Phân tích và thiết kế chính sách bảo mật cho công ty cao su Thống Nhất

Trang 1

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC KỸ THUẬT CƠNG NGHỆ TP HCM KHOA CƠNG NGHỆ THƠNG TIN

BỘ MƠN MẠNG MÁY TÍNH

LUẬN VĂN TĨT NGHIỆP

PHAN TICH VA THIET KE CHINH SACH BAO MAT

CHO CONG TY CAO SU THONG NHAT

, - =1

| Tỉ RƯỜNG ĐHDL~KTCA ị

GIÁO VIÊN HƯỚNG DẪN: | FHU VIEN |

Th.S LY ANH TUAN ‘7

SINH VIÊN THỰC HIỆN:

THÁI MINH HUY - MSSV: 02DHTH091

CAO THANG TIEN - MSSV: 02DHTH248

TP Hồ Chí Minh - 2007 -

Trang 2

BỘ GIÁO DỤC & ĐÀO TẠO

ĐẠI HỌC KỸ THUẬT CƠNG NGHỆ TP HCM 144/24 Điện Biên Phủ - Q Bình Thạnh - TP HCM

ĐT: 5120254 - 5120294 —000

CỘNG HỊA XÃ HỘI CHỦ NGHĨA VIỆT NAM ĐỘC LẬP - TỰ DO - HẠNH PHÚC

Khoa: Cơng Nghệ Thơng Tìn

cua NHIỆM VỤ THỰC HIỆN ĐỊ ÁN TĨT NGHIỆP

Bộ Mơn: Mạng Máy Tỉnh s š °

Họ và tên: - Thái Minh Huy MSSV: 02DHTH091 - Cao Thăng Tiến MSSV: 02DHTH248 Ngành: Mang May Tinh Lép: 02DMMT

1 Đầu đề đồ án tốt nghiệp:

PHÂN TÍCH VÀ THIẾT KÉ CHÍNH SÁCH BẢO MẬT CHO CONG TY CAO SU THONG NHAT

2 Nhiém vu:

a Dữ liệu ban đầu:

- Khao sat chinh sách bảo mật của Cơng ty Cao Su Thống Nhất

-_ Các tài liệu về bảo mật b Nội dung: © Phần tìm hiểu cơng nghệ: -_ Các chính sách bảo mật cho hệ thống mạng - Trend Micro, ISA là sản phẩm dùng để kiểm sốt, quản lý và bảo mật cho hệ thơng mạng ® Phần phân tích, thiết kế & xây dựng ứng dụng mình họa: - Phân tích:

+ Phân tích tình hình chung về vấn đề bảo mật của cơng ty + Đưa ra những chính sách bảo mật phù hợp với cơng ty

+ Áp dung phan mém Trend Micro & ISA vao viéc thực thi các chính

sach bao mat

- Thiét ké va xdy dung:

+ Khảo sát tình hình cơng ty cao su Thống Nhất + Phân tích mơ hình mạng của cơng ty

Trang 3

+ Đưa ra những chính sách bảo mật dựa trên quyền hạn của mỗi phịng

ban và mỗi cá nhân

+ Thiết kế mơ hình bảo mật cho cơng ty

+ Áp dụng Trend Micro & ISA vào để cụ thể hĩa các chính sách bảo

mật

+ Kiểm tra hoạt động của hệ thống

+ Đánh giá kết quả sau khi áp dụng chính sách bảo mật dựa trên nền

Trend Micro & ISA

3 Ngay giao nhiém vu dé an : 23/10/2006 | 4 Ngày hồn thành nhiệm vụ : 21/01/2007 |

5 Họ tên giáo viên hướng dẫn: Th.S Lý Anh Tuấn

Nội dung và yêu cầu đồ án tốt nghiệp đã thơng qua GIÁO VIÊN HƯỚNG DẪN CHÍNH

TP HCM, ngày thúng năm 2006 (Ký và ghi rõ họ lê) “2 7* J7 2

CHỦ NGHIỆM KHOA

(Ký và ghỉ rõ họ tên) a ALA CD A —

lk heme na

‘4

PHAN DANH CHO BO MON

Người duyệt (chấm sơ bộ): cccccccrerecee

2700022

Trang 4

ĐẠI HỌC KỸ THUẬT CƠNG NGHỆ TP.HCM Tp.HCM, ngày tháng năm 2006 HOI DONG CHAM THI TOT NGHIEP

PHIEU CHAM DIEM HUONG DAN BO AN TĨT NGHIỆP

Tén sinh vién: - Thai Minh Huy MSSV: 02DHTH091

- Cao Thang Tién MSSV: 02DHTH248

Tên đềtài : PHÂN TÍCH VÀ THIẾT KÉ CHÍNH SÁCH BẢO MẬT

CHO CONG TY CAO SU THONG NHAT Tén GVHD : Th.S Lý Anh Tuấn Nhận xét © Chỉ tiết :

TT Cơng việc Thang điểm

1 | Mức độ thời sự của dự án, mức độ khĩ của dự án /1,5

Tính đúng đắn và hợp lý của thiết kế, của giải pháp

2_† được nêu ra trong đơ án Mức độ hồn thành cơng /4,5 việc của sinh viên Tinh thân và thái độ làm việc: chăm chỉ, cần cù,

3 nghiêm túc và tinh than tự lập trong khi làm việc 15 4 | Kha nang đọc sách ngoại ngữ tham khảo /0,5 5 | Kha nang tong hop kién thitc, viết báo cáo /1,0 6 | Hinh thức trình bày báo cáo /0,5 7 | Thời gian hồn thành và nộp báo cáo /0,5

Diém sé (nguyén): /10_ Điểm bằng chữ:

Giáo viên hướng dẫn chính

(Ký và ghi rõ họ tên)

Trang 5

ĐẠI HỌC KỸ THUẬT CƠNG NGHỆ TP HCM Tp HCM, ngày tháng năm 2006

HOI DONG CHAM THI TOT NGHIEP

NGANH:

PHIEU CHAM PHAN BIEN DO AN TOT NGHIEP

Tén sinh vién: - Thai Minh Huy MSSV: 02DHTH091 - Cao Thang Tién MSSV: 02DHTH248 Tênđềtài : PHÂN TÍCH VÀ THIẾT KẾ CHÍNH SÁCH BẢO MẬT

CHO CƠNG TY CAO SU THĨNG NHÁT

TênGVHD : Th.S Ly Anh Tuấn

Nhận xét

Điểm số (nguyên): /10_ Điểm bằng chữ:

Giáo viên phản biện

(ký và ghi rõ họ tên)

Trang 6

GVHD: Th.S Lý Anh Tuan Phan Tich & Thiét Ké CSBM Cho Céng Ty CSTN

LOI CAM ON

Trước khi trình bày nội dung nghiên cứu của Luận Văn Tốt Nghiệp, chúng

em xin đành những dịng đầu tiên để gởi lời cám ơn chân thành đến:

Thay Th.S Ly Anh Tuan di tan tình hướng dẫn và tạo điều kiện tốt nhất cho

chúng em trong suốt thời gian thực hiện luận văn

Chúng em xin gởi lời cảm ơn chân thành đến quý Thầy Cơ trong Khoa

Cơng Nghệ Thơng Tìn của trường Đại Học Kỹ Thuật Cơng Nghệ TPHCM đã

giảng dạy, hướng dẫn và giúp đỡ chúng em thực hiện luận văn này

Chúng con cũng xim gởi lời cám ơn sâu sắc đên ba mẹ và gia đình đã luơn

chăm sĩc và động viên chúng em trong suốt thời quá trình học tập, nghiên cứu đề chúng con đạt được kết quả như ngày nay

TPHCM, Ngày 22 Tháng 1 Năm 2007 Nhĩm sinh viên thực hiện :

Thái Minh Huy - Cao Thăng Tiến

SVTH: Thái Minh Huy & Cao Thăng Tiến Trang 1

Trang 7

GVHD: Th.S Lý Anh Tuấn Phân Tích & Thiết Kế CSBM Cho Cơng Ty CSTN

LỜI MỞ ĐẦU

Ngày nay, Internet đã trở thành một người bạn khơng thẻ thiếu đối với việc kinh doanh của các doanh nghiệp Tuy nhiên, với số lượng khơng lỗ các đữ liệu

đáng giá được truyền nhận trên Net cũng đang trở thành miếng mỗi béo bở cho các

băng nhĩm tội phạm mạng Kết quả là an ninh mạng đã trở thành nỗi đau đầu lớn nhất cho các giám đốc CNTT (CIO) của các doanh nghiệp, và các nhà quản lý

mạng đang hàng ngày phải vất vả chống đỡ với thư rác (spam), virus, phishing, phần mềm gian diép (spyware), trojan, key-logging va cac vy tấn cơng khác Hiểm họa là như vậy, nhưng các doanh nghiệp vẫn chưa nhận thức được rõ mỗi nguy hiểm này

Vấn đề bảo mật cho hệ thống mạng cũng đã trở nên phức tạp hơn do việc sử dụng các thiết bị di động đầu cuối như máy tính xách tay, thiết bị trợ giúp cá nhân (PDA) và điện thoại thơng minh Vì thế, khơng thẻ chỉ thiết lập hệ thống tường lửa đơn giản đặt ở bên trong và bên ngồi mà chúng ta cần các lớp phịng thủ giữa

nhiều bộ phận, tại nhiều điểm khác nhau trong cơng ty Như thế mới cĩ thể bảo vệ chống lại các cuộc tấn cơng từ bên ngồi và ngay từ bên trong cơng ty

Chính vì vậy cần phải cĩ một chính sách bảo mật để đảm bảo an tồn cho hệ thống, đồng thời đảm bảo cho hệ thống mạng luơn ổn định và cĩ tính thực thi cao,

cĩ khả năng chống lại các cuộc tấn cơng vào mạng, đảm bảo các nhân viên luơn tuân thủ đúng chính sách này Cần chú ý rằng bảo mật mạng là một quy trình và

khơng phải chỉ là bảo mật đối với các sản phẩm Các doanh nghiệp cần chủ động

triển khai các chính sách bảo mật, quản lý các giao dịch nguy hiểm và cần chắc

chắn rằng các nhân viên nhận thức được rõ về vấn dé an tồn dữ liệu

Xuất phát từ những vẫn đề này, chúng em nghiên cứu thiết kế chính sách bảo mật mạng và đồng thời kết hợp với các sản phẩm bảo mật như Trend Micro và

ISA Server để gĩp tăng cường cho cơng tác bảo mật của cơng ty Cao Su Thống

Nhất Đề tài mà chúng em nghiên cứu là: “PHÂN TÍCH & THIẾT KÉ CHÍNH SACH BAO MAT CHO CONG TY CAO SU THONG NHAT”

