1.1 – Cỏc chớnh sỏch bảo mật
Cỏc chớnh sỏch bảo mật phải được phỏt triển hoặc nõng cấp để đảm bảo theo kịp cỏc mội trường khụng dõy mới. Cỏc vấn đề quan trọng trong cỏc chớnh sỏch này là chủ quyền và sự quản lý mạng khụng dõy, quản lý quyền truy nhập đến hệ thống mạng, cỏc vấn đề bảo mật về mặt vật lý của access point, mó hoỏ, sự kiểm tra, và cỏc thủ tục để phỏt hiện và xử lý cỏc access point hay một mạng giả.
Cỏc mạng khụng dõy tương đương với cỏc mạng truy cập từ xa trong đú số lượng cỏc thiết bị cuối là khụng biết trước. Vớ dụ như : một thiết bị khỏch cú thể khụng phải trực thuộc cụng ty. Do đú, cỏc cụng nghệ này cần một sự quản lý chung và chia sẻ một số tài nguyờn với hệ thống mạng, như là cỏc điểm chuyển mạch hoặc cỏc mỏy chủ kiểm tra tớnh chứng thực.
Khi đề ra cỏc chớnh sỏch cho cỏc cụng nghệ này, cần chỉ ra được rằng cỏc thiết bị khụng dõy cũng giống như cỏc thiết bị truy nhập từ xa khỏc và khẳng định chỳng cú thể hoặc khụng thể hoà nhập được với cỏc chớnh sỏch bảo mật đó cú. Chớnh sỏch bảo mật khụng dõy nờn bao gồm cỏc trường hợp mà người dựng sử dụng mạng khụng dõy bờn ngoài văn phũng. Vớ dụ, ngày nay, nhiều khỏch sạn, sõn bay, và cỏc trung tõm hội nghị cú sử dụng hệ thống mạng khụng dõy, cỏc người dựng trong trường hợp này cú thể bị tấn cụng bởi những người dựng khỏc trong mạng, và trong một số trường hợp, từ mạng Internet. Việc yờu cầu phải sử dụng cụng nghệ VPN (Virtual Private Network – Mạng riờng ảo) tạo nờn sự an toàn tốt nhất chống lại tỡnh trạng bị nghe trộm khi kết nối thụng qua hệ thống mạng cụng cộng, và để chống lại sự chặn ngắt
44
cỏc tớn hiệu khụng dõy, cỏc chớnh sỏch bảo mật cũng nờn tiến hành việc kiểm tra việc sử dụng lưu lượng khụng dõy. Tất cả cỏc card mạng cũng cần được đăng ký, để cỏc hành động trờn mạng cú thể lần ngược lại được điểm xuất phỏt.
Cỏc bản đề nghị giản lược về việc sử dụng cụng nghệ mạng khụng dõy cho một cụng ty nờn cú liờn quan đến chiến lượng quản lý cỏc rủi ro của cụng ty, cung cấp bởi cỏc tiến trỡnh chứng thực và chỉ định bảo mật mỏy tớnh. Cú nghĩa là tất cả cỏc đề nghị sử dụng cụng nghệ mạng khụng dõy trong giao tiếp nờn được xem xột lại như là một phần của tiến trỡnh chứng thực và chỉ định trước khi đưa vào sử dụng trong hệ thống.Việc chứng thực và chỉ định cỏc thiết bị, đi đụi với cỏc hệ thống mạng sẽ sử dụng cỏc thiết bị này, nờn được đưa ra trong quỏ trỡnh thiết kế một chương trỡnh hay dự ỏn.
Một chớnh sỏch bảo mật xuyờn suốt sẽ giới hạn tất cả cỏc thiết bị điện tử cỏ nhõn (PED – Personal Electronic Device) khụng cú tớnh năng chứng thực và nhận dạng (I&A – Identification and Authentication) tốt kết nối tới hệ thống chỉ để thực hiện cỏc tao tỏc quản trị, giống như là bảo trỡ cỏc lịch và cỏc danh sỏch liờn lạc khụng nhạy cảm [8]. Dự trong bất cứ hoàn cảnh nào, khụng bao giờ một thiết bị điện tử cỏ nhõn khụng cú I&A mạnh được sử dụng để lưu trữ, xử lý, hay truyền đi cỏc thụng tin chớnh thức của cụng ty. Và như đó đề cập đến ở trờn, cỏc PED phải luụn được coi như là cỏc hệ thống thụng tin tự động (AIS – Automated Information System) và được quản lý như thế. Một thiết bị PED đơn lẻ nờn được thiết kế như một phần của mụi trường khụng bị chặn hoặc như một phần của mụi trường nhạy cảm. Nếu một PED được thiết kế để sử dụng trong mụi trường nhạy cảm, nú khụng nờn được kết nối qua hệ thống khụng dõy từ bờn ngoài của mụi trường đú.
