Giới thiệu
Bài viết này sẽ trình bày các vấn đề được xem là nền tảng của
an toàn, bảo mật trong một tổ chức, doanh nghiệp. Các vần đề được trình bày bao
gồm cả bảo mật ở mức hệ thống và ứng dụng sẽ là cơ sở cho các tổ chức khi muốn
xây dựng cơ chế bảo mật. Tài liệu cũng giúp bạn rút ngắn được thời gian tiếp cận
vấn đề đảm bảo an toàn cho hệ thống mạng nội bộ của mình. Bạn không cần mất
nhiều thời gian để tìm hiểu mọi thứ. Khi xem xét mọi vấn đề, nơi tốt nhất để
khởi đầu chính là các căn bản – ở đây, chúng tôi sẽ trình bày 6 bước cơ bản để
hệ thống bảo mật tốt hơn.
Bước 1: Thành lập
bộ phận chuyên trách về vấn đề bảo mật
Bất kỳ kế hoạch bảo mật nào cũng
cần sự hỗ trợ trên nhiều phương diện khác nhau, nếu nó muốn thành công. Một
trong những phương thức tốt nhất để có thể được sự hỗ trợ là nên thiết lập một
bộ phận chuyên trách về vấn đề bảo mật. Bộ phận này sẽ chịu trách nhiệm trước
công ty về các công việc bảo mật.
Mục đích trước tiên của bộ phận này là
gây dựng uy tín với khách hàng. Hoạt động của bộ phận này sẽ khiến cho khách
hàng cảm thấy yên tâm hơn khi làm việc hoặc sử dụng các dịch vụ của công ty. Bộ
phận này có trách nhiệm thường xuyên cung cấp các lưu ý, cảnh báo liên quan đến
an toàn bảo mật thông tin nhằm tránh các rủi ro đáng tiếc cho khách hàng và công
ty.
Bộ phận này còn có trách nhiệm tìm hiểu, đưa ra giải pháp, cơ chế bảo
mật cho toàn công ty. Sẽ là hiệu quả và xác thực hơn khi công việc này được thực
hiện bởi chính đội ngũ trong công ty thay vì đi thuê một công ty bảo mật khác
thực hiện.
Cuối cùng, một bộ phận chuyên trách về vấn đề bảo mật có thể
thay đổi cách làm, cách thực hiện công việc kinh doanh của công ty để tăng tính
bảo mật trong khi cũng cải tiến được sức sản xuất, chất lượng, hiệu quả và tạo
ra sức cạnh tranh của công ty. Ví dụ, chúng ta hãy nói đến VPN (Virtual Private
Network), đây là một công nghệ cho phép các nhân viên đảm bảo an toàn khi đọc
email, làm việc với các tài liệu tại nhà, hay chia sẻ công việc giữa hai nhân
viên hay hai phòng ban.
Bước 2: Thu thập
thông tin
Trước khi đưa ra các thông báo mô tả thực hiện bảo mật, bạn
phải lường được mọi tình huống sẽ xảy ra, không chỉ bao gồm toàn bộ các thiết bị
và hệ thống đi kèm trong việc thực hiện bảo mật mà còn phải kế đến cả các tiền
trình xử lý, các cảnh bảo bảo mật, sự thẩm định hay các thông tin cần được bảo
vệ. Điều này rất quan trọng khi cung cấp một cái nhìn bao quát về hệ thống bảo
mật của công ty. Sự chuẩn bị này cũng nên tham chiếu tới các chính sách bảo mật
cũng như các hướng dẫn thực hiện của công ty trong vần đề an toàn bảo mật. Phải
lường trước được những gì xảy ra trong từng bước tiến hành của các dự
án.
Để kiểm tra mức độ yếu kém của hệ thống, hãy bắt đầu với những vấn đề
có thể dẫn tới độ rủi ro cao nhất trong hệ thống mạng của bạn, như Internet. Hãy
sử dụng cơ chế bảo mật bên ngoài từ sản phẩm của một hãng có danh tiếng, có thể
cung cấp thông tin cần thiết để ước lượng mức bảo mật hiện tại của công ty bạn
khi bị tấn công từ Internet. Sự thẩm định này không chỉ bao gồm việc kiểm tra
các lỗ hổng, mà còn gồm cả các phân tích từ người sử dụng, hệ thống được kết nối
bằng VPN, mạng và các phân tích về thông tin công cộng sẵn có.
