• Thứ Bảy, 05/11/2011 10:34 (GMT+7)

    Bức tranh bảo mật tổng thể

    Minh Chí
    Các doanh nghiệp đang hướng đến thiết lập hệ thống bảo mật tổng thể bao gồm hạ tầng, kết nối Internet, người dùng cuối…

    Đầu tư đồng bộ

    Theo tư vấn của Công ty Misoft (chuyên về lĩnh vực bảo mật), các doanh nghiệp (DN) nên đầu tư và triển khai hệ thống CNTT đồng bộ giữa hạ tầng và hệ thống bảo mật.

     
    Cần phân chia vùng mạng để thiết lập cơ chế bảo mật: Các máy tính kết nối mạng nội bộ (LAN) dành cho người dùng cuối, vùng DMZ (khu vực trung gian) đặt các máy chủ phục vụ kết nối website, email, một số ứng dụng khác… và vùng đặt máy chủ lưu trữ dữ liệu kinh doanh.

    Các vùng mạng kể trên được bảo vệ bởi Firewall (bức tường lửa) và được cung cấp các dải IP (địa chỉ trên mạng) riêng biệt. Hàng rào Firewall kiểm soát việc trao đổi dữ liệu từ bên ngoài hệ thống (qua Internet), kết nối giữa các người dùng cuối trong mạng nội bộ, các lượt truy cập vào máy chủ chứa ứng dụng và dữ liệu kinh doanh.

    Các DN có xây dựng mạng riêng ảo (VPN) để kết nối với các chi nhánh hoặc đại lý phân phối sản phẩm cần tính đến phương án bảo vệ các kết nối mạng giữa chi nhánh/đại lý với văn phòng trung tâm (Head Office). Khi đó, hệ thống bảo mật sẽ trở thành đầu mối kết nối VPN giữa các đơn vị với nhau (VPN Server). Mọi kết nối đều được thông qua cơ chế tự động xác thực của VPN Server, sau khi đảm bảo an toàn mới thiết lập kênh kết nối VPN.

    Bộ phận cung cấp giải pháp bảo mật của Công ty HPT Việt Nam khuyên các DN nên thiết lập hệ thống bảo mật toàn diện từ lớp kết nối ngoại vi cho đến phần mềm/ứng dụng lõi (Core), bảo vệ từ máy chủ cho đến người dùng cuối. Điều quan trọng là phải xây dựng chính sách bảo mật tổng thể, đáp ứng các yêu cầu của tiêu chuẩn bảo mật ISO/IEC 27001, ISMS, ITIL…

    Kỹ sư Bùi Minh Công, phòng Giải pháp Hệ thống – Công ty HPT Việt Nam cho rằng, một hệ thống CNTT cần được bảo vệ toàn diện với 5 lớp. Đó là: Hạ tầng mạng, máy chủ và nguồn lực, ứng dụng/dịch vụ, người dùng cuối. Hầu hết các hệ thống CNTT truyền thống hoặc áp dụng công nghệ điện toán đám mây đều thiết lập cơ chế bảo mật trên.

    Mã hóa bảo vệ dữ liệu

    Việc mã hóa khi truyền tải dữ liệu trên hệ thống CNTT cực kỳ quan trọng; đặc biệt đối với các DN trong ngành tài chính, chứng khoán… Hệ thống bảo mật sẽ cung cấp nhiều phương thức nhằm xác thực người dùng trước khi cho phép thực hiện kết nối. Một số công ty chứng khoán, ngân hàng, dịch vụ trực tuyến… đã dùng đến các phương thức xác thực như chứng thực số, USB Token (thiết bị lưu trữ chữ ký số), Smartcard (thẻ thông minh)…

    Việc tồn tại các lỗ hổng bảo mật hiện đang tạo ra các khe hở cho hacker, virus… dễ dàng phát động tấn công.

    Ông Nguyễn Đình Thúc, Phó khoa CNTT của trường ĐH Khoa học Tự nhiên nói: "Cần thiết lập cơ chế mã hóa dữ liệu nhằm ngăn chặn các hành vi đánh cắp dữ liệu. Các hacker có thể tạo ra chữ ký số giả mạo dựa trên cơ sở mã hóa RSA (hệ mật mã công khai), sau đó họ dùng chữ ký giả này để truy cập dữ liệu.

    Để bảo vệ chặt chẽ dữ liệu lưu trữ trên máy chủ hoặc truyền tải trên hệ thống, các hãng bảo mật Check Point, Trend Micro… đã sử dụng kết hợp nhiều công nghệ mã hóa như AES 128-256 bit; Triple DES 56-168 bit, chứng thư số SSL (Secure Socket Layer)… Bên cạnh việc mã hóa, đối với các giao dịch quan trọng sẽ cần đến chữ ký số được tích hợp trong các ứng dụng mua bán trực tuyến.

