Phân tích và thiết kế chính sách bảo mật cho công ty cao su Thống Nhất

Chính vì vậy cần phải có một chính sách bảo mật để đảm bảo an toàn cho hệ thống, đồng thời đảm bảo cho hệ thống mạng luôn ổn định và có tính thực thi cao, có khả năng chống lại các cuộ

Trang 1

LUẬN VĂN TÓT NGHIỆP

PHAN TICH VA THIET KE CHINH SACH BAO MAT

CHO CONG TY CAO SU THONG NHAT

| Tỉ RƯỜNG ĐHDL~KTCA ị

SINH VIÊN THỰC HIỆN:

THÁI MINH HUY - MSSV: 02DHTH091

CAO THANG TIEN - MSSV: 02DHTH248

TP Hồ Chí Minh

- 2007 -

Trang 2

BỘ GIÁO DỤC & ĐÀO TẠO

ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP HCM

144/24 Điện Biên Phủ - Q Bình Thạnh - TP HCM

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM ĐỘC LẬP - TỰ DO - HẠNH PHÚC

Khoa: Công Nghệ Thông Tìn

cua NHIỆM VỤ THỰC HIỆN ĐÒ ÁN TÓT NGHIỆP

Bộ Môn: Mạng Máy Tỉnh s š °

Họ và tên: - Thái Minh Huy MSSV: 02DHTH091

- Cao Thăng Tiến MSSV: 02DHTH248 Ngành: Mang May Tinh Lép: 02DMMT

1 Đầu đề đồ án tốt nghiệp:

PHÂN TÍCH VÀ THIẾT KÉ CHÍNH SÁCH BẢO MẬT

2 Nhiém vu:

a Dữ liệu ban đầu:

- Khao sat chinh sách bảo mật của Công ty Cao Su Thống Nhất

-_ Các tài liệu về bảo mật

+ Phân tích tình hình chung về vấn đề bảo mật của công ty

+ Đưa ra những chính sách bảo mật phù hợp với công ty

+ Áp dung phan mém Trend Micro & ISA vao viéc thực thi các chính

sach bao mat

- Thiét ké va xdy dung:

+ Khảo sát tình hình công ty cao su Thống Nhất

+ Phân tích mô hình mạng của công ty

Trang 3

+ Đưa ra những chính sách bảo mật dựa trên quyền hạn của mỗi phòng

ban và mỗi cá nhân

+ Thiết kế mô hình bảo mật cho công ty

+ Áp dụng Trend Micro & ISA vào để cụ thể hóa các chính sách bảo

mật

+ Kiểm tra hoạt động của hệ thống

+ Đánh giá kết quả sau khi áp dụng chính sách bảo mật dựa trên nền

Trend Micro & ISA

3 Ngay giao nhiém vu dé an : 23/10/2006 |

4 Ngày hoàn thành nhiệm vụ : 21/01/2007 |

5 Họ tên giáo viên hướng dẫn: Th.S Lý Anh Tuấn

Nội dung và yêu cầu đồ án tốt nghiệp đã thông qua GIÁO VIÊN HƯỚNG DẪN CHÍNH

TP HCM, ngày thúng năm 2006 (Ký và ghi rõ họ lê) “2 7* J7 2

CHỦ NGHIỆM KHOA

(Ký và ghỉ rõ họ tên) a ALA CD A —

lk heme na

‘4

PHAN DANH CHO BO MON

Người duyệt (chấm sơ bộ): cccccccrerecee

2700022

Trang 4

ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM Tp.HCM, ngày tháng năm 2006

HOI DONG CHAM THI TOT NGHIEP

PHIEU CHAM DIEM HUONG DAN BO AN TÓT NGHIỆP

Tén sinh vién: - Thai Minh Huy MSSV: 02DHTH091

- Cao Thang Tién MSSV: 02DHTH248

Tên đềtài : PHÂN TÍCH VÀ THIẾT KÉ CHÍNH SÁCH BẢO MẬT

TT Công việc Thang điểm

1 | Mức độ thời sự của dự án, mức độ khó của dự án /1,5

Tính đúng đắn và hợp lý của thiết kế, của giải pháp

2_† được nêu ra trong đô án Mức độ hoàn thành công /4,5

việc của sinh viên

3 nghiêm túc và tinh than tự lập trong khi làm việc 15

4 | Kha nang đọc sách ngoại ngữ tham khảo /0,5

5 | Kha nang tong hop kién thitc, viết báo cáo /1,0

6 | Hinh thức trình bày báo cáo /0,5

7 | Thời gian hoàn thành và nộp báo cáo /0,5

Diém sé (nguyén): /10_ Điểm bằng chữ:

Giáo viên hướng dẫn chính

(Ký và ghi rõ họ tên)

Trang 5

ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP HCM Tp HCM, ngày tháng năm 2006

HOI DONG CHAM THI TOT NGHIEP

NGANH:

PHIEU CHAM PHAN BIEN DO AN TOT NGHIEP

Tén sinh vién: - Thai Minh Huy MSSV: 02DHTH091

- Cao Thang Tién MSSV: 02DHTH248 Tênđềtài : PHÂN TÍCH VÀ THIẾT KẾ CHÍNH SÁCH BẢO MẬT

CHO CÔNG TY CAO SU THÓNG NHÁT

TênGVHD : Th.S Ly Anh Tuấn

Nhận xét

Điểm số (nguyên): /10_ Điểm bằng chữ:

Giáo viên phản biện

(ký và ghi rõ họ tên)

Trang 6

GVHD: Th.S Lý Anh Tuan Phan Tich & Thiét Ké CSBM Cho Céng Ty CSTN

LOI CAM ON

Trước khi trình bày nội dung nghiên cứu của Luận Văn Tốt Nghiệp, chúng

em xin đành những dòng đầu tiên để gởi lời cám ơn chân thành đến:

Thay Th.S Ly Anh Tuan di tan tình hướng dẫn và tạo điều kiện tốt nhất cho

chúng em trong suốt thời gian thực hiện luận văn

Chúng em xin gởi lời cảm ơn chân thành đến quý Thầy Cô trong Khoa

Công Nghệ Thông Tìn của trường Đại Học Kỹ Thuật Công Nghệ TPHCM đã

giảng dạy, hướng dẫn và giúp đỡ chúng em thực hiện luận văn này

Chúng con cũng xim gởi lời cám ơn sâu sắc đên ba mẹ và gia đình đã luôn

chăm sóc và động viên chúng em trong suốt thời quá trình học tập, nghiên cứu đề

chúng con đạt được kết quả như ngày nay

TPHCM, Ngày 22 Tháng 1 Năm 2007 Nhóm sinh viên thực hiện :

Thái Minh Huy - Cao Thăng Tiến

Trang 7

GVHD: Th.S Lý Anh Tuấn Phân Tích & Thiết Kế CSBM Cho Công Ty CSTN

LỜI MỞ ĐẦU

Ngày nay, Internet đã trở thành một người bạn không thẻ thiếu đối với việc

kinh doanh của các doanh nghiệp Tuy nhiên, với số lượng không lỗ các đữ liệu

đáng giá được truyền nhận trên Net cũng đang trở thành miếng mỗi béo bở cho các

băng nhóm tội phạm mạng Kết quả là an ninh mạng đã trở thành nỗi đau đầu lớn

nhất cho các giám đốc CNTT (CIO) của các doanh nghiệp, và các nhà quản lý

mạng đang hàng ngày phải vất vả chống đỡ với thư rác (spam), virus, phishing,

phần mềm gian diép (spyware), trojan, key-logging va cac vy tấn công khác Hiểm

họa là như vậy, nhưng các doanh nghiệp vẫn chưa nhận thức được rõ mỗi nguy

hiểm này

Vấn đề bảo mật cho hệ thống mạng cũng đã trở nên phức tạp hơn do việc sử

dụng các thiết bị di động đầu cuối như máy tính xách tay, thiết bị trợ giúp cá nhân

(PDA) và điện thoại thông minh Vì thế, không thẻ chỉ thiết lập hệ thống tường lửa

đơn giản đặt ở bên trong và bên ngoài mà chúng ta cần các lớp phòng thủ giữa

nhiều bộ phận, tại nhiều điểm khác nhau trong công ty Như thế mới có thể bảo vệ

chống lại các cuộc tấn công từ bên ngoài và ngay từ bên trong công ty

Chính vì vậy cần phải có một chính sách bảo mật để đảm bảo an toàn cho hệ

thống, đồng thời đảm bảo cho hệ thống mạng luôn ổn định và có tính thực thi cao,

có khả năng chống lại các cuộc tấn công vào mạng, đảm bảo các nhân viên luôn

tuân thủ đúng chính sách này Cần chú ý rằng bảo mật mạng là một quy trình và

không phải chỉ là bảo mật đối với các sản phẩm Các doanh nghiệp cần chủ động

triển khai các chính sách bảo mật, quản lý các giao dịch nguy hiểm và cần chắc

chắn rằng các nhân viên nhận thức được rõ về vấn dé an toàn dữ liệu

Xuất phát từ những vẫn đề này, chúng em nghiên cứu thiết kế chính sách bảo

mật mạng và đồng thời kết hợp với các sản phẩm bảo mật như Trend Micro và

ISA Server để góp tăng cường cho công tác bảo mật của công ty Cao Su Thống

Nhất Đề tài mà chúng em nghiên cứu là: “PHÂN TÍCH & THIẾT KÉ CHÍNH

SACH BAO MAT CHO CONG TY CAO SU THONG NHAT”

