An tồn và bảo mật thơng tin bằng các giải pháp phần mềm

PHẦN 1 : TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU

3.2. Giải pháp nâng cao an tồn và bảo mật thơng tin cho hệ thống thông tin trong doanh

3.2.2. An tồn và bảo mật thơng tin bằng các giải pháp phần mềm

Sử dụng phần mềm diệt virut

Virus (đại diện chung cho tất cả các chương trình tự động cài vào máy tính mà khơng được phép của người sử dụng như worm, malware, trojan…), khi xâm nhập, nó sẽ đe dọa đến độ an tồn của thơng tin, dữ liệu lưu trữ trên máy tính và gây ra nguy cơ hỏng hóc phần cứng. Để đảm bảo an tồn cho dữ liệu lưu trên máy tính, chúng ta cần phải ngăn chặn sự xâm nhập của các loại virus.

Với đa số phần mềm miễn phí được sử dụng trên máy tính ln có nguy cơ xuất hiện các lỗ hổng. Hacker ln tìm cách để tấn cơng vào những lỗ hổng đó bằng cách tạo ra đoạn mã độc, do vậy, máy tính của chúng ta ln đứng trước nguy cơ bị virus tấn công.

Công ty đã sử dụng chủ yếu là phần mềm diệt virut (50%) để đảm bảo an toàn và bảo mật dữ liệu. Tuy nhiên việc sử dụng các phần mềm miễn phí chưa đảm bảo và đạt hiệu quả trong việc, chính vì vậy cần kết hợp việc sử dụng phần mềm diệt virut miễn

phí với việc mua các phần mềm bản quyền tùy thuộc vào mức độ chi trả của Công ty. Hay việc sử dụng chức năng phân quyền của hệ thống NTFS, Công ty nên phân quyền lại cho user limited để ngăn chặn virus.

Các thư mục cơ bản: Hệ thống windows được chia làm 3 khu vực cơ bản: Thư mục windows: chứa mã thực thi của hệ điều hành

Thư mục programs file: chứa mã thực thi của các chương trình

Thư mục documents and setting: chứa dữ liệu và cấu hình của người dùng.

Ở chế độ mặc định, user limited đã không được phép ghi vào 2 thư mục windows và program file. Vì vậy, chỉ cần config thêm cho user limited không được thực thi file exe, com… trong thư mục My document and setting.

Các thư mục khác:

Thư mục gốc: Cấu hình lại cho thư mục gốc các ổ đĩa chỉ được ghi, khơng được chạy. Vì các thư mục cơ bản (windows, program file…) được cấu hình độc lập với thư mục gốc nên việc cấu hình lại thư mục gốc khơng hề ảnh hưởng đến các thư mục cơ bản này.

Các thư mục khác: có một số thư mục đặc biệt thường dùng để hỗ trợ cho quá trình cài đặt như thư mục c:\windows\temp… Tuy nằm trong C:\windows nhưng user limited vẫn được phép ghi file vào các thư mục này. Đây là điểm yếu của hệ thống, chúng ta phải cấu hình lại với từng thư mục như thế để user limited vẫn được phép ghi file nhưng không được phép thực thi file ở đây.

Các ổ đĩa ngồi máy tính: việc khóa user chỉ có tác dụng ngăn chặn virus đến từ internet như ngăn mã độc trên web, mail gửi tới... mà chưa ngăn chặn đối với các ổ đĩa ngoài hệ thống như đĩa share trên mạng LAN, USB, CD, DVD... Để có một hệ thống sạch và an tồn hơn, chúng ta cần có các biện pháp đi kèm như:

+ Khóa user tồn bộ các máy trong mạng LAN.

+ Có chính sách an tồn trong việc dùng USB như đóng tất cả USB disk (việc đóng này khơng ảnh hưởng đến các thiết bị dùng USB khác như máy in, webcam…), chỉ sử dụng CD, DVD có nguồn gốc rõ ràng, có bản quyền, khóa autorun trên hệ thống…

Khơng nên thực hiện phân quyền lại cho nhóm administrator vì sẽ ảnh hưởng đến việc cài đặt chương trình mới. Hệ thống chỉ có tác dụng khi sử dụng user limited đã được khóa, hồn tồn khơng có tác dụng khi sử dụng user chưa được khóa.

