• Thứ Tư, 26/03/2008 07:07 (GMT+7)

    An toàn thông tin

    Sự toàn vẹn của kho tàng thông tin và sự liên tục trong vận hành hệ thống đang phải đối mặt với nguy cơ bị tấn công ngày một gia tăng. Chủ điểm “An toàn thông tin” (ATTT) sẽ mang đến cho bạn những kiến thức, giải pháp, kinh nghiệm bảo mật trong doanh nghiệp/tổ chức (DN/ TC) cùng các lời khuyên hữu ích để đối phó với nguy cơ về ATTT.

    Sự toàn vẹn của kho tàng thông tin và sự liên tục trong vận hành hệ thống đang phải đối mặt với nguy cơ bị tấn công ngày một gia tăng. Chủ điểm “An toàn thông tin” (ATTT) sẽ mang đến cho bạn những kiến thức, giải pháp, kinh nghiệm bảo mật trong doanh nghiệp/tổ chức (DN/ TC) cùng các lời khuyên hữu ích để đối phó với nguy cơ về ATTT.

    ATTT là duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin. Tính bảo mật: đảm bảo rằng chỉ người được phép mới có thể truy cập thông tin. Tính toàn vẹn: bảo vệ tính chính xác và đầy đủ của thông tin và các phương pháp xử lý. Tính sẵn sàng: đảm bảo người sử dụng được phép có thể truy cập thông tin và các tài sản tương ứng khi cần. (TCVN 7562:2005 tiêu chuẩn Việt Nam về mã thực hành quản lý ATTT hoàn toàn tương đương với ISO/IEC 17799:2000).

    ATTT bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. ATTT bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng. (Theo nghị định 64/2007/NĐ-CP ngày 10/04/2007 của Chính Phủ về ứng dụng CNTT trong hoạt động của cơ quan nhà nước).

    Phần mềm bẻ khóa mang đến mã độc!
    TGVT - PCW B đã phỏng vấn ông Lê Phi Sơn, trưởng phòng Kỹ Thuật, công ty cổ phần Tích Hợp Hệ Thống Nam Trường Sơn của NTS Group. “Coi chừng mã độc trong các PM bẻ khóa (crack)” là cảnh báo gây sốc nhất...
    “Bảo mật là quá trình liên tục...”
    DN/TC phải trả lời các câu hỏi: cần gì, có tài nguyên, thông tin nào cần ưu tiên bảo vệ, hệ thống CNTT đã có gì, kỳ vọng gì ở hệ thống bảo mật...? Từ những câu trả lời này, tương ứng với ngân sách, chuyên gia sẽ tư vấn GP bảo mật phù hợp, phát huy hiệu quả chi phí đầu tư.
    Virus không đáng sợ?!
    Những lệnh xấu lây nhiễm vào các tập tin và gây hại cho tập tin, máy tính được gọi là virus vì tính tác hại và lây lan. Nay, chúng phát triển thành các tập tin độc lập tác hại khôn lường. Tuy nhiên, virus vẫn không đáng sợ, nếu...
    Nguy cơ từ Internet và USB
    Ngoài môi trường phát tán virus chính là Internet, USB cũng đang trở thành nguồn lây đáng báo động.
    Việt hóa phần mềm bảo mật
    Bạn sẽ an tâm hơn khi sử dụng máy tính cá nhân vào công việc khi có thể đọc được các dòng cảnh báo của PM bảo mật Bit Defender bằng tiếng Việt.
    Blitz: Bảo mật mạng tổng thể
    DN/TC cần thực hành giám sát các luồng dữ liệu theo thời gian thực để kịp thời ngăn chặn các nguy cơ.
    Bảo mật ngay trong hệ điều hành
    Bảo mật hệ thống là đảm bảo quyền quản trị chỉ được phép xảy ra đúng lúc; chắc chắn rằng người quản trị chỉ được phép dùng quyền quản trị từ một máy tính xác định.
    Để website thành kênh phân phối an toàn
    Các công ty chứng khoán Việt Nam thời gian qua đã gia tăng số lượng và quy mô rất nhanh chóng nhưng vấn đề ATTT chưa được quan tâm. GP của Vincom là tham khảo có giá trị.
    Nguyễn Thế Đông, giám đốc nhà máy V-Birdd
    “Đánh giá kỹ để tránh lãng phí”

    Để an tâm với hệ thống thông tin của DN, bạn phải có ý thức về vấn đề bảo mật, tìm hiểu xem mức độ bảo mật thông tin DN của mình đến đâu và cần phải đầu tư đến mức độ nào là phù hợp, tránh lãng phí.


    PHẦN MỂM BẺ KHÓA MANG ĐẾN MÃ ĐỘC!

    TGVT - PCW B đã phỏng vấn ông Lê Phi Sơn, trưởng phòng Kỹ Thuật, công ty cổ phần Tích Hợp Hệ Thống Nam Trường Sơn của NTS Group. “Coi chừng mã độc trong các PM bẻ khóa (crack)” là cảnh báo gây sốc nhất...

    Người dùng cuối và đặc biệt là các DN vừa và nhỏ, các công ty không chuyên về CNTT thường “hở sườn bảo mật” ở những điểm nào, thưa ông?

    Sau thời gian dài làm việc trong lĩnh vực này, chúng tôi thấy các DN vẫn chưa quan tâm đúng mức đến ATTT. Đây có lẽ là vấn đề của nhận thức. Câu “Mất bò mới lo làm chuồng” rất đúng trong trường hợp này. Một nguy cơ cao khác là người dùng ở nhiều DN đang sử dụng PM chống virus bẻ khóa. Chính những PM đó mang đến virus, spyware hay các đoạn mã ác ý!

    Sử dụng PM diệt virus đã là một điểm cộng quan trọng. Nhưng chưa đủ, hệ thống có thể bị tấn công từ bên ngoài và bên trong. Đa số DN/TC thường “hở sườn” ở chỗ này. Quan niệm hệ thống mạng nội bộ thì an toàn là không đúng. Các giao tiếp thông tin và dữ liệu khác nhau qua các dạng cơ bản và Internet ngày càng tạo ra nhiều lỗ hổng mất mát thông tin quan trọng. Tất nhiên, ATTT không thể được đảm bảo chỉ với các giải pháp (GP) kỹ thuật, mà cần cả một hệ thống quản lý với các chính sách thích hợp.

    Vậy người dùng phải chọn GP bảo mật như thế nào?

    Khó nói về GP bảo mật trong một vài câu! Xu hướng tích hợp nhiều công năng vào một SP đang làm cho GP bảo mật mạng trở nên đa dạng, đơn giản và ngày càng dễ quản trị hơn. Các GP này có nhiều quy mô khác nhau, từ bảo mật hệ thống đơn giản đến phức tạp.

       

     

    “Có ý kiến cho rằng chi phí đầu tư cho GP bảo mật là một nhược điểm. Nhưng hiệu quả của GP với DN sẽ cho thấy chi phí có hợp lý không” – ông Lê Phi Sơn

    Tiêu chí của NTS Group là cung cấp cho khách hàng các GP tổng thể, hỗ trợ DN giải quyết vấn đề hay thách thức một cách an toàn và hiệu quả. Các dịch vụ của NTS Group về bảo mật gồm: tư vấn chính sách, thiết kế hệ thống, cung cấp SP, triển khai hệ thống, đào tạo chuyên viên. Chúng tôi quan niệm mình chỉ hoàn thành sứ mệnh khi nào giúp được khách hàng nâng cao năng lực cạnh tranh thông qua ứng dụng hiệu quả GP công nghệ.

    DN ở quy mô nhỏ hay lớn, chúng tôi vẫn cung cấp GP bảo mật tổng thể, đa lớp, gồm nhiều chức năng bảo mật hệ thống như tường lửa, mạng riêng ảo, hệ thống phòng chống xâm nhập từ bên trong và bên ngoài nhằm ngăn chặn và phản ứng lại các hình thức tấn công đã biết, chưa biết và hỗn hợp. Chống rò rỉ, thất thoát thông tin, chống virus/spyware hay phần mềm (PM) độc là những chức năng không thể thiếu. Về phía nhà cung cấp, chúng tôi luôn chọn SP của các nhà cung cấp hàng đầu như Kaspersky, McAfee, Secure Computing, Astaro, Juniper, Cisco... đưa vào GP tích hợp.

    Ưu điểm và nhược điểm (nếu có) của các GP đó?

