QUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆP

QUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆPQUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆPQUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆPQUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆPQUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆPQUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆPQUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆPQUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆPQUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆPQUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆPQUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆP

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

QUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆP

I/ Tường lửa lớp ngoài

Chính sách tại tuờng lửa lớp ngoài Truy cập từ Internet, mạng bên ngoài vào mạng

Cấm truy cập từ bên ngoài vào mạng riêng bên trong (private network)

Có thể sử dụng hệ thống ISS Real Secure hoặc bất kỳ loại nào có tính năng tương tự (nếu

sử dụng sản phẩm FW của ChekPoint với khả năng kết hợp các tính năng của ISS Real Secure (RS) ta có thể tự ñộng cấu hình lại FW trong trường hợp phát hiện xâm nhập)

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477 Console ñiều khiển của RS nằm tại segment quản trị hệ thống hoặc tại segment local

Kiểm tra password e-mail :

Có thể sniffer ñược password e-mail công ty không ?

Kiểm tra tính xâm nhập server :

Có thể hacking ñược server nội bộ không?

Kiểm soát nội dung lưu thông

- Có

- Không có

- Không xác ñịnh

ðể kiểm soát nội dung thông báo ta có thể sử dụng hệ thống kiểm soát và phân tích thông

báo dạng MIME Sweeper Batimore

Ghi biên bản và giám sát truy cập

Ghi nhật ký tại tường lửa, toàn bộ các giao dịch (mọi cố gắng thiết lập kết nối) với mạng <TỔ CHỨC-CÔNG TY>.Log file phải ñược bảo vệ tại chỗ và từ xa

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

- Có

- Không có

- Không xác ñịnh

An Ninh Mạng nội bộ (máy trạm và máy chủ)

Kiểm soát virus

Bắt buộc phải kiểm soát virus trên các máy trạm

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

- Không có

- Không xác ñịnh

Bảo vệ bằng mật mã ñối với dữ liệu

Dữ liệu có mức từ “tuyệt mật” ñược bảo vệ ở dạng mật mã do lãnh ñạo Cong ty chuẩn y

- Có

- Không có

- Không xác ñịnh

Bảo vệ bằng tường lửa cá nhân

Tất cả các máy tính cơ ñộng ñều phải ñược bảo vệ bằng tường lửa cá nhân

Kiểm soát truy cập

Ghi nhật ký tất cả các truy cập tại chỗ của người dùng vào các máy trạm làm việc (kiểm soát cả các truy cập thành công và không thành công vào hệ thống)

- Có

- Không có

- Không xác ñịnh

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477 Ghi nhật ký tất cả các truy cập tại chỗ của người quản trị vào các máy chủ (kiểm soát tất cả các truy cập thành công và không thành công)

- Có

- Không có

- Không xác ñịnh

An Toàn Thông Tin Vật lý

Tường lửa, máy chủ WEB, mail, IPS… tất cả phải ñược bố trí trong phòng riêng biệt có khóa

và chỉ các quản trị hệ thống mới có quyền vào (có chìa khóa hoặc thẻ từ ñể mở, phòng thường xuyên khóa) Sử dụng mật khẩu kép: một phần mật khẩu quản trị do CIO giữ và phần còn lại do ISO giữ

Lãnh ñạo (Giám ñốc, phó giám ñốc): chịu trách nhiệm toàn diện ñối với chiến lược ATTT

và phải huy ñộng mọi nguồn lực có ñược ñể loại trừ các nguy cơ ñối với hoạt ñộng kinh doanh của <TỔ CHỨC-CÔNG TY> DL ðồng thời là người chịu trách nhiệm phổ biến chiến lược và thiêt lập nên văn hóa nhận thức An toàn Thông tin cho toàn thể cán bộ nhân viên

- Có

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

- Không có

- Chưa xác ñịnh

Quản lý ATTT: ISM (Information Secuity Manager) Chịu trách nhiệm ATTT cho toàn

Trung Tâm Máy Tính Người quản lý ATTT xác ñịnh nguyên tắc chỉ ñạo ATTT cùng các qui trình thực hiện ISM cũng chịu trách nhiệm về sự quản lý nhận thức và khuyến cáo một cách ñúng ñắn trong những trường hợp vi phạm về ATTT ISM có thể tiến hành các ñánh giá rủi ro ðiều quan trọng là ISM luôn ñược cập nhật các vấn ñề, các rủi

ro và các giải pháp mới nhất Thường xuyên ñiều phối hoạt ñộng với các công ty ñối tác, các tổ chức ATTT

