XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN
CHO DOANH NGHIỆP
I. Hiện trạng của doang nghiệp
Phân tích điểm yếu của mô hình mạng doang nghiệp như sau
- Sử dụng mô hình workgroup. Không quản lý được người dùng
- Không xây dựng chính sách riêng cho các phòng ban
- Chưa xây dựng được mô hình quản lý các thiết bị
- Hệ thống File Server không mang tính an toàn và bảo mật chưa cao
- Rủi ro mất dữ liệu từ nhân viên
- Không có phần mền antivirus làm hệ thống dễ bị xâm nhập bởi các
phần mền độc hại và virus xâm nhập đánh cắp dữ liệu và gây tê liệt
máy tính.
- Chưa xây dựng hệ thống backup và restore tự động khii máy tính của
công ty gặp sự cố
- Chưa xây dựng được hệ thống chạy song song để máy tính giảm thiểu
tối đa việc an toàn dữ liệu và thông tin cho doanh nghiệp
Máy tính dễ bị xâm nhập bởi các phần mền gián điệp virut. Máy tính của bạn
sẽ không an toàn, dễ mất dự liệu và máy tính không có tính bảo mật cao
Thông tin người dùng dễ bị xâm nhập
Khả năng chống attaker còn yếu
Dễ bị nhiễm các phần mền độc hại
Không kiễm soát được hacker xâm nhập
Tính bảo mật của mô hình chưa cao
Chưa phân mô hình Server – Client để quản lý tất cả các thiết bị, tập tin và
phân quyền truy cập cho từng máy
Chưa xây dựng được mô hình web Server và mail Server
Rủi ro mất dữ liệu khá lớn từ nhân viên
Chưa xây dựng domain dự phòng
Chưa thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong
(Intranet) và mạng Internet.
• Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.

trực tiếp cho máy tính. Chú ý setup password cho tài khoản built-in
ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password
của tổ chức. Thường thì Chúng ta có thói quen không tốt ở giai đoạn này là
set password null (không đặt pssword).
• Xác lập chính sách bảo mật chuẩn bảo mật cơ bản (baseline security) theo
quy định an toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi máy
tính. Bảo mật cho các máy tính có vai trò đặc biệt.
Ví dụ Web server, Database Server. Căn cứ trên chính sách bảo mật chuẩn,
các quản trị an ninh mạng cần tăng cường hơn nữa các xác lập bảo mật đối
với các Computer đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có
thể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía attackers.
• Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông
thường sẽ update các Service packs, securiry updates ) Đây là điều bắt buộc
để nâng cao hơn nữa bảo mật cơ bản (baseline security) đã được thiết lập.
• Máy tính khi không còn sử dụng hoặc tặng cho người khác cũng cần phải
security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các
thiết bị Media khác để khai thác những thông tin còn sót lại này.
B. Rủi ro mất mát dữ liệu từ Nhân Viên
Những Tầm quan trọng của việc bảo mật cho máy tính .
Những cuộc tấn công từ bên ngoài: Khi một admin cài đặt software trên một
máy tính mới, một Virus có thể lây nhiễm vào Computer trước khi Admin
này cài service pack bảo vệ hệ thống. Virus này sẽ khai thác lỗ hổng đã xác
định, và cài tiếp vào hệ thống một chú Trojan Horse (ví dụ như Bo 2k).
Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biết
rằng máy tính có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệ
thống Mạng của tổ chức.
Hiểm họa từ bên trong: Admin chọn cách cài đặt cho các máy tính của tổ
chức là cài đặt từ xa và không cần phải theo dõi trong suốt quá trình cài,
cách cài đặt này nhanh chóng và tỏ ra rất chuyên nghiệp. Trong suốt quá
trình cài đặt Hệ Điều Hành qua Mạng này, tài khỏan Local administrator của

