khoadtvt@hcm.vnn.vn Trường Đại Học Lạc Hồng NỘI DUNG Chính sách bảo mật thông tin Chính sách bảo mật cá nhân CHÍNH SÁCH BẢO MẬT THÔNG TIN CHÍNH SÁCH BẢO MẬT CÁ NHÂN CHÍNH SÁCH BẢO MẬT MẠNG VÀ MÁY TÍNH THỰC HiỆN CHÍNH SÁCH 1. Chính sách bảo mật
1- Người sở hữu các tài sản thông
tin Người sở hữu thông tin nên phân lọai thông tin dựa trên bổn phận, chi phí, chính sách bảo mật và các nhu cầu kinh doanh. Người sở hữu thông tin là người được phép truy cập dữ liệu. Người sở hữu thông tin có trách nhiệm bảo mật dữ liệu này tùy theo tính chất của từng lọai thông 1. Chính sách bảo mật
2- Phân loại thông tin: hệ thống
phân lọai thông tin có 4 mức như sau: Các thông tin cộng đồng, không cần phân lọai. Những thông tin nội bộ Thông tin mật Thông tin tối mật 1. Chính sách bảo mật
3- Dựa việc phân loại để đưa ra các nguyên tắc:
Nguyên tắc lưu trữ: Thông tin cần được gán nhãn, phân lọai và được lưu trữ trên các tài liệu, băng đĩa, các thông điệp và các file. Các hệ thống dễ bị tấn công bởi virus phải thường xuyên được quét. Tính tòan vẹn của hệ thống : thông qua sự giám sát thường xuyên… Thiết lập cấu hình để phòng chống sự truy xuất, sửa đổi bất hợp pháp. Việc lưu trử phải được khóa cẩn thận Thông tin được lưu trữ dưới dạng mã hóa với các thuật tóan mã hóa mạnh. 1. Chính sách bảo mật
3- Dựa việc phân loại để đưa ra các
nguyên tắc: Nguyên tắc Giao dịch: Quy định việc chia sẽ thông tin với đối tác bên ngàoi. Mã hóa thông tin khi giao dịch với bên ngòai. Tính tòan vẹn của hệ thống : thông qua sự giám sát thường xuyên… Nguyên tắc tiêu hủy: 1. Chính sách bảo mật
3- Dựa việc phân loại để đưa ra các
nguyên tắc: Nguyên tắc Giao dịch: Quy định việc chia sẽ thông tin với đối tác bên ngàoi. Mã hóa thông tin khi giao dịch với bên ngòai. Tính tòan vẹn của hệ thống : thông qua sự giám sát thường xuyên… Nguyên tắc tiêu hủy: 2. Chính sách bảo mật cá nhân 1. Đạo đức: Người dùng không được phép: Chia sẽ tài khỏan và Pass với bạn bè hoặc người thân. Vào tài khỏan của người khác, phá vở các dịch vụ. Sử dụng sai tài nguyên của hệ thống, email Giám sát các tài liệu của nguời dùng khác Download hoặc copy các phần mềm không có bản quyền hoặc cho phép 2. Chính sách bảo mật cá nhân 2. Chính sách Password: Việc kết hợp username và Pass nhằm nhận dạng người dùng trong hệ thống. Nội dung của Pass: Hỗn hợp giữa số, ký tự in, ký tự thường và các dấu chấm câu. Dể nhớ. Dễ đánh máy (nhưng khó khăn cho sự quan sát). 2. Chính sách bảo mật cá nhân 2. Chính sách Password: Một số ví dụ: Chọn một hoặc hai dòng của một bài hát, bài thơ. Tên của vợ chồng, người thân, bố mẹ, vật cưng trong gia đình, ngày tháng (bad Pass) Sử dụng số xe, số điện thọai (bad Pass) Sử dụng các từ phổ biến, chuổi các số, các ký tự giống nhau… 2. Chính sách bảo mật cá nhân 2. Chính sách Password: Một số nguyên tắc: Không viết mật khẩu ra hoặc viết qua email. Không sử dụng các pass ngầm định Không đưa pass cho người thân Cần thay đổi pass ngay lập tức khi bị lộ trên hệ thống. Nên chọn mật khẩu tốt nhất nếu chỉ nhớ một pass. Người dùng mật khẩu mặc định của hệ thống phải thay đổi ngay khi sử dụng hệ thống. 