    Về ưu điểm, GP của NTS là các GP tổng thể có tính năng mở rộng, có thể triển khai theo nhiều giai đoạn khác nhau tùy mức độ yêu cầu về bảo mật tại DN. Các GP này cũng cung cấp công cụ quản lý tập trung, tạo thuận lợi cho quản lý và quản trị hệ thống. Về công năng, chúng tôi cho rằng chúng có rất ít nhược điểm, chỉ trừ một điểm là do GP phức tạp nên người khai thác phải có trình độ và kỹ năng nhất định. Bù lại, chúng tôi luôn sẵn sàng hỗ trợ khách hàng nên đây không phải là vấn đề lớn.

    Ông khuyến cáo gì với DN/TC và người dùng cuối về đầu tư, sử dụng GP bảo mật CNTT?

    Đối với người dùng: chúng ta cùng phải ý thức rõ và sử dụng các PM bảo vệ có bản quyền. PM bẻ khoá rất không an toàn, không cập nhật được tính năng diệt các virus mới, tạo nguy cơ để kẻ xấu lợi dụng ăn cắp thông tin cá nhân, phát tán virus và các loại mã độc nguy hiểm cho cá nhân và cho cả cộng đồng!

    Đối với DN, chúng ta cần quan tâm hơn nữa đến ATTT. Hiện tại sự hỗ trợ của các đơn vị cung cấp GP và dịch vụ chuyên nghiệp đã có độ sẵn sàng rất cao; DN/TC có thể tìm cho mình đối tác đủ uy tín và tin cậy để đảm bảo an toàn dữ liệu và mạng nội bộ.

     

    NTS Group cung cấp các GP cho cơ sở hạ tầng CNTT-TT cho nhiều nhóm đối tượng khách hàng từ DN/TC đến các nhà cung cấp dịch vụ từ năm 2002 đến nay.
    Người dùng cá nhân thường lựa chọn PM Kaspersky Lab 7.0 do NTS Group cung cấp. Với DN, trong tháng 2/2008, NTS Group đã ký hợp đồng cung cấp cho Viettel Telecom 500 bản quyền trong 3 năm, công ty cổ phần Chứng Khoán Sài Gòn (SSI) 400 bản quyền 2 năm PM Kaspersky Open Space Security cho hệ thống máy tính của họ. NTS Group cũng đã thỏa thuận hợp tác chiến lược với 24g.com.vn để cung cấp, triển khai Kaspersky xuống hệ thống Netcafe của họ và hỗ trợ quảng bá thương hiệu 2 công ty.
    Mục tiêu năm 2008 của NTS Group là đạt số lượng 300.000 người dùng PM Kaspersky bản quyền. NTS Group năm 2008 có chính sách ưu đãi giá cho DN triển khai hệ thống bảo mật. Riêng khối cơ quan chính phủ và ngành giáo dục được giảm 50% chi phí triển khai PM diệt virus Kaspersky Open Space Security.

     




    “Bảo mật là quá trình liên tục...”

    DN/TC phải trả lời các câu hỏi: cần gì, có tài nguyên, thông tin nào cần ưu tiên bảo vệ, hệ thống CNTT đã có gì, kỳ vọng gì ở hệ thống bảo mật...? Từ những câu trả lời này, tương ứng với ngân sách, chuyên gia sẽ tư vấn GP bảo mật phù hợp, phát huy hiệu quả chi phí đầu tư.

    Bảo mật nhiều lớp, quản trị tập trung

       

     

    “Hai yếu tố song song không tách rời trong ATTT là: hệ thống được bảo vệ thông minh và đảm bảo tính tuân thủ”
    – Ông Nguyễn Tự Võ

    Ông Nguyễn Tự Võ, phụ trách chi nhánh TP.HCM của Mi2 cho biết, McAfee theo đuổi chiến lược bảo mật nhiều lớp, quản trị tập trung nhằm tối đa hóa hiệu năng của GP bảo mật, đảm bảo tốc độ, tính sẵn sàng của hệ thống mạng. Đặc biệt, trong hệ thống CNTT của DN/TC lớn như ngân hàng, tổ chức tài chính đa quốc gia, công ty viễn thông... thì GP bảo mật của McAfee do Mi2 cung cấp hỗ trợ quản trị tập trung, thực thi chính sách bảo mật thống nhất, theo dõi chi tiết toàn bộ hệ thống, vận hành liên tục. Ví dụ, với ngân hàng có nhiều chi nhánh, bộ phận CNTT của hội sở có thể điều khiển, nhận báo cáo tình hình bảo mật từ mọi chi nhánh.

    Để đảm bảo tính tuân thủ bảo mật trong DN, Mi2 có GP chống lấy cắp dữ liệu (chống sao chép trái phép, quản lý email có gửi file đính kèm, quản lý thiết bị ngoại vi...); dò quét lỗ hổng và quản lý rủi ro; có thể đưa ra cho DN/TC những báo cáo rõ ràng, chi tiết về thực trạng ATTT trong hệ thống tại thời điểm cụ thể.

    Phải có giải pháp tổng thể

    “Thường ở các DN/TC lớn, hệ thống bảo mật là kết hợp của nhiều GP, có khi là của các nhà cung cấp khác nhau. Vậy thì, thêm GP bảo mật có gây ra sự cố tương thích không? Bảo mật có làm chậm hệ thống không? Với mô hình mạng phân lớp nên đặt thiết bị phòng chống xâm nhập, tường lửa ở đâu là thích hợp? Hay DN/TC đã mua phần cứng mạng có tích hợp chức năng bảo mật thì nên trang bị thêm PM, phần cứng bảo mật nào cho đảm bảo an toàn?... Đội ngũ tư vấn và triển khai GP bảo mật của Mi2 đã “kinh qua” rất nhiều dự án có thể giúp DN cùng tìm ra câu trả lời cho các câu hỏi này”, ông Võ nói.

    Theo ông, DN/TC Việt Nam thường vẫn còn ở tư thế cần gì mua đó hơn là đã chuẩn bị cho mình quy trình bảo mật. Đầu tư ở đó còn mang nhiều tính tự phát, “bắt chước”, chưa có kế hoạch lâu dài, để tận dụng tối đa hiệu quả đầu tư. Do đó, nhiều đơn vị chưa thực sự tạo được cho mình hệ thống thông tin thật sự an toàn, cho dù chi phí đầu tư bỏ ra không phải là ít. Xu thế hiện nay trên thế giới là tập trung vào các GP tổng thể có tính lâu dài, có thể đầu tư từng bước. Bảo mật thực chất là một quá trình liên tục!

     

    Các GP bảo mật của McAfee do Mi2 cung cấp đều lấy quy trình quản lý rủi ro trên hệ thống thông tin Security Risk Management (SRM) làm hạt nhân. McAfee cung cấp nhiều bộ GP khác nhau tùy theo quy mô, yêu cầu bảo mật hệ thống CNTT của khách hàng như: GP bảo vệ toàn diện Total Protection bảo vệ hệ thống máy tính tích hợp nhiều tính năng bảo vệ anti-virus, anti-spyware, anti-spam, host IPS, NAC...; GP bảo vệ dữ liệu Data Protection mã hóa và chống lấy cắp theo nhiều hình thức khác nhau; GP bảo vệ truy cập web và thư điện tử nhằm kiểm soát nội dung truy cập Internet, chống lừa đảo, ngăn chặn các mã độc như virus, spyware, trojan phát tán từ Internet vào mạng nội bộ, lọc thư rác; GP phòng chống tấn công mạng; GP quản lý rủi ro và kiểm soát tuân thủ cho hệ thống...
    McAfee chia SP làm 4 loại, theo quy mô, nhu cầu... của người dùng: gia đình (Home); DN/TC nhỏ (Small); DN/TC trung bình (Medium); DN/TC lớn (Large). Riêng GP Medium và Large, việc xây dựng tương đối phức tạp, DN/TC cần được chuyên gia khảo sát, đánh giá kỹ lưỡng hệ thống CNTT nhằm đưa ra GP bảo mật toàn diện, hiệu quả, đi kèm với quy trình quản lý, chính sách phù hợp nhất.
    Quy trình 10 bước cho bảo mật của McAfee gồm: Thiết lập chính sách bảo mật; Xác định tài nguyên thông tin cần bảo vệ; Phân loại mức độ ưu tiên bảo vệ; Xác định lỗ hổng bảo mật; Xác định nguy cơ; Xác định rủi ro; Bảo vệ; Thực thi chính sách; Đo lường mức độ thực thi chính sách; Đảm bảo tính tuân thủ, thực thi theo các chính sách, quy định như các quy trình CMM, tiêu chuẩn ISO 27001.

