[Discussion] Vấn đề kiểm soát thất thoát dữ liệu trong tổ chức doanh nghiệp |
27/08/2013 14:55:14 (+0700) | #1 | 278286 |
nucteiv
Member
|
0 |
|
|
Joined: 09/12/2008 01:22:01
Messages: 21
Offline
|
|
Hiện nay vấn đề kiểm soát chống thất thoát dữ liệu trong doanh nghiệp là một bài toán khá phức tạp với các nhà quản trị hệ thống, đặc biệt là trong thời buổi công nghệ phát triển liên tục và các thiết bị có khả năng lưu trữ ngày càng đa dạng như: usb, smartphone...
Vì đó em muốn lập topic này để chúng ta cùng thảo luận về vấn đề: Giải pháp kiểm soát việc sao chép dữ liệu từ máy tính ra thiết bị có khả năng lưu trữ như: usb, mobile...
Em đưa ra một case thế này:
- Hệ thống phục vụ cho cả 2 đối tượng người dùng văn phòng và nghiên cứu, do đó tồn tại 2 loại HDH Windows, Linux
+ Người dùng HDH Windows phải join domain và không có quyền admin để cài đặt các phần mềm trái phép. Tuy nhiên trên các máy này có được dùng máy ảo để phục vụ nghiên cứu phát triển.
Các vấn đề đặt ra với việc thất thoát dữ liệu:
- Người dùng có thể cắm usb hoặc smartphone vào và copy data ra vùng nhớ của usb hoặc mobile đó
=> có thể triển khai giải pháp chống thất thoát dữ liệu, disable usb....nhưng làm sao để quản lý đồng bộ cả Linux và Windows, quản lý được việc chuyển dữ liệu vào máy ảo và copy từ máy ảo ra, máy ảo không join domain và không bị cài giải pháp chống thất thoát dữ liệu? |
|
|
|
|
[Discussion] Vấn đề kiểm soát thất thoát dữ liệu trong tổ chức doanh nghiệp |
27/08/2013 19:53:22 (+0700) | #2 | 278289 |
vodanh192
Member
|
0 |
|
|
Joined: 24/03/2009 12:40:11
Messages: 4
Offline
|
|
- Với điều kiện user bị thu quyền administrator/root thì có thể chặn USB/mobile storage bằng cách deny permission trên các file driver & registry key (đối với Windows) hoặc dùng modprobe (đối với Linux). Google "How to disable USB..." là ra vô số các cách như vậy.
- Nếu máy user đã join AD thì càng thuận lợi, có thể dùng GPO đẩy Script chặn USB xuống.
- Với trường hợp máy có cài máy ảo, giải pháp thủ công là chặn nốt permission driver USB của máy ảo (thường là các file *.sys) sau khi cài đặt giống như chặn USB storage driver ở trên.
- Đối với doanh nghiệp lớn khó làm thủ công thì cân nhắc đầu tư triển khai DLP, VD: symantec, mcafee...DLP của các hãng lớn hầu hết hỗ trợ cả Linux và Windows
Anyway, một điều quan trọng cần nhớ là dù có giải pháp nào thì cũng chỉ là "chặn được người ngay chứ không chặn được kẻ gian" Với user toàn dân IT thì kiểu gì họ cũng tìm cách này hay cách khác để lấy data ra mà các biện pháp kỹ thuật không thể kiểm soát hết được. Do đó giải pháp tốt nhất là Training/Awareness và các biện pháp mang tính răn đe, kỷ luật |
|
|
|
|
[Discussion] Vấn đề kiểm soát thất thoát dữ liệu trong tổ chức doanh nghiệp |
28/08/2013 04:26:31 (+0700) | #3 | 278298 |
|
Ky0
Moderator
|
Joined: 16/08/2009 23:09:08
Messages: 532
Offline
|
|
nucteiv wrote:
Hiện nay vấn đề kiểm soát chống thất thoát dữ liệu trong doanh nghiệp là một bài toán khá phức tạp với các nhà quản trị hệ thống, đặc biệt là trong thời buổi công nghệ phát triển liên tục và các thiết bị có khả năng lưu trữ ngày càng đa dạng như: usb, smartphone...
