Quên khóa hoặc thẻtruy cập và bị đưa vào một tòa nhà bởi ai đó mà bạn
không hềbiết vềhọ?
• Cung cấp ID cards cho các nhân viên.
• Tạo một chính sách bắt buộc các nhân viên phải đeo hoặc trình ID card ở
mọi thời điểm.
• Cài đặt bộ đọc ID card ởtất cảcác lối vào của tòa nhà cũng nhưcác
quyền bên trong tòa nhà.
• Đưa một nhân viên bảo vệ ởlối vào chính vào tòa nhà đểkiểm tra ID card.
• Cài đặt camera ởtất cá các cửa bên ngoài và các điểm chính bên trong tòa nhà.
7 trang |
Chia sẻ: maiphuongdc | Lượt xem: 1557 | Lượt tải: 2
Bạn đang xem nội dung tài liệu Bảo vệ người dùng để có được mạng an toàn, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Bảo vệ người dùng để có được mạng an toàn
Nguồn : quantrimang.com
Derek Melber
Làm thế nào để tránh cho các nhân viên của bạn vô tình trở thành một sự
đe dọa cho tập thể.
Với tư cách là một quản trị viên CNTT, cố vấn về bảo mật, chuyên gia máy tính,
có khá nhiều vấn đề trong danh sách của bạn về môi trường mạng hơn cả vấn
đề bảo mật. Có đến hàng triệu đô la, hàng nghìn giờ làm việc và cả sự cố gắng
về mặt thời gian cấu hình máy để chiến đấu với các vấn đề bảo mật đang lan
tràn như một bệnh dịch cho các mạng. Không may ở đây là không hề có một giải
pháp thực sự nào giúp bảo vệ mạng của bạn hoàn toàn an toàn. Các nghiên cứu
gần đây đã minh chứng được rằng mặc dù việc bảo mật là một vấn đề chính đối
với các nhân viên CNTT nhưng những người dùng khác vẫn có một số hành
động làm mất an toàn nhiều thứ. Có nhiều giải pháp đối với hầu hết các vấn đề
này mà chúng tôi muốn giới thiệu đến trong bài này.
Tổng quan về bảo mật từ phía người dùng
Có một nghiên cứu được thực hiện bởi RSA vào cuối năm 2007 với Thống kê
được thực hiện bởi các chuyên gia về công nghệ ở cả Boston và Washington.
Người dùng là những nhân viên trong các công ty được thăm dò với các câu hỏi
có liên quan đến vấn đề bảo mật và hành động thực tiễn về bảo mật của người
dùng tại văn phòng. Cả Boston và Washington đều là các thành phố lớn với
nhiều tập đoàn và nhân viên làm việc cho các tổ chức chính phủ. Nghiên cứu
này tập trung chỉ yếu vào cách người dùng sử dụng và truy cập dữ liệu công ty
cũng như cách họ truy cập bằng phương pháp vật lý với các máy tính và tài
nguyên công ty như thế nào. Kết quả thu được của nghiên cứu được đưa ra
trong bảng 1 bên dưới.
Chủ đề được hỏi
Phần trăm các
nhân viên
doanh nghiệp
Phần trăm
các nhân viên
chính phủ
Truy cập email thông qua một hot spot
không dây công cộng 64 37
Mất laptop, smart phone hoặc USB
flash
8 8
Gửi các tài liệu đến một địa chỉ email cá 61 68
nhân để có thể truy cập từ nhà
Mạng không dây bên trong công ty sử
dụng cho các phòng hội thảo và các
phòng khách luôn mở không cần đăng
nhập
19 0
Giữ một cửa an toàn mở cho ai đó làm
việc mà họ không nhận ra 32 35
Quên khóa hoặc thẻ truy cập và bị đưa
vào tòa nhà bởi ai đó mà bạn không hề
biết về họ
42 34
Phát hiện ra một người không quen
đang làm việc tại một phòng trống trong
phạm vi tòa nhà của họ.