     



    VIRUS KHÔNG ĐÁNG SỢ?!

    Những lệnh xấu lây nhiễm vào các tập tin và gây hại cho tập tin, máy tính được gọi là virus vì tính tác hại và lây lan. Nay, chúng phát triển thành các tập tin độc lập tác hại khôn lường. Tuy nhiên, virus vẫn không đáng sợ, nếu...

    Vì sao cần PM diệt virus?

    Virus máy tính (virus) là công cụ để hacker xâm nhập, kiểm soát máy tính của người sử dụng. Không những thế, nó còn có thể đồng thời xâm nhập rất nhiều máy tính trong một khoảng thời gian ngắn. Qua đấy, hacker có thể tận dụng một số lượng lớn các máy tính bị kiểm soát để đồng thời huy động sức mạnh của các máy tính này thực hiện một cuộc tấn công. Vì vậy, virus sẽ luôn là vấn đề quan tâm hàng đầu khi nói đến ATTT.

       

     

    “Nhiều người dùng vẫn cài đặt song song hai hay nhiều PM diệt virus trên cùng một máy tính. Điều này dễ dẫn đến xung đột! Người dùng chỉ cần một nhà sản xuất có chất lượng, có hỗ trợ tốt. Tiêu chí để đánh giá PM diệt virus là: chất lượng xử lý triệt để, khả năng cập nhật kịp thời” – Ông Nguyễn Tử Quảng

    Th.S Nguyễn Tử Quảng, giám đốc trung tâm An Ninh Mạng BKIS đã có hơn 10 năm nghiên cứu về virus cho biết, “thời tiền sử” của virus chỉ là các đoạn mã được lập trình và hacker tìm cách lây nhiễm chúng vào các file trong máy tính nhằm... tiêu khiển. Cùng với sự ra đời và phổ biến của Internet, những phiên bản virus về sau không còn phải “sống ký sinh” trong các file nữa mà có thể là một file độc lập và có khả năng lây từ máy này sang máy kia trong môi trường mạng. Loại virus này tuy lây lan nhanh nhưng diệt không quá khó vì chỉ cần tìm diệt đúng file. Nhưng virus ngày càng tinh vi, virus lây file kết hợp cả khả năng lây qua mạng khiến việc phát tán càng trở nên dễ dàng trong khi khả năng tìm diệt khó khăn hơn. Rồi, sự ra đời của các thiết bị lưu trữ di động như USB, bộ nhớ di động... càng mở rộng môi trường cho virus phát tán.

    Có quan điểm cho rằng tất cả các mối nguy cho máy tính và mạng đều có thể coi là virus và việc phân loại thành trojan, worm... hay một tên gọi nào khác sau này chỉ mang tính kỹ thuật. Chính vì vậy, phải có một PM thường trực sẵn sàng với những mối nguy hiểm như vậy. PM diệt virus sẽ tồn tại chừng nào trên máy tính còn sử dụng PM. Quan điểm này ví von mức sống trên thế giới ngày càng cao nhưng con người lúc nào cũng cần bác sỹ, bệnh viện và thuốc... Máy tính ngày càng mạnh, nhiều chức năng nên cũng cần... “chữa trị”. PM diệt virus cũng vậy! Bây giờ không chỉ diệt mỗi một loại hình virus mà bao gồm diệt tất cả virus, spyware, adware, trojan, rootkit... theo hướng “tất cả trong một”. Các nhà cung cấp trên thế giới đều có xu hướng đưa ra các PM diệt virus có khả năng diệt hết các loại mã độc.

    Dùng PM diệt virus có bản quyền!

    Về vấn đề này, phóng viên đã trao đổi thêm với ông Nguyễn Tử Quảng:

    Ông có nhận xét gì về ý thức người dùng trong việc phòng chống các loại mã độc?

    Hiện người dùng đã có ý thức cập nhật thường xuyên hơn các phiên bản mới của các PM diệt virus (38%), trong khi năm 2006 là 31%. Nhận thức về cập nhật bản vá lỗ hổng PM, vốn là điểm yếu để virus có thể dễ dàng xâm nhập cũng đã nâng lên. Theo thống kê của BKIS, đã có 49,45% người sử dụng máy tính biết thế nào bản vá lỗ hổng PM và cập nhật. Năm 2006 con số này chỉ là 26%. Tuy nhiên, điểm yếu nhất hiện nay của người sử dụng tại Việt Nam là chưa sử dụng PM diệt virus có bản quyền để có được hỗ trợ kỹ thuật của nhà sản xuất đi kèm cũng như cập nhật mẫu nhận diện virus kịp thời. Số người sử dụng PM có bản quyền vẫn còn rất ít. Điều này khiến virus trở thành khó khăn với nhiều người. Như vậy, nhận thức của người dùng đã nâng lên nhưng hành động thì chưa.

    Sự khác biệt giữa PM diệt virus nước ngoài với PM diệt virus của Việt Nam là gì?

    Về mặt công nghệ thì không có sự khác biệt. Hiện nay, virus là nguy cơ toàn cầu phát tán qua Internet không có biên giới. Hiện, mỗi ngày BKAV cập nhật 2 lần với khoảng 40-50 mẫu virus mới và 99% trong số đó là các virus phát tán trên toàn cầu, rất hiếm virus xuất xứ Việt Nam. Gần đây, BKIS đã thành lập một bộ phận Test, tiến hành test thử nghiệm các loại virus khó xử lý (lây file, đa hình) xuất hiện gần đây như Ukuran (xuất xứ Indonesia), dashfer (virus chèn banner tiếng Trung Quốc)... thì thấy BKAV đều có thể diệt được. Trong cuộc chiến chống virus, người Việt Nam là những người rất thiện chiến.

    Ngoài ra, về mặt cập nhật các mẫu nhận diện kịp thời, thì rõ ràng “nước xa không cứu được lửa gần”, PM của Việt Nam sẽ cập nhật kịp thời những mối nguy từ bên ngoài xâm nhập vào Việt Nam, những mối nguy hiểm nội địa lại càng sớm được cập nhật. Với trên 90% máy tính ở Việt Nam sử dụng BKAV, nếu có mối nguy gì thì chúng tôi sẽ biết đến đầu tiên chứ không phải các PM diệt virus nước ngoài.

    Nếu vậy, các mẫu virus có xuất xứ từ nước ngoài chưa xâm nhập vào Việt Nam thì các PM diệt virus nước ngoài sẽ cập nhật trước PM Việt Nam!?

    Virus có thể xuất hiện từ bất kỳ quốc gia nào và không hãng PM diệt virus nào có thể có đủ người để “rải” khắp toàn cầu. Vì vậy, không thể phát hiện và cập nhật ngay khi nó xuất hiện từ mọi “ngõ ngách”. Ví dụ, virus Ukuran (phá hủy các file dữ liệu .dbf) xuất hiện từ Indonesia, tới lúc nó xâm nhập vào Việt Nam thì vẫn chưa có PM nào kịp cập nhật. BKAV là PM đầu tiên cập nhật virus này. Mỗi ngày đều có hàng chục mối nguy cơ trên toàn cầu như vậy. Rõ ràng, hãng PM diệt virus cần rất chủ động, sẵn sàng cho từng thị trường. Tại Việt Nam, hãng sản xuất tại Việt Nam sẵn sàng hơn.

    Ông có lời khuyên gì dành cho người dùng trước vấn nạn virus?

    Tôi rất muốn chuyển tới mọi người thông điệp sau: hãy sử dụng PM diệt virus có bản quyền, có hỗ trợ kỹ thuật để mọi vấn đề về virus trở nên đơn giản. Hiện nay, khi gặp virus mọi người thường tự loay hoay xử lý, hoặc hỏi người xung quanh (trong khi họ và cả những người xung quanh đều là những người không có chuyên môn về vấn đề virus). Hậu quả là họ sẽ phải mất cả tuần, cả tháng nhưng cũng không xử lý được, phần lớn lại phải cài lại máy tính gây tốn kém thời gian, nhiều khi mất mát dữ liệu. Nếu sử dụng PM có bản quyền, có hỗ trợ kỹ thuật thì có thể giải quyết ngay trong ngày. Xã hội hiện cần chuyên nghiệp hóa, việc gì thuộc chuyên môn của người khác thì mình nên thuê làm.