- Có

- Không có

- Chưa xác ñịnh

Các trưởng phòng: (Hành chính, Công nghệ phần mềm, Kỹ thuật, Nghiên cứu ñào tạo) là những

người trực tiếp chịu trách nhiệm ñối với các dữ liệu của ñơn vị mình , các hoạt ñộng kinh doanh và báo cáo trực tiếp cho lãnh ñạo cao nhất

- Có

- Không có

- Chưa xác ñịnh

Phòng kỹ thuật: Lắp ñặt , triển khai và bảo trì các hệ thống Phải có một bản thỏa thuận

xác ñịnh vai trò và trách nhiệm của phòng kỹ thuật với các các ñối tượng ñược phục vụ.Người quản trị hệ thống và quản trị ATTT thuộc biên chế phòng Kỹ thuật và là những người chịu trách nhiệm áp dụng một cách ñúng ñắn cơ chế bảo mật ATTT

- Có

- Không có

- Không xác ñịnh

Thiết kế viên hệ thống: Là người phát triển hệ thống, có vai trò quan trọng ñảm bảo cho

một hệ thống ñược khai thác một cách an toàn Một hệ thống mới ñược phát triển phải ñược tính trước tới các yêu cầu về ATTT tại ngay từ giai ñoạn khởi ñầu

- Có

- Không có

- Không xác ñịnh

Các trưởng nhóm: ðảm bảo mọi thành viên trong nhóm hoàn toàn nhận thức ñầy ñủ về

chính sách ATTT và không làm gì gây xung ñột, trái với chính sách ATTT Hiệu lực hóa chính sách và kiểm tra thực thi ATTT

- Có

- Không có

- Không xác ñịnh

Người dùng: Từng nhân viên của <CÔNG TY> chịu trách nhiệm ñối với các hoạt ñộng của mình

Nhận thức ñược chính sách ATTT của Trung Tâm, hiểu rõ tầm quan trọng của công việc và có hành ñộng thích ứng

- Có

- Không có

- Chưa xác ñịnh

Kiểm toán ATTT: Là người ñộc lập có thể thuộc <CÔNG TY> hoặc không, là người kiểm

tra tình hình ATTT, rất giống cách các kiểm toán viên tài chính kiểm tra các bản ghi tài khoản Kiểm toán viên ATTT phải ñộc lập, không bị ảnh hưởng của các quản trị ATTT Thông thường, các nhà tư vấn thực hiện vai trò này

- Có

- Không có

- Chưa xác ñịnh

Phân loại tài nguyên

a Trong <CÔNG TY> có các mức phân loại ñộ mật của thông tin như sau ( Nếu không có a) thì bỏ luôn b)

Thông tin “Công khai”

- Có

- Không có

- Không xác ñịnh

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477 Thông tin “Nội bộ”

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

- Không xác ñịnh

9 Vai trò và trách nhiệm

Phân loại người sử dụng

a Trong <CÔNG TY> có phân loại những người dùng như sau:

Nhóm các quản trị: gồm có quản trị CNTT (IT-Manager) và quản trị ATTT (IS-manager) Các quản trị có toàn quyền truy cập các tài nguyên của <TỔ CHỨC-CÔNG TY> với mục ñích quản trị

- Có

- Không có

- Không xác ñịnh

Quy trình tiếp cận với các thông tin thuộc diện ñược bảo vệ

Có phân loại các hoạt ñộng sau ñây ñối với thông tin: Sao chép; Lữu trữ; Gửi bằng bưu ñiện, Fax, Email; Truyền thoại, kể cả ñiện thoại di ñộng, thư thoại; Tiêu hủy

- Có

- Không có

- Có

- Không có

- Không xác ñịnh Quyền loại bỏ thông tin mức “mật” chỉ có ñược khi quản trị CNTT cùng quản trị ATTT (mật khẩu root ñược chia cho 2 người) với sự cho phép của Giám ñốc kỹ thuật

