An ninh bảo mật

Bất kỳ một doanh nghiệp hoạt động trong lĩnh vực nào, khi đầu tư xây dựng một hệ thống CNTT hoàn chỉnh thì không thể thiếu các giải pháp về an ninh bảo mật cho hệ thống của mình. Nếu datacenter như trái tim của một hệ thống, thì các giải pháp về an ninh bảo mật là rào chắn bảo vệ trái tim ấy, bảo vệ các dữ liệu, thông tin và hệ thống của doanh nghiệp an toàn trước các truy cập trái phép từ bên ngoài lẫn bên trong doanh nghiệp.

Với sự hợp tác chặt chẽ và là đối tác chiến lược với các công ty bảo mật hàng đầu về lĩnh vực an ninh hệ thống nổi tiếng trên thế giới. Công ty chúng tôi luôn đảm bảo cung cấp cho khách hàng giải pháp về an ninh hệ thống theo 06 cấp độ “tổ chức, pháp luật, điều hành, thương mại, tài chính và về con người” đúng theo tiêu chuẩn của ISO 27001: 2005 trong đó có 10 thành phần là: “chính sách an ninh, tổ chức, phân loại và kiểm soát tài nguyên, an ninh nhân sự, an ninh môi trường và vật lý, quản lý tác nghiệp và truyền thông, kiểm soát truy cập, duy trì và cải tiến, quản lý liên tục, tính tuân thủ” có thể ảnh hưởng đến an ninh thông tin của doanh nghiệp nhằm đảm bảo 3 thuộc tính của nó: “Tính tin cậy (Confidentiality), tính toàn vẹn (Integrity) và tính sẵn sàng (Availability)”.

giai phap an ninh bao mat cho doanh nghiep 123456

Giải pháp tường lửa (Firewall)

Lớp Firewall bên ngoài

Đây là lớp firewall chủ lực chuyên dùng để chống lại các cuộc tấn công từ môi trường bên ngoài như hacker, virus, spam….bảo vệ hệ thống giảm thiểu tối đa các ảnh hưởng xấu từ bên ngoài. Khi được kết nối với môi trường bên ngoài. Trong thực tế: nguy cơ xâm nhập vào hệ thống nội bộ của doanh nghiệp từ các đối tượng ngoại vi (như hacker, virus…), thông tin cung cấp tới người dùng/khách hàng PHẢI được toàn vẹn và các người dùng được phép từ bên ngoài DỄ DÀNG  truy cập được.

fw

Lớp firewall trung gian

Lớp firewall này chủ yếu dựa trên các tính năng an ninh cơ bản của thiết bị mạng, hệ điều hành,… Ví dụ với thiết bị mạng cao cấp chúng ta có thể triển khai những tính năng an ninh mạng cơ bản như:

  • Access control list hạn chế truy cập của người dùng cuối qua những phần vùng, những ứng dụng không thuộc phạm vi truy xuất của mình.
  • Thiết lập các quyền truy cập thông qua username, password
  • Hạn chế kết nối vào hệ thống (kết nối vật lý) tại những vị trí không được phép thông qua tính năng port security, VLAN access control list của thiết bị mạng.
  • Phân vùng VLAN hạn chế các dữ liệu vô ích (Broadcast, ARP signal…) tràn ngập từ khu vực này qua khu vực khác, tận dụng tối đa băng thông cho thông tin có ích (traffic thực sự của người dùng) của hệ thống. Ngăn chặn khuyếch tán Virus hay ảnh hưởng liên đới do trường hợp không ổn định của hệ thống phần cứng từ vùng này qua vùng khác.
  • v.v…
exterfw

Firewall bảo vệ hệ thống máy chủ (serverfarm) – internal firewall

Phân hệ tường lửa nội bộ (internal firewall) đóng vai trò hết sức quan trọng là chốt chặn bảo mật cuối cùng bảo vệ toàn bộ hệ thống dữ liệu của doanh nghiệp. Phân hệ này đồng thời là cửa ngõ kiểm soát trước khi đi vào khu vực nhạy cảm nhất trong hệ thống, là khu vực các máy chủ trung tâm. Điểm đặc biệt tại đây là ngoài việc ngăn chặn các tấn công từ môi trường bên ngoài xâm nhập vào hệ thống, các thiết bị tường lửa còn phải phân tích các truy cập từ cả trong mạng LAN, lọc và ngăn chặn được những tấn công xuất phát từ trong nội bộ. Hơn nữa do tầm quan trọng như vậy, các thiết bị tường lửa tại phân hệ này phải là loại có công suất xử lý (throughput) cao và đặc biệt là có khả năng hoạt động như là thiết bị ngăn chặn xâm nhập IPS (Intrusion Prevention System).

Trung tâm dữ liệu là nơi chứa đựng tất cả tài sản vô giá của doanh nghiệp về mặt tài chính, thông tin khách hàng… chính vì vậy tại khu vực có tầm quan trọng sống còn này của hệ thống chúng ta cần có giải pháp bảo vệ an toàn cao nhất trong khả năng có thể của công nghệ. (xem sơ đồ minh hoạ).

interfw

Giải pháp phát hiện và ngăn chặn xâm nhập mạng IDS/IPS

Hệ thống phát hiện xâm nhập (Intrusion Detect System – IDS).

Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn. IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng. Tuy nhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công.

Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS).

Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.

IPS ngăn chặn các cuộc tấn công dưới những dạng sau:

  • Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy nhập.
  • Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng các thuật toán dựa trên cơ sở “ngưỡng”.
  • Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức ứng dụng và chữ kí.
  • Những tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên dựa trên cơ sở ngưỡng.

Module phân tích gói:

Nhiệm vụ phân tích cấu trúc thông tin trong các gói tin. Card giao tiếp mạng (NIC) của máy giám sát được đặt ở chế độ không phân loại, các gói tin qua chúng đều được sao chép và chuyển lên lớp trên.

Module phát hiện tấn công:
Module quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn công. Có 2 phương pháp phát hiện các cuộc tấn công xâm nhập:

  • Dò tìm sự lạm dụng (Missuse Detection): Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn công, tức là các sự kiện giống các mẫu tấn công đã biết.

Ưu điểm: phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình.

Nhược điểm: Không phát hiện được các tấn công không có trong mẫu, các tấn công mới. Do đó hệ thống phải luôn cập nhật các mẫu tấn công mới.

Module phản ứng:

Khi có dấu hiệu của sự tấn công hoặc xâm nhập thì module phát hiện tấn công sẽ gửi tín hiệu thông báo đến module phản ứng. Khi đó, module phản ứng sẽ kích hoạt Firewall thực hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các cảnh báo tới người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.

Một số kĩ thuật ngăn chặn:

  • Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại và cuộc tấn công bị ngừng lại.

Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime Alerting), Tạo ra bản ghi log (Log packet).

Ba module trên hoạt động tuần tự tạo nên IPS hoàn chỉnh. IPS được xem là thành công nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, ngăn chặn thành công và có chính sách quản lí mềm.

Những hạn chế của IDS /IPS.
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó không chỉ có khả năng phát hiện ra các cuộc tấn công, mà còn chống lại các cuộc tấn công này một cách hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:

Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận biết được các dòng thông tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.

Giải pháp mạng riêng ảo (VPN)

Giới thiệu VPN

Mạng VPN an toàn bảo vệ sự lưu thông trên mạng và cung cấp sự riêng tư, sự chứng thực và toàn vẹn dữ liệu thông qua các giải thuật mã hoá.

Site to site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau.

Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng kết nối Remote-Access VPN áp dụng cho các cơ quan mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.

Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.

Các giai đoạn của kết nối VPN

Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel.

Mã hoá kênh thông tin VPN

Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật.

SSL (Secure Socket Layer),– IPSec (IP Security Tunnel Mode, PPTP (Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).

Bảo đảm an toàn thông tin

Xác thực, xác nhận và quản lý tài khoản (AAA – Authentication, Authorization, Accounting): AAA được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN.

Mã hoá dữ liệu (Enencryption): Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được.

graphics5

Hệ thống mã hoá máy tính

  • Mã hoá sử dụng khoá riêng (Symmetric-key encryption): Nhược điểm chính của phương pháp này là khóa được truyền trên môi trường mạng nên tính bảo mật không cao. Ưu điểm là tốc độ mã hóa và giải mã rất nhanh.
  • Mã hoá sử dụng khoá công khai(Public-key encryption): Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã.

Các tiêu chuẩn mã hóa dữ liệu: Đưa ra bởi NIST (National Institute of Standard and Technology, US). DES là một thuật toán khối với kích thước khối 64 bit và kích thước chìa 56 bit.

Giải pháp chống thất thoát dữ liệu - McAfee

1.1. Tổng quan
Các doanh nghiệp đang phải đối mặt với nhiều hậu quả nghiêm trọng do hành vi người dùng đầu cuối gây ra, trong đó việc đối mặt với nguy cơ gởi dữ liệu nhạy là cao nhất. McAfee Host Data Loss Prevention giám sát và ngăn chặn các hành vi người dùng gây ra có thể dẫn đến việc thất thoát các dữ liệu nhạy cảm. Việc bảo vệ này được thực hiện trên hệ thống mạng, thông qua các ứng dụng và các thiết bị lưu trữ di động. Nhà quản trị có khả năng kiểm soát toàn bộ người dùng cho dù họ đang ở nhà, cơ quan hoặc đang đi công tác. Ngăn chặn việc phơi bày và đánh cắp dữ liệu nhạy cảm đối với các nhân viên, cũng như các tin tặc nhằm bảo vệ công việc kinh doanh, tránh thiệt hại tài chính, thương hiệu.

