3.2.4.1. Kiểm soát sự truy cập
Các chính sách về phân quyền, kiểm soát truy cập là việc không thể thiếu đối với hệ thống mạng của một doanh nghiệp. Các chính sách này giúp kiểm soát truy cập trong và ngoài hệ thống một cách hiệu quả.
Để làm được điều này, Công ty SAVIS cần yêu cầu người dùng chỉ được cung cấp các quyền truy cập cần thiết để thực hiện công việc của họ. Tài khoản ưu tiên phải được giới hạn nghiêm ngặt đối với các hệ thống chính, vai trò của quản trị viên cơ sở dữ liệu hoặc hệ thống khóa. Hoạt động của người dùng, đặc biệt liên quan đến thông tin nhạy cảm thì dữ liệu đó và tài khoản của người dùng đó phải được lưu lại và quản lý nghiêm ngặt. Đồng thời nhân viên mật khẩu mạnh để bảo vệ dữ liệu.
Một trong những giải pháp để xác thực người dùng là sử dụng chữ ký điện tử (Public Key Infrastructure)
Một chữ ký điện tử Public Key Infrastructure (PKI) là một hệ thống quản lý những cặp Private Key và Public Key, và các giấy phép số. Do các khóa và giấy phép được phát hành bởi một công cụ nhóm ba đáng tin cậy nên bảo mật nền tảng giấy phép mà hệ thống này cung cấp khá mạnh.
liệu này với một Public Key và người được chia sẻ. Tất cả người dùng trong mạng sẽ thấy dữ liệu này, tuy nhiên duy nhất người dùng có Private Key tương ứng với Public Key mới có thể giải mã.
3.2.4.2. Sao lưu và phục hồi dữ liệu
Backup dữ liệu (Data backup) có thể hiểu là hành động sao chép / sao lưu lại toàn bộ nội dung và các dữ liệu gốc quan trọng của một HTTT phòng khi gặp sự cố. Đối với doanh nghiệp, theo tác sao lưu dữ liệu được đánh giá là quan trọng không thể thiếu, bởi toàn bộ các data, dữ liệu mà doanh nghiệp xây dựng trong một thời gian dài nếu không may mất đi sẽ gây ảnh hưởng nghiêm trọng đến công việc kinh doanh của daong nghiệp.
Mục đích của việc backup-restore dữ liệu này là để đưa hệ thống trở lại trạng thái trước khi gặp sự cố. Nguyên nhân của sự cố gây ảnh hưởng đến dữ liệu có thể thuộc một trong 2 dạng chính sau:
+ Nguyên nhân khách quan: Sự cố xảy ra ngoài ý muốn, con người không thể biết trước được, thường là các thảm họa (VD: thiên tai, cháy nổ…). Do đó cần cất giữ bản sao ở xa bản chính.
+ Nguyên nhân chủ quan: Sự cố xảy ra do những thao tác không chính xác của con người (ví dụ: lỗi phần cứng, lỗi phần mềm, thao tác nhầm…). Do đó cần cất giữ bản sao ở vị trí sao cho thuận lợi cho việc phục hồi dữ liệu, không nhất thiết phải lưu trữ ở nơi xa bản chính.
Hiện tại, công ty đang thực hiện backup theo chu kỳ một tháng một lần, thời gian backup dữ liệu như vậy là khá lâu, lượng dữ liệu sẽ mất nếu hệ thống bị đánh sập hoàn toàn. Do vậy công ty nên backup dữ liệu thường xuyên hơn để đảm bảo dữ liệu của công ty không bị thất lạc.
Đề xuất giải pháp cho phương án trên, công ty cần backup theo ngày vào thời điểm buổi trưa hoặc vào ban đêm, thời điểm end- user kết thúc công việc. Có 1 số lý do như sau:
+ Backup buổi trưa: Việc khôi phục lại file thời điểm gần nhất thì ta có thể khôi phục file đã backup vào buổi trưa, thay vì là từ ngày hôm qua, việc này làm tăng khả năng hữu dụng của file cần backup.
+ Vì việc backup sẽ ngốn tài nguyên của hệ thống nhiều nên chọn thời điểm hệ thống nhàn rỗi cũng như thời điểm end user không làm việc giúp tốc độ backup nhanh hơn, lỗi phát sinh trong quá trình backup được hạn chế nhiều hơn so với backup trong
thời gian end user làm việc, bên cạnh đó tránh backup trong thời điểm end user làm việc không làm ảnh hưởng đến hiệu suất của hệ thống.
