gồm có một tòa nhà 4 tầng lầu có diện tích s quy hoạnh mặt sàn lên tới 4000m 2 gồm những phòng : Phòng quản lý nhân sự , Phòng kế toán, bộ phận bán hàng và quầy hàng, kho hàng , bộ phận lắp đặt thiết bị tại nhà và bảo dưỡng , trung tâm bảo hành
1.1 Mô hình logic:
Mô hình logic của hội sở:
Ø Vùng DMZ: gồm có web server và mail server
Ø Vùng Lan nội bộ: gồm có những Vlan : Server, kĩ thuật, bán hàng, quản lý, khách. Vùng này sẽ có 2 switch layer 3 ở lớp distribute và 3 switch layer 2 ở lớp access
Ø Vùng WAN: gồm 2 đường link ra internet và một đường PSTN để gọi ra ngoài
Hình 1.1:Sơ đồ logic trụ sở chính
Mô hình logic của chi nhánh 1:
Hình 1.2: Sơ đồ logic chi nhánh 1
Hình 1.3: Sơ đồ link những chi nhánh
Ở đây, công ty Nhân Hòa sẽ sử dụng 1 đường leaseline để TSL giữa những chi nhánh ngoài ra ta cũng hoàn toàn có thể thông số kỹ thuật thêm đường VPN thông qua mạng internet. Ngoài ra ở hội sở cũng như những cho nhánh sẽ có đường cáp quan internet để ra internet riêng đảm bảo được nhu yếu của công ty.
1.2 Mô hình vật lý:
Trụ sở chính :
Hình 1.4: Sơ đồ vật lý tầng 1
Hình 1.5: Sơ đồ vật lý tầng 2
Hình 1.6: Sơ đồ vật lý tầng 3
Chi nhánh 1:
Hình :Sơ đồ vật lý tầng 1
Hình: Sơ đồ vật lý tầng 2
Hình: Sơ đồ vật lý tầng 3
Hình : Sơ đồ vật lý tầng 4
2. Phân tích những mối đe dọa tiềm ẩn
Ø Công ty đã có một khối mạng lưới hệ thống sever cơ sở tài liệu (chạy Sql server) để tàng trữ số lượng sản phẩm & hàng hóa mua và bán và tàng trữ. Hệ thống này đáp ứng được yêu cầu truy nhập từ trụ sở và chi nhánh vào mọi thời điểm. Các server khác thì chạy hệ điều hành window server 2003
Ø Có hổ trợ việc thanh toán tiền thông qua thẻ tín dụng của những ngân hàng nhà nước
Ø Có khối mạng lưới hệ thống chấm công minh vân tay cho những nhân viên cấp dưới trong trụ sở chính cũng như ở những chi nhánh và thông tin chấm công được lưu và chuyển về máy tính của phòng quản lý nhân sự mỗi ngày vào lúc 2:00 PM
Ø Sử dụng khối mạng lưới hệ thống VoIP liên lạc Một trong những phòng trong trụ sở và Một trong những chi nhánh với nhau
Ø Công ty sử dụng khối mạng lưới hệ thống mail là mdeamon
Ø Có khối mạng lưới hệ thống Domain
Ø Có một trang web để ra mắt và bán những sản phẩm trên mạng
Ø Các máy tính trong công ty đều sử dụng hệ điều hành Win 7
Về những ứng dụng bảo vệ an toàn và đáng tin cậy thông tin thì công ty chưa triển khai thiết bị nào để đảm bảo bảo mật thông tin an ninh mạng ngoài trừ phần mềm antivirus là KAV. Giải pháp này chỉ là giải pháp tạm thời trên những PC lẻ trên mang .Vì vậy dựa trên khối mạng lưới hệ thống mạng đã có, công ty muốn xây dựng một bộ những chủ trương về quản lý tài sản cũng như những chủ trương , giải pháp về vấn đề bảo mật thông tin , bảo mật thông tin an ninh thông tin của công ty mình
2.2 Xác định những mối đe dọa tiềm ẩn:
Ø Các mối đe dọa từ bên phía ngoài :
· Các cuộc tấn công Dos, Ddos vào khối mạng lưới hệ thống bán hàng trực tuyến của công ty
· Các virus, spam email được gởi từ bên ngoài vào
· Các trang web fishing
· Các nguy hiểm từ những nhân viên cấp dưới phòng marketing thương mại khi đi ra ngoài liên lạc với khách hàng
· Các cuộc tấn công minh social engineering
· Nguy cơ bị nghe trộm , thay đổi thông tin khi sử dụng VoIP
Ø Các mối đe dọa từ bên trong
· Chưa có một chủ trương bảo mật thông tin an ninh mạng nào được áp dụng
· Trên toàn mạng không còn cơ chế đảm bảo bảo mật thông tin an ninh mạng nào , không còn cơ chế nào để quản lý , theo dõi khối mạng lưới hệ thống mạng
· Các link internet từ điện thoại của nhân viên cấp dưới cũng hoàn toàn có thể là một mối đe dọa tiềm tàng đối với công ty
· Các lỗ hổng từ những phần mềm được setup trên máy
· Các phần mềm “nghe lén” trên mạng nội bộ
3 Xây dựng chủ trương
Ø Xây dựng được một “document” mô tả toàn bộ khối mạng lưới hệ thống mạng của công ty. Trong tài liệu này phải đề cập đến những thiết bị , những link Một trong những thiết bị, những địa chỉ IP trên những thiết bị , những giải thuật định tuyến sử dụng trong mạng ….
