TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN TPHCM
Khoa Mạng Máy Tính Và Truyền Thông
----------
BÁO CÁO ĐỒ ÁN
XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN CHO
DOANH NGHIỆP
GIẢI PHÁP DATA LOSS PREVENTION
CHO DOANH NGHIỆP
GIÁO VIÊN HƯỚNG DẪN:
ThS. Nguyễn Duy
NHÓM SINH VIÊN THỰC HIỆN:
1. Tống Duy Tân - 12520379
2. Lâm Vĩ Phượng - 12520331
3. Đỗ Bảo Thành - 12520396
4. Nguyễn Phạm Thủy Ngân 12520282
TPHCM, 12/2015
Lời mở đầu
Các tổ chức, doanh nghiệp (TC/DN) có rất nhiều loại hình thông tin cần được bảo vệ chặt chẽ
như thông tin khách hàng, bí mật công nghệ, chiến lược phát triển kinh doanh, hay các tin tức
nhạy cảm khác,… Những thông tin này nếu để lộ ra ngoài có thể gây các hậu quả nghiêm trọng
đến tài chính, danh tiếng của công ty và quan hệ với các đối tác của TC/DN.
Nhiều người cho rằng TC/DN của mình đã trang bị nhiều giải pháp an ninh bảo mật như tường
lửa, chống virus, chống xâm nhập… nên có thể ngăn ngừa thất thoát thông tin. Các giải pháp an
ninh truyền thống như firewall, IPS, Anti- virus... giúp nhận diện và ngăn ngừa các tấn công, mã
độc hại... nhưng các giải pháp này không phân biệt được dữ liệu nào là nhạy cảm, dữ liệu nào cần
bảo vệ. Vì thế cần xây dựng một giải pháp chống thất thoát dữ liệu cho doanh nghiệp - DLP
(Data Loss Prevention) giúp ngăn ngừa tối đa các nguy cơ thất thoát thông tin khi thiết lập chính
xác chính sách đối với các loại thông tin và người được quyền sử dụng thông tin.
Bài báo cáo này sẽ giới thiệu giải pháp chống thất thoát dữ liệu cho doanh nghiệp - DLP (Data
Loss Prevention) là một giải pháp ngăn ngừa hiệu quả mất mát thông tin nhạy cảm, bí mật của
TC/DN.
Nội dung bao gồm:
Phần 1: Tổng quan về DATA LOSS PREVENTION (DLP)
Phần 2: Phân tích và đánh giá mô hình mạng hiện tại
Phần 3: Thiết kế hệ thống mới
Phần 4: Xây dựng qui trình và chính sách bảo mật
Phần 5: Kết luận
MỤC LỤC
PHẦN 1. TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP) .............................. 5
1.1. Khái niệm về DLP ................................................................................................... 5
1.2. Các con đường dẫn đến mất mát dữ liệu.................................................................. 6
1.3. Hiện trạng mất mát dữ liệu trong doanh nghiệp .................................................... 10
PHẦN 2. PHÂN TÍCH VÀ ĐÁNH GIÁ MÔ HÌNH MẠNG HIỆN TẠI ................... 13
2.1. Những điểm yếu về bảo mật .................................................................................. 13
2.2. Những rủi ro về mất mát dữ liệu ............................................................................ 14
2.2.1. Từ attacker ...................................................................................................... 15
2.2.2. Từ nhân viên ................................................................................................... 16
PHẦN 3. THIẾT KẾ HỆ THỐNG MỚI ....................................................................... 17
3.1. Mô hình tổng quát .................................................................................................. 17
3.2. Các giải pháp công nghệ được sử dụng ................................................................. 17
3.2.1. Giải pháp IDS/IPS security trong mạng LAN ................................................ 17
3.2.1.1. Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion
Prevention System) ............................................................................................... 18
3.2.2. Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite ......... 20
3.2.3. Giải pháp backup dữ liệu sử dụng hệ thống SAN....................................... 21
3.2.4. Giải pháp web security ................................................................................... 23
3.2.4.1. Giới thiệu giải pháp.................................................................................. 23
3.2.4.2. Triển khai ................................................................................................. 24
3.2.5. Giải pháp email security ................................................................................. 25
3.2.5.1 Giải pháp GFI Archive 2015.................................................................... 26
3.2.5.2 Giải pháp GFI MailEssentials 2015 .......................................................... 27
3.2.5.3 Giải pháp quản lý hoạt động của user – Spector360 ................................. 29
3.2.5.4 Giải pháp mã hóa email với iSafeguard .................................................... 31
3.2.6. Giải pháp file security ..................................................................................... 32
3.2.6.1. Triển khai DFS Replicate và DFS Namespace lên server. ...................... 32
3.2.6.2. Sử dụng Audit Policy ............................................................................... 33
3.2.6.3. Sử dụng NTFS Permission....................................................................... 33
3.2.6.4. Sử dụng Backup & Restore để sao lưu dữ liệu định kỳ và phục hồi khi cần
thiết.