Công ty có thể sử dụng tiện ích backup được tích hợp trong hệ điều hành Windows (ntbackup.exe) để thực hiện những tiến trình backup cơ bản. Ngoài ra, có thể sử dụng Wizard Mode để đơn giản hóa tiến trình tạo và khôi phục các file backup, hay có thể cấu hình thủ công các cài đặt backup và lên lịch thực hiện tác vụ backup để tự động hóa tác vụ này.
3.2.4.3. Mã hóa dữ liệu
Trong chiến lược bảo mật dữ liệu, công ty SAVIS hiện nay tập trung nguồn lực vào bảo vệ dữ liệu trên đường truyền. Trong khi đó vấn đề bảo vệ dữ liệu nằm trong cơ sở dữ liệu (CSDL, database) chưa được quan tâm đúng mức.
Một giải pháp bảo mật CSDL tối ưu cần hỗ trợ các yếu tố chính sau: + Hỗ trợ mã hóa tại các mức dữ liệu cấp bảng, cột, hàng.
+ Hỗ trợ chính sách an ninh phân quyền truy cập đến mức dữ liệu cột, hỗ trợ RBAC. + Cơ chế mã hóa không ảnh hưởng đến các ứng dụng hiện tại.
Giải pháp đơn giản nhất bảo vệ dữ liệu trong CSDL ở mức độ tập tin, chống lại sự truy cập trái phép vào các tập tin CSDL là hình thức mã hóa. Mã hóa là một cách tuyệt vời để giữ cho dữ liệu an toàn, cho dù nhà quản trị truyền nó qua Internet, sao lưu lên máy chủ hoặc trên máy tính xách tay của mình. Tuy nhiên, từ khảo sát phiếu điều tra, công ty chưa hề thực hiện các giải pháp mã hóa thông tin, nguy cơ mất dữ liệu trong quá trình truyền tin là rất cao. Việc mã hóa không cho phép bất cứ ai (trừ nhà quản trị và người sẽ nhận nó) đọc được dữ liệu của công ty.
Các dữ liệu của công ty cần được mã hóa là:
+ Mã hóa toàn bộ ổ cứng: Có thể toàn bộ nhân viên đã có mật khẩu đăng nhập Windows trên máy tính của mình, nhưng mật khẩu đó sẽ không thực sự bảo vệ dữ liệu nếu ai đó đánh cắp máy tính hoặc ổ cứng của họ. Tên trộm chỉ cần cắm ổ đĩa của bạn vào máy tính khác và truy cập dữ liệu trực tiếp. Nếu có thông tin nhạy cảm, cần thực hiện mã hóa đĩa cứng để bảo vệ dữ liệu ngay cả khi máy tính rơi vào tay kẻ xấu.
+ Mã hóa thư Gmail: Khi sử dụng Gmail, bảo mật email hơi khác một chút do thư được lưu trữ trên máy chủ của Google chứ không phải trên máy tính của bạn. Khi nhà quản trị soạn hoặc xem các email, chúng truyền qua kết nối HTTPS (Hypertext Transfer Protocol Secure) đã mã hóa, vì vậy nhà quản trị không phải lo lắng về việc bị
chặn. Nguy cơ bảo mật chính với Gmail là người khác sẽ truy cập được vào tài khoản của nhà quản trị. Có thể giảm thiểu nguy cơ này thông qua việc đặt mật khẩu.
+ Mã hóa tài liệu Word, Excel và PowerPoint: Trong Office 2010 và 2013, nhà quản trị có thể mã hóa bất kỳ tài liệu Word, Excel hoặc PowerPoint nào theo cùng một cách: Nhấp File, chọn tab Info và sau đó nhấp vào nút Protect Document. Cuối cùng, bấm vào Encrypt with Password và chọn một mật khẩu mạnh cho tập tin của chúng ta.
Giải pháp thứ hai, đối nghịch với giải pháp mã hóa cấp tập tin nêu trên, giải quyết vấn đề mã hóa ở mức ứng dụng. Giải pháp này xử lý mã hóa dữ liệu trước khi truyền dữ liệu vào CSDL. Những vấn đề về quản lý khóa và quyền truy cập được hỗ trợ bởi ứng dụng. Truy vấn dữ liệu đến CSDL sẽ trả kết quả dữ liệu ở dạng mã hóa và dữ liệu này sẽ được giải mã bởi ứng dụng. Giải pháp này giải quyết được vấn đề phân tách quyền an ninh và hỗ trợ các chính sách an ninh dựa trên vai trò (Role Based Access Control – RBAC). Tuy nhiên, xử lý mã hóa trên tầng ứng dụng đòi hỏi sự thay đổi toàn diện kiến trúc của ứng dụng, thậm chí đòi hỏi ứng dụng phải được viết lại. Đây là một vấn đề đáng kể cho các công ty có nhiều ứng dụng chạy trên nhiều nền CSDL khác nhau.