Ø Hệ thống mạng phải được bảo mật thông tin: Cần phải quản lý rõ ràng việc truy cập vào dịch vụ mạng của những user như: những ứng dụng mạng được phép sử dụng, những trang web được phép truy cập, thời gian truy cập, ngăn ngừa tải về những định dạng file rõ ràng để tránh làm giảm hiệu năng mạng…. Ngoài ra , phải giám sát được hiệu suất của hệ thống mạng của công ty , đảm bảo băng thông cho việc sử dụng VoIP. Để thực hiện được chủ trương trên thì một giải pháp tối ưu đó là sử dụng khối mạng lưới hệ thống UTM (Unified Thread Management) mà rõ ràng ở đây sử dụng thiết bị của hãng sản xuất Astaro .
Ø Chính sách đảm bảo bảo vệ an toàn và đáng tin cậy cho vùng DMZ mà cụ thể ở đây là web server và mail server nhằm mục đích hạn chế những cuộc tấn công từ bên ngoài vào như DOS ,DDOS ,spame email….
Ø Chính sách đảm bảo bảo vệ an toàn và đáng tin cậy cho vùng server nội bộ : Các server nội bộ không public ra ngoài nên tránh được những cuộc tấn công từ bên phía ngoài nhưng còn những cuộc tấn công từ bên trong thì sao ?Vì vậy việc phân chia quyền truy cập vào những server ở đây là khá thiết yếu. Trong công ty , những server nội bộ nằm trong một vùng Vlan riêng biệt nên chỉ có thể việc phân quyền được cho phép những người dân tiêu dùng nào hoàn toàn có thể truy cập vào Vlan này
Ø Sao lưu tài liệu thường xuyên: Sao lưu tài liệu thường được thực hiện hằng ngày rõ ràng là từ 22h đến 23h.
Ø Quản lý những file thông số kỹ thuật của những thiết bị trong mạng : những file thông số kỹ thuật trên router , switch , access point nên phải được quản lý sao lưu .
Ø Quản lý những đường định tuyến, những bảng routing table trên router cũng như switch nhằm mục đích tránh bị loop
3.1.2 External: Chính sách cho những đối tác tới của công ty
Ø Chính sách cho người tiêu dùng : Các người tiêu dùng khi đế shopping chỉ hoàn toàn có thể sử dụng mạng không dây mà công ty đáp ứng .Hệ thống này nằm trong một VLAN riêng biệt gọi là VLAN khách và người tiêu dùng trong VLAN này chỉ hoàn toàn có thể ra ngoài internet mà ko được phép truy cập đến những tài nguyên nội bộ của công ty như những server , những máy tính trong mạng cũng như những máy in, máy fax.
Ø Chính sách cho những đối tác: Đảm bảo được quá trình truyền tài liệu từ công ty đến những đối tác tuyệt đối bảo vệ an toàn và đáng tin cậy.Ở đây, công ty có khối mạng lưới hệ thống thanh toán tiền bằng thẻ ngân hàng nhà nước nên việc link với những ngân hàng nhà nước để thanh toán nên phải được bảo mật thông tin tuyệt đối. Vì thê,việc truyền tài liệu sẽ được thực hiện qua một kênh riêng biệt link từ ngân hàng nhà nước tới những máy tính tiền của công ty .
3.2 Chính sách Quản lý tài sản
Tất cả những nhân viên cấp dưới và thành viên có quyền truy nhập vào khối mạng lưới hệ thống máy tính trong công ty phải tuân thủ những chủ trương được đề ra ở dưới đây nhằm mục đích bảo vệ khối mạng lưới hệ thống máy tính, mạng máy tính, sự toàn vẹn tài liệu và an toàn thông tin của công ty.
