10 cách bảo vệ dữ liệu trong doanh nghiệp

10 cách bảo vệ dữ liệu trong doanh nghiệp

Nhiều tổ chức tập trung vào việc bảo vệ chống lại các

tấn công bên ngoài nhưng lại bỏ qua những hiểm họa

thậm chí còn nguy hiểm hơn nhiều: mất cắp dữ liệu

bởi ai đó bên trong công ty. Đây là một góc nhìn quan

trọng cần phải đề cập đến trong vấn đề bảo mật.

Các hacker tấn công "bắn hạ" mạng thường nhận

được rất nhiều sự quan tâm, vì vậy các công ty cũng

thường quan tâm đến việc bảo vệ chống lại những

mối đe dọa này. Tuy nhiên nếu tổ chức của bạn chỉ

tập trung vào kiểu bảo mật này, việc đó tương tự với

kiểu đặt tất cả cố gắng vào việc ngăn chặn một kẻ

mang bom tấn công vào công ty nhưng lại quên đi sự

quan tâm đến kẻ trộm lẩn trốn ở cửa sau và “đánh

cắp” đi tất cả những tài sản quý giá.

Một cách đáng tiếc, những đề phòng bảo mật dùng

để ngăn chặn các tấn công DoS, virus, worm, và các

tấn công khác lại dường như không thể giải quyết

được đến vấn đề sảo quyệt hơn: trộm dữ liệu công ty

cho mục đích gián điệp hoặc các mục đích khác. Sự

phơi bày các bí mật thương mại trước một đối thủ

cạnh tranh hoặc phóng thích các thông tin riêng tư

của công ty cho giới truyền thông, trong một số

trường hợp, có thể gây ra mất mát rất nhiều so với

thời gian ngừng hoạt động của máy móc.

Trong bài này chúng tôi sẽ giới thiệu cho các bạn

những gì cần phải thực hiện để bảo mật dữ liệu cho

công ty bạn.

1. Thực hiện nguyên tắc đặc quyền tối thiểu và

thiết lập các chính sách cho việc ghi chép

Có hai triết lý đối ngược nhau mà từ đó bạn có thể

thiết lập các chính sách truy cập mạng. Đầu tiên,

chính sách “mở tất cả”, giả thiết rằng tất cả dữ liệu có

sẵn đối với mọi người trừ khi bạn cần phải hạn chế

sự truy cập. Thứ hai, chính sách “đặc quyền tối

thiểu”, hoạt động trên giả định rằng tất cả dữ liệu đều

được hạn chế ở mức tối đa trước mỗi người dùng trừ

khi họ được trao quyền truy cập. Sau đó giống như

chính sách “cần biết” của các trung tâm tình báo

chính phủ: Trừ khi người dùng có nhu cầu cấp thiết

cần phải truy cập vào một file cụ thể, bằng không họ

sẽ không thể truy cập được nó.

Cần phải làm rõ một điều rằng, các nhân viên không

được copy các thông tin quan trọng hay mang nó về

nhà, hoặc email ra ngoài mạng nội bộ mà không có

sự cho phép. Mặc dù vậy, trừ khi đặt ra các chính

sách như vậy trong các văn bản giấy tờ và có chữ ký

của nhân viên để xác nhận, bằng không khó có thể

bắt người dùng của bạn thực thi tốt các chính sách

đó. Các nguyên tắc không được viết ra sẽ rất khó có

hiệu lực.

Các chính sách cũng cần phải cụ thể và có ví dụ cho

những gì bị cấm. Các nhân viên có thể không hiểu

nếu họ không được giải thích một cách tường tận,

chẳng hạn như việc email một tài liệu công ty dưới

danh nghĩa đính kèm đến ai đó bên ngoài mạng

(hoặc thậm chí đến chính tài khoản của họ ở nhà) sẽ

vi phạm chính sách copy tài liệu đó vào USB và nói

chuyện về nó bên ngoài công ty của mình.

Thêm vào đó, việc diễn đạt chính sách cần phải rõ

ràng để thể hiện sự cấm đoán không chỉ có các ví dụ

mà bạn đưa ra.

