• Thứ Sáu, 20/11/2009 07:38 (GMT+7)

    Bảo vệ dữ liệu từ bên trong

    Để bảo vệ dữ liệu khỏi những mối đe dọa hiện thời đòi hỏi phải kết hợp các công cụ bảo vệ mạng, hệ thống và dữ liệu.

    Sự an toàn

    Nói đến việc bảo mật dữ liệu, chẳng có giải pháp (GP) nào là duy nhất và tuyệt đối. Điều đó thậm chí còn đúng hơn bao giờ hết khi khả năng đe dọa cao nhất lại chính là nhân viên trong công ty. Ngày càng nhiều người phá bỏ giới hạn của giờ làm việc bằng cách đem máy tính xách tay, điện thoại thông minh hay những thiết bị khác từ nơi làm việc về nhà. Họ đã đặt những dữ liệu của công ty vào tình trạng mạo hiểm. Trong một khảo sát gần đây của tạp chí CIO, 34% số người tham gia trả lời đã trải qua sự cố an ninh bị xâm phạm mà chính nhân viên đương nhiệm của họ là thủ phạm.

    Theo Jonathan Penn, phó chủ tịch phụ trách lĩnh vực quản lý an ninh và rủi ro tại Forrester Research, những công cụ ngăn chặn việc mất dữ liệu cung cấp cách thức nhận dạng hoạt động xử lý dữ liệu mang tính rủi ro cao và yêu cầu phải có biện pháp sửa chữa. Phần mềm (PM) ngăn chặn mất dữ liệu hiện nay có ba mức bảo mật: bảo vệ mạng khỏi những thiết bị gây thiệt hại, bảo vệ hệ thống khỏi sự truy cập trái phép và bảo vệ dữ liệu. Penn cho rằng, một chiến lược hiện đại về bảo mật dữ liệu cần phải bao gồm cả 3 mức bảo mật nói trên.

    Cản những thiết bị lạ

    Jeff Kuhns, phó giám đốc thông tin trường đại học Pennsylvania State University, có nhiệm vụ bảo vệ các mạng của 24 khu trường học khỏi những thiết bị gây thiệt hại. Mức độ bảo vệ là loại bỏ bất kỳ thiết bị nào không nằm trong mạng máy tính cục bộ LAN. Để thực hiện điều này, Kuhns đã triển khai một PM của Mirage Networks. Hệ thống này bảo vệ dữ liệu bằng cách ngăn cản những thiết bị trái phép không cho truy cập vào các dữ liệu bị cấm.

    PM này đưa ra một phương án truyền thống cho việc bảo vệ dữ liệu bằng cách cấm những thiết bị lạ và các truy cập trái phép khác. Một khi đã được cài đặt, hệ thống Mirage định vị những thiết bị được kết nối. Bộ phận CNTT có thể đề ra chính sách truy cập dành cho mỗi thiết bị và cho các cá nhân hoặc nhóm người dùng. Kuhns nói, PM Mirage là một phần của “sự triển khai phòng-thủ-chắc của nhiều hệ thống và chiến lược”. Chúng bao gồm cả những thiết bị và PM an ninh truyền thống, chẳng hạn tường lửa và công nghệ chống virus.

    John Kindervag, một nhà phân tích thâm niên tại Forrester, cho rằng những GP “không có tác nhân” này (agentless) phù hợp đối với các tổ chức ít phải quản lý những thiết bị do người dùng chọn. Khác với những GP “dựa trên tác nhân” (agent-based) đòi hỏi PM nằm trên chính thiết bị, GP agentless lại cư trú trên mạng.

    Từ thiết bị đến cơ sở dữ liệu

    Biết rõ những giới hạn của việc bảo vệ dựa trên cơ sở mạng, một vài cơ quan đã chuyển sang sử dụng công cụ có khả năng bảo đảm người dùng hợp pháp không truy cập dữ liệu một cách không thỏa đáng. Đó là vấn đề mà Nick Ray, giám đốc điều hành của ExpressHR, muốn đưa ra. ExpressHR hỗ trợ các công ty ở Anh quản lý những nhân viên tạm thời. “Toàn bộ công việc của chúng tôi liên quan đến việc sử dụng những dữ liệu mật thiết, bao gồm cả số an sinh xã hội và thông tin hộ chiếu. Nếu có bất kỳ sự xâm phạm an ninh nào, nó sẽ là thảm họa”, Ray nói.