3.2.1 Trách nhiệm với tài sản
3.2.1.1 Danh mục tài sản
Ø Tài sản của công ty gồm có những nhóm khuôn khổ chính sau:
· Server
· Desktop
· Laptop
· Accessorie: Printer, Copier, Fax, VoiP Phone, Projector ,Ip camera
· Network device: Router, Switch, Firewall, Access Point
· Memory Device (USB, Tape…)
· Software
· Đối với những thiết bị tàng trữ sẽ được theo dõi đặc biệt
· HDD
· Tape (Chứa tài liệu, backup)
· Các đĩa CD/DVD, BlueRay, đĩa mềm, usb
- Các thiết bị tàng trữ có bộ nhớ nhỏ như USB, CD/DVD/BlueRay, đĩa mềm và những thiết bị di động sẽ không áp dụng chủ trương quản lý theo vị trí mà được ủy thác. Các thiết bị khác sẽ được quản lý theo vị trí.
- Tất cả những thiết bị được quản lý bằng serial number.
- Các thiết bị của công ti sẽ được quản lý bằng 1 cơ sở tài liệu, sử dụng một ứng dụng quản lý khuôn khổ tài sản.
- Đối với thông tin xem mục 3.2.2
3.2.1.2 Sở hữu và sử dụng tài sản
Ø Các thành viên thao tác ở ví trí chứa thiết bị có trách nhiệm dữ gìn và bảo vệ, giám sát, bảo vệ những thiết bị đó.
Ø Các thành viên được ủy quyền sử dụng những thiết bị di động, tàng trữ có trách nhiệm bảo quản những thiết bị đó. Không sử dụng những thiết bị đó tàng trữ những thông tin nội bộ, nhạy cảm của công ty mà không còn sự được cho phép tương ứng (Xem thêm mục 3.2.2.2)
Ø Di chuyển tài sản: Phải điền mẫu và được xác nhận à update vào CSDL
· Số serial
· Tên
· Vị trí hiện tại
· Vị trí mới
· Chủ sở hữu
3.2.2 tin tức
3.2.2.1 Phân loại thông tin
Ø Thông tin thông thường: Là những thông tin trao đổi thông thường nhân viên cấp dưới, người tiêu dùng trang đổi trên mạng (Web, liên lạc email, IM…., người tiêu dùng sử dụng wifi)
Ø Thông tin nhạy cảm: Là thông tin liên quan đến hoạt động và sinh hoạt giải trí marketing thương mại(PR, chăm sóc người tiêu dùng), log file, trao đổi file, sách vở trong nội bộ công ty.
Ø Thông tin mật: Là thông tin liên quan đến tài khoản – mật khẩu, thông tin về tài chính, thanh toán giao dịch thanh toán của công ty. Backup data.
Ø Thông tin tuyệt mật: tin tức về định hướng, kế hoạch marketing thương mại của công ty
3.2.2.2 Chính sách
Ø Đánh nhãn những thiết bị tàng trữ, tài liệu trên sách vở: Tùy nhãn của chúng mà được tàng trữ trong những khu vực rất khác nhau.
· Sensitive: Do trưởng phòng, nhân viên cấp dưới được ủy quyền tàng trữ.
· Secrect: phó tổng giám đốc trở lên hoặc người đc ủy quyền tàng trữ.
· Top Secrect: Giám đốc trở hoặc người được ủy quyền tàng trữ.
Ø Sử dụng, truy xuất những thiết bị tàng trữ: USB, Đĩa Mềm, CD/DVD/BlueRay, Băng từ
· tin tức thông thường: Nhân viên hoàn toàn có thể tùy nghi sử dụng
· tin tức nhay cảm: Cần phải có sự đồng ý của cấp trên của nhân viên cấp dưới mới hoàn toàn có thể sử dụng hay mang ra ngoài.
· tin tức mật: Cần được xác nhận của Phó Giám đốc trở lên.
· tin tức tuyệt mật: Chỉ có Giám đốc trở lên mới hoàn toàn có thể quyết định.
Ø Hủy tài liệu trong những thiết bị: USB, Đĩa Mềm, CD, Băng Từ, HDD
· tin tức thông thường: Xóa thông thường, tránh việc phải format.
· tin tức nhạy cảm: Thiết bị tàng trữ cần được format lại.
· tin tức mật: Phải ghi đè nhiều lần đảm bảo không thể Phục hồi lại.
· tin tức mật: Hủy cả tài liệu lẫn thiết bị.