Một trong
những cân nhắc mang tính quan trọng là thẩm định từ bên ngoài vào. Đây chính là
điểm mấu chốt trong việc đánh giá hệ thống mạng. Điển hình, một công ty sử dụng
cơ chế bảo mật bên ngoài, cung cấp các dịch vụ email, Web theo cơ chế đó, thì họ
nhận ra rằng, không phải toàn bộ các tấn công đều đến từ Internet. Việc cung cấp
lớp bảo mật theo account, mạng bảo vệ bản thân họ từ chính những người sử dụng
VPN và các đồng nghiệp, và tạo ra các mạng riêng rẽ từ các cổng truy cập đầu
cuối là toàn bộ các ưu thế của cơ chế này.
Cơ chế bảo mật bên trong cũng
giúp việc quản lý bảo mật công ty được tốt hơn. Bằng cách kiểm tra toàn bộ công
việc kinh doanh, các cơ chế chính sách, các quá trình xử lý, xác thực dữ liệu
tương phản với những gì được mô tả, hay sự tương thích với những chuẩn đã tồn
tại được thẩm định. Cơ chế bảo mật bên trong cung cấp thông tin một cách chi
tiết tương tự như việc khảo sát kỹ lưỡng phạm vi ở mức sâu hơn, thậm chí bao gồm
cả việc phá mã mật khẩu và các công cụ phân tích hệ thống để kiểm tra tính tương
thích về chính sách trong tương lai.
Bước 3:
Thẩm định tính rủi ro của hệ thống
Khi thẩm định tính rủi ro của hệ
thống, hãy sử dụng công thức sau:
Tính rủi ro = Giá trị thông tin * Mức
độ của lỗ hổng * Khả năng mất thông tin
Tính rủi ro bằng với giá trị
thông tin trong câu hỏi (bao gồm giá trị đồng tiền, giá trị thời gian máy bị lỗi
do lỗi bảo mật, giá trị mất mát khách hàng – tương đối), thời gian của quy mô lỗ
hổng (tổng cộng/từng phần của tổn thất dữ liệu, thời gian hệ thống ngừng hoạt
động, sự nguy hiểm khi dữ liệu hỏng), thời gian về khả năng xuất hiện mất thông
tin.
Để lấy được các kết quả từ bước đầu (các giá trị, báo cáo về cơ chế
bảo mật ngoài, và chính sách bảo mật), và tập trung vào 3 trong số các mặt
thường được đề cập. Sau đó, bắt đầu với một số câu hỏi khung sau:
*Cơ chế
bảo mật đã tồn tại của công ty có được đề ra rõ ràng và cung cấp đủ biện pháp
bảo mật chưa?
*Kết quả từ cơ chế bảo mật bên ngoài có hợp lệ so với chính
sách bảo mật của công ty?
*Có mục nào cần sửa lại trong cơ chế bảo mật mà
không được chỉ rõ trong chính sách?
*Hệ thống bảo mật sẽ mất tác dụng trong
tính rủi ro cao nhất nào?
*Giá trị, thông tin gì mang tính rủi ro cao
nhất?
Các câu trả lời cung cấp cái nhìn toàn diện cho việc phân tích về
toàn bộ chính sách bảo mật của công ty. Có lẽ, thông tin quan trọng được lấy
trong quá trình kết hợp các giá trị thẩm định và tính rủi ro tương ứng. Theo giá
trị thông tin, bạn có thể tìm thấy các giải pháp mô tả được toàn bộ các yêu cầu,
bạn có thể tạo ra một danh sách quan tâm về lỗ hổng bảo mật.
Bước 4: Xây dựng giải pháp
Trên thực tế không
tồn tại giải pháp an toàn, bảo mật thông tin dang Plug and Play cho các tổ chức
đặc biệt khi phải đảm bảo các luật thương mại đã tồn tại và phải tương thích với
các ứng dụng, dữ liệu sắn có. Không có một tài liệu nào có thể lượng hết được
mọi lỗ hổng trong hệ thống và cũng không có nhà sản xuất nào có thể cung cấp đủ
các công cụ cần thiết. Cách tốt nhẫt vẫn là sử dụng kết hợp các giải pháp, sản
phẩm nhằm tạo ra cơ chế bảo mật đa năng.