2. Chính sách bảo mật cá nhân 2. Chính sách Password: Một số nguyên tắc: Không viết mật khẩu ra hoặc viết qua email. Không sử dụng các pass ngầm định Không đưa pass cho người thân Cần thay đổi pass ngay lập tức khi bị lộ trên hệ thống. Nên chọn mật khẩu tốt nhất nếu chỉ nhớ một pass. Người dùng mật khẩu mặc định của hệ thống phải thay đổi ngay khi sử dụng hệ thống. 2. Chính sách bảo mật cá nhân 2. Chính sách Password: Một số nguyên tắc: Pass cần được lưu giữ dưới dạng mã hóa. Một Pass có thời gian sử dụng tối thiểu, tối đa, độ dài tối thiểu và danh sách lược sử. Hệ thống cần kiểm tra Pass theo quy tắc trước khi chấp nhận nó. Người dùng không thể thay đổi Pass của người khác, nhưng Người điều hành tài khoản có thế thay đổi được Pass của người dùng. 2. Chính sách bảo mật cá nhân 3. Chính sách phần mềm dùng chung: Các phần mềm thuộc phạm vi công cộng: có thể được sử dụng trong lớp 1 và 2 nếu người quản trị hệ thống đảm bảo được sự tòan vẹn dữ liệu của nguồn tài nguyên hệ thống. Nên tránh sử dụng trong lớp 3, tuy nhiên khi cần thiết, nó chỉ cho phép thấy được phía sau của source code. Không nên sử dụng các phần mềm không có đăng ký. Các phần mềm game cho phép chạy trên hệ thống nếu nhà quản trị hệ thống đảm bảo chúng không sử dụng quá 5% tài nguyên hệ thống. 2. Chính sách bảo mật cá nhân 4. Chính sách mạng nội bộ: Thông tin bí mật: Các thông tin dạng này khi giao dịch trên mạng cần phải được mã hóa. Kết nối mạng. Người dùng không thể kết nối đến các mạng khác trừ mạng LAN . Việc truy xuất ra các mạng bên ngòai phải thông qua firewall. Modem Không sử dụng modem trên mát tính của họ. Việc truy cập phải thông qua mạng LAN và thông qua server bảo mật 2. Chính sách bảo mật cá nhân 4. Chính sách mạng nội bộ: Email: Người dùng cần có sự hiểu biết rằng quy ước của hệ thống email là phải đảm bảo tính riêng tư, bằng chứng và nguồn góc khởi tạo. Trong mộ số hệ thống, người quản trị hệ thống có thể đọc được nội dung email. Ở lớp 2 (lớp thông tin nội bộ), dữ liệu có thể được gửi trong nội bộ công ty mà không cần phải mã hóa. Lớp 3 thì nên mã hóa trong khi đó ở lớp 4, dữ liệu không nên giao dịch qua email. Người dùng cần có kiến thức về những rũi ro khi mở các tài liệu có gắn các macro, các file đính kèm hoặc các chương trình cài đặt nhận 2. Chính sách bảo mật cá nhân 5. Chính sách mạng Internet: Việc kết nối Internet có thể xãy ra các rũi ro sau: Lộ các thông tin bí mật. Mạng nội bộ có thể bị xâm nhập bởi các hacker từ Internet. Thông tin có thể bị thay đổi hoặc bị xóa. Việc truy cập hệ thống có thể bị từ chối do hệ thống bị quá tải. Nếu người dùng được phép truy cập Internet, họ phải có kiến thức về các rũi ro liên quan và các chính sách chung -> cần phải có chính sách Internet 2. Chính sách bảo mật cá nhân 5. Chính sách mạng Internet: Tất cả các đường truy cập Internet phải đi qua cổng truy cập của công ty. Những ai được cho phép truy cập Internet, email. Khi nào thì sự truy xuất bị từ chối. Các phần mềm máy khách Internet được cho phép. Những ai có thể được cung cấp các dịch vụ Internet. Các điều kiện truy cập: được cho phép, chính sách tường lửa, 2. Chính sách bảo mật cá nhân 6. Chính sách máy tính để bàn và cá nhân: Giáo dục người dùng về các rũi ro khi sử dụng máy xáy tay. Việc bảo vệ Pass trong các ứng dụng văn phòng như Winword không đảm bảo sự an tòan. Việc di chuyển các đĩa cứng cho phép người dùng dể dàng bảo vệ các thông tin quan trọng 2. Chính sách bảo mật cá nhân 6. Chính sách máy tính để bàn và cá nhân: Các chính sách có thể là: Các máy tính xách tay phải được cài đặt bởi các nhân viên IT chuyên nghiệp. Các nhân viên phải biết lắng nghe các lời khuyên về việc lựa chọn các model máy tính Cần cài đặt các phần mềm mã hóa mạnh và dễ sửa dụng. Cân nhắc việc sử dụng hệ điều hành, nơi mà người dùng không có đầy đủ quyền truy cập hệ thống. 2. Chính sách bảo mật cá nhân 6. Chính sách máy tính để bàn và cá nhân: Các chính sách có thể là: Người dùng phải có trách nhiệm với máy tính của họ Sử dụng màn hình tự động khóa máy và khởi động bằng Pass khi sử dụng. Cài đặt các phần mềm diệt virus chính thống. Dữ liệu thuộc lớp 3 không được giao dịch bằng máy tính xách tay trừ khi được mã hóa. Không lưu trữ Pass trên MTXT đối với những máy được phép truy cập mạng dùng chung. Truyền thông: truy cập qua modem cần phải có chính sách. 3. Chính sách mạng và máy tính 1. Chính sách quản trị hệ thống: Nhà quản trị hệ thống cần đảm bảo tính sẳn sàng của hệ thống khi cần. Các yêu cầu cần xách định: Ai/ở đâu cập nhật các chính sách quản trị Ai được quyền truy cập? Ai được quyền quản trị hệ thống. Xác định quyền và trách nhiệm của người quản trị hệ thống. Các người dùng nào được cấp quyền root/administrator truy xuất máy trạm của họ. Các thư mục hiện hành không bao giờ đặt trong đường dẫn tìm kiếm thư mục cho việc quản lý người dùng. 3. Chính sách mạng và máy tính 1. Chính sách quản trị hệ thống: a) Bảo mật vật lý: Cần phải xây dựng chi tiết các biện pháp bảo vệ liên quan đến các thảm họa, trộm cắp, điều khiển truy cập, phòng máy tính… Các khu vực cần xác định: Khu vực 1: Các vùng công cộng Khu vực 2: Các vùng không mở ở dạng công cộng, nhưng mở cho các nhân viên công ty Khu vực 3: Vùng cần bảo vệ, chỉ được truy cập khi đã được xác minh quyền truy cập, giám sát chặt chẽ việc truy cập. 3. Chính sách mạng và máy tính 1. Chính sách quản trị hệ thống: Ai là người có trách nhiệm tiêu hủy các đĩa, băng từ bảo mật bị lỗi? Hoặc đã cũ, chúng có thể được phục hồi lại không? Xác định các hướng dẫn cho phòng server: Tất cả các thiết bị máy tính cần được cài đặt sách sẽ và được gián nhãn. Các hướng dẫn trong việc giao dịch các thiết bị đa phượng tiện. 3. Chính sách mạng và máy tính 1. Chính sách quản trị hệ thống: a) Giám sát truy cập: Cấp quyền truy cập cho người dùng. Người dùng không được phép xóa các thu mục chứa các file được chia sẽ. Cân nhắc đến việc đăng nhập gốc chỉ thông qua bàn giao tiếp. Giám sát việc truy cập đến mọi đối tượng trong hệ thống thông qua chính sách đã được đưa ra (files, printer, thiết bị, database, các ứng dụng…) Người dùng này không thể giám sát người dùng khác 3. Chính sách mạng và máy tính 1. Chính sách quản trị hệ thống: Chính sách đăng nhập: Cung cấp cho người dùng một số quyền đăng nhập căn bản để họ thực hiện các công việc của họ. Các tài khỏan chỉ tồn tại với những người được quyền. Mỗi user phải được xác nhận bởi một tên, số thuộc một nhóm . Tên truy cập và tên nhóm phải được chuẩn hóa của doanh nghiệp (Số