và kiểm soát tài nguyên, an ninh nhân sự, an ninh môi trường và vật lý, quản
lý tác nghiệp và truyền thông, kiểm soát truy cập, duy trì và cải tiến, quản lý
liên tục, tính tuân thủ) có thể ảnh hưởng đến an ninh thông tin của doanh
nghiệp nhằm đảm bảo tính :
Tính tin cậy (Confidentiality)
Tính toàn vẹn (Integrity)
Tính sẵn sàng (Availability)
GiảI pháp bảo vệ đa cấp về phần cứng
Lớp Firewall bên ngoài
Lớp an ninh trung gian
Firewall bảo vệ hệ thống máy chủ (serverfarm) - internal firewall
Phần mềm phòng chống Virus cho máy trạm (end-user)
Giải pháp ngăn chặn mất mát dữ liệu (data lost prevention)
Giải pháp an ninh vật lý cho các phòng máy chủ
Hệ thống giám sát và quản trị hệ thống an ninh thông tin
Xây dựng chính sách an ninh cho doanh nghiệp
3. Xây dựng hệ thống cho công ty
Vẽ lại hệ thống tổng thể
1. Mô hình chi tiết An toàn bảo mật cho máy chủ Web Server(Web Security)

Nhiệm vụ của Web Security
Bảo vệ các dịch vụ, bảo vệ Web Server, Database, Source Code
Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho các
hacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó.
Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấn công từ chối dịch vụ, quảng cáo
các website có nội dung không lành mạnh, xoá, thay đổi nội dung các file hay
phần mềm chứa mã nguy hiểm. Bài viết dưới đây được trình bày như những
lời khuyên cho việc đảm bảo an toàn cho các máy chủ Web.
Đặt các Webserver của bạn trong vùng DMZ. Thiết lập firewall của bạn
không cho các kết nối tới Webserver trên toàn bộ các cổng, ngoại trừ cổng 80

đây; sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL. Nếu
thực hiện điều này hàng giờ, có thể tránh khả năng server treo một thời gian
dài.
Quét Webserver theo định kỳ với các công cụ như ISS hay nmap để tìm kiếm
lỗ hổng bảo mật.
Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần
mềm này cảnh báo các hành động nguy hiểm và bắt các session của chúng lại
để xem Thông tin này có thể giúp bạn lấy được thông tin về cách thức phá
hoại mạng, cũng như mức độ bảo mật trong hệ thống của bạn.
Tuân thủ các quy tắc nhất định nêu trên sẽ giúp cho Webserver được bảo vệ
tốt hơn và người quản trị mạng không còn chịu nỗi đau đầu, lo lắng về vấn đề
an toàn máy chủ web và an toàn thông tin cho toàn bộ hệ thống.
Mô hình chi tiết An toàn bảo mật cho máy chủ Mail Server(Mail Security)
Cấu hình Máy chủ Mail nâng cao (Windows 2003 Server)
Cấu hình Máy chủ Mail nâng cao (Windows 2003 Server)
Cấu hình nhiều mail-server để sử dụng một nơi lưu giữ mail đơn hay một nơi
lưu giữ mail từ xa , bạn phải đang sử dụng một Active Directory integrated
authentication (chứng thực tích hợp Active Directory) hoặc encrypted
password file authentication (chứng thực file mật khẩu được mã hóa).
Mail-server phải ở trong cùng một domain Active Directory như máy tính mà
trên đó nơi lưu giữ mail được cấu hình. Để cấu hình nhiều mail-server có thể
sử dụng một nơi lưu giữ mail đơn hay nơi lưu giữ mail từ xa:
+ Theo chỉ dẫn trợ giúp của Windows Server 2003 để cài đặt các dịch vụ E-
mail trên mỗi máy tính mà bạn muốn sử dụng như là một mail-server. Những
chỉ dẫn này được cung cấp trong mục trợ giúp “To install e-mail services”. Để
xem mục này, nhấn Start, và sau đó nhấn Help and Support. Nhấn Internet
and E-mail Services, nhấn E-mail services và sau đó nhấn POP3 service.
Nhấn How To, Set Up the POP3 Service và sau đó nhấn Install e-mail
services.
+ Trên mỗi mail-server, chọn ‘Active Directory integrated authentication’