Vì đó em muốn lập topic này để chúng ta cùng thảo luận về vấn đề: Giải pháp kiểm soát việc sao chép dữ liệu từ máy tính ra thiết bị có khả năng lưu trữ như: usb, mobile...
Em đưa ra một case thế này:
- Hệ thống phục vụ cho cả 2 đối tượng người dùng văn phòng và nghiên cứu, do đó tồn tại 2 loại HDH Windows, Linux
+ Người dùng HDH Windows phải join domain và không có quyền admin để cài đặt các phần mềm trái phép. Tuy nhiên trên các máy này có được dùng máy ảo để phục vụ nghiên cứu phát triển.
Các vấn đề đặt ra với việc thất thoát dữ liệu:
- Người dùng có thể cắm usb hoặc smartphone vào và copy data ra vùng nhớ của usb hoặc mobile đó
=> có thể triển khai giải pháp chống thất thoát dữ liệu, disable usb....nhưng làm sao để quản lý đồng bộ cả Linux và Windows, quản lý được việc chuyển dữ liệu vào máy ảo và copy từ máy ảo ra, máy ảo không join domain và không bị cài giải pháp chống thất thoát dữ liệu?
Muốn kiểm soát việc thất thoát dữ liệu thì điều quan trọng nhất là phải có Policy
- Mức vật lý: Có thể cấm mang điện thoại, máy chụp ảnh, các thiết bị kỹ thuật số vào cơ quan ....
- Mức kỹ thuật: Giới hạn và kiểm soát các thông tin gửi ra internet, cấm sử dụng các thiết bị ngoại vi (USB Store, HDD ...) ...
- Các giải pháp: Data loss prevention(DLP), Data leakage detection (DLD) ....
- Ky0 -
|
|
UITNetwork.com
Let's Connect |
|
|
|
[Discussion] Vấn đề kiểm soát thất thoát dữ liệu trong tổ chức doanh nghiệp |
29/08/2013 07:18:04 (+0700) | #4 | 278309 |
nucteiv
Member
|
0 |
|
|
Joined: 09/12/2008 01:22:01
Messages: 21
Offline
|
|
vodanh192 wrote:
- Với điều kiện user bị thu quyền administrator/root thì có thể chặn USB/mobile storage bằng cách deny permission trên các file driver & registry key (đối với Windows) hoặc dùng modprobe (đối với Linux). Google "How to disable USB..." là ra vô số các cách như vậy. => việc này chỉ khả thi nếu cả máy linux cũng bị kiểm soát quản lý tập trung, chứ doanh nghiệp có hàng chục, hàng trăm máy mà quản trị làm trên từng máy thì không hợp lý lắm.
- Nếu máy user đã join AD thì càng thuận lợi, có thể dùng GPO đẩy Script chặn USB xuống.
- Với trường hợp máy có cài máy ảo, giải pháp thủ công là chặn nốt permission driver USB của máy ảo (thường là các file *.sys) sau khi cài đặt giống như chặn USB storage driver ở trên. => việc làm thủ công là không có tính khả thi vì làm mất rất nhiều thời gian khi triển khai trên tưng máy, đồng thời đâu phải user chỉ có 1 máy ảo hoặc họ hoàn toàn có khả năng tạo máy ảo khác và sử dụng.
- Đối với doanh nghiệp lớn khó làm thủ công thì cân nhắc đầu tư triển khai DLP, VD: symantec, mcafee...DLP của các hãng lớn hầu hết hỗ trợ cả Linux và Windows
Anyway, một điều quan trọng cần nhớ là dù có giải pháp nào thì cũng chỉ là "chặn được người ngay chứ không chặn được kẻ gian" Với user toàn dân IT thì kiểu gì họ cũng tìm cách này hay cách khác để lấy data ra mà các biện pháp kỹ thuật không thể kiểm soát hết được. Do đó giải pháp tốt nhất là Training/Awareness và các biện pháp mang tính răn đe, kỷ luật
|
|
|
|
|
[Discussion] Vấn đề kiểm soát thất thoát dữ liệu trong tổ chức doanh nghiệp |
29/08/2013 07:23:03 (+0700) | #5 | 278310 |
nucteiv
Member
|
0 |
|
|
Joined: 09/12/2008 01:22:01
Messages: 21
Offline
|
|
Muốn kiểm soát việc thất thoát dữ liệu thì điều quan trọng nhất là phải có Policy
- Mức vật lý: Có thể cấm mang điện thoại, máy chụp ảnh, các thiết bị kỹ thuật số vào cơ quan .... => đồng ý với bác về Policy này nhưng hiện nay rất khó để triển khai áp dụng việc này vì nó kéo theo các vấn đề liên quan khác như: không cho tôi mang điện thoại vào thì phải có phương tiện cho tôi sử dụng liên lạc người thân, bạn bè trong khu làm việc....=> phải sắm cho mỗi người một điện thoại công việc (mang tính đơn sơ) riêng, rồi các chính sách đi kèm. Không biết hiện nay có nơi nào triển khai các chính sách này chưa các bác nhỉ?
