HEE ENE HE RENE ENE HE ENE HONE HE HE NE
Trang 2Giới thiệu
Những kinh nghiệm trình bày trong bài viết này được đúc kết qua những
công việc thực tế mà tôi đã từng thực hiện tại một công ty thé chap tai san
Công ty bao gồm các chi nhánh văn phòng và các ngân hàng điện tử, ngân hàng trực tuyến Với cương vị là người phụ trách về an tồn thơng tin trong công ty việc đầu tiên tôi cần phải làm là vẫn đề an toàn, bảo mật xuyên suốt công ty Công ty thế chấp tài sản và tất cả các hệ thống của nó phải được quản lý dưới cùng một tiêu chuẩn về bảo mật dùng trong ngân hàng
Bạn sẽ tìm được ở đây các báo cáo đê cập đên các nghiên cứu và kêt quả mà
tôi đã vạch ra từ trước nhăm thực hiện và áp dụng vân đề bảo mật thông tin
trong công ty này, cũng như các mục tiêu nhăm bảo đảm thành công của chúng tôi khi mạo hiêm đâu tư vào ngân hàng điện tử
Với thời gian nhỏ hơn 90 ngày tính đến khi ngân hàng mở cửa khai trương hoạt động (cả ngân hàng thông thường và ngân hàng điện tử), tôi cần có một kế hoạch nghiêm túc đối phó với các tân công Các nghiên cứu chỉ ra rằng
một kế hoạch và kiểm tra sẽ là nhân tố thành công của bảo mật Sau khi
Trang 3đây để quản lý về bảo mật và chuẩn bị cho việc xây dựng chế độ an ninh cho ngân hàng mới mở
Thu thập thông tin
Bạn hãy tìm hiểu xem hệ thong của bạn làm việc như thé nao va tu dao tao
mình về an toàn, bảo mật thông tin Hãy bắt đầu công việc quản lý an tồn
thơng tin bằng cách thu thập và đánh giá dựa trên các dữ liệu đã có Sau đó, tôi giữ lại bản sao của tất cả các chính sách, thủ tục, các bài học, các đánh giả về rủi ro, các xác nhận, chứng thực, các ứng dụng có trong hệ thống (phần
mêm), và sơ đồ mạng Các tài liệu về mạng, về phân cứng, và về ứng dụng cũng được thu thập đầy đủ Chúng được xem xét tổng hợp lại trên cơ
sở những hiệu biết của tôi vê các sản phâm thương mại và văn hóa công ty
Các chính sách bị mất mát, thiếu sót được chi chép lại, và các biểu đồ tiễn
trình thực hiện đã giúp tôi hiểu rõ ràng về các chính sách trong hệ thống
thông tin đã có và các thủ tục, các kiên trúc, và các cơ sở hạ tâng
Chính sách bảo mật
Một hệ thống an toàn, bảo mật tốt bắt đầu từ một chính sách rõ ràng có thê
Trang 4dé xem xét nhiều mặt của chính sách an toàn, bảo mật, cũng như nắm bắt và báo cáo về các rủi ro, thiệt hại do tân công Bạn cũng có thê tham khảo các tài liệu tốt nhất về chính sách an toàn, bảo mật áp dụng cho ngân hàng tại
nhiều website như: Federal Financial Institutions Examination Council
(FFIEC), Office of Thrift Supervision (OTS), and the Office of the Comptroller of the Currency (OCC)
Theo luật định, các tập đồn viên thơng, và cac chuyén gia vé nguon nhan luc
cân xem xét một cách toàn diện chính sách an toàn, bảo mật Chính sách an toàn, bảo mật cân phải bao gôm kê hoạch bảo mật đê đảm bảo thông nhật với
tât cả các kiên trúc và các đôi tượng hiện có trong tồn cơng ty Đánh giá rủi ro/Phân tích lỗ hông
Quản lý rủi ro là một quá trình xác định tiết lộ bảo mật và các giải pháp đã được khuyến cáo Nó nhăm mục đích cung cấp cho nhà quản lý các thông tin về rủi ro và các hành động khắc phục cân thiết Có trong tay các đánh giá, người quản trị có thê ra các quyết định làm như thế nào để bảo vệ các thông tin của họ Tôi sử dụng một công cụ đánh giá rủi ro để giúp tôi phát hiện các
lỗ hồng có thê đe dọa đến tính bí mật, tính toàn vẹn, và tính sẵn sàng của
Trang 5được những người có trách nhiệm quyết định xem mức độ rủi ro có thể chấp
