TRNG ĚI HC CỌNG NGH THỌNG TIN TPHCM Khoa Mạng Máy Tính Và Truyền Thơng  Ě ÁN XÂY DNG CHệNH SÁCH AN TOÀN THỌNG TIN DOANH NGHIP GII PHÁP DATA LOSS PREVENTION CHO DOANH NGHIP GIÁO VIÊN HNG DN: Nguyễ NHịM SINH VIÊN THC HIN: Tống Duy Tân Lâm Vƿ Phợng Ěỗ Bảo Thành Nguyễn Phạm Thủy Ngân Li mở đu Các tổ chức, doanh nghiệp (TC/DN) có nhiều loại hình thơng tin cần đợc bảo vệ chặt chẽ nh thơng tin khách hàng, bí mật cơng nghệ, chiến lợc phát triển kinh doanh, hay tin tức nhạy cảm khác,… Những thông tin để lộ ngồi gây hậu nghiêm trọng đến tài chính, danh tiếng cơng ty quan hệ với đối tác củ Nhiều ngời cho TC/DN đư trang bị nhiều giải pháp an ninh bảo mật nh tờng lửa, chống virus, chống xâm nhập… nên ngĕn ngừa thất thơng tin Các giải pháp an ninh truyền thống nh firewall, IPS, Anti giúp nhận diện ngĕn ngừa công, mư độc hại nhng giải pháp không phân biệt đợc liệu nhạy cảm, liệu cần bảo vệ Vì cần xây dựng giải pháp chống thất thoát liệu cho doanh nghiệp (Data Loss Prevention) giúp ngĕn ngừa tối đa nguy thất thơng tin thiết lập xác sách loại thơng tin ngời đợc quyền sử dụng thông tin Bài báo cáo giới thiệu giải pháp chống thất thoát liệu cho doanh nghiệp giải pháp ngĕn ngừa hiệu mát thơng tin nhạy cảm, bí mật Nội dung bao gồm: Phần Tổng quan DATA LOSS PREVENTION (DLP) Phần Phân tích đánh giá mơ hình mạng Phần Thiết kế hệ thống Phần Xây dựng qui trình sách bảo mật Phần 5: Kết luận MC LC PHN TNG QUAN V DATA LOSS PREVENTION (DLP) 1.1 Khái niệm DLP 1.2 Các đờng dẫn đến mát liệu 1.3 Hiện trạng mát liệu doanh nghiệp PHN PHÂN TệCH VÀ ĚÁNH GIÁ MỌ HÌNH MNG HIN TI 2.1 Những điểm yếu bảo mật 2.2 Những rủi ro mát liệu 2.2.1 Từ attacker 2.2.2 Từ nhân viên PHN THIT K H THNG MI 3.1 Mơ hình tổng qt 3.2 Các giải pháp công nghệ đợc sử dụng 3.2.1 Giải pháp IDS/IPS security mạng LAN 3.2.1.1 Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion 3.2.2 Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite 3.2.3 Giải pháp backup liệu sử dụng hệ thống SAN 3.2.4 Giải pháp web security 3.2.4.1 Giới thiệu giải pháp 3.2.4.2 Triển khai 3.2.5 Giải pháp email security 3.2.5.1 Giải pháp GFI Archive 2015 3.2.5.2 Giải pháp GFI MailEssentials 2015 3.2.5.3 Giải pháp quản lý hoạt động user – 3.2.5.4 Giải pháp mư hóa email với iSafeguard 3.2.6 Giải pháp file security 3.2.6.1 Triển khai DFS Replic 3.2.6.2 Sử dụng Audit Policy 3.2.6.3 Sử dụng NTFS Permission 3.2.6.4 Sử dụng Backup & Restore để lu liệu định kǶ phục hồi cần thiết 3.2.6.5 Sử dụng Quota để giới hạn dung lợng sử dụng ổ đƿa File server 3.2.6.6 Sử dụng Shadow Copies để lu phục hồi liệu bị xóa, thay đổi tạm thời 3.2.6.7 Một số giải pháp khác PHN XÂY DNG QUI TRÌNH VÀ CHệNH SÁCH BO MT 4.1 Xây dựng qui trình 4.1.1 Xác định đối tợng 4.1.2 Xác định mục tiêu 4.1.3 Xác định phơng pháp 4.2 Xây dựng sách 4.2.1 Quản lý thiết bị 4.2.2 Quản lý ngời 4.2.3 Quản lý truy cập 4.2.4 Quản lý thơng tin Phân loại thơng tin Chính sách quản lý thông tin PHN KT LUN 5.1 Những điểm đạt đợc 5.2 Những điểm cịn thiếu sót PHN TNG QUAN V DATA LOSS PREVENTION (DLP) 1.1 Khái nim v DLP Cùng với phát triển doanh nghiệp địi hỏi ngày cao mơi trờng kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thơng tin cho nhiều đối tợng khác qua Internet hay Intranet Việc mát, rị rỉ thơng tin