- Có

- Không có

- Không xác ñịnh Truy cập thông tin mức “mật” ñược thực hiện bởi người dùng nhóm lãnh ñạo, nhân viên (ñược phép bằng văn bản do Giám ñốc <CÔNG TY> ký)

- Có

- Không có

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

- Không xác ñịnh

Thông tin mức “tuyệt mật” chịu sự bảo vệ của các phương tiện hạn chế truy cập,

phương tiện mã hóa và bắt buộc có biên bản truy cập

Chỉ ñược phép sao chép và truyền tải Thông tin mức “tuyệt mật” bên trong mạng và

ñược thực hiện bởi người có thẩm quyền

- Có

- Không có

- Không xác ñịnh Truy cập thông tin mức “tuyệt mật” chỉ có người dùng thuộc nhóm “lãnh ñạo”

- Có

- Không có

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

- Không xác ñịnh

10 ` Những qui tắc, yêu cầu và hướng dẫn ñảm bảo An Ninh Mạng nội bộ

a) Qui tắc bảo vệ bằng mật khẩu

Chiều dài mật khẩu không ít hơn 8 ký tự

- Có

- Không có

- Không xác ñịnh Mật khẩu bắt buộc phải chứa tổ hợp bất kỳ tối thiểu từ hai thành phần thuộc các nhóm sau: Chữ nhỏ, chữ cái, số và ký hiệu

- Có

- Không có

- Không xác ñịnh Dùng mật khẩu là tên, họ, ngày tháng năm sinh, tên họ hàng, súc vật, người thân cũng như các từ có nghĩa (có trong từ ñiển)

- Có

- Không có

- Không xác ñịnh Viết mật khẩu ra ñâu ñấy

- Có

- Không có

- Không xác ñịnh Cho phép truy cập mật khẩu cá nhân

- Có

- Không có

- Không xác ñịnh Mật khẩu bắt buộc phải ñược ñổi hàng quí

- Có

- Không có

- Không xác ñịnh

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477 Mật khẩu mức Root gồm 16 bytes ñược chia làm hai phần (một cặp 8 bytes) Mỗi phần giao cho quản trị CNTT và quản trị ATTT

- Có

- Không có

- Không xác ñịnh Nhất thiết phải sử dụng mật khẩu cá nhân (khi cần có thể sử dụng mật khẩu nhóm, tuy nhiên không khuyến cáo)

- Có

- Không có

- Không xác ñịnh Cần thiết cho phép người dùng thay ñổi và chọn mật khẩu và có cơ chế kiểm tra lỗi khi nhập mật khẩu

- Có

- Không có

- Không xác ñịnh Trong trường hợp người dùng tự tạo mật khẩu, cần có cơ chế ñổi mật khẩu ở lần ñăng nhập ñầu tiên

- Có

- Không có

- Không xác ñịnh Ghi lại khi thay thế các mật khẩu của người dùng (ví dụ sau 12 tháng) ñể tránh việc sử dụng lặp lại mật khẩu

- Có

- Không có

- Không xác ñịnh Không hiển thị mật khẩu khi ñăng nhập

- Có

- Không có

- Không xác ñịnh Lưu trữ tệp tin mật khẩu tách rời với hệ thống ứng dụng

www.athena.com.vn Tel : 1900 54 54 56 Ờ 090 7879 477

- Có

- Không có

- Không xác ựịnh Lưu tệp chứa mật khẩu ở dạng mã hóa và sử dụng thuật toán mã mạnh

- Có

- Không có

- Không xác ựịnh Bắt buộc kiểm tra virus tất cả các tập tin ựi vào và ra khỏi hệ thống

- Có

- Không có

- Không xác ựịnh Thường xuyên phân tắch các phần mềm và dữ liệu làm nhiệm vụ xử lý các dữ liệu nhạy cảm Khi có những sự không tương ứng của các tệp, cần phải ựiều tra

- Có

- Không có

- Không xác ựịnh đóng màn hình theo dõi virus tại các máy làm việc và máy chủ

- Có

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

- Không có

- Không xác ñịnh Khi cần phải tắt màn hình theo dõi virus (antivirus monitoring) người dùng phải ñược phép của quản trị ATTT và thông báo sự việc cho quản trị CNTT Quản trị CNTT phải có biện pháp tức thời khởi ñộng màn hình theo dõi virus