Trang 8

GVHD: Th.S Lý Anh Tuấn Phân Tích & Thiết Kế CSBM Cho Cơng Ty CSTN

MỤC LỤC

CHUONG I: GIỚI THIỆU ĐÈ, TÀI -. -2 -c-ss<veeserresseessrsserrersree 9

1 Gidi thiéu 0n 8/80 na 9

II Nhu cầu thực tiễn của việc áp dụng chính sách bảo mật: - 10

CHƯƠNG II: CƠ SỞ LÝ THUYYT -s<<ecssstetrzssrtrrrrrsrere 12

1 Xây đựng chính sách bảo mật: cọ nhnrehrhrreririe 12

1 Corporate PỌiCy: - cành HH HH TH tk tren 14

1.1 Chính sách về hạ tầng an ninh: . 2-55 52c2xtsrterererrrtrrrrrrrrrrree 14

1.2 Đồng điều phối các chính sách an ninh: -5scctscrrrerrreree 15

2 Chính sách an tồn thơng tim: -Á ác nh HH Hà 11211214 1k 15

QL KWai 116M 15

2.2 Tài liệu chính sách an tồn thơng tin: - 55+ +<+ssseererrerrerrre 16

2.3 Trách nhiệm giải trình về tài sản “thơng tỉn”: -ccscccereecreee 17

2.3.1 Kiểm kê tài sản “thơng tỉn”: c5: S7t2cn 228 Ekrkrrerrrrrree 17

2.3.2 Phân loại tài sản thơng tin: 6 - nen hư 18

2.3.3 Gán nhãn và xử lý thơng fIn: cọ Sàn tre 18

3 Chính sách an ninh nhân sự: - - - + Ă S221 2n kg g6 1xx 19

khi c0 7.1 19

3.2 Các thoả thuận về tính tìn cậy: . - 5-52 5c 22t2rerrtrrrrrrrrerrerrerkee 20

3.3 Điều kiện sử dụng lao động: - nhe 20

3.4 Dao tao ngườidùng (ser train1ng): - - sec erhrhrrrrirrreree 20

3.5 Phản ứng lại các sự cố an ninh và sai hỏng chức năng: 21

3.6 Báo cáo cac sur c6 an mint scseeseecsesseseseeseesecssecseesecaneeseesesseenesensens 21

3.7 Báo cáo các yêu kém an nỉnh: - c2 tt re 21

3.8 Báo cáo các sai hỏng chức năng của phần mềm: -c-ccccccc 22

Trang 9

GVHD: Th.S Lý Anh Tuan Phân Tích & Thiết Kế CSBM Cho Công Ty CSTN

4.1 Vùng an ninh (SŠ€CUT€ ar€AS): 2à 2Q ST nnH HH Hy HH HH HH HT HH re 22 4.1.1 Vanh dai an ninh vat ly: oo ố 23 4.1.2 Kiểm soát vào ra vật lý: ¿2c 22212222122 E112 rrrre 23

4.1.3 Các nhân viên an ninh, phòng làm việc và thiết bị: - 24

4.1.4 Làm việc trong vùng an n1nÌ: ee S- SH Hye, 25 4.1.5 Tách biệt vùng giao nhận: .-. - Q Sàn HH tư 25

4.2 An ninh thiết bị: 5c: 22t tr reeree 26

4.2.1 Lựa chọn vị trí thiết bị và bảo VỆ: - 5c cccrkeerrrsrrerrrree 26

4.2.2 Cung cấp năng lượng (Power supplie): 5-ccscevsrxerrrrree 26 4.2.3 An ninh đường cáp (Cabling seCuFlfY): co senhrerrerre 27

| 4.2.4 Bảo trì thiết bị (Equipment main†enance): -‹ -:+cc+rexsrxz 27

4.2.5 An ninh của các thiết bị bên ngoài vành đai an nỉnh: 27 4.3 Các kiểm soát chung: - - s52 2 Scst2 2212112122122122121111211 rkerrrr 28

| 4.3.1 Chính sách mặt bàn sạch và màn hình sach (Clear desk and clear

| SCTEEN POLICY): «2 ce eeeececnccnecncescesceeeteeseeeesscsesseeneessesseesesscsesseseeseeseneeensenens 28

4.3.2 Di đời tài sản (Removal of propertY): - cách hưướ 29

5 Kiểm soát truy nhập (Access contro]): -c: tt srrtererirrrrrtrrrrrrrrek 29

5.1 Các yêu cầu nghiệp vụ đối với kiểm soát truy nhập: - 29

5.1.1 Chính sách kiểm soát truy nhập (Access control policy): 29

5.1.1.1 Các yêu cầu chính sách và yêu cầu nghiệp vụ (Policy and

[D9018 s3001ix¡: 911 29 5.1.1.2 Các quy tắc kiểm soát truy nhập (Access control rules): 30

5.2 Quan lý truy nhập của người ding (User access management): 30

5.2.1 Đăng ký người dùng (ser reg1strafion): -.ccereeirrie 30 5.2.2 Quản lý ưu tiên (Privilege managemeh†): -.àceeereeke 31 5.2.3 Quản lý mật khâu người dùng (User password management): 32

6 Bảo vệ chống lại các phần mềm phá hoại (Protection against malicious UIT 1777 33

Trang 10

6.1 Kiểm soát chống lại các phan mém pha hoai (Protection against malicious SOFTWALE)® ooo cce cece ceeese cee cneesecseeeessesaesesaceeceansnsasseceeeseeeecancescesressecsecsetiscsanensaes 33

7 Công việc thực hiện thường nhật của công LY: eect terest teens 34

7.1 Sao lưu thông tin (Information back-up): c-cccrssereeereerree 34 7.2 Nhật ký vận hành (Operator Ìogs): - che 35

§ Quản trị mạng (Network managem€tf): - - c-cceinrirerrerrrrrrrerrrre 35

§.1 Các kiểm soát trên mạng (Network controÌ§): - -c-ccccccereeeereer 36 8.2 An ninh của thiết bị lưu trữ (Media handling and security): 36 8.2.1 Quản lý các phương tiện có thé di chuyén (Managementof removable

COimpuf€T Tr€di4): + + th 1 22.22 mg ghê 36 8.2.2 Hủy bỏ phương tiện, thiết bị lưu trữ (Disposal of media): 37 8.2.3 Các thủ tục xử lý thông tin: .ị - s2 ene erenteenseteeeeeseeenensee ns 37

§.2.4 An ninh của tài liệu hệ thống (Security of system documentation): 38

9 Trao đổi thông tin và phần THỂH: .2 2-5252 5222222222223 EEE1.E2E2Errrrrrek 38

9.1 Các thoả thuận trao đổi thông tin và phần mềm: .-. -<-¿ 39

9.2 An ninh của thiết bị lưu trữ khi di chuyễn: 5c cccsrrerrrrrer 39 9.3 An ninh thương mại điện tử (Electronic commerce security): 40

9,4 An ninh thư điện tử (Security of electronic mail): . - - 41

9.4.1 Rủi ro an ninh (Security TIsKS): - - 555 + ehteerveeree 41 9.4.2 Chính sách với thư điện tử (Policy on electronic mail): 41

10 Business Policies: 8n 42

10.1 Separation of Duties PollCI€§: cà Sàn sành re 42

10.2 Due Care POlIGI€S: .- 7ó S25 1E HH* HH HH HH nhàn tư 43

10.3 Physical Access Control Policles: - Sàn 43

10.4 Disposal và Destruction Polli€ies: - - ác cành HherHreee 44

Trang 11

2.1 Các sản phâm dùng để quản lý ngăn chặn sự bùng nỗ của các nguy cơ ảnh

hưởng đến hệ thống mạng: . 2 t22t22EE2Y2EEEELEEkttrkrrkrtkerrree 48 2.2 Các sản phẩm dùng để bảo vệ gateWaY: on 49 2.3 Các sản phẩm dùng để bảo vệ Network: - cookie 50

2.4 Các sản phâm dùng dé bảo vệ Mail, Messaging: 50

2.5 Các sản phẩm dùng để bảo vệ SerVer: - cccc2cserrrrrrirrrrrrrrr 50 2.6 Các sản phẩm dùng để bảo vệ Desktop: -cccreecrrrrrerree 50 TIL Giới thiệu về ISA Server: -cs-cccccc TH re 51 CHƯƠNG III: KIEN THỨC LIÊN QUAN << << csecseesrssrsse 52 I Trend Micro OfficeSCaT: ch Hy HH HH re 52 1 GiGi thiéu OFFICES CANE 52

2 Tính năng mới của Office Scan 7.Ä: SH 2H treg 33 2.1 Tính năng ClHent-side€: .- ác + SH HH Hư 53 2.2 Tính năng S€TV€F-SI€: - + Sàn HT TH HH HT TH 53 3 Những tính năng chính và lợi ích của nó: .- 2n Hee 54 3.1 Tích hợp chống Virus và SpyWAT€: - ccccttttrrrstrtrrrrerrrrree 34 3.2 Tăng cường khả năng phòng chống SpyWare: sa scccsrerrsrerrec 54 3.3 Quan ly tp trungs nh 54

3.4 Bảo mật và các chính sách thi hành: -s S5 Set 54 3.5 Enferprise Client FITeWAÌÏ: - + c cà ch HH HH HH tệp 55 3.6 Trend Micro Damage Cleanup Services (DCS) 3: 55

4 Công nghệ của OfficeSCAn: «cà HH TH HH Hư Hư ch 55 4.1 Kién tric OfficeScan Server .cc.ccsccscssssessssssessesssessessssssecsecstestsaseeseceeesees 55 4.2 OfficeScan Server? ic 56

4.3 0y na 56

4.4 OfficeScan Client: ÖÔÖÔÖÖ ÖÖ 57

SN n9 56 6a 58

SVTH: Thái Minh Huy & Cao Thăng Tiến Trang 6

Trang 12

4.4.2 Roaming CÏienIS: - + St HH tk hư 58

` (n9 59

5 Tim hiểu các thành phần của OfficeScan: - con 59

II Trend Micro ServerProtect .cccccccecceeccecesceeeeeeeeenaecnaceneeesaeeceseneenresenensentaes 60

1 Giới thiệu về ServerPTOt€ct: :-: 2c e 60

2 ServerProtect làm việc như thế nào? - -: 5 2+c+2éxxertrkerrrrrrrrrrrrrrkee 61 2.1 ServerProtcct quản lý các Server như thể nào? cccccrerecerreeree 61

2.2 Các cách thức truyền thông: . 7n 2t Street 61

3 CAu triic oi 81a cố 62

3.1 Management Console: - Ăn nhìn ii 62

KV (0s ii 5a, 1 63

EEN\ (so i8 ca 63 3.4 Cac ServerProtect Domain: . - sen nhe 64

4 So sánh giữa quét thời tian thực (Real-time Scan) và quét theo nhu cầu (On-

B011 81x No: 0 (2H 64

5 Làm việc với các tác vụ (Task§): - ác nh HH HH tr 65

6 Khi ServerProtect tìm thấy Virus (Virus Action): eeceerereerivee 65

7 Cac Virus Log: occ ee 66

8 Trién khai cdc Updatet c.cccccccscscsscssessesssssesessecseeserseesercesseaeeseesessesseseneseeveenses 67

9 Kỹ thuật phát hiện Virus của ServerPrOfect: -ccceeerreernreeeee 68

lBIN án 1 68

9.2 E0) 1 68 9.3 Các File nén (Compressed FIles): 5 nà nh re 69 9.4 Các địch vụ truy quét mối hiêm hoạ (Damage Cleanup Services): 70 190000) 70