21 41
Đã yêu cầu về nhận dạng hoặc đã
được báo cáo người lạ 28 63
Đã chuyển các công việc nội bộ mà vẫn
truy cập vào các tài khoản hoặc tài
nguyên không cần thiết
33 34
Rơi vào một mạng công ty mà lẽ ra họ
không có quyền truy cập 20 29
Bảng 1: Các kết quả về việc hỏi các nhân viên về sự bảo mật tại văn phòng của
họ
Như những gì bạn thấy qua các kết quả trong bảng 1, số lượng tiền, thời gian và
những cố gắng phải tốn trong việc đào tạo các nhân viên về bảo mật công nghệ
cũng như tài nguyên là không trả đủ với tất cả các vấn đề đó. Tuy vậy, với các
chính sách đã được viết, chính sách logic và vật lý, nhiều vấn đề này có thể
được thừa nhận không tồn tại thậm chí nếu người dùng quyết định bỏ qua các
thủ tục bảo mật thích đáng.
Bảo mật vật lý
Mọi chuyên gia CNTT đều hiểu được rằng nếu an ninh về mặt vật lý của công ty
bị thỏa hiệp thì các tài nguyên đang được bảo vệ có thể sẽ bị hủy hoại nhanh
hơn rất nhiều. Dựa vào các câu đã hỏi trong nghiên cứu trên, thì đây là một số
giải pháp để có thể giúp khắc phục các vấn đề có liên quan đến việc bảo mật vật
lý.
Nắm giữ cửa an toàn mở cho ai đó làm việc nhưng lại không nhận ra họ?
Quên khóa hoặc thẻ truy cập và bị đưa vào một tòa nhà bởi ai đó mà bạn
không hề biết về họ?
• Cung cấp ID cards cho các nhân viên.
• Tạo một chính sách bắt buộc các nhân viên phải đeo hoặc trình ID card ở
mọi thời điểm.
• Cài đặt bộ đọc ID card ở tất cả các lối vào của tòa nhà cũng như các
quyền bên trong tòa nhà.
• Đưa một nhân viên bảo vệ ở lối vào chính vào tòa nhà để kiểm tra ID card.
• Cài đặt camera ở tất cá các cửa bên ngoài và các điểm chính bên trong
tòa nhà.
Phát hiện ra một người không quen đang làm việc tại một phòng trống
trong phạm vi tòa nhà của họ?
Đã yêu cầu về nhận dạng hoặc đã được báo cáo người lạ?
• Giống như các nhân viên, tất cả các khách vào công ty cần phải bắt buộc
đeo thẻ khách mỗi khi vào trong tòa nhà công ty.
• Với việc cả nhân viên và khách đều đeo thẻ ID, bạn sẽ dễ dàng phát hiện
ra được kẻ không mời mà đến.
• Các nhân viên cần phải có sự khuyến khích trong việc báo cáo người lạ
mặt và bắt buộc phải đeo thẻ.
• Các dấu hiệu, nhắc nhở, bảng ghi nhớ,… cần phải được post thường
xuyên để nhắc nhở mọi người đeo thẻ ID.
Bảo mật logic
Thậm chí với sự tràn vào của spam, adware, viruses, Trojans,… liên quan bởi
email, thì các nhân viên vẫn không quan tâm đến các khía cạnh tiêu cực trong
việc lạm dụng email. Việc thi hành một môi trường bảo mật nghiêm khắc hơn về
vấn đề email và sự truy cập mạng khác có thể giúp tránh được việc bản thân
người dùng không tuân theo các hành động bảo mật tốt.
Truy cập email thông qua một hot spot không dây công cộng?
• Không cung cấp truy cập nào vào email bên ngoài công ty trừ khi đang sử
dụng VPN hoặc một kết nối an toàn.
• Cấu hình máy chủ mail có khả năng kiểm tra và thi hành cơ chế chứng
thực từ mạng nội bộ.
• Không cho phép người dùng kết nối với desktop truy cập từ xa trừ khi họ
tạo một kết nối đến VPN trước.
Gửi các tài liệu đến một địa chỉ email cá nhân để có thể truy cập từ nhà?
• Kích hoạt mã hóa với tất cả các email gửi đi
• Cấu hình bộ lọc cho các file đính kèm đối với tất cả email gửi đi. Điều này
có thể hạn chế một số kiểu file nào đó cũng như nội dung đính kèm bên
trong.