Ø Các thông tin đồng bộ tài liệu về thanh toán giao dịch thanh toán, mua và bán từ chi nhánh tới trụ sở chính chỉ sử dụng đường lease line
3.3 Chính sách Quản lý con người
Ø Mỗi nhân viên cấp dưới trong công ty sẽ được cấp một tài khoản để đăng nhập vào khối mạng lưới hệ thống máy tính của công ty. Password để đăng nhập vào tài khoản máy tính của công ty phải có độ phức tạp(gồm có chữ in hoa, những ký tự đặt biệt… do những nhân viên cấp dưới IT cấp) và những nhân viên cấp dưới phải tự dữ gìn và bảo vệ không để mất mát, rò rỉ. Nếu bị mất hoặc bị lộ phải báo với nhân viên cấp dưới IT để xử lý và xử lý. Nếu nhân viên cấp dưới không hề thao tác tại công ty nữa thì tài khoản của nhân viên cấp dưới đó sẽ bị xóa khỏi khối mạng lưới hệ thống
Ø Mỗi nhân viên cấp dưới phải có trách nhiệm và trách nhiệm và trách nhiệm dữ gìn và bảo vệ những thiết bị được công ty ủy quyền sử dụng, nếu có vấn đề xảy ra phải báo ngay với bộ phận IT để kịp thời xử lý.
Ø Các nhân viên cấp dưới không được setup phần mềm không rõ nguồn gốc hoặc không còn bản quyền ngoài những phần mềm phục vụ việc làm được cài sẵn trên máy.
Ø Các nhân viên cấp dưới khi vào công ty sẽ được kiểm tra bằng máy chấm công sử dụng thẻ từ.
Ø Mỗi nhân viên cấp dưới tráng lệ thực hiện những chủ trương của công ty đưa ra nếu vi phạm phải phụ trách(khiển trách, trừ lương hoặc sa thải…)
· Nhân viên thông thường:
ü Nhân viên marketing thương mại làm bên phía ngoài công ty:
- Được cấp máy tính để tiện thao tác bên ngoài. Laptop được setup những phần mềm bản quyền thiết yếu để phục vụ cho công việc(MS office, chương trình VPN…)
- Phải phụ trách dữ gìn và bảo vệ tài sản của công ty, chỉ sử dụng cho việc làm không được cho mượn hay cài thêm phần mềm lạ không rõ nguồn gốc vào máy tính.
- Định kỳ hằng tháng đem đến phòng IT để bảo dưỡng, kiểm tra quét virus, tăng cấp phần mềm…
ü Nhân viên marketing thương mại trông coi quầy hàng
- Chỉ được truy cập những thông tin cần phải ủy quyền không được cố ý truy cập vào tài nguyên của những phòng ban khác.
- Chỉ được truy cập những thông tin trên web bằng những máy tính tại nơi thao tác, không được mang máy máy tính đến công ty.
ü Nhân viên thu ngân
- Được phép truy cập vào tài nguyên của cục phận thu ngân, không được truy cập vào tài nguyên của những phòng ban khác.
- Không sử dụng những thiết bị tàng trữ di động (như usb, ổ cứng di động…) để truy xuất dữ liệu trên máy tính.
ü Nhân viên những phòng ban
- Chỉ được phép sử dụng máy tính phục vụ cho việc làm trong giờ hành chánh không sử dụng cho những mục tiêu khác (như chat, xem phim…).
- Chỉ được truy cập vào tài nguyên phòng ban của tớ không cố ý truy cập tài nguyên mà không còn thẩm quyền.
· Nhân viên quản trị phòng IT
ü Có trách nhiệm giám sát, theo dõi hoạt động và sinh hoạt giải trí của những nhân viên cấp dưới khác trong công ty sử dụng máy tính vào việc làm mà không làm chuyện riêng. Đảm bảo tài liệu của công ty được bảo mật thông tin tránh thất thoát ra ngoài.
ü Khi xảy ra sự cố phải báo cáo tình hình và mức độ thiệt hại cho cấp trên được biết. Phải khắc phục sự cố với thời gian nhanh nhất có thể hoàn toàn có thể để đảm bảo khối mạng lưới hệ thống hoạt động và sinh hoạt giải trí thông suốt.
ü Chịu sự quản lý và nghiêm chỉnh chấp hành yêu cầu của cấp trên.
ü Quản lý những tài nguyên của công ty, phụ trách backup tài liệu của công ty theo định kỳ và giám sát việc đồng bộ tài liệu giữa hội sở với những chi nhánh.
ü Nếu nhân viên cấp dưới IT nghỉ thao tác tại công ty phải thông báo trước với cấp công ty (theo luật lao động Việt Nam) và chuyển giao toàn bộ việc làm hiện thời đang làm và những thiết bị do mình quản lý cho nhân viên cấp dưới khác có cùng trình độ hoặc cho cấp trên..