........................................................................................................... 34
3.2.6.5. Sử dụng Quota để giới hạn dung lượng sử dụng trên ổ đĩa File server. .. 34
3.2.6.6. Sử dụng Shadow Copies để sao lưu và phục hồi dữ liệu bị xóa, thay đổi
tạm thời.
........................................................................................................... 35
3.2.6.7. Một số giải pháp khác .............................................................................. 35
PHẦN 4. XÂY DỰNG QUI TRÌNH VÀ CHÍNH SÁCH BẢO MẬT ........................ 37
4.1. Xây dựng qui trình ................................................................................................. 37
4.1.1. Xác định đối tượng ......................................................................................... 37
4.1.2. Xác định mục tiêu ........................................................................................... 37
4.1.3. Xác định phương pháp .................................................................................... 38
4.2. Xây dựng chính sách .............................................................................................. 39
4.2.1. Quản lý thiết bị ............................................................................................... 39
4.2.2. Quản lý con người........................................................................................... 43
4.2.3. Quản lý truy cập .............................................................................................. 46
4.2.4. Quản lý thông tin ............................................................................................ 47
3.3.3.7. Phân loại thông tin ................................................................................... 47
3.3.3.8. Chính sách quản lý thông tin.................................................................... 48
PHẦN 5. KẾT LUẬN ..................................................................................................... 49
5.1 Những điểm đạt được.............................................................................................. 49
5.2 Những điểm còn thiếu sót ....................................................................................... 50
PHẦN 1. TỔNG QUAN VỀ DATA LOSS PREVENTION (DLP)
1.1. Khái niệm về DLP
Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi
trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho
nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin
có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ
với các đối tác. Vì vậy vấn đề thất thoát dữ liệu trong doanh nghiệp luôn được
quan tâm kiểm soát và khắc phục bằng các giải pháp chống thất thoát dữ liệu
(Data Loss Prevention - DLP).
Các hiểm họa đối với hệ thống có thể gây thất thoát dữ liệu (Data Loss) được phân
loại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động như sau:
-
Hiểm họa vô tình: khi người dùng khởi động lại hệ thống ở chế độ đặc
quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công
việc họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ
xấu lợi dụng.
-
Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép.
-
Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếp
lên hệ thống, như nghe trộm các gói tin trên đường truyền.
-
Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt
động của hệ thống.
Giải pháp chống thất thoát dữ liệu (Data Loss Prevention - DLP): giúp kiểm soát
và giám sát việc truyền nhận những dữ liệu quan trọng dựa vào khả năng nhận biết
nội dung, quản lý các rủi ro thất thoát thông tin, dữ liệu quan trọng ra bên ngoài.
Giải pháp được thiết kế cho phép các tổ chức xây dựng những chính sách kiểm
soát hoạt động của nhân viên trên các ứng dụng email cá nhân và doanh nghiệp,
giao tiếp trên web và các hoạt động khác.
1.2. Các con đường dẫn đến mất mát dữ liệu
Những tác nhân ảnh hưởng đến thông tin:
Tự nhiên: thiên tai và tác động của môi trường (bão, lũ, động đất, khí hậu, hỏa
hoạn, ô nhiễm môi trường,…).
Attacker:
-
Nghe lén trên mạng (Eavesdropping): là một phương pháp ra đời khá lâu
nhưng hiệu quả, kẻ tất công sử dụng các thiết bị mạng (router, card
mạng,…) và một chương trình ứng dụng (TCPDump, Ethereal,
Wireshark,…) để giám sát lưu lượng mạng, bắt các gói tin đi qua các thiết
bị này, để khắc phục vấn đề này cách tốt nhất là mã hóa dữ liệu trước khi
truyền chúng trên mạng.
