1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO
3.1.2Chính sách bảo mật doanh nghiệp
RFC 2196 – Site Security Handbook, phát biểu rằng: "Một chính sách bảo mật là tuyên bố chính thức những quy tắc mà người truy nhập thông tin và công nghệ của tổ chức phải tuân theo". Mục đích chính của một chính sách bảo mật sẽ thông tin cho bất cứ ai sử dụng mạng của doanh nghiệp những yêu cầu để bảo vệ tài sản công nghệ và thông tin của doanh nghiệp. Chính sách cần phải chỉ rõ những cơ chế thông qua đó đáp ứng những yêu cầu này. Chính sách bảo mật là một tài liệu quan trọng nhất của doanh nghiệp.
Để phát triển một chính sách bảo mật mà không hạn chế thái quá cho những người sử dụng, cân bằng sự không giàng buộc với mức độ bảo mật nhất định, và
điều đó thì được thi hành cả về mặt kỹ thuật và cả về mặt tổ chức, chính sách cần phải chứa đựng tối thiểu một số những vấn đề sau đây:
− Acceptable use policy – Giải thích rõ ràng những người sử dụng được cho phép
và không được cho phép làm gì trên các thiết bị bên trong mạng; điều này bao gồm cả kiểu của lưu lượng được phép trên mạng. Chính sách cần phải càng rõ ràng càng tốt để tránh bất kỳ sự nhập nhằng hay sự hiểu lầm nào.
− Remote access policy – Giải thích rõ ràng cách đối xử đối với những người sử
dụng được chấp nhận và những người sử dụng không được chấp nhận khi họ kết nối tới mạng doanh nghiệp qua kết nối Internet, dial-up, hay qua một phương thức kết nối từ xa khác.
− Incident handling policy – Chính sách xử lý tình huống bất ngờ xẩy ra được
chứa đựng bên trong chính sách bảo mật thực tế nhưng vì cấu trúc chung nên chính sách này thường tồn tại như một chính sách con trong chính sách bảo mật.
− Internet access policy – Định nghĩa cách sử dụng kết nối Internet đúng quy cách.
− Email policy – Định nghĩa cách sử dụng hệ thống email có thể chấp nhận được,
bao gồm các email cá nhân và email trên web.
− Physical security policy – Định nghĩa các điều khiển đi đôi với bảo mật và truy
nhập thiết bị vật lý.
Sau khi hoàn thành chính sách bảo mật doanh nghiệp, thì phải đưa ra một vạch ranh giới mà căn cứ vào đó sẽ thấy được hoạt động bình thường hay các đối xử của mạng mà trong nhiều trường hợp chúng còn đưa ra các kết quả cảnh báo khi thấy mất an toàn. Việc thông báo những sự kiện bất thường trong mạng có thể bắt được những kẻ xâm phạm trước khi chúng có thể gây ra bất kỳ thiệt hại nào về sau.