`Ã:9b 1 1n 70 Won 2700 011 7l

9.8 Mapped Network Drive San: .: nen 71

SVTH: Thai Minh Huy & Cao Thang Tién Trang 7

Trang 13

087.0 72

1 Đặc điểm ISA SerVeF: co n2 2221 tre 72 2 Sơ đồ hoạt động của ISA Server: oe ee cesses esses cesses eseseeneaeseeneeeeneeneaseneens 73 3 Các tính năng của ISA S€TV€F: Sàn nành HH 1e 73 CHƯƠNG IV: CHÍNH SÁCH BẢO MẬT CHO CONG TY CAO SU THÓNG NHÁT & TRIEN KHAI CAC SAN PHAM BAO MAT VAO CÔNG I Chính sách bảo mật cho công ty Cao Su Thống Nhất: cv 77 II Triển khai chính sách bảo mật cho hệ thống mạng công ty Cao Su Thống Nhất: CH TT ng HT HT 2111k 154511 HH HT TH Hà HT HH 0113.14.7118 86 1 Kế hoạch áp dụng cho hệ thống máy tính: -cceerererrirrrerrrrrre 87 2 Áp dụng các chính sách trong Active Directory để quản lý người dùng: 88

3 Áp dụng các sản phẩm của Trend Micro để xử lý và phòng chống virus, spyware cho các Server và mnáy {Tạm : se eihnrerrerrrrrrirre 91 3.1 Triển khai Trend Miero ServerProtect trên các Server: 91

3.2 Triển khai Trend Micro OfficeScan trên các máy trạm: 94

4 Triển khai ISA Server đề làm Firewall cho hệ thống mạng: 97

CHƯƠNG V: KÉT LUẬN VA HƯỚNG PHÁT TRIÊN . 100

I Các kết quả thu được: . s- 2c the mrrrrre 100 1 Về phần thiết kế và tìm hiểu công nghỆ: -25cccniirrtrirrrrrrree 100 2 Về quá trình thực hiện: ¿5-22 100 IifeTr 0 111 100

II Hướng phát triỂn: .- 5+ nn2 ch 2e 101 000000090007 1111 g111Ầ 102

Trang 14

CHUONG I:

GIOI THIEU DE TAI

1 Giới thiêu chung về chủ đề:

Hiện nay bảo mật mạng đang trở thành vấn đề được quan tâm rất nhiều của

các nhà doanh nghiệp Về mặt truyền thống, vấn đề an ninh được hiểu là bảo vệ tài sản của các doanh nghiệp trước một thế giới bất ôn Nhưng giờ đây khái niệm này không còn phù hợp nữa Các hệ thống mạng giờ đây không được phân loại theo

tiêu chí tin cậy hay không tin cậy, mà phải coi nó là một hệ thống mạng không tin cậy đơn lẻ và triển khai những công cụ kiểm tra và kiểm soát phù hợp tình hình

thực tế của công ty Với việc áp dụng ngày càng tăng internet vào công việc kinh

doanh, thách thức đặt ra cho các doanh nghiệp là công tác bảo mật cho hệ thống

mạng của công ty ngày càng khó khăn hơn Họ phải bảo mật và cấp phép truy cập

tới tất cả những người dùng như nhà cung cấp thiết bị, dịch vụ, đối tác kinh doanh

V.V

Đối với doanh nghiệp, bảo mật không phải là việc hạn chế truy nhập tới các nguồn lực và ứng dụng quan trọng trong kinh doanh Giá trị chiến lược sẽ đạt được nhờ việc giải quyết được hầu hết những thách thức lớn đặt ra như nâng cao

tính cạnh tranh, giảm thiểu rủi ro hoạt động và cho phép bất cứ nơi nào cũng có

thể truy nhập tới các dịch vụ mà không ảnh hưởng tới tính bảo mật và hiệu suất hoạt động Bảo mật mạng là vấn đề thiết yếu nhằm đảm bảo các yêu cầu an toàn

về mặt tổ chức cũng như các hoạt động liên quan đến kinh doanh Việc dữ liệu bị mất mát có thể gây những thiệt hại to lớn ví dụ như các bí mật kinh doanh, các

mẫu sản phẩm có thể gây ảnh hưởng trực tiếp đến lợi nhuận; các hệ thống lưu

trữ dữ liệu có quan hệ với khách hàng, chứa những thông tin tuyệt đối an toàn của khách hàng, nếu bị rò rĩ có thể ảnh hưởng trực tiếp về mặt uy tín của công ty Bảo mật mạng chính là sự kết hợp giữa giải pháp sản phẩm và các chính sách

bảo mật Về mặt công cụ, các công nghệ bảo mật mạng là như nhau Các nhà quản trị mạng sẽ sử dụng những công cụ này để tăng cường việc tuân thủ chính sách

Trang 15

bảo mật Chính sách bảo mật càng phức tạp, thì đòi hỏi các công cụ bảo mật càng

phải tỉnh v1 Chế độ bảo mật mạng tổng thể không thể mang lại hiệu quả nếu thiếu một trong hai yếu tố nói trên

Ngày nay, các tổ chức đoanh nghiệp cần phải thực hiện nghiêm ngặt những

quy định pháp luật và vấn đề bảo mật mạng thì công việc kinh doanh mới phát

triển được Để bảo vệ an toàn mạng của các doanh nghiệp nói chung đặc biệt là

các doanh nghiệp trong lĩnh vực có sự hội tụ CN T-TTỶ cao như tài chính — ngần hang, thuế, hải quan, bảo hiểm Các lĩnh vực kinh doanh này cần có yêu cầu đặc biệt cao về chính sách bảo mật mạng Nếu không có những công cụ thích hợp, các nhà quản lý IT có thê sẽ gặp khó khăn trong việc kiểm tra và kiểm soát người dùng

truy nhập các ứng dụng trên mạng tại bất cứ thời điểm nào

II Nhu cầu thực tiễn của việc áp dụng chính sách bảo mật:

Sự bùng nổ của Internet và công nghệ thông tin trên thế giới trong những năm qua đã cơ bản làm thay đổi cách thức mà các công ty sử dụng để kinh doanh

và cũng như để tự bảo vệ mình Cách đây chỉ hơn một thập kỷ, việc bảo vệ mạng chỉ tập trung chủ yếu vào việc giữ cho dữ liệu bên trong không bị thất thoát ra ngoài Ngày nay, các ứng dụng kinh doanh điện tử (e-business) và Web đòi hỏi

công ty phải kết nối với chỉ nhánh, đối tác ở khắp mọi nơi, việc liên kết không còn

bị giới hạn về không gian và khoảng cách địa lý nữa, cho nên hội nhập là điều tất yêu trong hoạt động của các công ty, do vậy việc bảo vệ dữ liệu ngày càng quan

trọng hơn

Internet đã trở thành 1 người bạn không thể thiếu đối với hầu hết các doanh nghiệp, nó là cầu nối quan trọng giữa các nhà cung cấp với khách hàng, là nơi trao

đổi thông tin mua bán một cách nhanh chóng và thuận tiện nhất Tuy nhiên,

Internet cũng luôn làm đau đầu các nhà doanh nghiệp bởi những hiểm hoạ mà nó

mang lại Các kiểu tấn công ngày càng tỉnh vi và phức tạp hơn, xảy ra đồng loạt và

dễ dàng triển khai hơn Các công ty phải đối mặt nhiều hơn với hàng loạt các

thách thức và hiểm họa như virus và trojan horse, các tân công từ chối dịch vụ, ăn

trộm và phá hủy dữ liệu, có thể xây ra bất kì lúc nào Những nguy hiểm này có thể

Trang 16

GVHD: Th.S Lý Anh Tuần Phân Tích & Thiết Kế CSBM Cho Công Ty CSTN

xuất phát từ nhiều mặt chẳng hạn như từ bên ngoài công ty tấn công vào hay thậm

chí xuất phát từ chính bên trong từ các nhân viên của công ty Vì thể các công ty

cần phải có biện pháp để bảo vệ sự toàn vẹn, bảo mật dữ liệu và tính luôn sẵn sàng

của hệ thống để đảm bảo cho công việc kinh doanh luôn diễn ra bình thường

Theo khảo sát của tổ chức chuyên nghiên cứu về bảo mật - Viện bảo mật máy

tinh Computer Security Institute:

- 90% các công ty được khảo sát là các công ty lớn và cơ quan nhà nước da

phát hiện dấu hiệu liên quan tới bảo mật và thường xuyên bị mắt mát dữ liệu

- 74% kết nối Internet của họ thường xuyên là điểm bị tắn công

Cho nên các giải pháp bảo mật mạng đáng tin cậy ra đời mới có thể xoá bỏ

được những lo lắng trên Chúng giúp doanh nghiệp bảo vệ tài nguyên mạng, đảm

bảo an toàn cho các đữ liệu được truyền qua Internet tới các văn phòng chi nhánh,

tới các nhân viên đi công tác xa, các đối tác và ngược lại, cũng như bảo vệ mọi

giao dịch trực tuyến khác

Đối với yếu tổ về giải pháp và các chiến lược an ninh an toàn cho hệ thông

mạng, đặc biệt đối với những nhà cung cấp dịch vụ thì yếu tố đầu tiên và có thé

coi là quan trọng nhất là việc định hình và hoạch định các chiến lược, các chính

sách bảo mật để bảo vệ hệ thống mạng Chính vì thế mà việc đề xuất các giải

pháp, chính sách bảo mật cho hệ thống mạng của công ty là rất cần thiết, chiến

lược này dựa trên nguyên tắc là các công ty có thể chủ động quản lý và bảo vệ

chính môi trường mạng của họ trên cơ sở tích hợp các giải pháp/sản phẩm an ninh

khác nhau phù hợp với cơ sở hạ tầng chính mình

Trang 17

CHƯƠNG II:

