1
Nhng hướng dn tăng cường an toàn, bo mt cho
h thng mng
Bài viết này s trình bày các vn đề được xem là nn tng ca an toàn, bo mt trong mt t chc,
doanh nghip. Các vn đề được trình bày bao gm c bo mt mc h thng ng dng s là cơ
s cho các t chc khi mun xây dng cơ chế bo mt. Tài liu cũng giúp bn rút ngn được thi
gian tiếp cn vn đề đảm bo an toàn cho h thng mng ni b ca mình. Bn không cn mt
nhiu thi gian để tìm hiu mi th. Khi xem xét mi vn đề, nơi tt nht để khi đầu chính là các
căn bn – đây, chúng tôi s trình bày 6 bước cơ bn để h thng bo mt tt hơn.
Bước 1: Thành lp b phn chuyên trách v vn đề bo mt
Bt k kế hoch bo mt nào cũng cn s h tr trên nhiu phương din khác nhau, nếu nó mun
thành công. Mt trong nhng phương thc tt nht đểth được s h tr là nên thiết lp mt b
phn chuyên trách v vn đề bo mt. B phn này s chu trách nhim trước công ty v các công
vic bo mt.
Mc đích trước tiên ca b phn này là gây dng uy tín vi khách hàng. Hot động ca b phn này
s khiến cho khách hàng cm thy yên tâm hơn khi làm vic hoc s dng các dch v ca công ty.
B phn này có trách nhim thường xuyên cung cp các lưu ý, cnh báo liên quan đến an toàn bo
mt thông tin nhm tránh các ri ro đáng tiếc cho khách hàng và công ty.
B phn này còn có trách nhim tìm hiu, đưa ra gii pháp, cơ chế bo mt cho toàn công ty. S
hiu qu và xác thc hơn khi công vic này được thc hin bi chính đội ngũ trong công ty thay vì đi
thuê mt công ty bo mt khác thc hin.
Cui cùng, mt b phn chuyên trách v vn đề bo mt có th thay đổi cách làm, cách thc hin
công vic kinh doanh ca công ty để tăng tính bo mt trong khi cũng ci tiến được sc sn xut,
cht lượng, hiu qu và to ra sc cnh tranh ca công ty. Ví d, chúng ta hãy nói đến VPN (Virtual
Private Network), đây là mt công ngh cho phép các nhân viên đảm bo an toàn khi đọc email, làm
vic vi các tài liu ti nhà, hay chia s công vic gia hai nhân viên hay hai phòng ban.
Bước 2: Thu thp thông tin
Trước khi đưa ra các thông báo mô t thc hin bo mt, bn phi lường được mi tình hung s
xy ra, không ch bao gm toàn b các thiết b và h thng đi kèm trong vic thc hin bo mt mà
còn phi kế đến c các tin trình x, các cnh bo bo mt, s thm định hay các thông tin cn
được bo v. Điu này rt quan trng khi cung cp mt cái nhìn bao quát v h thng bo mt ca
công ty. S chun b này cũng nên tham chiếu ti các chính sách bo mt cũng như các hướng dn
thc hin ca công ty trong vn đề an toàn bo mt. Phi lường trước được nhng gì xy ra trong
tng bước tiến hành ca các d án.
Để kim tra mc độ yếu kém ca h thng, hãy bt đầu vi nhng vn đề có th dn ti độ ri ro
cao nht trong h thng mng ca bn, như Internet. Hãy s dng cơ chế bo mt bên ngoài t sn
phm ca mt hãng có danh tiếng, có th cung cp thông tin cn thiết để ước lượng mc bo mt
hin ti ca công ty bn khi b tn công t Internet. S thm định này không ch bao gm vic kim
tra các l hng, mà còn gm c các phân tích t người s dng, h thng được kết ni bng VPN,
mng và các phân tích v thông tin công cng sn có.
Mt trong nhng cân nhc mang tính quan trng là thm định t bên ngoài vào. Đây chính là đim
mu cht trong vic đánh giá h thng mng. Đin hình, mt công ty s dng cơ chế bo mt bên
ngoài, cung cp các dch v email, Web theo cơ chế đó, thì h nhn ra rng, không phi toàn bc
tn công đều đến t Internet. Vic cung cp lp bo mt theo account, mng bo v bn thân h t
chính nhng người s dng VPN và các đồng nghip, và to ra các mng riêng r t các cng truy
cp đầu cui là toàn b các ưu thế ca cơ chếy.
