Đôi điều về bảo mật hệ thống mạng trong công ty!
Bảo mật hệ thống mạng thực sự là 1 vấn đề rất khó. Nó liên quan đến nhiều thứ nhưng tùy vào mỗi hệ thống và mục đích thì sẽ có các giải pháp khác nhau có lẽ đó là lý do mà micrsoft chia các phiên bản windows với những cái tên như home, professional, ultimate, server, advanced server, enterprise... Tui thì chỉ viết những gì mình suy nghĩ và hy vọng sau này mình sẽ có những giải pháp đúng đắn hơn.
Rút kinh nghiệm sau 1 khoảng thời gian đi làm tui đưa ra 1 số ý kiến cho giải pháp 1 công ty sản xuất.
Việc lập ra 1 chính sách bảo mật là cực kỳ quan trọng. Mọi người đều phải tuân thủ thì lúc đó sẽ dễ dàng hơn và hạn chế dc những lỗi mà mình hok mong mún.
Giống như luật pháp của một quốc gia tất cả những gì mà trong luật hok cho phép thì hok dc làm.
Nhưng nguồn có thể mang lại sự nguy hiểm cho hệ thống mạng là cổng usb, internet, cd driver... nói chung là kết nối chia sẻ với bên ngoài.
Users ko dc phép tùy tiện gắn các usb vào máy tính trong công ty, mún gắn phải mang lên bộ phận IT kiểm tra độ an toàn và cho phép thì mới dc sử dụng. Mà tốt nhất là disable lun cái cổng đó, máy tính no cd drive, no floopy disk. Khi nào xài thì enable xài xong lại disable.
Internet thì những bộ phận nào thực sự cần internet thì cấp còn hok thì chỉ sự dụng Lan mà thôi. Các sếp thì cấp nhưng nếu dc thì nên tạo 1 cái access list những domain name dc phép vào rùi lên firewall add nó vào hoặc là tìm blacklist của 1 số trang cung cấp để chặn hết lại heheh(cái này chắc chit bị đuổi như chơi heheh). Mấy sếp mún thoải mái hok bị chặn thì về nhà còn công ty là việc công muh phải bảo mật thui.
Firewall thì chặn tất cả các port nhu cầu sài ports 80, 110, 25, 21.... hay chat chit gì thì mở ra thui.
về phần diệt virus thì cài ít nhất 3 em, 1 là diệt virus hãng ngoại, 2 là diệt virus nội, 3 là 1 em diệt spyware. Nhớ là auto update và chạy ở chế độ auto protecttion, chạy nó khi startup.
software thì chỉ cài những gì thực sự cần xài cho công việc.
Wifi thì tốt nhất là dùng access list add những địa chỉ MAC của những máy tính cần xài, hok broadcast SSID để hạn chế bớt người dùng trái phép, tốt nhất là dùng 1 lớp mạng riêng hok liên wan đến mạng nội bộ. Khi khách truy cập thì add địa chỉ MAC của khách vào.
Lên 1 kế hoạch kiểm tra định kỳ các máy tính xem có phần mềm trái phép nào dc cài thêm hok, backup dữ liệu thường xuyên để giảm thiểu rùi ro về mất mát data khi bị sự cố. Nếu có máy chủ data thì làm 1 domain cấp users và shared folder đó để dễ dàng phân chia quyền và dữ liệu tập trung dễ quản lý.
1 phần quan trọng hok kém đó là đặt tên máy tính theo phòng ban, tên người sử dụng cho dễ wản lý. Các switch thì phải có tủ khóa lại đề phòng gắn port trái phép. Lưu trữ 1 danh sách IP - tên máy tính để wản lý... cũng khá đầy đủ mặc dù còn 1 số cái tui chưa bit nhưng sẽ cập nhật thêm, hix!
Ặc ặc làm sơ sơ như vậy thui là IT có rất nhiều việc phải làm đó, hix đâu có đơn giản đâu. Má ơi chắc ngỏm củ tỏi wa. $tre$$.
Cái việc mà không có ổ đĩa CD-Drive hay ổ đĩa mềm thì có thể tạm chấp nhận được, nhưng còn USB thì khá bất tiện đấy, cái enable với disable thì đâu có phải ai cũng rành như dân tin học đâu .
Còn việc chặn port thì không rõ lắm, làm các bước nào để chặn và để mở 1 port ?!