· Ban lãnh đạo giám đốc
ü Có toàn quyển quyết định những chủ trương bảo mật thông tin an ninh thông tin cho công ty
ü Không được truy xuất vào tài liệu, tài nguyên nội bộ của những nhân viên cấp dưới khác ngoại trừ những trường hợp đặt biệt.
ü Có trách nhiệm tự bản quản tài nguyên của công ty, những tài liệu thành viên tránh để xảy ra tình trạng thất thoát tài liệu.
ü Có trách nhiệm giám sát những nhân viên cấp dưới cấp dưới
3.4 Chính sách Quản lý physical
3.4.1 Chính sách quản lý khu vực:
Ø Mục tiêu của chủ trương:
· Ngăn chặn những truy cập trái phép về vật lý, gây thiệt hại cho những thiết bị.
· Những thiết bị chứa tài liệu quan trọng,nhạy cảm của tổ chức phải được đặt trong vùng bảo mật thông tin có những cơ chế quản lý về an ninh, trấn áp việc ra vào ở những khu vực đó.
· Xác định rõ những rủi ro tiềm ẩn tiềm ẩn, rủi ro hoàn toàn có thể xảy ra từ đó có những quy định rõ ràng phù hợp.
Ø Các giải pháp đề xuất rõ ràng:
· Đầu tiên về quản lý theo khu vực thì vấn đề đầu tiên là tách biệt về không khí, dành riêng 1 phòng để đặt những thiết bị quan trọng như server farm, những thiết bị đắt tiền.
· Quản lý, giám sát việc ra vào tại những khu vực riêng biệt này. Chỉ được cho phép những người dân dân có trách nhiệm liên quan mới được phép vào. Mỗi lần ra vào phải có ghi chép thời gian, nguyên do(bảo dưỡng, sữa chữa,…). Lắp đặt những camera theo dõi và những khối mạng lưới hệ thống báo động để tránh việc đột nhập trái phép.
· Lắp đặt máy quét vân tay kiểm tra trước khi vào nếu thấy cần mức độ bảo mật thông tin cao hơn.
· Trong điều kiện kỹ thuật bị số lượng giới hạn, những thiết bị, dịch vụ không trực tiếp được quản lý bởi tổ chức mà bởi bên thứ 3 nên để ở khu vực riêng.
· Quản lý ra vào theo thời gian rõ ràng là trong giờ hành chính thì mới hoàn toàn có thể vào, ngoài giờ hành chính, mọi hành vi ra vào những khu vực trên phải có sự dám sát của người đại diện cao nhất trong tổ chức hoặc người được ủy quyền.
· Bảo vệ khu vực khỏi những rủi ro tiềm ẩn tiềm ẩn như cháy và nổ, ngập nước. Các chất dễ bắt lửa, gây cháy và nổ phải để cách xa những khu vực được bảo vệ này.
· Các thiết bị dự trữ phải đặt cách xa nhau để tránh hư hỏng hàng loạt khi xảy ra sự cố.
· Trong những khu vực nên phải có những khối mạng lưới hệ thống báo cháy, bình cứu hỏa.
· Vì trong công ty đã phân rõ những phòng ban nên việc nhân viên cấp dưới thuộc phòng ban này vào phòng ban kia là không thiết yếu.
· Việc quản lý về khu vực là rất là cần thiết, tránh được những rủi ro tiềm ẩn tiềm ẩn gây tổn hại đến tài sản, tài nguyên của công ty nên chủ trương áp dụng cho vấn đề này phải ở mức cao, rõ ràng nếu nhân viên cấp dưới vi phạm hoàn toàn có thể bị kỷ luật.
3.4.2 Chính sách về quản lý thiết bị
Ø Mục tiêu của chủ trương:
· Tránh hư hỏng, mất mát thiết bị, tài sản của công ty gây ra sự gián đoạn trong hoạt động và sinh hoạt giải trí của công ty.
· Thiết bị phải tránh được những mối đe dọa vật lý và môi trường tự nhiên thiên nhiên
· Bảo vệ thiết bị là thiết yếu để giảm rủi ro tiềm ẩn tiềm ẩn truy cập trái phép vào tài nguyên
Ø Các giải pháp rõ ràng:
· Các thiết bị, máy tính dùng riêng cho những nhân viên cấp dưới đánh mã số để quản lý và giao trách nhiệm cho những người dân tiêu dùng nó. Phải đền bù cho những thiết bị nếu bị hư hỏng.
· Quy định rõ ràng về việc không thay đổi thông số kỹ thuật của những máy và setup những phần mềm không được phép.
