Nhận định các mối rủi ro

Một phần của tài liệu Xây dựng dịch vụ kiểm toán an ninh các truy cập vào một hệ thống trực tuyến (Trang 52 - 57)

Chương 4: XÂY DỰNG HỆ THỐNG KIỂM TOÁN

4.6 Nhận định các mối rủi ro

Để đánh giá hậu quả mà các mối đe dọa ảnh hưởng đến hệ thống ta áp dụng ma trận tính toán rủi ro 3x3 để đánh giá chung mối liên hệ giữa xác suất xuất hiện và mức độ ảnh hưởng của các rủi ro:

Bảng 4.4 Ảnh hưởng của các mối đe dọa Khả năng các

đe dọa

ảnh hưởng các mối đe dọa

Thấp (10) Trung bình (50) Cao (100)

Cao (1.0) Thấp

10x1.0=10

Trung bình 50x1.0=50

Cao 100x1.0=100 Trung bình (0.5) Thấp

50x0.5=25

Trung bình 50x0.5=25

Trung bình 100x0.5=50 Thấp (0.1) Thấp

100x0.1=10

Thấp 50x0.1=5

Thấp 100x0.1=10 Thay vào ma trận trên ta có được đánh giá về mức độ của các rủi ro như sau:

Bảng 4.5 Phân loại mức độ ảnh hưởng của các mối đe dọa

Nguy cơ Các mối đe dọa

Cao 10

Trung bình 2-9, 12-18 Thấp 1, 5, 19

Kiến nghị các chính sách sau khi đánh giá các cấp độ rủi ro cho hệ thống ta thấy hầu hết các mối đe dọa nằm ở mức trung bình, chỉ có mối rủi ro số 10 là ở mức cao.

PHẠM CHÍ VỌNG 44

Do đó các kiến nghị chính sách cần ưu tiên hàng đầu để hạn chế thấp nhất khả năng xuất hiện cũng như hậu quả khi nguy cơ này xảy ra.

Trong phần phân tích kiểm soát cũng đã chỉ ra các hoạt động cần thiết để giảm thiểu mức độ ảnh hưởng của các nguy cơ, nên các chính sách trong phần này nhằm toàn vẹn thêm hệ thống, nâng cấp đi theo chu trình phát hiện – bổ sung để hệ thống hoạt động ổn định.

Các kiến nghị cho hệ thống:

 Xây dựng hệ thống tường lửa mạnh mẽ để ngăn các cuộc tấn công và khai thác lổ hổng.

 Nâng cấp máy chủ, hệ thống sao lưu để đáp ứng được nhu cầu phục vụ số lượng lớn truy cập, hạn chế mất thông tin.

 Liên tục cập nhật các bảng vá cho Liferay, hệ điều hành, Apache, Mysql… không để các hacker khai thác lổ hổng.

 Hệ thống kiểm toán đang ở mức kiểm toán trên các tập tin nhật ký, chưa cảnh báo vi phạm theo thời gian thực nên cần nâng cấp hệ thống cảnh báo cho người quản trị bằng mail, gửi thông tin vi phạm ngay khi có vi phạm.

 Kết hợp hệ thống kiểm toán, hệ thống phát hiện xâm nhập với hệ thống chống tấn công, xâm nhập (chẳng hạn: Honeywall.net) để tạo nên một hệ thống mang tính ổn định lâu dài.

Kiểm toán hệ thống kết hợp chính sách an ninh [3]:

Chính sách bảo mật (Security Policy):

- Các sự kiện phải được ghi nhật ký gồm:

o Đăng nhập thành công hoặc thất bại.

o Các truy cập, tạo, xóa, chỉnh sửa, thay đổi quyền của một tài khoản, tập tin, hoặc các tài nguyên hệ thống.

o Thành công hoặc thất bại thực hiện các thao tác trên hệ thống.

o Thành công hoặc thất bại của tài khoản thực hiện việc truy cập, chỉnh sửa, xóa các tập tin nhập ký.

o Thêm, cập nhật, xóa tài khoản người dùng.