Một số cỏc đề nghị về chớnh sỏch bảo mật cho cỏc thiết bị điện tử cỏ nhõn như sau :
45
- Sử dụng mó hoỏ : Cỏc thiết bị như PED, PDA, Bluetooth … nờn bị cấm việc gửi cỏc tớn hiệu nhạy cảm, trừ phi nú đó được mó hoỏ (sử dụng cỏc phần mềm mó hoỏ mạnh), và cỏc khu vực phủ súng cũng nờn được kiểm soỏt chặt chẽ hơn. Thờm vào đú, cỏc thiết bị PED là cú thể bị mất hoặc bị mất trộm, cỏc cụng ty nờn đề xuất cỏc chớnh sỏch yờu cầu người dựng mó hoỏ dữ liệu quan trọng trờn PED của mỡnh.
- Chống sự nhỡn trộm : Khi mà tất cả người dựng mỏy tớnh đều đó biết rằng cỏc thụng tin quan trọng cú thể bị nhỡn thấy bằng cỏch nhỡn qua vai người sử dụng mỏy tớnh, thỡ rủi ro đú cũng hiện hữu với người dựng cỏc thiết bị cỏ nhõn, và nú cú thể tăng độ nguy hiểm khi mà người ta thường sử dụng ở nơi đụng người xung quanh. Và, như đó núi đến ở trờn, cỏc thiết bị này là dễ mất hơn cỏc loại mỏy tớnh, mỏy chủ, hay mỏy xỏch tay. Theo đú, cỏc chớnh sỏch bảo mật nờn hướng dẫn người dựng nờn cảnh giỏc trước cỏc con mắt và đụi tay khỏc khi sử dụng thiết bị PED ở nơi cụng cộng (sõn bay, sảnh khỏch sạn, phũng học…)
- Xõy dựng và sử dụng cỏc hồ sơ bảo vệ theo tiờu chuẩn chung :
Bước đầu tiờn của bất kỳ chương trỡnh, hay dự ỏn của cỏc cụng ty khi xem xột về việc sử dụng mạng khụng dõy và cỏc thiết bị điện tử cỏ nhõn là xỏc định cỏc yờu cầu bảo mật của dữ liệu cần xử lý, lưu trữ, và trao đổi trong hệ thống. Một phương ỏn để phỏt hiện và theo dừi cỏc yờu cầu này là xõy dựng một hồ sơ bảo vệ theo tiờu chuẩn chung. Một hồ sơ như vậy sẽ chỉ ra cho người bỏn và những người sử dụng cỏc tớnh chất cần cú để đảm bảo sự bảo mật của hệ thống giải phỏp khụng dõy.
46
1.2-Tăng cƣờng nhận thức ngƣời dựng
Một khớa cạnh khỏc rất cần thiết đối với bất kỳ chớnh sỏch bảo mật nào là đào tạo sự nhận thức về bảo mật cho người sử dụng. Việc đào tạo này sẽ chỳ trọng vào cỏch sử dụng đỳng cỏch thức và sử dụng cỏc thiết bị điện tử cỏ nhõn để giảm ảnh hưởng của việc mất hoặc bị lấy trộm cỏc thiết bị này. Một nhõn tố bảo mật đỏng ghi nhận khỏc được gắn với việc sử dụng đỳng cỏch cụng nghệ khụng dõy là sự nhận thức của người sử dụng rằng cỏc thiết bị điện tử cỏ nhõn này trờn thực tế cú khả năng hoạt động như một mỏy tớnh cỏ nhõn hoặc một trạm làm việc (workstation). Củng cố việc đào tạo về cỏc tiờu chuẩn bảo mật thụng tin, cựng với cỏc chớnh sỏch về khụng dõy của cụng ty, cú thể giỳp người dựng tăng cường nhận thức của mỡnh về sự rủi ro của hệ thống này.