· Quy định không được ăn uống tại bàn làm việc vì hoàn toàn có thể gây ảnh hưởng tới những thiết bị, công ty đã có khu vực riêng dành cho ăn uống. có mức độ cảnh cáo nếu vi phạm.
· Thiết bị phải được duy trì hoạt động và sinh hoạt giải trí trong điều kiện nhiệt độ thấp, lắp đặt những khối mạng lưới hệ thống làm mát, tản nhiệt giúp thiết bị nâng cao tuổi thọ và hiệu năng thao tác cao hơn.
· Lắp đặt những khối mạng lưới hệ thống chống sét cho tòa nhà, để đảm bảo bảo vệ an toàn và đáng tin cậy cho thiết bị.
· Sử dụng khối mạng lưới hệ thống ổn áp và lưu điện và máy phát điện tương hỗ cho khối mạng lưới hệ thống server và những thiết bị khác không biến thành ảnh hưởng khi có sự cố về điện.
· Thuê nhiều đường điện của nhiều khu vực để đảm bảo thiết bị hoàn toàn có thể hoạt động và sinh hoạt giải trí tốt.
· Cáp điện và cáp thông tin phải được tách riêng để tránh nhiễu và những sự cố xảy ra.
· Các loại cáp phải được gắn nhãn tên của những thiết bị mà nó được nối tới tránh gây nhầm lẫn Một trong những thiết bị vì hoàn toàn có thể gây hư hại tới những thiết bị.
· Sử dụng ống bảo vệ để đi cáp đối với những thiệt bị nên phải có bảo mật thông tin cao như cáp đến những server, cáp quang từ những chi nhánh khác tới…
· Các thiết bị đặc biệt như router , swicth, acess point , server thì chỉ có những nhân viên cấp dưới được phép mới có quyền truy cập vào để thông số kỹ thuật và thay đổi
· Thiết bị phải được kiểm tra bảo dưỡng định kỳ hàng tuần.
· Chỉ có nhân viên cấp dưới bảo dưỡng mới được thực hiện việc đó.
· Ghi chép lại tình trạng của thiết bị để theo dõi và có cách khắc phục nếu có xảy ra lỗi
· Trong trường hợp nhân viên cấp dưới bảo dưỡng từ ngoài tổ chức thì nên phải có người giám sát quá trình này.
· Thực hiện thu hồi những thiệt bị cấp cho nhân viên cấp dưới trong trường hợp sử dụng sai mục tiêu.
· Có hình thức nhắc nhở, cảnh cáo, kỷ luật đối với từng mức độ vi phạm
3.5 Chính sách Quản lý truy cập
Ø Mục tiêu của chủ trương:
· Kiểm soát thông tin truy cập.
· Đảm bảo khách truy cập có quyền, tránh truy cập trái phép.
· Áp đặt trách nhiệm cho những người dân tiêu dùng với những tài khoản truy cập để tránh việc mất mát thông tin.
· Ngăn chặn sử dụng trái phép những dịch vụ mạng từ bên trong lẫn bên phía ngoài công ty
· Kiểm soát truy cập trái phép vào hệ điều hành.
· Thiết lập những quyền được phép cho những người dân dùng trên những ứng dụng.
· Đảm bảo bảo vệ an toàn và đáng tin cậy khi truy cập từ xa qua những thiết bị di động.
Ø Giải pháp rõ ràng:
· Quy định rõ quy tắc trấn áp truy cập và quyền cho từng người và từng nhóm. Tạo những chủ trương cho những user và OU trong domain theo từng phòng ban rõ ràng. Qua đó đưa ra những mức độ cảnh cáo đối với những user cố ý sai quy định.
· Xác định quyền rõ ràng trên file server cho những phòng ban thông qua NTFS permission.
· Quy định phòng ban này sẽ không được phép truy cập vào tài nguyên, tài liệu của phòng ban khác. Điều này tiềm ẩn rủi ro tiềm ẩn tiềm ẩn về đánh cắp thông tin nên phải có mức độ cảnh cáo phù hợp.
· Cấp ID cho nhân viên cấp dưới khi mới vào làm và xác định rõ những quyền mà user đó được phép làm và quy trách nhiệm về những hành vi của user đó gây ra.
· Cấp quyền phù phù phù hợp với user nhờ vào vị trí của nhân viên cấp dưới trong công ty, phòng ban thao tác, và nhu yếu của việc làm đó, và mức độ bảo mật thông tin của tổ chức.
· Có văn bản ký kết giữa nhân viên cấp dưới được cấp ID với tổ chức về việc làm rõ những quyền mà ID đó được phép.
· Khi những ID được tạo ra đảm bảo nó bị cấm trước khi được ký kết những điều khoản với người tiêu dùng.