ảnh hởng nghiêm trọng đến tài chính, danh tiếng công ty quan hệ với đối tác Vì vấn đề thất liệu doanh nghiệp ln đợc quan tâm kiểm sốt khắc phục giải pháp chống thất thoát liệu Các hiểm họa hệ thống gây thất thoát liệu (Data Loss) đợc phân loại thành hiểm họa vơ tình hay cố ý, chủ động hay thụ động nh sau: Hiểm họa vơ tình: ngời dùng khởi động lại hệ thống chế độ đặc quyền, họ tùy ý chỉnh sửa hệ thống Nhng sau hồn thành cơng việc họ khơng chuyển hệ thống sang chế độ thơng thờng, vơ tình để kẻ xấu lợi dụng Hiểm họa cố ý: nh cố tình truy nhập hệ thống trái phép Hiểm họa thụ động: hiểm họa nhng cha không tác động trực tiếp lên hệ thống, nh nghe trộm gói tin đờng truyền Hiểm họa chủ động: việc sửa đổi thơng tin, thay đổi tình trạng hoạt động hệ thống Giải pháp chống thất thoát liệu (Data Loss Prevention giúp kiểm soát giám sát việc truyền nhận liệu quan trọng dựa vào khả nĕng nhận biết nội dung, quản lý rủi ro thất thơng tin, liệu quan trọng bên Giải pháp đợc thiết kế cho phép tổ chức xây dựng sách kiểm sốt hoạt động nhân viên ứng dụng email cá nhân doanh nghiệp, giao tiếp web hoạt động khác 1.2 Các đng dn đn mt mát d liu Những tác nhân ảnh hởng đến thông tin: T nhiên: thiên tai tác động mơi trờng (bưo, lǜ, động đất, khí hậu, hỏa hoạn, ô nhiễm môi trờng,…) Nghe mạng (Eavesdropping): phơng pháp đời lâu nhng hiệu quả, kẻ tất công sử dụng thiết bị mạng (router, card mạng,…) chơng trình ứng dụng (TCPDump, Ethereal, Wireshark,…) để giám sát lu lợng mạng, bắt gói tin qua thiết bị này, để khắc phục vấn đề cách tốt mư hóa liệu trớc truyền chúng mạng Giả mạo IP Address (IP Address Spoofing): phơng pháp công cho phép kẻ công giả mạo địa IP nạn nhân bao gồm kỹ thuật Tấn Attacks): sử dụng chế chứng thực uername password, phơng pháp thông dụng nh guessing, social Tấn công từ chối dịch vụ (Denial Attack): mục tiêu công từ chối dịch vụ ngĕn chặn ngời dùng hợp pháp sử dụng dịch vụ mà họ thờng nhận đợc từ máy chủ, cơng phát sinh từ máy tính (DoS) từ nhóm má Tấn cơng tầng ứng dụng (Application Attack): khai thác điểm yếu chơng trình ứng dụng chạy máy server nh sendmail, Postscript FTP Bằng cách khai thác điểm yếu này, chủ thể cơng chiếm quyền truy xuất vào máy tính với quyền truy cập cấp với tài khoản sử dụng : công phần mền độc hại • Virus: phần mềm tự chép thực thi khởi chạy chơng trình vật chủ, làm hại máy tính chép để lây nhiễm máy tính khác hệ thống • Worm: chơng trình đứng (stand alone program), thực thi thời điểm, gây nguy hiểm cho hệ thống thờng trú • : ngụy trang kèm theo ứng dụng thông thờng, chức nĕng điều khiển máy tính từ xa, ĕn cắp thơng tin nạn • Logic BOM: chơng trình lệnh đợc nhúng chơng trình, kích hoạt lệnh điều khiển có điều kiện Ngi dùng: Thất liệu xảy trạng thái liệu nh sa Motion (dữ liệu vận chuyển): Các liệu đợc truyền thông qua đờng Internet nh gửi th điện tử, tải liệu nội lên trang web, truyền tải liệu nội qua kết nối từ xa (remote connection) hay qua kênh giao tiếp nh Yahoo Messenger!, AOL, Skype, … Ví dụ: Rủi ro liệu nội bị luồng bên kỹ thuật cơng attacker, rị rỉ liệu qua mạng xư hội, giao tiếp nhân viên qua website, gửi nhận mail cá nhân, gửi nhận liệu từ bên ngoài, điểu khiển từ xa,… (dữ liệu lu trữ): liệu đợc lu trữ th mục chia ổ đƿa ngời dùng Ví dụ: Thất liệu xảy hệ thống lu trữ bị cơng, chơng trình ứng dụng bị đính kèm phần mềm gián điệp, phần mềm độc hại, liệu bị đánh cấp ngời có đặc quyền sử dụng, quản lý liệu nội bộ,… (dữ liệu sử dụng): thao tác ngời dùng cuối nh copy data in ấn Ví dụ: Các thao tác nhân viên vơ tình hay hữu ý cǜng làm ệu bị rị rỉ bên ngồi chép liệu qua usb, in ấn tài liệu, nhập liệu qua bàn phím, máy tính bị giám sát key logger,… Tơng ứng có giải pháp DLP phù hợp để ngĕn chặn việc thất thoát liệu: : kiểm soát, quản lý liệu trạng thái sử dụng : kiểm soát, quản lý liệu trạng thái vận chuyển mạng : kiểm soát, quản lý liệu trạng thái đợc lu trữ, tài ngun máy tính Hình 1.2.1: Mt mát d liu từ phía ngi dùng Bên cạnh theo báo cáo vi phạm liệu từ Verizon (verizonenterprise.com) nĕm 2010 cho thấy liệu bị vi phạm ghi nhận chủ yếu liên quan đến nguy từ nội bộ, hình thức lừa đảo kỹ nĕng xư hội (Social E tham gia tổ chức tội phạm Hình 1.2.2: Báo cáo v nguyên nhân tht d liu đc thơng kê nĕm Cụ thể là: Có tới 48% vi phạm từ phía nội Nhiều vi phạm liên quan đến lạm dụng, lợi dụng đặc quyền, 48% ngời dùng, 40% hacking, 28% Social Engineering Còn số liệu Verizon (verizonenterprise.com) cuối nĕm 2015 cho thấy nguy mát liệu từ nội (Insider Misuse) giảm so với nĕm nhiên chiếm tỉ lệ đáng kể Hình 1.2.3: Báo cáo v s c an ninh qua nĕm 1.3 Hin trng mt mát d liu doanh nghip Theo báo cáo thất thoát liệu tháng đầu nĕm 2015 – “Global Data Leakage Report, H1 2015” InfoWatch Analytical Center *InfoWatch dự án Kaspersky Lab hoạt động 10 nĕm với mục đích bảo vệ an tồn thơng tin doanh nghiệp* tin tức mát liệu phương tiện thông tin đại chúng, cao kǶ nĕm 2014 Tấn cơng từ bên ngồi (external attacks) đứ , cao kǶ nĕm ngối với Tính nĕng Device Control giúp ta quản lý việc giao tiếp Endpoint thiết bị ngoại vi Sophos chia thiết bị ngoại vi thành nhóm : Nhóm lu trữ : gồm ổ mềm, ổ quang, thẻ nhớ, thiết bị lu trữ giao tiếp Nhóm kết nối mạng : gồm modem, thiết bị khơng dây Nhóm giao tiếp gần : gồm Bluetooth, hồng ngoại Về bản, có quyền đợc áp dụng cho thiết bị ngoại vi kể • Blocked : không cho sử dụng • Full Access : đợc toàn quyền sử dụng Với thiết bị nhóm lu trữ có thêm quyền :Read Only : cho giao tiếp chiều từ thiết bị đến Endpoint Nghƿa không cho chép liệu từ Endpoint thiết bị lu trữ ngoài, cho chép từ thiết bị lu trữ vào Endpoint Sử dng tính nĕng Web Filtering: Những Website Internet đợc SophosLABs phân loại theo 14 chủ đề khác Qua kiểm sốt việc truy xuất ngời dùng vào website tơng ứng theo chủ đề Ngời dùng đợc phép (Allow) bị chặn (Deny) đợc cảnh báo trớc truy cập Ěi kèm hệ thống ghi nhận báo cáo ngời dùng cố ý vợt qua cảnh báo cố gắng truy cập vào website bị chặn Hơn nữa, việc kiểm sốt ln có hiệu lực cho dù ngời dùng làm việc nhà hay đâu mà khơng cần phải cài đặt thêm Tính nĕng Application Control: tạo sách sử dụng phần mềm phân quyền cách tờng minh Việc cài đặt sử dụng ứng dụng cách tùy ý dễ phát sinh vấn đề hệ thống bạn nh: • Nhiều ứng dụng chứa Troja • Nhiều ứng dụng làm tiêu hao bĕng thơng mạng bạn khơng sử dụng • Các Portable Application khó kiểm sốt • Các ứng dụng chia sẻ ngang hàng (Peer Peer) tin nhắn tức (Instant Messaging) thờng làm ảnh hởng đến sách Tính nĕng Application Control giúp ta giải vấn đề Các ứng dụng phổ biến đợc Sophos phân tích phân loại thành 46 chủ đề khác PHN XÂY DNG QUI TRÌNH VÀ CHệNH SÁCH BO MT 4.1 Xây dng qui trình 4.1.1 Xác đnh đi tng Chính sách đợc áp dụng rộng rưi cho toàn nhân lực doanh nghiệp bao gổm ban lưnh đạo, nhân viên thức thực tập sinh Toàn thể nhân viên trách nhiệm tuân thủ nghiêm ngặt sách doanh nghiệp đư đề ra, có rủi ro, cố, hay tác nhân gây ảnh hởng đến tính bảo mật thơng tin tính khả dụng sách phải trình báo với phận trởng phòng IT để kịp thời xử lý khắc phục Phạm vi áp dụng cụ thể nh sau: Ěối với ban lưnh đạo, giám đốc điều hành cần phổ biến rộng rưi sách bảo mật thông tin doanh nghiệp đến phân cơng ty Bộ phận IT có trách nhiệm hỗ trợ, hoạch định, thiết kế, triển khai sách kịp thời xử lý rủi ro có Các trởng phòng phòng ban doanh nghiệp cần phổ biến hớng dẫn nhân viên, thực tập sinh tuân thủ đắn sách đư đề chịu trách nhiệm xử lý vi phạm sách nhân viên, thực tập Mỗi nhân viên, thực tập sinh có trách nhiệm tn thủ bảo an tồn thơng tin doanh nghiệp 4.1.2 Xác đnh mc tiêu đảm Xây dựng môi trờng làm việc an ninh, bảo mật Chính sách xác định phạm vi xây dựng hệ thống ISMS cho phù hợp với doanh nghiệp (hoạt động kinh doanh, vị doanh nghiệp, tài sản doanh nghiệp) Chính sách cung cấp cách thức đảm bảo việc thỏa mưn khách hàng thông qua cung cấp việc tin cậy mà đợc bảo vệ  Tính liên tục doanh nghiệp thông qua quản lý rủi ro, phù hợp luật pháp cẩn trọng vấn đề bảo mật tơng lai  Phù hợp luật pháp thông qua việc thấu hiểu yêu cầu quy định pháp lý ảnh hởng nh đến tổ chức khách hàng họ  quản lý rủi ro đợc cải thiện thơng qua chơng trình làm việc tự động để đảm bảo hồsơ khách hàng, thông tin tài tài sản trí tuệ đợc bảo vệ tránh khỏi mất, trộm h hại  tĕng khả nĕng cạnh trạnh với doanh nghiệp đặc biệt nơi mà đặc tính kỹ thuật yêu cầu chứng nhận nh điều kiện tiên để cung ứng dịch vụ sách đáp ứng trì:  Tính bảo mật thơng tin  Tính tồn vẹn thơng tin  Tính sẵn sàng thơng tin  Nhận thức trách nhiệm nhân viên nhiệm vụ việc bảo đảm an tồn thông tin doanh nghiệp  Cung cấp sở chung cho tổ chức phát triển, thực đánh giá thực hành quản lý an tồn thơng tin 4.1.3 Xác đnh phơng pháp Hiện thực hệ thống quản lý an tồn thơng tin (ISMS) phù hợp với tiêu chuẩn ISO 27001/27002 Chúng ta có thể: Cho phép chia sẻ thơng tin an tồn Bảo vệ thơng tin tổ chức từ tất mối đe dọa: nội bên ngồi, cố tình hay vơ ý Tính bảo mật thơng tin đợc đảm bảo Tính tồn vẹn thơng tin đợc trì Tính sẵn có thơng tin q trình kinh doanh có liên quan đợc d Các yêu cầu pháp luật chế định, ràng buộc hợp đồng với khách hàng đợc đáp ứng Việc đào tạo an tồn thơng tin sẵn có nhân viên 4.2 Xây dng sách 4.2.1 Qun lý thit b Giải pháp quản lý quyền truy cập thiết bị giúp doanh nghiệp giám sát hạn chế đợc hành vi chép thiết bị di động nhằm mục đích phịng chống thất thơng tin nhạy cảm tổ chức Cấu hình bảo mật cần thiết cho thiết bị mạng Firewall, thiết bị phát ĕn ngừa xâm nhập IDS/IPS, Router, Switch,… Firewall (Tng lửa) Mục đích việc sử dụng Firewall là: Bảo vệ hệ thống bị cơng Lọc kết nối dựa sách truy cập nội dung Áp đặt sách truy cập ngời dùng nhóm ngời dùng Ghi lại nhật ký để hỗ trợ phát xâm nhập điều tra cố Cần thiết lập Access Control List cho Firewall từ chối tất kết nối từ bên Web Server Internet ngoại trừ kết nối đư đợc thiết từ chối tất gói tin TCP xuất cờ SYN Ěiều ngĕn chặn việc nh tin tặc có khả nĕng chạy kịch mư độc Web Server cǜng khơng thể cho mư độc nối ngợc từ Web Server trở máy tính tin tặc IDS/IPS (Thit b phát hin/phịng, chng xâm nhp) Các thiết bị IDS có tính nĕng phát dấu hiệu xâm nhập trái phép, thiết bị IPS có tính nĕng phát ngĕn chặn việc xâm nhập trái phép tin tặc vào hệ thống Nh thiết bị mạng, IDS/IPS cǜng bị cơng chiếm quyền kiểm sốt bị vơ hiệu hóa tin tặc Vì cần thiết đảm bảo thực số tiêu chí triển khai vận hành, gồm: Xác định công nghệ IDS/IPS đư, dự định triển khai Xác định thành phần IDS/IPS Thiết đặt cấu hình an tồn cho IDS/IPS Xác định vị trí hợp lý để đặt IDS/IPS Có chế xây dựng, tổ chức, quản lý hệ thống luật (rule) Hạn chế thấp tình cảnh báo nhầm (false positive) khơng cảnh báo có xâm nhập (false negative) Thit đặt cu hình h thng máy chủ an toàn Ěể vận hành máy chủ an toàn, việc cần lu ý cập nhật phiên vá cho hệ thống Ngoài ra, với loại máy chủ khác có biện pháp thiết đặt cấu hình cụ thể để đảm bảo vận hành an toàn H thng máy chủ Linux Ěối với hệ thống cài đặt phải đảm bảo số u cầu sau: • Khả nĕng hỗ trợ từ phân phối (thông tin vá lỗi, thời gian cập nhật, nâng cấp, kênh thơng tin hỗ trợ kỹ thuật) • Khả nĕng tơng thích với sản phẩm bên thứ (tơng thích nhân hệ điều hành với ứng dụng, cho phép mở rộng module) • Khả nĕng vận hành sử dụng hệ thống ngời quản trị (thói quen, kỹ nĕng sử dụng, tính tiện dụng) Tối u hóa hệ điều hành mặt sau: • ách mật khẩu: sử dụng chế mật phức tạp (trên ký tự bao gồm: ký tự hoa, ký tự thờng, ký tự đặc biệt chữ số) nhằm chống lại kiểu cơng brute force • • Tinh chỉnh thơng số mạng: tối u hóa số thông tin tập tin Cho phép không cho phép dịch vụ truy cập đến hệ thống thơng qua hai tập tin /etc/hosts.allow /etc/host.deny • Gỡ bỏ dịch vụ không cần thiết: việc gỡ bỏ gói, dịch vụ khơng cần thiết hạn chế khả nĕng tiếp cận kẻ công cải thiện hiệu nĕng hệ thống • Ěiều khiển truy cập: định truy cập đợc phép đến hệ thống thông qua tập tin /etc/security/access.conf, /etc/security/time.conf, /etc/security/limits.conf, giới hạn tài khoản đợc phép sử dụng quyền sudo thông qua tập t • Sử dụng kết nối SSH thay cho kênh kết nối khơng an tồn nh • Quản lý hệ thống ghi nhật ký (log) cách tập trung quán nhằm phục vụ cho mục đích điều tra có cố xảy H thng máy chủ Windows ủ Windows đợc sử dụng phổ biến, việc bảo vệ cho máy chủ Windows thực cần thiết Ěể đảm bảo cho hệ thống cần thực số biện pháp sau: Ěối với dịch vụ cổng: • Các dịch vụ chạy thiết lập với tài khoản có quyền tối thiểu • Vơ hiệu hóa dịch vụ DHCP, DNS, FTP, WINS, SMTP, NNTP, Telnet dịch vụ không cần thiết khác khơng có nhu cầu sử dụng • Nếu ứng dụng web mở cổng 80 (và cổng 443 có SSL) Ěối với giao thức: • Vơ hiệu hóa WebDAV khơng sử dụng ứng dụng đợc yêu cầu phải đợc bảo mật • Vơ hiệu hóa NetBIOS SMB (đóng cổng 137, 138, 139 445) Tài khoản nhóm ngời dùng: • Gỡ bỏ tài khoản cha sử dụng khỏi máy chủ • Vơ hiệu hóa tài khoản Windows Guest • Ěổi tên tài khoản Administrator thiết lập mật mạnh • Vơ hiệu hóa tài khoản IUSR_MACHINE khơng đợc sử dụng ứng dụng khác • Nếu ứng dụng khác yêu cầu truy cập anonymous, thiết lập tài khoản anonymous có quyền tối thiểu • Chính sách tài khoản mật