Cơ chế bo mt bên trong cũng giúp vic qun lý bo mt công ty được tt hơn. Bng cách kim tra
toàn b công vic kinh doanh, các cơ chế chính sách, các quá trình x lý, xác thc d liu tương
phn vi nhng gì được mô t, hay s tương thích vi nhng chun đã tn ti được thm định. Cơ
chế bo mt bên trong cung cp thông tin mt cách chi tiết tương t như vic kho sát k lưỡng
phm vi mc sâu hơn, thm chí bao gm c vic phá mã mt khu và các công c phân tích h
thng để kim tra tính tương thích v chính sách trong tương lai.
2
Bước 3: Thm định tính ri ro ca h thng
Khi thm định tính ri ro ca h thng, hãy s dng công thc sau:
Tính ri ro = Giá tr thông tin * Mc độ ca l hng * Kh năng mt thông tin
Tính ri ro bng vi giá tr thông tin trong câu hi (bao gm giá tr đồng tin, giá tr thi gian máy b
li do li bo mt, giá tr mt mát khách hàng – tương đối), thi gian ca quy mô l hng (tng
cng/tng phn ca tn tht d liu, thi gian h thng ngng hot động, s nguy him khi d liu
hng), thi gian v kh năng xut hin mt thông tin.
Để ly được các kết qu t bước đầu (các giá tr, báo cáo v cơ chế bo mt ngoài, và chính sách
bo mt), và tp trung vào 3 trong s các mt thường được đề cp. Sau đó, bt đầu vi mt s câu
hi khung sau:
* Cơ chế bo mt đã tn ti ca công ty có được đề ra rõ ràng và cung cp đủ bin pháp bo mt
chưa?
*Kết qu t cơ chế bo mt bên ngoài có hp l so vi chính sách bo mt ca công ty?
*Có mc nào cn sa li trong cơ chế bo mt mà không được ch rõ trong chính sách?
*H thng bo mt s mt tác dng trong tính ri ro cao nht nào?
*Giá tr, thông tin gì mang tính ri ro cao nht?
Các câu tr li cung cp cái nhìn toàn din cho vic phân tích v toàn b chính sách bo mt ca
công ty. Có l, thông tin quan trng được ly trong quá trình kết hp các giá tr thm định và tính
ri ro tương ng. Theo giá tr thông tin, bn có th tìm thy các gii pháp mô t đưc toàn b các
yêu cu, bn có th to ra mt danh sách quan tâm v l hng bo mt.
Bước 4: Xây dng gii pháp
Trên thc tế không tn ti gii pháp an toàn, bo mt thông tin dang Plug and Play cho các t chc
đặc bit khi phi đảm bo các lut thương mi đã tn ti và phi tương thích vi các ng dng, d
liu sn có. Không có mt tài liu nào có th lượng hết được mi l hng trong h thng và cũng
không có nhà sn xut nào có th cung cp đủ các công c cn thiết. Cách tt nht vn là s dng
kết hp các gii pháp, sn phm nhm to ra cơ chế bo mt đa năng.
Firewall
Xem xét và la chn mt sn phm firewall hp lý và đưa và hot động phù hp vi chính sách ca
công ty là mt trong nhng vic đầu tiên trong quá trình bo mt h thng. Firewall có thgii
pháp phn cng hoc phn mm hoc kết hp c hai. Nhim v ca firewall là ngăn chn các tn
công trc tiếp vào các thông tin quan trng ca h thng, kim soát các thông tin ra vào h thng.
Vic la chn firewall thích hp cho mt h thng không phi là d dàng. Các firewall đều ph thuc
trên mt môi trường, cu hình mng, ng dng c th. Khi xem xét la chn mt firewall, cn tp
trung tìm hiu tp các chc năng ca firewall, tính năng lc địa ch, gói tin, ...
H thng kim tra xâm nhp mng (IDS)
Mt firewall đưc gi là tt ch khi nó có th lc và to kh năng kim soát các gói tin khi đi qua nó.