    NGUY CƠ TỪ INTERNET VÀ USB

    Ngoài môi trường phát tán virus chính là Internet, USB cũng đang trở thành nguồn lây đáng báo động.

    92,75% người tham gia khảo sát về an ninh mạng tại Việt Nam do trung tâm An Ninh Mạng Bách Khoa BKIS thực hiện cho biết bút nhớ USB của họ từng nhiễm virus trong năm 2007.

    Nên chia sẻ thông tin qua hệ thống mạng

    Internet là mối nguy hiểm lớn nhất về mất ATTT với bất kỳ một DN/TC nào có kết nối Internet. Sau sự vắng bóng của đĩa mềm và sự thay thế không thật thành công của đĩa CD-RW thì thiết bị USB đã nổi lên là vật lưu truyền tin chính giữa các máy tính cá nhân. USB nguy hiểm vì nó có dung lượng lớn, tốc độ trao đổi nhanh, kích thước thiết bị nhỏ và có mặt trong các thiết bị đa dụng khác như điện thoại cá nhân, máy ảnh, máy nghe nhạc... Do chưa ý thức hết mối nguy hại do USB mang lại nên USB được dùng đôi khi quá thoải mái trong các cơ quan, kể cả các cơ quan quan trọng.

    Còn với Internet, theo cảnh báo cho năm 2008 của những người làm an ninh mạng, các mạng xã hội sẽ là nơi để hacker phát tán virus. Một nguyên tắc không hề thay đổi từ trước tới nay là nơi nào nhiều người truy cập, phương tiện nào có nhiều người sử dụng đều là nơi mà hacker nhòm ngó, biến nó trở thành điểm phát tán mã độc. Như vậy mạng xã hội đi kèm với sự phát triển sẽ là những nguy cơ, trở thành những điểm bị lợi dụng.

    Trong các DN hiện nay, việc sử dụng Internet và USB rất phổ biến nhưng đáng tiếc chúng ta lại chưa quan tâm đến việc xây dựng ý thức về ATTT cho nhân viên. Ở các nước phát triển, điều này gần như bắt buộc bởi các luật hay chuẩn như ISO 27001, SOX, HIPAA. Còn ở Việt Nam, do chưa hề có các luật bắt buộc nên chưa thực sự được quan tâm. Để xây dựng ý thức về ATTT cho nhân viên, ông Vũ Quốc Thành, giám đốc công ty Misoft cho rằng, việc xây dựng ý thức về ATTT chỉ có thể thực hiện được khi có nghị quyết của ban lãnh đạo DN vì không thể “khoán trắng” cho bộ phận CNTT. Ví dụ, vấn đề này chỉ được giải quyết triệt để nếu bộ phận quản lý nhân sự thực hiện thủ tục cam kết về thực hiện ATTT ngay khi người nhân viên ký kết hợp đồng lao động.

    GP tạm thời hiện là sử dụng GP phòng chống virus tổng thể để ngăn chặn nguy cơ từ tất cả các nguồn có thể lây nhiễm virus đối với DN/TC từ máy tính cá nhân; sử dụng PM có tính năng quản lý việc truy xuất thông tin ra các thiết bị USB để giảm thiểu nguy cơ mất ATTT qua các thiết bị này. Ngoài ra, DN/TC cần sớm có các quy định về việc sử dụng, trao đổi thông tin trong cơ quan.

    “Trong khi hầu hết các DN/TC đều có mạng máy tính, nên tận dụng hệ thống mạng để truyền dữ liệu theo cách “an toàn” (như lưu trữ thông tin vào thư mục dùng chung, gửi qua mạng), chỉ dùng USB trong trường hợp không thể truyền dữ liệu qua mạng” – ông Nguyễn Tử Quảng, giám đốc BKIS khuyến cáo.

    Để cho USB “đề kháng giỏi”

    USB khi bị nhiễm virus thường có file Autorun.inf, khi click nhầm file này, người sử dụng “vô tình” mang virus từ USB vào PC hoặc ngược lại. Khi đã bị virus này tấn công, file được lưu trữ trong USB sẽ tự nhân đôi và núp dưới dạng file kích hoạt tính năng Autoplay của ổ đĩa. Để tránh bị “những vị khách không mời”, bạn nên mở USB bằng cách nhấn chuột phải rồi chọn Explorer thay vì click đúp chuột trái để chọn Autoplay. Do virus USB thường ẩn, bạn nên đặt chế độ xem file ẩn bằng cách vào My Computer, click vào Tools, Folder Options, View rồi chọn “Show hidden files and folders” và bỏ “Hide protected system files”.

    Bạn còn có thể làm theo cách sau. Đầu tiên, xác định tên ổ đĩa USB của bạn là gì bằng cách click vào My Computer và xác định ổ USB. Sau đó, hãy chuyển đổi hệ thống files sang NTFS bằng thao tác nhấn vào thanh Start, chọn Run rồi gõ như sau: convert : /FS:NTFS. Tiếp đó, bạn tạo một file autorun.inf với nội dung tùy thích rồi click chuột phải vào file vừa tạo, chọn thuộc tính cho file này bằng cách nhấn chuột phải, chọn Properties, click vào read-only và hidden. Cuối cùng, bạn hãy tạo lệnh cấm mọi quyền truy xuất vào file autorun.inf vừa tạo qua thao tác click vào thanh Start, chọn Run rồi gõ lệnh cacls \autorun.inf /D Everyone. Lúc này, chiếc USB của bạn đã có thể “đề kháng” trước virus khá tốt. Bạn cũng nên lưu ý, mỗi khi dùng USB xong, hãy dùng PM diệt virus quét một lượt. Đây là cách được khá nhiều người sử dụng.


    VIỆT HÓA PHẦN MỀM BẢO MẬT

    Bạn sẽ an tâm hơn khi sử dụng máy tính cá nhân vào công việc khi có thể đọc được các dòng cảnh báo của PM bảo mật Bit Defender bằng tiếng Việt.

    PM bảo mật cho máy tính riêng

    Bạn vẫn mua một chiếc máy tính xách tay (MTXT) của riêng mình để làm việc dù đã được công ty cấp một chiếc tương tự. Chiếc MTXT cá nhân nhiều lúc vẫn rất cần thiết vì bạn không phải lo lắng khi làm việc riêng trên một tài sản công. Nhưng bạn vẫn lo máy bị nhiễm virus và không vận hành được. Bạn cũng quan tâm tương tự đến chiếc máy tính để bàn (MTĐB) ở nhà.

    Nhiều người dùng Việt Nam vẫn sử dụng PM chưa có bản quyền trong MTXT và MTĐB của cá nhân. Hệ điều hành, PM văn phòng và nhiều ứng dụng khác không có bản quyền dĩ nhiên sẽ không được cập nhật lỗi... Điều này đồng nghĩa với khả năng bị lây nhiễm virus rất cao.

    Bạn đòi hỏi máy tính “chạy được khi cần”, nghĩa là khi bật máy lên, dù chậm một chút nhưng máy vẫn thực hiện đúng mệnh lệnh của bạn. Những chiếc máy bị lỗi hay bị dính virus thường có hành vi khác lạ và “bất tuân thượng lệnh”. Có những con virus chỉ làm một trò duy nhất là biến các tập tin ở dạng bình thường sang dạng ẩn, khiến người dùng mất không ít thời gian để lục lọi tài liệu trong máy tính hay thẻ nhớ USB. Việc cài đặt một PM bảo mật có bản quyền tối thiểu giúp người dùng đỡ phải bận tâm với những “trò quỷ quái” của lũ virus. Vì thế, nhiều doanh nhân thường sẵn sàng bỏ ra vài trăm ngàn đồng để có sự “yên bình cần thiết”.

    Một phần mềm bảo mật tốt có bản quyền giá khỏang 20 USD. Mua PM bảo mật có bản quyền trước tiên là một bước đi nhỏ nhưng tích cực nhất trong các bước đi tích cực tiếp theo theo lộ trình bản quyền hóa PM máy tính. Năm qua, tại Việt Nam, PM Bit Defender là GP bảo mật cho máy cá nhân được bán ra khá rộng rãi. Đến cuối 2007, nhà phân phối Viami Software đã tung ra bản Việt hóa.

    Bit Defender Total Security 2008 Việt hóa

     

    Giao diện phần mềm Bit Defender bằng tiếng Việt.