- Mức kỹ thuật: Giới hạn và kiểm soát các thông tin gửi ra internet, cấm sử dụng các thiết bị ngoại vi (USB Store, .HDD ...) ..
- Các giải pháp: Data loss prevention(DLP), Data leakage detection.... => chi tiết hơn đi bác, case của topic cũng đang bàn tới các giải pháp này mà, nhưng nó đang tồn tại các vấn đề cụ thể được nêu ở bài đặt vấn đề topic.
- Ky0 -
|
|
|
|
|
[Discussion] Vấn đề kiểm soát thất thoát dữ liệu trong tổ chức doanh nghiệp |
29/08/2013 12:30:04 (+0700) | #6 | 278315 |
|
Ky0
Moderator
|
Joined: 16/08/2009 23:09:08
Messages: 532
Offline
|
|
nucteiv wrote:
Muốn kiểm soát việc thất thoát dữ liệu thì điều quan trọng nhất là phải có Policy
- Mức vật lý: Có thể cấm mang điện thoại, máy chụp ảnh, các thiết bị kỹ thuật số vào cơ quan .... => đồng ý với bác về Policy này nhưng hiện nay rất khó để triển khai áp dụng việc này vì nó kéo theo các vấn đề liên quan khác như: không cho tôi mang điện thoại vào thì phải có phương tiện cho tôi sử dụng liên lạc người thân, bạn bè trong khu làm việc....=> phải sắm cho mỗi người một điện thoại công việc (mang tính đơn sơ) riêng, rồi các chính sách đi kèm. Không biết hiện nay có nơi nào triển khai các chính sách này chưa các bác nhỉ?
- Mức kỹ thuật: Giới hạn và kiểm soát các thông tin gửi ra internet, cấm sử dụng các thiết bị ngoại vi (USB Store, .HDD ...) ..
- Các giải pháp: Data loss prevention(DLP), Data leakage detection.... => chi tiết hơn đi bác, case của topic cũng đang bàn tới các giải pháp này mà, nhưng nó đang tồn tại các vấn đề cụ thể được nêu ở bài đặt vấn đề topic.
Như mình đã nhấn mạnh ở post trên thì bạn phải xác định mức độ, yêu cầu của việc chống thất thoát dữ liệu. Sau đó là hình thành policy, còn các biện pháp kỹ thuật thì áp xuống rất dễ dàng! Các mức trên là mình chỉ nêu những vấn đề tiêu biểu thôi => Một bài toán có rất nhiều cách giải
Policy quá khắt khe và cản trở người dùng trong công việc thì không tốt, policy lỏng lẻo thì rủi ro cao. Kèm theo đó là có giải pháp gì để xác định được ai đã leak thông tin, hướng xử lý ....
nucteiv wrote:
Vì đó em muốn lập topic này để chúng ta cùng thảo luận về vấn đề: Giải pháp kiểm soát việc sao chép dữ liệu từ máy tính ra thiết bị có khả năng lưu trữ như: usb, mobile...
Đối với máy tính đã join domain thì việc áp policy cấm tất cả các thiết bị ngoại vi cắm vào chép dữ liệu chỉ mất vài phút Tài liệu thì trên mạng có rất nhiều.
- Ky0 -
PS: Có vẻ bạn quá quan tâm đến việc giải quyết một vấn đề nhỏ mà quyên mất giải pháp tổng thể. |
|
UITNetwork.com
Let's Connect |
|
|
|
|