• Hạn chế các tường lửa công ty nhận POP3, IMAP và các phương pháp
khác trong việc nhận email từ bên ngoài các site email cá nhân của công
ty.
• Bổ sung một chính sách ngăn chặn người dùng truy cập vào email cá
nhân trong khi làm việc
• Đào tạo và thử nghiệm về cách các site email được cấu hình bên ngoài có
thể nguy hiểm như thế nào đối với công ty.
Mạng không dây bên trong công ty sử dụng cho các phòng hội thảo và phòng
khách luôn mở không cần đăng nhập?
• Cấu hình các điểm truy cập không dây để thực hiện một cấu hình:
- Không quảng bá SSID
- Kích hoạt lọc địa chỉ MAC
- Cấu hình bảo mật mức cao như WPA và WPA2
- Thực thi một máy chủ RADIUS để chứng thực, thể hiện trong hình 1 là ví
dụ cho một tùy chọn của điểm truy cập.
• Sử dụng thẻ thông minh (Smart Card) cho tất cả các truy cập mạng không
dây
Hình 1: Bảo mật không dây có thể sử dụng các khóa đã được chia sẻ trước đó
và các máy chủ RADIUS để chứng thực
Đã chuyển các công việc nội bộ mà vẫn truy cập vào các tài khoản hoặc tài
nguyên không cần thiết?
• Thực thi các thủ tục cho thuê và các thay đổicông việc mà yêu cầu chủ sở
hữu tài nguyên cung cấp mức truy cập toàn bộ cho nhân viên
• Thực thi Restricted Groups và Local Users and Groups bên trong Group
Policy để kiểm soát thành viên nhóm, như thể hiện trong hình 2.
• Thực thi sự ủy nhiệm cho quản trị viên bên trong Active Directory để hạn
chế quản trị thành viên nhóm.
• Thực hiện các thẩm định thông thường về thành viên của nhóm bảo mật.
Hình 2: Hội viên của nhóm nội bộ có thể được quản lý bằng cách sử dụng
PolicyMaker,
Windows Server 2008, hoặc Windows Vista SP1
Rơi vào một mạng công ty mà lẽ ra họ không có quyền truy cập?
• Thực thi một chương trình khuyến khích động viên để đẩy mạnh các hành
động bảo mật tốt, như các vùng mạng bị cấu hình lỗi chẳng hạn.
• Bảo đảm rằng các điều khoản NTFS đều được cấu hình trên tất cả các tài
nguyên mạng để chỉ nhóm vào các nhóm bảo mật thích hợp.
• Thực thi các hành động nhóm và người dùng bên trong Active Directory.
Điển hình là các tài khoản người dùng đang nằm trong nhóm, được đặt
tên và được sử dụng để nhóm các kiểu người dùng giống nhau cư trú
trong Active Directory. Sau đó các nhóm này sẽ được đặt vào trong các
nhóm khác, đặt tên và được sử dụng để gán các điều khoản đang cư trú
trong Active Directory hoặc Local Group đang cư trú trên máy chủ tài
nguyên. Cuối cùng, các tài nguyên cần được cấu hình với nhóm đã được
sử dụng để gán các điều khoản.
• Thực thi Access Based Enumeration (kiểm kê truy cập) đối với tất cả các
máy chủ dùng để lưu dữ liệu.
Kết luận
Nhiều tham số trong các tham số trên cũng như các giải pháp đã được viết theo
cách hướng chính sách. Chính sách được viết phải chính xác và rõ ràng để hạn
chế các hành vi không thích hợp. Với sự bắt buộc về bảo mật thông qua nghĩa
kỹ thuật, một số giải pháp sẽ yêu cầu một sự thay đổi về cách người dùng truy
cập mạng và dữ liệu. Tuy bảo mật chưa bao giờ là điều dễ dàng, thú vị hoặc
không quá nhiều phức tạp nhưng nếu bảo mật không được đề ra từ sớm và
thường xuyên hay không được đề cao thì hầu hết các công ty sẽ bị ảnh hưởng
rất lớn và kết quả của những ảnh hưởng này được thể hiện trong hình 1, minh
chứng về việc không có các chính sách bảo mật.
Các file đính kèm theo tài liệu này:
- bao_ve_nguoi_dung_de_co_mang_an_toan.pdf