    Virus rất đa dạng. Chúng xuất hiện với nhiều tên gọi như trojan, worm, spyware... Bit Defender Total Security (BDTS) 2008 là GP chống virus trọn gói, giúp người dùng theo dõi nhiều “mặt trận” chống virus như chống virus, chống PM gián điệp (anti-spyware), chống các website giả mạo (anti-phishing), chống spam, làm tường lửa (firewall). Ngoài ra, BDTS còn có thêm các chức năng tiện ích như Parental Control (công cụ kiểm soát con cái dành cho phụ huynh), Backup (để sao lưu dữ liệu), Tune-Up (để dọn dẹp “rác” và tinh chỉnh hệ thống) và Gamer (hỗ trợ việc chơi game).

    Với những tính năng trên, có thể thấy BDTS là công cụ bảo mật tương đối đầy đủ các tính năng cần thiết và có thể triển khai trên các MTXT cá nhân hay các MTĐB gia đình. Việc đưa nhiều công cụ bảo mật vào cùng một gói PM giúp việc chống virus của người bận rộn được thuận tiện hơn.

    Tuy nhiên, theo Viami Software, nhà phân phối của Bit Defender tại Việt Nam, một lưu ý nhỏ là cần phải cài BDTS từ sớm; khi người dùng vừa cài hệ điều hành vào máy. Nếu như bạn cài BDTS “ngang xương” vào một máy đã có sẵn một PM chống vrus khác thì có khả năng hệ thống của bạn sẽ bị treo hoặc vận hành trúc trắc. Tốt nhất, khi bạn đã quyết định cài BDTS thì hãy cài lại Windows.

    Một BDTS “biết tiếng Việt” đồng nghĩa với việc bạn điều khiển và ra lệnh cho PM này hiệu quả hơn. Khi bạn mở hay cài một chương trình và BDTS tự động kiểm tra và thông báo: “Chương trình này đang thử sửa đổi Windows Registry. Nếu bạn biết chương trình này, chúng tôi khuyên bạn cho phép thử”. Có thể bạn chưa biết Windows Registry là gì nhưng câu thông báo trên dễ hiểu hơn bất kỳ câu thông báo bằng tiếng Anh nào và giúp bạn ra quyết định dễ dàng hơn. Tối thiểu, bạn cũng biết ra lệnh chặn PM đó lại ngay nếu cho rằng việc “sửa đổi Windows Registry” là không tốt. Giao diện tiếng Việt cho phép bạn dễ dàng “đi lại” trong hệ thống của BDTS và thoải mái ra những lệnh cơ bản bằng tiếng Việt như cập nhật và quét virus.

    BDTS có chế độ cập nhật tự động hàng giờ. Hệ thống kỹ thuật hỗ trợ 24/7. Hiện, tại Việt Nam đã có nhiều SP bảo mật máy tính cá nhân nhưng BitDefender là công ty đầu tiên địa phương hóa SP của mình. PM BDTS được cấp phép sử dụng theo năm; nếu bạn mua BDST năm nay thì năm sau bạn phải mua thêm 1 bản cấp phép (license) nữa để tiếp tục sử dụng dịch vụ của Bit Defender. Được biết trong 2008, Viami Software cũng sẽ tung ra phiên bản Bit Defender 10 Việt hóa dành cho DN/TC. Có thể tìm thêm thông tin về BDTS tại www.viamisoftware.com.

     

    “Hiện đã có khoảng 200.000 người dùng Bit Defender phiên bản cá nhân trên toàn quốc. Thị trường Việt Nam không phải không thể bán được PM có bản quyền nhưng điều quan trọng là phải nắm bắt được nhu cầu, cùng việc đóng gói, định giá và khuyến mãi hợp lý” - ông Lê Ngọc Quang, tổng giám đốc Viami Software.

     


    BLITZ: BẢO MẬT MẠNG TỔNG THỂ

    DN/TC cần thực hành giám sát các luồng dữ liệu theo thời gian thực để kịp thời ngăn chặn các nguy cơ.

    “Mạng hiện đại dễ bị tổn thương...”

    Blitz IT Consultants Pte Ltd có trụ sở chính tại Singapore, 2 văn phòng đại diện ở TP.HCM và Hà Nội... GP tổng thể của Blitz dựa trên SP chọn lọc của các hãng bảo mật lớn. Blitz ở Việt Nam không trực tiếp kinh doanh mà giới thiệu GP của mình qua các đối tác, đại lý như FPT, Hồng Cơ, Fujitsu...

    Theo ông Nghiêm Sỹ Thắng, trưởng đại diện Blitz tại Việt Nam, bảo vệ mạng ở mức phòng chống virus, spyware, trojan, phishing, mã độc; chống xâm nhập từ bên ngoài... như hiện nay là chưa đủ. DN/TC cần đảm bảo mạng thông suốt hầu duy trì hoạt động chất lượng và liên tục; mã hóa kỹ đến từng luồng dữ liệu (tunnel) nhằm đảm bảo ATTT cho người dùng là khách hàng hay chính DN/TC đó... Mạng DN/TC một khi được phát triển mạnh sẽ có cấu trúc không hề đơn giản, bao gồm cả WLAN (mạng có kết nối không dây, truy cập qua wifi) và Internet (ứng dụng mạng riêng ảo VPN)...

    “Mạng hiện đại” dễ bị tổn thương hơn một mạng LAN “chân chất” kết nối Internet đơn giản (chủ yếu dùng các ứng dụng email, duyệt web). Việc phát triển mô hình kinh doanh trên mạng cũng đòi hỏi quy trình bảo mật sâu hơn từ xác nhận, chứng thực đến ký kết trực tuyến... Hay là, để có thể giao dịch và thanh toán trực tuyến, công tác bảo mật của mạng phải được DN chú trọng hơn hẳn so với trước đó. Để đảm bảo mạng thông suốt trên đường truyền nhất định, phải lưu ý cân bằng tải giữa các cổng vào/ra, bản thân các ứng dụng phải hỗ trợ nén và giải nén dữ liệu...

    Giải pháp của Blitz

    Từ các SP bảo mật của các nhà cung cấp, Blitz đưa ra “GP tổng thể” gồm: Bảo mật hợp nhất (từ WatchGuard); cổng bảo mật email và SSL VPN cho truy nhập từ xa (từ O2 Micro); tối ưu luồng dữ liệu (từ Exinda Network); chứng thực duy nhất (từ VeriSign); cân bằng tải (từ Radware)...

    Trong đó, GP bảo mật hợp nhất của WatchGuard tích hợp tường lửa; mạng riêng ảo; phòng chống tấn công hẹn ngày (True Zero Day); chống virus tại cổng mạng; chặn nguy cơ; chống PM gián điệp; chống thư rác; lọc nội dung... vào một thiết bị đơn Firebox giúp giảm chi phí và thời gian, kết hợp GP quản lý nhiều điểm, dễ dàng sử dụng.

       

     

    “Các quản trị mạng sẽ tiết kiệm được nhiều thời gian, công sức để bảo vệ tốt hệ thống nếu chọn lựa GP đúng. GP đúng thường dựa trên 2 yếu tố: Khả năng làm việc tốt nhất của thiết bị; Độ tin cậy của nhà cung cấp”
    - ông Nghiêm Sỹ Thắng

    Firebox có các cấu hình X Edge (cho các văn phòng nhỏ); X Core cho công ty cỡ vừa và X Peak e-series (hỗ trợ đến 1 triệu kết nối đồng thời) cho các DN lớn. SP X Core và X Peak hỗ trợ các mạng lớn và rất lớn (như mạng của các ISP), cung cấp VPN và có tính năng cân bằng tải cho 4 đường WAN hay Internet cùng nhiều tính năng quan trọng liên quan đến bảo mật khác, tiện dùng cho các công ty phát triển mạng mạnh.

    “SP WatchGuard là phần cứng và hệ điều hành nhập một, quản lý các mối đe dọa theo kiểu “tất cả trong một”. Sử dụng nó có lợi ở chỗ dễ dàng kiểm tra lỗi hệ thống khi mọi chức năng hiển thị tập trung. Tường lửa của WatchGuard mặc nhiên chống xâm nhập từ bên ngoài. Người dùng có thể mua thêm giấy phép bản quyền để kích hoạt sử dụng từng chức năng này ở mức cao hơn”, ông Thắng cho biết. Nhà cung cấp WatchGuard có chính sách thị trường khá đặc biệt: bảo hành 3 tháng miễn phí và cung cấp dịch vụ bảo hành sống (livesecurity) cho phép đổi thiết bị còn thời hạn bảo hành khi bị hư hỏng và nâng cấp PM lên phiên bản mới. WatchGuard đã được nhiều DN/TC tại Việt Nam chọn, như: ngân hàng Phương Nam, Rạch Kiến, Việt Á, Hàng Hải...; các công ty Chứng Khoán Gia Quyền, Chứng Khoán TP.HCM... hay các cơ quan như UBND tỉnh Bà Rịa – Vũng Tàu, chi cục Hải Quan Điện Tử TP.HCM và ĐH Quốc Gia TP.HCM...