ký tự, cấu trúc…) Các users và nhóm phải được quản lý bởi các quản trị hệ thống họăc tương đương 3. Chính sách mạng và máy tính 1. Chính sách quản trị hệ thống: a) Chính sách đăng nhập: Mỗi user chỉ nên có một tài khỏan trên hệ thống. Các tài khỏan khách hàng nên hạn chế . Khi người dùng đã thực hiện giao dịch hoặc các cựu nhân viên, tài khỏan của họ nên phải khóa hoặc xóa ngay. Các màn hình khóa nên được kích họat sau 15 phút chờ với pass Các users cần am hiểu các hoạt động xâm phạm bảo mật.Và phải báo cho người quản trị hệ thống biết khi phát hiện xự xâm phạm. … 3. Chính sách mạng và máy tính 1. Chính sách quản trị hệ thống: a) Sự đảm bảo: Việc kiểm tra cần được thực hiện thường xuyên trên hệ thống. Các server mới cần phải được cài đặt bởi các nhà quản trị hệ thống. Trách nhiệm giải trình và kiểm tra Việc theo dỏi kiểm tra, các chương trình/tiện ích phải được bảo vệ. Chúng chỉ được thực hiện bới các nhân viên bảo mật. Có chế độ tự động thông báo các sự kiện quan trọng Các users cần am hiểu các hoạt động xâm phạm bảo mật.Và phải báo cho người quản trị hệ thống biết khi phát hiện xự xâm phạm. … 3. Chính sách mạng và máy tính 1. Chính sách quản trị hệ thống: a) Sự tin cậy của hệ thống: Chính sách phục hồi và sao lưu dữ liệu. Việc sao lưu nên được thực hiện thường xuyên Chính sách sao lưu phải tồn tại cho mỗi hệ thống hoặc một nhóm hệ thống, bao gồm: Xác định việc sao lưu như thế nào, vào thời gian nào? Chu kỳ sao lưu, ai có trách nhiệm kiểm tra tính đúng đắn các họat động đó. 3. Chính sách mạng và máy tính 1. Chính sách quản trị hệ thống: Chính sách phục hồi và sao lưu dữ liệu. Chính sách phục hồi, ai là người có trách nhiệm phục hồi, kiểm tra tính đúng đắn của việc phục hồi. Mô tả chi tíết các tiện ích sử dụng để phục hồi dữ liệu. Mô tả chi tiết các cách họat động phục hồi Kiểm tra thường xuyên chính sách 3. Chính sách mạng và máy tính 1. Chính sách quản trị hệ thống: Quản lý sự thay đổi. Chỉ những người quản trị hệ thống mới được phép cài đặt hoặc nâng cấp các phần mềm trên server. Chi tiết mọi sự thay đổi phải được lưu trữ trong các server. Các server còn có : tên server trên tất cả các thiết bị ngọai vi, lọai đĩa, ngày bảo hành, cấu hình, bảng chỉ dẫn điều khiển thiết bị … 3. Chính sách mạng và máy tính 2. Chính sách mạng: a) Chính sách hệ thống phân phối/mạng: Tính chắc chắn: cấu hình mạng nên được thể hiện qua tài liệu. Sự xác minh và thẩm định quyền: Thông qua hệ thống mạng dùng chung. Thông qua các máy đơn Trách nhiệm giải trình và kiểm tra Các user phải chịu trách nhiệm về các họat động của mình. Họ phải tôn trọng chính sách sử dụng mạng. Các node mạng quan trọng cần có các bản ghi họat động, các bản ghi phải được phân tích thường xuyên. 3. Chính sách mạng và máy tính 2. Chính sách mạng: Điều khiển truy cập: Cấu hình tại các node mạng dễ bị tổn thương: các dịch vụ không cần thiết nên vô hiệu hóa (disabled). Các mạng tính luôn sử dụng nên gián nhãn “open access” , “ hạn chế truy cập” hoặc ở mức cao hơn. Độ chính xác: các nút mạng quan trọng, nên kiểm tra tính tòan vẹn dữ liệu thường xuyên. 