B o m t hi u qu - DN Vi t Nam c n làm gì?
Bài vi t c p nh t vàoế 10/05/2006 15:49:04
Chính sách b o m t (security policy) có vai trò quy t ế
đ nh trong vi c tăng c ng các gi i pháp an ninh m ng ườ
c a DN, t ch c. Tuy nhiên không ph i DN nào cũng có
các chính sách b o m t h p lý .
Sau Indonesia, Malaysia, Philippin và Thái Lan, m t h i
th o trong khuôn kh ch ng trình “Asia Security ươ
roadshow” đã đ c t ch c t i Hà N i vào ngày 5/5 đượ
c p đ n cácế v n đ v chi n l c ế ượ c th c a an ninh
m ng Vi t Nam.
Trong bu i h i th o, bài trình bày c a ông Steve Riley
(Giám đ c ch ng trình c p cao Nhóm công ngh ươ
kinh doanh b o m t) v n i dung Security Policy (chính sách b o m t) cho DN đ c ượ
đông đ o đ i bi u tham d chú ý.
Các chính sách b o m t doanh nghi p th ng b th t b i t đ u. ườ Vì sao?
Có m t th c t là r t nhi u DN, t ch c VN hi n nay đ u có website ho c các h ế
th ng ng d ng CNTT. Các DN cũng đ u bi t t i b o m t và t m quan tr ng c a nó. ế
Cũng có m t s DN đã áp d ng các chính sách b o m t và an ninh m ng, nh ng đôi ư
khi nó không h tác d ng. Vì sao v y?
Stive Riley đ a raư ba nguyên nhân chính khi n các chính sách b o m t DN th ng bế ườ
th t b i:
- Ng i xây d ng chính sách b o m t không đánh giá đ c giá tr c a thông tin mìnhườ ượ
đang b o v . R t nhi u ng i đ l thông tin bí m t v h th ng trong nh ng hoàn ườ
c nh không c n thi t và vô tâm... ế
- Ng i xây d ng chính sách b o m t không đánh giá đ c h t các chính sách c aườ ượ ế
mình v ch ra s đ c hành đ ng và tri n khai nh th nào trong th c t . ượ ư ế ế
- B o m t luôn đ t ra nh ng ngăn tr . Và n u các chính sách b o m t t o ra s phi n ế
toái không đáng có, nó s b ng i dùng b qua nh th r lên v a hè đ đi qua đo n ườ ư
t c đ ng v y! Ph i đ n gi n hóa ườ ơ sao cho v n đ m b o các yêu c u b o m t, mà
không quá phi n toái.
Nguy c trong quá trình th c hi n chính sách b o m t?ơ
Nguy c đ u tiên, các quy trình an ninh m ng luôn "ngáng đ ng", luôn đ t ra nh ngơ ườ
tr ng i đ v t qua và nhi u khi, nó b b qua m t cách c ý nh ng i ta v t đèn ượ ư ườ ượ
đ lúc v ng ng i. ườ
Ông Steve Riley: "an ninh m ng là các gì đó
không thu n ti n, nh ng nó có vai trò quan ư
tr ng và nh h ng tr c ti p đ n ho t đ ng ưở ế ế
nghi p v c a chúng ta" ( nh: Th Phong) ế
Nguy c th hai, có nhi u đi u không rõ ràng trong b o m t, ch ng h n không có cáchơ
nào đánh giá đ c giá tr c a vi c chúng ta tham gia m ng. Nhi u khi giá tr các thôngượ
tin liên quan đ n an ninh m ng b xem nh .ế
Th ba, y u t con ng i luôn đ t ra nh ng đi m y u r t khó kh c ph c trong b o ế ườ ế
m t.
Con ng i khi t ng tác v i máy tính xu t hi n nhi u khó khăn có th tr thành cácườ ươ
nguy c v b o m t:ơ Đánh giá r i ro kém; Con ng i x lý các tình hu ng ngo i l ườ
(không quen) t i; H th ng chuy n giao ý nguy n đ các ch ng trình máy tính th c ườ ươ
hi n và đa s tin t ng, l i hoàn toàn vào máy tính; Nh ng máy móc có th h ng ưở ư
hóc và g p s c ; Ai cũng c n b o m t h th ng c a mình, nh ng n u ph i m t thì ư ế
gi , ph i khó khăn thì ng i ta s tìm cách b qua! ườ
Khi t n công vào công ngh ngày càng khó và ph c t p, ng i ta s chuy n h ng ườ ướ
t n công vào con ng i đ đ t m c đích. T i sao t n công vào con ng i l i d dàng ườ ườ
h n? Vì con ng i có r t nhi u đi m y u: d dàng tin t ng, s n sàng giúp đ , d bơ ườ ế ưở
kích thích...