Trang 8

MỤC LỤC

CHUONG I: GIỚI THIỆU ĐÈ, TÀI -. -2 -c-ss<veeserresseessrsserrersree 9

1 Gidi thiéu 0n 8/80 na 9 II Nhu cầu thực tiễn của việc áp dụng chính sách bảo mật: - 10

CHƯƠNG II: CƠ SỞ LÝ THUYYT -s<<ecssstetrzssrtrrrrrsrere 12

1 Xây đựng chính sách bảo mật: cọ nhnrehrhrreririe 12 1 Corporate PỌiCy: - cành HH HH TH tk tren 14

1.1 Chính sách về hạ tầng an ninh: . 2-55 52c2xtsrterererrrtrrrrrrrrrrree 14

1.2 Đồng điều phối các chính sách an ninh: -5scctscrrrerrreree 15

2 Chính sách an tồn thơng tim: -Á ác nh HH Hà 11211214 1k 15 QL KWai 116M 15

2.2 Tài liệu chính sách an tồn thơng tin: - 55+ +<+ssseererrerrerrre 16 2.3 Trách nhiệm giải trình về tài sản “thơng tỉn”: -ccscccereecreee 17 2.3.1 Kiểm kê tài sản “thơng tỉn”: c5: S7t2cn 228 Ekrkrrerrrrrree 17 2.3.2 Phân loại tài sản thơng tin: 6 - nen hư 18

2.3.3 Gán nhãn và xử lý thơng fIn: cọ Sàn tre 18 3 Chính sách an ninh nhân sự: - - - + Ă S221 2n kg g6 1xx 19

khi c0 7.1 19 3.2 Các thoả thuận về tính tìn cậy: . - 5-52 5c 22t2rerrtrrrrrrrrerrerrerkee 20

Trang 9

GVHD: Th.S Lý Anh Tuan Phân Tích & Thiết Kế CSBM Cho Cơng Ty CSTN

4.1 Vùng an ninh (SŠ€CUT€ ar€AS): 2à 2Q ST nnH HH Hy HH HH HH HT HH re 22 4.1.1 Vanh dai an ninh vat ly: oo ố 23 4.1.2 Kiểm sốt vào ra vật lý: ¿2c 22212222122 E112 rrrre 23

4.1.3 Các nhân viên an ninh, phịng làm việc và thiết bị: - 24

4.1.4 Làm việc trong vùng an n1nÌ: ee S- SH Hye, 25 4.1.5 Tách biệt vùng giao nhận: .-. - Q Sàn HH tư 25

4.2 An ninh thiết bị: 5c: 22t tr reeree 26

4.2.1 Lựa chọn vị trí thiết bị và bảo VỆ: - 5c cccrkeerrrsrrerrrree 26

4.2.2 Cung cấp năng lượng (Power supplie): 5-ccscevsrxerrrrree 26 4.2.3 An ninh đường cáp (Cabling seCuFlfY): co senhrerrerre 27 | 4.2.4 Bảo trì thiết bị (Equipment main†enance): -‹ -:+cc+rexsrxz 27 4.2.5 An ninh của các thiết bị bên ngồi vành đai an nỉnh: 27 4.3 Các kiểm sốt chung: - - s52 2 Scst2 2212112122122122121111211 rkerrrr 28

| 4.3.1 Chính sách mặt bàn sạch và màn hình sach (Clear desk and clear

| SCTEEN POLICY): «2 ce eeeececnccnecncescesceeeteeseeeesscsesseeneessesseesesscsesseseeseeseneeensenens 28

4.3.2 Di đời tài sản (Removal of propertY): - cách hưướ 29 5 Kiểm sốt truy nhập (Access contro]): -c: tt srrtererirrrrrtrrrrrrrrek 29 5.1 Các yêu cầu nghiệp vụ đối với kiểm sốt truy nhập: - 29

5.1.1 Chính sách kiểm sốt truy nhập (Access control policy): 29

5.1.1.1 Các yêu cầu chính sách và yêu cầu nghiệp vụ (Policy and

[D9018 s3001ix¡: 911 29 5.1.1.2 Các quy tắc kiểm sốt truy nhập (Access control rules): 30

5.2 Quan lý truy nhập của người ding (User access management): 30

5.2.1 Đăng ký người dùng (ser reg1strafion): -.ccereeirrie 30 5.2.2 Quản lý ưu tiên (Privilege managemeh†): -.àceeereeke 31 5.2.3 Quản lý mật khâu người dùng (User password management): 32

6 Bảo vệ chống lại các phần mềm phá hoại (Protection against malicious

UIT 1777 33

Trang 10

6.1 Kiểm sốt chống lại các phan mém pha hoai (Protection against malicious SOFTWALE)® ooo cce cece ceeese cee cneesecseeeessesaesesaceeceansnsasseceeeseeeecancescesressecsecsetiscsanensaes 33 7 Cơng việc thực hiện thường nhật của cơng LY: eect terest teens 34

7.1 Sao lưu thơng tin (Information back-up): c-cccrssereeereerree 34 7.2 Nhật ký vận hành (Operator Ìogs): - che 35 § Quản trị mạng (Network managem€tf): - - c-cceinrirerrerrrrrrrerrrre 35

§.1 Các kiểm sốt trên mạng (Network contr§): - -c-ccccccereeeereer 36 8.2 An ninh của thiết bị lưu trữ (Media handling and security): 36 8.2.1 Quản lý các phương tiện cĩ thé di chuyén (Managementof removable

COimpuf€T Tr€di4): + + th 1 22.22 mg ghê 36 8.2.2 Hủy bỏ phương tiện, thiết bị lưu trữ (Disposal of media): 37 8.2.3 Các thủ tục xử lý thơng tin: .ị - s2 ene erenteenseteeeeeseeenensee ns 37

§.2.4 An ninh của tài liệu hệ thống (Security of system documentation): 38 9 Trao đổi thơng tin và phần THỂH: .2 2-5252 5222222222223 EEE1.E2E2Errrrrrek 38

9.1 Các thoả thuận trao đổi thơng tin và phần mềm: .-. -<-¿ 39

9.2 An ninh của thiết bị lưu trữ khi di chuyễn: 5c cccsrrerrrrrer 39 9.3 An ninh thương mại điện tử (Electronic commerce security): 40

9,4 An ninh thư điện tử (Security of electronic mail): . - - 41

9.4.1 Rủi ro an ninh (Security TIsKS): - - 555 + ehteerveeree 41 9.4.2 Chính sách với thư điện tử (Policy on electronic mail): 41 10 Business Policies: 8n 42

10.1 Separation of Duties PollCI€§: cà Sàn sành re 42

10.2 Due Care POlIGI€S: .- 7ĩ S25 1E HH* HH HH HH nhàn tư 43

10.3 Physical Access Control Policles: - Sàn 43

Trang 11

GVHD: Th.S Lý Anh Tuấn Phân Tích & Thiết Kế CSBM Cho Cơng Ty CSTN 2.1 Các sản phâm dùng để quản lý ngăn chặn sự bùng nỗ của các nguy cơ ảnh hưởng đến hệ thống mạng: . 2 t22t22EE2Y2EEEELEEkttrkrrkrtkerrree 48 2.2 Các sản phẩm dùng để bảo vệ gateWaY: on 49 2.3 Các sản phẩm dùng để bảo vệ Network: - cookie 50

2.4 Các sản phâm dùng dé bảo vệ Mail, Messaging: 50

2.5 Các sản phẩm dùng để bảo vệ SerVer: - cccc2cserrrrrrirrrrrrrrr 50 2.6 Các sản phẩm dùng để bảo vệ Desktop: -cccreecrrrrrerree 50 TIL Giới thiệu về ISA Server: -cs-cccccc TH re 51 CHƯƠNG III: KIEN THỨC LIÊN QUAN << << csecseesrssrsse 52 I Trend Micro OfficeSCaT: ch Hy HH HH re 52 1 GiGi thiéu OFFICES CANE 52

2 Tính năng mới của Office Scan 7.Ä: SH 2H treg 33 2.1 Tính năng ClHent-side€: .- ác + SH HH Hư 53 2.2 Tính năng S€TV€F-SI€: - + Sàn HT TH HH HT TH 53 3 Những tính năng chính và lợi ích của nĩ: .- 2n Hee 54 3.1 Tích hợp chống Virus và SpyWAT€: - ccccttttrrrstrtrrrrerrrrree 34 3.2 Tăng cường khả năng phịng chống SpyWare: sa scccsrerrsrerrec 54 3.3 Quan ly tp trungs nh 54

3.4 Bảo mật và các chính sách thi hành: -s S5 Set 54 3.5 Enferprise Client FITeWAÌÏ: - + c cà ch HH HH HH tệp 55 3.6 Trend Micro Damage Cleanup Services (DCS) 3: 55

Trang 12

GVHD: Th.S Ly Anh Tuan Phân Tích & Thiết Kế CSBM Cho Céng Ty CSTN

4.4.2 Roaming CÏienIS: - + St HH tk hư 58 ` (n9 59

5 Tim hiểu các thành phần của OfficeScan: - con 59 II Trend Micro ServerProtect .cccccccecceeccecesceeeeeeeeenaecnaceneeesaeeceseneenresenensentaes 60

1 Giới thiệu về ServerPTOt€ct: :-: 2c e 60 2 ServerProtect làm việc như thế nào? - -: 5 2+c+2éxxertrkerrrrrrrrrrrrrrkee 61 2.1 ServerProtcct quản lý các Server như thể nào? cccccrerecerreeree 61

2.2 Các cách thức truyền thơng: . 7n 2t Street 61 3 CAu triic oi 81a cố 62

3.1 Management Console: - Ăn nhìn ii 62

KV (0s ii 5a, 1 63

EEN\ (so i8 ca 63 3.4 Cac ServerProtect Domain: . - sen nhe 64

4 So sánh giữa quét thời tian thực (Real-time Scan) và quét theo nhu cầu (On-

B011 81x No: 0 (2H 64 5 Làm việc với các tác vụ (Task§): - ác nh HH HH tr 65 6 Khi ServerProtect tìm thấy Virus (Virus Action): eeceerereerivee 65 7 Cac Virus Log: occ ee 66

8 Trién khai cdc Updatet c.cccccccscscsscssessesssssesessecseeserseesercesseaeeseesessesseseneseeveenses 67

9 Kỹ thuật phát hiện Virus của ServerPrOfect: -ccceeerreernreeeee 68

lBIN án 1 68

Trang 13

087.0 72

1 Đặc điểm ISA SerVeF: co n2 2221 tre 72 2 Sơ đồ hoạt động của ISA Server: oe ee cesses esses cesses eseseeneaeseeneeeeneeneaseneens 73 3 Các tính năng của ISA S€TV€F: Sàn nành HH 1e 73 CHƯƠNG IV: CHÍNH SÁCH BẢO MẬT CHO CONG TY CAO SU THĨNG NHÁT & TRIEN KHAI CAC SAN PHAM BAO MAT VAO CƠNG I Chính sách bảo mật cho cơng ty Cao Su Thống Nhất: cv 77 II Triển khai chính sách bảo mật cho hệ thống mạng cơng ty Cao Su Thống Nhất: CH TT ng HT HT 2111k 154511 HH HT TH Hà HT HH 0113.14.7118 86 1 Kế hoạch áp dụng cho hệ thống máy tính: -cceerererrirrrerrrrrre 87 2 Áp dụng các chính sách trong Active Directory để quản lý người dùng: 88