dấu nhắc dòng lệnh, gõ : net start pop3svc * Nếu bạn đang sử dụng ‘Active
Directory integrated authentication’, bạn phải chờ replication (bản sao) của
‘Active Directory’ xuất hiện, như vậy tất cả các mail-server có thể truy nhập
vào nơi lưu giữ mail mới. Thời gian replication thay đổi, phụ thuộc vào số
lượng các ‘domain controller’ trong việc triển khai của bạn. Thông tin chi tiết
về ‘Active Directory replication’, xem trong mục trợ giúp của Windows
Server 2003 “Replication overview”.
Để xem mục này, nhấn Start và sau đó nhấn Help and Support. Nhấn Active
Directory, nhấn Concepts, nhấn Understanding Active Directory, nhấn
Understanding Sites and Replication và sau đó nhấn Replication overview.
+ Làm theo những chỉ dẫn trợ giúp trong Windows Server 2003 để cấu hình
mỗi mail-server một nơi lưu giữ mail và sử dụng nơi lưu giữ mới mà bạn đã
tạo. Nếu bạn đã tạo ra một thư mục chia xẻ từ xa như mail root, đường dẫn sẽ
là như sau: \\path\share. Để xem mục trợ giúp cho thủ tục này, nhấn Start và
sau đó nhấn Help and Support, Internet and E-mail Services, E-mail services,
POP3 service, How To, Set Up the POP3 Service, Set the mail store. + Sau
khi thiết lập nơi lưu giữ mail, bạn phải khởi động lại dịch vụ POP3. Nhấn
Start, Run, gõ cmd và sau đó nhấn OK.
+ Tại dấu nhắc dòng lệnh, gõ: net stop pop3svc + Sau khi dịch vụ dừng, tại dấu nhắc dòng
lệnh, gõ: net start pop3svc Để đặt bảo mật (security) và và sự cho phép (permissions) cho
nơi lưu giữ mail : Trên máy tính mà tại đó nơi lưu giữ mail được cấu hình, chạy
Windows Explorer. [item]Nhấn chuột phải trên thư mục hay ổ đĩa chia xẻ mà bạn muốn
sử dụng như một nơi lưu giữ mail và sau đó nhấn Sharing and Security. Kiểm tra lại xem
Share this folder đã được chọn. [item]Trên tab Sharing, nhấn Permissions, nhấn Everyone
và sau đó nhấn Remove. [item]Nhấn Add, nhấn Object Types, chọn Computers và sau đó
nhấn OK. [item]Trong Select Users, Computers, or Groups gõ: Domain Admins; Network
Service; System; và các tên của tất cả mail-server trong sự triển khai của bạn, mỗi tên cách
nhau bởi một dấu chấm phẩy và sau đó nhấn OK. [item]Nhấn Domain Admins và sau đó
nhấn Full Control. [item]Lặp lại bước trước đó cho Network Service, System và mỗi tài
khoản mail-server và sau đó nhấn OK. [item]Trên tab Security, thực hiện lại các bước từ 4-