CO SO LY THUYET

I X4y dirng chinh sach bao mat:

Xây dựng chính sách bảo mật đó là những hoạt động nhằm thiết lập, đưa ra

các khung chính sách nhằm đảm bảo an toàn cho hệ thống, đồng thời đảm bảo cho

hệ thống mạng luôn ổn định và có tính thực thi cao, có khả năng chống lại các

cuộc tấn công vào mạng Tuy nhiên, một hệ thông nếu chỉ dựa vào mục tiêu bảo

mật mà làm mất đi tính mềm dẻo và để sử dụng thì chính sách bảo mật trên hệ

thống đó cũng chưa phải là tốt Có thể nói rằng một hệ thống có chính sách bảo

mật hợp lý là biện pháp tốt nhất để đảm bảo an toàn mạng

Trong các bước xây dựng chính sách bảo mật cho hệ thống mạng, việc cần

làm đầu tiên của người quản trị là xác định được đúng mục tiêu cần bảo mật Việc

xác định những mục tiêu của chính sách bảo mật giúp người sử dụng biết được

trách nhiệm của mình trong việc bảo vệ các tài nguyên thông tin trên mạng, đồng

thời giúp các nhà quản trị thiết lập các biện pháp nhằm đâm bảo hữu hiệu trong

quá trình trang bị, cầu hình và kiểm soát hoạt động của hệ thống Những mục tiêu

bảo mật bao gồm:

- Xác định đối tượng cần bảo vệ: đây là mục tiêu đầu tiên và quan trọng nhất

trong khi thiết lập một chính sách bảo mật, cần xác định rõ những đối tượng nào là

quan trọng nhất trong hệ thống cần bảo vệ; xác định rõ mức độ ưu tiên đối với

những đối tượng đó Ví dụ: Các máy chủ dịch vụ, các roufer, các điểm truy nhập

hệ thống, các chương trình ứng dụng, hệ quản trị CSDL, các dịch vụ cung

cấp Trong bước này cần xác định rõ phạm vi và ranh giới giữa các thành phần

trong hệ thống để khi xảy ra sự cố trên hệ thống có thể cô lập các thành phần này

với nhau, để dễ dàng dò tìm nguyên nhân và cách khắc phục

- Xác định nguy cơ đối với hệ thống: các nguy cơ đối với hệ thống chính là

các lỗ hỏng bảo mật của các dịch vụ, hệ thống đó cung cấp Việc xác định đúng

đắn các nguy cơ nảy giúp người quản trị có thể tránh được những cuộc tấn công

Trang 18

mạng, hoặc có biện pháp bảo vệ đúng đắn Một số nguy cơ trên hệ thống:

+ Các điểm truy nhập: các điểm truy nhập của hệ thống bất kỳ thường

đóng vai trò quan trọng đối với mỗi hệ thống vì đây là điểm đầu tiên mà người sử

dụng cũng như những người tấn công mạng quan tâm tới

+ Không kiểm soát được cấu hình hệ thống

+ Những bug phần mềm sử dụng : những bug phần mềm tạo nên những lỗ

hỏng của dịch vụ là cơ hội cho các hình thức tấn công khác nhau xâm nhập vào

Một chính sách bảo mật là hoàn hảo khi nó có tính thực thi cao Để đánh giá tính

thực thi này, có một số tiêu chí để lựa chọn là:

+ Tính đúng đẫn : đây là tiêu chí đầu tiên và quan trọng nhất để lựa chọn

một chính sách bảo mật Nó đảm bảo cho sự thành công của chính sách đó

+ Tính thân thiện : một chính sách bảo mật cần phải thiết lập các công cụ

bảo mật thân thiện với người quản trị và dễ dàng thực thi các chính sách bảo mật

Đồng thời, còn đảm bảo các biện pháp bảo mật trên hệ thống không làm khó khăn

hoặc bất tiện đối với người sử dụng

+ Tính hiệu quả: điều sau cùng, một chính sách bảo mật cần phải có đó là

tính hiệu quả mà chính sách đó mang lại Một chính sách bảo mật có thê đảm bảo

hệ thống an toàn, tin cậy, nhưng lại cần có chỉ phí quá cao so với lợi nhuận mà hệ

thống đó đem lại sẽ không được quyết định thực thị

Các yếu tố góp phần quyết định thành công (Critical success factors) khi xây dựng

chính sách bảo mật:

Trang 19

a) Chính sách bảo mật tốt phải được soạn thảo dựa trên việc đạt được các mục

đích nghiệp vụ của công ty

b) Đạt được các yêu cầu an ninh công ty

c) Các trợ giúp hiệu quả và sự cam kết phối hợp từ các cấp quản lý

đ) Phải có sự am hiểu về các yêu cầu an ninh, về đánh giá rủi ro và quản lý rủi ro

e) Phổ biến vấn đề bảo mật tới tất cả các nhà quản lý và các nhân viên

f Phổ biến các nội dung của chính sách và các tiêu chuẩn của nó tới mọi nhân

viên và những người liên quan tới tổ chức của công ty

ø) Tổ chức các khoá học về bảo mật cho những người liên quan

h) Đánh giá thường xuyên về hiệu quả của chính sách và việc thực thi các chính

sách để từ đó rút kinh nghiệm và cải tiên liên tục

1 Corporate Policy:

Mỗi công ty đều cần phải tạo ra cho mình chính sách bảo mật, chính sách này

đưa ra các chính sách nhằm bảo vệ các thông tin dữ liệu của công ty tránh những

mối đe dọa, rủi ro làm ảnh hưởng đến việc kinh doanh và tài sản của công ty

Tất các thông tin đữ liệu nên được phân loại và dán nhãn dựa trên tính nhạy

cảm của nó đối với sự tồn tại của công ty

1.1 Chính sách về hạ tầng an ninh:

Mục đích: để quản lý và đảm bảo an toàn bên trong công ty

Một khung quan lý được thiết lập để khởi đầu và kiểm soát sự thực thi chính

sách bảo mật bên trong công ty Các kênh thông tin liên lạc với lãnh đạo được

thiết lập để phê chuẩn chính sách và bổ nhiệm các vai trò an ninh cùng điều phối

sự thực thi các chính sách trong công ty Nếu cần thiết, một bộ phận tư vấn về bảo

mật sẽ được thiết lập dé kịp thời năm bắt các khuynh hướng công nghiệp, giám sát

các tiêu chuẩn và đánh giá các phương pháp, chính sách để góp phần cho công ty

được an toàn hơn

Trang 20

GVHD: Th.S Ly Anh Tuan Phân Tích & Thiết Kế CSBM Cho Công Ty CSTN

1.2 Đồng điều phối các chính sách an ninh:

Trong một công ty, các đại diện quản lý phải có trách nhiệm điều phối sự

thực thi các chính sách:

- Thoả thuận các trách nhiệm và vai trò cụ thê về an ninh trong công ty

- Thoả thuận các phương pháp luận và tiến trình thực hiện cụ thể về an ninh,

ví dụ: các phương pháp đánh giá rủi ro, các hệ thống phân loại an ninh

- Thoả thuận và trợ giúp việc thực thi chính sách an ninh trên toàn bộ công

ty

- Đảm bảo an nỉnh là một thành phần của tiến trình lập kế hoạch kinh doanh

2 Chính sách an toàn thông tin:

2.1 Khái niêm:

Thông tin là một loại tài sản giống như mọi tài sản khác của công ty, vì vậy

cần được bảo vệ sao cho trong mọi trường hợp các hoạt động nghiệp vụ của công

ty vẫn diễn ra bình thường Thông tin có thể tồn tại dưới nhiều hình thức: trên

giấy, các phương tiện lưu trữ từ, được truyền dẫn đi xa, .Các thông tin đữ liệu trong công ty có thể bị người không được quyền truy nhập tìm cách lấy và sử

dụng (thông tin bi rd ri), bj thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin

bị xáo trộn)

Chính sách an toàn thông tin cung cấp các phương hướng và trợ giúp về mặt quản lý đối với thông tin của công ty và đảm bảo cho tất cả thông tin này luôn được bảo vệ an toàn Các cấp quản lý cần thiết lập một chính sách rõ ràng với các

quy định về trợ giúp hiệu quả, chính sách là cam kết của cấp quản lý về an toàn thông tin, chính sách phải được duy trì thường xuyên và cập nhật định kỳ

Chính sách an toàn thông tin được định nghĩa qua ba yêu cầu sau:

- Tính tin cậy (confdentiality): đảm bảo thông tin chỉ có thể được truy nhập

bởi những người được cấp quyền sử dụng

- Tính toàn vẹn (integrity): bảo vệ sự chính xác và đầy đủ của thông tin và

các phương pháp xử lý

SVTH: Thái Minh Huy & Cao Thăng Tién Trang 15

Trang 21

- Tính sẵn sàng (availability): đảm bảo những người được cấp quyền có thé

truy nhập thông tin và các tài sản liên quan ngay khi có nhu cầu

Tai sao an toàn thông tin là cần thiết?

