QUI TRÌNH KHO SÁT AN NINH MNG DOANH NGHIEP I Tưng la lp ngoài Chính sách ti tu ng l a lp ngoài. Truy cap t Internet, mng bên ngoài vào mng Câm truy cap t bên ngoài vào mng riêng bên trong (private network) Có Không có Không xác ñnh Câm truy cap tep tin t bên ngoài vào. Có Không có Không xác ñnh Nêu thiêt lap vùng DMZ ch ñưc phép truy cap các cong sau ñây vi mot sô ñôi tưng (các trư ng hp còn li ñêu b câm) WebServer. Ch ñưc phép truy cap vô danh vi cong 80. Có Không có Không xác ñnh Cho phép ngư i qun tr WEB server truy cap FTP có xác thc ti cong 21 và 20 (Có the xác thc phân quyên trên TL) ch ñưc t phân vùng qun tr (vi ña ch IP riêng). Có Không có Không xác ñnh T mng an toàn, ch có the t vùng qun lý qun tr (vi IP ca qun tr) có the truy cap t xa theo giao thc rsh lên WEB server.
2 Bis ðinh Tiên Hoàng,DaKao, Quận 1, Tp HCM www.athena.com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 1 | P a g e QUI TRÌNH KHẢO SÁT AN NINH MẠNG DOANH NGHIỆP I/ Tường lửa lớp ngoài Chính sách tại tuờng lửa lớp ngoài. Truy cập từ Internet, mạng bên ngoài vào mạng Cấm truy cập từ bên ngoài vào mạng riêng bên trong (private network) - Có - Không có - Không xác ñịnh Cấm truy cập tệp tin từ bên ngoài vào. - Có - Không có - Không xác ñịnh Nếu thiết lập vùng DMZ chỉ ñược phép truy cập các cổng sau ñây với một số ñối tượng (các trường hợp còn lại ñều bị cấm) Web-Server. Chỉ ñược phép truy cập vô danh với cổng 80. - Có - Không có - Không xác ñịnh Cho phép người quản trị WEB server truy cập FTP có xác thực tới cổng 21 và 20 (Có thể xác thực /phân quyền trên TL) chỉ ñược từ phân vùng quản trị (với ñịa chỉ IP riêng). - Có - Không có - Không xác ñịnh Từ mạng an toàn, chỉ có thể từ vùng quản lý quản trị (với IP của quản trị) có thể truy cập từ xa theo giao thức rsh lên WEB- server. - Có 2 Bis ðinh Tiên Hoàng,DaKao, Quận 1, Tp HCM www.athena.com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 2 | P a g e - Không có - Không xác ñịnh Mail-Server (SMTP và POP3) Chỉ cho phép truy cập từ mạng nội bộ tới cổng POP3 – 110, ngoại trừ mạng con Phòng nghiên cứu, ñào tạo. - Có - Không có - Không xác ñịnh Chỉ cho phép truy cập dịch vụ SMTP – cổng 25 từ mạng nội bộ, ngoại trừ mạng con Phòng nghiên cứu, ñào tạo. - Có - Không có - Không xác ñịnh Truy cập từ mạng <T Ổ CH ỨC-CÔNG TY> lên Internet ñược phép không hạn chế. Sử dụng Thư ñiện tử. Phải ñảm bảo khả năng gửi nhận thư một cách an toàn thông qua máy chủ <TỔ CHỨC-CÔNG TY> qua Internet. - Có - Không có - Không xác ñịnh Sử dụng hệ thống phòng phát hiện xâm nhập (IDS - Intrusion Detection System). - Có - Không có - Không xác ñịnh Có thể sử dụng hệ thống ISS Real Secure hoặc bất kỳ loại nào có tính năng tương tự (nếu sử dụng sản phẩm FW của ChekPoint với khả năng kết hợp các tính năng của ISS Real Secure (RS) ta có thể tự ñộng cấu hình lại FW trong trường hợp phát hiện xâm nhập). 