www.hgi.com .vn
3.3. Đề xuất về giải pháp và kiến nghị nhằm nâng cao hiệu quả ATBMTT cho
3.3.1. Các đề xuất về giải pháp nâng cao hiệu quả ATBMTT cho website
www.hgi.com.vn
3.3.1.1. Giải pháp vành đai bảo vệ cho toàn hệ thống mạng
Việc đề xuất giải pháp vành đai cho hệ thống mạng là rất cần thiết, giải pháp này cho phép những nhà đầu tư có thể chủ động quản lý và bảo vệ chính mơi trường mạng của họ trên cơ sở tích hợp các giải pháp/sản phẩm an ninh khác nhau phù hợp hạ tầng cung cấp dịch vụ của chính mình. Hệ thống này cần thiết cho tất cả các loại hình doanh nghiệp có kết nối ra ngồi Internet và triển khai các ứng dụng trên website như Công ty đầu tư tài chính Hà Nội Vàng đang triển khai.
Cơng ty cần thiết lập hàng rào bảo vệ bằng việc phân chia các vùng cần bảo vệ và đặt các vùng này dưới sự điều khiển nghiêm ngặt. Công ty cần xây dựng một vành đai bảo vệ bên ngoài bằng Firewall, bên trong vành đai này cần xây dựng một hệ thống phát hiện xâm nhập IDS (Intrusion Detection System), hệ thống phân tích an tồn mạng (Security Analyst). DN nên đầu tư sử dụng phần mềm tường lửa Firewall- 1 của Check Point bởi Firewall-l là sự kết hợp của tường lửa lọc gói tin và tường lửa mức
ứng dụng đảm bảo cho thông tin của website không bị tấn công bởi những tội phạm tin học. Phần mềm này điều khiển truy cập đến các ứng dụng, dữ liệu và dịch vụ quan trọng trong hệ thống nhằm đảm bảo an ninh bảo mật cho doanh nghiệp.
Hệ thống được triển khai tại vùng kết nối ra ngoài Internet của doanh nghiệp để bảo vệ hệ thống trước những tấn cơng từ bên ngồi và triển khai tại vùng có chứa cơ sở dữ liệu và các ứng dụng nhạy cảm để bảo vệ các tấn cơng từ bên trong, có thể là từ nội bộ của doanh nghiệp.
Hệ thống này cần thiết cho tất cả các loại hình doanh nghiệp khi có kết nối ra ngồi Internet và có triển khai các ứng dụng và cơ sở dữ liệu quan trọng.
3.3.1.2 Giải pháp ATBM TT cho các ứng dụng web của DN
Với các cuộc tấn công như Local Attack, tấn công từ chối dịch vụ (DoS, DDoS) hay SQL injection ta có một số giải pháp sau để phịng chống hữu hiệu:
Mơ hình hệ thống phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức dễ dẫn đến một bộ phận gặp sự cố làm cả hệ thống bị trục trặc.
Thiết lập password bảo vệ các thiết bị hay các nguồn tài nguyên quan trọng.
Thiết lập các mức xác thực định tuyến đối với người dùng cũng như các nguồn tin trên mạng (các thông tin cập nhật định tuyến giữa các router cũng nên thiết lập ở chế độ xác thực).
Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thông bảo vệ chống lại SYN flood.
Chỉ chấp nhận các dịch vụ cần thiết, tạm thời dừng các dịch vụ chưa có yêu cầu cung cấp hoặc không sử dụng.
Xây dựng hệ thống định mức, giới hạn cho người sử dụng để ngăn ngừa trường hợp người dùng có ác ý muốn lợi dụng các tài nguyên trên server để tấn cơng chính server hay mạng, server khác.
Liên tục cập nhật, nghiên cứu, kiểm tra phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời.
Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một các liên tục để phát hiện ngay những hành động bất bình thường,
3.3.1.3. Giải pháp ATBM cho CSDL của website tại cơng ty cổ phần đầu tư tài chính Hà Nội Vàng hgi
DN cần tổ chức thu thập, sắp xếp CSDL của website tránh việc dư thừa, không nhất quáng trong những thao tác cập nhật, tránh những trường hợp nhầm lẫn, mất mát hoặc sai lạc dữ liệu khi có sực cố xảy ra trong lúc truyền dữ liệu từ phòng ban này sang phòng ban khác.
Do CSDL của website sẽ phục vụ cho nhiều người, nhiều đối tượng khơng chỉ cho khách hàng mà cịn cho cả nhân viên trong công ty nên dữ liệu phải được độc lập với các ứng dụng khác của website, khơng phụ thuộc vào phương tiện lưu trữ và có thể xử lý, điều chỉnh khi cần, có thể chỉnh sửa mà khơng ảnh hưởng đến những phần khác của CSDL của website.
DN cần có sự phân quyền người truy cập vào CSDL của website như: cho phép bộ phận nào được truy cập vào CSDL để lấy thông tin, thời gian truy cập, ai là người cung cấp thơng tin cho CSDL của website… có như vậy, DN có thể tránh sự truy cập trái phép vào CSDL của website gây ảnh hưởng đến DN.
3.3.1.4. Một số giải pháp nâng cao hiệu quả ATBM TT website của DN (1)Phân quyền tài khoản người sử dụng
Cũng như đối với HTTT thì website cũng bao gồm nhiều người sử dụng với các mục đích và quyền hạn khác nhau thì chúng ta cần có những tài khoản khác nhau để cung cấp các truy nhập đến website, người quản trị mạng cung cấp cho các phòng ban một tài khoản, nhưng quyền hạn của mỗi phòng ban được sử dụng khác nhau. Việc phân quyền cho các tài khoản giúp cho chúng ta có thể dễ dàng quản lý hành động của các tài khoản, tránh được những hành động trái phép gây hậu quả cho website.