Thông tin là tài sản quan trọng của công ty Thông tin chỉ có giá trị cao khi

đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có

giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn Tính

tin cậy, tính toàn vẹn và tính sẵn sàng của thông tin là yêu cầu cơ bản để đảm bảo

cho sự hoạt động bình thường của công ty Tổ chức và các hệ thống thông tin của

nó luôn phải đối mặt với các nguy cơ an ninh (security threats) từ môi trường như

hacker, viruses, tấn công từ chối dịch vụ, các sai lỗi của người dùng, cháy nd, lũ

lụt Các điểm để từ đó các nguy cơ bên ngoài và bên trong công ty có thể thâm

nhập làm hỏng hệ thống thông tin được gọi là các điểm dễ tổn thương

(vulnerabilities) Vi vay cần phải vá các điểm dễ tổn thương này bằng các kiểm

soát (controls) Các kiểm soát này có thể là các biện pháp kỹ thuật, biện pháp hành

chính sao cho phù hợp với công ty Để thực hiện các kiểm soát này, công ty cần sự

tham gia của tất cả nhân viên và các nhà quản lý, các khách hàng, các nhà cung

cấp của công ty

2.2 Tài liệu chính sách an toàn thong tin:

Một tài liệu phải được phê chuẩn, được xuất bản và được quảng bá phải phù

hợp với tình hình cụ thể của công ty Nó tuyên bố các cam kết của cấp quản lý và

thiết lập chính sách quản lý thông tin Tối thiểu, tài liệu phải bao hàm các nội dung

sau:

- Định nghĩa về an toàn thông tin, định nghĩa phải bao hàm các mục tiêu và

phạm vi, tầm quan trọng của an toàn thông tin, và cuối cùng như là một cơ chế cho

phép chia sẻ thông tin

- Báo cáo về mục đích quản lý, trợ giúp các mục tiêu và nguyên lý của an

toàn théng tin

Trang 22

- Diễn giải văn tắt về các chính sách an toàn, các nguyên lý, các tiêu chuẩn

và các thủ tục đối với các hệ thống thông tin cụ thể hoặc các quy tắc an ninh mà

người dùng phải tuân thủ

- Định nghĩa về trách nhiệm chung và riêng đối với quản lý an toàn thông

tin, và trách nhiệm báo cáo các sự cố an ninh

- Cuối cùng chính sách phải được phô biến tới tất cả mọi người trong công

ty

Phải có người chịu trách nhiệm về việc duy trì chính sách và soát xét tài liệu

theo một quy định rõ ràng Tiến trình soát xét phải đảm bảo chính sách an toàn

luôn luôn đáp ứng bat cứ thay đôi nào từ các đánh giá rủi ro hoặc các thay đổi hạ

tầng kỹ thuật Việc soát xét phải được lập lịch thực hiện định kỳ với nội dung như

sau:

- Hiệu quả của chính sách, được làm sáng tỏ bởi bản chất, số lượng và ảnh

hưởng của các sự cố an toàn đã ghi chép lại được

- Chỉ phí và ảnh hưởng của các kiểm soát đối với hiệu quả nghiệp vụ

- Hiệu quả của chính sách trước các thay đổi công nghệ

2.3 Trách nhiệm giải trình về tài sản “thông tin”:

Mục đích: đâm bảo sự bảo vệ thích hợp đối với loại tài sản “thông tin” của công †y

Tắt cả các tài sản thông tin đều phải được giải trình lý đo tồn tại và phải được chỉ định chủ sử dụng Trách nhiệm giải trình này nhằm tạo điều kiện bảo vệ và bảo

trì tài sản một cách thích hợp Chủ sử dụng được xác định và chịu trách nhiệm

hoàn toàn trong việc bảo trì và kiểm soát đối với tài sản Trách nhiệm giải trình

được chỉ định cho chủ sử dụng tài sản

2.3.1 Kiếm kê tài sản “thông tin”:

Kiểm kê tài sản là công việc quan trọng để quản lý rủi ro Công ty cần phải định danh các tai san, tầm quan trọng và giá trị tương đối của các tài sản của công

ty Căn cứ thông tin này, công ty sẽ đưa ra các mức bảo vệ phù hợp với giá trị và

tầm quan trọng của loại tài sản nảy Mỗi tài sản phải được định danh rõ ràng, chủ

Trang 23

GVHD: Th.S Ly Anh Tuan Phan Tich & Thiét Ké CSBM Cho Céng Ty CSTN

2.3.2 Phân loại tài sản thông tin:

Mục đích: đảm bảo tài sản thông tin được gán mức bảo vệ thích hợp

Tài sản thông tin được phân loại để xác định nhu cầu sử đụng, các ưu tiên và mức bảo vệ Tài sản thông tin cũng được xác định mức nhạy cảm và mức quyết

định (critieal) đối với công ty Một số thông tin có thể yêu cầu các mức bảo vệ phụ hoặc cách xử lý đặc biệt (special handling) Hệ thống phân loại thông tin được sử dụng để định nghĩa mức bảo vệ thích hợp cho mỗi tài sản thông tin

Phân loại thông tin và thực hiện các kiểm soát liên quan phản ánh nhu cầu

nghiệp vụ chia sẻ hoặc hạn chế sử dụng thông tin và các ảnh hưởng nghiệp vụ liên quan đến nhu cầu ấy Nói chung, việc phân loại và gán nhãn cho tài sản thông tin

là phương pháp nhanh chóng xác định các thông tin đó được xử lý và bảo vệ như

thế nào Thông tin và các kết quả xử lý của hệ thông được gán nhãn theo hai tiêu chí là giá trị (value) và độ nhạy cảm (sensitivity) đối với việc kinh doanh của công

ty Có thể sử dụng thêm một tiêu chí nữa để quyết định đó là “Critical” của thông tin đối với công ty Thông tin, sau một thời gian nhất định, sẽ mất độ nhạy cảm

hoặc hết hạn, ví dụ, khi thông tin đã được công khai Các hướng dẫn phân loại

phải tiên đoán và tính đến một thực tế là sự phân loại thông tin không có định theo thời gian mà có thẻ thay đổi sao cho phù hợp với tình hình của công ty

Trách nhiệm đưa ra cách phân loại thông tin, ví dụ, phân loại một tài liệu, một báo cáo, một tệp đữ liệu, trách nhiệm soát xét định kỳ cách phân loại cần được giao cho một hoặc một nhóm người

Trang 24

phân loại, các thủ tục xử lý phải được định nghĩa để bao quát tất cả các hoạt động

xử lý thông tim sau:

- Sao chép

- Lưu trữ

- Truyễn tin theo đường bưu điện, fax, và email

- Truyền tin bằng giọng nói (mobile, voicemail, .)

- Huy thong tin

Thông tin từ kết quả xử lý của hệ thống có thể được phân loại theo độ nhạy

cảm hoặc độ quyết định và được gán nhãn thích hợp với nội dung đã được trình bày ở mục trên Các thông tin được gán nhãn là các báo cáo được ¡in từ hệ thống,

các thiết bị lưu trữ (CD, băng từ ), các tệp dữ liệu Lưu ý tài sản thông tin nói chung chỉ tồn tại dưới hai đạng, dạng vật lý và dạng phi vật lý, vì vậy cần các loại

nhãn thích hợp

3 Chính sách an ninh nhân sự:

Mục đích: giảm bớt rủi ro do sai lỗi của con người gây nên

Trách nhiệm an ninh phải được xác định rõ ngay khi tuyển nhân viên mới, trách nhiệm được ghi trong hợp đồng, được giám sát trong công việc của mỗi

người, đặc biệt đối với các công việc nhạy cảm Tắt cả các nhân viên và người sử

dụng bên thứ ba các thiết bị xử lý thông tin phải ký cam kết đảm bảo an ninh thông tin

3.1 Tham tra hồ sơ cá nhân:

Thực hiện các kiểm soát sau để thẩm tra hồ sơ cá nhân:

- Kiểm tra tính cách cá nhân có đáp ứng yêu cầu công việc hay không

- Kiểm tra tính đầy đủ và tính chính xác của hồ sơ

- Xác nhận văn bằng và phẩm chất nghề nghiệp

- Kiểm tra CMT, hộ chiếu,

Đối với nhân viên tại vị trí công việc được tiếp xúc với các thông tin nhạy cảm thì công ty phải thực hiện kiểm tra lòng tin (credit check) của người thực hiện công việc đó, việc kiểm tra lòng tin này cần được thực hiện định kỳ Một quy trình

Trang 25

GVHD: Th.S Lý Anh Tuan Phân Tích & Thiết Kế CSBM Cho Công Ty CSTN

thâm tra tương tự cũng được áp dụng đối với các nhà cung cấp (contractors) và các

nhan vién tam thoi (temporary staff)

3.2 Các thoả thuận về tính tin cay:

Các nhân viên khi mới gia nhập công ty phải ký kết các thoả thuận về tính tin cậy hoặc không để lộ bí mật thông tin nhạy cảm của công ty, các thoả thuận này được coi như là một phần trong điền kiện làm việc tại công ty Các nhân viên thời

vu (casual staf) và những người dùng bên thứ ba không bị ràng buộc bởi những thoả thuận này thì cần ký kết tuân thủ các điều kiện tin cậy khác để có thể truy nhập thông tin của công ty Các thoả thuận về tính tin cậy cần được soát xét khi có

các thay đổi về điều kiện sử đụng lao động hoặc các hợp đồng, đặc biệt khi các

nhân viên rời khỏi công ty, hoặc hợp đồng đã hết hạn

3.3 Điều kiện sử dụng lao đông:

Điều kiện sửdụng lao động cần xác định chính xác trách nhiệm của nhân viên

đối với công ty Ở những vị trí nhất định, trách nhiệm đó cần được tiếp tục một

thời gian sau khi nhân viên đã thôi công việc Các hành động thích hợp sẽ được áp dụng nếu nhân viên không đếm xỉa gì tới các yêu cầu an ninh, quy định về các hành động như vậy cần được soạn thảo Trách nhiệm pháp lý của nhân viên và các

quyền của họ, ví dụ, đối với các luật bản quyền hoặc luật bảo vệ dữ liệu, cần được

làm sáng tỏ trong điều kiện sửdụng lao động Trách nhiệm quản lý dữ igu cua

người sử dụng lao động cần được đưa vào đây Khi thích hợp, điều kiện sử dụng lao động được mở rộng ra các hình thức lao động bên ngoài công ty như lao động

tại nhà chẳng hạn

3.4 Dao tao ngườidùng (User training):

Mục đích: để người dùng hiểu các nguy cơ an ninh và các vấn đề liên quan

Cần tổ chức các khoá đào tạo về chính sách an ninh của công ty cho tất cả

mọi người, đồng thời đào tạo các thủ tục an ninh, trách nhiệm pháp lý và các kiểm

soát nghiệp vụ và cách thức sử dụng đúng đẫn các thiết bị xử lý thông tin để tối

thiêu hoá các rủi ro an ninh

Trang 26

3.5 Phản ứng lại các sự cỗ an ninh và sai hỏng chức năng:

Mục đích: để tối thiểu hoá thiệt hại do các sự cố an ninh và do làm sai chức

năng, để giám sát và học hỏi, rút kinh nghiệm từ các sự có đó

Các sự cố an ninh cần được tổng hợp thông qua một kênh quản lý thích hợp

và phải nhanh đến mức có thể Tất cả các nhân viên và nhà cung cấp cần biết thủ tục báo cáo các loại sự cố khác nhau (vi phạm an ninh, nguy cơ, làm sai chức năng, ) CÓ thể ảnh hưởng đến an ninh thông tin của công ty Họ cũng báo cáo tất

cả các sự cố mà họ thấy, hoặc họ nghi ngờ một cách nhanh nhất đến điểm liên lạc

đã chỉ định Công ty cũng thiết lập các quy định kỹ luật đối với các trường hợp vi

phạm các yêu cầu an ninh Cần tìm cách tập hợp nhanh nhất các bằng chứng về sự

cố ngay sau khi sự cố xảy ra

3.6 Báo cáo các sự cố an ninh:

Các sự cố an ninh cần được tông hợp thông qua một kênh quản lý thích hợp

nhanh đến mức có thể Thiết lập thủ tục báo cáo hình thức (formal reporting procedure), cùng với thủ tục giải quyết sự có (incident response procedure) để có thể nhanh chóng giải quyết sự cố Tat ca các nhân viên và các nhà cung cấp cần hiểu biết về thủ tục báo cáo sự cố an ninh và báo cáo các sự có đó nhanh nhất có

thể Các quy trình phản hồi phù hợp được thực hiện để thông báo nhanh chóng

thông tin về sự cố sau khi đã giải quyết Các sự cố như vậy cần được tông kết lại

để làm tài liệu đào tạo nhân viên, hướng dẫn cách giải quyết sự cố và làm thế nào