phải đảm bảo an toàn, sử dụng chế mật phức tạp (trên ký tự bao gồm: ký tự hoa, ký tự thờng, ký tự đặc biệt chữ số) • Phải giới hạn Remote logons (Chức nĕng phải đợc gỡ bỏ khỏi • Tắt chức nĕng Null sessions (anon Tập tin th mục: • Tập tin th mục phải nằm phân vùng định dạng NTFS • Tập tin nhật ký (log) không nằm phân vùng NTFS hệ thống • Các nhóm Everyone bị giới hạn (khơng có quyền truy cập vào • Mọi tài khoản anonymous bị cấm quyền ghi (write) vào th mục gốc Tài nguyên chia sẻ: • Gỡ bỏ tất chia sẻ không sử dụng (bao gồm chia sẻ mặc định) • Các chia sẻ khác (nếu có) cần đợc giới hạn (nhóm Everyone khơng đợc phép truy cập) Các phiên vá lỗi: • Cập nhật phiên • Theo dõi thơng tin cập nhật từ nhiều nguồn khác • Nên triển khai cập nhật hệ thống thử nghiệm trớc cập nhật vào hệ thống thật Qun lý thit b lu tr di đng (USB, PC card reader, ổ cứng di động) Ěƿa mềm Hồng ngoại,… doanh nghiệp ngĕn chặn việc sử dụng thiết bị phần cứng bên ngoài, phơng tiện lu trữ di động, kết nối không dây (wireless) máy tính Ěiều giúp giảm đáng kể việc mát liệu nh nghiệp từ nhân viên nội tin tặc Chặn thiết bị, thiết bị đợc thiết lập tính nĕng thiết bị khơng thể kết nối đến máy tính Có quyền truy cập thiết bị : Thiết bị có quyền đọc, khơng thể chép liệu vào thiết bị Ví dụ: ngời dùng muốn USB có quyền đọc, khơng thể chép liệu từ máy tính vào USB u cầu cấu hình tính nĕng Read only thiết bị lu trữ di động : Chặn kết nối Bridge mạng công ty mạng công ty Chỉ áp dụng cho Modem Wireless oại trừ thiết bị xác định trớc Ví dụ chặn tất kết nối USB vào mạng công ty, trừ USB Anh A kết nối chép liệu bình thờng 4.2.2 Qun lý ngi Phm v Áp dụng cho tất nhân viên công ty: bao gồm nhân viên toàn thời gian, bán thời gian, thực tập sinh …), nhà thầu ngời sử dụng bên thứ ba 4.2.2.1 Trc làm vic Ěể đảm bảo nhân viên, nhà thầu ngời sử dụng bên thứ ba hiểu r trách nhiệm họ, thích hợp cho vai trị mà họ xem xét, làm giảm nguy hành vi trộm cắp, lừa đảo lạm dụng phơng tiện  Nhân viên, nhà thầu ngời sử dụng bên thứ ba đợc liệt kê chi tiết tất quy định trách nhiệm việc bảo vệ an tồn thơng tin Sau đồng ý với yêu cầu đợc nêu hợp đồng lao động, hợp đồng với nhà thầu ngời sử dụng, bên có liên quan phải tuân thủ nghiêm ngặt theo điều khoản đư ghi Trong làm vic Mc tiêu: Ěể đảm bảo tất nhân viên, nhà thầu ngời sử dụng bên thứ ba nhận thức mối đe dọa an ninh thông tin mối quan tâm, trách nhiệm nghƿa vụ pháp lý họ, đợc trang bị để hỗ trợ cho an ninh tổ chức trình làm việc bình thờng Ěảm bảo đợc trang bị kiến thức, điều kiện cần thiết nhằm hỗ trợ sách an tồn thơng tin tổ chức trình làm việc, giảm thiểu rủi ro ngời gây  giám đốc có trách nhiệm quản lý việc đảm bảo an tồn thơng tin cơng ty quy định, kiểm tra, kiểm soát ngày  Khi có bất kǶ cố nào, ngời trực tiếp gây chịu trách nhiệm, bị xử lý kỷ luật theo quy định Ngời quản lý, giám sát ngời cǜng bị xử lý kỷ luật tùy trờng hợp  Nhân viên không đợc cung cấp thông tin đĕng nhập, mật email, tài khoản kết nối với liệu công ty cho ai, chí thành viên gia đình  Khi nhân viên, nhà thầu kết nối với liệu công ty phải chịu trách nhiệm việc đảm bảo an tồn thơng tin Phải đảm bảo giải pháp kết nối liệu tiêu chuẩn, khơng, phải có cho phép cơng  Thông tin mật tuyệt mật, nhạy cảm không đợc trao đổi