3 Áp dụng các sản phẩm của Trend Micro để xử lý và phịng chống virus, spyware cho các Server và mnáy {Tạm : se eihnrerrerrrrrrirre 91 3.1 Triển khai Trend Miero ServerProtect trên các Server: 91

3.2 Triển khai Trend Micro OfficeScan trên các máy trạm: 94

4 Triển khai ISA Server đề làm Firewall cho hệ thống mạng: 97

CHƯƠNG V: KÉT LUẬN VA HƯỚNG PHÁT TRIÊN . 100

Trang 14

CHUONG I:

GIOI THIEU DE TAI

1 Giới thiêu chung về chủ đề:

Hiện nay bảo mật mạng đang trở thành vấn đề được quan tâm rất nhiều của

các nhà doanh nghiệp Về mặt truyền thống, vấn đề an ninh được hiểu là bảo vệ tài sản của các doanh nghiệp trước một thế giới bất ơn Nhưng giờ đây khái niệm này khơng cịn phù hợp nữa Các hệ thống mạng giờ đây khơng được phân loại theo

tiêu chí tin cậy hay khơng tin cậy, mà phải coi nĩ là một hệ thống mạng khơng tin cậy đơn lẻ và triển khai những cơng cụ kiểm tra và kiểm sốt phù hợp tình hình

thực tế của cơng ty Với việc áp dụng ngày càng tăng internet vào cơng việc kinh

doanh, thách thức đặt ra cho các doanh nghiệp là cơng tác bảo mật cho hệ thống

mạng của cơng ty ngày càng khĩ khăn hơn Họ phải bảo mật và cấp phép truy cập

tới tất cả những người dùng như nhà cung cấp thiết bị, dịch vụ, đối tác kinh doanh

V.V

Đối với doanh nghiệp, bảo mật khơng phải là việc hạn chế truy nhập tới các nguồn lực và ứng dụng quan trọng trong kinh doanh Giá trị chiến lược sẽ đạt được nhờ việc giải quyết được hầu hết những thách thức lớn đặt ra như nâng cao

tính cạnh tranh, giảm thiểu rủi ro hoạt động và cho phép bất cứ nơi nào cũng cĩ

thể truy nhập tới các dịch vụ mà khơng ảnh hưởng tới tính bảo mật và hiệu suất hoạt động Bảo mật mạng là vấn đề thiết yếu nhằm đảm bảo các yêu cầu an tồn

về mặt tổ chức cũng như các hoạt động liên quan đến kinh doanh Việc dữ liệu bị mất mát cĩ thể gây những thiệt hại to lớn ví dụ như các bí mật kinh doanh, các

mẫu sản phẩm cĩ thể gây ảnh hưởng trực tiếp đến lợi nhuận; các hệ thống lưu

trữ dữ liệu cĩ quan hệ với khách hàng, chứa những thơng tin tuyệt đối an tồn của khách hàng, nếu bị rị rĩ cĩ thể ảnh hưởng trực tiếp về mặt uy tín của cơng ty

Bảo mật mạng chính là sự kết hợp giữa giải pháp sản phẩm và các chính sách

bảo mật Về mặt cơng cụ, các cơng nghệ bảo mật mạng là như nhau Các nhà quản trị mạng sẽ sử dụng những cơng cụ này để tăng cường việc tuân thủ chính sách

Trang 15

bảo mật Chính sách bảo mật càng phức tạp, thì địi hỏi các cơng cụ bảo mật càng

phải tỉnh v1 Chế độ bảo mật mạng tổng thể khơng thể mang lại hiệu quả nếu thiếu một trong hai yếu tố nĩi trên

Ngày nay, các tổ chức đoanh nghiệp cần phải thực hiện nghiêm ngặt những

quy định pháp luật và vấn đề bảo mật mạng thì cơng việc kinh doanh mới phát

triển được Để bảo vệ an tồn mạng của các doanh nghiệp nĩi chung đặc biệt là

các doanh nghiệp trong lĩnh vực cĩ sự hội tụ CN T-TTỶ cao như tài chính — ngần hang, thuế, hải quan, bảo hiểm Các lĩnh vực kinh doanh này cần cĩ yêu cầu đặc biệt cao về chính sách bảo mật mạng Nếu khơng cĩ những cơng cụ thích hợp, các nhà quản lý IT cĩ thê sẽ gặp khĩ khăn trong việc kiểm tra và kiểm sốt người dùng

truy nhập các ứng dụng trên mạng tại bất cứ thời điểm nào

II Nhu cầu thực tiễn của việc áp dụng chính sách bảo mật:

Sự bùng nổ của Internet và cơng nghệ thơng tin trên thế giới trong những năm qua đã cơ bản làm thay đổi cách thức mà các cơng ty sử dụng để kinh doanh và cũng như để tự bảo vệ mình Cách đây chỉ hơn một thập kỷ, việc bảo vệ mạng chỉ tập trung chủ yếu vào việc giữ cho dữ liệu bên trong khơng bị thất thốt ra ngồi Ngày nay, các ứng dụng kinh doanh điện tử (e-business) và Web địi hỏi

cơng ty phải kết nối với chỉ nhánh, đối tác ở khắp mọi nơi, việc liên kết khơng cịn

bị giới hạn về khơng gian và khoảng cách địa lý nữa, cho nên hội nhập là điều tất yêu trong hoạt động của các cơng ty, do vậy việc bảo vệ dữ liệu ngày càng quan

trọng hơn

Internet đã trở thành 1 người bạn khơng thể thiếu đối với hầu hết các doanh nghiệp, nĩ là cầu nối quan trọng giữa các nhà cung cấp với khách hàng, là nơi trao

đổi thơng tin mua bán một cách nhanh chĩng và thuận tiện nhất Tuy nhiên,

Internet cũng luơn làm đau đầu các nhà doanh nghiệp bởi những hiểm hoạ mà nĩ

mang lại Các kiểu tấn cơng ngày càng tỉnh vi và phức tạp hơn, xảy ra đồng loạt và

dễ dàng triển khai hơn Các cơng ty phải đối mặt nhiều hơn với hàng loạt các

thách thức và hiểm họa như virus và trojan horse, các tân cơng từ chối dịch vụ, ăn

trộm và phá hủy dữ liệu, cĩ thể xây ra bất kì lúc nào Những nguy hiểm này cĩ thể

Trang 16

GVHD: Th.S Lý Anh Tuần Phân Tích & Thiết Kế CSBM Cho Cơng Ty CSTN

xuất phát từ nhiều mặt chẳng hạn như từ bên ngồi cơng ty tấn cơng vào hay thậm chí xuất phát từ chính bên trong từ các nhân viên của cơng ty Vì thể các cơng ty

cần phải cĩ biện pháp để bảo vệ sự tồn vẹn, bảo mật dữ liệu và tính luơn sẵn sàng

của hệ thống để đảm bảo cho cơng việc kinh doanh luơn diễn ra bình thường

Theo khảo sát của tổ chức chuyên nghiên cứu về bảo mật - Viện bảo mật máy tinh Computer Security Institute:

- 90% các cơng ty được khảo sát là các cơng ty lớn và cơ quan nhà nước da phát hiện dấu hiệu liên quan tới bảo mật và thường xuyên bị mắt mát dữ liệu

- 74% kết nối Internet của họ thường xuyên là điểm bị tắn cơng

Cho nên các giải pháp bảo mật mạng đáng tin cậy ra đời mới cĩ thể xố bỏ được những lo lắng trên Chúng giúp doanh nghiệp bảo vệ tài nguyên mạng, đảm

bảo an tồn cho các đữ liệu được truyền qua Internet tới các văn phịng chi nhánh,

tới các nhân viên đi cơng tác xa, các đối tác và ngược lại, cũng như bảo vệ mọi giao dịch trực tuyến khác

Đối với yếu tổ về giải pháp và các chiến lược an ninh an tồn cho hệ thơng

mạng, đặc biệt đối với những nhà cung cấp dịch vụ thì yếu tố đầu tiên và cĩ thé coi là quan trọng nhất là việc định hình và hoạch định các chiến lược, các chính

sách bảo mật để bảo vệ hệ thống mạng Chính vì thế mà việc đề xuất các giải

pháp, chính sách bảo mật cho hệ thống mạng của cơng ty là rất cần thiết, chiến lược này dựa trên nguyên tắc là các cơng ty cĩ thể chủ động quản lý và bảo vệ chính mơi trường mạng của họ trên cơ sở tích hợp các giải pháp/sản phẩm an ninh khác nhau phù hợp với cơ sở hạ tầng chính mình

Trang 17

CHƯƠNG II:

CO SO LY THUYET

I X4y dirng chinh sach bao mat:

Xây dựng chính sách bảo mật đĩ là những hoạt động nhằm thiết lập, đưa ra

các khung chính sách nhằm đảm bảo an tồn cho hệ thống, đồng thời đảm bảo cho

hệ thống mạng luơn ổn định và cĩ tính thực thi cao, cĩ khả năng chống lại các cuộc tấn cơng vào mạng Tuy nhiên, một hệ thơng nếu chỉ dựa vào mục tiêu bảo mật mà làm mất đi tính mềm dẻo và để sử dụng thì chính sách bảo mật trên hệ thống đĩ cũng chưa phải là tốt Cĩ thể nĩi rằng một hệ thống cĩ chính sách bảo

mật hợp lý là biện pháp tốt nhất để đảm bảo an tồn mạng

Trong các bước xây dựng chính sách bảo mật cho hệ thống mạng, việc cần làm đầu tiên của người quản trị là xác định được đúng mục tiêu cần bảo mật Việc xác định những mục tiêu của chính sách bảo mật giúp người sử dụng biết được trách nhiệm của mình trong việc bảo vệ các tài nguyên thơng tin trên mạng, đồng

thời giúp các nhà quản trị thiết lập các biện pháp nhằm đâm bảo hữu hiệu trong

quá trình trang bị, cầu hình và kiểm sốt hoạt động của hệ thống Những mục tiêu bảo mật bao gồm:

- Xác định đối tượng cần bảo vệ: đây là mục tiêu đầu tiên và quan trọng nhất

trong khi thiết lập một chính sách bảo mật, cần xác định rõ những đối tượng nào là quan trọng nhất trong hệ thống cần bảo vệ; xác định rõ mức độ ưu tiên đối với

những đối tượng đĩ Ví dụ: Các máy chủ dịch vụ, các roufer, các điểm truy nhập hệ thống, các chương trình ứng dụng, hệ quản trị CSDL, các dịch vụ cung

cấp Trong bước này cần xác định rõ phạm vi và ranh giới giữa các thành phần

trong hệ thống để khi xảy ra sự cố trên hệ thống cĩ thể cơ lập các thành phần này

với nhau, để dễ dàng dị tìm nguyên nhân và cách khắc phục

- Xác định nguy cơ đối với hệ thống: các nguy cơ đối với hệ thống chính là các lỗ hỏng bảo mật của các dịch vụ, hệ thống đĩ cung cấp Việc xác định đúng đắn các nguy cơ nảy giúp người quản trị cĩ thể tránh được những cuộc tấn cơng