-
Giả mạo IP Address (IP Address Spoofing): là phương pháp tấn công cho
phép kẻ tấn công giả mạo địa chỉ IP của nạn nhân bao gồm các kỹ thuật
SYN flooding, TCP hijacking, ARP spoofing.
-
Tấn công Password (Password-Based Attacks): là sử dụng cơ chế chứng
thực uername password, các phương pháp thông dụng như guessing, social
engineering, dictionary, password sniffing.
-
Tấn công từ chối dịch vụ (Denial-of-Service Attack): mục tiêu của cuộc tấn
công từ chối dịch vụ là ngăn chặn người dùng hợp pháp sử dụng những
dịch vụ mà họ thường nhận được từ các máy chủ, cuộc tấn công có thể phát
sinh từ một máy tính (DoS) hoặc từ một nhóm máy tính (DDoS).
-
Tấn công tầng ứng dụng (Application Attack): là khai thác những điểm yếu
trong các chương trình ứng dụng chạy trên các máy server như sendmail,
Postscript và FTP. Bằng cách khai thác những điểm yếu này, chủ thể tấn
công có thể chiếm quyền truy xuất vào các máy tính với quyền truy cập
cùng cấp với tài khoản đang sử dụng.
-
Malicious Code: tấn công bằng các phần mền độc hại
•
Virus: là phần mềm tự sao chép và thực thi khi khởi chạy một
chương trình vật chủ, làm hại máy tính và sao chép chính nó để lây
nhiễm các máy tính khác trong hệ thống.
•
Worm: là một chương trình đứng một mình (stand alone program),
thực thi bất kì thời điểm, gây nguy hiểm cho hệ thống nó thường trú.
•
Trojan: ngụy trang kèm theo những ứng dụng thông thường, chức
năng chính là điều khiển máy tính từ xa, ăn cắp thông tin của nạn
nhân.
•
Logic BOM: là chương trình con hoặc một lệnh được nhúng trong
chương trình, kích hoạt bởi những lệnh điều khiển có điều kiện.
Người dùng:
Thất thoát dữ liệu có thể xảy ra ở các trạng thái của dữ liệu như sau:
-
Data-in-Motion (dữ liệu vận chuyển): Các dữ liệu được truyền thông qua
đường Internet như gửi thư điện tử, tải các dữ liệu nội bộ lên các trang web,
truyền tải dữ liệu nội bộ qua các kết nối từ xa (remote connection) hay qua
các kênh giao tiếp như Yahoo Messenger!, AOL, Skype, …
Ví dụ: Rủi ro dữ liệu nội bộ bị luồng ra bên ngoài bằng các kỹ thuật tấn
công của attacker, rò rỉ dữ liệu qua mạng xã hội, giao tiếp của nhân viên
qua website, gửi nhận mail cá nhân, gửi nhận dữ liệu từ bên ngoài, điểu
khiển từ xa,…
-
Data-at-Rest (dữ liệu lưu trữ): dữ liệu được lưu trữ trong thư mục chia sẽ
hoặc ổ đĩa của người dùng.
Ví dụ: Thất thoát dữ liệu có thể xảy ra khi hệ thống lưu trữ bị tấn công, các
chương trình ứng dụng bị đính kèm các phần mềm gián điệp, phần mềm
độc hại, dữ liệu bị đánh cấp bởi người có đặc quyền sử dụng, quản lý dữ
liệu trong nội bộ,…
-
Data-in-Use (dữ liệu đang sử dụng): các thao tác của người dùng cuối như
copy data hoặc in ấn.
Ví dụ: Các thao tác của nhân viên vô tình hay hữu ý cũng có thể làm dữ
liệu bị rò rỉ ra bên ngoài bởi sao chép dữ liệu qua usb, in ấn tài liệu, nhập
liệu qua bàn phím, máy tính bị giám sát bởi key logger,…
Tương ứng ta có các giải pháp DLP phù hợp để ngăn chặn việc thất thoát dữ liệu:
-
DLP for Endpoint: kiểm soát, quản lý dữ liệu trong trạng thái đang sử dụng.