đây cũng chính là nơi mà h thng IDS nhp cuc. Nếu bn xem firewall như mt con đập ngăn
nước, thì thì bn có th ví IDS như mt h thng điu khin lung nước trên các h thng x nước
khác nhau. Mt IDS, không liên quan ti các công vic điu khin hướng đi ca các gói tin, mà nó ch
có nhim v phân tích các gói tin mà firewall cho phép đi qua, tìm kiếm các ch kí tn công đã biết
(các ch kí tn công chính là các đon mã được biết mang tính nguy him cho h thng) mà không
th kim tra hay ngăn chn bi firewall. IDS tương ng vi vic bo v đằng sau ca firewall, cung
cp vic chng thc thông tin cn thiết để đảm bo chc chn cho firewall hot động hiu qu.
H thng kim tra xâm phm da theo vùng (H-IDS)
S la chn, thc hin và s dng mt h thng kim tra s xâm phm trên máy ch da trên nhiu
h điu hành và môi trường ng dng ch định. Mt hàm chc năng đầy đủ ca H-IDS có th cung
cp các thông báo đều đặn theo thi gian ca bt k s thay đổi nào ti máy ch t tác động bên
trong hay bên ngoài. Nó là mt trong nhng cách tt nht để gim thiu s tn thương ca h
thng. Vic tìm kiếm h thng mà h tr hu hết các h điu hành s dng trong t chc ca bn
nên được xem như mt trong nhng quyết định chính cho mi H-IDS.
H thng kim tra xâm phm da theo ng dng (App-IDS)
S lượng App-IDS xut hin trên th trường ngày càng nhiu. Các công c này thc hin vic phân
tích các thông đip t mt ng dng c th hay thông tin qua proxy ti ng dng đó. Trong lúc
3
chúng có mc đích c th, chúng có th cung cp mc bo mt tăng lên theo tng mng ng dng
c th. Khi được kết hp vi mt H-IDS, chúng đảm bo rng s xâm nhp ti mt máy ch s gim
thiu. Mt App-IDS nên được xem như mt chc năng h tr bo mt trong sut, mc dù không
đúng trong mt s trường hp.
Phn mm Anti-Virus (AV)
Phn mm AV nên được cài trên toàn b máy trm (workstation), máy ch (server), h thng h tr
dch v s, và hu hết nhng nơi cha d liu quan trng vào ra. Hai vn đề quan trng nht để xem
xét khi đặt yêu cu mt nhà sn xut AV qun lý nhiu máy ch máy trm trên toàn b phm vi
ca công ty là kh năng nhà cung cp đó có đối phó được các đe do t virus mi hay không.
(nguyên nhân: không bao gi cho rng phm mm đang chy, luôn kim t phiên bn ca virus và
các file cp nht cho virus mi).
Mng riêng o (VPN)
Vic s dng VPN để cung cp cho các nhân viên hay các cng s truy cp ti các tài nguyên ca
công ty t nhà hay nơi làm vic khác vi mc bo mt cao, hiu qu nht trong quá trình truyn
thông, và làm tăng hiu qu sn xut ca nhân viên. Tuy nhiên, không có điu gì không đi kèm s
ri ro. Bt k ti thi đim nào khi mt VPN được thiết lp, bn phi m rng phm vi kim soát bo
mt ca công ty ti toàn b các nút được kết ni vi VPN.
Để đảm bo mc bo mt cho h thng này, người s dng phi thc hin đầy đủ các chính sách
bo mt ca công ty. Điu này có th thc hin được qua vic s dng các hướng dn ca nhà sn
xut v dch v VPN như hn chế các ng dng có th chy nhà, cng mng có th m, loi b kh
năng chia kênh d liu, thiết lp h thng bo v virus khi chy h thng t xa, tt c công vic này
giúp gim thiu tính ri ro. Điu này rt quan trng đối vi các công ty phi đối mt vi nhng đe
do trong vic kin cáo, mng ca h hay h thng được s dng để tn công các công ty khác.
Sinh trc hc trong bo mt
Sinh trc hc đã được biết đến t mt s năm trước đây, nhưng cho đến nay vn có rt nhiu khó
khăn cho vic nhân rng để áp dng cho các h thng bo mt thương mi. Du tay, tròng mt,
ging nói, ..., cung cp bo mt mc cao trên các mt khu thông thường hay chng thc hai nhân
t, nhưng cho đến hin ti, chúng cũng vn được coi như phương thc tt nht để truy cp vào h
thng.
Các thế h th thông minh
Các công ty gn đây s dng đã s dng th thông minh như mt phương thc bo mt hu hiu.