Trang 18

GVHD: Th.S Ly Anh Tuan Phân Tích & Thiết Kế CSBM Cho Cơng Ty CSTN

mạng, hoặc cĩ biện pháp bảo vệ đúng đắn Một số nguy cơ trên hệ thống:

+ Các điểm truy nhập: các điểm truy nhập của hệ thống bất kỳ thường

đĩng vai trị quan trọng đối với mỗi hệ thống vì đây là điểm đầu tiên mà người sử dụng cũng như những người tấn cơng mạng quan tâm tới

+ Khơng kiểm sốt được cấu hình hệ thống

+ Những bug phần mềm sử dụng : những bug phần mềm tạo nên những lỗ

hỏng của dịch vụ là cơ hội cho các hình thức tấn cơng khác nhau xâm nhập vào

mạng

+ Những nguy cơ trong nội bộ mạng: một hệ thống khơng những chịu tấn cơng từ ngồi mạng, mà cĩ thể bị tấn cơng ngay từ bên trong Cĩ thé là vơ tình

hoặc cố ý, các hình thức tấn cơng bên trong mạng vẫn thường xảy ra trên một số

hệ thống lớn

- Xác định phương án thực thi chính sách bảo mật: sau khi thiết lập được một chính sách bảo mật, hoạt động tiếp theo là lựa chọn các phương án thực thi nĩ Một chính sách bảo mật là hồn hảo khi nĩ cĩ tính thực thi cao Để đánh giá tính thực thi này, cĩ một số tiêu chí để lựa chọn là:

+ Tính đúng đẫn : đây là tiêu chí đầu tiên và quan trọng nhất để lựa chọn

một chính sách bảo mật Nĩ đảm bảo cho sự thành cơng của chính sách đĩ

+ Tính thân thiện : một chính sách bảo mật cần phải thiết lập các cơng cụ

bảo mật thân thiện với người quản trị và dễ dàng thực thi các chính sách bảo mật

Đồng thời, cịn đảm bảo các biện pháp bảo mật trên hệ thống khơng làm khĩ khăn hoặc bất tiện đối với người sử dụng

+ Tính hiệu quả: điều sau cùng, một chính sách bảo mật cần phải cĩ đĩ là

tính hiệu quả mà chính sách đĩ mang lại Một chính sách bảo mật cĩ thê đảm bảo hệ thống an tồn, tin cậy, nhưng lại cần cĩ chỉ phí quá cao so với lợi nhuận mà hệ thống đĩ đem lại sẽ khơng được quyết định thực thị

Các yếu tố gĩp phần quyết định thành cơng (Critical success factors) khi xây dựng

chính sách bảo mật:

Trang 19

a) Chính sách bảo mật tốt phải được soạn thảo dựa trên việc đạt được các mục đích nghiệp vụ của cơng ty

b) Đạt được các yêu cầu an ninh cơng ty

c) Các trợ giúp hiệu quả và sự cam kết phối hợp từ các cấp quản lý

đ) Phải cĩ sự am hiểu về các yêu cầu an ninh, về đánh giá rủi ro và quản lý rủi ro

e) Phổ biến vấn đề bảo mật tới tất cả các nhà quản lý và các nhân viên

f Phổ biến các nội dung của chính sách và các tiêu chuẩn của nĩ tới mọi nhân viên và những người liên quan tới tổ chức của cơng ty

ø) Tổ chức các khố học về bảo mật cho những người liên quan

h) Đánh giá thường xuyên về hiệu quả của chính sách và việc thực thi các chính sách để từ đĩ rút kinh nghiệm và cải tiên liên tục

1 Corporate Policy:

Mỗi cơng ty đều cần phải tạo ra cho mình chính sách bảo mật, chính sách này

đưa ra các chính sách nhằm bảo vệ các thơng tin dữ liệu của cơng ty tránh những mối đe dọa, rủi ro làm ảnh hưởng đến việc kinh doanh và tài sản của cơng ty

Tất các thơng tin đữ liệu nên được phân loại và dán nhãn dựa trên tính nhạy cảm của nĩ đối với sự tồn tại của cơng ty

1.1 Chính sách về hạ tầng an ninh:

Mục đích: để quản lý và đảm bảo an tồn bên trong cơng ty

Một khung quan lý được thiết lập để khởi đầu và kiểm sốt sự thực thi chính sách bảo mật bên trong cơng ty Các kênh thơng tin liên lạc với lãnh đạo được thiết lập để phê chuẩn chính sách và bổ nhiệm các vai trị an ninh cùng điều phối

sự thực thi các chính sách trong cơng ty Nếu cần thiết, một bộ phận tư vấn về bảo

mật sẽ được thiết lập dé kịp thời năm bắt các khuynh hướng cơng nghiệp, giám sát các tiêu chuẩn và đánh giá các phương pháp, chính sách để gĩp phần cho cơng ty

được an tồn hơn

Trang 20

1.2 Đồng điều phối các chính sách an ninh:

Trong một cơng ty, các đại diện quản lý phải cĩ trách nhiệm điều phối sự

thực thi các chính sách:

- Thoả thuận các trách nhiệm và vai trị cụ thê về an ninh trong cơng ty - Thoả thuận các phương pháp luận và tiến trình thực hiện cụ thể về an ninh, ví dụ: các phương pháp đánh giá rủi ro, các hệ thống phân loại an ninh

- Thoả thuận và trợ giúp việc thực thi chính sách an ninh trên tồn bộ cơng

ty

- Đảm bảo an nỉnh là một thành phần của tiến trình lập kế hoạch kinh doanh 2 Chính sách an tồn thơng tin:

2.1 Khái niêm:

Thơng tin là một loại tài sản giống như mọi tài sản khác của cơng ty, vì vậy

cần được bảo vệ sao cho trong mọi trường hợp các hoạt động nghiệp vụ của cơng

ty vẫn diễn ra bình thường Thơng tin cĩ thể tồn tại dưới nhiều hình thức: trên

giấy, các phương tiện lưu trữ từ, được truyền dẫn đi xa, .Các thơng tin đữ liệu trong cơng ty cĩ thể bị người khơng được quyền truy nhập tìm cách lấy và sử

dụng (thơng tin bi rd ri), bj thay thế hoặc sửa đổi làm sai lệch nội dung (thơng tin

bị xáo trộn)

Chính sách an tồn thơng tin cung cấp các phương hướng và trợ giúp về mặt quản lý đối với thơng tin của cơng ty và đảm bảo cho tất cả thơng tin này luơn được bảo vệ an tồn Các cấp quản lý cần thiết lập một chính sách rõ ràng với các

quy định về trợ giúp hiệu quả, chính sách là cam kết của cấp quản lý về an tồn thơng tin, chính sách phải được duy trì thường xuyên và cập nhật định kỳ

Chính sách an tồn thơng tin được định nghĩa qua ba yêu cầu sau:

- Tính tin cậy (confdentiality): đảm bảo thơng tin chỉ cĩ thể được truy nhập

bởi những người được cấp quyền sử dụng

- Tính tồn vẹn (integrity): bảo vệ sự chính xác và đầy đủ của thơng tin và

các phương pháp xử lý

Trang 21

- Tính sẵn sàng (availability): đảm bảo những người được cấp quyền cĩ thé

truy nhập thơng tin và các tài sản liên quan ngay khi cĩ nhu cầu Tai sao an tồn thơng tin là cần thiết?

Thơng tin là tài sản quan trọng của cơng ty Thơng tin chỉ cĩ giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ cĩ thể cung cấp các thơng tin cĩ

giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn Tính

tin cậy, tính tồn vẹn và tính sẵn sàng của thơng tin là yêu cầu cơ bản để đảm bảo cho sự hoạt động bình thường của cơng ty Tổ chức và các hệ thống thơng tin của

nĩ luơn phải đối mặt với các nguy cơ an ninh (security threats) từ mơi trường như hacker, viruses, tấn cơng từ chối dịch vụ, các sai lỗi của người dùng, cháy nd, lũ lụt Các điểm để từ đĩ các nguy cơ bên ngồi và bên trong cơng ty cĩ thể thâm

nhập làm hỏng hệ thống thơng tin được gọi là các điểm dễ tổn thương (vulnerabilities) Vi vay cần phải vá các điểm dễ tổn thương này bằng các kiểm

sốt (controls) Các kiểm sốt này cĩ thể là các biện pháp kỹ thuật, biện pháp hành chính sao cho phù hợp với cơng ty Để thực hiện các kiểm sốt này, cơng ty cần sự tham gia của tất cả nhân viên và các nhà quản lý, các khách hàng, các nhà cung cấp của cơng ty

2.2 Tài liệu chính sách an tồn thong tin:

Một tài liệu phải được phê chuẩn, được xuất bản và được quảng bá phải phù

hợp với tình hình cụ thể của cơng ty Nĩ tuyên bố các cam kết của cấp quản lý và

thiết lập chính sách quản lý thơng tin Tối thiểu, tài liệu phải bao hàm các nội dung sau:

- Định nghĩa về an tồn thơng tin, định nghĩa phải bao hàm các mục tiêu và

phạm vi, tầm quan trọng của an tồn thơng tin, và cuối cùng như là một cơ chế cho

phép chia sẻ thơng tin

- Báo cáo về mục đích quản lý, trợ giúp các mục tiêu và nguyên lý của an

tồn théng tin

Trang 22

- Diễn giải văn tắt về các chính sách an tồn, các nguyên lý, các tiêu chuẩn và các thủ tục đối với các hệ thống thơng tin cụ thể hoặc các quy tắc an ninh mà

người dùng phải tuân thủ

- Định nghĩa về trách nhiệm chung và riêng đối với quản lý an tồn thơng

tin, và trách nhiệm báo cáo các sự cố an ninh

- Cuối cùng chính sách phải được phơ biến tới tất cả mọi người trong cơng

ty

Phải cĩ người chịu trách nhiệm về việc duy trì chính sách và sốt xét tài liệu

theo một quy định rõ ràng Tiến trình sốt xét phải đảm bảo chính sách an tồn

luơn luơn đáp ứng bat cứ thay đơi nào từ các đánh giá rủi ro hoặc các thay đổi hạ tầng kỹ thuật Việc sốt xét phải được lập lịch thực hiện định kỳ với nội dung như

sau:

- Hiệu quả của chính sách, được làm sáng tỏ bởi bản chất, số lượng và ảnh

hưởng của các sự cố an tồn đã ghi chép lại được

- Chỉ phí và ảnh hưởng của các kiểm sốt đối với hiệu quả nghiệp vụ

- Hiệu quả của chính sách trước các thay đổi cơng nghệ 2.3 Trách nhiệm giải trình về tài sản “thơng tin”:

Mục đích: đâm bảo sự bảo vệ thích hợp đối với loại tài sản “thơng tin” của cơng †y