Firewall
Xem xét và lựa chọn một sản phẩm
firewall hợp lý và đưa và hoạt động phù hợp với chính sách của công ty là một
trong những việc đầu tiên trong quá trình bảo mật hệ thống. Firewall có thể là
giải pháp phần cứng hoặc phần mềm hoặc kết hợp cả hai. Nhiệm vụ của firewall là
ngăn chặn các tấn công trực tiếp vào các thông tin quan trọng của hệ thống, kiểm
soát các thông tin ra vào hệ thống. Việc lựa chọn firewall thích hợp cho một hệ
thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu
hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall, cần tập trung tìm
hiểu tập các chức năng của firewall, tính năng lọc địa chỉ, gói tin,
...
Hệ thống kiểm tra xâm nhập mạng
(IDS)
Một firewall được gọi là tốt chỉ khi nó có thể lọc và tạo
khả năng kiểm soát các gói tin khi đi qua nó. Và đây cũng chính là nơi mà hệ
thống IDS nhập cuộc. Nếu bạn xem firewall như một con đập ngăn nước, thì thì bạn
có thể ví IDS như một hệ thống điều khiển luồng nước trên các hệ thống xả nước
khác nhau. Một IDS, không liên quan tới các công việc điều khiển hướng đi của
các gói tin, mà nó chỉ có nhiệm vụ phân tích các gói tin mà firewall cho phép đi
qua, tìm kiếm các chữ kí tấn công đã biết (các chữ kí tấn công chính là các đoạn
mã được biết mang tính nguy hiểm cho hệ thống) mà không thể kiểm tra hay ngăn
chặn bởi firewall. IDS tương ứng với việc bảo vệ đằng sau của firewall, cung cấp
việc chứng thực thông tin cần thiết để đảm bảo chắc chắn cho firewall hoạt động
hiệu quả.
Hệ thống kiểm tra xâm phạm dựa theo vùng (H-IDS)
Sự lựa
chọn, thực hiện và sử dụng một hệ thống kiểm tra sự xâm phạm trên máy chủ dựa
trên nhiều hệ điều hành và môi trường ứng dụng chỉ định. Một hàm chức năng đầy
đủ của H-IDS có thể cung cấp các thông báo đều đặn theo thời gian của bất kỳ sự
thay đổi nào tới máy chủ từ tác động bên trong hay bên ngoài. Nó là một trong
những cách tốt nhất để giảm thiểu sự tổn thương của hệ thống. Việc tìm kiếm hệ
thống mà hỗ trợ hầu hết các hệ điều hành sử dụng trong tổ chức của bạn nên được
xem như một trong những quyết định chính cho mỗi H-IDS.
Hệ thống kiểm tra xâm phạm dựa theo ứng dụng
(App-IDS)
Số lượng App-IDS xuất hiện trên thị trường ngày càng
nhiều. Các công cụ này thực hiện việc phân tích các thông điệp từ một ứng dụng
cụ thể hay thông tin qua proxy tới ứng dụng đó. Trong lúc chúng có mục đích cụ
thể, chúng có thể cung cấp mức bảo mật tăng lên theo từng mảng ứng dụng cụ thể.
Khi được kết hợp với một H-IDS, chúng đảm bảo rằng sự xâm nhập tới một máy chủ
sẽ giảm thiểu. Một App-IDS nên được xem như một chức năng hỗ trợ bảo mật trong
suốt, mặc dù không đúng trong một số trường hợp.
Phần mềm Anti-Virus (AV)
Phần mềm AV nên được
cài trên toàn bộ máy trạm (workstation), máy chủ (server), hệ thống hỗ trợ dịch
vụ số, và hầu hết những nơi chứa dữ liệu quan trọng vào ra. Hai vấn đề quan
trọng nhất để xem xét khi đặt yêu cầu một nhà sản xuất AV quản lý nhiều máy chủ
và máy trạm trên toàn bộ phạm vi của công ty là khả năng nhà cung cấp đó có đối
phó được các đe doạ từ virus mới hay không. (nguyên nhân: không bao giờ cho rằng
phầm mềm đang chạy, luôn kiểm tả phiên bản của virus và các file cập nhật cho
virus mới).
