Thực hiện nguyên tắc đặc quyền tối thiểu và thiết lập các chính sách cho việc ghi chép Có hai triết lý đối ngược nhau mà từ đó bạn có thể thiết lập các chính sách truy cập mạng.. người
Trang 110 cách bảo vệ dữ liệu trong doanh nghiệp
Cập nhật lúc 07h58' ngày 27/04/2010
Gửi cho bạn bè
Xem thêm: bảo mật dữ liệu, 10 cách, doanh nghiệp, dữ liệu, chính sách bảo mật
Trang: [1] [2]
Quản trị mạng - Nhiều tổ chức tập trung vào việc bảo vệ chống lại các tấn công bên ngoài
nhưng lại bỏ qua những hiểm họa thậm chí còn nguy hiểm hơn nhiều: mất cắp dữ liệu bởi
ai đó bên trong công ty Đây là một góc nhìn quan trọng cần phải đề cập đến trong vấn đề bảo mật.
Các hacker tấn công "bắn hạ" mạng thường nhận được rất nhiều sự quan tâm, vì vậy các công ty cũng thường quan tâm đến việc bảo vệ chống lại những mối đe dọa này Tuy nhiên nếu tổ chức của bạn chỉ tập trung vào kiểu bảo mật
này, việc đó tương tự với kiểu đặt tất cả cố gắng vào việc ngăn chặn một kẻ mang bom tấn công vào công ty nhưng lại quên đi sự quan tâm đến kẻ trộm lẩn trốn ở cửa sau và “đánh cắp” đi tất cả những tài sản quý giá
Một cách đáng tiếc, những đề phòng bảo mật dùng để ngăn chặn các tấn công DoS, virus, worm, và các tấn công khác lại dường như không thể giải quyết được đến vấn đề sảo quyệt hơn: trộm dữ liệu công ty cho mục đích gián điệp hoặc các mục đích khác Sự phơi bày các bí mật thương mại trước một đối thủ cạnh tranh hoặc phóng thích các thông tin riêng tư của công ty cho giới truyền thông, trong một số trường hợp, có thể gây ra mất mát rất nhiều so với thời gian ngừng hoạt động của máy móc
Trong bài này chúng tôi sẽ giới thiệu cho các bạn những gì cần phải thực hiện để bảo mật dữ liệu cho công ty bạn
1 Thực hiện nguyên tắc đặc quyền tối thiểu và thiết lập các chính sách cho việc ghi chép
Có hai triết lý đối ngược nhau mà từ đó bạn có thể thiết lập các chính sách truy cập mạng Đầu
tiên, chính sách “mở tất cả”, giả thiết rằng tất cả dữ liệu có sẵn đối với mọi người trừ khi bạn cần phải hạn chế sự truy cập Thứ hai, chính sách “đặc quyền tối thiểu”, hoạt động trên giả định rằng
tất cả dữ liệu đều được hạn chế ở mức tối đa trước mỗi người dùng trừ khi họ được trao quyền
truy cập Sau đó giống như chính sách “cần biết” của các trung tâm tình báo chính phủ: Trừ khi
Trang 2người dùng có nhu cầu cấp thiết cần phải truy cập vào một file cụ thể, bằng không họ sẽ không thể truy cập được nó
Cần phải làm rõ một điều rằng, các nhân viên không được copy các thông tin quan trọng hay mang nó về nhà, hoặc email ra ngoài mạng nội bộ mà không có sự cho phép Mặc dù vậy,
trừ khi đặt ra các chính sách như vậy trong các văn bản giấy tờ và có chữ ký của nhân viên để xác nhận, bằng không khó có thể bắt người dùng của bạn thực thi tốt các chính sách đó Các nguyên tắc không được viết ra sẽ rất khó có hiệu lực
Các chính sách cũng cần phải cụ thể và có ví dụ cho những gì bị cấm Các nhân viên có thể không hiểu nếu họ không được giải thích một cách tường tận, chẳng hạn như việc email một tài liệu công ty dưới danh nghĩa đính kèm đến ai đó bên ngoài mạng (hoặc thậm chí đến chính tài khoản của họ ở nhà) sẽ vi phạm chính sách copy tài liệu đó vào USB và nói chuyện về nó bên ngoài công ty của mình
Thêm vào đó, việc diễn đạt chính sách cần phải rõ ràng để thể hiện sự cấm đoán không chỉ có các ví dụ mà bạn đưa ra
2 Thiết lập các đặc quyền hạn chế và thẩm định truy cập
Không thể chỉ phụ thuộc vào các chính sách để bảo vệ dữ liệu của mình Hãy nói với các nhân viên những gì họ không nên thực hiện, cách thức này sẽ tránh được việc ai đó trong số họ thực hiện những sai trái do cẩu thả Sự thi hành các chính sách mang tính kỹ thuật sẽ tước bỏ lựa chọn
về việc có tuân theo hay không của họ Do đó bước đầu tiên trong việc bảo vệ dữ liệu là thiết lập các đặc quyền thích hợp cho file và thư mục Cũng cần phải nói thêm rằng, dữ liệu trên các mạng Windows nên được lưu dưới các ổ đĩa có định dạng NTFS để có thể sử dụng các đặc quyền NTFS cùng với đặc quyền chia sẻ Định dạng NTFS của ổ đĩa sẽ có nhiều chi tiết hơn đặc quyền chia sẻ và áp dụng cho người dùng truy cập dữ liệu trên máy tính nội bộ cũng như qua mạng