Sử dụng các phương pháp mã hóa

Hiện nay, cơng ty đang sử dụng kỹ thuật mã hóa khóa cơng khai để mã hóa các dữ liệu, kỹ thuật mã hóa này có rất nhiều ưu điểm. Tuy nhiên, nó cũng có một số hạn chế do vậy công ty nên sử dụng thêm một số biện pháp, phương pháp khác để nâng cao được hiệu quả việc đảm bảo an tồn và bảo mật thơng tin khi truyền và nhận dữ liệu

Sử dụng mã hóa hệ thống tập tin (EFS-Encrypting File System)

Trong số phần lớn người sử dụng chúng ta, chắc hẳn các bạn đều đã biết rằng trong Windows XP, Windows 7 và phiên bản hệ điều hành mới nhất hiện nay – Windows 8 đều đã được tích hợp sẵn dịch vụ bảo mật dữ liệu dành cho người dùng khá đơn giản nhưng vô cùng hiệu quả chỉ vài thao tác thiết lập. Đó chính là Encrypted File Service hay còn gọi tắt là EFS

EFS thực chất là 1 dịch vụ bảo mật được tích hợp sẵn trong Windows kể từ phiên bản XP. Một khi dữ liệu đã được mã hóa bằng EFS thì chỉ có thể được truy cập và sử dụng bằng chính tài khoản thực hiện lệnh mã hóa đó. Mặc dù người dùng khác có thể nhìn thấy file dữ liệu đó, nhưng sẽ khơng thể mở được – cho dù đó là tài khoản Administrator đi chăng nữa. Chúng ta có thể sử dụng phương pháp mã hóa tích hợp nền tảng giấy phép này để bảo vệ các file và thư mục riêng biệt được lưu trữ trên phân vùng định dạng NTFS. Thao tác mã hóa file và thư mục rất đơn giản, chỉ cần click vào nút Advanced trên tab General của trang thuộc tính Properties. Lưu ý rằng chúng ta khơng thể sử dụng kết hợp mã hóa EFS và nén NTFS.

EFS sử dụng kết hợp mã hóa đối xứng và bất đối xứng cho cả bảo mật và thực thi. Để mã hóa file với EFS, người dùng phải có một giấy phép EFS, có thể được tạo bởi Windows Certification Authority, hay một giấy phép tự phân nếu khơng có Certificate Authority nào trên mạng. Các file EFS có thể được mở bởi tài khoản người dùng đã mã hóa chúng, hay bởi một tác nhân khơi phục chuyên dụng. Với Windows XP hay Windows 2003 chúng ta cịn có thể chỉ định những tài khoản người dùng khác được phân quyền để truy cập vào những file được mã hóa bằng EFS.

Lưu ý rằng EFS được sử dụng để bảo vệ dữ liệu trên ổ đĩa. Nếu gửi một file được mã hóa EFS qua mạng và ai đó sử dụng một Sniffer (trình phân tích dữ liệu) để đánh cắp thì họ có thể đọc dữ liệu trong file này.

Lưu ý rằng EFS được sử dụng để bảo vệ dữ liệu trên ổ đĩa. Nếu gửi một file được mã hóa EFS qua mạng và ai đó sử dụng một Sniffer (trình phân tích dữ liệu) để đánh cắp thì họ có thể đọc dữ liệu trong file này.

Sử dụng cơng cụ mã hóa ổ đĩa

Trong một số phiên bản của Windows Vista, Windows 7, Windows Server 2008 và Windows Server 2008 R2 tích hợp một cơng cụ mã hóa ổ đĩa khá mạnh có tên BitLocker. Mặc định, cơng cụ này sử dụng bộ mã hóa AES (Advanced Encryption Standard) vận hành theo chế độ .

Ngoài ra chúng ta có thể sử dụng nhiều cơng cụ mã hóa ổ đĩa nhóm ba khác cho phép mã hóa tồn bộ ổ đĩa. Khi mã hóa tồn bộ ổ đĩa, người dùng sẽ khơng thể truy cập vào dữ liệu trong đó. Dữ liệu sẽ được mã hóa tự động khi được ghi vào ổ đĩa này, và sẽ tự động được giải mã trước khi được tải vào bộ nhớ. Một số cơng cụ có thể tạo những vùng lưu trữ vơ hình bên trong một phân vùng, sau đó hoạt động như ổ đĩa ẩn bên trong một ổ đĩa. Những người dùng khác chỉ có thể thấy dữ liệu trong ổ đĩa ngồi.

Những cơng cụ mã hóa ổ đĩa có thể được sử dụng để mã hóa ổ đĩa di động. Một số cho phép tạo một mật khẩu chủ cùng với những mật khẩu phụ với quyền thấp hơn để cấp cho những người dùng khác, như Whole Disk Encryption, Drive Crypt, …

Nâng cấp hệ thống website

Việc đảm bảo an toàn dữ liệu của doanh nghiệp và thông tin về khách hàng luôn được đưa lên hàng đầu, chính vì vậy vấn đề nâng cấp website là giải pháp mà doanh nghiệp cần có biện pháp hiệu quả để tránh sự xâm nhập vào hệ thống với mục đích đánh cắp.

Sử dụng chữ ký điện tử (Public Key Infrastructure)

Một chữ ký điện tử Public Key Infrastructure (PKI) là một hệ thống quản lý những cặp Private Key và Public Key, và các giấy phép số. Do các khóa và giấy phép được phát hành bởi một cơng cụ nhóm ba đáng tin cậy nên bảo mật nền tảng giấy phép mà hệ thống này cung cấp khá mạnh.

