Tiểu luận môn Bảo mật thông tin MOBILE DATA SECURITY

Khi yêu cầu dữ liệu từ 1 địa chỉ người dùng có thể bị đánh mất dữ liệuVirus trú ẩn trên thiết bị: Virus có thể tấn công qua lỗ hổng bảo mật của ứng dụng, hệ điều hành, qua các ứng dụng

Ngày nay để thuận tiện cho công việc, tăng

năng xuất làm việc của nhân viên các tố chức, công ty cho phép nhân viên truy cập thông tin cần thiết của doanh nghiệp ở bất kỳ nơi nào thì các thiết bị di động luôn được xem là lựa chọn hàng đầu (ví dụ: điện thoại di động, laptop, PDA)Trong khi các thiết bị có thể nâng cao năng xuất

và hiệu quả, chúng cũng mang lại những rủi ro mới cho công ty

Các tổ chức đang bắt đầu hiểu rằng bảo mật các thiết bị di động cũng quan trọng như bảo mật máy tính để bàn hay máy

tính xách tay.

Thông tin cá nhân, tài liệu riêng tư của bạn cũng

như của công ty trong điện thoại di động trở thành mục tiêu của kẻ xấu muốn thâm nhập.

Bảo mật dữ liệu là rất quan trọng cho hầu hết các doanh nghiệp và ngay cả người dùng máy tính ở

nhà: thông tin khách hàng, thông tin thanh toán, các tập tin cá nhân, chi tiết tài khoản ngân hàng, tất cả các thông tin này có khả năng nguy hiểm nếu

nó rơi vào tay kẻ xấu.

Tấn công, truy cập dữ liệu trên đường

truyền (Interception of data transmission) Xác thực người dùng (User

Authentication)

Truy cập giả mạo vào dữ liệu trên thiết bị (Rogue access to data on device)

Thường xảy ra ở đâu?

Thư điện tử (Email)

Âm thanh (Voice)

Tin nhắn (Message)

Trong quá trình đồng bộ dữ liệu

…

Đánh vào 1 trong 4 nguyên tắc về bảo mật

– Làm mất tính bảo mật (Confidentiality)

– Làm mất tính toàn vẹn (Integrity)

– Làm mất tính ‘không lặp lại’ (Non repeatable)– Làm mất tính xác thực (Authentication)

Ví dụ:

Kẻ tấn công có thể dùng một số thiết bị

nghe lén để xâm nhập vào các thiết bị di động nếu chúng không được bảo mật chặt chẽ.

Xác thực người dùng (User Authentication)

Client có được phép kết nối đến server khi

có quyền?

Client được phép làm gì?

Khi yêu cầu dữ liệu từ 1 địa chỉ người dùng có thể bị đánh mất dữ liệu

Virus trú ẩn trên thiết bị:

Virus có thể tấn công qua lỗ hổng bảo mật của ứng dụng, hệ điều hành, qua các ứng dụng

được tải từ mạng, hoặc qua các tin nhắn SMS

"độc hại" được thiết kế đặc biệt Những nguy

cơ này có thể khiến thiết bị ngừng hoạt động hoặc gây ra các lỗi nghiêm trọng

Mất tất cả những dữ liệu quan trọng lưu

giữ trong thiết bị

Thậm chí nếu thiết bị được bảo mật cao

trong các mạng riêng ảo (VPN) nhưng nếu

bị đánh cắp hoặc bị mất, các thiết bị di

động vẫn là đe doạ lớn đối với toàn thể

mạng Intranet doanh nghiệp

Thiết lập các chính sách rõ ràng cho việc sử

dụng các thiết bị di động

Xác thực người dùng và các thiết bị truy cập dữ liệu

Mã hóa dữ liệu ở phần còn lại

Kết nối an toàn cho dữ liệu trong truyền dẫn

Cài đặt chống phần mềm độc hại trên thiết bị di động

Thực thi tường lửa và quy định hệ thống phát

hiện xâm nhập (Intrusion detection systems -

IDS) để ngăn chặn tin tặc và các cuộc tấn công

từ chối dịch vụ

Tập trung quản lý bảo mật thiết bị di động

Nâng cao nhận thức người sử dụng về nguy cơ

và đào tạo

Xây dựng và thực thi các chính sách với một

nhóm liên ngành bao gồm bộ phận CNTT, thu mua, nhân sự, và pháp chế

Nắm bắt các loại và mô hình của thiết bị sử

dụng để truy cập hoặc lưu trữ dữ liệu công ty

Bảo vệ và hạn chế các dữ liệu đồng bộ với thiết

bị di động

Yêu cầu mật khẩu mạnh trên thiết bị di động

Xác thực cả hai thiết bị và người sử dụng

Chọn giải pháp quản lý và thực thi chính sách tập trung

Mã hóa dữ liệu ở phần còn lại trên các thiết bị di động, bao gồm cả trên các phương tiện thông