Trong khi thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp
nhất có thể để họ có thể thực hiện các công việc của mình Cho ví dụ, cấp đặc quyền “Read Only” để tránh người dùng có thể thay đổi các file dữ liệu quan trọng.
Ngoài ra bạn cũng có thể thiết lập hành động thẩm định file hoặc thư mục có chứa dữ liệu nhạy cảm để có thể biết ai đã truy cập vào nó và truy cập khi nào Về vấn đề này bạn có thể tìm hiểu thêm về cơ chế thẩm định truy cập đối tượng trên Windows Server tại đây:
{
Audit object access
Updated: January 21, 2005
Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista
Trang 3Audit object access
Description
This security setting determines whether to audit the event of a user accessing an object for example, a file, folder, registry key, printer, and so forth that has its own system access control list (SACL) specified
If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all Success audits generate an audit entry when a user successfully
accesses an object that has an appropriate SACL specified Failure audits generate an audit entry when a user unsuccessfully attempts to access an object that has a SACL specified
To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes
Note that you can set a SACL on a file system object using the Security tab in that object's
Properties dialog box.
Default: No auditing.
Configuring this security setting
You can configure this security setting by opening the appropriate policy and expanding the console tree as such: Computer Configuration\Windows Settings\Security Settings\Local
Policies\Audit Policy\
For specific instructions about how to configure auditing policy settings, see Define or modify auditing policy settings for an event category
560 Access was granted to an already existing object
562 A handle to an object was closed
563 An attempt was made to open an object with the intent to delete it
Note
This is used by file systems when the FILE_DELETE_ON_CLOSE flag is specified
Trang 4in Createfile().
564 A protected object was deleted
565 Access was granted to an already existing object type
567
A permission associated with a handle was used
Note
A handle is created with certain granted permissions (Read, Write, and so on) When the handle is used, up to one audit is generated for each of the
permissions that was used.
568 An attempt was made to create a hard link to a file that is being audited
569 The resource manager in Authorization Manager attempted to create a client context.
570
A client attempted to access an object
Note
An event will be generated for every attempted operation on the object.
571 The client context was deleted by the Authorization Manager application
572 The administrator manager initialized the application
772 The certificate manager denied a pending certificate request
773 Certificate Services received a resubmitted certificate request
Trang 5774 Certificate Services revoked a certificate.
775 Certificate Services received a request to publish the certificate revocation list (CRL)
776 Certificate Services published the certificate revocation list (CRL)
777 A certificate request extension was made
778 One or more certificate request attributes changed
779 Certificate Services received a request to shutdown
780 Certificate Services backup started
781 Certificate Services backup completed
782 Certificate Services restore started
783 Certificate Services restore completed
784 Certificate Services started
785 Certificate Services stopped
786 The security permissions for Certificate Services changed
787 Certificate Services retrieved an archived key
Trang 6788 Certificate Services imported a certificate into its database.
