Trang chủ » Thiết kế website giá rẻ
Kinh nghiệm quản lý an toàn thông tin hiệu quả
Giới thiệu
Những kinh nghiệm trình bày trong bài viết này được đúc kết qua những công việc thực tế mà tôi đã từng thực hiện tại một công ty thế chấp tài sản. Công ty bao gồm các chi nhánh văn phòng và các ngân hàng điện tử, ngân hàng trực tuyến. Với cương vị là người phụ trách về an toàn thông tin trong công ty việc đầu tiên tôi cần phải làm là vấn đề an toàn, bảo mật xuyên suốt công ty. Công ty thế chấp tài sản và tất cả các hệ thống của nó phải được quản lý dưới cùng một tiêu chuẩn về bảo mật dùng trong ngân hàng.
Bạn sẽ tìm được ở đây các báo cáo đề cập đến các nghiên cứu và kết quả mà tôi đã vạch ra từ trước nhằm thực hiện và áp dụng vấn đề bảo mật thông tin trong công ty này, cũng như các mục tiêu nhằm bảo đảm thành công của chúng tôi khi mạo hiểm đầu tư vào ngân hàng điện tử.
Với thời gian nhỏ hơn 90 ngày tính đến khi ngân hàng mở cửa khai trương hoạt động (cả ngân hàng thông thường và ngân hàng điện tử), tôi cần có một kế hoạch nghiêm túc đối phó với các tấn công. Các nghiên cứu chỉ ra rằng một kế hoạch và kiểm tra sẽ là nhân tố thành công của bảo mật. Sau khi nghiên cứu về ngân hàng và thương mại điện tử, tôi đã theo các bước ở dưới đây để quản lý về bảo mật và chuẩn bị cho việc xây dựng chế độ an ninh cho ngân hàng mới mở.
Thu thập thông tin
Bạn hãy tìm hiểu xem hệ thống của bạn làm việc như thế nào và tự đào tạo mình về an toàn, bảo mật thông tin. Hãy bắt đầu công việc quản lý an toàn thông tin bằng cách thu thập và đánh giá dựa trên các dữ liệu đã có. Sau đó, tôi giữ lại bản sao của tất cả các chính sách, thủ tục, các bài học, các đánh giá về rủi ro, các xác nhận, chứng thực, các ứng dụng có trong hệ thống (phần mềm), và sơ đồ mạng. Các tài liệu về mạng, về phần cứng, và về ứng dụng cũng được thu thập đầy đủ. Chúng được xem xét tổng hợp lại trên cơ sở những hiểu biết của tôi về các sản phẩm thương mại và văn hóa công ty.
Các chính sách bị mất mát, thiếu sót được ghi chép lại, và các biểu đồ tiến trình thực hiện đã giúp tôi hiểu rõ ràng về các chính sách trong hệ thống thông tin đã có và các thủ tục, các kiến trúc, và các cơ sở hạ tầng.
Chính sách bảo mật
Một hệ thống an toàn, bảo mật tốt bắt đầu từ một chính sách rõ ràng có thể triển khai. Trong môi trường ngân hàng, cũng có các yêu cầu cần điều chỉnh để xem xét nhiều mặt của chính sách an toàn, bảo mật, cũng như nắm bắt và báo cáo về các rủi ro, thiệt hại do tấn công. Bạn cũng có thể tham khảo các tài liệu tốt nhất về chính sách an toàn, bảo mật áp dụng cho ngân hàng tại nhiều website như: Federal Financial Institutions Examination Council (FFIEC), Office of Thrift Supervision (OTS), and the Office of the Comptroller of the Currency (OCC).
Theo luật định, các tập đoàn viễn thông, và các chuyên gia về nguồn nhân lực cần xem xét một cách toàn diện chính sách an toàn, bảo mật. Chính sách an toàn, bảo mật cần phải bao gồm kế hoạch bảo mật để đảm bảo thống nhất với tất cả các kiến trúc và các đối tượng hiện có trong toàn công ty.
Đánh giá rủi ro/Phân tích lỗ hổng
Quản lý rủi ro là một quá trình xác định tiết lộ bảo mật và các giải pháp đã được khuyến cáo. Nó nhằm mục đích cung cấp cho nhà quản lý các thông tin về rủi ro và các hành động khắc phục cần thiết. Có trong tay các đánh giá, người quản trị có thể ra các quyết định làm như thế nào để bảo vệ các thông tin của họ. Tôi sử dụng một công cụ đánh giá rủi ro để giúp tôi phát hiện các lỗ hổng có thể đe dọa đến tính bí mật, tính toàn vẹn, và tính sẵn sàng của thông tin. Mỗi khi tôi phát hiện và ghi chép lại các rủi ro, các thông tin đó được những người có trách nhiệm quyết định xem mức độ rủi ro có thể chấp nhận được hay không. Các rủi ro được chấp nhận sẽ được xem xét lại và hỗ trợ cho việc tài liệu hóa quá trình giải quyết các lỗi vi phạm. Các rủi ro không được chấp nhận sẽ đòi hỏi phải có kế hoạch hành động sửa chữa để loại trừ hay giảm thiểu rủi ro.