3.2.4.4. Bảo mật dữ liệu truyền qua mạng wifi
Công nghệ thông tin ngày càng phát triển, việc truyền và nhận thông tin dữ liệu được sử dụng chủ yếu qua mạng. Công ty hiện nay không còn sử dụng nhiều mạng dây, mà thay vào đó chủ yếu là sử dụng Wifi cho các máy tính xách tay và máy tính cá nhân của công ty. Dữ liệu gửi qua mạng Wifi dễ bị tác động hơn so với khi gửi qua mạng Ethernet. Tin tặc không cần phải truy cập vật lý tới mạng hay các thiết bị trên đó, bất cứ người dùng nào sử dụng laptop đã được kích hoạt Wifi và một ăng ten thu phát sóng mạnh có thể đánh cắp dữ liệu hay đột nhập vào mạng và truy cập vào dữ liệu được lưu trữ trên mạng đó nếu điểm truy cập Wifi không được cấu hình bảo mật. Vì vậy để đảm bảo an toàn và bảo mật thông tin thì Công ty cũng nên chú trọng việc bảo mật dữ liệu truyền qua Wifi
Hiện tại công ty đang sử dụng giao thức bảo mật WEP để bảo vệ mạng không dây. Tuy nhiên, bảo mật WEP rất dễ bị crack, công nghệ bảo mật này chỉ bảo vệ được mạng không dây của công ty trước những người dùng thông thường. Còn ngoài ra, đối với các hacker, kể cả các hacker mới vào nghề cũng có thể download các công cụ miễn phí và thực hiện theo một hướng dẫn nào đó để crack khóa WEP xâm nhập vào mạng máy tính
của công ty. Sau khi phá được khóa, hacker có thể kết nối đến mạng Wi-Fi và truy nhập vào các tài nguyên. Ngoài ra các hacker còn có thể giải mã lưu lượng thời gian thực trên mạng.
Chính vì lý do đó mà công ty cần sử dụng một công nghệ an toàn nhất để bảo vệ cho mạng không dây của mình: hiện tại đó chính là Wi-Fi Protected Access 2 (WPA2), đây là công nghệ sử dụng mã hóa AES/CCMP. Với mô hình công ty Cổ phần Công nghệ SAVIS là công ty vừa và nhỏ nên triển khai ứng dụng bảo mật không dây WPA2 - Enterprise trong doanh nghiệp.
Chế độ bảo mật Enterprise là chế độ mà các doanh nghiệp và tổ chức nên sử dụng, nó cũng được biết đến như RADIUS, 802.1X, 802.11i hoặc EAP. Chế độ này cung cấp giải pháp bảo mật hữu hiệu hơn, quản lý khóa tốt hơn và hỗ trợ các chức năng doanh nghiệp khác như VLAN và NAP. Chế độ Enterprise cho nhân viên đăng nhập vào mạng không dây bằng tên và mật khẩu hay chứng chỉ số và đều có thể được thay đổi hoặc thu hồi ở bất cứ thời điểm nào trên máy chủ khi thiết bị không dây bị mất hoặc bị đánh cắp. Ngoài ra còn cung cấp cho nhân viên một khóa mã hóa động và duy nhất nên nó có thể ngăn chặn việc xem trộm thông tin giữa các người dùng trong mạng. Vì vậy rất phù hợp cho việc bảo mật an toàn mạng trong công ty.
3.2.5. Con người
Một trong những mối nguy hiểm tiềm tàng nhất với an ninh dữ liệu của doanh nghiệp chính là yếu tố con người. Do đó, việc thực hiện các biện pháp nhằm đào đào tạo, nâng cao nhận thức của các nhân viên trong cơ quan về bảo mật dữ liệu là một trong những biện pháp hàng đầu và hiệu quả nhất để bảo đảm an toàn dữ liệu trong doanh nghiệp. Công ty Cổ phần Công nghệ SAVIS cũng đã ý thức được vai trò của con người trong vấn đề an toàn bảo mật dữ liệu.
Một trong những cách làm đầu tiên để tăng cường tính bảo mật cho doanh nghiệp, là phát triển các giao thức bảo mật mạnh mẽ và đảm bảo chúng luôn được triển khai. Những chính sách này phải phù hợp với cách làm việc của công ty, cũng như được nhân viên nhận thức đúng đắn và tuân thủ.