1.2. Lợi ích của McAfee Host Data Loss Prevention:

  • Hạn chế việc truyền dữ liệu qua bất cứ kênh nào: Theo dõi và kiểm soát việc sao chép dữ liệu nhạy cảm tới các thiết bị lưu trữ di động, qua thư điện tử cũng như các chương trình nhắn tin như Yahoo Messenger, Hotmail… cũng như thông qua các kênh giao tiếp khác
  • Bảo vệ toàn diện cơ sở hạ tầng của tổ chức: bảo vệ an toàn dữ liệu trong toàn tổ chức, tại các thiết bị đầu cuối, trên các máy chủ, tại cổng truy cập internet và trong hệ thống mạng bất chấp hệ điều hành hoặc các loại thiết bị khác nhau.
  • Tự động bảo vệ: Bảo vệ môi trường tổ chức của doanh nghiệp chống lại sự xâm phạm dữ liệu do vô tình hoặc có chủ đích của người dùng thông qua việc tự động phát hiện và thực thi các chính sách an toàn thông tin trong doanh nghiệp
  • Quản trị tập trung với ePolicy Orchestrator (ePO): Sắp xếp quản lý rủi ro toàn bộ danh mục đầu tư của tổ chức với McAfee Host Loss Prevention thông qua trình quản trị tập trung McAfee ePolicy orchestrator
  • Kiểm soát việc truyền dữ liệu: Kiểm soát nhân viên truyền dữ liệu qua mạng, được sử dụng trong các ứng dụng và sao chép vào các thiết bị lưu trữ di động; bảo vệ dữ liệu trong bất cứ định dạng nào ngay cả khi đã bị chỉnh sữa, sao chép, dán, nén, in hoặc đã được mã hóa.
  • Quản lý thiết bị một cách toàn diện: Với việc tích hợp McAfee Device Control cung cấp khả năng hạn chế dữ liệu được ghi vào các ổ đĩa USB, iPods và các thiết bị lưu trữ di động khác; chỉ định thiết bị nào đã được kiểm định được phép hoặc không được sử dụng dựa theo bất cứ thông số thiết bị trên chuẩn Windows.
  • Bảo vệ đa tầng: Sử dụng Host DLP để ngăn chặn thất thoát dữ liệu từ các thiết bị đầu cuối bằng cách giám sát và hạn chế hành vi rủi ro của người dùng đối với các dữ liệu nhạy cảm; khi được kết hợp với McAfee Endpoint Encryption dữ liệu sẽ được mã hóa.Do đó doanh nghiệp sẽ có thêm được 1 lớp bảo vệ hoàn hảo trong việc hạn chế thất thoát dữ liệu.
  • Nâng cao cơ chế phát hiện và thực thi: Tự động thu thập các dữ liệu nhạy cảm trên ổ cứng sau đó giám sát, lưu trữ các chứng cứ, mã hóa, cách ly hoặc xóa các dữ liệu như cấu hình. Mã hóa theo nhu cầu khi dữ liệu được sao chép tới các thiết bị lưu trữ di động hoặc ổ đĩa mạng và khóa việc gởi tập tin thông qua email hoặc tải lên Web trừ khi đã được mã hóa.
  • Quản trị tập trung: Xác định và quản lý các chính sách bảo vệ dữ liệu, triển khai và cập nhật thường xuyên McAfee Agent, giám sát các sự kiện theo thời gian thực và đưa ra các báo cáo dựa theo yêu cầu của tổ chức. Tất cả các việc này được quản lý tại trình quản trị tập trung ePolicy Orchestrator. Thu thập nhanh chóng tất cả thông tin bạn cần để hổ trợ việc kiểm tra và phân tích gồm người gởi, người nhận, thời gian đặc trưng, bằng chứng dữ liệu và nhiều hơn nữa.

1.3. Tính Năng:

  • Phân loại và xác định các loại dữ liệu nhạy cảm: xác định những dữ liệu nhạy cảm qua Tagging rule, Classify rule dựa vào các thành phần sau:
    • Application: Dựa vào các ứng dụng, loại file để xác định dữ liệu nhạy cảm
    • Location: Dự vào vị trí tài nguyên để xác định dữ liệu nhạy cảm. Ví dụ: Admin có thể tổ chức lại hệ thống chia sẽ file để tất cả các dữ liệu quan trọng đều được đánh dấu và giám sát nhằm thực hiện các chính sách bảo mật và chống thất thoát dữ liệu được dễ dàng, chính xác
    • Content: Dựa vào nội dung trong các file dữ liệu (text pattern, key word, dictionary,..) để xác định dữ liệu nhạy cảm.
  • Chính sách chống thất thoát dữ liệu tiêu biểu: các chính sách này đưa ra những hành động ngăn chặn, cảnh báo (tùy theo thiết lập của admin) khi phát hiện có sự tác động, lưu chuyễn các dữ liệu nhạy cảm đã được đánh dấu. Các chính sách sẽ được áp đặt theo user/group:
    • Application File Access Protection rule: theo dỏi các loại file ứng dụng được đánh dấu nhạy cảm
    • Clipboard Protection rule: chính sách chống copy/past nội dung nhạy cảm
    • ScreenCapture Protection rule: chính sách chống chụp màn hình (screenprint) có chứa nội dung nhạy cảm
    • Printing Protection rule : chính sách cấm in các dữ liệu (hard copy) có chứa nội dung nhạy cảm
    • PDF/Image Write Protection rule: chính sách cấm in thành file pdf/image những dữ liệu có chứa nội dung nhạy cảm
    • File System Protection rule: chính sách bảo vệ, giám sát hệ thống file trên file server hoặc thiết bị lưu trữ di động
    • Removable Storage Protection rule: chính sách kiểm soát việc lưu chuyển những dữ liệu có nội dung nhạy cảm đến thiết bị lưu trữ ngoại vi
    • Network Communication Protection rule: chính sách chống thất thoát dữ liệu nhạy cảm qua các giao thức mạng (protocol/port), IM, upload,..
    • Email Protection rule: chính sách chống thất thoát dữ liệu qua kênh gửi email ra bên ngoài
    • Web Post Protection rule: chính sách chống thất thoát dử liệu qua web mail :gmail, Microsoft outlook web acess, hotmail, yahoo mail,…
  • Các hành động Reaction Rule cho các chính sách chống thất thoát dữ liệu: tùy theo cách thiết lập của người quản trị, McAfee Host Data Loss Prevent cung cấp các hành động tiêu biểu sau:
    • Block :Ngăn chặn hành động của users
    • Monitor : ghi log hành động của users
    • Notify user : thể hiện thông báo (pop up message) tại máy tính users
    • Encrypt : thực hiện việc mã hóa các dữ liệu nhạy cảm
    • Store Evidence: Lưu lại bằng chứng cho các hành động của user trong việc lưu chuyển các file nhạy cảm.ví dụ: lưu lại bảng copy file nhạy cảm,nội dung email ,screencapture,..
  • Theo dõi và báo cáo: McAfee Host Data Loss Prevention cung cấp khả năng theo dỏi các quá trình lưu chuyển dữ liệu nhạy cảm của tất cả các user một cách trực quan, chi tiết từ đó dể dàng cho việc tạo các báo cáo hay phân loại các luồng dữ liệu của users. Các báo cáo có thể được xuất ra dưới dang pdf hoặc xls,..

2. Giải Pháp quản lý quyền truy cập thiết bị (McAfee Device Control):
Trong một cuộc khảo sát thăm dò ý kiến của các công ty do McAfee tổ chức, hơn 50% số nhân viên đã thừa nhận có sử dụng các thiết bị lưu trữ di động để có được những thông tin kinh doanh của tổ chức để mang ra ngoài hoặc mang về làm việc tại nhà, trong đó một số dữ liệu là vô cùng nhảy cảm việc mang ra khỏi tổ chức doanh nghiệp là một mối lo của tổ chức. McAfee Device Control giúp doanh nghiệp có thể giám sát và hạn chế được các hành vi sao chép trên các thiết bị di động nhằm mục đích phòng chống thất thoát các thông tin nhạy cảm của tổ chức.

2.1. Lợi ích của McAfee Device Control:

  • Bảo vệ tổ chức khỏi nguy cơ thất thoát dữ liệu: Bảo vệ uy tín của tổ chức, thương hiệu, lòng tin từ khách hàng, những bất lợi từ cạnh tranh, thiệt hại về tài chính và hơn thế nữa qua việc kiểm soát sao chép dữ liệu qua các thiết bị ngoại vi
  • Tăng cường khả năng hiển thị và kiểm soát dữ liệu: Theo dõi và đưa ra những chính sách điều chỉnh cách thức các nhân viên sử dụng cũng như chuyển đổi dữ liệu qua các thiết bị tới thiết bị gắn ngoài như usb, mp3 player, cd, dvd, thiết bị không dây sử dụng blue-tooth, thậm chí kiểm soát được hành vi ngay cả khi nhân viên không có kết nối mạng đến tổ chức.
  • Duy trì năng suất hoạt động: Khả năng chỉ định chi tiết về phần cứng thông qua bộ lọc, theo dõi và ngăn chặn các dữ liệu mật trên bất kỳ thiết bị lưu trữ di động, đảm bảo các nhân viên chỉ được hoạt động an toàn với những phần cứng được chỉ định như một phần công việc hàng ngày của họ.
  • Quản lý tập trung: Quản lý tập trung với sản phẩm McAfee ePolicy Orchestrator (thành phần quản lý, tích hợp tập trung các sản phẩm của McAfee).
  • Kiểm soát tuân thủ với thao tác đơn giản: Màn hình quản trị theo dõi thời gian thực, và cho phép tạo ra các báo cáo để chứng minh việc tuân thủ các yêu cầu bảo mật nội bộ, kiểm toán quy định về nhân viên cũng như các ban liên quan khác.

2.2. Tính năng:

  • Kiểm soát một cách toàn diện về dữ liệu và thiết bị ngoại vi: Kiểm soát cách thức người dùng khi sao chép dữ liệu vào USB, máy nghe nhạc MP3 (Ipod), đĩa CD, DVD, các thiết bị sử dụng blue-tooth, hồng ngoại, thiết bị chụp hình, cổng COM, LPT, và hơn thế nữa, ngăn chặn bất cứ mọi cố gắng sao chép dữ liệu vi phạm với chính sách của tổ chức, bảo vệ định dạng dữ liệu ngay cả khi bị sửa đổi. Xác định chính xác những thiết bị có thể và không thể sử dụng bởi tất cả các thông số của windows, ID sản phẩm, nhà cung cấp, tên thiết bị, lớp thiết bị, chỉ định các thiết bị có thể sử dụng , những nội dung có thể và không thể sao chép và sử dụng.
  • Quản trị tập trung: Khả năng quản lý, triển khai tập trung theo tổ chức, nhóm, thiết lập chính sách cho từng nhóm đối tượng, phòng ban, cũng như đến từng người dùng cuối.
  • Báo cáo và kiểm toán: Khả năng ghi lại log một cách chi tiết phục vụ cho việm thanh tra và làm bằng chứng kiểm tra.