Tắt cả các tài sản thơng tin đều phải được giải trình lý đo tồn tại và phải được chỉ định chủ sử dụng Trách nhiệm giải trình này nhằm tạo điều kiện bảo vệ và bảo

trì tài sản một cách thích hợp Chủ sử dụng được xác định và chịu trách nhiệm

hồn tồn trong việc bảo trì và kiểm sốt đối với tài sản Trách nhiệm giải trình

được chỉ định cho chủ sử dụng tài sản

2.3.1 Kiếm kê tài sản “thơng tin”:

Kiểm kê tài sản là cơng việc quan trọng để quản lý rủi ro Cơng ty cần phải định danh các tai san, tầm quan trọng và giá trị tương đối của các tài sản của cơng ty Căn cứ thơng tin này, cơng ty sẽ đưa ra các mức bảo vệ phù hợp với giá trị và

tầm quan trọng của loại tài sản nảy Mỗi tài sản phải được định danh rõ ràng, chủ

Trang 23

GVHD: Th.S Ly Anh Tuan Phan Tich & Thiét Ké CSBM Cho Céng Ty CSTN

sử dụng và phân loại an ninh được tài liệu hố, vị trí của tài sản được xác định Các ví dụ về loại tài sản thơng tin: CSDL và các tệp dữ liệu, các tài liệu hệ thống,

các sách hướng dẫn người sử dụng, các phương tiện đào tạo, các thủ tục trợ giúp

và vận hành, các kế hoạch ngiệp vụ

2.3.2 Phân loại tài sản thơng tin:

Mục đích: đảm bảo tài sản thơng tin được gán mức bảo vệ thích hợp

Tài sản thơng tin được phân loại để xác định nhu cầu sử đụng, các ưu tiên và mức bảo vệ Tài sản thơng tin cũng được xác định mức nhạy cảm và mức quyết

định (critieal) đối với cơng ty Một số thơng tin cĩ thể yêu cầu các mức bảo vệ phụ hoặc cách xử lý đặc biệt (special handling) Hệ thống phân loại thơng tin được sử dụng để định nghĩa mức bảo vệ thích hợp cho mỗi tài sản thơng tin

Phân loại thơng tin và thực hiện các kiểm sốt liên quan phản ánh nhu cầu

nghiệp vụ chia sẻ hoặc hạn chế sử dụng thơng tin và các ảnh hưởng nghiệp vụ liên quan đến nhu cầu ấy Nĩi chung, việc phân loại và gán nhãn cho tài sản thơng tin

là phương pháp nhanh chĩng xác định các thơng tin đĩ được xử lý và bảo vệ như

thế nào Thơng tin và các kết quả xử lý của hệ thơng được gán nhãn theo hai tiêu chí là giá trị (value) và độ nhạy cảm (sensitivity) đối với việc kinh doanh của cơng

ty Cĩ thể sử dụng thêm một tiêu chí nữa để quyết định đĩ là “Critical” của thơng tin đối với cơng ty Thơng tin, sau một thời gian nhất định, sẽ mất độ nhạy cảm

hoặc hết hạn, ví dụ, khi thơng tin đã được cơng khai Các hướng dẫn phân loại

phải tiên đốn và tính đến một thực tế là sự phân loại thơng tin khơng cĩ định theo thời gian mà cĩ thẻ thay đổi sao cho phù hợp với tình hình của cơng ty

Trách nhiệm đưa ra cách phân loại thơng tin, ví dụ, phân loại một tài liệu, một báo cáo, một tệp đữ liệu, trách nhiệm sốt xét định kỳ cách phân loại cần được giao cho một hoặc một nhĩm người

2.3.3 Gắn nhãn và xử lý thơng tin:

Thiết lập các thủ tục để gán nhãn thơng tin phủ hợp với sơ đồ phân loại Các thủ tục này xét đến tất cả tài sản dưới dạng vật lý hoặc dạng phi vật lý Với mỗi sự

SVTH: Thai Minh Huy & Cao Thăng Tiền Trang 18

Trang 24

phân loại, các thủ tục xử lý phải được định nghĩa để bao quát tất cả các hoạt động

xử lý thơng tim sau: - Sao chép

- Lưu trữ

- Truyễn tin theo đường bưu điện, fax, và email

- Truyền tin bằng giọng nĩi (mobile, voicemail, .)

- Huy thong tin

Thơng tin từ kết quả xử lý của hệ thống cĩ thể được phân loại theo độ nhạy

cảm hoặc độ quyết định và được gán nhãn thích hợp với nội dung đã được trình bày ở mục trên Các thơng tin được gán nhãn là các báo cáo được ¡in từ hệ thống,

các thiết bị lưu trữ (CD, băng từ ), các tệp dữ liệu Lưu ý tài sản thơng tin nĩi chung chỉ tồn tại dưới hai đạng, dạng vật lý và dạng phi vật lý, vì vậy cần các loại

nhãn thích hợp

3 Chính sách an ninh nhân sự:

Mục đích: giảm bớt rủi ro do sai lỗi của con người gây nên

Trách nhiệm an ninh phải được xác định rõ ngay khi tuyển nhân viên mới, trách nhiệm được ghi trong hợp đồng, được giám sát trong cơng việc của mỗi

người, đặc biệt đối với các cơng việc nhạy cảm Tắt cả các nhân viên và người sử

dụng bên thứ ba các thiết bị xử lý thơng tin phải ký cam kết đảm bảo an ninh thơng tin

3.1 Tham tra hồ sơ cá nhân:

Thực hiện các kiểm sốt sau để thẩm tra hồ sơ cá nhân:

- Kiểm tra tính cách cá nhân cĩ đáp ứng yêu cầu cơng việc hay khơng - Kiểm tra tính đầy đủ và tính chính xác của hồ sơ

- Xác nhận văn bằng và phẩm chất nghề nghiệp

- Kiểm tra CMT, hộ chiếu,

Đối với nhân viên tại vị trí cơng việc được tiếp xúc với các thơng tin nhạy cảm thì cơng ty phải thực hiện kiểm tra lịng tin (credit check) của người thực hiện cơng việc đĩ, việc kiểm tra lịng tin này cần được thực hiện định kỳ Một quy trình

Trang 25

thâm tra tương tự cũng được áp dụng đối với các nhà cung cấp (contractors) và các

nhan vién tam thoi (temporary staff)

3.2 Các thoả thuận về tính tin cay:

Các nhân viên khi mới gia nhập cơng ty phải ký kết các thoả thuận về tính tin cậy hoặc khơng để lộ bí mật thơng tin nhạy cảm của cơng ty, các thoả thuận này được coi như là một phần trong điền kiện làm việc tại cơng ty Các nhân viên thời

vu (casual staf) và những người dùng bên thứ ba khơng bị ràng buộc bởi những thoả thuận này thì cần ký kết tuân thủ các điều kiện tin cậy khác để cĩ thể truy nhập thơng tin của cơng ty Các thoả thuận về tính tin cậy cần được sốt xét khi cĩ

các thay đổi về điều kiện sử đụng lao động hoặc các hợp đồng, đặc biệt khi các

nhân viên rời khỏi cơng ty, hoặc hợp đồng đã hết hạn 3.3 Điều kiện sử dụng lao đơng:

Điều kiện sửdụng lao động cần xác định chính xác trách nhiệm của nhân viên

đối với cơng ty Ở những vị trí nhất định, trách nhiệm đĩ cần được tiếp tục một

thời gian sau khi nhân viên đã thơi cơng việc Các hành động thích hợp sẽ được áp dụng nếu nhân viên khơng đếm xỉa gì tới các yêu cầu an ninh, quy định về các hành động như vậy cần được soạn thảo Trách nhiệm pháp lý của nhân viên và các

quyền của họ, ví dụ, đối với các luật bản quyền hoặc luật bảo vệ dữ liệu, cần được

làm sáng tỏ trong điều kiện sửdụng lao động Trách nhiệm quản lý dữ igu cua

người sử dụng lao động cần được đưa vào đây Khi thích hợp, điều kiện sử dụng lao động được mở rộng ra các hình thức lao động bên ngồi cơng ty như lao động

tại nhà chẳng hạn

3.4 Dao tao ngườidùng (User training):

Mục đích: để người dùng hiểu các nguy cơ an ninh và các vấn đề liên quan

Cần tổ chức các khố đào tạo về chính sách an ninh của cơng ty cho tất cả

mọi người, đồng thời đào tạo các thủ tục an ninh, trách nhiệm pháp lý và các kiểm

sốt nghiệp vụ và cách thức sử dụng đúng đẫn các thiết bị xử lý thơng tin để tối

thiêu hố các rủi ro an ninh

Trang 26

3.5 Phản ứng lại các sự cỗ an ninh và sai hỏng chức năng:

Mục đích: để tối thiểu hố thiệt hại do các sự cố an ninh và do làm sai chức

năng, để giám sát và học hỏi, rút kinh nghiệm từ các sự cĩ đĩ

Các sự cố an ninh cần được tổng hợp thơng qua một kênh quản lý thích hợp

và phải nhanh đến mức cĩ thể Tất cả các nhân viên và nhà cung cấp cần biết thủ tục báo cáo các loại sự cố khác nhau (vi phạm an ninh, nguy cơ, làm sai chức năng, ) CĨ thể ảnh hưởng đến an ninh thơng tin của cơng ty Họ cũng báo cáo tất cả các sự cố mà họ thấy, hoặc họ nghi ngờ một cách nhanh nhất đến điểm liên lạc

đã chỉ định Cơng ty cũng thiết lập các quy định kỹ luật đối với các trường hợp vi

phạm các yêu cầu an ninh Cần tìm cách tập hợp nhanh nhất các bằng chứng về sự cố ngay sau khi sự cố xảy ra

3.6 Báo cáo các sự cố an ninh:

Các sự cố an ninh cần được tơng hợp thơng qua một kênh quản lý thích hợp

nhanh đến mức cĩ thể Thiết lập thủ tục báo cáo hình thức (formal reporting procedure), cùng với thủ tục giải quyết sự cĩ (incident response procedure) để cĩ thể nhanh chĩng giải quyết sự cố Tat ca các nhân viên và các nhà cung cấp cần hiểu biết về thủ tục báo cáo sự cố an ninh và báo cáo các sự cĩ đĩ nhanh nhất cĩ

thể Các quy trình phản hồi phù hợp được thực hiện để thơng báo nhanh chĩng

thơng tin về sự cố sau khi đã giải quyết Các sự cố như vậy cần được tơng kết lại

để làm tài liệu đào tạo nhân viên, hướng dẫn cách giải quyết sự cố và làm thế nào để tránh xảy ra các sự cố tương tự trong tương lai