2. Thiết lập các đặc quyền hạn chế và thẩm định

truy cập

Không thể chỉ phụ thuộc vào các chính sách để bảo

vệ dữ liệu của mình. Hãy nói với các nhân viên

những gì họ không nên thực hiện, cách thức này sẽ

tránh được việc ai đó trong số họ thực hiện những sai

trái do cẩu thả. Sự thi hành các chính sách mang tính

kỹ thuật sẽ tước bỏ lựa chọn về việc có tuân theo hay

không của họ. Do đó bước đầu tiên trong việc bảo vệ

dữ liệu là thiết lập các đặc quyền thích hợp cho file và

thư mục. Cũng cần phải nói thêm rằng, dữ liệu trên

các mạng Windows nên được lưu dưới các ổ đĩa có

định dạng NTFS để có thể sử dụng các đặc quyền

NTFS cùng với đặc quyền chia sẻ. Định dạng NTFS

của ổ đĩa sẽ có nhiều chi tiết hơn đặc quyền chia sẻ

và áp dụng cho người dùng truy cập dữ liệu trên máy

tính nội bộ cũng như qua mạng.

Trong khi thực thi nguyên tắc đặc quyền tối thiểu, cần

cho phép người dùng mức đặc quyền thấp nhất có

thể để họ có thể thực hiện các công việc của mình.

Cho ví dụ, cấp đặc quyền “Read Only” để tránh người

dùng có thể thay đổi các file dữ liệu quan trọng.

Ngoài ra bạn cũng có thể thiết lập hành động thẩm

định file hoặc thư mục có chứa dữ liệu nhạy cảm để

có thể biết ai đã truy cập vào nó và truy cập khi nào.

Về vấn đề này bạn có thể tìm hiểu thêm về cơ chế

thẩm định truy cập đối tượng trên Windows Server tại

đây.

Ngoài ra còn có rất nhiều giải pháp thẩm định của các

bên thứ ba mà bạn có thể sử dụng để thẩm định truy

cập file trong các site lưu trữ:

- NTP Software File Auditor

- Blue Lance LT Auditor +

- isdecisions FileAudit for Windows

3. Sử dụng mã hóa

Một thuận lợi khác cho việc lưu trữ dữ liệu trên các

thiết bị có định dạng NTFS là khả năng sử dụng mã

hóa Encrypting File System (EFS). EFS được hỗ trợ

trong Windows 2000 và các hệ điều hành gần đây, nó

có thể chặn người dùng mở các file dữ liệu thậm chí

có các đặc quyền NTFS. Trong Windows XP/2003 và

các hệ điều hành gần đây, các thư mục mã hóa có

thể được chia sẻ với người dùng khác bằng cách gán

cho họ các đặc quyền nào đó thông qua hộp thoại mã

hóa.

Tuy nhiên vẫn có một con đường mà ở đó dữ liệu có

thể bị mất cắp là mất toàn bộ máy tính, đặc biệt nếu

nó là các máy tính laptop. Trong các phiên bản Vista

và Windows 7 Enterprise, Ultimate, bạn có thể sử

dụng chức năng mã hóa toàn bộ ổ đĩa để bảo vệ dữ

liệu trong trường hợp bị mất máy tính.

Ngoài các tính năng đi kèm các hệ điều hành của

Microsoft, bạn có thể lựa chọn các phần mềm thay

thế khác từ các hãng thứ ba như:

- PGP Whole Disk Encryption

- Check Point Full Disk Encryption Software Blade

4. Thực thi quản lý quyền

Một số hành vi trộm cắp dữ liệu có thể được ngăn

ngừa bằng cách sử dụng các phương pháp trên để

giữ cho những người không cần thiết không truy cập

vào dữ liệu đó. Tuy nhiên điều gì sẽ xảy ra nếu hành

vi trộm cắp đến từ những người mà bạn cần trao

quyền truy cập? Bạn có thể sử dụng tính năng

Windows Rights Management Services (RMS) và

Information Rights Management (IRM) trong nhiều

phiên bản Office 2003 và Office 2007 để ngăn chặn

người dùng chuyển tiếp, copy hay sử dụng sai các

thư tín điện tử và tài liệu Office (các file Word, Excel

và PowerPoint) mà bạn gửi đến họ. 5. Hạn chế sử

dụng thiết bị lưu trữ ngoài

Một trong những cách phổ biến nhất để mang các

thông tin dữ liệu ra khỏi tổ chức là copy nó vào các

thiết bị lưu trữ ngoài. Các ổ USB ngày nay có giá

thành rất rẻ và cũng rất dễ che dấu, dung lượng lưu

trữ ngày càng cao. Ngoài ra người dùng cũng có thể

copy file dữ liệu sang các thiết bị iPod hoặc MP3

player, hoặc vào các đĩa CD, DVD bằng cách sử

dụng ổ ghi. Để tránh tình trạng mất dữ liệu kiểu này,

bạn cần hạn chế vĩnh viễn sự cài đặt các thiết bị USB

bằng cách gỡ bỏ tất cả các cổng vật lý hoặc bịt chúng

bằng một hợp chất nào đó. Ngoài biện pháp vật lý nói

trên, bạn có thể sử dụng các phần mềm để vô hiệu

hóa việc sử dụng các thiết bị ngoài trên các máy tính

cá nhân hoặc trong toàn bộ mạng.