Công ty nên kiểm soát nội bộ chặt chẽ và đề ra các quy định riêng về an toàn và bảo mật CSDL cho công ty. Cách tốt nhất để nhân viên biết được những chính sách bảo mật của công ty, đó là viết ra giấy, đầy đủ những chính sách với các nguyên tắc rõ ràng: chỉ cho phép điện thoại và máy tính của công ty được kết nối Wifi, không sử dụng Email cá
nhân trên máy tính cá nhân của công ty, tất cả mật khẩu phải tuân theo định dạng nhất định và cấm nhân viên mở email hoặc liên kết không liên quan đến công ty. Công ty cần ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật dữ liệu trong công ty, phòng tránh trường hợp hệ thống bị tấn công bởi chính nhân viên trong công ty.
Nguồn nhân lực của công ty chưa có kiến thức chuyên sâu về an toàn và bảo mật CSDL. Để thực hiện các giải pháp để nâng cao an toàn và bảo mật CSDL cho công ty công ty cần chú ý đến việc đào tạo và nâng cao kiến thức và kỹ năng CNTT cho nhân viên.
Công ty nên có những buổi chia sẻ thông tin, kiến thức giữa các nhân viên trong công ty, người biết chỉ bảo cho người không biết để nâng cao kiến thức về vấn đề an toàn bảo mật. Phương pháp này không tốn chi phí mà còn tăng tinh thần đoàn kết nội bộ công ty.
Mời các chuyên viên về an ninh thông tin đến giảng dạy và thuyết trình trực tiếp hoặc mở các lớp phổ biến kiến thức về an toàn bảo mật hệ thống cho cán bộ, nhân viên trong công ty.
3.3. Điều kiện thực hiện giải pháp
An toàn bảo mật HTTT vô cùng quan trọng, nó ảnh hưởng rất lớn đến sự thành bại của công ty đặc biệt là trong thời kỳ công nghiệp hóa, hiện đại hóa, công nghệ thông tin phát triển vũ bão hiện nay. Công ty cần có cái nhìn đúng đắn về vấn đề này và đầu tư cho các biện pháp an toàn bảo mật HTTT.
Ban lãnh đạo nên có chính sách đào tạo chuyên sâu hơn về chuyên môn liên quan đến CNTT cho nhân viên bằng cách: mở các buổi hội thảo để nâng cao nhận thức về bảo mật thông tin doanh nghiệp cho các nhân viên trong công ty, thiết lập bộ phận chuyên trách về vấn đề bảo mật, gửi nhan viên đi học các khóa đào tạo trong và ngoài nước.
Đề nghị tăng thêm số lượng nhân viên về CNTT, và nhân viên về CNTT có trình độ đại học và phải có kinh nghiệm trong an toàn bảo mật HTTT.
Công ty cần có các chính sách, quy định cụ thể đối với nhân viên về vấn đề liên quan đến an toàn bảo mật HTTT trong công ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thông tin nội bộ công ty, thông tin khách hàng, …
Đầu tư cơ sở hạ tầng CNTT phục vụ cho tất cả các hoạt động trong công ty. Đầu tư thêm một số thiết bị bảo mật, phần mềm chuyên dụng trong lĩnh vực đảm bảo an ninh
mạng, xây dựng các mô hình mạng an toàn là những việc cần thiết.
Các trang thiết bị về công nghệ thông tin phải được thường xuyên kiểm tra, bảo dưỡng bảo trì, khắc phục lỗi kịp thời.
Cập nhật những giải pháp bảo mật thông tin tức thời và có hiệu quả tối ưu nhất với ngân sách, đặc điểm của công ty.
KẾT LUẬN
Ngày nay CNTT đã có những bước phát triển rất mạnh mẽ và mang lại những lợi ích to lớn đối với các doanh nghiệp giúp cho doanh nghiệp ra những quyết định đúng đắn trong quá trình hoạt động và kinh doanh. Vấn đề an toàn bảo mật thông tin đang là vấn đề nhức nhối đối với các doanh nghiệp. Càng ngày các hình thức tấn công vào hệ thống ngày càng tinh vi, hiện đại, nguy hiểm và có quy mô lớn hơn. An toàn của hệ thống luôn bị đe dọa bởi những nguy cơ tấn công luôn tiềm ẩn ở bên ngoài hệ thống. Chỉ một sai lầm nhỏ cũng có thể dẫn đến những hậu quả khôn lường.Vì vậy an toàn thông tin đóng một vai trò hết sức quan trọng và cần được sự quan tâm rất lớn từ phía