lượng dữ liệu được truyền tải an toàn, bên cạnh đó thì ứng dụng này còn cho phép người
dùng tùy chọn nhiều địa chỉ và cổng server khác nhau.
FileZilla Server Interface không chỉ cung cấp cho người dùng sự tiện lợi trong quá trình
tạo và quản lý người dùng, mà còn thiết lập quyền đọc hoặc ghi đối với từng tài khoản
khác nhau, do vậy người quản lý sẽ hạn chế được việc truy cập trái phép vào những phần
tài liệu riêng tư. Bên cạnh đó, chúng ta còn có thể tạo Group – được dùng để kết hợp nhiều
tài khoản người dùng có cùng mức phân quyền lại với nhau, và một số thiết lập khác như:
giới hạn server, kích hoạt hoặc không sử dụng tính năng SSL khi người dùng đăng nhập,
tốc độ truyền tải dữ liệu tối đa
Để thực hiện, các bạn hãy tải và cài đặt phần mềm FileZilla tại đây, sau đó khởi động ứng
dụng, nhập địa chỉ localhost (127.0.0.1) trong phần Server Address và mật khẩu trong tại ô
Administration Password, giá trị Port mặc định ở đây là 14147. Nhấn OK:
Như đã đề cập tới ở trên, Group sẽ giúp chúng ta dễ dàng hơn trong việc quản lý nhiều tài
khoản người dùng tương tự nhau. Việc cần làm trước tiên tại đây là tạo mới Group, sau đó
gán từng tài khoản riêng biệt tới nhóm này. Các bạn chọn menu Edit > Groups như hình
dưới:
Bảng điều khiển Groups sẽ hiển thị, trước tiên chúng ta sẽ nhấn Add và nhập tên của nhóm
cần tạo, sau đó kích hoạt quyền truy cập cho các tài khoản bên trong nhóm từ phần Group
Settings.Tiếp theo là việc chỉ định thư mục sẽ được phép chia sẻ với các client, chuyển tới
phần Shared folders từ phía bên trái và chọn thư mục cần chia sẻ để gán tại đây. Sau đó,
chúng ta sẽ chuyển tới bước tiếp theo là gán tài khoản người dùng tới Group:
Từ menu Edit, các bạn chọn Users:
Tương tự như Groups, chúng ta có thể tạo tài khoản người dùng – User và thiết lập mức
phân quyền đọc, ghi tương ứng. Nhấn nút Add, đặt tên cho tài khoản, chọn nhóm tương
ứng từ menu drop – down, sau đó nhấn OK để hoàn tất:
Ở chế độ mặc định, hệ thống sẽ tạo tài khoản người dùng với mật khẩu trống, nhưng nếu
muốn đặt mật khẩu bảo vệ cho User thì các bạn hãy kích hoạt tùy chọn Password trong
phần Account Settings. Tại đây, chúng ta còn có thể thay đổi Group membership, kích hoạt
tùy chọn Bypass userlimit of server và Force SSL for user login:
Nếu không chỉ định bất kỳ thư mục chia sẻ nào trong khi tạo Groups thì có thể gán sau đó.

Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các
thông tin này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và
cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép
trên.
Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức
hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác
nhau duy nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có
chức năng ngăn chặn kịp thời các hoạt động nguy hại đối với hệ thống. Hệ
thống IPS sử dụng tập luật tương tự như hệ thống IDS.
Phân loại
Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion
Prevention) thường được triển khai trước hoặc sau firewall.
Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bên
trong kể cả firewall, vùng DMZ. Có thể giảm thiểu nguy cơ bị tấn công từ
chối dịch vụ đồi với firewall.
Khi triển khai IPS sau firewall có thể phòng tránh được một số kiểu tấn công
thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết
nối vào bên trong.
Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention)
thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt
động thâm nhập trên các host.
Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự
như các giải pháp antivirus.
Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn có
khả năng phát hiện sự thay đổi các tập tin cấu hình.
Lý do triển khai IPS
Mỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh,
điểm yếu khác nhau. Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quả
cao. IPS là một trong những thành phần quan trọng trong các giải pháp bảo vệ
hệ thống. Khi triển khai có thể giúp hệ thống:

1.3 Phòng Hành Chánh-Nhân Sự
Đặt 6 Client (1 Trưởng phòng,1 phó phòng, 4 nhân viên)
1.4 Phòng Kế Toán
Đặt 4 Client (gồm 1 Trưởng phòng,2 nhân viên, 1 thủ quỷ)
1.5 Phòng Kỹ Thuật
Có kích thước 15x11 m2 đặt 5 Client (1 trưởng phòng,4 nhân viên).
1.6 Phòng Server
Kích thước 11x7 m2 đặt 3 máy tính (1 cho Admin, 2 cho IT) và Server.
Sơ đồ phân quyền hệ thống