3.7 Báo cáo các yếu kém an ninh:

Người dùng các dịch vụ thơng tin được yêu cầu chú ý và báo cáo bất cứ yếu kém an ninh nào mà họ quan sát được hoặc họ nghi ngờ, hoặc các nguy cơ cĩ thể cĩ đối với hệ thống hoặc dịch vụ Các báo cáo như vậy cần gửi tới cấp quản lý của

họ hoặc tới nhà cung cấp dịch vụ nhanh nhất cĩ thể Người dùng được khuyến cáo trong bất cứ hồn cảnh nào cũng khơng nên tìm cách chứng minh các yêu kém mà ho nghi ngờ cĩ thực sự là một điểm yếu an ninh hay khơng, vì điều này cĩ thê bị

lạm dụng để can thiệp vào hệ thống

SVTH: Thái Minh Huy & Cao Thăng Tiến

Trang 27

3.8 Báo cáo các sai hỏng chức năng của phần mềm:

Thiết lập các thủ tục báo cáo các sai hỏng chức năng của phần mềm:

a) Các triệu chứng của vấn đề và bất cứ thơng báo nghi ngờ nào xuất hiện trên màn hình cũng cần phải chú ý

b) Các máy tính cần được cơ lập nếu cĩ thể và ngừng sử dụng Các hành động cảnh báo được thực hiện tức thì Nếu máy tính được kiểm tra thì cần tách nĩ ra khỏi mạng của cơng ty trước khi khởi động lại thiết bị Các đĩa mềm của máy

tính này khơng nên chuyên cho máy tính khác

c) Vấn đề cần được bảo cáo ngay cho người quản lý an ninh thơng tin Người dùng khơng được xố (remove) các phần mềm bị nghi ngờ trừ khi được phép làm như vậy Các nhân viên được đào tạo và cĩ kinh nghiệm thích hợp sẽ thực hiện các cơng việc này

3.9 Học hỏi từ các sư cố:

Cần thiết lập các phương pháp cho phép phân loại, xác định độ lớn, xác định

chi phí của các sự cố và sai hỏng chức năng Kết quả thực hiện được ghi nhận lại và được sử dụng để sửa hoặc nâng cấp các kiểm sốt, các chính sách an ninh nhằm

giới hạn ở mức thấp nhất các sự cố tương tự trong tương lai

3.10 Quy đỉnh về kỷ luật:

Cần soạn thảo các quy định về kỷ luật đối với các nhân viên vi phạm chính

sách an ninh và thủ tục an ninh của cơng ty Các quy định như vậy cĩ thể coi như sự ngăn ngừa từ trước các nhân viên coi thường yêu cầu an ninh của tổ chức Hơn nữa, điều này đảm bảo sự cơng bằng khi xử lý kỷ luật các nhân viên bị nghỉ ngờ vi phạm chính sách an ninh của cơng ty

4 An ninh mơi trường và an nỉnh vật lý:

4.1 Ving an ninh (Secure areas):

Mục dich: dé tránh các truy nhập khơng được cấp phép, các phá hoại vơ ý hoặc cĩ ý đến hệ thơng

Các thiết bị xử lý thơng tin nhạy cảm hoặc quan trọng cần phải được bảo vệ trong nhà, trong các vùng an ninh (security areas), được bảo vệ bởi một vành đai

Trang 28

an nĩnh (security perimeter) cĩ sự kiểm tra vào ra, được bảo vệ tránh các truy nhập

khơng được phép Sự bảo vệ phải tương ứng với các rủi ro đã được đánh giá 4.1.1 Vành đai an ninh vat ly:

Vành đai an ninh được thiết lập xung quanh các điểm chứa thơng tin nhạy

cảm VỊ trí và độ cần trọng của vành đai an ninh phụ thuộc vào kết quả của bản đánh giá rủi ro Các kiểm sốt sau cần được quan tâm:

a) Vành đai an ninh phải được xác định rõ ràng về mặt ranh giới

b) Vành đai phải vững chắc về mặt vật lý

c) Kiểm sốt vào ra vành đai an ninh được thực hiện cân trọng, vào ra chỉ

giới hạn với các cá nhân được cấp phép

đ) Các vành đai, nếu cần thiết, phải được mở rộng từ sàn nhà đến trần nhà để tránh các truy nhập khơng hợp pháp và tránh các tai hoạ như lửa cháy hoặc lũ

lụt

e) Mọi cửa vào ra vành đai đều phải cĩ cịi báo động

4.1.2 Kiểm sốt vào ra vật lý:

Thực hiện sự kiểm sốt để đảm bảo chỉ những người được cấp quyền mới được phép vào vùng an ninh Các kiểm sốt sau phải được thực hiện

a) Khách thăm (visitor) vùng an ninh được làm rõ nhân thân và được giám

sát, thời gian và hành trình của họ được ghi nhận lại Họ chỉ được phép vào với mục đích cụ thể và được cấp phép theo các yêu cầu an ninh hoặc theo các thủ tục khẩn cấp

b) Truy nhập các thơng tin nhạy cảm, các thiết bị xử lý thơng tin được kiểm sốt và bị giới hạn và chỉ dành cho những người được cấp phép Các kiểm sốt xác

thực, ví dụ kiêm sốt chứng minh thư, được sử dụng để cấp phép khi truy nhập

Vết truy nhập phải được ghi nhận lại

c) Tất cả mọi người phải cĩ thẻ nhận dạng khi vào ra

3) Quyền truy nhập các vùng an ninh được duyệt và cập nhật đều đặn

Trang 29

4.1.3 Các nhân viên an ninh, phịng làm việc và thiết bị:

Vùng an ninh và các phịng làm việc cần được khố, các ngăn kéo và két sắt

cũng được khố Lựa chọn và thiết kế một vùng an ninh cần phải tính đến các khả năng xảy ra cháy, lụt, hoặc các tai biến khác Các vấn đề liên quan đến sức khoẻ con người, các tiêu chuẩn an tồn làm việc cũng cần lưu tâm

Ngồi ra, cần để ý đến ảnh hưởng của các vùng đai an ninh bên cạnh, ví dụ, rị rÌ nước từ vùng an ninh bên cạnh sang Các kiểm sốt sau cần được thực hiện

a) Các thiết bị chính cẦn được quy định vị trí để tránh các truy nhập tự do

b) Các tồ nhà cần kín đáo và khơng phơ trương mục đích của nĩ, khơng cĩ

dấu hiệu nào rõ ràng, bên trong cũng như bên ngồi tịa nhà đẻ cĩ thể nhận biết các

hoạt động xử lý thơng tin

c) Các thiết bị trợ giúp, ví dụ, máy phơtơ, máy fax, được đặt trong vùng an ninh để tránh sử dụng tự do

đ) Cửa ra vào và cửa sơ phải được khố khi khơng cĩ người, bảo vệ bên ngồi cần được quan tâm, đặc biệt đối với các cửa số sát mat dat

e) Hệ thống phát hiện đột nhập được cài đặt quanh vùng an ninh Các vùng khơng cĩ người kiểm sốt thì phải được gắn cịi báo động suốt ngày đêm

f) Cần quy định rõ ràng về việc bảo trì các thiết bị xử lý thơng tin của tơ chức với bên thứ ba

ø) Danh mục tài liệu và đanh sách điện thoại nội bộ liên quan đến việc quản

lý các thiết bị xử lý thơng tin nhạy cảm phải được để tại một vị trí cố định và được cơng khai trong cơng ty

h) Các thiết bị đễ cháy, để bắt lửa phải được đặt tại vị trí cĩ khoảng cách an

tồn trong vùng an ninh Các vật dụng văn phịng (giấy, bút, .) khơng được lưu trữ trong vùng an ninh

1) Các thiết bị đự trữ và phương tiện sao lưu phải được đặt tại vị trí cĩ khoảng cách an tồn so với vị trí chính

Trang 30

4.1.4 Làm việc trong vùng an ninh:

Các kiểm sốt phụ và hướng dẫn cĩ thể được yêu cầu nhằm tăng cường an

ninh cho vùng an ninh Các kiểm sốt này cần tính đến các cá nhân và bên thứ ba

làm việc tại vùng an ninh Các kiểm sốt sau cần được thực hiện:

a) Mỗi cá nhân chỉ được biết những thơng tin cơ bản nhất về vùng an ninh khi làm việc trong đĩ

b) Tránh để bất cứ ai làm việc trong vùng an ninh mà khơng cĩ giám sát vì

ly do an tồn và dé tránh các cơ hội cố ý gây lỗi

c) Các vùng an ninh chưa sử dụng cần được khố và kiểm tra định kỳ d) Các bên thứ ba bị giới hạn truy nhập vào vùng an ninh hoặc truy nhập

các thiết bị xử lý thơng tin nhạy cảm, họ chỉ được truy nhập khi cĩ yêu cầu Các

truy nhập này được cấp phép và giám sát Các vành đai phụ để kiểm sốt các truy

nhập vật lý cĩ thể là cần thiết giữa các vùng với các yêu cầu an ninh khác nhau trong cùng một vành đai an ninh

e) Máy chụp ảnh, máy quay phim, máy ghi âm hoặc các thiết bị ghi khác

khơng được sử dụng trong vành đai an ninh, trừ khi được cho phép

4.1.5 Tách biệt vùng siao nhân:

Vùng giao và nhận thiết bị cần được kiểm sốt và nếu cĩ thể cần cách ly với các thiết bị xử lý thơng tin để tránh các truy nhập khơng được phép Các yêu cầu an ninh cho vùng này cần được xác định bằng một đánh giá rủi ro Các kiểm sốt

sau được thực hiện:

a) Truy nhập vùng lưu trữ (access to a holding area) từ bên ngồi tồ nhà

chỉ được giới hạn đối với những người xác định và được cấp phép

b) Nhập thiết bị chỉ được thực hiện khi cĩ mặt nhân viên giao nhận(delivery staff)

c) Cira ra vao bén ngoai (external door) ving luu trir duge đĩng lại nếu cửa bên trong (internal đoor)mở;

d) Các thiết bị nhập vùng lưu trữ (incoming material) được kiểm tra lỗi trước khi được chuyên từ vùng an ninh ra vị trí sử dụng

Trang 31

GVHD: Th.S Ly Anh Tuan Phan Tich & Thiét Ké CSBM Cho Céng Ty CSTN

e) Các thiết bị nhập vùng an ninh cần được đăng ký thích hợp

4.2 An ninh thiết bị:

Mục đích: để tránh mất mát, lỗi hoặc các sự cố khác liên quan đến tài sản gây ảnh hưởng tới các hoạt động nghiệp vụ Các thiết bị được bảo vệ tránh các nguy

cơ an ninh và các rủi ro từ mơi trường, giảm bớt rủi ro từ các truy nhập khơng được phép cĩ thể làm hỏng hoặc làm mắt đữ liệu