-
DLP for Network: kiểm soát, quản lý dữ liệu trong trạng thái đang vận
chuyển trên mạng.
-
DLP for Stored data discovery: kiểm soát, quản lý dữ liệu trong trạng thái
đang được lưu trữ, tài nguyên máy tính.
Hình 1.2.1: Mất mát dữ liệu từ phía người dùng
Bên cạnh đó theo báo cáo về vi phạm dữ liệu từ Verizon (verizonenterprise.com)
năm 2010 cho thấy các dữ liệu bị vi phạm ghi nhận chủ yếu liên quan đến các
nguy cơ từ nội bộ, các hình thức lừa đảo bằng kỹ năng xã hội (Social Engineering)
và sự tham gia của các tổ chức tội phạm.
Hình 1.2.2: Báo cáo về nguyên nhân thất thoát dữ liệu được thông kê năm
2010.
Cụ thể là:
Có tới 48% các vi phạm là từ phía trong nội bộ.
Nhiều vi phạm liên quan đến lạm dụng, lợi dụng đặc quyền, trong đó 48% là do
người dùng, 40% là hacking, 28% là Social Engineering.
Còn đây là số liệu mới nhất của Verizon (verizonenterprise.com) cuối năm 2015
cho thấy nguy cơ mất mát dữ liệu từ nội bộ (Insider Misuse) giảm so với các năm
tuy nhiên vẫn chiếm tỉ lệ đáng kể.
Hình 1.2.3: Báo cáo về các sự cố an ninh qua các năm.
1.3. Hiện trạng mất mát dữ liệu trong doanh nghiệp
Theo báo cáo thất thoát dữ liệu 6 tháng đầu năm 2015 – “Global Data Leakage
Report, H1 2015” của InfoWatch Analytical Center *InfoWatch là một dự án của
Kaspersky Lab hoạt động trên 10 năm với mục đích bảo vệ an toàn thông tin
doanh nghiệp*
Có 723 tin tức về mất mát dữ liệu trên phương tiện thông tin đại chúng, cao hơn 10% so với
cùng kỳ năm 2014
Tấn công từ bên ngoài (external attacks) đứng 32%, cao hơn 9% cùng kỳ năm ngoái.
Tổ chức chính phủ có sự sụt giảm tỷ lệ mất mát dữ liệu, nhưng đối với các công ty thương mại
tăng đến 75%
Công ty vận tải - cùng với các dịch vụ trực tuyến, các nhà bán lẻ, và các tổ chức y tế - là nguồn
lớn nhất của rò rỉ dữ liệu cá nhân.
90% sự rò rỉ liên quan đến thông tin cá nhân, hơn 262 triệu hồ sơ bị tổn hại bao gồm cả dữ liệu
tài chính. Đặc biệt, mất mát về bí mật thương mại, bí quyết kinh doanh tăng 1.6%
Nhân viên chịu gần 58% trách nhiệm cho các vụ rò rỉ, trong khi giám đốc điều hành là 1%
Kết luận:
Hiện nay, hầu hết các tổ chức và doanh nghiệp tại Việt Nam đều áp dụng CNTT
phục vụ trong việc hoạt động, kinh doanh và sản xuất nhằm mục đích tối ưu và
hiệu quả nhất. Điều này đồng nghĩa với việc thất thoát và rò rỉ thông tin sẽ ảnh
hưởng rất lớn đến việc hoạt động, kinh doanh và sản xuất của tổ chức, doanh
nghiệp.
Từ những số liệu thống kê kể trên, ta thấy rằng nếu tình trạng thất thoát dữ liệu nói
chung và thất thoát dữ liệu trong doanh nghiệp đã lên đến con số báo động trong
những năm gần đây. Các vụ tấn công từ bên ngoài, tình trạng nhân viên bên trong
ảnh hưởng đến dữ liệu công ty … cho thấy cần phải có một hoặc nhiều giải pháp
chống thất thoát dữ liệu hiện đại, toàn diện, có sự kết hợp của nhiều phía: công
nghệ, quy trình, chính sách, con người.