Riley cho r ng b ph n h tr , d ch v khách hàng luôn là b ph n d b t n công đ
l y thông tin nh t trong các DN và t ch c. Ông đ a ra nhi u gi i thích và trình bày ư
nh ng ki u "t n công vào lòng ng i" ph bi n: Đánh vào trách nhi m: " ườ ế S p anh đãế
đ ng ý r i, anh không ph i lo "; Dùng s d d :" ựụỗ Làm đi u này, anh s có nhi u cái
l i..." Tranh th lòng tin: "Tôi là ng i v n th ng làm vi c v i c quan anh hàngườ ườ ơ
tháng, có gì nguy hi m khi tôi đang v i không k p đ a gi y xu t trình đâu? ư "; Đánh vào
trách nhi m tinh th n: " N u không giúp tôi, l có chuy n gì anh gánh ch u đ cế ượ
ch ?"; Làm cho ng i ta x u h n u không giúp mình; Cũng có th dùng cách l iườ ế
d ng các đi m chung nào đó đ nh làm cùng, chi n thu t l i h i khác là "c u xin". ế
Cu i cùng, Riley nói - các nguy c xu t hi n trên m ng hoàn toàn không có gì là m i, ơ
t t c đ u đã có r t lâu trong l ch s . Nh ng công ngh m i giúp cho các nguy c này ư ơ
thêm m nh và có nh ng cách th hi n khác đi. "Phising ? T i ph m ăn c p đ nh danh ư
chính là gi m o và đã có t lâu r i!" - Riley l y ví d .
Làm sao đ có m t chính sách b o m t t t?
Đ u tiên, Riley nói: "Đó là v n đ nh n th c!" , nh ng ng i lãnh đ o c n hi u r ng, ườ
"b o m t là các gì đó không thu n ti n, nh ng nó có vai trò quan tr ng. Không có nó ư
b n có th đi nhanh h n, nh ng cũng có th không bao gi đ n đích." ơ ư ế
"Không có công c hay ph n m m b o m t nào gi i quy t đ c t t c các v n đ ế ượ
c a b n" . Đ có th làm b o m t t t, không ch d a vào thi t b , công c m nh hay ế
nhân l c d i dào, mà còn c n m t quy trình h p lý, m t chính sách t i u đ v n hành ư
quy trình đó.
Chính sách b o m t t t ph i quan tâm kh c ph c đ c các y u đi m trong mã ch ng ượ ế ươ
trình, trong khi c u hình h th ng sai, hay có s n các ph ng án kh c ph c l i tình ươ
hu ng.
"Th c t là có nhi u chính sách b o m t t i đ n m c, ng i ta ch tìm cách b qua ế ế ườ
các công đo n sau c a nó. Nh v y chính sách b o m t c n t o đi u ki n cho các đ n ư ơ
v nghi p v ho t đ ng t t. Nh ng nó cũng ph i khi n cho lãnh đ o và nhân viên nhìn ư ế
th y các giá tr thông tin mà chúng ta có."
Đ đ m b o r ng chính sách b o m t ph n ánh đúng nhu c u c a các d ch v , b n
ph i ch c ch n r ng Chính sách cho phép ta x lý nh ng tr ng h p không rõ ràng, và ườ
ph i đ c ph bi n r ng rãi đ n m i ng i. ượ ế ế ườ
Th ng xuyên th nghi m t n công chính h th ng c a mình! Đ ng th i giáo d c,ườ
đào t o liên t c cho ng i s d ng.ườ
Giáo d c cho b ph n h tr d ch v , chăm sóc khách hàng... v các v "t n công vào
lòng ng i" đ l y thông tin. Đ ng th i c n có s h tr c a lãnh đ o c p cao đ cácườ
b ph n này có th nói "không" khi c m th y mình đang b t n công nh v y. ư
"Vi t Nam có th tr thành trung tâm l n b o m t l n c a khu
v c!"