    Tiếp theo WatchGuard là các GP còn lại. GP cổng bảo mật email của O2 Micro giúp DN chống: thư rác, tấn công DoS, lấy cắp thông tin cá nhân, lọc các nội dung không mong đợi... GP tối ưu hóa dữ liệu Exinda Network tăng tốc ứng dụng thông minh cho DN, cơ quan chính phủ, các ISP, ngân hàng; quản lý lưu lượng; báo cáo tình hình mạng. GP chứng thực duy nhất VeriSign giúp DN/TC thực hành cấp chứng chỉ số, chứng thực, ký kết giao dịch trên Internet... VeriSign cùng SSL cho phép mã hóa dữ liệu trên đường truyền (đã được ứng dụng ở ngân hàng Đông Á, ngân hàng Quốc Tế (VIB); công ty Chứng Khoán Chợ Lớn...). Riêng GP cân bằng tải Radware bảo vệ luôn cả hệ thống ứng dụng, giúp khắc phục thảm họa, được đặt giữa mạng lõi và mạng biên.

    Vị trí các SP này trong GP tổng thể của Blitz được hình dung như sau (tính từ mạng bên ngoài vào): WatchGuard – Exinda – Radware – VeriSign (nằm ngay trên các ứng dụng)...


    BẢO MẬT NGAY TRONG HỆ ĐIỀU HÀNH

    Bảo mật hệ thống là đảm bảo quyền quản trị chỉ được phép xảy ra đúng lúc; chắc chắn rằng người quản trị chỉ được phép dùng quyền quản trị từ một máy tính xác định.

    Đảm bảo quyền quản trị hệ thống

    Theo ông Tạ Quang Thái chuyên gia của Vietsoftware, đại diện Việt Nam trong Asianux, các GP hiện nay đang được TC/DN chọn triển khai để ngăn chặn hoặc tạo vỏ bọc đối với từng máy tính hay các phân vùng trong hệ thống thường là:

    • Tường lửa (firewall) tạo các vùng bảo vệ, ngăn chặn các truy cập trái phép từ các nguồn không xác thực dựa trên nguyên lý chặn cổng và các địa chỉ IP;

    • Các bộ lọc IDS, IPS lọc thông tin vào ra để xác định và ngăn chặn các mẩu tin có thể tổn hại đến hệ thống;

    • Proxy và Reserve Proxy ngăn chặn hoặc thiết lập cơ chế truy cập vào ra giữa các vùng mạng hoặc địa chỉ máy tính được xác định trong hệ thống;

    • PM Anti-virus, lọc chống spam, quét email ... nhằm xác định và ngăn chặn các tác nhân có thể làm tổn hại đến thông tin trên máy tính hoặc trên mạng;

    • Access Control List (danh mục kiểm soát truy cập) trên cơ sở các tài khoản của HĐH nhằm xác định quyền truy cập, quyền chạy và thực hiện các tác vụ trên hệ thống;
    • Mã hóa thông tin, dữ liệu.

    Ngoài ra, “chống tấn công xâm nhập cũng ngày càng được lưu ý”, ông Thái cho biết. Khi tấn công vào một hệ thống, kẻ đột nhập sẽ tìm mọi cách để vượt qua các tuyến phòng thủ, hay cài các PM gián điệp để leo thang từ máy tính này qua máy tính khác để chiếm tài khoản quản trị hệ thống (quyền Administrator với Windows hoặc quyền root đối với Unix/Linux). Một khi đã nắm được quyền quản trị thì kẻ đột nhập sẽ điều khiển toàn bộ hệ thống và làm bất cứ điều gì chúng muốn.

    Tuy nhiên, theo ông Thái, kẻ đột nhập cũng không loại trừ khả năng móc nối, câu kết hoặc giả mạo với chính những nhân viên bên trong hệ thống để có được quyền quản trị hoặc tiếm quyền từ tài khoản người dùng thông thường. Với cách thức tấn công này, bất kỳ DN/TC nào cũng không thể đảm bảo được hệ thống của mình.

    “Bảo mật hệ thống là đảm bảo quyền quản trị chỉ được phép xảy ra đúng lúc; chắc chắn rằng người quản trị chỉ được phép dùng quyền quản trị từ một máy tính xác định. Người quản trị cũng phải ngăn chặn các tài khoản tiếm quyền hoặc di chuyển giữa các máy tính, chỉ cho phép các tài khoản nhất định thực hiện các câu lệnh nhất định trên từng máy chủ; theo dõi toàn bộ các hành động, các câu lệnh được thực hiện trên máy tính và lưu trữ ở một máy chủ khác nhằm tránh kẻ đột nhập xóa dấu vết trên các máy bị đột nhập...”, ông Thái nói.

    “Vấn đề sẽ được giải quyết khi HĐH được bảo mật, phòng vệ từ chính bên trong”, ông Thái quả quyết. Một trong những GP phòng vệ từ bên trong chính là Redcastle Sercured OS - một GP bảo mật hệ điều hành (HĐH) của Hàn Quốc, do Vietsoftware cung cấp

    Asianux Server 3 + RedCastle

    Redcastle Sercured OS là hệ thống PM dùng để bảo mật lõi HĐH nhằm theo dõi, chống lại việc đánh cắp, giả mạo, lấn quyền hoặc bất kỳ hành động nào từ những người bên trong hoặc hacker đột nhập chiếm quyền điều khiển. RedCastle được tích hợp sẵn vào Asianux Server 3. Tuy nhiên, RedCastle cũng có thể chạy trên các HĐH khác để tăng cường khả năng phòng vệ từ nhân.

    PM cài đặt dễ, quản trị tập trung qua giao diện đồ hoạ, bảo mật hầu hết các HĐH hiện có như Windows; Linux (Redhat, Suse, Debian ...); Sun Solaris; AIX; HP-Unix... và hoàn toàn không làm giảm hiệu năng xử lý của hệ thống. Ông Thái cho biết, GP đã được Samsung IT lựa chọn làm GP bảo mật cho hệ thống trên toàn cầu. Hàng nghìn tổ chức chính phủ, tổ chức tài chính của Hàn Quốc đã sử dụng RedCastle Sercured OS.

    Khi mua GP cho một máy chủ, hàng trăm máy trạm có thể kết nối mà không phải trả chi phí. Hệ thống hoạt động nhanh, ổn định, không đòi hỏi cấu hình phần cứng cao; có thể hoạt động trên rất nhiều nền tảng (x86-32; x86-64; Itanium; IBM-PPC); bảo mật cao với các cuộc tấn công từ bên ngoài và đặc biệt có thể phòng chống các cuộc tấn công từ bên trong; có thể lưu vết, theo dõi, ngăn chặn bất cứ hành động này xảy ra bên trong hệ thống.

     

    Hãy tập trung bảo vệ thông tin!
    Phần lớn DN/TC hiện nay quan tâm đến phòng tránh tấn công mạng từ bên ngoài chứ chưa thực sự đề cập đến chuyện bảo vệ dữ liệu khỏi các vụ xâm nhập nội bộ. Theo tôi, DN/TC có thể tự bảo vệ hiệu quả bằng cách tập trung bảo vệ thông tin của mình, đừng quá chú ý bảo vệ máy tính.
    Một ví dụ thành công có thể dẫn ra là câu chuyện của một công ty châu Á, ngoài những biện pháp thông thường, họ áp dụng GP bảo mật cho các ứng dụng Internet và thử nghiệm kỹ độ an toàn trước khi triển khai. Còn ví dụ cho sự thất bại là một công ty cung ứng dịch vụ của Nhật, họ không cung cấp phân khu mạng giữa các khách hàng và không có tường lửa hay phòng tránh virus.
    Về an ninh mạng, DN nên nhất quán theo một GP an ninh tối ưu và được thiết lập cẩn thận. Bảo mật dữ liệu ở mức độ cao cần giải quyết 2 nhiệm vụ. Thứ nhất, bảo đảm người sử dụng chỉ được quyền truy cập vào những thông tin cần thiết cho công việc. Thứ hai, bảo đảm người sử dụng chỉ dùng thông tin đúng mục đích được đặt ra. Các biện pháp kỹ thuật và công nghệ cho nhiệm vụ thứ hai này hiện vẫn để ngỏ.
    Thomas Parenty

     

    Ông Thomas Parenty, lãnh đạo các dịch vụ an ninh thông tin của công ty Hill & Associates và là nhân viên của chi nhánh An Ninh Quốc Gia Hoa Kỳ, diễn giả của hội thảo Thế Giới Bảo Mật (Security World) sẽ diễn ra trong tháng 3/2008, tại Hà Nội.