để tránh xảy ra các sự cố tương tự trong tương lai

3.7 Báo cáo các yếu kém an ninh:

Người dùng các dịch vụ thông tin được yêu cầu chú ý và báo cáo bất cứ yếu kém an ninh nào mà họ quan sát được hoặc họ nghi ngờ, hoặc các nguy cơ có thể

có đối với hệ thống hoặc dịch vụ Các báo cáo như vậy cần gửi tới cấp quản lý của

họ hoặc tới nhà cung cấp dịch vụ nhanh nhất có thể Người dùng được khuyến cáo trong bất cứ hoàn cảnh nào cũng không nên tìm cách chứng minh các yêu kém mà

ho nghi ngờ có thực sự là một điểm yếu an ninh hay không, vì điều này có thê bị

lạm dụng để can thiệp vào hệ thống

SVTH: Thái Minh Huy & Cao Thăng Tiến

Trang 27

3.8 Báo cáo các sai hỏng chức năng của phần mềm:

Thiết lập các thủ tục báo cáo các sai hỏng chức năng của phần mềm:

a) Các triệu chứng của vấn đề và bất cứ thông báo nghi ngờ nào xuất hiện trên màn hình cũng cần phải chú ý

b) Các máy tính cần được cô lập nếu có thể và ngừng sử dụng Các hành động cảnh báo được thực hiện tức thì Nếu máy tính được kiểm tra thì cần tách nó

ra khỏi mạng của công ty trước khi khởi động lại thiết bị Các đĩa mềm của máy

tính này không nên chuyên cho máy tính khác

c) Vấn đề cần được bảo cáo ngay cho người quản lý an ninh thông tin

Người dùng không được xoá (remove) các phần mềm bị nghi ngờ trừ khi được phép làm như vậy Các nhân viên được đào tạo và có kinh nghiệm thích hợp

sẽ thực hiện các công việc này

3.9 Học hỏi từ các sư cố:

Cần thiết lập các phương pháp cho phép phân loại, xác định độ lớn, xác định

chi phí của các sự cố và sai hỏng chức năng Kết quả thực hiện được ghi nhận lại

và được sử dụng để sửa hoặc nâng cấp các kiểm soát, các chính sách an ninh nhằm

giới hạn ở mức thấp nhất các sự cố tương tự trong tương lai

3.10 Quy đỉnh về kỷ luật:

Cần soạn thảo các quy định về kỷ luật đối với các nhân viên vi phạm chính

sách an ninh và thủ tục an ninh của công ty Các quy định như vậy có thể coi như

sự ngăn ngừa từ trước các nhân viên coi thường yêu cầu an ninh của tổ chức Hơn nữa, điều này đảm bảo sự công bằng khi xử lý kỷ luật các nhân viên bị nghỉ ngờ vi phạm chính sách an ninh của công ty

4 An ninh môi trường và an nỉnh vật lý:

4.1 Ving an ninh (Secure areas):

Mục dich: dé tránh các truy nhập không được cấp phép, các phá hoại vô ý hoặc có ý đến hệ thông

Các thiết bị xử lý thông tin nhạy cảm hoặc quan trọng cần phải được bảo vệ trong nhà, trong các vùng an ninh (security areas), được bảo vệ bởi một vành đai

Trang 28

an nĩnh (security perimeter) có sự kiểm tra vào ra, được bảo vệ tránh các truy nhập

không được phép Sự bảo vệ phải tương ứng với các rủi ro đã được đánh giá

4.1.1 Vành đai an ninh vat ly:

Vành đai an ninh được thiết lập xung quanh các điểm chứa thông tin nhạy

cảm VỊ trí và độ cần trọng của vành đai an ninh phụ thuộc vào kết quả của bản đánh giá rủi ro Các kiểm soát sau cần được quan tâm:

a) Vành đai an ninh phải được xác định rõ ràng về mặt ranh giới

b) Vành đai phải vững chắc về mặt vật lý

c) Kiểm soát vào ra vành đai an ninh được thực hiện cân trọng, vào ra chỉ

giới hạn với các cá nhân được cấp phép

đ) Các vành đai, nếu cần thiết, phải được mở rộng từ sàn nhà đến trần nhà

để tránh các truy nhập không hợp pháp và tránh các tai hoạ như lửa cháy hoặc lũ

lụt

e) Mọi cửa vào ra vành đai đều phải có còi báo động

4.1.2 Kiểm soát vào ra vật lý:

Thực hiện sự kiểm soát để đảm bảo chỉ những người được cấp quyền mới được phép vào vùng an ninh Các kiểm soát sau phải được thực hiện

a) Khách thăm (visitor) vùng an ninh được làm rõ nhân thân và được giám

sát, thời gian và hành trình của họ được ghi nhận lại Họ chỉ được phép vào với mục đích cụ thể và được cấp phép theo các yêu cầu an ninh hoặc theo các thủ tục khẩn cấp

b) Truy nhập các thông tin nhạy cảm, các thiết bị xử lý thông tin được kiểm soát và bị giới hạn và chỉ dành cho những người được cấp phép Các kiểm soát xác

thực, ví dụ kiêm soát chứng minh thư, được sử dụng để cấp phép khi truy nhập

Vết truy nhập phải được ghi nhận lại

c) Tất cả mọi người phải có thẻ nhận dạng khi vào ra

3) Quyền truy nhập các vùng an ninh được duyệt và cập nhật đều đặn

Trang 29

4.1.3 Các nhân viên an ninh, phòng làm việc và thiết bị:

Vùng an ninh và các phòng làm việc cần được khoá, các ngăn kéo và két sắt

cũng được khoá Lựa chọn và thiết kế một vùng an ninh cần phải tính đến các khả năng xảy ra cháy, lụt, hoặc các tai biến khác Các vấn đề liên quan đến sức khoẻ con người, các tiêu chuẩn an toàn làm việc cũng cần lưu tâm

Ngoài ra, cần để ý đến ảnh hưởng của các vùng đai an ninh bên cạnh, ví dụ,

rò rÌ nước từ vùng an ninh bên cạnh sang Các kiểm soát sau cần được thực hiện

a) Các thiết bị chính cẦn được quy định vị trí để tránh các truy nhập tự do

b) Các toà nhà cần kín đáo và không phô trương mục đích của nó, không có

dấu hiệu nào rõ ràng, bên trong cũng như bên ngoài tòa nhà đẻ có thể nhận biết các

hoạt động xử lý thông tin

c) Các thiết bị trợ giúp, ví dụ, máy phôtô, máy fax, được đặt trong vùng

ø) Danh mục tài liệu và đanh sách điện thoại nội bộ liên quan đến việc quản

lý các thiết bị xử lý thông tin nhạy cảm phải được để tại một vị trí cố định và được công khai trong công ty

h) Các thiết bị đễ cháy, để bắt lửa phải được đặt tại vị trí có khoảng cách an

toàn trong vùng an ninh Các vật dụng văn phòng (giấy, bút, .) không được lưu trữ trong vùng an ninh

1) Các thiết bị đự trữ và phương tiện sao lưu phải được đặt tại vị trí có khoảng cách an toàn so với vị trí chính

Trang 30

4.1.4 Làm việc trong vùng an ninh:

Các kiểm soát phụ và hướng dẫn có thể được yêu cầu nhằm tăng cường an

ninh cho vùng an ninh Các kiểm soát này cần tính đến các cá nhân và bên thứ ba

làm việc tại vùng an ninh Các kiểm soát sau cần được thực hiện:

a) Mỗi cá nhân chỉ được biết những thông tin cơ bản nhất về vùng an ninh khi làm việc trong đó

b) Tránh để bất cứ ai làm việc trong vùng an ninh mà không có giám sát vì

ly do an toàn và dé tránh các cơ hội cố ý gây lỗi

c) Các vùng an ninh chưa sử dụng cần được khoá và kiểm tra định kỳ

d) Các bên thứ ba bị giới hạn truy nhập vào vùng an ninh hoặc truy nhập

các thiết bị xử lý thông tin nhạy cảm, họ chỉ được truy nhập khi có yêu cầu Các

truy nhập này được cấp phép và giám sát Các vành đai phụ để kiểm soát các truy

nhập vật lý có thể là cần thiết giữa các vùng với các yêu cầu an ninh khác nhau

trong cùng một vành đai an ninh

e) Máy chụp ảnh, máy quay phim, máy ghi âm hoặc các thiết bị ghi khác

không được sử dụng trong vành đai an ninh, trừ khi được cho phép

4.1.5 Tách biệt vùng siao nhân:

Vùng giao và nhận thiết bị cần được kiểm soát và nếu có thể cần cách ly với các thiết bị xử lý thông tin để tránh các truy nhập không được phép Các yêu cầu

an ninh cho vùng này cần được xác định bằng một đánh giá rủi ro Các kiểm soát

sau được thực hiện:

a) Truy nhập vùng lưu trữ (access to a holding area) từ bên ngoài toà nhà

chỉ được giới hạn đối với những người xác định và được cấp phép

b) Nhập thiết bị chỉ được thực hiện khi có mặt nhân viên giao nhận(delivery staff)

c) Cira ra vao bén ngoai (external door) ving luu trir duge đóng lại nếu cửa bên trong (internal đoor)mở;

d) Các thiết bị nhập vùng lưu trữ (incoming material) được kiểm tra lỗi trước khi được chuyên từ vùng an ninh ra vị trí sử dụng

