Chuong 3- Chính sách bảo mật

CHÍNH SÁCH BẢO MẬT
Security Policy
Ths. Trần Văn Thanh

khoadtvt@hcm.vnn.vn
Trường Đại Học Lạc Hồng
NỘI DUNG
 Chính sách bảo mật thông tin
 Chính sách bảo mật cá nhân
 CHÍNH SÁCH BẢO MẬT THÔNG TIN
 CHÍNH SÁCH BẢO MẬT CÁ NHÂN
 CHÍNH SÁCH BẢO MẬT MẠNG VÀ MÁY
TÍNH
 THỰC HiỆN CHÍNH SÁCH
1. Chính sách bảo mật
1- Người sở hữu các tài sản thông

tin
 Người sở hữu thông tin nên phân
lọai thông tin dựa trên bổn phận,
chi phí, chính sách bảo mật và các
nhu cầu kinh doanh.
 Người sở hữu thông tin là người
được phép truy cập dữ liệu.
 Người sở hữu thông tin có trách
nhiệm bảo mật dữ liệu này tùy
theo tính chất của từng lọai thông
2- Phân loại thông tin: hệ thống

phân lọai thông tin có 4 mức như
sau:
 Các thông tin cộng đồng, không
cần phân lọai.
 Những thông tin nội bộ
 Thông tin mật
 Thông tin tối mật
3- Dựa việc phân loại để đưa ra các nguyên tắc:

 Nguyên tắc lưu trữ:
 Thông tin cần được gán nhãn, phân lọai và được lưu
trữ trên các tài liệu, băng đĩa, các thông điệp và các
file.
 Các hệ thống dễ bị tấn công bởi virus phải thường
xuyên được quét.
 Tính tòan vẹn của hệ thống : thông qua sự giám sát
thường xuyên…
 Thiết lập cấu hình để phòng chống sự truy xuất, sửa
đổi bất hợp pháp.
 Việc lưu trử phải được khóa cẩn thận
 Thông tin được lưu trữ dưới dạng mã hóa với các
thuật tóan mã hóa mạnh.
3- Dựa việc phân loại để đưa ra các

nguyên tắc:
 Nguyên tắc Giao dịch:
 Quy định việc chia sẽ thông tin với đối
tác bên ngàoi.
 Mã hóa thông tin khi giao dịch với bên
ngòai.
 Tính tòan vẹn của hệ thống : thông
qua sự giám sát thường xuyên…
 Nguyên tắc tiêu hủy:
3- Dựa việc phân loại để đưa ra các