Mạng riêng ảo
(VPN)
Việc sử dụng VPN để cung cấp cho các nhân viên hay các cộng
sự truy cập tới các tài nguyên của công ty từ nhà hay nơi làm việc khác với mức
bảo mật cao, hiệu quả nhất trong quá trình truyền thông, và làm tăng hiệu quả
sản xuất của nhân viên. Tuy nhiên, không có điều gì không đi kèm sự rủi ro. Bất
kỳ tại thời điểm nào khi một VPN được thiết lập, bạn phải mở rộng phạm vi kiểm
soát bảo mật của công ty tới toàn bộ các nút được kết nối với VPN.
Để đảm
bảo mức bảo mật cho hệ thống này, người sử dụng phải thực hiện đầy đủ các chính
sách bảo mật của công ty. Điều này có thể thực hiện được qua việc sử dụng các
hướng dẫn của nhà sản xuất về dịch vụ VPN như hạn chế các ứng dụng có thể chạy ở
nhà, cổng mạng có thể mở, loại bỏ khả năng chia kênh dữ liệu, thiết lập hệ thống
bảo vệ virus khi chạy hệ thống từ xa, tất cả công việc này giúp giảm thiểu tính
rủi ro. Điều này rất quan trọng đối với các công ty phải đối mặt với những đe
doạ trong việc kiện cáo, mạng của họ hay hệ thống được sử dụng để tấn công các
công ty khác.
Sinh trắc học trong bảo
mật
Sinh trắc học đã được biết đến từ một số năm trước đây, nhưng
cho đến nay vẫn có rất nhiều khó khăn cho việc nhân rộng để áp dụng cho các hệ
thống bảo mật thương mại. Dấu tay, tròng mắt, giọng nói, ..., cung cấp bảo mật
mức cao trên các mật khẩu thông thường hay chứng thực hai nhân tố, nhưng cho đến
hiện tại, chúng cũng vẫn được coi như phương thức tốt nhất để truy cập vào hệ
thống.
Các thế hệ thẻ thông minh
Các
công ty gần đây sử dụng đã sử dụng thẻ thông minh như một phương thức bảo mật
hữu hiệu. Windows 2000 cung cấp cơ chế hỗ trợ thẻ thông minh như một phương tiện
chính trong việc chứng thực quyền đăng nhập hệ thống. Nói chung, sự kết hợp đa
công nghệ (như tròng mắt, thẻ thông minh, dấu tay) đang dần hoàn thiện và mở ra
một thời đại mới cho việc chứng thực quyền truy cập trong hệ thống bảo
mật.
Kiểm tra máy chủ
Sự kiểm tra đều đặn mức bảo mật được cung cấp
bởi các máy chủ phụ thuộc chủ yếu vào sự quản lý. Mọi máy chủ ở trong một công
ty nên được kiểm tra từ Internet để phát hiện lỗ hổng bảo mật. Thêm nữa, việc
kiểm tra từ bên trong và quá trình thẩm định máy chủ về căn bản là cần thiết để
giảm thiểu tính rủi ro của hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ
thống nào đó bị trục trặc.
Hầu hết các hệ điều hành đều chạy trong tình
trạng thấp hơn với mức bảo mật tối thiểu và có rất nhiều lỗ hổng bảo mật. Trước
khi một máy chủ khi đưa vào sản xuất, sẽ có một quá trình kiểm tra theo một số
bước nhất định. Toàn bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất
cứ dịch vụ không cần thiết nào phải được loại bỏ. Điều này làm tránh độ rủi ro
xuống mức thấp nhất cho hệ thống.
Việc tiếp theo là kiểm tra các log file
từ các máy chủ và các ứng dụng. Chúng sẽ cung cấp cho ta một số thông tin tốt
nhất về hệ thống, các tấn công bảo mật. Trong rất nhiều trường hợp, đó chính là
một trong những cách để xác nhận quy mô của một tấn công vào máy chủ.