Trong Vista, bạn có thể hạn chế sử dụng thiết bị

ngoài (như USB hoặc CD/DVD burner) thông qua

Group Policy. Ngoài ra bạn cũng có thể tham khảo

thêm các sản phẩm của các hãng thứ ba, chẳng hạn

như Portable Storage Control (PSC) của GFI là một ví

dụ.

6. Kiểm soát tốt các laptop

Một cách nữa mà người dùng có thể lấy đi các file dữ

liệu quan trọng trong tổ chức bạn là kết nối với mạng

nội bộ bằng laptop hoặc thiết bị cầm tay, copy các file

vào ổ cứng của nó, sau đó mang máy tính đi nơi

khác. Để tránh tình trạng này, bạn cần duy trì sự kiểm

soát chặt chẽ về việc sử dụng máy tính kết nối với

LAN, không chỉ từ xa mà còn cắm trực tiếp vào hub

hoặc switch trong mạng của bạn.

Có thể sử dụng Ipsec để ngăn chặn các máy tính

không phải là thành viên miền có thể kết nối với máy

chủ file và các máy tính khác trong mạng LAN.

7. Thiết lập các nguyên tắc cho nội dung gửi đi

Tường lửa có thể thực hiện khóa chặn lưu lượng và

không cho gửi vào, ra khỏi mạng. Chúng cũng có thể

cho phép một số lưu lượng nào đó có thể rời mạng.

Dữ liệu của bạn có thể được gửi ra bên ngoài hoặc

nó có thể được gửi ra một cửa ảo thông qua email,

tính năng chia sẻ file ngang hàng,… Bạn có thể thiết

lập tường lửa để khóa một số kiểu giao thức gửi ra,

chẳng hạn như những giao thức được sử dụng bởi

phần mềm P2P.

Có thể thiết lập máy chủ mail sao cho nó khóa chặn

việc gửi các đính kèm gửi đi. Ngoài ra bạn có thể

khóa nội dung gửi đi bởi các từ khóa bằng các thiết

bị, phần mềm hoặc dịch vụ lọc nội dung như:

- Microsoft ForeFront technologies

- McAfee’s MX Logic

- GFI Mail Security

- Google’s Postini

8. Kiểm soát truyền thông không dây

Dù có thể khóa việc gửi đi một số dữ liệu nào đó

bằng tường lửa hoặc các hệ thống lọc, nhưng vẫn có

người có thể kết nối laptop trong công ty đến một

mạng không dây khác. Hoặc vẫn có người có thể truy

cập Internet qua cách sử dụng điện thoại di động làm

modem. Để phòng tránh những lỗ hổng này, bạn cần

phải kiểm soát chặt chẽ các mạng không dây gần đó,

và nếu có thể, cần phải thực thi biện pháp khóa tín

hiệu của chúng một cách hợp lý.

9. Kiểm soát sự truy cập từ xa

Người dùng có thể không nhất thiết phải ở trong công

ty mới có thể lấy được dữ liệu công ty của bạn. Với

sự phổ biến của việc liên lạc từ xa và làm việc trên

đường, họ hoàn toàn có thể truy cập mạng công ty

thông qua nhiều kỹ thuật truy cập từ xa.

10. Cần biết các phương pháp đánh cắp dữ liệu

mới nhất

Cần phải nhớ rằng dữ liệu của bạn có thể bị lấy đi

dưới nhiều dạng khác nhau. Người dùng có thể in ra

một tài liệu và mang nó ra khỏi công ty, hoặc kẻ trộm

có thể đánh cắp các tài liệu đã được in ấn từ các

thùng rác nếu chúng chưa được xén nát. Thậm chí

nếu có thực thi công nghệ như quản lý quyền để

ngăn chặn hành động copy và in ấn tài liệu thì vẫn có

người có thể sử dụng kỹ thuật chụp ảnh màn hình

hoặc thậm chí ngồi và copy các thông tin một cách

thủ công. Cần biết tất cả các cách có thể lấy đi những

dữ liệu quan trọng của bạn, từ đó bạn mới đưa ra các

bước bảo vệ chống lại chúng.