bất kǶ hình thức với ngời khơng có quyền sử dụng chúng ngời có nghi vấn giả mạo ngời có quyền sử dụng chúng (Ngời có nghi vấn giả mạo ngời không trực tiếp đối thoại, ngời cha xác định xác nhân thân mà liên lạc trực tiếp gián tiếp: qua email, điện thoại, bàn tiếp tân … yêu cầu tiết lộ thông tin để vấn, điều tra nhân viên công ty nhng quên mật khẩu) Phải báo cho quản lý, ngời giám sát hành vi  Tất nhân viên phải đợc tập huấn quy trình bảo đảm an tồn thơng tin từ bắt đầu trở thành nhân viên  Bộ phận quản lý thơng tin có quyền giám sát việc sử dụng internet tất thiết bị kết nối với mạng công ty  Thông tin chi tiết thời gian, nội dung phiên kết nối mạng nhân viên công ty với internet bao gồm: duyệt web, nhắn tin instant message, email, trao đổi , chia sẻ tập tin phải đợc cung cấp cho nhân viên phận IT có yêu cầu  Bộ phận IT có tồn quyền ngĕn chặn, giới hạn trang web, giao thức trao đổi thông tin không phù hợp với công ty Nội dung quy định ngĕn chặn, giới hạn phận IT ban Giám đốc công ty quy định chi tiết 4.2.2.3 Chm dứt thay đi vic làm Tất nhân viên, nhà thầu ngời sử dụng bên thứ ba phải trả lại tất Tài sản tổ chức sở hữu họ kết thúc làm việc, hợp đồng thỏa thuận họ  Sau kết thúc hợp đồng, nhân viên, nhà thầu, ngời sử dụng bên thứ có trách nhiệm bàn giao lại toàn tài sản thuộc sở hữu cơng ty  ó trách nhiệm đảm bảo việc hủy bỏ quyền truy cập trớc kết thúc hợp đồng Nếu cha, phải báo cho phận chuyên trách  Khi nhân viên thay đổi vị trí làm việc cơng ty, nhân viên phải có trách nhiệm trả lại bàn giao lại tài sản không thuộc sở hữu cá nhân cho nơi làm việc  Có trách nhiệm đảm bảo việc hủy bỏ quyền truy cập vào phịng ban, thơng tin có liên quan đến vị trí cǜ 4.2.3 Qun lý truy cp Các nhân viên truy cập, sử dụng chia sẻ thơng tin độc quyền phạm vi đợc ủy quyền thực cần thiết để thực nhiệm vụ cơng việc đợc giao Bộ phận IT có trách nhiệm tạo hớng dẫn liên quan đến sử dụng cá nhân hệ thống mạng Internet/Intranet/Extranet Trong trờng hợp khơng có sách nh vậy, nhân viên phải đợc hớng dẫn việc sử dụng có bất kǶ vấn đề gì, nhân viên cần tham khảo ý kiến trởng phòng phòng ban mà họ làm việc Mọi hoạt động ngời dùng hệ thống đợc ghi log lại Tất thiết bị di động máy tính có kết nối với mạng nội phải tn thủ sách quyền truy cập tối thiểu Tất thơng tin bí mật cơng ty đợc lu trữ phân tán hai file server, đợc phân quyền gán nhưn tự động Windows Server 2012 cess Control kết hợp windows Right Management Services đợc tự động mư hóa.Khơng có nhân viên đợc phép truy xuất thông tin trừ ban lưnh đạo công ty Mức độ sử dụng mật phải tuân thủ sách mật Tất nhân viên phải cực kǶ cẩn trọng mở file đính kèm email nhận đợc từ ngời gửi khơng rõ, chứa phần mềm độc hại Cấm chép trái phép tài liệu có cứng Các nhân viên không đợc phép tiết lộ mật tài khoản cho ngời khác cho phép ngời khác sử dụng tài khoản minh, bao gồm gia đình thực công việc nhà Cấm hành vi vi phạm an ninh hay làm gián đoạn truyền thông mạng bao gồm: cài đặt malicious code, công từ chối dịch vụ, giả mạo ĕn cắp thông tin nhân viên khác Nhân viên bị cấm việc tiết lộ thơng tin bí mật cơng ty trang blog, mạng xư hội nh Facebook, Twitter, Google Plus,… 4.2.4 Qun lý thông tin Phân loi thơng tin bình thờng: thơng tin ngồi công việc, không liên quan