nhận được hay không Các rủi ro được chấp nhận sẽ được xem xét lại và hỗ
trợ cho việc tài liệu hóa quá trình giải quyết các lỗi vi phạm Các rủi ro không
được chấp nhận sẽ đòi hỏi phải có kế hoạch hành động sửa chữa để loại trừ
hay giảm thiêu rủi ro
Với các dữ liệu thu thập được và một đánh giá đây đủ về rủi ro, bước tiếp
theo là thực hiện phân tích các lỗ hồng của hệ thông Trên cơ sở các bài học của FFIEC IS, tôi tiễn hành xác định các lỗ hồng và phác thảo ra một kế hoạch hành động Với các trang bị về đánh giá rủi ro/phân tích lỗ hồng và
một kế hoạch cho dự án, tôi bắt đầu chuẩn bị kế hoạch bảo mật của cá nhân
Nhận thức về bảo mật
Một tháng sau khi ngân hàng mở cửa; tôi thuê một nhà cung cấp an toàn, bảo mật để giúp đỡ tôi trong việc nhận thức nó tốt hơn Chúng tôi cùng xem xét một vài Website về an toàn, bảo mật (cả về nhà cung cấp và thực hiện) và tổ chức vài cuộc họp bàn về những kết quả mà chúng tôi học được trong lĩnh
vực bảo mật Các khoá đào tạo về bảo mật đưa ra rất nhiều câu hỏi và trả lời
Trang 6vào vấn đề an toàn, bảo mật Việc hình thành báo cáo nóng 7x24, cùng với sự
kết hợp của phòng quản lý nhân sự đã giúp đỡ tôi thực hiện đào tạo về an toàn, bảo mật cho những thành viên mới
Đề giữ vấn đề an toàn, bảo mật ở vị trí hàng đầu, việc tiếp tục trao đối thông tin và đào tạo về an toàn, bảo mật cần được khuyến khích thực hiện Các
thông tin và cảnh báo về an toàn bảo mật thường xuyên được trao đôi qua thư điện tử và đưa lên Website nội bộ Vấn để quan trọng là vẫn phải tiếp tục
nhắc nhở các thành viên về trách nhiệm giữ gìn an toàn bảo mật của họ Proactive Measures
Công việc an toàn, bảo mật đòi hỏi một sự đầu tư lớn vào công nghệ, dịch vụ,
con người, và các thay đối thường xuyên trong văn hóa cơng ty An tồn bảo mật thông tin bao gồm cả phát hiện truy cập trái phép, giám sát, theo dõi, xác
định ranh giới về các tiêu chuẩn, kiểm tra và đào tạo kỹ thuật Các theo dõi
giám sát trực tiếp sẽ giúp cho phát hiện các bất thường hoặc xâm nhập trái phép vào hệ thông mạng của bạn
Dưới đây là các cách thức để xiết chặt bảo mật trên hệ thông Unix:
Trang 7‹ _ Cài đặt các bản sửa lỗi thường xuyên
- _ Thực hiện theo dõi root UID của hệ thông
‹ - Hạn chế tất cả các dịch vụ, tiễn trình không cân thiết
‹ _ Xiết chặt câu hình của tất cả dịch vụ, tiễn trình hiện có trên mạng
‹ _ Làm cho hạt nhân của hệ thông thật vững chắc „‹ _ Cài đặt hệ thống phát hiện truy cập trái phép
- Dao tao vé quan tri hé thong (SysAdmin) va đào tạo người dùng cuỗi
(End-users)
Tổ chức của bạn cần phải kiểm tra vấn đề an toàn, bảo mật bên trong tô chức băng cách kiểm tra các liên lạc với bên ngoài dẫn đến lỗ hồng Việc đánh giá lỗ hồng bảo mật sẽ giúp bạn hiểu được các rủi ro đã được phát hiện trong tô
chức Việc thực hiện kiểm tra bang một tô chức tin cậy độc lập bên ngoài sẽ chỉ ra cho tô chức của bạn đôi tượng cân bảo mật
Trong khi có nhiều thứ cần phải cải thiện, các lỗ hồng dễ dàng được sửa chữa Các máy chủ (UnIx và NT) chạy trên các dịch vụ không cần thiết, chang han nhu ftp, finger, mail, cần được điều chỉnh lại Mỗi một dịch vụ
Trang 8cập trái phép và dò tìm lỗ hồng cũng cân đề cập đến trong kế hoạch, chính
sách an toàn, bảo mật
Giám sát bảo mật và kiểm tra cần được quan tâm thích hợp, những các công
