▪ Hạn chế tối đa việc sử dụng máy tính công cộng hoặc các điểm truy cập Internet công cộng (mạng không dây hoặc có dây) cho các mục đích, truyền thông các thông tin quan trọng, nhạy cảm và truy cập các hệ thống(thư điện tử, các ứng dụng nghiệp vụ ...).
Trường hợp bắt buộc phải sử dụng thì thông tin, dữ liệu quan
trọng, nhạy cảm cần được mã hóa (như đặt mật khẩu mở file, ...) hoặc chỉ cung cấp các thông tin này trên các website sử dụng
HTTPS với chứng thực SSL trực tuyến, duyệt chế độ ẩn danh hoặc xóa hết lịch sử truy cập.
▪ Hãy là “vô danh” trên Internet: không chia sẻ, lưu trữ hoặc có biện pháp che (markup) các thông tin quan trọng, nhạy cảm lên
Internet, đây có thể là thông tin cơ sở để kẻ xấu lợi dụng khai thác, tấn công. Nếu có thì phải kiểm soát chặt chẽ.
▪ Biết mình đang làm gì, làm ở đâu và làm với cái gì trên mạng:
đừng nhấp chọn những liên kết đến những website không biết, những hình ảnh (kiểu mời gọi những trang tự nhiên sổ ra “bất
thình lình”, ... Và mọi thứ nếu không biết đằng sau chúng là gì, tốt nhất nên đóng an toàn luôn.
6. Nguyên tắc truy cập internet an toàn
▪ Hãy cảnh giác trước các tấn công kiểu giả danh (Spoofing Attack) và đánh lừa (Social Engineering): có thể cái bạn đã nhìn không phải thật như cái bạn đang nghĩ ... Hãy đa nghi 1 chút sẽ được an toàn!
▪ Đề phòng những kẻ “rình mò qua vai”: bằng việc “rình mò qua vai” tên đăng nhập, các kí tự trong mật khẩu, thông tin khác đang thao tác, đây là cách đơn giản mà hiệu quả để kẻ xấu dò và lấy trộm tài khoản và các thông tin quan trọng, nhạy cảm của bạn.
▪ Tải và sử dụng các tệp tin (phần mềm, tài liệu, tiện ích mở rộng, ...) từ các nguồn đáng tin cậy và có bản quyền:
muốn tải phần mềm nào đó từ internet thì bạn tuân thủ theo thứ tự ưu tiên sau từ nguồn mà Hãng/nhà sản xuất cung cấp, sau đó mới đến các nguồn đáng tin cậy khác.
Ưu tiên sử dụng phần mềm có bản quyền, các phần mềm
6. Nguyên tắc truy cập internet an toàn
▪ Khi mua hàng online hay sử dụng thẻ ngân hàng luôn để ý rằng kết nối đang được mã hóa
▪ URL bảo mật bắt đầu với HTTPS://
▪ Hầu kết các trình duyệt sẽ cảnh báo khi truy cập trang không an toàn (hãy để ý)
10 ghi nhớ quan trọng
▪ Không bao giờ viết ra, chia sẻ mật khẩu của bạn
▪ Không mở, click vào đường dẫn, file đính kèm trong mail lạ
▪ Luôn cài đặt, sử dụng phần mềm diệt virus, tường lửa
▪ Không gửi các dữ liệu nhạy cảm qua kênh không được mã hóa
▪ Hủy dữ liệu đúng cách
▪ Cắt chéo
10 ghi nhớ quan trọng
▪ Không mở, chạy chương trình từ nguồn không tin cậy
▪ Khóa máy tính khi bạn ra ngoài
▪ Bảo vệ dữ liệu phù hợp
▪ Dùng két sắt, tủ khóa cho tài liệu vật lý
▪ Mã hóa với các dữ liệu số
▪ Xác minh là đúng người, đúng website,...
▪ Điều tốt đẹp không tự nhiên đến
Ph ần 5: Th ực hành
Nội dung thực hành
▪ Cấu hình, thiết lập Firewall trên Windows
▪ Rà soát tài khoản
▪ Bộ công cụ Sysinternals Suite
▪ Thực hành phần mềm diệt virus
▪ Mã hóa ổ cứng
▪ Thiết lập trình duyệt an toàn
Thực hành: Cấu hình, thiết lập Firewall trên Windows
▪ Bật, tắt tường lửa
▪ Cấu hình cho phép dịch vụ chạy
▪ Cấu hình cho phép ứng dụng chạy
Thực hành: Rà soát tài khoản
▪ Mở phần thiết lập tài khoản
▪ Ngưng các tài khoản không sử dụng
▪ Tạo tài khoản cho người dùng
Thực hành: Bộ công cụ Sysinternals Suite
▪ https://docs.microsoft.com/en-us/sysinternals/
downloads/sysinternals-suite
▪ Kiểm tra tiến trình (Process Explorer). Kiểm tra có phải viurs
▪ Kiểm tra autorun (Autoruns)
▪ Hiển thị thông tin máy tính
▪ Giám sát mạng (TCP View)
▪ Hiển thị thông tin chia sẻ (ShareEnum)
Thực hành: Thực hành phần mềm diệt virus
▪ Cài đặt sử dụng Avast
Thực hành: Mã hóa ổ cứng
▪ Thực hành mã hóa ổ cứng với BitLocker
Thực hành: Thiết lập trình duyệt an toàn
▪ Cài đặt, sử dụng Firefox
▪ Cài đặt sử dụng Plugin: Https Everywhere,
Privacy Badger, Noscript, Click& Clean, AdBlock
▪ Duyệt web chế độ riêng tư
Ph ầ n 6: ATTT trong tr ường h ọc
Sự kiện ?
