Trích:
Nguyên văn bởi phaiemko123
hiện tại mình có 1 mô hình như thế này.
-Toàn trường có 2 kết nới Internet có khả năng phòng lỗi.
-Mỗi tòa nhà gồm nhiều phòng, tầng. Mỗi tầng là 1 mạng riêng.
-Toàn trường có hệ thống public severs và mỗi tòa nhà có hệ thống sever riêng của tòa nhà.
-Giảng viê trường đc phép truy nhập từ xa vào hệ thống mạng chính toàn trường và đồng thời đc phép truy nhập từ xa vào hệ thống riêng của tòa nhà ( khu này chỉ được phép truy nhập mạng của tòa nhà đó )
-hệ thống không day phủ toàn trường cơ chế kiểm soát thông tin truy nhập, lưu lượng sử dụng
-mỗi tòa nhà co tối đa 1000 máy mỗi tầng. khu vực tối thiểu 100 máy. tổng số GV + SV là 5000.
vậy cho mình hỏi sơ bộ về chính sác an ninh như thế nào đê đảm bảo an toàn cho mạng
|
Với mô hình này thì câu hỏi của bạn hơi chung chung quá nhưng mình xin đưa ra giải pháp và ý kiến như sau:
Trường hợp này cần xem xét bảo mật trên 3 yếu tố đó là: Network infrastructure security; Services and applications security; Human policies security.
1. Network infrastructure security:
+ Có 2 firewall chặn 2 đường ra Internet, nếu có điều kiện thì thêm 2 con IPS/IDS tại mỗi đường.
+ Trên các router đấu nối giữa các phòng ban phải có các ACL để giới hạn truy cập cho phù hợp.
+ Các server nên đưa vào một vùng mạng DMZ riêng biệt (theo từng tòa nhà hoặc theo toàn trường)
+ Chia VLAN cho từng toàn nhà hoặc phòng
+ Trên các SW thì dựa vào các dịch vụ mà cấu hình một số tính năng bảo mật thêm vào như: DHCP snooping, Dynamic ARP Inspection, Port-security,...
+ Có thêm một server để giám sát và theo dõi toàn bộ log, activity, performance, ...của cả hệ thống mạng.
2. Services and Applications Security:
+ Đưa ra danh sách các dịch vụ hoặc ứng dụng nào nên được chạy trên hệ thống (web, mail, dns, dhcp,...).
+ Dựa vào danh sách các dịch vụ trên mà cấu hình filter trên firewall cho hợp lý. (Block các dịch vụ/port ko cần thiết)
3. Human policy security
+ Cấp quyền quản trị các server theo đúng chức năng.
+ Cấp quyền cho những user truy cập từ xa vào mạng như VPN, Remote desktop theo đúng chức năng.
+ Ai được quyền vào phòng server, ai được dịch chuyển thiết bị, ai được ngắt kết nối trực tiếp trên thiết bị, ai được cấu hình và chỉnh sửa cấu hình trên thiết bị,....
+ Và một vài chính sách con người khác nữa, tùy theo nhu cầu của cty bạn.