Với các dữ liệu thu thập được và một đánh giá đầy đủ về rủi ro, bước tiếp theo là thực hiện phân tích các lỗ hổng của hệ thống. Trên cơ sở các bài học của FFIEC IS, tôi tiến hành xác định các lỗ hổng và phác thảo ra một kế hoạch hành động. Với các trang bị về đánh giá rủi ro/phân tích lỗ hổng và một kế hoạch cho dự án, tôi bắt đầu chuẩn bị kế hoạch bảo mật của cá nhân.
Nhận thức về bảo mật
Một tháng sau khi ngân hàng mở cửa; tôi thuê một nhà cung cấp an toàn, bảo mật để giúp đỡ tôi trong việc nhận thức nó tốt hơn. Chúng tôi cùng xem xét một vài Website về an toàn, bảo mật (cả về nhà cung cấp và thực hiện) và tổ chức vài cuộc họp bàn về những kết quả mà chúng tôi học được trong lĩnh vực bảo mật. Các khoá đào tạo về bảo mật đưa ra rất nhiều câu hỏi và trả lời được trình bày trong các hình thức thong tin qua điện thoại hoặc thư tín điện tử trực tiếp. Các hoạt động này giúp mọi người ghi nhớ và quan tâm thực sự vào vấn đề an toàn, bảo mật. Việc hình thành báo cáo nóng 7x24, cùng với sự kết hợp của phòng quản lý nhân sự đã giúp đỡ tôi thực hiện đào tạo về an toàn, bảo mật cho những thành viên mới.
Để giữ vấn đề an toàn, bảo mật ở vị trí hàng đầu, việc tiếp tục trao đổi thông tin và đào tạo về an toàn, bảo mật cần được khuyến khích thực hiện. Các thông tin và cảnh báo về an toàn bảo mật thường xuyên được trao đổi qua thư điện tử và đưa lên Website nội bộ. Vấn đề quan trọng là vẫn phải tiếp tục nhắc nhở các thành viên về trách nhiệm giữ gìn an toàn bảo mật của họ.
Proactive Measures
Công việc an toàn, bảo mật đòi hỏi một sự đầu tư lớn vào công nghệ, dịch vụ, con người, và các thay đổi thường xuyên trong văn hóa công ty. An toàn bảo mật thông tin bao gồm cả phát hiện truy cập trái phép, giám sát, theo dõi, xác định ranh giới về các tiêu chuẩn, kiểm tra và đào tạo kỹ thuật. Các theo dõi giám sát trực tiếp sẽ giúp cho phát hiện các bất thường hoặc xâm nhập trái phép vào hệ thống mạng của bạn.
Dưới đây là các cách thức để xiết chặt bảo mật trên hệ thống Unix:
Hãy sử dụng bức tường lửa để bảo vệ hệ thống mạng của bạn.
Cài đặt các bản sửa lỗi thường xuyên.
Thực hiện theo dõi root UID của hệ thống.
Hạn chế tất cả các dịch vụ, tiến trình không cần thiết.
Xiết chặt cấu hình của tất cả dịch vụ, tiến trình hiện có trên mạng.
Làm cho hạt nhân của hệ thống thật vững chắc.
Cài đặt hệ thống phát hiện truy cập trái phép.
Đào tạo về quản trị hệ thống (SysAdmin) và đào tạo người dùng cuối (End-users).
Tổ chức của bạn cần phải kiểm tra vấn đề an toàn, bảo mật bên trong tổ chức bằng cách kiểm tra các liên lạc với bên ngoài dẫn đến lỗ hổng. Việc đánh giá lỗ hổng bảo mật sẽ giúp bạn hiểu được các rủi ro đã được phát hiện trong tổ chức. Việc thực hiện kiểm tra bằng một tổ chức tin cậy độc lập bên ngoài sẽ chỉ ra cho tổ chức của bạn đối tượng cần bảo mật.
Trong khi có nhiều thứ cần phải cải thiện, các lỗ hổng dễ dàng được sửa chữa. Các máy chủ (Unix và NT) chạy trên các dịch vụ không cần thiết, chẳng hạn như ftp, finger, mail, ... cần được điều chỉnh lại. Mỗi một dịch vụ được mở, thì sẽ có rất nhiều lỗ hổng dễ bị tấn công. Hệ thống phát hiện truy cập trái phép và dò tìm lỗ hổng cũng cần đề cập đến trong kế hoạch, chính sách an toàn, bảo mật.
Giám sát bảo mật và kiểm tra cần được quan tâm thích hợp, những các công cụ hỗ trợ đang được nghiên cứu. Các chính sách đã có hướng dẫn kiểm tra để xem xét lại các quá trình truy cập của người dùng trước đây. Quá trình xem xét bao gồm quá trình làm việc với những người quản lý và những người sở hữu thông tin để xem xét lại các truy cập đến thông tin. Các thông báo được chuyển đi dựa trên những truy cập đã được biết. Một việc cũng rất quan trọng là áp dụng đúng các mức truy cập tương ứng với những kỹ năng cần thiết để thực hiện công việc.