789 The audit filter for Certificate Services changed
790 Certificate Services received a certificate request
791 Certificate Services approved a certificate request and issued a certificate
792 Certificate Services denied a certificate request
793 Certificate Services set the status of a certificate request to pending
794 The certificate manager settings for Certificate Services changed
795 A configuration entry changed in Certificate Services
796 A property of Certificate Services changed
797 Certificate Services archived a key
798 Certificate Services imported and archived a key
799 Certificate Services published the CA certificate to Active Directory
800 One or more rows have been deleted from the certificate database
801 Role separation enabled
For more information about security events, see Security Events on the Microsoft Windows Resource Kits Web site
Trang 7For more information, see:
Audit directory service access
Auditing Policy
Auditing Security Events Best practices
Security Configuration Manager tools
}
Ngoài ra còn có rất nhiều giải pháp thẩm định của các bên thứ ba mà bạn có thể sử dụng để thẩm định truy cập file trong các site lưu trữ:
NTP Software File Auditor
Blue Lance LT Auditor +
isdecisions FileAudit for Windows
3 Sử dụng mã hóa
Một thuận lợi khác cho việc lưu trữ dữ liệu trên các thiết bị có định dạng NTFS là khả năng sử dụng mã hóa Encrypting File System (EFS) EFS được hỗ trợ trong Windows 2000 và các hệ điều hành gần đây, nó có thể chặn người dùng mở các file dữ liệu thậm chí có các đặc quyền NTFS Trong Windows XP/2003 và các hệ điều hành gần đây, các thư mục mã hóa có thể được chia sẻ với người dùng khác bằng cách gán cho họ các đặc quyền nào đó thông qua hộp thoại mã hóa
Tuy nhiên vẫn có một con đường mà ở đó dữ liệu có thể bị mất cắp là mất toàn bộ máy tính, đặc biệt nếu nó là các máy tính laptop Trong các phiên bản Vista và Windows 7 Enterprise,
Ultimate, bạn có thể sử dụng chức năng mã hóa toàn bộ ổ đĩa để bảo vệ dữ liệu trong trường hợp
bị mất máy tính
Ngoài các tính năng đi kèm các hệ điều hành của Microsoft, bạn có thể lựa chọn các phần mềm thay thế khác từ các hãng thứ ba như:
PGP Whole Disk Encryption
Check Point Full Disk Encryption Software Blade
Xem tiếp trang 2
4 Thực thi quản lý quyền
Một số hành vi trộm cắp dữ liệu có thể được ngăn ngừa bằng cách sử dụng các phương pháp trên
để giữ cho những người không cần thiết không truy cập vào dữ liệu đó Tuy nhiên điều gì sẽ xảy
Trang 8ra nếu hành vi trộm cắp đến từ những người mà bạn cần trao quyền truy cập? Bạn có thể sử dụng tính năng Windows Rights Management Services (RMS) và Information Rights Management (IRM) trong nhiều phiên bản Office 2003 và Office 2007 để ngăn chặn người dùng chuyển tiếp, copy hay sử dụng sai các thư tín điện tử và tài liệu Office (các file Word, Excel và PowerPoint)
mà bạn gửi đến họ
5 Hạn chế sử dụng thiết bị lưu trữ ngoài
Một trong những cách phổ biến nhất để mang các thông tin dữ liệu ra khỏi tổ chức là copy nó vào các thiết bị lưu trữ ngoài Các ổ USB ngày nay có giá thành rất rẻ và cũng rất dễ che dấu, dung lượng lưu trữ ngày càng cao Ngoài ra người dùng cũng có thể copy file dữ liệu sang các thiết bị iPod hoặc MP3 player, hoặc vào các đĩa CD, DVD bằng cách sử dụng ổ ghi Để tránh tình trạng mất dữ liệu kiểu này, bạn cần hạn chế vĩnh viễn sự cài đặt các thiết bị USB bằng cách