2 Bis ðinh Tiên Hoàng,DaKao, Quận 1, Tp HCM www.athena.com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 3 | P a g e Console ñiều khiển của RS nằm tại segment quản trị hệ thống hoặc tại segment local. Kiểm tra password e-mail : Có thể sniffer ñược password e-mail công ty không ? Kiểm tra tính xâm nhập server : Có thể hacking ñược server nội bộ không? Kiểm soát nội dung lưu thông. - Có - Không có - Không xác ñịnh ðể kiểm soát nội dung thông báo ta có thể sử dụng hệ thống kiểm soát và phân tích thông báo dạng MIME Sweeper Batimore. Ghi biên bản và giám sát truy cập. Ghi nhật ký tại tường lửa, toàn bộ các giao dịch (mọi cố gắng thiết lập kết nối) với mạng <TỔ CHỨC-CÔNG TY>.Log file phải ñược bảo vệ tại chỗ và từ xa. - Có - Không có - Không xác ñịnh Hệ thống phát hiện xâm nhập lưu giữ thông tin về các cuộc tấn công và các hành vi khả nghi vào tệp nhật ký. Log file phải ñược lưu tại chỗ và từ xa. - Có - Không có - Không xác ñịnh Web Server lưu thông tin về khách hàng viếng thăm trang web vào tệp nhật ký. - Có - Không có - Không xác ñịnh Server phân tích nội dung lưu những thông tin về các vi phạm vào tệp nhật ký. 2 Bis ðinh Tiên Hoàng,DaKao, Quận 1, Tp HCM www.athena.com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 4 | P a g e - Có - Không có - Không xác ñịnh An Ninh Mạng nội bộ (máy trạm và máy chủ) Kiểm soát virus. Bắt buộc phải kiểm soát virus trên các máy trạm. - Có - Không có - Không xác ñịnh Bắt buộc tự ñộng khởi ñộng giám sát virus (antivirus monitoring) tự ñộng cập nhật từ Internet it nhất hàng tuần. - Có - Không có - Không xác ñịnh Bảo vệ chống lại các hành vi trái phép. Thiết lập các chế ñộ bảo vệ máy tính khỏi các hành vi khởi ñộng, sử dụng trái phép các máy trạm, máy chủ ở mức thiết bị. Hệ thống cần phải: Không phụ thuộc vào hệ ñiều hành - Có - Không có - Không xác ñịnh Khi khởi ñộng, người dùng phải ñược xác thực bằng cơ chế xác thực 2 thành phần. - Có - Không có - Không xác ñịnh Cấm tất cả mọi người, trừ quản trị ñược truy cập “setup” của các máy trạm và máy chủ. - Có - Không có - Không xác ñịnh Khóa máy, nếu người dùng rời chỗ làm việc (không nhấn phím, timeout…) - Có 2 Bis ðinh Tiên Hoàng,DaKao, Quận 1, Tp HCM www.athena.com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 5 | P a g e - Không có - Không xác ñịnh Bảo vệ bằng mật mã ñối với dữ liệu Dữ liệu có mức từ “tuyệt mật” ñược bảo vệ ở dạng mật mã do lãnh ñạo Cong ty chuẩn y - Có - Không có - Không xác ñịnh Bảo vệ bằng tường lửa cá nhân. Tất cả các máy tính cơ ñộng ñều phải ñược bảo vệ bằng tường lửa cá nhân. - Có - Không có - Không xác ñịnh Lưu trữ dự phòng dữ liệu. Bắt buộc lưu trữ dự phòng ñối với các dữ liệu quan trọng trên các máy tính cá nhân và máy chủ trong mạng <CÔNG TY> - Có - Không có - Không xác ñịnh Bắt buộc phải có disk-backup trên máy chủ dữ liệu. Backup thực hiện hàng tuần hoặc sau mỗi lần thay ñổi lớn của hệ thống. Cần lưu trử ít nhất 3 chu kỳ backup. - Có - Không có - Không xác ñịnh Kiểm soát truy cập Ghi nhật ký tất cả các truy cập tại chỗ của người dùng vào các máy trạm làm việc (kiểm soát cả các truy cập thành công và không thành công vào hệ thống). - Có - Không có - Không xác ñịnh 2 Bis ðinh Tiên Hoàng,DaKao, Quận 1, Tp HCM www.athena.com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 6 | P a g e Ghi nhật ký tất cả các truy cập tại chỗ của người quản trị vào các máy chủ (kiểm soát tất cả các truy cập thành công và không thành công). - Có - Không có - Không xác ñịnh An Toàn Thông Tin Vật lý Tường lửa, máy chủ WEB, mail, IPS… tất cả phải ñược bố trí trong phòng riêng biệt có khóa và chỉ các quản trị hệ thống mới có quyền vào (có chìa khóa hoặc thẻ từ ñể mở, phòng thường xuyên khóa). Sử dụng mật khẩu kép: một phần mật khẩu quản trị do CIO giữ và phần còn lại do ISO giữ. - Có - Không có - Không xác ñịnh