Kiểm soát ứng dụng
Vấn đề an toàn bảo mật trong
mã nguồn của các ứng dụng hầu hết không được quan tâm. Điều này không được thể
hiện trên các sản phẩm như liệu nó có được mua, được download miễn phí hay được
phát triển từ một mã nguồn nào đó. Để giúp đỡ giảm thiểu sự rủi ro bảo mật trong
các ứng dụng, thẩm định lại giá trị của ứng dụng trong công ty, như công việc
phát triển bên trong của các ứng dụng, Điều này cũng có thể bao gồm các đánh giá
của các thực thể bên ngoài như đồng nghiệp hay các khách hàng.
Việc điều
khiển cấu hình bảo mật các ứng dụng có thể làm tăng mức bảo mật. Hầu hết các ứng
dụng được cấu hình tại mức tối thiểu của tính năng bảo mật, nhưng qua các công
cụ cấu hình, mức bảo mật của hệ thống có thể được tăng lên. Lượng thông tin kiểm
soát được cung cấp bởi ứng dụng cũng có thể được cấu hình. Nơi mà các ứng dụng
cung cấp thông tin về quy mô bảo mật, thời gian kiểm soát và sự phân tích thông
tin này sẽ là chìa khoá để kiểm tra các vấn đề bảo mật thông tin.
Các hệ điều hành
Sự lựa chọn hệ điều hành và
ứng dụng là quá trình đòi hỏi phải có sự cân nhắc kỹ càng. Chọn cái gì giữa hệ
điều hành Microsoft hay UNIX, trong rất nhiều trường hợp, điều thường do ấn
tượng cá nhân ề sản phẩm. Khi lựa chọn một hệ điều hành, thông tin về nhà sản
xuất không quan trọng bằng những gì nhà sản xuất đó làm được trong thực tế, về
khả năng bảo trì hay dễ dàng thực hiện với các tài liệu đi kèm. Bất kỳ một hệ
điều hành nào từ 2 năm trước đây đều không thể đảm bảo theo những chuẩn ngày
nay, và việc giữ các máy chủ, ứng dụng của bạn được cập nhật thường xuyên sẽ đảm
bảo giảm thiểu khả năng rủi ro của hệ thống.
Khi lựa chọn một hệ điều
hành, hãy tìm hiểu không chỉ các tiêu chuẩn thông thường như (quản trị, hiệu
năng, tính chứng thực), mà còn phải xem xét khả năng áp dụng được của hệ điều
hành với hệ thống hiện tại. Một hệ điều hành có thể cung cấp cơ chế bảo mật tốt
hơn khi nó tương thích với các ứng dụng chạy bên trong nó như DNS hay WebServer,
trong khi các hệ điều hành khác có thể có nhiều chức năng tốt hơn như một hệ
thống application, database hay email server.
Bước
5: Thực hiện và giáo dục
Ban đầu, sự hỗ trợ cần thiết sẽ được đúc
rút lại và lên kế hoạch hoàn chỉnh cho dự án bảo mật. Đây chính là bước đi quan
trọng mang tính chiến lược của mỗi công ty về vấn đề bảo mật. Các chi tiết kỹ
thuật của bất kỳ sự mô tả nào cũng sẽ thay đổi theo môi trường, công nghệ, và
các kỹ năng liên quan, ngoài ra có một phần không nằm trong việc thực thi bảo
mật nhưng chúng ta không được coi nhẹ, đó chính là sự giáo dục. Để đảm bảo sự
thành công bảo mật ngay từ lúc đầu, người sử dụng phải có được sự giáo dục cần
thiết về chính sách, gồm có:
* Kỹ năng về các hệ thống bảo mật mới, các
thủ tục mới.
* Hiểu biết về các chính sách mới về tài sản, dữ liệu quan trọng
của công ty.
* Hiểu các thủ tục bắt buộc mới, chính sách bảo mật công
ty.
Nói tóm lại, không chỉ đòi hỏi người sử dụng có các kỹ năng cơ bản,
mà đòi hỏi học phải biết như tại sao và cái gì họ đang làm là cần thiết với
chính sách của công ty.