Kế hoạch bảo mật
Cuối cùng, nhưng không phải không quan trọng là kế hoạch bảo mật. Theo sách hướng dẫn thực hiện của FFIEC, các tổ chức cần phải đề ra các kế hoạch để giảm thiểu sự tiết lộ thông tin ra bên ngoài. Việc phát triển kế hoạch này liên quan đến các nhà quản lý ở mọi mức độ kể cả “hội đồng quản trị”.
Các thành phần chủ chốt của kế hoạch bao gồm các chính sách bảo mật, quản lý rủi ro, đánh giá lỗ hổng, kiểm tra chìa khóa, hoạt động của máy tính, đào tạo, các khía cạnh về vật lý và môi trường, lập kế hoạch đối phó với bất ngờ, đối phó với các thiệt hại, điều khiển truy cập, báo cáo, và thay đổi cấp quản lý. Các kế hoạch đã có từ trước cho phép tổ chức ưu tiên ngân sách, tài nguyên, và phát triển một chiến lược thực hiện.
Kết luận
Quản lý an toàn thông tin bao gồm viết chính sách, đào tạo và nhận thức, quản lý cấu hình, theo dõi, tìm kiếm, hoặc kiểm tra. Quản lý an toàn thông tin không bao gồm công nghệ, nhưng cũng liên quan đến phát triển, và duy trì một hệ thống thông tin ở tình trạng hoạt động tốt. Rõ ràng rằng, sự trao đổi thông tin, và chính sách bắt buộc là chìa khóa của an toàn, bảo mật.
Thông tin là một trong những tài sản giá trị nhất của bất kỳ một tổ chức nào. Bạn phải xem xét xem thông tin gì có giá trị, và có cách bảo vệ nó tương xứng. Các lỗ hổng bảo mật cần phải được xác định, giảm thiểu về số lượng, loại trừ hoặc ghi nhận để mở rộng thực hành bảo mật và khả thi về mặt kinh tế. An toàn, bảo mật máy tính bao gồm mọi thứ từ các chính sách còn chưa được duyệt; đến các tập tin chứa thông tin về cấu trúc mạng cần bảo vệ và các cấu hình cơ sở.
Như đã đề cập, an toàn, bảo mật là một vấn đề rất quan trọng trong các ngân hang trực tuyến. Các công ty hoạt động về lĩnh vực ngân hàng điện tử cần phải kiểm tra không chỉ mật khẩu, sự mã hóa thông tin, mà còn cần đảm bảo các quy trình nghiệp vụ cơ bản để chống lại các tấn công của các hacker.
Điều cuối cùng, đừng nghĩ rằng bạn đã có thể nghỉ ngơi và thư giãn trong các vinh quang mà bạn đã đạt được. Mạng máy tính của bạn không tĩnh lặng, Lỗ hổng và sự tấn công luôn xảy ra hằng ngày. Là một người quản lý an toàn bảo mật thông tin bạn phải luôn tập trung và giữ gìn thành quả hiện tại. Hãy xem lại các chính sách, các thủ tục, và kế hoạch bảo mật một cách căn bản (ít nhất theo hàng năm). Bạn nên đăng ký vào một nhóm thảo luận (mailing list) để cập nhật các lời khuyên và cảnh báo. Hãy trao đổi với các chuyên gia về an toàn, bảo mật khác trong tổ chức của bạn, chuyện trò, hội thảo, đào tạo ... và theo dõi các phần mềm sửa lỗi.
Các địa chỉ tham khảo:
(1) Federal Financial Institutions Examination Council. Information Systems Volume 1. 1996 FFIEC IS Examination Handbook.
http://www.FFIEC.gov
(2) Lundquist, Eric. Key Lessons Learned About Secty. eWeek. August 06, 2000.
http://www.zdnet.com/ecommerce/stories/main/0,10475,2611953,00.html
(3) Vaas, Lisa. Security Checkup. eWeek. August 13, 2000.
http://www.zdnet.com/ecommerce/stories/main/0,10475,2613074-3,00.html
(4) IBM Research. Securing Your eBusiness: 10 Tips for Protecting On-line Companies. February 15, 2000
http://www.research.ibm.com/news/detail/10_tips.html
(5) Beale, Jay. How Do I Tighten Security On My System?. August 01, 2000.
http://www.securityportal.com/lskb/articles.html
(6) Ferguson, Renee Boucher, McCright, John S. Banks Cashing In On The Net. eWeek. August 25, 2000.
http://www.zdnet.com/ecommerce/stories/main/0,10475,2620239-3,00.html
(7) DeVoney, Chris. Step Up Your IT Security. August 22, 2000.
http://www.zdnet.com/filters/printerfriendly/0,6061,2618285-92,00.html
(8) Taylor, L. The Whys and Hows of a Security Vulnerability Assessment. August 9, 2000