     


    ĐỂ WEBSITE THÀNH KÊNH PHÂN PHỐI AN TOÀN

    Các công ty chứng khoán Việt Nam thời gian qua đã gia tăng số lượng và quy mô rất nhanh chóng nhưng vấn đề ATTT chưa được quan tâm. GP của Vincom là tham khảo có giá trị.

    Đòi hỏi đặc thù...

     

    Ông Đinh Quang Nương, chủ tịch
    HĐQT CTCK Vincom

     Đối với các công ty chứng khoán (CTCK), thông tin là tài sản. Do đó, đảm bảo ATTT trong các CTCK cần được coi trọng hơn gấp bội. Thực tế tại Việt Nam, các CTCK ra đời hàng loạt nhưng đầu tư cho công nghệ chỉ ở giai đoạn đầu, còn rất nhiều việc phải làm. Số CTCK đã tạo dựng được một hệ thống quản lý thống nhất và toàn diện rất hiếm.

    Ông Đinh Quang Nương, chủ tịch HĐQT CTCK Vincom chia sẻ, thống kê gần đây cho thấy 70% website của các CTCK không được bảo vệ. Một phần do lãnh đạo các CTCK chỉ am hiểu về chứng khoán mà thiếu quan tâm đến ATTT. Với những người có hiểu biết về ATTT, việc bảo toàn nội dung trang web phải là yếu tố quan tâm hàng đầu. Nhưng trên thực tế, nhiều CTCK đã coi website chỉ như một e-profile (hồ sơ điện tử) của công ty nên chỉ thuê một công ty xây dựng website để đưa thông tin lên.

    Nhà đầu tư mong đợi ở các CTCK nhiều hơn thế. Website của CTCK không chỉ là nơi cung cấp thông tin cho nhà đầu tư mà như một kênh phân phối, cung cấp dịch vụ tới khách hàng. Qua website, nhà đầu tư có thể đặt lệnh, giao dịch trực tuyến, tra cứu thông tin, quản lý các giao dịch, quản lý cổ phiếu... Với những dịch vụ như trên, website phải được bảo toàn kỹ lưỡng và đòi hỏi sự đầu tư tương xứng. Thật khó để đưa ra con số đầu tư bao nhiêu thì đủ, nhưng GP của CTCK Vincom dưới đây sẽ là một tham khảo có giá trị cho các CTCK.

    Giải pháp bảo mật tại công ty Vincom

    Hệ thống đảm bảo ATTT của Vincom được tiếp cận theo quan điểm “chủ động” để bảo vệ chính mình. GP đưa ra là chia vùng (zone) để bảo vệ. Phần thông tin dành cho khách hàng được Vincom đặt ở một hệ thống riêng và được kiểm soát bởi các lớp bảo vệ: Internet zone; DMZ zone; Local zone; External zone và các mạng riêng ảo. Với cách phân lập này, khi hacker truy xuất được vào 1 zone thì không có nghĩa là sẽ tấn công được các zone tiếp theo do mỗi zone có những yêu cầu khác nhau về bảo mật (cường độ, mật độ, phương thức).

    Ngay cả chiến thuật, cách thức bảo vệ cũng được thiết lập khác hẳn nhau giữa các zone. Điều này làm giảm khả năng của hacker, đồng thời cho phép công ty có thời gian phản công hacker. Không chỉ với từng zone, ngay từng network port (nút mạng) cũng được kiểm soát. Khi có một thiết bị lạ “plug” (cắm) vào hệ thống, lập tức hệ thống sẽ tự động nhận diện và thông báo cho quản trị mạng. Như vậy, hệ thống của Vincom được bảo vệ ngay từ bên trong chứ không chỉ phòng các tấn công từ ngoài vào.

    Đối với website của công ty, khách hàng thường xuyên truy cập nhưng phần lớn họ không được trang bị kiến thức cơ bản về phòng tránh rủi ro ATTT. Không ít khách hàng đã mắc phải các lỗi rất cơ bản như: quên log out sau khi sử dụng website, sử dụng các mật khẩu có liên quan đến thông tin về cá nhân (ngày sinh, số CMND)... Vì vậy, Vincom có GP để chủ động phòng ngừa. Chẳng hạn, với trường hợp khách hàng quên log out, hệ thống sẽ tự động log out sau x giây. Với mật khẩu, Vincom sử dụng 2 loại mật khẩu song song: loại thứ nhất do khách hàng tự đặt và loại thứ hai thay đổi liên tục do hệ thống của Vincom cung cấp. Nếu mật khẩu thứ nhất bị lộ đã có mật khẩu thứ hai hỗ trợ. Nếu hacker sử dụng thuật toán để tìm ra mật khẩu thứ hai thì cũng cần phải có sự hợp tác của khách hàng mới có thể truy cập vào hệ thống.

    Cũng theo ông Nương, đảm bảo ATTT là việc quán triệt các chính sách nhất quán từ trên xuống. Nếu ban lãnh đạo không quy định điều gì là quan trọng thì nhân viên sẽ không biết để bảo vệ. Vì vậy, Vincom đã phát hành cuốn sổ tay “IT Information” trong toàn nội bộ công ty để hướng dẫn nhân viên cách thức bảo vệ thông tin cho công ty và cho khách hàng. Tuy việc tuân thủ các quy định đều ít nhiều gây phiền phức, chẳng hạn khi nhận một email có file đính kèm, nhân viên phải chờ hệ thống quét virus rồi mới được mở, gây mất thời gian chờ đợi. Tuy nhiên, do được giải thích và thông báo từ trước nên mọi nhân viên đều hiểu và sẵn sàng tuân thủ.

     

    Giá trị của ISO 270011

    Tiêu chuẩn ISO 27001 xem thông tin là loại tài sản của DN hay tổ chức và con người trở thành đối tượng trọng tâm của tiêu chuẩn quản lý ATTT. DN muốn đạt chuẩn này cần cách tiếp cận đúng chứ không cần những cố gắng “vượt bậc” để có một chứng chỉ ISO 27001.
    Để đạt được ISO 27001, DN cần được chuẩn bị trước cả về tinh thần lẫn vật chất. Chi phí đầu tư cho ISO 27001 lớn. Tổng chi phí này thường rất khác nhau tùy thuộc vào phạm vi, mức độ triển khai, nhu cầu của DN... Nếu so với chi phí cho chứng chỉ ISO 9001 (bộ tiêu chuẩn về quản lý chất lượng đã khá quen thuộc với nhiều DN Việt Nam) thì chứng nhận ISO 27001 lớn gấp 3 lần! Để hoàn tất chứng chỉ ISO 27001, DN phải có ít nhất 4 lần chi tiêu gồm chi phí cho tư vấn, GP triển khai, đánh giá và đào tạo.
    Trong đó chi phí cho GP trong quá trình triển khai biến động nhiều nhất. Giả sử DN muốn kiểm soát được những ai đã ra vào công ty, khi nào và ở đâu, mọi thông tin này được lưu giữ ở một máy chủ (GP này gọi là Access Control). Giá của GP này rất khác nhau tùy tên tuổi, chế độ bảo hành.
    Sau khi có chứng chỉ 1 năm, DN buộc phải đánh giá lại hệ thống quản lý của mình, để xác định cái được và chưa được trong GP. Và quy trình đánh giá lại đồng nghĩa với chi phí tái đầu tư được bỏ ra. Như vậy, ngân sách ATTT hàng năm của DN là không nhỏ. Nếu mỗi DN có thể tính ra được phần thu lợi từ những dự án hay khách hàng của mình thì xem như khoản đầu tư này đã sinh lợi hoặc cũng có thể coi chi phí này như một phần của tiếp thị hay làm thương hiệu cho DN.

