Hiện nay vấn đề kiểm soát chống thất thoát dữ liệu trong doanh nghiệp là một bài toán khá phức tạp với các nhà quản trị hệ thống, đặc biệt là trong thời buổi công nghệ phát triển liên tục và các thiết bị có khả năng lưu trữ ngày càng đa dạng như: usb, smartphone... Vì đó em muốn lập topic này để chúng ta cùng thảo luận về vấn đề: Giải pháp kiểm soát việc sao chép dữ liệu từ máy tính ra thiết bị có khả năng lưu trữ như: usb, mobile... Em đưa ra một case thế này: - Hệ thống phục vụ cho cả 2 đối tượng người dùng văn phòng và nghiên cứu, do đó tồn tại 2 loại HDH Windows, Linux + Người dùng HDH Windows phải join domain và không có quyền admin để cài đặt các phần mềm trái phép. Tuy nhiên trên các máy này có được dùng máy ảo để phục vụ nghiên cứu phát triển. Các vấn đề đặt ra với việc thất thoát dữ liệu: - Người dùng có thể cắm usb hoặc smartphone vào và copy data ra vùng nhớ của usb hoặc mobile đó => có thể triển khai giải pháp chống thất thoát dữ liệu, disable usb....nhưng làm sao để quản lý đồng bộ cả Linux và Windows, quản lý được việc chuyển dữ liệu vào máy ảo và copy từ máy ảo ra, máy ảo không join domain và không bị cài giải pháp chống thất thoát dữ liệu? 

- Với điều kiện user bị thu quyền administrator/root thì có thể chặn USB/mobile storage bằng cách deny permission trên các file driver & registry key (đối với Windows) hoặc dùng modprobe (đối với Linux). Google "How to disable USB..." là ra vô số các cách như vậy. => việc này chỉ khả thi nếu cả máy linux cũng bị kiểm soát quản lý tập trung, chứ doanh nghiệp có hàng chục, hàng trăm máy mà quản trị làm trên từng máy thì không hợp lý lắm. - Nếu máy user đã join AD thì càng thuận lợi, có thể dùng GPO đẩy Script chặn USB xuống. - Với trường hợp máy có cài máy ảo, giải pháp thủ công là chặn nốt permission driver USB của máy ảo (thường là các file *.sys) sau khi cài đặt giống như chặn USB storage driver ở trên. => việc làm thủ công là không có tính khả thi vì làm mất rất nhiều thời gian khi triển khai trên tưng máy, đồng thời đâu phải user chỉ có 1 máy ảo hoặc họ hoàn toàn có khả năng tạo máy ảo khác và sử dụng. - Đối với doanh nghiệp lớn khó làm thủ công thì cân nhắc đầu tư triển khai DLP, VD: symantec, mcafee...DLP của các hãng lớn hầu hết hỗ trợ cả Linux và Windows Anyway, một điều quan trọng cần nhớ là dù có giải pháp nào thì cũng chỉ là "chặn được người ngay chứ không chặn được kẻ gian" :) Với user toàn dân IT thì kiểu gì họ cũng tìm cách này hay cách khác để lấy data ra mà các biện pháp kỹ thuật không thể kiểm soát hết được. Do đó giải pháp tốt nhất là Training/Awareness và các biện pháp mang tính răn đe, kỷ luật :) 

Muốn kiểm soát việc thất thoát dữ liệu thì điều quan trọng nhất là phải có Policy - Mức vật lý: Có thể cấm mang điện thoại, máy chụp ảnh, các thiết bị kỹ thuật số vào cơ quan .... => đồng ý với bác về Policy này nhưng hiện nay rất khó để triển khai áp dụng việc này vì nó kéo theo các vấn đề liên quan khác như: không cho tôi mang điện thoại vào thì phải có phương tiện cho tôi sử dụng liên lạc người thân, bạn bè trong khu làm việc....=> phải sắm cho mỗi người một điện thoại công việc (mang tính đơn sơ) riêng, rồi các chính sách đi kèm. Không biết hiện nay có nơi nào triển khai các chính sách này chưa các bác nhỉ? - Mức kỹ thuật: Giới hạn và kiểm soát các thông tin gửi ra internet, cấm sử dụng các thiết bị ngoại vi (USB Store, .HDD ...) .. - Các giải pháp: Data loss prevention(DLP), Data leakage detection.... => chi tiết hơn đi bác, case của topic cũng đang bàn tới các giải pháp này mà, nhưng nó đang tồn tại các vấn đề cụ thể được nêu ở bài đặt vấn đề topic.  

Vì đó em muốn lập topic này để chúng ta cùng thảo luận về vấn đề: Giải pháp kiểm soát việc sao chép dữ liệu từ máy tính ra thiết bị có khả năng lưu trữ như: usb, mobile...  

vodanh192 wrote:

- Với điều kiện user bị thu quyền administrator/root thì có thể chặn USB/mobile storage bằng cách deny permission trên các file driver & registry key (đối với Windows) hoặc dùng modprobe (đối với Linux). Google "How to disable USB..." là ra vô số các cách như vậy. => việc này chỉ khả thi nếu cả máy linux cũng bị kiểm soát quản lý tập trung, chứ doanh nghiệp có hàng chục, hàng trăm máy mà quản trị làm trên từng máy thì không hợp lý lắm. -> "Nếu máy user đã join AD thì càng thuận lợi, có thể dùng GPO đẩy Script chặn USB xuống." Không rõ là cty của bạn đã có giải pháp để quản lý tập trung các máy Linux như AD đối với các máy Windows chưa ? Nếu chưa thì bạn tham khảo thêm một số giải pháp như SAMBA...hoặc tìm thêm các cách để deploy script xuống nhiều máy Linux. Trong cái khó thì phải ló cái khôn chứ đúng không nào? - Với trường hợp máy có cài máy ảo, giải pháp thủ công là chặn nốt permission driver USB của máy ảo (thường là các file *.sys) sau khi cài đặt giống như chặn USB storage driver ở trên. => việc làm thủ công là không có tính khả thi vì làm mất rất nhiều thời gian khi triển khai trên tưng máy, đồng thời đâu phải user chỉ có 1 máy ảo hoặc họ hoàn toàn có khả năng tạo máy ảo khác và sử dụng. -> Nguyên tắc muốn chặn cái gì thì phải tìm hiểu kỹ cơ chế hoạt động của cái đó. Chặn driver ở đây có nghĩa là chặn virtual usb driver của phần mềm máy ảo trên máy host chứ. Đã là driver thì có 1 hay 10 máy ảo cũng đều phải móc vào file driver đó để sử dụng thôi. Bạn thử cài VirtualBox hay Vmware lên rồi xem cái virtual usb driver tương ứng nó nằm ở đâu sau khi cài đặt?? Về vấn đề thủ công hay tự động thì bạn quay lại bài toán AD/GPO mình đã nói ở trên nhé. ]]> /hvaonline/posts/list/45119.html#278316 /hvaonline/posts/list/45119.html#278316 GMT /hvaonline/posts/list/45119.html#278321 /hvaonline/posts/list/45119.html#278321 GMT