    Ray cho rằng, nguy cơ mạo hiểm lớn nhất là khi ai đó từ bên trong lạm dụng hệ thống và sử dụng thông tin với mục đích ngoài công việc. ExpressHR có hàng chục ngàn người dùng (bao gồm cả những người tuyển việc và những quản lý làm công), họ đều có thể truy cập vào cơ sở dữ liệu (CSDL) của ExpressHR.

    ExpressHR đã triển khai một PM của Secerno để giám sát các CSDL. Hệ thống có thể nhận biết được những mệnh lệnh thông thường từ CSDL. Với thông tin mà PM thu lượm được, nó có thể tự động dựng lên các luật lệ để ngăn chặn những sử dụng trái phép đối với dữ liệu của ExpressHR.

    Kiểm soát thông tin ở mức dữ liệu cho phép những chính sách khác nhau được thiết lập cho từng người dùng mà không chỉ dựa vào yêu cầu.

    PM này cho phép các nhà quản lý hệ thống xác định những luật lệ phản ánh hoạt động của một CSDL cụ thể. PM nhận biết được cách khách hàng liên hệ với CSDL, chẳng hạn như một tập tin được truy cập bao nhiều lần một ngày hay khi nào thì nó được in ra. Những thông tin này trở thành nền tảng cho các chính sách về truy cập. Nếu dữ liệu bị truy cập bằng một cách khác thường, hệ thống sẽ báo hiệu cho bộ phận quản lý CNTT và tự động thực thi chính sách để ngăn chặn vấn đề xảy ra (như cách ly người dùng hay khóa dữ liệu lại).

    Ray cho rằng, bất lợi lớn nhất đối với một GP dựa trên luật lệ là khả năng một sự giao dịch hợp pháp có thể bị cản lại nếu một luật lệ bị xác nhận sai. Nhưng về cơ bản, nguy cơ gây cản một giao dịch thông thường là không đáng kể.

    Đảm bảo sự tiện dụng

    Một khi bạn đã cho ai đó quyền truy cập, và thiết lập nên những chính sách về truy cập thì những câu hỏi cần cân nhắc là: Ai sẽ chỉnh sửa dữ liệu? Hay in chúng? Và ai sẽ hiệu chỉnh nó thành một dạng mẫu khác? Đây là những câu hỏi thông thường trong tiến trình công việc, vì thế để tìm ra bằng cách nào người ta dùng dữ liệu cùng lúc với việc thực thi chính sách an ninh và cách sử dụng là một điều quan trọng.

    Ed Gaudet, phó chủ tịch phụ trách lĩnh vực tiếp thị và phát triển hợp tác của Liquid Machines, một nhà cung cấp PM quản lý quyền lợi cho các doanh nghiệp, nói rằng: “Bạn có thể xây dựng một hệ thống cho công ty với mức bảo mật cao, nhưng với cái giá phải trả là cả một quy trình công việc luôn đòi hỏi phải tuân thủ chính sách nghiêm ngặt”.

    Những công ty như Goldman Sachs và Dow Chemical dùng PM của Liquid Machines để bảo vệ tài sản tri thức bằng cách xác nhận không chỉ ai có thể sử dụng thông tin, mà còn bằng cách nào họ sử dụng nó. PM này được sử dụng chủ yếu để mã hóa dữ liệu và cho phép những nhà quản lý hệ thống lập ra quyền truy cập và sử dụng để ngăn chặn việc lạm dụng. Khi những người dùng trái phép truy cập vào dữ liệu mà họ không được quyền vào, họ sẽ nhận được một thông báo cho biết tập tin đó được bảo vệ.

    Kiểm soát thông tin ở mức dữ liệu cho phép những chính sách khác nhau được thiết lập cho từng người dùng, ngay cả khi chúng rời khỏi mạng nội bộ hoặc rời khỏi tầm mắt của người quản lý. Mức độ quản lý này cho phép các chính sách an ninh dựa trên loại công việc của người dùng. Ngoài ra, với bất cứ công cụ nào bạn dùng, muốn ngăn chặn thất thoát dữ liệu hiệu quả đòi hỏi bạn phải phân loại dữ liệu, một bước mà rất nhiều tổ chức thường bỏ qua. Nếu không phân loại dữ liệu một cách đúng đắn rất có thể tất cả những cố gắng ngăn chặn việc mất dữ liệu đều sẽ thất bại.

    Theo CIO

    ID: B0911_22