• Thứ Hai, 01/03/2004 14:51 (GMT+7)

    An toàn thông tin

    Đầu tư cho an toàn thông tin đồng nghĩa với việc bảo vệ, giữ gìn uy tín, danh tiếng của tổ chức. An toàn thông tin đang nổi lên như một chủ đề "nóng sốt". Chi phí đầu tư để có được hệ thống đảm bảo an toàn sẽ nhỏ hơn rất nhiều so với chi phí để khắc phục

    Việc triển khai giải pháp đảm bảo an toàn thông tin trong một tổ chức thường phải đề cập đến ba khía cạnh: con người, hạ tầng cơ sở và chính sách thực thi. Đây là những vấn đề mà tổ chức cần quan tâm để thiết lập cơ chế an toàn cho hệ thống của mình.

    Quản trị hệ thống là ai?
    Đó là người chịu trách nhiệm duy trì hoạt động liên tục của hệ thống máy tính trong một tổ chức; là người đối phó, ngăn ngừa các hoạt động có tính chất phá hoại, gây gián đoạn hoạt động của các máy tính trong công việc kinh doanh của tổ chức. Nhà quản trị hệ thống không những phải có kiến thức về an toàn, bảo mật máy tính mà còn phải nắm rõ những vấn đề liên quan tới hoạt động kinh doanh của tổ chức.
    Hơn ai hết, nhà quản trị hệ thống phải là người thường xuyên cập nhật kiến thức về an toàn, bảo mật, đặc biệt là kiến thức liên quan tới các hệ thống máy tính mà họ đang quản trị.

    Đảm bảo an ninh ở mức vật lý
    Các thiết bị liên quan trực tiếp tới việc điều khiển hoạt động hệ thống như system console (thiết bị kiểm soát hệ thống mạng) phải được bảo vệ chặt chẽ tối đa ở mức vật lý, chẳng hạn đặt tại vị trí được bảo vệ. Chỉ những người có thẩm quyền mới được phép vào và thao tác.
    Thiết lập cơ chế logout (thoát khỏi mạng, ngược với login) tự động nếu hệ thống hỗ trợ. Khi bạn quên logout, hệ thống sẽ tự làm việc này sau một khoảng thời gian nhất định.

    Giữ cho hệ thống đơn giản
    Hệ thống càng có nhiều ứng dụng, dịch vụ thì mối đe doạ bị tấn công càng lớn. Người quản trị cần phải luôn luôn xem xét các ứng dụng, dịch vụ đang được cài đặt trên hệ thống.
    Trong quá trình cài đặt hệ điều hành, cố gắng đặt cấu hình tối thiểu, đủ các tính năng cần sử dụng cho các dịch vụ cũng như ứng dụng sau này. Tránh việc cài đặt quá nhiều các thành phần chưa dùng tới hoặc không được dùng trong tương lai.  
    Loại bỏ các dịch vụ không cần thiết trong hệ thống hoặc tắt các dịch vụ chưa sử dụng trong thời điểm hiện tại. Tránh kích hoạt đồng thời nhiều ứng dụng mà nhu cầu sử dụng hiện tại chưa có.
    Đóng các cổng TCP/UDP không sử dụng hoặc không cần thiết. Đây chính là cửa ngõ cho các tấn công từ bên ngoài. 

    Mật khẩu ở mức quản trị hệ thống
    Mật khẩu ở mức cao nhất do nhà quản trị nắm giữ. Dưới đây là các quy định về mật khẩu nên được áp dụng:
    - Sử dụng mật khẩu có đủ độ dài (nhiều hơn 8 ký tự). Nên đặt mật khẩu có cả chữ xen kẽ số.
    - Mật khẩu được chọn vừa phải dễ nhớ đối với người đặt, vừa phải khó đoán đối với người có ý định truy cập hệ thống trái phép. Mật khẩu nên chọn các từ, ký tự không có trong từ điển.
    - Tuyệt đối không lưu trữ mật khẩu trên giấy tờ ở dạng không mã hoá. Trong trường hợp lưu mật khẩu trong file, mật khẩu cần phải được mã hoá.
    - Nên trộn lẫn các ký tự hoa và thường trong mật khẩu để tăng tính bảo mật. Cũng có thể đưa thêm các ký tự chấm câu hoặc ký hiệu đặc biệt như {, ^, #, @, $, ...
    - Thay đổi mật khẩu định kỳ.

    Mật khẩu của người dùng
    Việc đặt ra quy cách và yêu cầu người dùng tuân theo là một điều không dễ, bởi  người dùng luôn muốn có một mật khẩu dễ nhớ và không thích thay đổi mật khẩu thường xuyên. Tuy nhiên, những quy tắc sau vẫn nên được áp dụng:
    - Đưa ra quy định buộc người dùng phải thay đổi mật khẩu một cách định kỳ.
    - Quy định độ dài tối thiểu của mật khẩu (chẳng hạn phải là tám ký tự).
    - Không sử dụng các từ có trong từ điển để đặt mật khẩu.
    - Quy định đối với mật khẩu mới: nhà quản trị có thể đưa ra quy định bắt buộc đối với người dùng khi họ muốn thay đổi mật khẩu. Chẳng hạn mật khẩu mới phải khác mật khẩu cũ một số lượng ký tự nhất định.