cụ hỗ trợ đang được nghiên cứu Các chính sách đã có hướng dẫn kiểm tra để xem Xét lại các quá trình truy cập của người dùng trước đây Quá trình xem xét bao gồm quá trình làm việc với những người quản lý và những người sở hữu thông tin để xem xét lại các truy cập đến thông tin Các thông báo được chuyền đi dựa trên những truy cập đã được biết Một việc cũng rất quan trọng là áp dụng đúng các mức truy cập tương ứng với những kỹ năng cân thiết để
thực hiện công việc
Kê hoạch bảo mật
Cuối cùng, nhưng không phải không quan trọng là kế hoạch bảo mật Theo
sách hướng dẫn thực hiện của FFIEC, các tô chức cần phải đề ra các kế
Trang 9tạo, các khía cạnh về vật lý và môi trường, lập kế hoạch đối phó với bất ngờ, đối phó với các thiệt hại, điều khiến truy cập, báo cáo, và thay đôi cấp quản
lý Các kế hoạch đã có từ trước cho phép tô chức ưu tiên ngân sách, tài
nguyên, và phát triển một chiến lược thực hiện
Kết luận
Quản lý an tồn thơng tin bao gom viết chính sách, đào tạo và nhận thức,
quản lý cầu hình, theo dõi, tìm kiếm, hoặc kiếm tra Quản lý an tồn thơng tin không bao gôm công nghệ, nhưng cũng liên quan đến phát triển, và duy trì một hệ thống thông tin ở tình trạng hoạt động tốt Rõ ràng rằng, sự trao đôi
thông tin, và chính sách bắt buộc là chìa khóa của an toàn, bảo mật
Thông tin là một trong những tài sản giá trị nhất của bất kỳ một tổ chức nào Bạn phải xem xét xem thông tin gì có giá trỊ, và có cách bảo vệ nó tương
xứng Các lễ hồng bao mat can phai duoc xac dinh, giam thiêu về số lượng, loại trừ hoặc ghi nhận dé mo rong thuc hanh bao mat va kha thi vé mat kinh
tế An toàn, bảo mật máy tính bao gồm mọi thứ từ các chính sách còn chưa
được duyệt; đến các tập tin chứa thông tin về cấu trúc mạng cần bảo vệ và
Trang 10Nhu da dé cập an toàn, bảo mật là một van dé rat quan trọng trong các ngân
hang trực tuyến Các công ty hoạt động về lĩnh vực ngân hàng điện tử cần
phải kiểm tra không chỉ mật khâu, sự mã hóa thông tin, mà còn cần đảm bao
các quy trình nghiệp vụ cơ bản đê chông lại các tân công của các hacker Điều cuỗi cùng, đừng nghĩ rằng bạn đã có thể nghỉ ngơi và thư giãn trong các
vinh quang mà bạn đã đạt được Mạng máy tính của bạn không tĩnh lặng, Lỗ
hồng và sự tấn công luôn xảy ra hằng ngày Là một người quản lý an toàn bảo mật thông tin bạn phải luôn tập trung và giữ gìn thành quả hiện tại Hãy
xem lại các chính sách, các thủ tục, và kế hoạch bảo mật một cách căn bản (ít
nhất theo hàng năm) Bạn nên đăng ký vào một nhóm thảo luận (mailing list) để cập nhật các lời khuyên và cảnh báo Hãy trao đôi với các chuyên gia
về an toàn, bảo mật khác trong tô chức của bạn, chuyện trò, hội thảo, đào tạo
Và theo dõi các phân mêm sửa lôi
Các địa chỉ tham khảo:
(1) Federal Financial Institutions Examination Council Information
Trang 11(2) Lundquist, Eric Key Lessons Learned About Secty eWeek August 06, 2000 http://www.zdnet.com/ecommerce/stories/main/0,10475,2611953,00.html (3) Vaas, Lisa Security Checkup eWeek August 13, 2000 http://www.zdnet.com/ecommerce/stories/main/O, 10475 ,2613074- 3,00.html (4) IBM Research Securing Your eBusiness: 10 Tips for Protecting On-line Companies February 15, 2000 http://www.research.ibm.com/news/detail/10_ tips.html (5) Beale, Jay How Do I Tighten Security On My System? August 01, 2000 http://www.securityportal.com/Iskb/articles.html
(6) Ferguson, Renee Boucher, McCright, John S Banks Cashing In On The Net eWeek August 25, 2000
http://www.zdnet.com/ecommerce/stories/main/O, 10475,2620239-
Trang 12
(7) DeVoney, Chris Step Up Your IT Security August 22, 2000
http://www.zdnet.com/filters/printerfriendly/0,6061 ,2618285-92,00 html