3. Giải pháp mã hóa dữ liệu (McAfee Endpoint Encryption):
Cùng với việc xâm phạm dữ liệu ngày một tăng,việc bảo mật thông tin, bảo vệ dữ liệu là điều rất quan trọng và cần thiết đối với các doanh nghiệp, tổ chức. Sản phẩm McAfee Endpoint Encrytion cung cấp kỹ thuật mã hóa mạnh mẽ và các tính năng điều khiển truy cập hiệu quả giúp ngăn chặn những truy cập trái phép vào những vùng dữ liệu nhạy cảm và vấn đề rò rỉ thông tin.

3.1. Lợi ích của McAfee Endpoint Encryption:

  • Bảo vệ dữ liệu trên tất cả các thiết bị: Cung cấp sự bảo vệ nhất quán cho dữ liệu trên máy tính để bàn, máy tính xách tay, thiết bị di động, những thiết bị phần cứng có thể tháo rời và thiết bị lưu trữ di động ; bảo mật thông tin bao gồm dữ liệu, tài sản trí tuệ, hồ sơ pháp lý và tài chính, hồ sơ mật,..
  • Duy trì hiệu quả công việc: Với việc mã hóa và giải mã hầu như không làm gián đoạn đến hoạt động công việc của người sử dụng cũng như hiệu năng của hệ thống; cho phép người dùng truy cập, lưu trữ, chia sẻ và chuyển giao dữ liệu một cách an toàn.
  • Đơn giản hóa cho việc quản trị: Dễ dàng triển khai và thực thi chính sách bảo mậtt, mã hóa dữ liệu và xác thực người dùng trên toàn hệ thống một cách tập trung– tất cả từ trình điều khiển trung tâm; hỗ trợ việc tuân thủ quy định bảo mật ngoài và trong.
  • Giảm thiểu chi phí: tích hợp giải pháp đầu-cuối với những nhà cung cấp dịch vụ; tận dụng hệ thống và những sản phẩm bảo mật hiện có.
  • Tích hợp với hệ thống hiện có: Tích hợp với những sản phẩm bảo mật của McAfee và đồng bộ hóa với Active Directory, LDAP, PKI v.v…; hỗ trợ tất cả những hệ điều hành Windows.

3.2. Tính năng:

  • McAfee Endpoint Encryption for PC: Giúp ngăn chặn việc thất thoát những dữ liệu nhạy cảm trên máy tính xách tay và những thiết bị di động, đặc biệt là trong trường hợp bị mất hoặc bị trộm cắp; thi hành kiểm soát truy cập mạnh mẽ với nhiều yếu tố xác thực.
  • McAfee Endpoint Encryption for File/Folder: Tự động mã hóa các File và thư mục khi được chia sẻ hay di chuyển trong hệ thống; hỗ trợ không giới hạn người dùng.
  • McAfee Endpoint Encryption for Removable Media (Extension to File/Folder): Bảo vệ thông tin được lưu trên các thiết bị di động và những phương tiện truyền thông có thể kết nối với các thiết bị đầu-cuối của doanh nghiệp; đọc, chinh sửa và lưu những dữ liệu được mã hóa mà không cần cài đặt thêm bất kỳ phần mềm nào khác.
  • McAfee Endcrypted USB: Mở rộng phạm vi mã hóa cho các thiết bị USB; dễ dàng giám sát mã hóa thiết bị trên toàn doanh nghiệp. Sự bảo vệ sẽ chắc chắn hơn với giải pháp McAfee Anti-Virus.

4. Công cụ quản lý tập trung McAfee Epolicy Orchestrator (ePO)
McAfee Epolicy Orchestrator (ePO) là công cụ quản trị tập trung tất cả các giải pháp McAfee, cho phép quản trị tập trung tất cả các thiết bị, sản phẩm của McAfee chỉ trên cùng một giao diện duy nhất. Nhà quản trị có thể triển khai, thiết lập chính sách bảo mật, theo dõi và báo cáo cho toàn bộ hệ thống bảo mật của McAfee như Virus, Spyware, Spam, Device control, SiteAdvisor, giải pháp Endpoint, Data, Network, Compliance,…nếu kết hợp thêm các giải pháp khác của McAfee, điều này giúp giảm chi phí và nhân lực vận hành hệ thống.