- Nội dung phải lưu vết:

o Thời gian của sự kiện.

o Thông tin liên quan nơi mà thực hiện thao tác như phần mềm, phần cứng…

PHẠM CHÍ VỌNG 45

o Loại sự kiện.

o Xác định tài khoản hoặc danh tính đối tượng.

o Kết quả của sự kiện (thành công hoặc thất bại).

- Các dữ liệu nhạy cảm, quan trọng đều phải được mã hóa trước khi truyền đi trong hệ thống mạng.

- Mật khẩu không được lưu trên hệ thống (ở chế độ đăng nhập một lần).

- Các tập tin nhật ký phải được lưu trữ, sao lưu định kỳ ít nhất 1 lần/1 tuần.

- Các tập tin nhật ký phải được lưu trữ ít nhất 1 năm, việc lưu trữ phải đảm tính an toàn.

- Một nhân viên không còn làm việc, chuyển công tác phải vô hiệu hóa, chỉnh sửa thông tin tài khoản, quyền truy cập đảm bảo tính bảo mật hệ thống.

- Yêu cầu mật khẩu tài khoản người dùng phải:

o Đối với tài khoản quản trị: chiều dài tối thiểu 8 ký tự, có ít nhất 1 số, 1 ký tự đặc biệt, một ký tự in hoa, lịch sử mật khẩu 2, đăng nhập thất bại tối đa 3 lần, reset đăng nhập thất bại 5 phút, thời gian khóa tài khoản 30 phút.

o Đối với tài khoản khách: chiều dài tối thiểu 6 ký tự, lịch sử mật khẩu 2, đăng nhập thất bại tối đa 5 lần, reset đăng nhập thất bại 30 phút, thời gian khóa tài khoản 30 phút, người dùng có thể tự thay đổi mật khẩu.

o Mỗi cá nhân tư bảo mật mật khẩu, không được cho người khác biết, hạn chế ghi lại mật khẩu dưới dạng ký tự có thể đọc được.

o Ô nhập mật khẩu phải ẩn các ký tự (not plain text).

o Tài khoản phải thay đổi mật khẩu trong lần đầu tiên đăng nhập.

- Các tài khoản không hoạt động (inactivity) trong 30 phút sẽ ngắt phiên giao dịch.

Chính sách truy cập (Access Policy): mỗi nhân viên phải được cấp tài khoản truy cập hệ thống.

- Sinh viên chỉ được xem, cập nhật các thông tin cá nhân.

- Nhân viên phòng đào tạo được cập nhật thông tin sinh viên, cập nhật điểm.

- Cảnh báo các hành động nguy hiểm và các thao tác thất bại của người dùng.

- Quyền hạn tối thiểu: hệ thống phải đặt một số quyền tối thiểu để một tài khoản có thể thực hiện một số quyền khi đăng nhập hệ thống.

PHẠM CHÍ VỌNG 46

o Thiết lập quyền hạn xem các thông tin công khai cho các khách không đăng nhập.

o Quyền hạn tối thiểu cho nhân viên đăng nhập như chỉnh sửa thông tin cá nhân, thay đổi mật khẩu....

o Các thay đổi quyền truy cập của tài khoản phải được ghi vết, lưu trữ ít nhất 1 năm.

- Điều khiển truy cập hệ thống: điều khiển truy cập giới hạn các truy cập thông tin hệ thống như việc đọc, ghi hoặc xóa dữ liệu bao gồm:

o Ngăn cản nhiều phiên làm việc cùng lúc của một tài khoản.

o Đảm bảo chỉ những người được cấp phép mới có thể thêm, sửa, gở bỏ thành phần trong hệ thống thông tin.

o Danh sách quyền truy cập (ACLs) được gán cho mỗi tài khoản như từng tài khoản, nhóm, máy tính, tiến trình, mỗi nhóm sẽ được chỉ định sử dụng tài nguyên cụ thể của hệ thống.

o Các tài nguyên nhạy cảm, các chức năng quan trọng phải giới hạn truy cập để đảm bảo chỉ có những người đủ quyền hạn có thể sử dụng như xem nhật ký, cập nhật quyền, xem dữ liệu trên cơ sở dữ liệu, cập nhật thiết bị mạng…

- Cảnh báo: hệ thống sẽ xuất các cảnh báo trong các trường hợp:

o Người dùng truy cập, thao tác không được cho phép.

o Không đăng nhập mà sử dụng các chức năng của hệ thống đòi hỏi phải có quyền hạn tối thiểu.