Trang 31

e) Các thiết bị nhập vùng an ninh cần được đăng ký thích hợp

4.2 An ninh thiết bị:

Mục đích: để tránh mất mát, lỗi hoặc các sự cố khác liên quan đến tài sản gây

ảnh hưởng tới các hoạt động nghiệp vụ Các thiết bị được bảo vệ tránh các nguy

cơ an ninh và các rủi ro từ môi trường, giảm bớt rủi ro từ các truy nhập không

được phép có thể làm hỏng hoặc làm mắt đữ liệu

4.2.1 Lựa chọn vị trí thiết bị và bảo vệ:

Thiết bị được lựa chọn vị trí lắp đặt và được bảo vệ tránh các rủi ro môi

trường và các truy nhập không được phép Các kiểm soát sau được cân nhắc

a) Thiết bị được đặt tại vị trí cho phép tối thiêu hoá các truy nhập không

cần thiết từ các vùng làm việc khác

b) Các thiết bị lưu trữ và xử lý thông tin liên quan đến thông tin nhạy cảm

được đặt tại các vị trí cho phép tránh bị“săm so†”

c) Các yêu cầu bảo vệ đặc biệt đối với các thiết bị được tách biệt đối với

các yêu cau bảo vệ chung

đ) Các kiểm soát được thực hiện để tối thiểu hoá các nguy cơ tiềm tàng sau:

ăn cắp, cháy nỗ, nước, bụi, rung lắc, các hiệu ứng hoá học, ;

e) Trong chính sách an ninh thông tin có điều khoản quy định không cho

moi người ăn uống, hút thuốc gần các thiết bị xử lý thông tin

Ð Các điều kiện môi trường được giám sát để không ảnh hưởng đến sự hoạt

động an toàn của các thiết bị xử lý thông tin

ø) Sử dụng các phương pháp bảo vệ đặc biệt, ví như màng bàn phím, đối

với thiết bị làm việc trong môi trường công nghiệp

h) Ảnh hưởng của các sự cố xảy ra gần vành đai an ninh cần được lưu ý, ví

dụ lửa cháy gần, nước tràn gần đó

4.2.2 Cung cấp năng lượng (Power supplies):

Thiết bị được bảo vệ trước các sự cố năng lượng và các biến đổi điện không

bình thường, cần cung cấp điện hợp lý theo chỉ dẫn của nhà sản xuất thiết bị Các

lưu ý về năng lượng như sau:

Trang 32

a) Nhiều đường dẫn điện để nếu sự cố điện xảy ra thì luôn có nguồn thay thé

b) Có các UPS

c) Có máy phát điện dự phòng

4.2.3 An ninh dwong cap (Cabling security):

Cáp truyền thông và cáp năng lượng cần được bảo vệ Các kiểm soát sau

được cân nhắc

a) Đường cáp năng lượng và truyền thông nối với các thiết bị xử lý thông tin

phải đặt ngầm, nếu có thể, hoặc được bảo vệ theo cách khác thích hợp

b) Cáp mạng được bảo vệ tránh các truy nhập không phép, ví dụ các truy

nhập “lái” dòng dữ liệu từ mạng công cộng

c) Cap năng lượng được đặt cách ly vớicáp truyền thông dé tránh nhiều loạn

đ) Đối với các hệ thống quan trọng hoặc nhạy cảm thì cần lưu ý các kiểm

- Không gắn vào cáp các thiết bị không đăng ký

4.2.4 Bảo trì thiết bị (Equipment maintenance):

Các thiết bị được bảo trì hợp lý để đảm bảo tính sẵn sàng và tính toàn vẹn

Các kiểm soát sau cần phải được cân nhắc:

a) Thiết bị phải được bảo trì theo đúng yêu cầu của nhà cung cấp

b) Chỉ những người bảo trì được cấp phép mới được sửa chữa các thiết bị

c) Số sách ghi chép về việc bảo trì nên được lưu trữ

đ) Các kiểm soát thích hợp được thực hiện khi gửi các thiết bị ra ngoài vành

đai an ninh để bảo trì

4.2.5 An ninh của các thiết bị bên ngoài vành đai an ninh:

Không kể chủ sở hữu, sử dụng bất kỳ thiết bị nào bên ngoài tổ chức cũng

phải được cấp phép An ninh đối với thiết bị này cũng tương tự như các thiết bị

Trang 33

cùng loại đang hoạt động trong vành đai an ninh được sử dụng cho mục đích

tương tự, có xét đến các rủi ro khi thiết bị ở bên ngoài tổ chức Các kiểm soát sau

được cân nhắc:

a) Thiết bị được đưa ra khỏi vành đai an ninh phải luôn có người giám sát b) Các chí dẫn của nhà sản xuất về việc bảo vệ thiết bị phải được tuân thủ đầy đủ, đặc biệt là bảo vệ thiết bị trong môi trường điện từ

c) Các kiểm soát làm việc tại nhà (home-working controls) được xác định

bằng một đánh giá rủi ro và được ứng dụng phù hợp, ví dụ, các ngăn kéo có khóa, chính sách “bàn làm việc sạch” và các kiểm soát truy nhập máy tính

4.3 Các kiểm soát chung:

Mục đích: để tránh các dàn xếp bắt lợi hoặc ăn cắp thông tin và các thiết bị

phá huỷ bởi các tai hoạ như cháy, lut, Cac kiểm soát sau cần được cân nhắc:

a) Giấy to, các thiết bị, máy tính cần được lưu trữ trong ngăn kéo hoặc tủ có

khoá trong thời gian không sử dụng

b) Các thông tin nghiệp vụ nhạy cảm hoặc quan trọng phải được lưu trữ

trong các vị trí được khoá thường xuyên khi không có yêu cầu sử dụng

c) Máy tính cá nhân phải có mật khâu

d) Các điểm truy nhập email, máy fax, máy telex phải được bảo vệ

e) Máy photocopy cần được khoá ngoài giờ làm việc

Ð Khi in các thông tin nhạy cảm hoặc đã được phân loại thì cần mang ra

khỏi máy in ngay sau khi in

Trang 34

4.3.2 Di dời tài sản (Removal of property):

Không được đi dời tài sản trong vùng an ninh khi không được phép Nếu phải

đi đời thì cần ghi nhận lại việc đi đời này

5 Kiểm soát truy nhap (Access control):

5.1 Các yêu cầu nghiệp vụ đối với kiểm soát truy nhập:

Mục đích: để kiểm soát truy nhập thông tin

Truy nhập thông tin và các quy trình nghiệp vụ cần được kiểm soát trên cơ sở

các yêu cầu nghiệp vụ và yêu cầu an ninh Từ đó đòi hỏi phải có chính sách về phổ

biến thông tin và cấp phép thông tin

5.1.1 Chính sách kiểm soát truy nhập (Access control policy):

5.1.1.1 Các yêu cầu chính sách và yêu cầu nghiệp vụ (Policy and business requirements):

Các yêu cầu nghiép vu (business requirements) đối với kiểm soát truy nhập cần được định nghĩa và tài liệu hoá Quy tắc và quyền kiểm soát truy nhập cho mỗi

người dùng và nhóm người dùng được xác định rð ràng trong chính sách an minh

Yêu câu nghiệp vụ của người dùng và của các nhà cung cấp địch vụ được mô tả rõ ràng để đễ đàng cho việc kiểm soát truy nhập Chính sách an ninh về vẫn đề này cần lưu ý các điểm sau:

a) Mô tả yêu cầu an ninh của các ứng dụng nghiệp vụ cá nhân

b) Xác định mọi thông tín liên quan đến các ứng dụng nghiệpvụ

c) Mô tả chính sách về phổ biến và cấp phép thông tin, ví dụ: nói rõ nguồn

gốc và mức an ninh, sự phân loại của thông tin

d) Can nhất quán giữa kiểm soát truy nhập và chính sách phân loại thông tin giữa các hệ thống và các mạng khác nhau

e) Mô tả các luật liên quan và các điều khoản hợp đồng về việc bảo vệ truy

Trang 35

g) Quan lý quyền truy nhập trong một môi trường phân tán và nối mạng

(distributed and networked environment), môi trường này chấp nhận tất cả các loại

kết nối có thể

5.1.1.2 Các quy tắc kiểm soát truy nhập (Aceess control rules):

Khi đặc tả các quy tắc kiểm soát truy nhập cần chú ý đến các vấn đề sau:

a) Phải luôn tuân thủ các quy tác

b) Thiết lập các quy tắc dựa trên tiền đề “Tất cả đều bị cắm trừ những điều cho phép” hơn là tiền đề ngược lại“Tất cả đều được phép trừ những điều bị cắm”

c) Thay đổi nhãn thông tin được thực hiện theo quy định

d)Thay đổi các quyền truy nhập của người dùng (user permissions) được hệ thống thực hiện tự động theo sự điều khiển của một người quản trị (administrator)

e) Các quy tắc cần cấp thâm quyền xác nhận trước khi ban hành

5.2 Quan ly truy nhap cua ngwdi ding (User access management):

Mục đích: để tránh các truy nhập không được cấp phép vào hệ thống

Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ đàng nhất cho attacker có thể tấn công, như vậy những hình thức bảo mật khác

được áp dụng vào hệ thống như trang bị các công cụ chống maleware (prevent

virus, worm, spyware, ad-ware ), trién khai hé théng phong tha Mang (Firewall)

cũng sẽ không có tác dụng nao dang kể, vì Admin quá thờ ơ trong cách thức tạo

account và đưa ra chính sách tạo account chứa đựng nhiễu rủi ro này Chính vì vậy

cần phải có kế hoạch để kiểm soát việc cấp quyền truy nhập hệ thống thông tin và

dịch vụ Các thủ tục này bao quát tất cả các yêu cầu về kiểm soát truy nhập của

người dùng, bắt đầu từ đăng ký người dùng mới tới việc huỷ quyên truy nhập của

một người dùng cũ Chú ý tới các quyền truy nhập ưu tiên trong một số trường

hợp đặc biệt, quyền này có thể cho phép người dùng bỏ qua sự kiểm soát của hệ

thống

5.2.1 Đăng ký người dùng (User registration):