▪ Giân lận kết quả thi THPT năm 2018 tại một số tỉnh
▪ Sinh viên tấn công sửa điểm thị tại trường Đại học FPT để sửa điểm năm 2012
Cần bảo vệ gì ?
▪ Tài sản, thiết bị
▪ Hồ sơ, giấy tờ
▪ Máy tính, thiết bị di động
▪ ...
▪ Các hệ thống phần mềm quản lý, website, email
▪ Dữ liệu nhà trường
▪ Điểm thi, hồ sơ, học bạ điện tử
▪ Dữ liệu thi cứ
▪ Kế toán
▪ Dữ liệu phần mềm kế toán
▪ Dữ liệu bảo hiểm,...
▪ Máy tính, mạng
Một số biện pháp bảo vệ
▪ Các tài sản vật lý:
▪ Giao cá nhân quản lý
▪ Thường xuyên kiểm kê
▪ Các hệ thống phần mềm quản lý, email
▪ Có biên bản, quyết định giao tài khoản, quyền quản lý cho cá nhân, nhân viên...
▪ Không sử dụng chung, chia sẻ tài khoản đăng nhập phần mềm cho nhiều người.
▪ Yêu cầu đặt mật khẩu mạnh cho các tài khoản.
▪ Không truy cập các phần mềm này ở các thiết bị công cộng (quán internet, thiết bị công cộng, wifi công cộng).
▪ Không sử dụng thông tin công vụ cho mục đích cá nhân.
Một số biện pháp bảo vệ
▪ Kế toán
▪ Trang bị ổ cứng di động để sao lưu dữ liệu
▪ Dữ liệu cần được sao lưu sau mỗi lần thay đổi
▪ Hạn chế kết nối Internet trên máy tính kế toán
▪ Tăng cường các biện pháp bảo vệ: hạn chế cài phần mềm, cấm cắm usb, đặt mật khẩu,...
▪ Máy tính, mạng
▪ Giao cán bộ chuyên trách quản trị hệ thống máy tính, mạng
▪ Trang bị phần mềm diệt virus cho tất cả máy tính
▪ Hạ chế sử dụng thiết bị lưu trữ di động (USB, ổ cứng di động,...)
▪ Tăng cường các biện pháp bảo vệ: hạn chế cài phần mềm, cấm cắm usb, đặt mật khẩu,...
▪ Con người
▪ Cử cán bộ tham gia đào tạo, học tập nâng cao kiến thức
▪ Phổ biến các cảnh báo ATTT đến cán bộ, nhân viên.
Phầ n 7. Một số vă n b ản về ATTT
Một số văn bản về ATTT
▪ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29 tháng 6 năm 2006;
▪ Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015;
▪ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động cơ quan nhà nước;
▪ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
▪ Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chỉnh phủ ban hành quy định về hệ thống phương án ứng cứu khấn cấp bảo đảm an toàn thông tin mạng quốc gia;
Một số văn bản về ATTT
▪ Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ Thông tin và Truyên thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
▪ Thông tư số 20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
▪ Q u yết đ ịn h số 5 6 / 2 0 1 4 / QĐ- U B N D n g à y 28/11/2014 ban hành Quy chế đảm bảo an toàn thông tin, an ninh thông tin trong hoạt động ứng dụng CNTT của cơ quan nhà nước tỉnh Vĩnh Phúc
Một số văn bản về ATTT
▪ Chỉ thị 14/CT-TTg về việc nâng cao năng lực phòng, chống phần mềm độc hại.
▪ Quyết định số 5809/QĐ-BGDĐT về quy chế đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của các đơn vị thuộc Bộ Giáo dục và Đào tạo
Một số văn bản về ATTT - Đào tạo
▪ Quyết định 893/QĐ-TTg về Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020.
▪ Quyết định 99/QĐ-TTg về Đề án “Đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020”
Một số văn bản về ATTT - Hướng dẫn
▪ Hướng dẫn một số giải pháp tăng cường bảo đảm an toàn cho hệ thống thông tin 3024/BTTTT- VNCERT
▪ Hướng dẫn đảm bảo an toàn thông tin cho các Cổng/Trang thông tin điện tử 2132/BTTTT- VNCERT
Một số văn bản về ATTT