PV VietNamNet đã có cu c trao đ i v i b n chuyên gia b o m t và an
ning m ng c a Microsoft, g m: ông Steve Riley, Giám đ c ch ng ươ
trình c p cao Nhóm công ngh và kinh doanh b o m t), Bà Jacqueline
Peterson Javis, tr ng nhóm phát tri n sáng ki n b o m t - Securityưở ế
Mobilization Initiative Lead), ông Mathew Hardman, Chuyên viên ISV
Developer Evangelist), ông Simon Piff, Giám đ c gi i pháp khu v c
châu Á - TBD).
- Các v có nh n xét ban đ u th ế
nào v v n đ an ninh m ng c a
Vi t Nam hi n nay?
- Chúng tôi h i b t ng vì cu c h iơ
th o l n này c a chúng tôi t i Hà
N i có t i h n 800 ng i tham d . ơ ườ
Đi u đó cho th y b o m t, an ninh
m ng là v n đ nóng và đang r t
đ c gi i CNTT Vi t Nam quanượ
tâm. Chúng tôi cũng nh n th y, các
b n b t nh p CNTT mu n, nh ng ư
đ i l i, có m t h th ng c s h ơ
t ng xu t phát đi m t ng đ i hi n ươ
đ i và ti m c n các công ngh m i
nh t. Đi u đó khi n chúng tôi nhìn ế
th y Vi t Nam nh ng c s đ ơ
tr thành trung tâm l n v an ninh m ng và b o m t c a khu
v c.
Tuy nhiên, nh n th c c a s đông d ng nh luôn là v n đ l n m i ườ ư
n i?! Chúng tôi nghĩ đã đ n lúc đ t v n đ giáo d c và đào t o lênơ ế
hàng đ u. Nh t là v i nh ng ng i n m gi k thu t các h th ng, ườ
không th gi đ nh r ng h n m rõ h th ng, chính sách và quy trình
b o m t, mà ph i ch c ch n h đã n m rõ!
- T i sao các ph n m m Firewall, Security center... c a Microsoft trên
PC không có các tính năng l c gói tin đi, đ h n ch các v n đ nh ế ư
máy tính zombie có th b đi u khi n tham gia t n công DDoS?
- Ch c năng chính c a t ng l a là ch n các gói tin đ n. M t s ng i ườ ế ườ
cũng làm firewall v i c ch ki m soát gói tin đi, nh ng nh th s t o ơ ế ư ư ế
ra nhi u khó khăn trong đ u ra c a thông tin mà chúng ta khó gi i
quy t đ c. Ngoài ra, th c t là có r t nhi u công ngh có th “đánhế ượ ế
l a” đ c t ng l a, nên n u có tích h p các tính năng này cũng h u ượ ườ ế
nh vô nghĩa.ư
Tuy nhiên, trong firewall m i c a Windows Vista, chúng tôi có tích h p
tính năng ki m soát thông tin đ u ra, nh ng theo m t c ch t ng th . ư ơ ế
Ch ng h n khi máy tính c a b n thu c m t mi n, hay m t nhóm nào
đó (trong m ng n i b c a DN ch ng h n) thì s không đ c dùng ượ
m t s ph n m m, hay truy c p vào m t s đ a ch (có nguy c đ n ơ ế
v n đ b o m t) mà ng i n m gi h th ng quy đ nh. Ví d : M t s ườ
t ch c không cho các máy tính thành viên s d ng Yahoo!
Messenger (chat) nh m đ m b o không b lây lan virus ho c không
th t thoát thông tin..
- ActiveX v n v n đ c coi là đi m y u trong c ch b o m t c a ượ ế ơ ế
Microsoft, nh ng nó đ c đ c p r t s sài trong phiên b n ISAư ượ ơ
Server 2004?
- ActiveX là m t c ch cho phép ch y các ch ng trình trên đó, n u ơ ế ươ ế
gi đ nh ActiveX gây ra l i là không chính xác. Mà có l do b n thân
các ch ng trình ch y trên nó vi t kém thì đúng h n. Chúng ta cũng cóươ ế ơ
th t t tính năng ActiveX đi, nh ng nh th s có m t s ch ng trình ư ư ế ươ
Các di n gi c a Microsoft : “Vi t Nam
nh ng c s đ tr thành m t trung tâm ơ
hàng đ u v an ninh m ng trong khu v c”
( nh Th Phong) ế
không th ch y đ c. V n đ này liên quan đ n vi c b n ph i l a ượ ế
ch n gi a tính an toàn tuy t đ i c a công ngh và tính đ n gi n ti n ế ơ
d ng cho ng i dùng. ườ
- Xin c m n các v ! ơ
vietnamnet