    Các DN cũng cần sử dụng giải pháp nhận dạng để kiểm soát người dùng cuối, lượt truy cập ứng dụng/dữ liệu hoặc tài nguyên trên hệ thống CNTT. Để áp dụng chính sách bảo mật/phân quyền truy cập hệ thống, phải dựa trên việc xác định danh tính người dùng. Đơn giản nhất là sử dụng cơ chế nhận dạng thông qua tên người dùng (user name) & mật khẩu (password). Hoặc tiền hành nhận dạng ở mức cao hơn bằng cách tích hợp chữ ký số (Digital Signature) cùng với các thiết bị bảo mật như USB Token, Smart Card…

    Quét virus tận gốc!

    Nhằm khóa chặt các con đường lây nhiễm của virus do thám (spyware), mã độc (malware)… qua Internet, trước tiên cần phòng chống virus ở các lớp mạng như cổng kết nối (Gateway) – máy chủ nhận và gửi email (Mail Server) - máy chủ chứa dữ liệu – máy tính của người dùng cuối. Đồng thời, hệ thống mạng phải thường xuyên cập nhật mẫu virus từ các hãng bảo mật/trung tâm phòng chống virus toàn cầu.

     
    Theo giải pháp của Công ty BKAV, hệ thống cần trung tâm xử lý và điều phối BkavEnterprise Server – nơi cập nhật thường xuyên các mẫu virus mới. Máy tính của người dùng cuối (máy trạm) được cài đặt phần mềm BkavEnterprise Client để cập nhật mẫu virus mới và nhận lệnh điều phối từ trung tâm. Người quản trị mạng tạo lịch quét virus và cập nhật mẫu virus tự động.

    Các chuyên gia quản trị mạng cũng có thể chia máy trạm ở các bộ phận thành các nhóm khác nhau. Điều này rất hữu ích khi cần “khoanh vùng” các nhóm máy trạm thường lây nhiễm virus để cách ly – diệt virus… Việc phân chia nhóm cũng thuận tiện cho việc áp dụng chính sách bảo mật.

    Trước đó, Norton cung cấp giải pháp phòng chống virus với mô hình AntiVirus Server. Mô hình này đảm nhận việc cập nhật mẫu virus theo định kỳ, còn các máy trạm sẽ tự động cập nhật (Live Update) thông qua kết nối với server này. Giải pháp này giúp quản trị mạng đơn giản hơn, lại góp phần giảm tải cho hệ thống do máy trạm không phải kết nối Internet để cập nhật mẫu virus.

    Kết hợp nhiều giải pháp

    Đối với các DN vừa và nhỏ không có điều kiện thiết lập hệ thống bảo mật “hoành tráng”, có thể sử dụng kết hợp các giải pháp phòng chống virus, chống thư rác (spam mail), giải pháp bảo mật hạ tầng và người dùng cuối… Sau đó, nếu DN có điều kiện tài chính khá có thể nâng cấp hệ thống, trang bị các giải pháp bảo mật tổng thể hoặc giám sát – phân tích bảo mật hệ thống…

    Với các công ty kinh doanh trực tuyến, khi hệ thống bị ngừng trệ sẽ gia tăng tổn thất về doanh thu. Các chuyên gia bảo mật của Hiệp hội An toàn Thông tin (VNISA) phía Nam cho rằng: Hệ thống bảo mật phải cung cấp khả năng tự hồi phục sau khi bị tấn công. Đặc biệt, phải ngăn chặn và có giải pháp dự phòng đối với hình thức tấn công từ chối dịch vụ (DDoS), vì nó làm thời gian “ngừng hoạt động” của hệ thống kéo dài!

    Mặt khác, trước khi đầu tư vào hệ thống bảo mật tổng thể cần tiến hành đánh giá tình hình an toàn thông tin của hệ thống. Các công ty tích hợp hệ thống, cung cấp giải pháp bảo mật như HPT, CMC Infosec, Misoft… cung cấp dịch vụ đánh giá mức độ bảo mật của DN (Pennetration Testing). Dựa trên kết quả này, các chuyên gia tư vấn cho DN một hệ thống bảo mật tổng thể.

    Trong trường hợp DN không có nhân sự chuyên trách về bảo mật, các đơn vị này sẽ hỗ trợ đội ngũ chuyên gia an ninh mạng để giám sát hệ thống – phát hiện các lỗ hổng bảo mật – dấu hiệu bị tấn công… Hàng tháng, đội ngũ này sẽ gửi một báo cáo về tình hình bảo mật cho khách hàng và đề nghị một số biện pháp ngăn chặn, phòng ngừa các nguy cơ trên mạng.

    Ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo Quản trị và An ninh mạng Athena tư vấn: Các DN cũng cần trang bị thêm các phần mềm – thiết bị phòng chống xâm nhập hệ thống mạng. Các hacker vẫn thường xâm nhập vào hệ thống qua Internet, tấn công ứng dụng web… nhằm mục đích đánh cắp dữ liệu. Khi sử dụng các phần mềm này, DN sẽ phát hiện các đợt tấn công sớm để ngăn chặn ngay.

    ID: B1110_56