4.2.1 Lựa chọn vị trí thiết bị và bảo vệ:

Thiết bị được lựa chọn vị trí lắp đặt và được bảo vệ tránh các rủi ro mơi

trường và các truy nhập khơng được phép Các kiểm sốt sau được cân nhắc a) Thiết bị được đặt tại vị trí cho phép tối thiêu hố các truy nhập khơng cần thiết từ các vùng làm việc khác

b) Các thiết bị lưu trữ và xử lý thơng tin liên quan đến thơng tin nhạy cảm được đặt tại các vị trí cho phép tránh bị“săm so†”

c) Các yêu cầu bảo vệ đặc biệt đối với các thiết bị được tách biệt đối với

các yêu cau bảo vệ chung

đ) Các kiểm sốt được thực hiện để tối thiểu hố các nguy cơ tiềm tàng sau: ăn cắp, cháy nỗ, nước, bụi, rung lắc, các hiệu ứng hố học, ;

e) Trong chính sách an ninh thơng tin cĩ điều khoản quy định khơng cho

moi người ăn uống, hút thuốc gần các thiết bị xử lý thơng tin

Ð Các điều kiện mơi trường được giám sát để khơng ảnh hưởng đến sự hoạt động an tồn của các thiết bị xử lý thơng tin

ø) Sử dụng các phương pháp bảo vệ đặc biệt, ví như màng bàn phím, đối với thiết bị làm việc trong mơi trường cơng nghiệp

h) Ảnh hưởng của các sự cố xảy ra gần vành đai an ninh cần được lưu ý, ví

dụ lửa cháy gần, nước tràn gần đĩ

4.2.2 Cung cấp năng lượng (Power supplies):

Thiết bị được bảo vệ trước các sự cố năng lượng và các biến đổi điện khơng bình thường, cần cung cấp điện hợp lý theo chỉ dẫn của nhà sản xuất thiết bị Các

lưu ý về năng lượng như sau:

Trang 32

a) Nhiều đường dẫn điện để nếu sự cố điện xảy ra thì luơn cĩ nguồn thay thé

b) Cĩ các UPS

c) Cĩ máy phát điện dự phịng

4.2.3 An ninh dwong cap (Cabling security):

Cáp truyền thơng và cáp năng lượng cần được bảo vệ Các kiểm sốt sau

được cân nhắc

a) Đường cáp năng lượng và truyền thơng nối với các thiết bị xử lý thơng tin phải đặt ngầm, nếu cĩ thể, hoặc được bảo vệ theo cách khác thích hợp

b) Cáp mạng được bảo vệ tránh các truy nhập khơng phép, ví dụ các truy

nhập “lái” dịng dữ liệu từ mạng cơng cộng

c) Cap năng lượng được đặt cách ly vớicáp truyền thơng dé tránh nhiều loạn

đ) Đối với các hệ thống quan trọng hoặc nhạy cảm thì cần lưu ý các kiểm sốt: - Sử dụng cáp bọc sắt và các phịng cĩ khố hoặc đĩng hộp tại các điểm kết nối - Sử dụng các routings cĩ thể thay thế lẫn nhau hoặc các thiết bị truyền dẫn - Sử dụng cáp quang

- Khơng gắn vào cáp các thiết bị khơng đăng ký

4.2.4 Bảo trì thiết bị (Equipment maintenance):

Các thiết bị được bảo trì hợp lý để đảm bảo tính sẵn sàng và tính tồn vẹn

Các kiểm sốt sau cần phải được cân nhắc:

a) Thiết bị phải được bảo trì theo đúng yêu cầu của nhà cung cấp

b) Chỉ những người bảo trì được cấp phép mới được sửa chữa các thiết bị c) Số sách ghi chép về việc bảo trì nên được lưu trữ

đ) Các kiểm sốt thích hợp được thực hiện khi gửi các thiết bị ra ngồi vành

đai an ninh để bảo trì

4.2.5 An ninh của các thiết bị bên ngồi vành đai an ninh:

Khơng kể chủ sở hữu, sử dụng bất kỳ thiết bị nào bên ngồi tổ chức cũng phải được cấp phép An ninh đối với thiết bị này cũng tương tự như các thiết bị

Trang 33

cùng loại đang hoạt động trong vành đai an ninh được sử dụng cho mục đích

tương tự, cĩ xét đến các rủi ro khi thiết bị ở bên ngồi tổ chức Các kiểm sốt sau

được cân nhắc:

a) Thiết bị được đưa ra khỏi vành đai an ninh phải luơn cĩ người giám sát b) Các chí dẫn của nhà sản xuất về việc bảo vệ thiết bị phải được tuân thủ đầy đủ, đặc biệt là bảo vệ thiết bị trong mơi trường điện từ

c) Các kiểm sốt làm việc tại nhà (home-working controls) được xác định

bằng một đánh giá rủi ro và được ứng dụng phù hợp, ví dụ, các ngăn kéo cĩ khĩa, chính sách “bàn làm việc sạch” và các kiểm sốt truy nhập máy tính

4.3 Các kiểm sốt chung:

Mục đích: để tránh các dàn xếp bắt lợi hoặc ăn cắp thơng tin và các thiết bị

xử lý thơng tin

4.3.1 Chính sách mặt bàn sạch va man hinh sach (Clear desk and clear screen

policy):

Các cơng ty nên thực hiện chính sách mặt bàn sạch đối với giấy tờ, thiết bị lưu trữ (cĩ thể gỡ bỏ thơng tin), chính sách màn hình sạch đối với các thiết bị xử

lý thơng tin nhằm giảm bớt rủi ro từ các truy nhập khơng được phép và các rủi ro khác Chính sách phải xét đến các loại thơng tin, các rủi ro tương ứng và các khía cạnh văn hố của cơng ty Thơng tin (trong tài liệu) trên mặt bàn cũng cĩ thể bị

phá huỷ bởi các tai hoạ như cháy, lut, Cac kiểm sốt sau cần được cân nhắc:

a) Giấy to, các thiết bị, máy tính cần được lưu trữ trong ngăn kéo hoặc tủ cĩ

khố trong thời gian khơng sử dụng

b) Các thơng tin nghiệp vụ nhạy cảm hoặc quan trọng phải được lưu trữ

trong các vị trí được khố thường xuyên khi khơng cĩ yêu cầu sử dụng c) Máy tính cá nhân phải cĩ mật khâu

d) Các điểm truy nhập email, máy fax, máy telex phải được bảo vệ

e) Máy photocopy cần được khố ngồi giờ làm việc

Ð Khi in các thơng tin nhạy cảm hoặc đã được phân loại thì cần mang ra

khỏi máy in ngay sau khi in

SVTH: Thai Minh Huy & Cao Thang Tién Trang 28

Trang 34

4.3.2 Di dời tài sản (Removal of property):

Khơng được đi dời tài sản trong vùng an ninh khi khơng được phép Nếu phải đi đời thì cần ghi nhận lại việc đi đời này

5 Kiểm sốt truy nhap (Access control):

5.1 Các yêu cầu nghiệp vụ đối với kiểm sốt truy nhập:

Mục đích: để kiểm sốt truy nhập thơng tin

Truy nhập thơng tin và các quy trình nghiệp vụ cần được kiểm sốt trên cơ sở

các yêu cầu nghiệp vụ và yêu cầu an ninh Từ đĩ địi hỏi phải cĩ chính sách về phổ

biến thơng tin và cấp phép thơng tin

5.1.1 Chính sách kiểm sốt truy nhập (Access control policy):

5.1.1.1 Các yêu cầu chính sách và yêu cầu nghiệp vụ (Policy and business requirements):

Các yêu cầu nghiép vu (business requirements) đối với kiểm sốt truy nhập cần được định nghĩa và tài liệu hố Quy tắc và quyền kiểm sốt truy nhập cho mỗi

người dùng và nhĩm người dùng được xác định rð ràng trong chính sách an minh

Yêu câu nghiệp vụ của người dùng và của các nhà cung cấp địch vụ được mơ tả rõ ràng để đễ đàng cho việc kiểm sốt truy nhập Chính sách an ninh về vẫn đề này cần lưu ý các điểm sau:

a) Mơ tả yêu cầu an ninh của các ứng dụng nghiệp vụ cá nhân

b) Xác định mọi thơng tín liên quan đến các ứng dụng nghiệpvụ

c) Mơ tả chính sách về phổ biến và cấp phép thơng tin, ví dụ: nĩi rõ nguồn

gốc và mức an ninh, sự phân loại của thơng tin

d) Can nhất quán giữa kiểm sốt truy nhập và chính sách phân loại thơng tin giữa các hệ thống và các mạng khác nhau

e) Mơ tả các luật liên quan và các điều khoản hợp đồng về việc bảo vệ truy

nhập dữ liệu và các dịch vụ

Ð Mơ tả sơ lược sự truy nhập hệ thơng của người đùng theo sự phân loại của cơng việc

Trang 35

GVHD: Th.S Lý Anh Tuần Phân Tích & Thiết Kế CSBM Cho Cơng Ty CSTN

g) Quan lý quyền truy nhập trong một mơi trường phân tán và nối mạng

(distributed and networked environment), mơi trường này chấp nhận tất cả các loại

kết nối cĩ thể

5.1.1.2 Các quy tắc kiểm sốt truy nhập (Aceess control rules):

Khi đặc tả các quy tắc kiểm sốt truy nhập cần chú ý đến các vấn đề sau:

a) Phải luơn tuân thủ các quy tác

b) Thiết lập các quy tắc dựa trên tiền đề “Tất cả đều bị cắm trừ những điều cho phép” hơn là tiền đề ngược lại“Tất cả đều được phép trừ những điều bị cắm”

c) Thay đổi nhãn thơng tin được thực hiện theo quy định

d)Thay đổi các quyền truy nhập của người dùng (user permissions) được hệ thống thực hiện tự động theo sự điều khiển của một người quản trị (administrator)

e) Các quy tắc cần cấp thâm quyền xác nhận trước khi ban hành 5.2 Quan ly truy nhap cua ngwdi ding (User access management):

Mục đích: để tránh các truy nhập khơng được cấp phép vào hệ thống

Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ đàng nhất cho attacker cĩ thể tấn cơng, như vậy những hình thức bảo mật khác

được áp dụng vào hệ thống như trang bị các cơng cụ chống maleware (prevent

virus, worm, spyware, ad-ware ), trién khai hé théng phong tha Mang (Firewall) cũng sẽ khơng cĩ tác dụng nao dang kể, vì Admin quá thờ ơ trong cách thức tạo

account và đưa ra chính sách tạo account chứa đựng nhiễu rủi ro này Chính vì vậy cần phải cĩ kế hoạch để kiểm sốt việc cấp quyền truy nhập hệ thống thơng tin và dịch vụ Các thủ tục này bao quát tất cả các yêu cầu về kiểm sốt truy nhập của người dùng, bắt đầu từ đăng ký người dùng mới tới việc huỷ quyên truy nhập của một người dùng cũ Chú ý tới các quyền truy nhập ưu tiên trong một số trường

hợp đặc biệt, quyền này cĩ thể cho phép người dùng bỏ qua sự kiểm sốt của hệ

thống

5.2.1 Đăng ký người dùng (User registration):

Cần một thủ tục hình thức để đăng ký người dùng mới và huỷ đăng ký một người dùng cũ Nội dung thủ tục gồm các yếu tố chính sau:

Trang 36

GVHD: Th.S Ly Anh Tuan Phan Tich & Thiét Ké CSBM Cho Céng Ty CSTN a) Sử dụng một ID duy nhất cho mỗi người dùng Cĩ thể nhĩm các ID thành từng nhĩm để để quản lý b) Account phai được bảo vệ bằng password phức hợp (password length, password complexity)

c) Kiém tra xem người dùng cĩ được cấp phép từ người quản lý hệ thơng hay khơng Một số trường hợp cĩ thê được sự chấp thuận quyền truy nhập từ cấp

quản lý cĩ thâm quyền

d) Kiểm tra mức độ truy nhập cĩ phù hợp với mục đích nghiệp vụ và nhất quán với chính sách an ninh của cơng ty hay khơng

e) Cho người dùng biết về quyền truy nhập của họ bằng văn bản

f) Yêu cầu ngườidùng ký vào văn bản đĩ để đảm bảo họ hiểu các điều kiện

truy nhập

ø) Đảm bảo nhà cung cấp dịch vụ khơng cấp quyền truy nhập cho đến khi

các thủ tục cấp phép đã hồn thành

h) Ghi lại vào số danh sách tat cả những người đã đăng ký sử dụng dịch vụ

1) Xố ngay tức khắc quyền truy nhập của người dùng đã thay đơi cơng việc hoặc đã dời khỏi cơng ty

j) Kiểm tra định kỳ và loại bỏ các ID dư thừa

k) Đảm bảo các ID dư thừa khơng được gán cho những người dùng khác Nội dung các vẫn đề trên phải tính đến các điều khoản trong hợp đồng cơng

ty ký kết với nhân viên và các hợp đồng dịch vụ 5.2.2 Quản ly wu tién (Privilege management):

Việc cấp và sử dụng các ưu tiên (bất cứ đặc tính hoặc điều kiện nào mà một

hệ thống đa người dùng cho phép người dùng vượt qua sự kiểm sốt của hệ thống)

phải được giới hạn và kiểm sốt chặt chẽ

Việc sử dụng khơng thích hợp các ưu tiên thường là một trong số các nguyên

nhân gây ra các hỏng hĩc của hệ thống Việc cấp quyền ưu tiên phải theo một quy

trình cấp phép hình thức Các bước sau nên được cân nhắc:

a) Xác định các ưu tiên liên quan đến phần mềm hệ thống và ứng dụng

Trang 37

b) Các ưu tiên được cấp cho các cá nhân theo nhu cầu thực tiễn hoặc theo

diễn biến của tình hình thực tế

c) Một quy trình cấp phép (authorization process) và một danh sách tất cả các ưu tiên đã cấp cần được duy trì và cập nhật thường xuyên Các ưu tiên chưa được chấp nhận cấp cho đến khi quy trình cấp phép hồn thành

đ) Mơ tả các cơng việc hàng ngày của hệ thống và mục đích của nĩ cần được phổ biến rộng rãi đẻ tránh việc cấp các ưu tiên (quá rộng) cho người ding

Mật khẩu là phương tiện được dùng để xác nhận một người khi truy nhập một hệ thống vì thế nĩ sẽ ảnh hưởng rất lớn đến cơng tác bảo mật Cho nên cần

phải cĩ các chính sách tạo password mạnh và đưa ra được chiến lược an tồn về account áp dụng vào an tồn thơng tin của cơng ty là vấn đề mang tính cấp bách

Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account, chính sách tạo password sao cho an tồn thực sư là một trong những yếu tố chính để bảo vệ tài khoản Chính sách này bao gồm các yếu tổ chính như sau:

- Thời gian tối đa sử dụng password (maximum password age): hạn sử dụng tối đa của password trước khi user phải thay đổi password Thay đổi

password theo dinh ki sé giúp tăng cường an tồn cho tài khoản

- Thời gian tối thiểu password phải được sử dụng trước khi cĩ thé thay đơi (minimum password age) Admin cĩ thể thiết lập thờigian này khoảng vài ngày,

trước khi cho phép user thay đổi password của họ

- Thực thi password history: số lần các password khác biệt nhau phải sử dụng qua, trước khi quay lại dùng password cũ Số Password history càng cao thì độ an tồn càng lớn

- Chiều dài password tối thiéu (minimum password length) cần phải đặt Càng dài càng an tồn

- Password phải đạt yêu cầu phức hợp: khơng chỉ về độ dài mà cịn về độ phức hợp của các kí tự đặt password (ví dụ bạn cĩ thể thấy sự khác biệt giữa password va P@ssWoOrd)

Trang 38

- Khi dùng password phức hợp cần quan tâm: khơng sử dụng họ và tên,

chứa ít nhất 6 kí tự, cĩ thể đan xen chữ hoa,(A Z) thường (a Z), và các ki tự đặc biét nhu: !@#$%*&*()

- Account lockout: Sé bi khéa tai khoan trong m6t thoi gian nhất định, nếu như sau một số lần log-on khơng thành cơng vào hệ thống Mục đích của chính sách này nhằm ngăn chặn các cuộc tan cơng dang brute force vao account để đị password

6 Bảo vệ chống lại các phần mém pha hoai (Protection against malicious software):

Mục đích: để bảo vệ sự tồn vẹn của phần mềm và thơng tin

Đối với các phần mềm phá hoại thì nguyên tắc phịng chống luơn được đề cao Phần mềm và các thiết bị xử lý thơng tin dễ bị tổn thương đối với viruses, sâu mạng, ngựa Trojan và bom logic Cần đề ra các biện pháp kiểm sốt nhằm phát hiện hoặc ngăn ngừa tác hại của phần mềm phá hoại

6.1 Kiểm sốt chống lại các phần mềm phá hoại (Protection against malicious

software):

Cài đặt các kiểm sốt và thủ tục bảo vệ hệ thống chống lại phần mềm phá

hoại như sau:

a) Chính sách an tồn thơng tin yêu cầu cơng ty tuân thủ luật bản quyền phan mềm, đồng thời ngăn cản sử dụng các phần mềm khơng được cấp phép

b) Chính sách yêu cầu các kiểm sốt chống lại rủi ro từ việc thu thập các

tệp và phần mềm từ các mạng bên ngồi

c) Cài đặt và cập nhật định kỳ các phần mềm chống virus, spyware d) Kiểm tra định kỳ các hệ thống trợ giúp quan trọng để xem cĩ phần mềm và đữ liệu nghỉ ngờ khơng Sự hiện diện của bất cứ phần mềm và tệp tài liệu

khơng được cấp phép cần phải được điều tra

e) Kiểm tra virus bất cứ tệp nào trên các thiết bị điện tử cĩ nguồn gốc

khơng rõ ràng

Trang 39

Ð Kiểm tra virus bat cứ email đáng nghi ngờ nào, việc kiểm tra được thực

hiện tại các vị trí khác nhau, ví dụ: tại mail servers, tại các PCs hoặc ngay khi truy

nhập vào mạng của cơng ty

ø) Các thủ tục quản lý và trách nhiệm diệt virus trên các hệ thơng, đào tạo sử dụng các phần mềm diệt virus, báo cáo và khơi phục lại sau các cuộc tấn cơng của virus

h) Các kế hoạch nghiệp vụ thích hợp để khơi phục hệ thống sau các cuộc

tấn cơng của virus, gồm việc sao lưu tất cả các dữ liệu cần thiết và khơi phục lại hệ thống từ các dữ liệu sao lưu này

1) Các thủ tục kiểm tra mọi thơng tin liên quan đến các phần mềm phá hoại và đảm bảo các bản tin cảnh báo phải thật chính xác và đầy đủ Các nhà quản lý phải cĩ đây đủ thơng tin từ các nguồn tin cậy (báo chí, Internet, các nhà cung cấp phần mềm diệt virus) để phân biệt sự khác nhau giữa các trị “chơi khăm” và virus

thực sự

7 Cơng việc thực hiện thường nhật của cơng ty:

Mục đích: đảm bảo tính tồn vẹn và tính sẵn sàng của các dịch vụ truyền thơng và xử lý thơng tin

Các thủ tục thực hiện hàng ngày được thiết lập để thực hiện chiến lược sao lưu dữ liệu, ghi lại các lỗi và các sự kiện và trong chừng mực cĩ thể, thực hiện

giám sát mơi trường của thiết bị

7,1 Sao lưu thơng tin (Information back-up):

Các bản sao lưu thơng tin nghiệp vụ cơ bản và phần mềm được thực hiện thường ngày Các thiết bị sao lưu thích hợp được cung cấp để đảm bảo mọi thơng

tin nghiệp vụ cơ bản và phần mềm cĩ thể được khơi phục sau những tai nạn hoặc hỏng hĩc thiết bị Sao lưu các hệ thống cá nhân được kiểm thử định kỳ để đảm bảo chúng luơn đáp ứng các yêu cầu của kế hoạch nghiệp vụ Các kiểm sốt sau cần

nên được quan tâm:

a) Sao lưu thơng tin ở mức tối thiểu, các số sách ghi chép đây đủ và phải

thật chính xác về các bản sao lưu, các thủ tục khơi phục được tài liệu hố, tất cả

Trang 40

GVHD: Th.S Ly Anh Tuan Phan Tích & Thiết Kế CSBM Cho Cơng Ty CSTN

được lưu trữ ở một vị trí xa, trong một khoảng cách vừa đủ để cĩ thể tránh tất cả

các đe doa từ vị trí chính thức Với các ứng dụng quan trong, it nhất phải lưu trữ 3 bản sao lưu

b) Thơng tin sao lưu cũng cần được bảo vệ về mặt mơi trường và vật lý ở mức thích hợp giống với các tiêu chuẩn đang dùng cho vị trí chính

c) Các thiết bị sao lưu được kiểm tra thường xuyên để đảm bảo chúng cĩ thể đáp ứng đúng các điều kiện khan cap khi cần thiết

đ) Các thủ tục khơi phục cần được kiểm tra và kiểm thử thường xuyên để đảm bảo chúng hoạt động hiệu quả và cĩ thể thực hiện trọn vẹn việc khơi phục trong thời gian đã được quy định trong thủ tục

7.2 Nhat ky van hanh (Operator logs):

Các nhân viên vận hành phải ghi chép nhật ký về hoạt động của họ Nội dung nhật ký bao gồm:

a) Thời điểm bắt đầu và kết thúc hệ thống b) Các lỗi phát sinh và các lỗi đã được sửa chữa

c) Xác nhận các kết quả tính tốn của máy tính là chính xác đ) Tên của người ghi nhật ký

Nhật ký vận hành được ghi thường xuyên và việc kiểm tra độc lập với các thủ tục vận hành

7.3 Báo cáo lỗi (Fault logging):

Thực hiện các báo cáo lỗi phát sinh và các lỗi đã được sửa chữa theo các chú

y sau:

a) Sốt xét các ghi chép lỗi để đảm bảo chúng đã được giải quyết thấu đáo b) Kiểm tra để đảm bảo rằng các kiểm sốt khơng bị dàn xếp, các sửa chữa đã được cấp phép

8 Quan tri mang (Network management):

Mục đích: dam bảo an toan théng tin trén mang va bao vệ cơ sở hạ tang ky thuật

Định dạng
Số trang	107
Dung lượng	5,36 MB