gỡ bỏ tất cả các cổng vật lý hoặc bịt chúng bằng một hợp chất nào đó Ngoài biện pháp vật lý nói trên, bạn có thể sử dụng các phần mềm để vô hiệu hóa việc sử dụng các thiết bị ngoài trên các máy tính cá nhân hoặc trong toàn bộ mạng
Trong Vista, bạn có thể hạn chế sử dụng thiết bị ngoài (như USB hoặc CD/DVD burner) thông qua Group Policy Ngoài ra bạn cũng có thể tham khảo thêm các sản phẩm của các hãng thứ ba, chẳng hạn như Portable Storage Control (PSC) của GFI là một ví dụ
6 Kiểm soát tốt các laptop
Một cách nữa mà người dùng có thể lấy đi các file dữ liệu quan trọng trong tổ chức bạn là kết nối với mạng nội bộ bằng laptop hoặc thiết bị cầm tay, copy các file vào ổ cứng của nó, sau đó mang máy tính đi nơi khác Để tránh tình trạng này, bạn cần duy trì sự kiểm soát chặt chẽ về việc sử dụng máy tính kết nối với LAN, không chỉ từ xa mà còn cắm trực tiếp vào hub hoặc switch trong mạng của bạn
Có thể sử dụng Ipsec để ngăn chặn các máy tính không phải là thành viên miền có thể kết nối với máy chủ file và các máy tính khác trong mạng LAN
7 Thiết lập các nguyên tắc cho nội dung gửi đi
Tường lửa có thể thực hiện khóa chặn lưu lượng và không cho gửi vào, ra khỏi mạng Chúng cũng có thể cho phép một số lưu lượng nào đó có thể rời mạng Dữ liệu của bạn có thể được gửi
ra bên ngoài hoặc nó có thể được gửi ra một cửa ảo thông qua email, tính năng chia sẻ file ngang hàng,… Bạn có thể thiết lập tường lửa để khóa một số kiểu giao thức gửi ra, chẳng hạn như những giao thức được sử dụng bởi phần mềm P2P
Có thể thiết lập máy chủ mail sao cho nó khóa chặn việc gửi các đính kèm gửi đi Ngoài ra bạn
có thể khóa nội dung gửi đi bởi các từ khóa bằng các thiết bị, phần mềm hoặc dịch vụ lọc nội dung như:
Microsoft ForeFront technologies
McAfee’s MX Logic
Trang 9 GFI Mail Security
Google’s Postini
8 Kiểm soát truyền thông không dây
Dù có thể khóa việc gửi đi một số dữ liệu nào đó bằng tường lửa hoặc các hệ thống lọc, nhưng vẫn có người có thể kết nối laptop trong công ty đến một mạng không dây khác Hoặc vẫn có người có thể truy cập Internet qua cách sử dụng điện thoại di động làm modem Để phòng tránh những lỗ hổng này, bạn cần phải kiểm soát chặt chẽ các mạng không dây gần đó, và nếu có thể, cần phải thực thi biện pháp khóa tín hiệu của chúng một cách hợp lý
9 Kiểm soát sự truy cập từ xa
Người dùng có thể không nhất thiết phải ở trong công ty mới có thể lấy được dữ liệu công ty của bạn Với sự phổ biến của việc liên lạc từ xa và làm việc trên đường, họ hoàn toàn có thể truy cập mạng công ty thông qua nhiều kỹ thuật truy cập từ xa
10 Cần biết các phương pháp đánh cắp dữ liệu mới nhất
Cần phải nhớ rằng dữ liệu của bạn có thể bị lấy đi dưới nhiều dạng khác nhau Người dùng có thể in ra một tài liệu và mang nó ra khỏi công ty, hoặc kẻ trộm có thể đánh cắp các tài liệu đã được in ấn từ các thùng rác nếu chúng chưa được xén nát Thậm chí nếu có thực thi công nghệ như quản lý quyền để ngăn chặn hành động copy và in ấn tài liệu thì vẫn có người có thể sử dụng
kỹ thuật chụp ảnh màn hình hoặc thậm chí ngồi và copy các thông tin một cách thủ công Cần biết tất cả các cách có thể lấy đi những dữ liệu quan trọng của bạn, từ đó bạn mới đưa ra các bước bảo vệ chống lại chúng
Trang: [1] [2]