    Chỉ cung cấp quyền sử dụng cần thiết cho người dùng
    Cần cấu hình hệ thống sao cho nó chỉ chấp nhận các kết nối đến từ những địa chỉ IP xác định. Thận trọng đối với các kết nối đến từ địa chỉ IP không nằm trong quy định của hệ thống. Trong trường hợp cho phép các kết nối tới hệ thống thông qua dial-up (quay số điện thoại), cần có thêm mức bảo vệ khác hoặc chỉ cho phép người dùng kết nối tới hệ thống qua những số điện thoại đã biết. Tuy nhiên, việc này khó có thể thực hiện được đối với các máy chủ web. Trong trường hợp này, cần tới sự hỗ trợ của tường lửa (firewall) hay mạng riêng ảo (VPN). Cách tốt nhất là nên hạn chế quyền của người dùng qua địa chỉ IP hoặc quy định khoảng thời gian tương tác của người dùng với hệ thống.
    Sử dụng cơ chế kiểm soát môi trường làm việc của người dùng kết nối với hệ thống nếu hệ điều hành máy chủ của bạn hỗ trợ tính năng này. Trong trường hợp ngược lại, phải cân nhắc kỹ càng khi cấp quyền thao tác với các tài nguyên trên hệ thống của mình cho người dùng.

    Đào tạo người dùng
    Nhà quản trị cần vạch ra kế hoạch đào tạo, huấn luyện người dùng và nhân viên trợ giúp về an toàn, bảo mật trong toàn tổ chức cũng như trong phạm vi công việc của từng người. Điều quan trọng là phải làm cho người dùng cùng hiểu được tầm quan trọng của vấn đề an toàn, bảo mật trong hệ thống mà họ đang làm việc.

    Một số quy định không cần có tính hình thức có thể phổ biến cho người sử dụng:
    - Yêu cầu người dùng khóa máy trước khi rời vị trí làm việc.
    - Không cho người khác mượn (sử dụng) mật khẩu của mình.
    - Thay đổi mật khẩu định kỳ.
    - Không ghi nhớ mật khẩu trên giấy tờ, hoặc trên những phương tiện dễ phát hiện.

    Cập nhật, bảo trì hệ thống
    Các nhà cung cấp phần mềm thường xuyên đưa ra các bản sửa lỗi cho vấn đề an toàn, bảo mật của họ. Nhà quản trị hệ thống cũng phải thường xuyên theo dõi sát sao và cập nhật vấn đề này. Tuy nhiên, nhà quản trị cũng phải đặc biệt chú ý tới những lỗ hổng, hay những ảnh hưởng của các bản sửa lỗi này trên hệ thống sẵn có trước khi định cài đặt trên hệ thống của mình. Đặc biệt chú ý tới các bản sửa lỗi cho phần mềm hệ thống như hệ điều hành, web server, mail server, ...

    Phát hiện các lỗ hổng bảo mật
    Phòng ngừa bao giờ cũng tốt hơn là chữa trị. Với vai trò là nhà quản trị hệ thống, bạn phải đi trước trong việc lấp các lỗ hổng cho hệ thống của mình trước khi "kẻ địch" có thể tấn công. Đa số các lỗ hổng của các hệ điều hành đều được công bố rộng rãi. Với mỗi loại lỗ hổng về bảo mật đều có các công cụ phát hiện tương ứng. Cần lập  kế hoạch cụ thể cho các công việc:
    - Rà quét các lỗ hổng.
    - Phân tích, đánh giá ảnh hưởng của các lỗ hổng lên hoạt động của hệ thống.
    - Lấp các lỗ hổng.
    - Thống kê, báo cáo, hoặc đưa ra các hướng dẫn cho việc kiểm tra các lỗ hổng. (Tham khảo: http://infosec.vasc .com.vn/pls/wcm/show(0,49,596)

    Tài liệu hoá và quản lý cấu hình
    Một trong những yêu cầu của công việc quản trị hệ thống là việc tài liệu hoá và quản lý cấu hình. Việc quản lý, theo dõi cấu hình của phần cứng, phần mềm trong hệ thống sẽ hỗ trợ tích cực cho công đoạn khôi phục sau rủi ro, phát hiện kẻ xâm nhập trái phép vào hệ thống, gỡ rối các vấn đề liên quan... Trong trường hợp có nhiều người quản trị thì việc tài liệu hoá và quản lý cấu hình càng trở nên quan trọng.

    Sao lưu và khôi phục sau rủi ro
    Trong mọi trường hợp, dù có chuẩn bị kỹ càng đến đâu, dù có hệ thống phần cứng, phần mềm đáng tin cậy, an toàn thì rủi ro vẫn có thể xảy đến đối với hệ thống. Nhà quản trị cần phải có kế hoạch sao lưu (backup), và vạch trước các kế hoạch đối phó với rủi ro hay kế hoạch khôi phục lại hệ thống sau rủi ro. Đa số các hệ điều hành hiện nay đều có kèm theo các công cụ backup, công cụ khôi phục. Ngoài ra, các công cụ này có thể mua từ hãng thứ ba.

    Quy trình hóa qủn trị hệ thống
    Trước sự bùng nổ của internet và các hệ thống thông tin phức tạp, việc bảo trì, duy trì cho họat động của các hệ thống này càng ngày trở nên cần thiết.Để có một hệ thống an toàn, công việc quản trị hệ thống cần được quy trình hóa.Một hệ thống càng an tòan thì nguy cơ hiểm họa xảy đến với hệ thống càng ít.
    VASC InfoSec.P.506, Tòa nhà Sao Bắc, 4 Dã Tượng, Hà Nội. Website: HTTP:??infosec.vasc.com.vn;
    Email: security@vasc.com.vn

    ID: B0203_35