Phòng máy phải ñược trang bị thông gió bắt buộc và thiết bị chữa cháy (tự ñộng hoặc bán tự ñộng) và nếu có thể, hệ thống camera quan sát. - Có - Không có - Không xác ñịnh Chỉ có thể thâm nhập vào văn phòng của <CÔNG TY> bằng thẻ từ. - Có - Không có - Không xác ñịnh Phân loại tài nguyên thông tin - Vai trò và trách nhiệm Xác ñịnh trách nhiệm cá nhân Lãnh ñạo (Giám ñốc, phó giám ñốc): chịu trách nhiệm toàn diện ñối với chiến lược ATTT và phải huy ñộng mọi nguồn lực có ñược ñể loại trừ các nguy cơ ñối với hoạt ñộng kinh doanh của <TỔ CHỨC-CÔNG TY> DL. ðồng thời là người chịu trách nhiệm phổ biến chiến lược và thiêt lập nên văn hóa nhận thức An toàn Thông tin cho toàn thể cán bộ nhân viên. - Có 2 Bis ðinh Tiên Hoàng,DaKao, Quận 1, Tp HCM www.athena.com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 7 | P a g e - Không có - Chưa xác ñịnh Quản lý ATTT: ISM (Information Secuity Manager) Chịu trách nhiệm ATTT cho toàn Trung Tâm Máy Tính. Người quản lý ATTT xác ñịnh nguyên tắc chỉ ñạo ATTT cùng các qui trình thực hiện. ISM cũng chịu trách nhiệm về sự quản lý nhận thức và khuyến cáo một cách ñúng ñắn trong những trường hợp vi phạm về ATTT. ISM có thể tiến hành các ñánh giá rủi ro. ðiều quan trọng là ISM luôn ñược cập nhật các vấn ñề, các rủi ro và các giải pháp mới nhất. Thường xuyên ñiều phối hoạt ñộng với các công ty ñối tác, các tổ chức ATTT. - Có - Không có - Chưa xác ñịnh Các trưởng phòng: (Hành chính, Công nghệ phần mềm, Kỹ thuật, Nghiên cứu ñào tạo) là những người trực tiếp chịu trách nhiệm ñối với các dữ liệu của ñơn vị mình , các hoạt ñộng kinh doanh và báo cáo trực tiếp cho lãnh ñạo cao nhất - Có - Không có - Chưa xác ñịnh Phòng kỹ thuật: Lắp ñặt , triển khai và bảo trì các hệ thống. Phải có một bản thỏa thuận xác ñịnh vai trò và trách nhiệm của phòng kỹ thuật với các các ñối tượng ñược phục vụ.Người quản trị hệ thống và quản trị ATTT thuộc biên chế phòng Kỹ thuật và là những người chịu trách nhiệm áp dụng một cách ñúng ñắn cơ chế bảo mật ATTT. - Có - Không có - Không xác ñịnh Thiết kế viên hệ thống: Là người phát triển hệ thống, có vai trò quan trọng ñảm bảo cho một hệ thống ñược khai thác một cách an toàn. Một hệ thống mới ñược phát triển phải ñược tính trước tới các yêu cầu về ATTT tại ngay từ giai ñoạn khởi ñầu. - Có - Không có - Không xác ñịnh 2 Bis ðinh Tiên Hoàng,DaKao, Quận 1, Tp HCM www.athena.com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 8 | P a g e Project Leaders: Thực hiện các hướng dẫn về An toàn Thông tin trong dự án. - Có - Không có - Không xác ñịnh Các trưởng nhóm: ðảm bảo mọi thành viên trong nhóm hoàn toàn nhận thức ñầy ñủ về chính sách ATTT và không làm gì gây xung ñột, trái với chính sách ATTT. Hiệu lực hóa chính sách và kiểm tra thực thi ATTT. - Có - Không có - Không xác ñịnh Người dùng: Từng nhân viên của <CÔNG TY> chịu trách nhiệm ñối với các hoạt ñộng của mình. Nhận thức ñược chính sách ATTT của Trung Tâm, hiểu rõ tầm quan trọng của công việc và có hành ñộng thích ứng. - Có - Không có - Chưa xác ñịnh Kiểm toán ATTT: Là người ñộc lập có thể thuộc <CÔNG TY> hoặc không, là người kiểm tra tình hình ATTT, rất giống cách các kiểm toán viên tài chính kiểm tra các bản ghi tài khoản. Kiểm toán viên ATTT phải ñộc lập, không bị ảnh hưởng của các quản trị ATTT. Thông thường, các nhà tư vấn thực hiện vai trò này. - Có - Không