Sử dụng giải pháp mã hóa "tại chỗ" hơn là các hộp đựng, vì vậy dữ liệu được bảo vệ

mà không cần sự can thiệp của người sử dụng

Quản lý các khóa mã hóa để bảo vệ

chúng khỏi trộm cắp

SSL bảo vệ dữ liệu trong truyền dẫn, là đơn giản

để thực hiện, và không yêu cầu phần mềm

khách hàng mới trên các thiết bị di động

VPN có thể an toàn dữ liệu trong truyền dẫn,

nhưng có thể tốn kém, rút tuổi thọ pin, và yêu

cầu phần mềm máy khách hàng

Quét các mối đe dọa và các ứng dụng di độngGiải pháp phải được cập nhật thường xuyên với người sử dụng tối thiểu hay sự can thiệp của

quản trị viên

Quét phần mềm độc hại trong thời gian thực

trên các thiết bị và phương tiện lưu trữ

Tường lửa hạn chế các loại và nguồn gốc của lưu lượng truy cập

Lựa chọn dễ dàng triển khai các giải pháp tường lửa với mức độ bảo mật được xác định trước

được tùy biến bởi quản trị viên

Các hệ thống phát hiện xâm nhập có thể chặn các cuộc tấn công từ chối dịch vụ

Cài đặt các ứng dụng bảo mật di động trên các thiết bị cầm tay

Tập trung cung cấp các thiết lập và chính sách Khóa các thiết lập bảo mật di động trên thiết bị

để người dùng không thể thay đổi chúng

Đẩy bản vá cập nhật phần mềm, an ninh và mẫu tập tin cập nhật cho thiết bị di động

không tải các ứng dụng từ các nguồn không tin cậy

không chia sẻ các ứng dụng với người lạ

không giữ chức năng Bluetooth được kích hoạt khi không sử dụng

sao lưu tất cả dữ liệu trên thiết bị

giữ cho phần mềm trên thiết bị được cập nhật (các bản vá lỗi hệ điều hành, khóa chống virus, thiết lập tường lửa, v.v )

làm theo lời khuyên cho đồng bộ hóa an toàn

TLTK: Mobile Security Report 2009

Khảo sát trực tuyến vào tháng 11 và

12/2008 của công ty Informa Telecoms & Media (ITM)

Doanh nghiệp cung cấp cho nhân viên điện thoại thông minh và PDA để tăng năng suất nhưng

cũng tạo ra các thách thức an ninh cho tổ chức.Các tổ chức nên xem bảo mật di động một cách toàn diện - con người, quy trình, và công nghệ để giảm thiểu rủi ro

Một giải pháp toàn diện bao gồm đào tạo con

người sử dụng các thiết bị di động một cách an toàn, mở rộng chính sách bảo mật máy tính để bàn và máy tính xách tay đến thiết bị di động, và thực hiện các giải pháp bảo mật công nghệ di

động

Các quản trị viên CNTT nên mở rộng thực hành bảo mật sử dụng cho máy tính xách tay và máy tính để bàn với các thiết bị di động vì các nguy

cơ bảo mật đều như nhau cho cả hai

Cuối cùng, các tổ chức nên xem xét các công nghệ bảo mật di động bao gồm xác thực, mã

hóa lưu trữ dữ liệu, bảo mật cho dữ liệu trong truyền nhận, chống phần mềm độc hại, firewall

và các hệ thống phát hiện xâm nhập, và tập

trung quản lý để bảo vệ cả hai thiết bị điện thoại

D.M.G.PRASAD & A.N.SAI KRISHNA,

Mobile Data Security.

CREDANT Technologies (2007), Mobile Data

Security Essentials for Your Changing,

Growing Workforce.

Trend Micro (2007), Protecting Mobile Data

and Increasing Productivity.

McAfee, Inc & Informa Telecoms & Media