· Yêu cầu thay đổi mật khẩu ngay lần đầu truy cập của ID để đảm bảo trách nhiệm thuộc về người tiêu dùng ID đó chứ không phải là người quản trị tạo ra ID đó.
· Tránh tái sử dụng mật khẩu cũ bằng phương pháp áp đặt thuộc tính trong DC controller.
· Yêu cầu user thay đổi mật khẩu ngay lúc người quản trị phát hiện có rủi ro tiềm ẩn tiềm ẩn bị lộ mật khẩu.
· Sử dụng khối mạng lưới hệ thống có tích hợp Single sign on để tránh user đăng nhập nhiều lần để bảo vệ cho mật khẩu được bảo vệ an toàn và đáng tin cậy.
· Quy định số lần tối đa đăng nhập sai cho những user là 3 lần, nếu quá 3 lần thì user sẽ bị khóa trong 30 phút và ghi lại hoạt động và sinh hoạt giải trí này để theo dõi.
· Hiển thị thời điểm và máy tính đã đăng nhập lần trước đó để người tiêu dùng kiểm tra những hoạt động và sinh hoạt giải trí sinh hoạt của ID này.
· Thiết lập cơ chế mã hóa kênh truyền bằng IPSec policy để tăng tính bảo mật thông tin.
· Khi người tiêu dùng những ID thay đổi vị trí công tác thao tác, cần thay đổi ngay lập tức những quyền phù phù phù hợp với việc làm hiện tại.
· Kiểm tra đảm bảo chỉ đáp ứng đủ những ID thiết yếu cho từng nhân viên cấp dưới.
· Áp đặt những user nào chỉ được phép truy cập từ máy nào, và theo dõi hoạt động và sinh hoạt giải trí đăng nhập này nhờ vào audit logon.
· Theo dõi về giờ đăng nhập khối mạng lưới hệ thống của user để ngăn ngừa những truy cập không thiết yếu ngoài giờ hành chính.
· Có cơ chế log off sau 5 phút user không hoạt động và sinh hoạt giải trí hoặc phù hợp hơn để tránh khỏi việc sử dụng trái phép user khác trên khối mạng lưới hệ thống.
· Tắt những port không sử dụng tránh sự đột nhập trái phép.
· Xây dựng khối mạng lưới hệ thống xác nhận và cấp cho người tiêu dùng và những đối tác có nhu yếu trao đổi từ xa và Một trong những chi nhánh tránh việc hàng fake.
· Khi user gửi nhận mail yêu cầu phải có mã hóa và sử dụng chữ ký số được cấp và attach file không thật 4MB.
· Cấu hình định tuyến trên router đảm bảo cho luồng thông tin không vi phạm vào những chủ trương.
· Khi những máy tính lạ được link vào công ty phải đảm bảo máy tính đó là bảo vệ an toàn và đáng tin cậy, nhờ vào chủ trương hoàn toàn có thể được cấu hình trên ISA server 2006 đảm nói rằng máy tính đó setup đầy đủ và có bản update tiên tiến nhất của phần mềm diệt virus.
· Quy định rõ những user nào được phép truy cập từ xa như giám đốc, quản trị viên.
4. Giải Pháp
Ø Để đảm bảo bảo mật thông tin an ninh của khối mạng lưới hệ thống mạng, ở đây chúng tôi đề xuất sử dụng khối mạng lưới hệ thống UTM của Astaro Security Gateway.
Ø Các hiệu suất cao bảo mật thông tin chính của Astaro gồm có: Bảo mật web , bảo mật thông tin email, bảo mật thông tin mạng
Ø Bảo mật Web: Astaro Web Security bảo vệ người tiêu dùng khỏi những mối đe dọa trong khi đang lướt web. Phần mềm gián điệp và virus bị chặn lại trước khi họ hoàn toàn có thể vào mạng và thiệt hại gây ra. Các hiệu suất cao chính của Web security là : URL Filtering,Spyware detection , Antivirus Scanning , HTTPS scanning,IM/P2P Filtering ,
· URL Filtering: Ở đây Astaro hoàn toàn có thể chặn những trang web theo categories mà nhà sản xuất đã phân loại. Bên cạnh đó , người dùng vẫn hoàn toàn có thể tự mình thông số kỹ thuật chặn những trang web độc hại
· Spyware detection:
· HTTPS scanning: Các luồng FTP và HTTP sẽ được kiểm tra virus trước khi trả kết quả cho những người dân tiêu dùng . Điểm đặc biệt ở đây có hiệu suất cao dual scan , tức là hổ trợ cùng lúc 2 engine rất khác nhau để quét virus
· IM/P2P Filtering: Quản lý những ứng dụng peer to peer như: Bittorent, edonkey,…
Ø Bảo mật E-Mail: Astaro Mail Security đảm nói rằng những chương trình độc hại, spam email được chặn lại và người tiêu dùng sẽ tránh việc phải lo ngại gì về những email rác nữa . Ngoài ra , Astaro còn hổ trợ hiệu suất cao mã hóa email giúp việc truyền email được bảo mật thông tin hơn
Ø Bảo mật Mạng: Astaro Network Security gồm có đầy đủ những tính năng như tích hợp một thông số kỹ thuật tường lửa kết phù phù hợp với một khối mạng lưới hệ thống bảo vệ xâm nhập, từ chối dịch vụ, rất nhiều công cụ chuyển tiếp lưu lượng truy vấn và NAT ..