PHẦN 2. PHÂN TÍCH VÀ ĐÁNH GIÁ MÔ HÌNH MẠNG HIỆN TẠI
2.1. Những điểm yếu về bảo mật
Mô hình mạng hiện tại
Thông tin chi tiết:
-
Quản trị theo mô hình Domain
-
Router Cisco tích hợp firewall
-
Thiết bị cân bằng tải kết nối internet
-
Không có phần mềm antivirus, firewall chuyên dụng cũng như các chính
sách bảo mật khác.
-
Chưa có chính sách vận hành hệ thống
-
Chưa có chính sách về vấn đề an toàn thông tin trong hệ thống
-
Chưa có chính sách sao lưu và phục hồi dữ liệu
-
Tất cả các máy chủ đặt tại Data Center
Phân tích mô hình hiện tại:
-
Không có firewall chuyên dụng dễ bị tấn công DoS, DdoS … để đánh cắp
dữ liệu
-
In ấn tự do, không có sự quản lý tập trung
-
Không có phần mềm antivirus nên dễ bị lây nhiễm virus qua các thiết bị di
động hoặc truy cập mạng, attacker có tình tấn công …
-
Hệ thống mạng không có tính dự phòng - Khó khăn trong việc sao lưu và
phục hồi dữ liệu khi có sự cố xảy ra.
-
Không có chính sách an ninh, nhân viên có thể sao chép dữ liệu qua USB,
gửi thông tin qua các internet mà không bị pháp hiện
-
Không có sự phân chia luận lý giữa các phòng ban
-
Chưa có cơ chế cập nhật bản vá lỗi cho client và server
-
Chưa có hệ thống chủ động tìm kiếm, phát hiện và ngăn ngừa xâm nhập.
-
Thiếu cơ chế bảo mật web, mail chuyên dụng tại gateway
-
Thiếu cơ chế quản lý các nhân viên truy cập từ xa
-
Thiếu việc triển khai các hệ thống giám sát hệ thống mạng (Network
Monitoring) cũng như chính sách triển khai baseline và theo dõi, ghi log
toàn bộ sự kiện xảy ra trong hệ thống.
-
Hệ thống chỉ sử dụng một đường truyền mạng
-
Khó mở rộng mô hình mạng
2.2. Những rủi ro về mất mát dữ liệu
2.2.1. Từ attacker
-
Tấn công vào lỗ hổng bảo mật: Hacker lợi dụng các lỗ hổng bảo mật mạng,
các giao thức cũng như các lỗ hổng của hệ điều hành… để tấn công ăn cắp
dữ liệu. Ví dụ như attacker lợi dụng lỗ hổng SQL injection của máy chủ
web để tấn công và get cơ sở dữ liệu trong SQL.
-
Tấn công giả mạo: Đây là thủ đoạn của kẻ tấn công nhằm giả dạng một
nhân vật đáng tin cậy để dò la và lấy cắp thông tin, ví dụ như các attacker
dùng email tự xưng là các ngân hàng hoặc tổ chức hợp pháp thường được
gởi số lượng lớn. Nó yêu cầu người nhận cung cấp các thông tin khá nhạy
cảm như tên truy cập, mật khẩu, mã đăng ký hoặc số PIN bằng cách dẫn
đến một đường link tới một website nhìn có vẻ hợp pháp, điều đó giúp cho
tên trộm có thể thu thập được những thông tin của quý khách để tiến hành
các giao dịch bất hợp pháp sau đó.
-
Phần mềm độc hại, Virut, Worm, Trojans: Attacker sử dụng các phần mềm
độc hại, hoặc các loại virut được tiêm vào các phần mềm trông như vô hại
để dụ người sử dụng nhiễm phải. Chúng có thể ăn cắp thông tin, phá hoại
dữ liệu máy tính và lây lan qua các máy khác.
-
Tấn công trực tiếp qua các kết nối vật lí: Bằng cách này hay cách khác kẻ
tấn công tìm cách tiếp cận với mạng nội bộ, chúng có thể dung một số công
cụ nghe lén để bắt các gói tin, phân tích chúng để ăn cắp dữ liệu. Ví dụ như
thông tin tài khoản đăng nhập, chiếm quyền điều khiển của các máy để lấy
dữ liệu hoặc tấn công máy chủ…
-
Tấn công thăm dò: Attacker giả dạng các công ty về bán sản phẩm tin học
để hỏi thăm nhân viên về một số thông tin của phòng server, có bao nhiêu
thiết bị, thiết bị dùng hãng nào, có firewall hay không… để từ đó làm cơ sở
cho tấn công và đánh cắp dữ liệu.