Windows 2000 cung cp cơ chế h tr th thông minh như mt phương tin chính trong vic chng
thc quyn đăng nhp h thng. Nói chung, s kết hp đa công ngh (như tròng mt, th thông
minh, du tay) đang dn hoàn thin và m ra mt thi đại mi cho vic chng thc quyn truy cp
trong h thng bo mt.
Kim tra máy ch
S kim tra đều đặn mc bo mt được cung cp bi các máy ch ph thuc ch yếu vào s qun lý.
Mi máy ch trong mt công ty nên được kim tra t Internet để phát hin l hng bo mt. Thêm
na, vic kim tra t bên trong và quá trình thm định máy ch v căn bn là cn thiết để gim
thiu tính ri ro ca h thng, như khi firewall b li hay mt máy ch, h thng nào đó b trc trc.
Hu hết các h điu hành đều chy trong tình trng thp hơn vi mc bo mt ti thiu và có rt
nhiu l hng bo mt. Trước khi mt máy ch khi đưa vào sn xut, s có mt quá trình kim tra
theo mt s bước nht định. Toàn b các bn sa li phi được cài đặt trên máy ch, và bt c dch
v không cn thiết nào phi được loi b. Điu này làm tránh độ ri ro xung mc thp nht cho h
thng.
Vic tiếp theo là kim tra các log file t các máy ch và các ng dng. Chúng s cung cp cho ta mt
s thông tin tt nht v h thng, các tn công bo mt. Trong rt nhiu trường hp, đó chính là
mt trong nhng cách để xác nhn quy mô ca mt tn công vào máy ch.
Kim soát ng dng
Vn đề an toàn bo mt trong mã ngun ca các ng dng hu hết không được quan tâm. Điu này
không được th hin trên các sn phm như liu nó có được mua, được download min phí hay được
phát trin t mt mã ngun nào đó. Để giúp đỡ gim thiu s ri ro bo mt trong các ng dng,
thm định li giá tr ca ng dng trong công ty, như công vic phát trin bên trong ca các ng
dng, Điu này cũng có th bao gm các đánh giá ca các thc th bên ngoài như đồng nghip hay
các khách hàng.
Vic điu khin cu hình bo mt các ng dng có th làm tăng mc bo mt. Hu hết các ng dng
được cu hình ti mc ti thiu ca tính năng bo mt, nhưng qua các công c cu hình, mc bo
4
mt ca h thng có th được tăng lên. Lượng thông tin kim soát được cung cp bi ng dng
cũng có th được cu hình. Nơi mà các ng dng cung cp thông tin v quy mô bo mt, thi gian
kim soát s phân tích thông tin này s là chìa khoá để kim tra các vn đề bo mt thông tin.
Các h điu hành
S la chn h điu hành và ng dng là quá trình đòi hi phi có s cân nhc kng. Chn cái gì
gia h điu hành Microsoft hay UNIX, trong rt nhiu trường hp, điu thường do n tượng cá
nhân sn phm. Khi la chn mt h điu hành, thông tin v nhà sn xut không quan trng bng
nhng gì nhà sn xut đó làm được trong thc tế, v kh năng bo trì hay dng thc hin vi các
tài liu đi kèm. Bt k mt h điu hành nào t 2 năm trước đây đều không th đảm bo theo nhng
chun ngày nay, và vic gi các máy ch, ng dng ca bn được cp nht thường xuyên s đảm
bo gim thiu kh năng ri ro ca h thng.
Khi la chn mt h điu hành, hãy tìm hiu không ch các tiêu chun thông thường như (qun tr,
hiu năng, tính chng thc), mà còn phi xem xét kh năng áp dng được ca h điu hành vi h
thng hin ti. Mt h điu hành có th cung cp cơ chế bo mt tt hơn khi nó tương thích vi các
ng dng chy bên trong nó như DNS hay WebServer, trong khi các h điu hành khác có th
nhiu chc năng tt hơn như mt h thng application, database hay email server.