· Firewall: Tương tự như những firewall bình thường
· Instruction Prevention: Có thể xác định được những lỗ hổng, những backdoor mà người khác hoàn toàn có thể tấn công vào khối mạng lưới hệ thống . Chức năng Anti Dos giúp ngăn ngừa những cuộc tấn công Ddos như tấn công minh TCP SYN Flood , UDP Flood
· Branch Office VPN: Cho phép người quản trị xem xét những trạng thái những đường VPN nối tới công ty
· SSL/IPSec:
· DiretoryAuthentication: Có thể link tới Active Directory để lấy thông tin user
4.2 Giải pháp quản lý tài sản của công ty:
· Phần mềm: CyberRoam Endpoint Security
· Các tính năng: Data Protection & Encryption, Device Management, Application Control , Asset Management
· Sơ lược về tính năng Asset Management
Quản trị những khối mạng lưới hệ thống máy tính, phần cứng, phần mềm, hoàn toàn có thể tự định nghĩa những tài sản khác ví như: Máy in, máy fax
Thay đổi những thuộc tính của tài sản
Kiểm soát những thay đổi
Các tính năng khác:
Kiểm soát những bản patch lỗi.
Scan lỗi, lỗ hổng bảo mật thông tin.
Deploy những gói phần mềm.
4.3 Quản lý log:
Mô Hình: Syslog-based Centralized Logging Architecture
Là quy mô đơn giản, dễ triển khai, tốn ít ngân sách.
Toàn bộ log trong khối mạng lưới hệ thống sẽ được đưa về những agent đưa về syslog server để quản lý bằng một Syslog management à Dễ dàng theo dõi, tìm kiếm, quản trị, sao lưu….
· Log management: Splunk (://www.splunk.com)
4.4 Một số giải pháp xử lý sự cố
Ø Hệ thống mạng bị chậm:
· Kiểm tra những đèn tín hiệu trên những thiết bị có còn hoạt động và sinh hoạt giải trí không
· Kiểm tra những máy tính có chạy những ứng dụng nào chiếm nhiều băng thông không
· Kiểm tra xem có máy nào phát gói tin broadcast không
Ø Hệ thống mạng ngừng hoạt động và sinh hoạt giải trí
· Kiểm tra những link ở layer 2
· Kiểm tra những switch, những router xem có còn hoạt động và sinh hoạt giải trí không
· Sử dụng những thiết bị thay thế, dự trữ
Ø Máy tính người tiêu dùng không ra internet được
· Kiểm tra những link của người tiêu dùng như card mạng, cáp mạng , ping default được không
· Kiểm tra xem máy tính của người tiêu dùng có bị cấm truy cập ra internet không
Ø Máy tính bị nhiễm Virus :
· Cách ly máy tính bị nhiễm ra khỏi mạng ngay lập tức
· Cập nhật những chương trình Virus và quét virus
Ø Hệ thống Web bị tấn công DOS, DDOS.
· Hủy bỏ những request tới server trong thời gian dài
· Cân bằng tải cho server
· Phân tích xác định kẻ tấn công
5. Đánh giá chủ trương
Các chủ trương được đề ra cho công ty khá là hoàn hảo nhất, đáp ứng được nhu yếu bảo mật thông tin của công ty. Nhưng bất kỳ một chủ trương nào đều có một khiếm khuyết . Chính vì vậy người quản trị nên phải thường xuyên thay đổi , update những chủ trương để phù phù phù hợp với nhu yếu phát triển của công ty . Cuối cùng , một khối mạng lưới hệ thống mạng không bao giờ là bất khả xâm phạm ,vi vậy người quản trị không được lơ là trong công tác thao tác quản lý cũng như điều hành khối mạng lưới hệ thống mạng của công ty .
[embed]https://www.youtube.com/watch?v=4wDSJwqjQA8[/embed]
