1. Yêu cầu chung đối với hệ thống giám sát
1.3. Những nguyên tắc trong xây dựng chính sách an toàn thông tin
Chính sách an toàn thông tin cũng đóng một vai trò hết sức quan trọng như đã nêu trong chương 1. Từ chính sách an toàn thông tin tổng thể sẽ đưa ra các chính sách an toàn cụ thể cho từng thiết bị sẽ được thiết lập trong hệ thống và mạng cụ thể. Thiết lập chính sách an toàn mạng cụ thể sẽ quyết định đến hiệu quả sử dụng đối với từng thiết bị được thiết kế, lắp đặt cụ thể. Khi xây dựng chính sách an toàn an ninh mạng cụ thể nếu không được thiết lập một cách phù hợp dẫn tới thiết bị bảo vệ sẽ mang lai rất ít giá trị sử dụng.
Khi xây dựng một chính sách an toàn thông tin tổng thể cần lưu ý những nguyên tắc chủ yếu như sau:
Thiết lập các chính sách bảo vệ an toàn mạng từ phía lớp trong ra lớp ngoài mạng phải được qui định theo nguyên tắc. Chính sách cụ thể sẽ cho phép hoặc từ chối một cách rõ ràng về việc các dịch vụ truy cập phải được sử dụng như thế nào, có các ngoại lệ đối với các quy tắc đó hay không.
Mọi dịch vụ hoặc ứng dụng không được phép sẽ được chỉ định bị từ chối (phương pháp chặn tất cả traffic giữa hai mạng ngoại trừ đối với những dịch vụ và ứng
SV: HỒ TRUNG DŨNG 45
dụng được cho phép). Do đó, mỗi ứng dụng và dịch vụ mong muốn cho phép được triển khai từng dịch vụ một.
Không dịch vụ hoặc ứng dụng nào có thể là lỗ hổng tiềm tàng trên Firewal được cho phép (phương pháp an toàn nhất, từ chối các dịch vụ và ứng dụng trừ khi được cho phép một cách rõ ràng bởi người quản trị). Đây là nguyên tắc nghiêm ngặt và ít tiện lợi. Mọi dịch vụ hoặc ứng dụng không được từ chối một cách chỉ định được cho phép (phương pháp này cho phép tất cả các traffic giữa hai mạng ngoại trừ đối với những dịch vụ và ứng dụng mà bị từ chối). Vì vậy, mỗi dịch vụ hoặc ứng dụng mà có hại nên bị từ chối nên được từ chối từng cái một. Mặc dù đây là một phương pháp thuận tiện và mềm dẻo đối với người sử dụng, nó có thể gây ra một vài vấn đề an toàn nghiêm trọng.
Đối với sự truy nhập từ ngoài vào (Remote Access ) hệ thống mạng nên cung cấp sự xác nhận người sử dụng và một cách lý tưởng chỉ cung cấp sự giới hạn các user nhất định đối với hệ thống đã được xác nhận chắc chắn là đã được đăng ký trong corporate intranet (authorization sự cấp phép). Remote Access Server cũng phải đinh nghĩa nếu một user được coi là di động (có thể kết nối từ nhiều vị trí ở xa) hoặc cố định (chỉ có thể kết nối từ một vị trí ở xa), và hạn chế tuyệt đối sử dụng call back chỉ dành đối với các user cá biệt khi mà họ đã được xác nhận một cách đúng đắn.
Đối với các dịch vụ công cộng (trên Website), kiểm soát truy nhập không quan tâm đến danh tính nên cho phép người dùng thông tin truy cập đến các server trong khu vực DMZ (Demilitarized Zone). Nhưng điều đó không có nghĩa là tất cả các dịch vụ trong một corporate intranet cũng yêu cầu ít nhất sự xác nhận mật khẩu và điều khiển truy nhập phù hợp. Do vậy, các phiên truy nhập trực tiếp từ bên ngoài vào hệ thống luôn luôn phải được xác nhận và kiểm tra.