3. Chính sách mạng và máy tính 2. Chính sách mạng: Trao đổi dữ liệu: Các thông tin quan trọng chỉ được phép truyền tải khi có sự đồng ý của người quản lý bảo mật. Các mạng cần phải có hệ thống chống lại sự nghe lén: cần chia mạng thành các mạng con, sử dụng các cầu nối và hub. Khi truyền thông tin, người gửi và người nhận cần phải đính kèm các thông tin và được kiểm tra bởi các bộ phận có trách nhiệm. 3. Chính sách mạng và máy tính 2. Chính sách mạng: Sự tin cậy của dịch vụ/ tính sẳn sàng: Hệ thống mạng phải đảm bảo 24/7/365. Hệ thống mạng cần có sự giám sát các vấn đề thực thi và lỗi. Mọi cập nhật và thay đổi cấu hình phải được thực hiện theo quy trình chất lượng 3. Chính sách mạng và máy tính 2. Chính sách mạng: Truy cập Dial-in: Cần sử dụng hệ thống xác nhận Pass mạnh. Sự đảm bảo Xác minh quyền truy cập: Sử dụng hệ thống xác nhận quyền truy cập Người quản trị đăng nhập không gửi Pass dưới dạng văn bản. Trách nhiệm giải trình và kiểm tra Các user chịu trách nhiệm các họat động của họ. Việc đăng nhập cần được phân tích và thông báo lỗi tự động 3. Chính sách mạng và máy tính 2. Chính sách mạng: Internet Firewall: tất cả việc truy cập Internet từ hệ thống mạng đều phải xãy ra qua Firewall Sự đảm bảo: Chính sách firewall và cấu hình phải được thể hiện rõ ràng bằng các tài liệu. Phải giám sát thường xuyên hệ thống firewall và kiểm tra hàng năm. Xác minh quyền truy cập: Sử dụng hệ thống xác nhận quyền truy cập Người quản trị hệ thống nên sử dụng Pass mạnh và mã hóa trong mỗi phiên giao dịch. Trách nhiệm giải trình và kiểm tra Hệ thống firewall và proxy cần được cài đặt an tòan, các dịch vụ không cần thiết nên dừng họat động trên hệ thống 3. Chính sách mạng và máy tính 2. Chính sách mạng: Trao đổi dữ liệu: Tất cả các phiên giao dịch thông qua firewall cần phải được mã hóa và sử dụng pass mạnh. Sự giả mạo và phá vở các dịch vụ mạng cần phải được ngăn chặn. Sự tin cậy của dịch vụ: Đảm bảo tính sẳn sàng 24/7 Quản lý và giám sát mọi sự thay đổi, cập nhật và thay đổi cấu hình. Cảnh giác với sự phá vỡ các quy trình và dịch vụ quan trọng Các dịch vụ quan trọng nên sử dụng cấu hình có tính sẳn sàng cao. Trách nhiệm giải trình và kiểm tra Hệ thống firewall và proxy cần được cài đặt an tòan, các dịch vụ không cần thiết nên dừng họat động trên hệ thống 3. Chính sách mạng và máy tính 2. Chính sách mạng: Giao tiếp với các mạng khác Cần phải có chính sách rõ ràng Kết nối với mạng của khách hàng, đại lý : Các quy định về những tài liệu, thông tin, dịch vụ nào được giao dịch và phải gắn liền với chính sách mạng Sự giao tiếp phải được bảo vệ bởi firewall và có sự giám sát thường xuyên. Phối hợp phát hiện sự xâm nhập trái phép, Mạng điện thọai, Fax: 3. Chính sách mạng và máy tính 2. Chính sách mạng: Chính sách đáp ứng sự thay đổi bất ngờ Phạm vi: Firewall được thiết kế để bảo vệ mạng hợp tác tránh việc truy xuất bất hợp pháp từ Internet. Thường xuyên giám sát các lỗ hổng bảo mật. Khi phát hiện lỗ hổng, cần phải có biện pháp chống lại. 3. Chính sách mạng và máy tính 3. Chính sách phát triển phần mềm: Nguyên tắc chung Tách rời sự phát triển và sản xuất và dữ liệu. Xem sự bảo mật là một phần của các phát triển ứng dụng. Cân nhắc kỹ đến việc sử dụng các ngôn ngữ bảo mật e) Nguyên tắc sản xuất Tài liệu gì được phân phối với các ứng dụng Questions?