Chúng ta có thể bảo mật dữ liệu muốn chia sẻ với người khác bằng cách mã hóa dữ liệu này với một Public Key và người được chia sẻ. Tất cả người dùng trong mạng sẽ thấy dữ liệu này, tuy nhiên duy nhất người dùng có Private Key tương ứng với Public Key mới có thể giải mã.

Nâng cấp phần cứng

Cơng ty đã sử dụng ổ cứng (16%) để đảm bảo an toàn và bảo mật dữ liệu. Tuy nhiên, phần cứng ở cơng ty có bị lỗi và khả năng phục hồi kém, tùy vào ngân sách chi ra đầu tư cho CNTT, trong q trình sử dụng có nhiều dữ liệu tài liệu thơng tin cần lưu trữ… Với dung lượng hạn chế không thể đáp ứng được nhu cầu của bạn, hoặc ổ cứng sử dụng lâu, cũ kỹ hoạt động chậm chạp… Đó cũng là lúc nghĩ đến việc nâng cấp ổ cứng cho máy tính.

Thực hiện sao lưu và phục hồi dữ liệu kịp thời và thường xuyên

Việc lấy dữ liệu ra khỏi máy tính và lưu ở một vị trí an toàn nhằm tránh việc dữ liệu bị mất do hư hỏng phần cứng, bất cẩn của người sử dụng (xóa nhầm, format đĩa cứng…) hoặc thiên tai, hỏa hoạn là cần thiết và quan trọng. Công ty thực hiện backup theo chu kỳ một tháng một lần, thời gian backup dữ liệu như vậy là khá lâu do vậy công ty nên backup dữ liệu thường xuyên hơn khoảng một tuần một lần để đảm bảo dữ liệu của công ty không bị thất lạc. Lượng dữ liệu sẽ bị mất nếu hệ thống bị đánh sập hoàn toàn.

Tuy nhiên, việc backup dữ liệu phải đảm bảo các các yếu tố sau:

- Có kế hoạch backup định kỳ: Kế hoạch này phải đảm bảo lưu đủ dữ liệu cần thiết, lưu đúng thời điểm, hạn chế thấp nhất mất mát dữ liệu.

- An toàn của dữ liệu: Các dữ liệu backup phải được mã hóa đúng cách phòng trường hợp dữ liệu này rơi vào tay kẻ xấu cũng khơng bị lộ bí mật.

- An ninh trong việc cất giữ: Việc di chuyển và lưu trữ các dữ liệu backup phải an toàn, tránh để thất lạc trên đường di chuyển hoặc tại nơi lưu trữ.

- Cách ly với môi trường đặt máy: các dữ liệu backup cần được lưu trữ tại địa điểm cách xa với nơi đặt máy. Nếu lưu trong cùng một ngôi nhà, chúng ta sẽ mất tất cả nếu có hỏa hoạn hay thiên tai, địch họa.

Cơng ty có thể sử dụng tiện ích backup được tích hợp trong hệ điều hành Windows (ntbackup.exe) để thực hiện những tiến trình backup cơ bản, ngồi ra, có thể sử dụng Wizard Mode để đơn giản hóa tiến trình tạo và khơi phục các file backup, hay có thể cấu hình thủ cơng các cài đặt backup và lên lịch thực hiện tác vụ backup để tự động hóa tác vụ này.

Data backup là việc tạo ra các bản sao của dữ liệu gốc, cất giữ ở một nơi an toàn. Và lấy ra sử dụng (restore) khi hệ thống gặp sự cố. Sao lưu (backup) dữ liệu là cách tốt nhất hiện nay để bảo vệ dữ liệu của trên máy tính.

Bảo mật dữ liệu truyền qua mạng wifi

Cơng nghệ thơng tin ngày càng phát triển, việc truyền và nhận thông tin dữ liệu được sử dụng chủ yếu qua mạng, Công ty hiện nay khơng cịn sử dụng nhiều mạng dây, mà thay vào đó chủ yếu là sử dụng Wifi cho các máy tính xách tay và máy tính cá nhân của cơng ty. Dữ liệu gửi qua mạng Wifi dễ bị tác động hơn so với khi gửi qua mạng Ethernet. Tin tặc không cần phải truy cập vật lý tới mạng hay các thiết bị trên đó, bất cứ người dùng nào sử dụng laptop đã được kích hoạt Wifi và một ăng ten thu phát sóng mạnh có thể đánh cắp dữ liệu hay đột nhập vào mạng và truy cập vào dữ liệu được lưu trữ trên mạng đó nếu điểm truy cập Wifi khơng được cấu hình bảo mật. Vì vậy để đảm bảo an tồn và bảo mật thơng tin thì Cơng ty cũng nên chú trọng việc bảo mật dữ liệu truyền qua Wifi

Chúng ta chỉ nên gửi và lưu trữ dữ liệu những mạng Wifi đã được mã hóa. Để mã hóa mạng Wifi, tốt nhất nên sử dụng Wifi Protected Access (WPS), mạnh hơn nhiều so với Wired Equivalent Protocol (WEP).