-
Thông qua các kỹ thuật nghe lén: Các thông tin nhạy cảm dưới dạng bản
cứng không được hủy bỏ một cách thích hợp, thường thì chỉ được vứt vào
sọt rác. Attacker có thể thu thập được các thông tin này một cách dễ dàng.
-
Phishing và Pre-Phishing: Attacker có thể dễ dàng lừa nhân viên truy cập
vào trang web độc hại, tải và cài đặt các keylogger ghi lại toàn bộ thông tin
trong máy nạn nhân.
2.2.2. Từ nhân viên
-
Nhân viên tiết lộ thông tin nội bộ ra bên ngoài trong quá trình sử dụng :
skype, yahoo, điện thoại… Nhân viên có thể dễ dàng đính kèm tài liệu nội
bộ của công ty và gửi nó đi thông qua các trình tin nhắn nhanh chuyên
dụng. Bằng cách tương tự, người dùng có thể gửi tiết lộ thông tin bí mật
thông qua phiên hội thoại (chat text)
-
Chia sẻ file ngang hàng P2P: Nhân viên có thể dễ dàng sử dụng giao thức
P2P để gửi file ra ngoài.
-
Web mail: Nhân viên có thể sử dụng web mail như Yahoo, Google,
Hotmail có thể đính kèm file hay coppy nội dung vào phần message text để
gửi ra ngoài.Tuy nhiên, các phiên làm việc với web mail được mã hóa, nên
khó bị phát hiện hơn.
-
Có thể do sự vô ý của nhân viên: Nhân viên đính kèm nhầm file, nhân viên
chọn sai người gửi (tính năng AutoComplete trên Outlook, nếu như nhân
viên không kiểm tra kỹ thì nguy cơ nhân viên gửi nhầm mail quan trọng rất
có khả năng xảy ra), nhân viên bị lừa để gửi thông tin ra ngoài. Hoặc thông
qua các dịch vụ cloud storage miễn phí: Nhân viên có thể upload dữ liệu
nhạy cảm lên các hệ thống lưu trữ đám mây miễn phí như dropbox hay
Skydriver.
-
Nhân viên có thể upload dữ liệu lên một FTP server trên internet để gửi
thông tin ra ngoài.
-
In tài liệu, photocopy tự do không được quản lý tập trung. Đem tài liệu in,
copy ra bên ngoài.
-
Dùng điện thoại, camera chụp lại tài liệu của công ty.
-
Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên
khác chép dữ liệu của mình đem ra bên ngoài.
-
Thiết bị USB chứa dữ liệu quan trọng bị mất hay để quên tại nơi làm việc.
PHẦN 3. THIẾT KẾ HỆ THỐNG MỚI
3.1. Mô hình tổng quát
3.2. Các giải pháp công nghệ được sử dụng
3.2.1. Giải pháp IDS/IPS security trong mạng LAN
3.2.1.1. Giải pháp chống xâm nhập sử dụng Sourcefire IPS™ (Intrusion
Prevention System)
Giới thiệu giải pháp
Được phát triển dựa trên cổ máy phát hiện xâm nhập nổi tiếng nhất thế giới SNORT® rules-based detection engine.
Sourcefire IPS kết hợp sức mạnh của các giải pháp phát hiện lỗ hổng bảo mật và
phát hiện nguy cơ dựa trên các dấu hiệu bất thường, với tốc độ lên tới 10 Gbps,
cho phép phân tích lưu lượng dữ liệu trên mạng và phòng chống các nguy cơ
nghiêm trọng cho mạng lưới. Có thể dùng để triển khai bảo vệ mạng tại vùng biên,
tại DMZ, trong mạng Core hoặc tại bất kỳ phân vùng mạng nào; có thể triển khai
phòng chống tích cực bằng cách xen giữa các lưu lượng cần bảo vệ hoặc giám
thính lưu lượng một cách thụ động với các thông báo hữu ích.