Cần một thủ tục hình thức để đăng ký người dùng mới và huỷ đăng ký một người dùng cũ Nội dung thủ tục gồm các yếu tố chính sau:

Trang 36

quản lý có thâm quyền

d) Kiểm tra mức độ truy nhập có phù hợp với mục đích nghiệp vụ và nhất quán với chính sách an ninh của công ty hay không

e) Cho người dùng biết về quyền truy nhập của họ bằng văn bản

f) Yêu cầu ngườidùng ký vào văn bản đó để đảm bảo họ hiểu các điều kiện

truy nhập

ø) Đảm bảo nhà cung cấp dịch vụ không cấp quyền truy nhập cho đến khi

các thủ tục cấp phép đã hoàn thành

h) Ghi lại vào số danh sách tat cả những người đã đăng ký sử dụng dịch vụ

1) Xoá ngay tức khắc quyền truy nhập của người dùng đã thay đôi công việc hoặc đã dời khỏi công ty

j) Kiểm tra định kỳ và loại bỏ các ID dư thừa

k) Đảm bảo các ID dư thừa không được gán cho những người dùng khác Nội dung các vẫn đề trên phải tính đến các điều khoản trong hợp đồng công

ty ký kết với nhân viên và các hợp đồng dịch vụ

5.2.2 Quản ly wu tién (Privilege management):

Việc cấp và sử dụng các ưu tiên (bất cứ đặc tính hoặc điều kiện nào mà một

hệ thống đa người dùng cho phép người dùng vượt qua sự kiểm soát của hệ thống)

phải được giới hạn và kiểm soát chặt chẽ

Việc sử dụng không thích hợp các ưu tiên thường là một trong số các nguyên

nhân gây ra các hỏng hóc của hệ thống Việc cấp quyền ưu tiên phải theo một quy

trình cấp phép hình thức Các bước sau nên được cân nhắc:

a) Xác định các ưu tiên liên quan đến phần mềm hệ thống và ứng dụng

Trang 37

b) Các ưu tiên được cấp cho các cá nhân theo nhu cầu thực tiễn hoặc theo

diễn biến của tình hình thực tế

c) Một quy trình cấp phép (authorization process) và một danh sách tất cả các ưu tiên đã cấp cần được duy trì và cập nhật thường xuyên Các ưu tiên chưa được chấp nhận cấp cho đến khi quy trình cấp phép hoàn thành

đ) Mô tả các công việc hàng ngày của hệ thống và mục đích của nó cần được phổ biến rộng rãi đẻ tránh việc cấp các ưu tiên (quá rộng) cho người ding

Mật khẩu là phương tiện được dùng để xác nhận một người khi truy nhập một hệ thống vì thế nó sẽ ảnh hưởng rất lớn đến công tác bảo mật Cho nên cần

phải có các chính sách tạo password mạnh và đưa ra được chiến lược an toàn về account áp dụng vào an toàn thông tin của công ty là vấn đề mang tính cấp bách

Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account, chính sách tạo password sao cho an toàn thực sư là một trong những yếu tố chính để bảo vệ tài khoản Chính sách này bao gồm các yếu tổ chính như sau:

- Thời gian tối đa sử dụng password (maximum password age): hạn sử dụng tối đa của password trước khi user phải thay đổi password Thay đổi

password theo dinh ki sé giúp tăng cường an toàn cho tài khoản

- Thời gian tối thiểu password phải được sử dụng trước khi có thé thay đôi (minimum password age) Admin có thể thiết lập thờigian này khoảng vài ngày,

trước khi cho phép user thay đổi password của họ

- Thực thi password history: số lần các password khác biệt nhau phải sử dụng qua, trước khi quay lại dùng password cũ Số Password history càng cao thì

Trang 38

- Khi dùng password phức hợp cần quan tâm: không sử dụng họ và tên,

chứa ít nhất 6 kí tự, có thể đan xen chữ hoa,(A Z) thường (a Z), và các ki tự đặc biét nhu: !@#$%*&*()

- Account lockout: Sé bi khéa tai khoan trong m6t thoi gian nhất định, nếu như sau một số lần log-on không thành công vào hệ thống Mục đích của chính sách này nhằm ngăn chặn các cuộc tan công dang brute force vao account để đò password

6 Bảo vệ chống lại các phần mém pha hoai (Protection against malicious

software):

Mục đích: để bảo vệ sự toàn vẹn của phần mềm và thông tin

Đối với các phần mềm phá hoại thì nguyên tắc phòng chống luôn được đề cao Phần mềm và các thiết bị xử lý thông tin dễ bị tổn thương đối với viruses, sâu mạng, ngựa Trojan và bom logic Cần đề ra các biện pháp kiểm soát nhằm phát hiện hoặc ngăn ngừa tác hại của phần mềm phá hoại

6.1 Kiểm soát chống lại các phần mềm phá hoại (Protection against malicious

software):

Cài đặt các kiểm soát và thủ tục bảo vệ hệ thống chống lại phần mềm phá

hoại như sau:

a) Chính sách an toàn thông tin yêu cầu công ty tuân thủ luật bản quyền phan mềm, đồng thời ngăn cản sử dụng các phần mềm không được cấp phép

b) Chính sách yêu cầu các kiểm soát chống lại rủi ro từ việc thu thập các

tệp và phần mềm từ các mạng bên ngoài

c) Cài đặt và cập nhật định kỳ các phần mềm chống virus, spyware

d) Kiểm tra định kỳ các hệ thống trợ giúp quan trọng để xem có phần mềm

và đữ liệu nghỉ ngờ không Sự hiện diện của bất cứ phần mềm và tệp tài liệu

không được cấp phép cần phải được điều tra

e) Kiểm tra virus bất cứ tệp nào trên các thiết bị điện tử có nguồn gốc

không rõ ràng

Trang 39

Ð Kiểm tra virus bat cứ email đáng nghi ngờ nào, việc kiểm tra được thực

hiện tại các vị trí khác nhau, ví dụ: tại mail servers, tại các PCs hoặc ngay khi truy

nhập vào mạng của công ty

ø) Các thủ tục quản lý và trách nhiệm diệt virus trên các hệ thông, đào tạo

sử dụng các phần mềm diệt virus, báo cáo và khôi phục lại sau các cuộc tấn công

của virus

h) Các kế hoạch nghiệp vụ thích hợp để khôi phục hệ thống sau các cuộc

tấn công của virus, gồm việc sao lưu tất cả các dữ liệu cần thiết và khôi phục lại hệ

thống từ các dữ liệu sao lưu này

1) Các thủ tục kiểm tra mọi thông tin liên quan đến các phần mềm phá hoại

và đảm bảo các bản tin cảnh báo phải thật chính xác và đầy đủ Các nhà quản lý

phải có đây đủ thông tin từ các nguồn tin cậy (báo chí, Internet, các nhà cung cấp

phần mềm diệt virus) để phân biệt sự khác nhau giữa các trò “chơi khăm” và virus

thực sự

7 Công việc thực hiện thường nhật của công ty:

Mục đích: đảm bảo tính toàn vẹn và tính sẵn sàng của các dịch vụ truyền thông và xử lý thông tin

Các thủ tục thực hiện hàng ngày được thiết lập để thực hiện chiến lược sao lưu dữ liệu, ghi lại các lỗi và các sự kiện và trong chừng mực có thể, thực hiện

giám sát môi trường của thiết bị

7,1 Sao lưu thông tin (Information back-up):

Các bản sao lưu thông tin nghiệp vụ cơ bản và phần mềm được thực hiện thường ngày Các thiết bị sao lưu thích hợp được cung cấp để đảm bảo mọi thông

tin nghiệp vụ cơ bản và phần mềm có thể được khôi phục sau những tai nạn hoặc

hỏng hóc thiết bị Sao lưu các hệ thống cá nhân được kiểm thử định kỳ để đảm bảo

chúng luôn đáp ứng các yêu cầu của kế hoạch nghiệp vụ Các kiểm soát sau cần

nên được quan tâm:

a) Sao lưu thông tin ở mức tối thiểu, các số sách ghi chép đây đủ và phải

thật chính xác về các bản sao lưu, các thủ tục khôi phục được tài liệu hoá, tất cả

Trang 40

được lưu trữ ở một vị trí xa, trong một khoảng cách vừa đủ để có thể tránh tất cả

các đe doa từ vị trí chính thức Với các ứng dụng quan trong, it nhất phải lưu trữ 3

trong thời gian đã được quy định trong thủ tục

7.2 Nhat ky van hanh (Operator logs):

Các nhân viên vận hành phải ghi chép nhật ký về hoạt động của họ Nội dung nhật ký bao gồm:

a) Thời điểm bắt đầu và kết thúc hệ thống

b) Các lỗi phát sinh và các lỗi đã được sửa chữa

c) Xác nhận các kết quả tính toán của máy tính là chính xác

đ) Tên của người ghi nhật ký

Nhật ký vận hành được ghi thường xuyên và việc kiểm tra độc lập với các thủ tục vận hành

7.3 Báo cáo lỗi (Fault logging):

Thực hiện các báo cáo lỗi phát sinh và các lỗi đã được sửa chữa theo các chú

y sau:

a) Soát xét các ghi chép lỗi để đảm bảo chúng đã được giải quyết thấu đáo

b) Kiểm tra để đảm bảo rằng các kiểm soát không bị dàn xếp, các sửa chữa

đã được cấp phép

8 Quan tri mang (Network management):

Mục đích: dam bảo an toan théng tin trén mang va bao vệ cơ sở hạ tang ky thuật

Tiêu đề	Phân tích và thiết kế chính sách bảo mật cho công ty cao su Thống Nhất
Tác giả	Thái Minh Huy, Cao Thăng Tiến
Người hướng dẫn	Th.S Lý Anh Tuấn
Trường học	Trường Đại Học Kỹ Thuật Công Nghệ TP. Hồ Chí Minh
Chuyên ngành	Công nghệ Thông tin
Thể loại	Luận văn tốt nghiệp
Năm xuất bản	2007
Thành phố	TP. Hồ Chí Minh

Định dạng
Số trang	107
Dung lượng	5,36 MB