3/ Thiết kế lại hệ thống mạng với tính bảo mật tốt nhất
3.3.9/ Vấn đề con người trong bảo mật hệ thống:
Con người luôn là trung tâm của tất cả các hệ thống bảo mật, bởi vì tất cả các cơ chế, các kỹ thuật được áp dụng để bảo đảm an toàn hệ thống đều có thể dễ dàng bị vô hiệu hoá bởi con người trong chính hệ thống đó.
Hệ thống xác thực người sử dụng yêu cầu mỗi người trong hệ thống khi muốn thao tác trên hệ thống đều phải cung cấp tên người dùng và mật khẩu. Tuy nhiên, nếu người
26 được cấp mật khẩu không bảo quản kỹ thông tin này, hoặc thậm chí đem tiết lộ cho người khác biết, thì khả năng xảy ra các vi phạm đối với chính sách an toàn là rất cao vì hệ thống xác thực đã bị vô hiệu hoá.
Những người có chủ ý muốn phá vỡ chính sách bảo mật của hệ thống được gọi chung là những người xâm nhập (intruder hoặc attacker) và theo cách nghĩ thông thường thì đây phải là những người bên ngoài hệ thống. Tuy nhiên, thực tế đã chứng minh được rằng chính những người bên trong hệ thống, những người có điều kiện tiếp cận với hệ thống lại là những người có khả năng tấn công hệ thống cao nhất. Đó có thể là một nhân viên đang bất mãn và muốn phá hoại, hoặc chỉ là một người thích khám phá và chứng tỏ mình. Các tấn công gây ra bởi các đối tượng này thường khó phát hiện và gây thiệt hại nhiều hơn các tấn công từ bên ngoài.
Những người không được huấn luyện về an toàn hệ thống cũng là nơi tiềm ẩn các nguy cơ do những hành vi vô ý của họ như thao tác sai, bỏ qua các khâu kiểm tra an toàn, không tuân thủ chính sách bảo mật thông tin như lưu tập tin bên ngoài thư mục an toàn, ghi mật khẩu lên bàn làm việc, …