có - Chưa xác ñịnh Phân loại tài nguyên. a . Trong <CÔNG TY> có các mức phân loại ñộ mật của thông tin như sau ( Nếu không có a) thì bỏ luôn b) Thông tin “Công khai” - Có - Không có - Không xác ñịnh 2 Bis ðinh Tiên Hoàng,DaKao, Quận 1, Tp HCM www.athena.com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 9 | P a g e Thông tin “Nội bộ” - Có - Không có - Không xác ñịnh Thông tin “Mật” - Có - Không có - Không xác ñịnh Thông tin “Tuyệt mật”. - Có - Không có - Không xác ñịnh b. Ra quyết ñịnh ñộ mật Tổng giám ñốc hoặc giám ñốc kỹ thuật của <CÔNG TY>.Ra quyết ñịnh thông tin ở mức “Công khai” - Có - Không có - Không xác ñịnh Ra quyết ñịnh ñộ mật là “Mật” của thông tin kỹ thuật là Phó Giám ñốc kỹ thuật <CÔNG TY> - Có - Không có - Không xác ñịnh Ra quyết ñịnh ñộ mật là “Tuyệt Mật” của thông tin tài chính là tổng giám ñốc <TỔ CHỨC- CÔNG TY>. Ra quyết ñịnh ñộ mật là “Tuyệt Mật” của thông tin kỹ thuật là Giám ñốc kỹ thuật <TỔ CHỨC-CÔNG TY> - Có - Không có 2 Bis ðinh Tiên Hoàng,DaKao, Quận 1, Tp HCM www.athena.com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 10 | P a g e - Không xác ñịnh 9. Vai trò và trách nhiệm. Phân loại người sử dụng a. Trong <CÔNG TY> có phân loại những người dùng như sau: Nhóm các quản trị: gồm có quản trị CNTT (IT-Manager) và quản trị ATTT (IS-manager). Các quản trị có toàn quyền truy cập các tài nguyên của <TỔ CHỨC-CÔNG TY> với mục ñích quản trị. - Có - Không có - Không xác ñịnh Nhóm các nhà quản lý: gồm Giám ñốc , (các) Phó Giám ñốc , Trưởng, phó các phòng chuyên môn. - Có - Không có - Không xác ñịnh Nhóm nhân viên: gồm toàn thể cán bộ, nhân viên của <TỔ CHỨC-CÔNG TY> - Có - Không có - Không xác ñịnh Nhóm tập sự, thực tập sinh: thành viên của nhóm tương ứng có thể ñược phép truy cập thông tin có ñộ mật cao hơn chỉ khi ñược phép bằng văn bản của người có thẩm quyền nhóm lãnh ñạo. - Có - Không có - Không xác ñịnh Quy trình tiếp cận với các thông tin thuộc diện ñược bảo vệ. Có phân loại các hoạt ñộng sau ñây ñối với thông tin: Sao chép; Lữu trữ; Gửi bằng bưu ñiện, Fax, Email; Truyền thoại, kể cả ñiện thoại di ñộng, thư thoại; Tiêu hủy. - Có - Không có [...]... c v i v t mang tin a Các v t mang tin ph i ñư c ki m soát và b o v - Có - Không có - Không xác ñ nh b Qu n lý các v t mang trao ñ i ñư c T t c các v t mang h t h n s d ng ph i ñư c h y theo trình t qui ñ nh - Có - Không có - Không xác ñ nh Tài li u nghiên c u và th c hi n ki m tra an ninh m ng doanh nghi p c a an ninh m ng ATHENA Page 26 | 2 Bis ðinh Tiên Hoàng,DaKao, Qu n 1, Tp HCM www .athena. com.vn... t c sao lưu d phòng và ñ m b o ho t ñ ng liên t c c a công vi c - Có - Không có - Không xác ñ nh Ki m soát và giám sát an ninh - Có - Không có - Không xác ñ nh Vô hi u hóa s cho phép, quy n truy c p t xa và hoàn tr trang b (n u có) khi k t thúc công vi c, nhi m v - Có - Không có - Không xác ñ nh Tài li u nghiên c u và th c hi n ki m tra an ninh m ng doanh nghi p c a an ninh m ng ATHENA Page 35 | 2... thi t b m t cách an toàn Thi t b lưu tr thông tin ch a các d li u quan tr ng, khi thanh lý c n ñư c tiêu h y v t lý ho c ti n hành h y m t cách an toàn (xóa thông tin nhi u l n ho c xóa trên m c v t lý) - Có - Không có - Không xác ñ nh Tài li u nghiên c u và th c hi n ki m tra an ninh m ng doanh nghi p c a an ninh m ng ATHENA Page 18 | 2 Bis ðinh Tiên Hoàng,DaKao, Qu n 1, Tp