Các tính năng ePO :

  • Tích hợp với Microsoft Active Directory (AD): ánh xạ dữ liệu từ AD vào ePO, giúp nhà quản trị dễ dàng và nhanh chóng quản lý, triển khai McAfee trong hệ thống mạng. Cách thức tổ chức quản lý người dùng, máy tính … trong ePO giống như Microsoft AD.
  • Mô hình quản trị mở rộng có thể tích hợp với các giải pháp quản lý hệ thống của hãng khác như HP OpenView và BMC Remedy
  • Rogue system dectection: tự động phát hiện và cài đặt phần mềm virus đối với máy tính mới trong mạng theo chính sách được thiết lập ban đầu.
  • Giao diện quản lý tập trung giúp nhà quản trị nhanh chóng xác định và hiểu được mối liên hệ giữa các sự kiện an toàn bảo mật trong hệ thống mạng.
  • Hỗ trợ giao diện Web tạo ra sự mềm dẻo cho việc quản trị trong môi trường rộng lớn.
  • Phân quyền giám sát và điều khiển cho người dùng theo sản phẩm, khu vực, chức năng.
  • Tự động lập báo cáo, hỗ trợ tùy biến cấu hình giao diện quản trị đưa ra cách hiển thị thông tin nhanh chóng về an ninh mạng theo nhu cầu.
  • Hỗ trợ mô hình quản trị đa cấp giúp giảm thiểu băng thông cho mạng trong quá trình điều khiển và cập nhật.

Giải pháp xác thực người dùng 2 yế tố RSA SecurID

Với việc sử dụng giải pháp xác thực truyền thống là không an toàn, người ta cần những giải pháp xác thực tốt hơn trong môi trường kinh doanh hiện nay. Một giải pháp xác thực chỉ được gọi là tốt khi mà nó đáp ứng được những yêu cầu chủ yếu sau:

  • Chi phí thấp.
  • Dễ dàng, thuận tiện cho người sử dụng và sử dụng được trong nhiều hệ thống.
  • Khả năng mở rộng và tương thích với các hệ thống khác tốt.

Để đáp ứng được những yêu cầu mới về an ninh mạng hiện nay, RSA đã đưa ra một giải pháp xác thực người dùng được gọi là giải pháp xác thực dựa trên hai yếu tố SecurID.
Giải pháp xác thực hai yếu tố SecurID của RSA  hoạt động theo nguyên tắc: để đăng nhập vào hệ thống, người dùng phải có đủ hai yếu tố: cái mà họ biết và cái mà họ có. Tương tự nguyên tắc khi ta rút tiền ở máy ATM, ta cần có thẻ ATM (cái mà ta có) và mã PIN (cái mà chỉ ta biết). Thiếu một trong hai yếu tố này (ATM hoặc PIN) thì ta không thể rút tiền được.
Giải pháp RSA SecurID® gồm có ba thành phần:

1. RSA SecurID® Authenticators:
Là thiết bị được gắn với người sử dụng. Chúng có thể là phần cứng hoặc phần mềm và được gọi là các Token. Khách hàng có thể lựa chọn thiết bị phù hợp với nhu cầu của mình.
Nếu là thiết bị phần cứng, giải pháp của RSA cho phép người sử dụng dùng ở mọi lúc, mọi nơi, trên mọi máy tính mà không cần phải cài đặt thêm bất cứ một phần mềm nào (giải pháp zero footprint).
Nếu là phần mềm, chúng có thể được cài đặt lên máy tính xách tay, tích hợp với trình duyệt hoặc các thiết bị cầm thay khác như PDA, Wireless Phone,…. Các thiết bị này tạo ra các con số khác nhau trong một khoảng thời gian nhất định.

Đối với những nhà cung cấp dịch vụ cho khách hàng của mình, như các giao dịch trực tuyến qua Internet, RSA còn cung cấp tính năng cấp mã xác thực theo yêu cầu. Giải pháp này cho phép mã xác thực gửi trực tiếp đến máy di động hay địa chỉ e-mail của người dùng trong quá trình giao dịch trực tuyến.

Đối với những nhà cung cấp dịch vụ cho khách hàng của mình, như các giao dịch trực tuyến qua Internet, RSA còn cung cấp tính năng cấp mã xác thực theo yêu cầu. Giải pháp này cho phép mã xác thực gửi trực tiếp đến máy di động hay địa chỉ e-mail của người dùng trong quá trình giao dịch trực tuyến.

xacthuc2yeutomohinhxacthuc2yeutoSecurID_RSA

Mô hình xác thực 2 yếu tố

2. RSA Authentication Agent:
Là phần mềm được cài lên trên các điểm truy cập vào mạng (Ví dụ: gateway, VPN, Remote Access Server,…), các máy chủ (server) và các tài nguyên thông tin cần được bảo vệ của doanh nghiệp. Nó hoạt động giống như là một người gác cửa. Khi có yêu cầu đăng nhập của người sử dụng gửi đến, nó sẽ tiếp nhận và chuyển những thông tin đăng nhập tới máy chủ có thành phần RSA Authentication Manager để thực hiện xác thực. Hầu hết các sản phẩm router, remote access server, firewall, VPN, wireless access,… của các hãng sản xuất hàng đầu trên thế giới đều đã tích hợp sẵn thành phần này trong các sản phẩm của mình. Vì thế việc triển khai giải pháp của RSA rất đơn giản và dễ dàng. Đây là một lợi ích vô cùng quan trọng của giải pháp RSA SecurID.