- Có

- Không có

- Không xác ñịnh Trong khi tắt chế ñộ hiển thị theo dõi virus, tuyệt ñối cấm khởi ñộng, mở, gửi, nhận tài liệu vào

hệ thống (dạng Word, Exel…) và các tệp thực thi

Yêu cầu kiểm soát truy cập vật lý

Khách hàng của <CÔNG TY> cần ñược kiểm soát về mặt thời gian, ngày tháng ñến và ñi bằng cách ghi nhật ký Những người khách khi nhận ñược những truy cập tương ứng, cần thiết phải ñược làm quen với các hướng dẫn về ATTT và cách xử lý trong trường hợp xảy ra các

sự cố, tai nạn

- Có

- Không có

- Không xác ñịnh Truy cập tới những thông tin bí mật và các phương tiện xử lý chúng phải ñược kiểm soát một cách tự ñộng Cần phải sử dụng các phương thức xác thực (ví dụ Smart Card, Ikey) Mọi thông tin về truy cập vào hệ thống phải ñược biên bản hóa

- Có

- Có

- Không có

- Không xác ñịnh

Yêu cầu bảo vệ trang bị

Các thiết bị phải ñược lắp ñặt có tính ñến yêu cầu giảm thiểu việc tiếp cận chỗ làm việc của những người không liên quan ñến việc phục vụ các thiết bị máy

- Có

- Không có

- Không xác ñịnh Các hệ thống xử lý và lưu trữ thông tin chứa các dữ liệu quan trọng cần ñược bố trí sao cho giảm thiểu việc truy cập vô tình hay cố ý của những người không có thẩm quyền trong quá trình xử lý

- Có

- Không có

- Không xác ñịnh Các ñối tượng ñòi hỏi bảo vệ ñặc biệt phải ñược cách ly

- Có

- Không có

- Không xác ñịnh Cần áp dụng các phương thức bảo vệ ñể giảm thiểu các nguy cơ tiềm năng sau: Trộm cắp; Cháy; Nổ; Khói; Nước; Bụi; Hóa chất; Bức xạ từ trường mạnh

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

- Có

- Không có

- Không xác ñịnh Cấm việc ăn uống, hút thuốc trong phòng máy

- Có

- Không có

- Không xác ñịnh

Hướng dẫn tiêu hủy thông tin hoặc thiết bị một cách an toàn

Thiết bị lưu trữ thông tin chứa các dữ liệu quan trọng, khi thanh lý cần ñược tiêu hủy vật lý hoặc tiến hành hủy một cách an toàn (xóa thông tin nhiều lần hoặc xóa trên mức vật lý)

- Có

- Không có

- Không xác ñịnh

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477 Tất cả các thiết bị bao gồm cả các vật mang tin (media) (ñĩa cứng, ñĩa mềm, băng từ…) cần ñược kiểm tra sao cho thông tin quan trọng phải ñược xóa trước khi ghi mới

- Có

- Không có

- Không xác ñịnh Các thiết bị lưu trữ hỏng, có chứa thông tin quan trọng cần ñược phân tích ñể quyết ñịnh tiêu hủy, phục hồi hay loại bỏ

- Có

- Không có

- Không xác ñịnh

6) Các hướng dẩn ATTT chỗ làm việc (các tài liệu trên bàn làm việc, trên màn hình)

Tài liệu trên tất cả các dạng vật mang tin và phương tiện xử lý (máy PC, Palm, Ipot…) trong trường hợp nếu không sử dụng, hoặc ngoài giờ làm việc phải ñược cất giữ trong phòng có khóa

- Có

- Không có

- Không xác ñịnh Thông tin nhạy cảm, khi không sử dụng tới cần ñược cất giữ trong két sắt hoặc chỗ ñể riêng biệt

- Có

- Không có

- Không xác ñịnh Máy PC, Terminal, máy in… không ñược ñể chỗ không có người giám sát, trong thời gian xử

lý tin và phải ñược bảo vệ bằng cách khóa bàn phím, bằng mật khẩu và những cách thức khác khi người dùng vắng mặt

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

- Không có

- Không xác ñịnh Bản in có chứa thông tin mật cần ñược lấy ngay ra khỏi máy in

- Có

- Không có

- Không xác ñịnh

Các qui tắc ATTT về truy cập từ xa

Người dùng và quản trị có quyền không hạn chế truy cập Internet từ bên trong mạng <CÔNG TY> với ñiều kiện phù hợp chức trách chuyên môn