đến công ty, đợc trao đổi hàng ngày nhân viên công ty với (chuyện gia đình, tình cảm, đời sống ngày) Thông tin nhạy cảm: thông tin liên quan đến công việc nội công ty nhân viên với nhân viên nhân viên với khách hàng (doanh thu, lợi nhuận, tiền lơng, PR, chĕm sóc khách hàng) Thông tin mật: thông tin quan trọng cơng ty, ngời có quyền hạn thuộc công ty đợc biết (thông tin cá nhân nhân viên, khách hàng, username, password, hợp đồng, thông tin đối tác) Thông tin tuyệt mật: thông tin mang tính chiến lợc kinh doanh định hớng cơng ty (bản thiết kế, kế hoạch) Chính sách qun lý thơng tin Ěi vi thơng tin bình thng: nhân viên đợc tùy ý sử dụng, trao đổi làm việc Ěi vi thông tin nhy cm: phải đảm bảo tất thông tin nhạy dạng cứng tài liệu điện tử phải an tồn khu vực làm việc củ Máy tính nhân viên phải đợc khóa lại khơng làm việc đợc tắt hoàn toàn hết làm việc Những tài liệu lu hành nội không đợc để bàn làm việc phải đợc cất ngĕn kéo đợc khóa cẩn thận nhân viên ài hết làm việc Nhân viên không đợc viết mật cá nhân lên giấy dán, notebook, hay vị trí dễ tiếp cận khác Các nhân viên không đợc phép tiết lộ mật tài khoản cho ngời khác cho phép ngời khác sử dụng tài khoản minh, bao gồm gia đình thực công việc nhà Nhân viên không đợc tự ý tiết lộ thông tin liên quan đến công ty trang blog, mạng xư hội nh Facebook, Twitter, Google Plus,… Ěi vi thông tin mt: Bao gồm tất sách Thơng tin cá nhân, username, password đợc lu trữ server phải đợc đặt phịng đặc biệt, đợc khóa chắn đợc giám sát liên tục qua camara, có nhân viên IT phụ trách đợc phép tiếp cậ Các vĕn bản, giấy tờ quan trọng phải đợc lấy khỏi máy in Tất liệu mật đợc lu trữ thiết bị ngoại vi nh CD DVD hay USB phải đợc mư hóa đặt password Ěi vi thơng tin tuyt mt: Bao gồm tất sách Tất tài liệu, giấy tờ sau khơng cịn đợc sử dụng phải đợc bĕm nhỏ máy cắt giấy thùng xử lý liệu bí mật phải đợc khoá cẩn thậ Bảng trắng đợc sử dụng hội họp cần phải đợc xóa u họp kết thúc Tất máy in máy fax phải đợc xóa hết liệu, giấy tờ sau chúng đợc in Tất thông tin tuyệt mật công ty đợc lu trữ phân tán hai file server, đợc phân quyề gán nhưn tự độ Windows Server 2012 Dynamic Access Control kết hợp Right Management Services ngời gửi phân quyền tơng tác với nội dung cho ngời nhận nh: cấm in tài liệu, cấm chuyển email cho ngời khác, thiết lập thời gian hết hạn tài liệ đợc tự động mư hóa nhân viên đợc phép truy xuất thơng tin trừ ban lưnh đạo công ty PHN KT LUN 5.1 Nhng điểm đt đc Nhóm đư tìm hiểu đợc trạng thất liệu doanh nghiệp nay, cǜng nh đờng dẫn đến thất thoát liệu Nắm đợc khái niệm thất liệu Phân tích đợc điểm yếu bảo mật mơ hình mạng Xác định đợc rủi ro thất thoát liệu đến từ attacker chí từ nhân viên công ty Xây dựng triển khai đợc mơ hình hệ thống mới, có kết hợp giải pháp, công nghệ bảo mật với qui định, sách quản lý ngời Góp phần giảm thiếu tối ta tình trạng thất liệu doanh nghiệp 5.2 Nhng điểm cịn thiu sót Thất liệu vấn đề rộng lớn, với mà nhóm em đư tìm hiểu đợc đờng dẫn đến thất liệu doanh nghiệp có giá trị Với phát triển vợt bậc khoa học cơng nghệ tơng lai có thêm nhiều đờng khác dẫn đến thất liệu mà nhóm cha nhìn đợc Tơng tự vậy, cơng nghệ qui trình, sách mà nhóm đề xuất phù hợp thời điểm tại, cǜng nh đáp ứng đợc số nhu cầu định doanh nghiệp