SoftwareTowern

Software Token

3. RSA Authentication Manager:
Là thành phần quản trị của giải pháp RSA SecurID được sử dụng để kiểm tra các yêu cầu xác thực và quản trị tập trung chính sách xác thực của trên toàn mạng doanh nghiệp. RSA Authentication Manager có thể được mở rộng theo bất cứ nhu cầu nào của doanh nghiệp. RSA Authentication Manager có khả năng xác thực được hàng triệu người sử dụng, xác thực người dùng trong mạng cục bộ, người dùng truy cập từ xa, người dùng qua VPN,…RSA Authentication Manager tương thích hoàn toàn với các thiết bị mạng, RAS, VPN, Access Point,… của tất cả các hãng sản xuất lớn trên thế giới. Do vậy, với giải pháp SecurID của RSA, người dùng hoàn toàn không phải lo lắng tới vấn đề tương thích.
RSA Authentication Manager còn cho khả năng tích hợp chặt chẽ với các hệ thống dịch vụ tiêu chuẩn như RADIUS, LDAP, … Việc quản trị thành phần RSA Authentication Manager rất dễ dàng thông qua giao diện Web với việc phân cấp quyền hạn cho nhiều mức quản trị viên khác nhau.
Một tính năng nổi bật khác của RSA mà chưa có hãng cung cấp nào có được là khả năng tạo nhiều vùng làm việc độc lập (realm) và khả năng cho phép tới 15 server RSA Authentication Manager hoạt động trên 1 hệ thống. Do đó tính sẵn sàng của hệ thống cũng như khả năng chia sẻ tải được nâng cao rất nhiều.
RSA Authentication Manager còn cung cấp work-flow cho phép người sử dụng tự đăng ký yêu cầu hay tự giải quyết các vấn đề liên quan đến việc sử dụng token, đến việc thất lạc, để quên token để lấy mật khẩu truy cập tức thời. Giúp giảm thiểu rất nhiều công việc của quản trị viên.

Giải pháp xác thực RSA SecurID hoạt động như thế nào?

Như đã đề cập ở trên, SecurID bao gồm ba thành phần. Thành phần RSA SecurID Authenticators hay còn được gọi là Token sẽ được trao cho người sử dụng. Thành phần này có nhiều loại khác nhau (là hardware token hoặc software token) nhưng đều có một chức năng là tạo ra những con số khác nhau sau một khoảng thời gian nhất định (Thông thường là một phút).
Giả sử một người sử dụng trong hệ thống được cấp phát một Token, khi đăng nhập vào hệ thống, người sử dụng này sẽ được yêu cầu nhập tên đăng nhập (VD: JSMITH) và một dẫy số được gọi là Passcode. Dẫy số này gồm có hai thành phần là số PIN và dẫy số xuất hiện trên token (Token code) của người đó vào thời điểm đăng nhập. Tất cả các thông tin (Tên đăng nhập và Passcode) này được thành phần RSA Authentication Agent tiếp nhận và thành phần này sẽ lại gửi những thông tin này đến RSA Authentication Manager. Server này sẽ có số PIN của người sử dụng trong cơ sở dữ liệu của nó. Ngoài ra, nó cũng có một cơ chế cho phép nó tính toán ra một dẫy số của nó. Authentication Manager sẽ ghép số PIN trong cơ sở dữ liệu và dẫy số của nó với nhau sau đó so sánh với Passcode của người sử dụng cung cấp. Nếu hai dẫy số này giống nhau, người dùng được xác thực là hợp lệ và được quyền đăng nhập vào mạng. Trong trường hợp ngược lại, quyền truy cập sẽ bị từ chối. Hoặc được chấp nhận truy cập hoặc không, những thông tin này sẽ được RSA Authentication Manager gửi đến người sử dụng thông qua thành phần RSA Authentication Agent.
.Như được mô tả ở trên, token của người sử dụng có rất nhiều loại khác nhau. Căn cứ vào nhu cầu thực tế, một tổ chức khi triển khai giải pháp xác thực RSA SecurID có thể lựa chon thiết bị phù hợp nhất với yêu cầu của mình. Thành phần RSA Authentication Agent có thể được cài lên rất nhiều điểm khác nhau trong hệ thống. Nó có thể được cài lên các điểm truy cập vào mạng như gateway, RAS, VPN,… cũng như cài lên các server Windows, Novell,…và được tích hợp sẵn trong tất cả các sản phẩm của các hãng sản xuất lớn như Microsoft, Nokia, CheckPoint, Cisco, Nortel…

nguyenlyhoatdongcuahethong

Ưu điểm của RSA SecurID

  • Độ an toàn cao: được xác thực dựa trên hai yếu tố (PIN + Token code) và luôn thay đổi, khi một ai đó có chặn bắt được passcode của người sử dụng thì cũng thể sử dụng nó để đăng nhập vào hệ thống. Do vậy, nó khắc phục được một nhược điểm rất lớn của xác thực bằng password là chỉ cần chặn bắt được password là có thể sử dụng để đăng nhập.
  • Quản lý password: đây là một nhược điểm cố hữu của password. Nhưng đối với SercurID, do được xác thực tập trung trên RSA Authentication Manager và Authentication Agent có thể được cài đặt tại rất nhiều điểm, chí cần sử dụng một token là người sử dụng có thể xác thực được tại bất cứ đâu trong mạng, tránh được việc phải sử dụng nhiều password.
  • Thuận tiện: với nhiều lựa chọn cho thành phần RSA SecurID Authenticators, người sử dụng có thể lựa chọn được thành phần thích hợp nhất cho mình.
  • Khả năng mở rộng: với việc được cài đặt RSA Authentication Manager lên nhiều máy chủ, một tổ chức có nhiều chi nhánh có thể cung cấp khả năng xác thực thông qua một máy chủ bản sao được đặt ngay tại chi nhánh thay vì phải sử dụng những kết nối đắt tiền về trung tâm để xác thực.
  • Hoạt động liên tục: khi một máy chủ chính không thể hoạt động được, một máy chủ bản sao sẽ được nâng cấp lên thành máy chủ chính. Điều này đảm bảo hệ thống hoạt động được liên tục và ổn định.
  • Chi phí thấp: với việc không phải sử dụng và quản lý quá nhiều password, người sử dụng sẽ không phải yêu cầu hỗ trợ từ bộ phận kỹ thuật, do vậy, chi phí cho hỗ trợ kỹ thuật giảm và năng suất lao động tăng lên.