Các hệ thống IDS của Sourcefire rất dễ sử dụng và cung cấp một khả năng phòng
chống nguy cơ một cách toàn diện. Sourcefire IPS nổi bật ở khả năng phân tích
cao, tường trình mạnh mẽ và độ linh hoạt không gì sánh bằng.
Nhờ Sourcefire RNA™ (Real-time Network Awareness), người dùng có thể khai
thác Sourcefire IPS ở một mức độ cao cấp hơn nữa. RNA cho phép giám sát hoạt
động mạng 24x7, quản lý tài nguyên mạng trong thời gian thực - hệ điều hành,
dịch vụ mạng, ứng dụng, giao thức mạng sử dụng, các nguy cơ tiềm ẩn hiện hữu
trong mạng. Bằng việc tích hợp trong thời gian thực các thông tin mạng lưới vào
hệ thống IPS, RNA giúp tự động hóa cho các quá trình tiếp theo trong việc tinh
chỉnh IPS và đánh giá tầm ảnh hưởng của các biến cố an ninh trong mạng.
Các hệ thống IPS của Sourcefire có khả năng phòng chống các loại nguy cơ rất đa
dạng:
Worms
IPv6 attacks
Application anomalies
Trojans
DoS attacks
Malformed traffic
Backdoor
Buffer overflows
Invalid headers
attacks
P2P attacks
Blended threats
Spyware
Port scans
VoIP attacks
Statistical
Zero-day threats
anomalies
TCP reassembly & IP
Protocol
defragmentation
anomalies
Triển khai giải pháp
-
1 thiết bị IPS được đặt ở chế độ inline nằm giữa core switch và vùng Server
Farm để phát hiện và ngăn chặn các cuộc tấn công từ bất kỳ đâu (kể cả client)
vào Server Farm.
-
1 thiết bị IPS đặt giữa Firewall và vùng DMZ cho phép phát hiện, ngăn chặn
các cuộc tấn công từ internet vào DMZ.
-
1 thiết bị IPS đực đặt giữa tường lửa và hệ thống mạng bên trong để phát hiện
và ngăn chặn các cuộc tấn công từ bên ngoài vào.
-
Sourcefire Defense Center™: là trung tâm quản lý của Sourcefire 3D System.
Defense Center (DC) kết hợp nhiều chức năng bảo mật bao gồm quản lý sự
kiện, thiết lập tương quan và phân cấp độ ưu tiên trong đánh giá, phân tích các
xu hướng và quản lý các báo cáo. Tất cả các dữ liệu sự kiện sẽ được gửi từ
Sourcefire IPS Sensor về DC để phân tích và lưu trữ tập trung tại đây. DC
được thiết kế đặc biệt để có thể quản lý đến 100 IPS sensors và trên 100 triệu
events.
3.2.2. Bảo vệ hệ thống mạng LAN với McAfee Endpoint Protection Suite
Giới thiệu giải pháp
McAfee Endpoint Protection Suite (EPS) là bộ sản phẩm tích hợp nhiều công nghệ
bảo mật của McAfee , nhằm tạo ra nhiều lớp bảo vệ cho hệ thống máy trạm, máy
chủ, ngăn chặn những nguy cơ và rủi ro về thất thoát dữ liệu đối với máy chủ, máy
trạm trong hệ thống.
Với bộ giải pháp bảo mật McAfee EPS chúng ta sẽ có được những lợi ích sau:
-
McAfee EPS bao gồm tính năng Antivirus/Antispyware giúp cho các máy
trạm, máy chủ phòng chống hiệu quả trước các nguy cơ lây nhiễm
virus/Malware và các tấn công zero-day với công nghệ dựa trên mẫu, công
nghệ dựa trên phân tích hành vi và điện toán đám mây.
-
Tính năng tường lửa cá nhân kiểm soát toàn diện luồng dữ liệu vào ra máy
chủ/máy trạm, phát hiện và ngăn chặn các luồng dữ liệu bất hợp pháp vào ra hệ
thống.
-
Khả năng kiểm soát thiết bị ngoại vi giúp giảm thiểu tối đa các nguy cơ phát
tán virus/Malware qua USB, đồng thời đảm bảo tính tuân thủ của người dùng
- Xem thêm -