- Tất cả các truy cập từ xa phải được ghi vết, giám sát, điều khiển và chỉ cho tài khoản đặt quyền mới có thể truy cập từ xa.

Chính sách trách nhiệm (Responsibility Policy): các nhân viên chịu trách nhiệm các hành động của mình trên hệ thống.

- Người quản trị phải thực hiện sao lưu dữ liệu, lưu trữ ở nơi an toàn.

- Nhân viên tự bảo vệ các thông tin tài khoản.

- Không được tiết lộ các thông tin bí mật, các thông tin nhạy cảm ra bên ngoài, nếu để lộ thông tin sẽ bị kỷ luật và chịu trách nhiệm trước pháp luật.

- Tự bảo vệ các thông tin cá nhân, không được mang các thiết bị lưu trữ có chứa thông tin mật ra khỏi cơ quan.

- Nhân viên phải đăng xuất khỏi hệ thống trước khi kết thúc phiên làm việc với hệ thống.

PHẠM CHÍ VỌNG 47

- Nhân viên phải đảm bảo an toàn khi truyền dữ liệu trên mạng.

- Doanh nghiệp phải xem xét, đánh giá các chính sách theo từng giai đoạn (ít nhất 1 lần trong năm) để đánh giá tính hiệu quả, chính xác để cập nhật các chính sách.

- Nhân viên quản trị mạng sẽ nhận trách nhiệm về việc tạo, xóa, chỉnh sửa thông tin, gán quyền cho các tài khoản, đồng thời thường xuyên kiểm tra, cập nhật các quyền truy cập của nhân viên đảm bảo không có sai sót trong phân quyền.

Chính sách xác thực (Authentication Policy):

- Mỗi nhân viên chỉ có một tài khoản và một mật khẩu, tài khoản nằm trong một nhóm người dùng và có các quyền hạn xác định.

- Ghi nhật ký thời gian đăng nhập của nhân viên.

- Ghi nhật ký thiết bị đăng nhập.

- Ghi nhật ký đăng nhập thành công hoặc thất bại.

- Ghi nhật ký truy cập dữ liệu và thao tác trên dữ liệu.

- Thông tin xác thực (tài khoản, mật khẩu) phải được mã quá trong quá trình truyền dữ liệu.

Chính sách về yêu cầu khai báo dành cho người dùng (Declaration Policy):

- Nhân viên phải đăng ký tài khoản sử dụng hoặc được cấp tài khoản sử dụng hệ thống.

- Lập danh sách các tài khoản (danh sách trắng), tất cả các tài khoản này phải được đăng ký các thông tin cá nhân.

- Thay đổi vị trí, chuyển công tác của nhân viên phải báo cho người quản trị.

Người quản trị sẽ thực hiện thay đổi các thông tin, quyền truy cập cho nhân viên.

- Hủy người dùng: khi người dùng không còn làm việc với hệ thống, nghỉ việc… phải vô hiệu hóa tài khoản đăng nhập, vô hiệu hóa các thông tin mà tài khoản này có thể khai thác hệ thống đảm bảo người dùng này không thể thực hiện các thao tác trên hệ thống. Tài khoản này được giữ trên hệ thống 1 năm trước khi xóa khỏi hệ thống.

- Sinh viên, giáo viên không còn học, nghỉ làm việc hoặc ra trường thì tài khoản phải được khóa và lưu lại dữ liệu cá nhân.

PHẠM CHÍ VỌNG 48

Một phần của tài liệu Xây dựng dịch vụ kiểm toán an ninh các truy cập vào một hệ thống trực tuyến (Trang 52 - 57)

Tải bản đầy đủ (PDF)

(78 trang)