Bước 6: Tiếp tục kiểm
tra, phân tích và thực hiện
Hầu hết những gì mong đợi của một hệ thống
bảo mật bất kỳ là chạy ổn định, điều khiển được hệ thống và nắm bắt được các
luồng dữ liệu của hệ thống. Quá trình phân tích, tổng hợp các thông tin, sự kiện
từ firewall, IDS’s, VPN, router, server, và các ứng dụng là cách duy nhất để
kiểm tra hiệu quả của một hệ thống bảo mật, và cũng là cách duy nhất để kiểm tra
hầu hết sự vi phạm về chính sách cũng như các lỗi thông thường mắc phải với hệ
thống.
Các gợi ý bảo mật cho hệ thống và
mạng
Theo luận điểm này, chúng tôi tập trung chủ yếu và các bước
mang tính hệ thống để cung cấp một hệ thống bảo mật. Từ đây, chúng tôi sẽ chỉ ra
một vài bước đi cụ thể để cải thiện hệ thống bảo mật, dựa trên kết quả của việc
sử dụng các phương thức bảo mật bên ngoài và bảo mật bên trong của hệ thống.
Chúng tôi cũng giới hạn phạm vi của các gợi ý này theo các vấn đề chung nhất mà
chúng tôi đã gặp phải, để cung cấp, mô tả vấn đề một cách chính xác hơn cũng như
các thách thức mà mạng công ty phải đối mặt ngày nay. Để mang tính chuyên nghiệp
hơn về IT, các gợi ý này được chia thành các phần như sau:
Đặc điểm của bảo
mật
*Tạo bộ phận chuyên trách bảo mật để xem xét toàn bộ các vấn đề liên
quan tới bảo mật
*Thực hiện các thông báo bảo mật tới người sử dụng để đảm
bảo mọi người hiểu và thực hiện theo các yêu cầu cũng như sự cần thiết của việc
thực hiện các yêu cầu đó.
* Tạo, cập nhật, và theo dõi toàn bộ chính sách bảo
mật của công ty.
Windows NT/IIS
*
Hầu hết 95% các vấn đề bảo mật của NT/IIS, chúng ta có thể giải quyết theo các
bản sửa lỗi. Đảm bảo chắc chắn toàn bộ các máy chủ NT và IIS được sửa lỗi với
phiên bản mới nhất.
* Xoá (đừng cài đặt) toàn bộ các script từ
Internet.
Cisco Routers
* Loại bỏ
các tính năng như finger, telnet, và các dịch vụ, cổng khác trên thiết bị định
tuyến (router).
* Bỏ các gói tin tài nguyên IP dẫn đường trong router.
*
Chạy Unicast RPF để ngăn chặn người sử dụng của bạn sử dụng việc giả mạo
IP.
* Sử dụng router của bạn như một firewall phía trước và thực hiện các ACL
tương tự theo các luật trong firewall của bạn.
Quy định chung về cầu hình firewall
* Cấu hình
của firewall nên có các luật nghiêm ngặt. Chỉ rõ các luật đối với từng loại truy
nhập cả bên ngoài lẫn bên trong.
* Giảm thiểu các truy nhập từ xa tới
firewall.
* Cung cấp hệ thống kiểm soát tập luật của firewall.
* Kiểm tra
lại các luật.
Cisco PIX
Firewalls
* Không cho phép truy cập qua telnet
* Sử dụng AAA
cho việc truy cập, điều khiển hệ thống console
Kiểm soát Firewall-1
* Loại bỏ các luật mặc
định cho phép mã hoá và quản lý của firewall, thay thế các luật không rõ ràng
bằng các luật phân biệt rạch ròi trong công việc thực thi của bạn.
* Không sử
dụng mặc định luật “allow DNS traffic” - chấp nhận luật này chỉ cho các máy chủ
cung cấp DNS cho bên ngoài.
DNS bên
trong
* Bất kỳ máy chủ nào cung cấp DNS bên trong và các dịch vụ
mang tính chất nội bộ phải không được cung cấp DNS bên ngoài.
* Kiểm tra với
nhà cung cấp DNS của bạn để cấu hình bảo vệ từ thuộc tính “cache poisoning”
By: Nguyễn Thanh Tùng