Với các ưu điểm trên, chúng ta thấy rằng giải pháp xác thực người sử dụng RSA SecurID thực sự là một giải pháp rất tối ưu. Trong một hệ thống, với những cá nhân có quyền truy cập vào các thông tin quan trọng và nhậy cảm như lãnh đạo tổ chức, phòng kế toán, các quản trị hệ thống,… thì sử dụng giải pháp xác thực này sẽ giảm thiểu đến mức thấp nhất các nguy cơ như bị đánh cắp thông tin hay phá hoại xuống đến mức thấp nhất.

Giải pháp hỗ trợ quan trọng khác

Phần mềm phòng chống Virus cho máy trạm (end-user)

Đây là thành phần không thể thiếu cho một hệ thống có khả năng phòng chống thâm nhập cao, nhằm chống lại các lây nhiễm từ môi trường bên trong do người dùng gây ra. Hệ thống an ninh phòng chóng virus là rất quan trọng nhắm nhánh các ảnh hưởng tấn công từ môi trường bên trọng hệ thống.

Giải pháp ngăn chặn mất mát dữ liệu (data lost prevention)

Với kinh nghiệm trong việc thiết kế các giải pháp về an ninh hệ thống chuyên nghiệp, chúng tôi đảm bảo cung cấp cho khách hàng các giải pháp chống thất thoát thông tin như: chống sao chép thông tin ra khỏi hệ thống, chống gởi mail kèm tập tin nhạy cảm đã được định trước …nhằm hỗ trợ doanh nghiệp, nhất là các doanh nghiệp sản xuất, ngân hàng…. giảm thiểu tối đa khả năng bị đánh cắp thông tin quan trọng hoặc “lộ” thông tin với các đối thủ cạnh tranh.

Giải pháp an ninh vật lý cho các phòng máy chủ

Ngoài các giải pháp trên, công ty chúng tôi còn cung cấp các giải pháp cho việc giám sát an ninh vật lý cho phòng máy chủ như: hệ thống kiểm soát vào ra, hệ thống camera theo dõi…chuyên dụng riêng cho phòng máy chủ. Sẽ có thông báo tín hiệu ngoài ra còn gửi sms và email cho quản trị hệ thống khi phát hiện tình trạng bất thường sảy ra.

Hệ thống giám sát và quản trị hệ thống an ninh thông tin

Bất kỳ hệ thống an ninh mạng nào dù có hiện đại đến đâu cũng sẽ không phát huy hết tác dụng nếu không có hệ thống giám sát giúp người quản trị phát hiện và ngăn chăn các thâm nhập trái phép kịp thời và đưa ra những giải pháp hỗ trợ tiếp theo. Chính vì vậy, chúng tôi luôn luôn tư vấn khách hàng trang bị hệ thống này tuỳ theo mức độ sao cho phù hợp với doanh nghiệp nhất trong phạm vi kinh phí cho phép.

Xây dựng chính sách an ninh cho doanh nghiệp

Đây là một trong những thành phần rất quan trọng có tầm ảnh hưởng rất lớn đến hệ thống an ninh. Vì vậy, công ty chúng tôi luôn có những chuyên gia được đào tạo bài bản chuyên nghiệp nhất để có thể cùng với các doanh nghiệp xây dựng các chính sách an ninh đặc thù và phù hợp cho từng doanh nghiệp/tổ chức cụ thể.

Cam kết giải pháp

Với kinh nghiệm nhiều năm trong lĩnh vực an ninh mạng, công ty chúng tôi cam kết cung cấp đầy đủ các giải pháp bảo mật toàn diện để giảm thiểu các rủi ro có thể xảy ra cho hệ thống mạng máy tính của doanh nghiệp. Giải pháp được xây dựng với thiết bị của các hãng bảo mật hàng đầu thế giới như: McAfee, Fortinet, Watchguard, Astaro … từ cơ bản đến tích hợp rất nhiều cấp độ bảo mật – bao gồm hệ thống mã hóa của McAfee, tường lửa, diệt virus, ngăn chặn xâm nhập, VPN, lọc nội dung web, ngăn chặn spyware và chống spam – được thiết kế để giúp khách hàng bảo vệ chống lại các nguy cơ tiềm ẩn ở cấp độ nội dung trên toàn bộ hệ thống của doanh nghiệp qui mô nhỏ cho đến lớn.