HCM www .athena. com.vn Tel... User name và m t kh u c a mình ñ truy c p tài nguyên m ng - Có - Không có - Không xác ñ nh Nghiêm c m (t t c cá nhân bao g m c lãnh ñ o) thi t l p modem t i ch làm vi c mà không ñư c phép c a qu n tr ATTT và phê chu n c a Giám ñ c k thu t Tài li u nghiên c u và th c hi n ki m tra an ninh m ng doanh nghi p c a an ninh m ng ATHENA Page 20 | 2 Bis ðinh Tiên Hoàng,DaKao, Qu n 1, Tp HCM www .athena. com.vn... gian, ngày tháng c a các s ki n quan tr ng - Có - Không có - Không xác ñ nh Các lo i s ki n (event) - Có - Không có - Không xác ñ nh Các yêu c u.( requets) - Có - Không có Tài li u nghiên c u và th c hi n ki m tra an ninh m ng doanh nghi p c a an ninh m ng ATHENA Page 24 | 2 Bis ðinh Tiên Hoàng,DaKao, Qu n 1, Tp HCM www .athena. com.vn Tel : 1900 54 54 56 – 090 7879 477 - Không xác ñ nh Các ph n m m và. .. c n ph i ñi u tra - Có - Không có - Không xác ñ nh ðóng màn hình theo dõi virus t i các máy làm vi c và máy ch - Có Tài li u nghiên c u và th c hi n ki m tra an ninh m ng doanh nghi p c a an ninh m ng ATHENA Page 15 | 2 Bis ðinh Tiên Hoàng,DaKao, Qu n 1, Tp HCM www .athena. com.vn Tel : 1900 54 54 56 – 090 7879 477 - Không có - Không xác ñ nh Khi c n ph i t t màn hình theo dõi virus (antivirus monitoring)... công và không thành công - Có - Không có - Không xác ñ nh S d ng m t kh u ch t lư ng khi s d ng h th ng xác th c - Có - Không có Tài li u nghiên c u và th c hi n ki m tra an ninh m ng doanh nghi p c a an ninh m ng ATHENA Page 30 | 2 Bis ðinh Tiên Hoàng,DaKao, Qu n 1, Tp HCM www .athena. com.vn Tel : 1900 54 54 56 – 090 7879 477 - Không xác ñ nh Khi c n, h n ch th i gian truy c p c a ngư i dùng vào h... “tuy t m t” ch có ngư i dùng thu c nhóm “lãnh ñ o” - Có - Không có Tài li u nghiên c u và th c hi n ki m tra an ninh m ng doanh nghi p c a an ninh m ng ATHENA Page 12 | 2 Bis ðinh Tiên Hoàng,DaKao, Qu n 1, Tp HCM www .athena. com.vn Tel : 1900 54 54 56 – 090 7879 477 - Không xác ñ nh 10 ` Nh ng qui t c, yêu c u và hư ng d n ñ m b o An Ninh M ng n i b a) Qui t c b o v b ng m t kh u Chi u dài m t kh u... thúc phiên làm vi c c p máy ch (không t t ngang máy tr m) - Có - Không có - Không xác ñ nh T t hi n th giám sát virus và tư ng l a cá nhân khi không ñư c phép c a qu n tr ATTT - Có - Không có - Không xác ñ nh Tài li u nghiên c u và th c hi n ki m tra an ninh m ng doanh nghi p c a an ninh m ng ATHENA Page 21 | 2 Bis ðinh Tiên Hoàng,DaKao, Qu n 1, Tp HCM www .athena. com.vn Tel : 1900 54 54 56 – 090 7879... ng - Có - Không có Tài li u nghiên c u và th c hi n ki m tra an ninh m ng doanh nghi p c a an ninh m ng ATHENA Page 23 | 2 Bis ðinh Tiên Hoàng,DaKao, Qu n 1, Tp HCM www .athena. com.vn Tel : 1900 54 54 56 – 090 7879 477 - Không xác ñ nh Phân tích các bi n pháp ñã th c hi n liên quan các qui trình kh c ph c h u qu - Có - Không có - Không xác ñ nh 15 Nh ng yêu c u giám sát truy c p và s d ng h th ng, . www .athena. com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 1 | P a g e QUI TRÌNH KHẢO SÁT AN NINH. Hoàng,DaKao, Quận 1, Tp HCM www .athena. com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 3 | P a g e Console. Hoàng,DaKao, Quận 1, Tp HCM www .athena. com.vn . Tel : 1900 54 54 56 – 090 7879 477 Tài liệu nghiên cứu và thực hiện kiểm tra an ninh mạng doanh nghiệp của an ninh mạng ATHENA 4 | P a g e - Có