Bước 5: Thc hin và giáo dc
Ban đầu, s h tr cn thiết s được đúc rút li và lên kế hoch hoàn chnh cho d án bo mt. Đây
chính là bước đi quan trng mang tính chiến lược ca mi công ty v vn đề bo mt. Các chi tiết k
thut ca bt k s mô to cũng s thay đổi theo môi trường, công ngh, và các k năng liên
quan, ngoài ra có mt phn không nm trong vic thc thi bo mt nhưng chúng ta không được coi
nh, đó chính là s giáo dc. Để đảm bo s thành công bo mt ngay t lúc đầu, người s dng
phi có được s giáo dc cn thiết v chính sách, gm có:
* K năng v các h thng bo mt mi, các th tc mi.
* Hiu biết v các chính sách mi v tài sn, d liu quan trng ca công ty.
* Hiu các th tc bt buc mi, chính sách bo mt công ty.
Nói tóm li, không ch đòi hi người s dng có các k năng cơ bn, mà đòi hi hc phi biết như ti
sao và cái gì h đang làm là cn thiết vi chính sách ca công ty.
Bước 6: Tiếp tc kim tra, phân tích và thc hin
Hu hết nhng gì mong đợi ca mt h thng bo mt bt k chy n định, điu khin được h
thng và nm bt được các lung d liu ca h thng. Quá trình phân tích, tng hp các thông tin,
s kin t firewall, IDS’s, VPN, router, server, và các ng dng là cách duy nht để kim tra hiu
qu ca mt h thng bo mt, và cũng là cách duy nht để kim tra hu hết s vi phm v chính
sách cũng như các li thông thường mc phi vi h thng.
Các gi ý bo mt cho h thng và mng
Theo lun đim này, chúng tôi tp trung ch yếu và các bước mang tính h thng để cung cp mt
h thng bo mt. T đây, chúng tôi s ch ra mt vài bước đi c th để ci thin h thng bo mt,
da trên kết qu ca vic s dng các phương thc bo mt bên ngoài và bo mt bên trong ca h
thng. Chúng tôi cũng gii hn phm vi ca các gi ý này theo các vn đề chung nht mà chúng tôi
đã gp phi, để cung cp, mô t vn đề mt cách chính xác hơn cũng như các thách thc mà mng
công ty phi đối mt ngày nay. Để mang tính chuyên nghip hơn v IT, các gi ý này được chia
thành các phn như sau:
Đặc đim ca bo mt
*To b phn chuyên trách bo mt để xem xét toàn b các vn đề liên quan ti bo mt
*Thc hin các thông báo bo mt ti người s dng để đảm bo mi người hiu và thc hin theo
các yêu cu cũng như s cn thiết ca vic thc hin các yêu cu đó.
*To, cp nht, và theo dõi toàn b chính sách bo mt ca công ty.
Windows NT/IIS
*Hu hết 95% các vn đề bo mt ca NT/IIS, chúng ta có th gii quyết theo các bn sa li. Đảm
bo chc chn toàn b các máy ch NT và IIS được sa li vi phiên bn mi nht.
*Xoá (đừng cài đặt) toàn b các script t Internet.
Cisco Routers
*Loi b các tính năng như finger, telnet, và các dch v, cng khác trên thiết b định tuyến (router).
5
*B các gói tin tài nguyên IP dn đường trong router.
*Chy Unicast RPF để ngăn chn người s dng ca bn s dng vic gi mo IP.
*S dng router ca bn như mt firewall phía trước và thc hin các ACL tương t theo các lut
trong firewall ca bn.
Quy định chung v cu hình firewall
*Cu hình ca firewall nên có các lut nghiêm ngt. Ch rõ các lut đối vi tng loi truy nhp c
bên ngoài ln bên trong.
*Gim thiu các truy nhp t xa ti firewall.
*Cung cp h thng kim soát tp lut ca firewall.
*Kim tra li các lut.
Cisco PIX Firewalls
*Không cho phép truy cp qua telnet
*S dng AAA cho vic truy cp, điu khin h thng console
Kim soát Firewall-1
*Loi b các lut mc định cho phép mã hoá và qun lý ca firewall, thay thế các lut không rõ ràng
bng các lut phân bit rch ròi trong công vic thc thi ca bn.
*Không s dng mc định lut “allow DNS traffic” - chp nhn lut này ch cho các máy ch cung
cp DNS cho bên ngoài.
DNS bên trong
*Bt k máy ch nào cung cp DNS bên trong và các dch v mang tính cht ni b phi không được
cung cp DNS bên ngoài.
*Kim tra vi nhà cung cp DNS ca bn để cu hình bo v t thuc tính “cache poisoning”