     


    Nguyễn Thế Đông, giám đốc nhà máy V-Birdd
    “ĐÁNH GIÁ KỸ ĐỂ TRÁNH LÃNG PHÍ”


    Để an tâm với hệ thống thông tin của DN, bạn phải có ý thức về vấn đề bảo mật, tìm hiểu xem mức độ bảo mật thông tin DN của mình đến đâu và cần phải đầu tư đến mức độ nào là phù hợp, tránh lãng phí.

    Chú trọng kiểm tra thông tin vào ra

    Năm 2004 tôi bắt đầu dự án thành lập DN riêng với số vốn đầu tư khá khiêm tốn cho hệ thống máy tính và tổng đài nội bộ. Hơn 10 máy tính đủ loại cấu hình kết nối với nhau qua mạng nội bộ. Dây cáp triển khai tập trung về phòng Server tại tầng 1. Tôi thiết kế hệ thống dây vừa để truyền dữ liệu máy tính, vừa là dây cáp điện thoại, vừa phối hợp với cáp camera. Triển khai hệ thống dây cáp theo kiểu tập trung tốn kém chi phí hơn một chút nhưng có lợi là dễ dàng phát hiện lỗi trong quá trình vận hành, tốc độ truyền dữ liệu rất nhanh và giảm chi phí đầu tư các switch phân tán tại các phòng, ban.

    Trong những tháng đầu tiên, chúng tôi thiết lập hệ thống mạng ngang hàng để giải quyết công việc. Dữ liệu lưu trữ tập trung trên máy nhân viên hành chính đặt tại tầng trệt, khu vực sản xuất (tôi và bộ phận kinh doanh) ngồi ở tầng 1, tầng 2 và tầng 3 là phòng kỹ thuật nghiệp vụ và chăm sóc khách hàng. Máy xây dựng theo hình thức ngang hàng nên việc truy cập thông tin khá thoải mái, tuy nhiên dữ liệu không được bảo mật tốt cho lắm. Có lần một nhân viên vô ý làm hỏng tập tin khách hàng dùng chung. Thế là tôi nghĩ đến việc phải đầu tư một máy chủ để tăng cường bảo vệ dữ liệu và phân quyền truy cập giữa các cấp quản lý khác nhau. Tôi trang bị một máy chủ IBM dòng x, chạy 2 CPU, có card RAID và cấu hình cho chạy RAID 5 trên 3 đĩa cứng rời. Cài đặt Windows Server 2003 và tổ chức hệ thống Active Directory để phân quyền truy cập.

    Với máy chủ mới, tôi hoàn toàn yên tâm về công tác quản trị thông tin bên trong DN, nhân viên bây giờ bắt buộc phải đăng nhập vào hệ thống mạng, tên máy trạm và Server đều được đặt lại theo tiêu chuẩn (naming convention) nên rất đồng nhất và chuyên nghiệp. Ngay khi đăng nhập vào hệ thống, máy tính trạm được “map” ngay với các ổ đĩa mạng. Tôi yêu cầu đặt tên ổ đĩa P: dành cho public, F: để chứa các ứng dụng dùng chung toàn công ty, G: dành cho từng phòng ban khác nhau, với phân quyền khác nhau, H: dành cho từng cá nhân tự lưu trữ thông tin trên Server và bảo mật riêng. Dữ liệu trên tất cả các ổ đĩa mạng đều được lưu trữ định kỳ mỗi ngày và có thể khôi phục bất cứ lúc nào. Chuyện này khắc phục tình trạng xóa nhầm hoặc file dữ liệu bị hỏng. Hơn nữa, Server còn chạy một đoạn Script cho phép kiểm tra phiên bản phần mềm Antivirus tại các máy trạm, nếu phát hiện thấy phiên bản cũ sẽ lập tức triển khai cài đặt phiên bản cập nhật. Điều này giúp các máy tính trạm luôn sử dụng phần mềm có phiên bản Virus Signature mới nhất.

    Sử dụng Internet và các ứng dụng mạng như Yahoo Messenger hiện nay rất phổ biến trong DN, đây cũng là một cửa ngỏ thông tin quan trọng, vừa nhanh, vừa tiện lợi nhưng cũng là nguy cơ rò rỉ thông tin. Nếu cấm nhân viên không được sử dụng YM thì đồng nghĩa với việc cắt đi một phương tiện thông tin hữu ích. Sau một tuần đắn đo suy nghĩ, cuối cùng tôi quyết định đầu tư thêm một Server nữa và triển khai dịch vụ Proxy Server để kiểm soát và hạn chế khả năng của YM. Tất cả nhân viên đều phải truy cập Internet thông qua Proxy Server (sử dụng IIS Server) nên thông tin đều bị kiểm soát khi cần (điều này đánh vào tâm lý của nhân viên khi truy cập vào các trang web không lành mạnh trong giờ làm việc). Proxy Server rất hiệu quả trong việc kiểm soát thông tin và đặt các luật (rule), như không cho phép nhân viên sử dụng các dịch vụ Free mail (Hotmail, Yahoo...), không cho nhân viên chuyển file thông qua trình chat... Không những thế đây cũng là Firewall kiểm soát luồng thông tin ra vào File Server chính của công ty và giúp tăng tốc truy cập Internet thông qua chức năng Cache.

    Chính sách cho con người

    Công ty càng phát triển, chúng tôi càng tuyển dụng được nhiều kỹ sư máy tính khá giỏi. Họ có thể “crack” password của Windows XP chỉ trong vòng 3 phút và có thể xâm nhập vào máy tính nội bộ khác trong mạng LAN nhanh như chớp! Thông tin DN cũng ngày càng trở nên nhạy cảm hơn khi các đối thủ cạnh tranh bắt đầu dòm ngó từng động tĩnh và tiến hành lôi kéo những nhân viên có năng lực bằng nhiều hình thức. Các biện pháp kỹ thuật cũng có điểm hạn chế nhất định và tôi bắt đầu suy nghĩ về các chính sách dành cho con người trong hệ thống.

    Năm 2006, tôi bắt đầu nghiên cứu bộ tiêu chuẩn iSO 27001 về bảo mật thông tin và bắt đầu từng bước áp dụng vào DN của mình. Bộ tiêu chuẩn ISO bao gồm 15 chủ điểm bảo mật, cho phép người quản lý áp dụng nhằm tối đa hóa khả năng an toàn thông tin trong DN. Tuy nhiên, bảo mật càng cao thì tốc độ xử lý càng chậm. Tùy vào mô hình kinh doanh hoặc tính chất công việc mà bạn có thể áp dụng các nguyên tắc này một cách khoa học. Trong bộ tiêu chuẩn ISO 27001, có thể lược sơ qua các chủ điểm sau:

    1. Tổ chức bảo mật thông tin trong DN

    2. Việc phân loại thông tin và dữ liệu 

    3. Quản lý truy cập thông tin và đăng nhập vào các hệ thống

    4. Quản lý việc xử lý thông tin và các tài liệu trong DN

    5. Quản lý đầu tư các phần mềm dùng chung

    6. Bảo mật các trang thiết bị phần cứng

    7. Chống tội phạm mạng

    8. Quản lý bảo mật khi giao dịch TMĐT

    9. Phát triển và quản lý các phần mềm được phát triển bởi chính DN

    10. Quản lý các thiết bị lưu trữ

    11. Vấn đề con người trong quản lý bảo mật

    12. Đào tạo nhận thức cho con người

    13. Tuân thủ luật pháp

    14. Phản ứng với các sự cố

    15. Duy trì tính liên tục cho hoạt động kinh doanh.

    Với các chủ điểm trên đây trong bộ ISO 27001, bạn có thể nghiên cứu rất sâu vào các nguyên tắc quản lý và thiết lập các quy tắc bảo mật phù hợp với mô hình DN của mình.

     

    Các thông tin cồng kềnh như kế toán, tài chính, nhân sự, tiền lương, danh mục khách hàng, bảng giá hàng hóa xuất nhập và nhiều thông tin giá trị khác đang được lưu trữ trong các tập tin dạng Word, Excel hoặc trong các phần mềm cơ sở dữ liệu như Fox, Access, SQL hoặc mySQLmà hầu như không hề được mã hóa và có cơ chế bảo mật phù hợp. Đối với các DN tại Việt Nam hiện nay, đầu tư cho CNTT, cụ thể là đầu tư hệ thống máy tính nối mạng thôi cũng đã được xem là một bước tiến bộ nhưng bảo mật thông tin vẫn bị xem nhẹ hoặc chưa được đầu tư đúng mức.

     


    Như Dũng – Thu Nga – Phi Quân – Hải Phạm – Thanh Nam – Đại Nguyên
    ID: B0803_13