- Có

- Không có

- Không xác ñịnh

Các qui tắc thực hiện truy cập vật lý tại chỗ

Mọi user thực hiện truy cập vật lý dành riêng cho mình khi bắt ñầu làm việc trên máy tính

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477 Nói cho người khác biết tên ñăng nhập và mật khẩu, ñưa cho mượn thẻ truy nhập máy tính của mình

13 Những yêu cầu sao lưu dự phòng thông tin

Các bản sao lưu dự phòng cùng hướng dẫn khôi phục cần ñược lưu cùng chỗ, ngăn cách về mặt vật lý với bản sao gốc ðối với những thông tin ñặc biệt quan trọng, cần lưu ít nhất 3 bản sao cuối cùng

- Có

- Không có

- Không xác ñịnh

Cần áp dụng các biện pháp hành chính cũng như tổ chức ñể bảo vệ các sao lưu dữ liệu, ñược

áp dụng cho vật mang tin

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

- Khơng xác định

Thường xuyên kiểm tra qui trình phục hồi dữ liệu và huấn luyện, thực tập qui trình này với mục đích bảo đảm khả năng phục hồi dữ liệu theo trình tự định trước và trong thời gian đảm bảo

- Cĩ

- Khơng cĩ

- Khơng xác định

14 Những yêu cầu giám sát và ghi nhật ký chẩn đốn (Diagnostic Log)

a Ghi lại các hành động của điều hành viên

Thời gian khởi động và dừng của hệ thống

- Cĩ

- Khơng cĩ

- Khơng xác định Các lỗi hệ thống và các hành động khắc phục

- Cĩ

- Khơng cĩ

- Khơng xác định Khẳng định việc xử lý đúng với dữ liệu vào và ra

- Cĩ

- Khơng cĩ

- Khơng xác định ðịnh danh điều hành viên thực hiện những hành động được ghi vào nhật kỳ

15 Những yêu cầu giám sát truy cập và sử dụng hệ thống, ghi nhật ký

Nhật ký sự kiện bao gồm: ðịnh danh người dùng; Thời gian, ngày tháng ñăng nhập, xuất; ðịnh danh host hoặc ñịa chỉ IP ( nếu ñược); Ghi nhận các cố gắng ñăng nhập thành công và không thành công; Ghi nhận các cố gắng truy cập thành công và không thành công các dữ liệu hoặc tài nguyên

Nhật ký phải ñược phân tích thường xuyên

5) Xác ñịnh trong nhật ký tất cả các cảnh báo và lỗi hệ thống

Thông báo của Console

16 Những yêu cầu khi làm việc với vật mang tin

a Các vật mang tin phải ñược kiểm soát và bảo vệ

- Có

- Không có

- Không xác ñịnh

b Quản lý các vật mang trao ñổi ñược

Tất cả các vật mang hết hạn sử dụng phải ñược hủy theo trình tự qui ñịnh

- Có

- Không có

- Không xác ñịnh

www.athena.com.vn Tel : 1900 54 54 56 – 090 7879 477

Khi ñưa vật mang tin ra khỏi <TỔ CHỨC-CÔNG TY>cần phải có giấy phép ñặc biệt, phải

ñược ghi nhận vào sổ theo dõi riêng, vào CSDL

- Có

- Không có

- Không xác ñịnh Tất cả các vật mang tin phải ñược lưu trữ tại nơi an toàn theo ñúng tiêu chuẩn nhà sản xuất

- Có

- Không có

- Không xác ñịnh

17 Những yêu cầu ñối với việc trao ñổi thông tin phi ñiện tử.

Cần có chính sách ATTT ñối với việc truyền tin thoại, fax, video Mọi nhân viên cần phải:

a Cẩn trọng khi nhận ñiện thoại nối song song hoặc khi gần người khác

- Có

- Không có

- Không xác ñịnh

18 Những yêu cầu khi ñăng ký người dùng

Sử dụng phương thức ñịnh danh người dùng một cách duy nhất Chỉ ñược phép sử dụng ñịnh danh nhóm ở nơi nào có yêu cầu của công việc