Tuy nhiên hiện nay có một số loại mã độc được các hacker chèn vào website làm thay đổi quyền của tài khoản bình thường thành quyền quản trị administrator, từ đó tấn cơng gây thiệt hại cho doanh nghiệp. Vì vậy cần có các biện pháp mã hóa bảo vệ cơ chế phân quyền người sử dụng tránh các nguy cơ tấn cơng từ bên ngồi.
(2)Sử dụng các biện pháp chứng thực điện tử, chữ ký số.
Chữ ký điện tử được sử dụng để xác nhận tính hợp pháp của một văn bản hay hợp đồng trong các giao dịch điện tử. Nó có khả năng kiểm tra được người ký và thời gian ký, có khả năng xác thực các nội dung tại thời điểm ký, các thành viên thứ ba có thể kiểm tra chữ ký để giải quyết các tranh chấp (nếu có).
Chứng thực số là một hoạt động chứng thực danh tính của những người tham gia vào việc gửi và nhận thông tin qua kênh truyền, cung cấp cho họ các công cụ, các dịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội dung thông tin. Chứng thực điện tử được cấp bởi một cơ quan chứng thực có uy tín. Hiện nay có một số nhà cung cấp dịch vụ chứng thực điện tử như: FPT–CA, VIETTEL–CA, VNPT–CA, BKAV–CA.
(3)Sao lưu toàn bộ website định kỳ
Việc sao lưu cơ sở dữ liệu của website phải được tiến hành thường xuyên và lên lịch ít nhất một tuần một lần (tốt nhất mỗi tuần một lần). Khi có các bản sao lưu này chúng ta có thể khắc phục nhanh chóng cho những sự cố phát sinh với website của công ty, giúp cho website hoạt động liền mạch nhất, giảm thiểu thiệt hại gây ra cho doanh nghiệp bởi sự gián đoạn làm việc của website.
Hiện nay có một số phần mền chun dụng có thể khơi phục lại dừ liệu đã mất, nhưng nó địi hỏi rất nhiều thời gian. Vì vậy giải pháp sao lưu vẫn là giải pháp an toàn và hiệu quả nhất. DN có thể thuê bên cung cấp hosting sao lưu lại website thường xuyên.
(4)Bảo mật tài khoản Administrator và trang quản trị
Tài khoản administrator và trang quản trị có thể nói là phần quan trọng nhất có thể thay đổi tồn bộ nội dung của website. Vì vậy cần phải có những biện pháp ngăn chặn những truy cập trái phép vào trang quản trị cũng như bảo vệ sự bí mật của tài khoản administrator nhằm tránh những sự tấn công phá hoại đến website.
Một số biện pháp bảo vệ tài khoản administrator như: không tiết lộ mật khẩu tài khoản cho ai biết, thường xuyên thay đổi mật khẩu, sử dụng mật khẩu có các ký tự đặc biệt khơng rõ nghĩa làm cho người khác khó có thể đốn ra mật khẩu.
(5)Kiểm tra và đánh giá mức độ bảo mật của website thường xuyên.
DN cần thường xuyên kiểm tra lỗ hổng bảo mật,để từ đó đánh giá mức độ bảo mật của website. Trong q trình vận hành sử dụng website có thể phát sinh nhiều lỗi liên quan đến dữ liệu và an tồn bảo mật. Do đó cần phải sử dụng những chương trình kiểm tra xem website có gắp phải các lỗi dữ liệu bất thường hay các lỗi an toàn bảo mật hay khơng. Từ những phát hiện qua q trình kiểm tra sẽ có những đánh giá về mức độ an tồn bảo mật và ổn định của website. Từ đó nhà quản trị sẽ có những chính sách cụ thể phù hợp với tình hình thực tế.
3.3.1.5. Quản lý nghiêm khắc nhân viên, đào tạo nguồn nhân lực cho ATBM TT
Trong q trình bảo đàm an tồn thơng tin Cơng ty đầu tư tài chính Hà Nội Vàng hgi cần quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin nội bộ. Tất cá thông tin của doanh nghiệp đều phải đảm bảo bí mật. Dù là nhân viên kỹ thuật hay nhân viên phục vụ khách hàng đều phải ký thỏa thuận này. Việc xử lý, loại bỏ tất cả những tư liệu, giấy tờ đều phải huỷ qua máy tài liệu. Các loại giấy tờ, thơng tin, phần mềm in ấn vi tính đều khơng được mang ra khỏi cơng ty. Giáo dục đạo đức cho nhân viên. Đưa ra cơ chế an toàn liên quan đến việc tuyển, sử dụng nhân viên và sa thải nhân viên, kịp thời bố trí, điều chỉnh, điều động cán bộ nhân viên.
Công tycần phải chủ động nâng cao nhận thức và đào tạo, bồi dưỡng kiến thức cho nhân viên trong tồn bộ cơng ty với nhiều hình thức. Như thế mới có thể đáp ứng được nhu cầu về nguồn nhân lực cho ATBM TT tại DN.
Việc đẩy mạnh hoạt động phổ biến tuyên truyền kiến thức về ATBM TT cho từng cán bộ cơng nhân viên của Cơng ty cũng có tác động to lớn đến việc đảm bảo an tồn thơng tin trong cơng ty. Tuy nhiên, hoạt động này mang tính bề rộng và phong trào, cần phải có các hoạt động nhằm phát triển bồi dưỡng nguồn nhân lực cho ATBM TT một cách đồng bộ, cân đối, mang tính bề sâu và diễn ra liên tục.