• Thứ Tư, 21/06/2006 16:42 (GMT+7)

    Security Chapter 2006

    Trung tuần tháng 6, tại TP.HCM đã diễn ra sự kiện Security Chapter 2006 do VITEC, tạp chí TGVT - PC World Việt Nam và Expore phối hợp tổ chức. Chuyên đề về bảo mật diễn ra 2 ngày và tập trung vào các quy trình, giải pháp bảo mật cho doanh nghiệp với thông điệp “Bảo vệ toàn diện, kiểm soát toàn diện và chiến lược toàn diện”.

    Hơn 11 tham luận từ các nhà cung cấp giải pháp, tư vấn về những vấn đề cụ thể trong mô hình bảo mật 3 lớp (2 lớp bảo vệ, 1 lớp quản lý hạ tầng) đã được trình bày. Ngoài những thông tin về công nghệ và chi tiết kỹ thuật, hội thảo còn có các nội dung hướng đến lãnh đạo các tổ chức, nhà quản lý CNTT.  

     

    Mô hình bảo vệ 3 lớp đề cập tại hội thảo

    Chuẩn và thích nghi


    Tại buổi hội thảo, ông You Cheng Hwee, CEO công ty tư vấn Maximus, cho biết: “DN có được chứng nhận ISO 1799/BS7799 sẽ có nhiều lợi thế khi kiểm toán, vì không chỉ bảo vệ được cho chính bản thân DN mà còn tạo được sự tin cậy cho các đối tác, khách hàng”.

    Được biết, ISO 1799/BS7799 do BSI (British Standards Institution ) tạo ra như một chuẩn hướng dẫn DN phát triển và triển khai “Hệ thống quản lý bảo mật thông tin” (Information Security Management System – ISMS) bao quanh con người, quy trình và hệ thống hạ tầng CNTT.

     

    Vào năm 2005, ISO 17799 được bổ sung, thay đổi và có tên mới là ISO 27001. Ông Minh, đại diện của Misoft tại hội thảo, cho biết: “ISO 27001 mô tả quy trình bảo vệ thông tin của DN, trong khi đó ISO 17799 lại là những hướng dẫn, quy tắc trong triển khai các vấn đề an toàn mạng”. 

     

    Đạt được chuẩn nào đó đồng nghĩa với DN phải thay đổi, cơ cấu lại tổ chức cũng như thiết lập những chính sách mới cho những sự thay đổi đó. Tuy nhiên, sự thay đổi không dễ dàng diễn ra ở mọi tổ chức, và không quản lý được thay đổi là một trong những yếu tố dẫn đến sự thất bại của các dự án CNTT, ông Cuthbert Shepherdson, giám đốc công ty KDI Asia chia sẻ quan điểm trên tại hội thảo.

     

    Và để trả lời câu hỏi tại sao phải thay đổi và làm gì để thay đổi thành công, ông Cuthbert cho rằng: “Trước tiên, phải hiểu thay đổi là một quá trình, không phải là sự việc và cần có thời gian để hiện thực hóa nó. Giới lãnh đạo phải chỉ rõ được những lý do, lợi ích thật cụ thể khi có những mục tiêu, dự án đầu tư cho toàn thể tổ chức, công ty bằng nhiều cách như giao tiếp, đào tạo, khích lệ. Chỉ có sự thay đổi và thích ứng với những quy trình, chính sách mới đảm bảo cho thành công dự án đầu tư CNTT”.

     

     

    Nguyên tắc “kiểm soát rủi ro, tập trung và ưu tiên”

     

    Ông Viren Mantri, phụ trách dịch vụ chiến lược an ninh của McAfee khu vực châu Á – Thái Bình Dương nhận định: “Đối với các DN muốn đầu tư lâu dài cho bảo mật thì trước hết phải xác định được đâu là phần đầu tư trước tiên, đâu là cái quan trọng nhất cần bảo vệ; các giải pháp bổ sung có khả năng bắt tay với các giải pháp đang tồn tại hay không. Và cũng rất quan trọng là DN phải kiểm soát được mọi thông tin của tất cả giải pháp đó từ một nơi duy nhất” .

     

    Để có một hệ thống bảo vệ DN trước các mối đe dọa từ Internet, DN không chỉ trang bị phần mềm chống virus, tường lửa, hệ thống chống xâm nhập… mà phải là một quy trình kết hợp từ giải pháp, công nghệ, chính sách và cả quản lý rủi ro.

     

    Tại hội thảo, đại diện McAfee đã phân tích 2 bước chiến lược cho các DN để làm thế nào đầu tư cho bảo mật được hiệu quả cao nhất. Bước đầu tiên DN phải ước lượng tài sản mình có, DN phải xác định được hệ thống thông tin gồm dữ liệu gì, thiết bị gì, đặt ở đâu và đâu là quan trọng nhất. Một khi đã xác định được các thành phần quan trọng nhất, DN có thể thấy được cái gì cần được bảo vệ trước tiên, và bảo vệ như thế nào. Tiếp theo là chọn lựa giải pháp cụ thể như: Phần mềm chống virus, tường lửa… Mặc dù DN có thể chọn từng sản phẩm tốt nhất cho từng nhiệm vụ nhưng lại gặp khó khăn trong quản lý, sự tương thích giữa các sản phẩm và cả vấn đề tái đầu tư cho bảo mật.  

     

    Và để giải quyết vấn đề trên, McAfee đã đem đến hội thảo giải pháp ePO - một giải pháp quản lý hệ thống bảo mật. Với giải pháp này DN có thể quản lý, phối hợp các ứng dụng bảo mật (phần mềm chống virus, chống xâm nhập, tường lửa...) lại với nhau để phòng chống việc bị tấn công và đồng thời có thể cập nhật hệ thống, bổ sung module mới (tất nhiên của McAfee), thiết bị, cấu hình và triển khai các chính sách bảo mật đến từng đối tượng cụ thể.

     

    Thí dụ, DN có một hệ thống đang hoạt động theo một chính sách bảo vệ của McAfee. Để kiểm soát rủi ro, khi có máy tính của một đối tác nào đó cần kết nối vào hệ thống để chia sẻ thông tin, việc đầu tiên ePO sẽ kiểm tra tuần tự quyền truy cập hệ thống, phần mềm chống virus, đến các bản vá của Windows… Và nếu đối tượng mới đó tuân thủ chính sách thì sẽ kết nối được vào hệ thống với quyền hạng tương ứng với chính sách đó. Ngược lại, máy tính đó sẽ được hướng dẫn thực hiện cập nhật lại chính sách để có thể truy cập vào hệ thống, và tất nhiên máy đó chỉ truy cập được vào bên trong khi tuân thủ chính sách.

         

    Với cách tiếp cận trên, ông Viren Mantri nhận xét: “Các DN không có nhiều ngân sách đầu tư an ninh mạng vẫn có được một biện pháp bảo vệ toàn diện, trọng tâm nhất ở từng thời điểm và dễ dàng bổ sung các lớp an ninh khác khi điều kiện cho phép”.

    Hải Phạm

    ID: O0606_1