nguyên tắc:
 Nguyên tắc Giao dịch:
 Quy định việc chia sẽ thông tin với đối
tác bên ngàoi.
 Mã hóa thông tin khi giao dịch với bên
ngòai.
 Tính tòan vẹn của hệ thống : thông
qua sự giám sát thường xuyên…
 Nguyên tắc tiêu hủy:
2. Chính sách bảo mật cá
nhân
1. Đạo đức:
 Người dùng không được phép:
 Chia sẽ tài khỏan và Pass với bạn bè
hoặc người thân.
 Vào tài khỏan của người khác, phá vở
các dịch vụ.
 Sử dụng sai tài nguyên của hệ thống,
email
 Giám sát các tài liệu của nguời dùng
khác
 Download hoặc copy các phần mềm
không có bản quyền hoặc cho phép
nhân
2. Chính sách Password:
 Việc kết hợp username và Pass
nhằm nhận dạng người dùng trong
hệ thống.
 Nội dung của Pass:
 Hỗn hợp giữa số, ký tự in, ký tự thường
và các dấu chấm câu.
 Dể nhớ.
 Dễ đánh máy (nhưng khó khăn cho sự
quan sát).
nhân
 Một số ví dụ:
 Chọn một hoặc hai dòng của một bài
hát, bài thơ.
 Tên của vợ chồng, người thân, bố mẹ,
vật cưng trong gia đình, ngày tháng
(bad Pass)
 Sử dụng số xe, số điện thọai (bad
Pass)
 Sử dụng các từ phổ biến, chuổi các số,
các ký tự giống nhau…
nhân
 Một số nguyên tắc:
 Không viết mật khẩu ra hoặc viết qua email.
 Không sử dụng các pass ngầm định
 Không đưa pass cho người thân
 Cần thay đổi pass ngay lập tức khi bị lộ trên
hệ thống.
 Nên chọn mật khẩu tốt nhất nếu chỉ nhớ một
pass.
 Người dùng mật khẩu mặc định của hệ thống
phải thay đổi ngay khi sử dụng hệ thống.
nhân
 Không viết mật khẩu ra hoặc viết qua email.
 Không sử dụng các pass ngầm định
 Không đưa pass cho người thân
 Cần thay đổi pass ngay lập tức khi bị lộ trên
hệ thống.
 Nên chọn mật khẩu tốt nhất nếu chỉ nhớ một
pass.
 Người dùng mật khẩu mặc định của hệ thống
phải thay đổi ngay khi sử dụng hệ thống.
nhân
 Pass cần được lưu giữ dưới dạng mã
hóa.
 Một Pass có thời gian sử dụng tối
thiểu, tối đa, độ dài tối thiểu và danh
sách lược sử.
 Hệ thống cần kiểm tra Pass theo quy
tắc trước khi chấp nhận nó.
 Người dùng không thể thay đổi Pass
của người khác, nhưng Người điều
hành tài khoản có thế thay đổi được
Pass của người dùng.
nhân
3. Chính sách phần mềm dùng chung:
 Các phần mềm thuộc phạm vi công
cộng: có thể được sử dụng trong lớp 1 và
2 nếu người quản trị hệ thống đảm bảo
được sự tòan vẹn dữ liệu của nguồn tài
nguyên hệ thống.
 Nên tránh sử dụng trong lớp 3, tuy nhiên
khi cần thiết, nó chỉ cho phép thấy được
phía sau của source code.
 Không nên sử dụng các phần mềm không
có đăng ký.
 Các phần mềm game cho phép chạy trên
hệ thống nếu nhà quản trị hệ thống đảm
bảo chúng không sử dụng quá 5% tài
nguyên hệ thống.
nhân
4. Chính sách mạng nội bộ:
 Thông tin bí mật:
 Các thông tin dạng này khi giao dịch trên
mạng cần phải được mã hóa.
 Kết nối mạng.
 Người dùng không thể kết nối đến các mạng
khác trừ mạng LAN .
 Việc truy xuất ra các mạng bên ngòai phải
thông qua firewall.
 Modem
 Không sử dụng modem trên mát tính của họ.
 Việc truy cập phải thông qua mạng LAN và
thông qua server bảo mật
nhân
4. Chính sách mạng nội bộ:
 Email:
 Người dùng cần có sự hiểu biết rằng quy ước
của hệ thống email là phải đảm bảo tính riêng
tư, bằng chứng và nguồn góc khởi tạo.
 Trong mộ số hệ thống, người quản trị hệ thống
có thể đọc được nội dung email.
 Ở lớp 2 (lớp thông tin nội bộ), dữ liệu có thể
được gửi trong nội bộ công ty mà không cần
phải mã hóa. Lớp 3 thì nên mã hóa trong khi
đó ở lớp 4, dữ liệu không nên giao dịch qua
email.
 Người dùng cần có kiến thức về những rũi ro
khi mở các tài liệu có gắn các macro, các file
đính kèm hoặc các chương trình cài đặt nhận
nhân
5. Chính sách mạng Internet:
 Việc kết nối Internet có thể xãy ra các rũi
ro sau:
 Lộ các thông tin bí mật.
 Mạng nội bộ có thể bị xâm nhập bởi các
hacker từ Internet.
 Thông tin có thể bị thay đổi hoặc bị xóa.
 Việc truy cập hệ thống có thể bị từ chối do hệ
thống bị quá tải.
 Nếu người dùng được phép truy cập
Internet, họ phải có kiến thức về các rũi
ro liên quan và các chính sách chung ->
cần phải có chính sách Internet
nhân
5. Chính sách mạng Internet:
 Tất cả các đường truy cập Internet phải
đi qua cổng truy cập của công ty.
 Những ai được cho phép truy cập
Internet, email. Khi nào thì sự truy xuất
bị từ chối.
 Các phần mềm máy khách Internet được
cho phép.
 Những ai có thể được cung cấp các dịch
vụ Internet. Các điều kiện truy cập: được
cho phép, chính sách tường lửa,
nhân
6. Chính sách máy tính để bàn và
cá nhân:
 Giáo dục người dùng về các rũi ro
khi sử dụng máy xáy tay.
 Việc bảo vệ Pass trong các ứng
dụng văn phòng như Winword
không đảm bảo sự an tòan.
 Việc di chuyển các đĩa cứng cho
phép người dùng dể dàng bảo vệ
các thông tin quan trọng
nhân
6. Chính sách máy tính để bàn và
cá nhân:
 Các chính sách có thể là:
 Các máy tính xách tay phải được cài
đặt bởi các nhân viên IT chuyên
nghiệp. Các nhân viên phải biết lắng
nghe các lời khuyên về việc lựa chọn
các model máy tính
 Cần cài đặt các phần mềm mã hóa
mạnh và dễ sửa dụng.
 Cân nhắc việc sử dụng hệ điều hành,
nơi mà người dùng không có đầy đủ
quyền truy cập hệ thống.
nhân
6. Chính sách máy tính để bàn và cá
nhân:
 Các chính sách có thể là:
 Người dùng phải có trách nhiệm với máy tính
của họ
 Sử dụng màn hình tự động khóa máy và khởi
động bằng Pass khi sử dụng.
 Cài đặt các phần mềm diệt virus chính thống.
 Dữ liệu thuộc lớp 3 không được giao dịch bằng
máy tính xách tay trừ khi được mã hóa.
 Không lưu trữ Pass trên MTXT đối với những
máy được phép truy cập mạng dùng chung.
 Truyền thông: truy cập qua modem cần phải
có chính sách.

3. Chính sách mạng và
máy tính
1. Chính sách quản trị hệ thống:
 Nhà quản trị hệ thống cần đảm bảo tính
sẳn sàng của hệ thống khi cần.
 Các yêu cầu cần xách định:
 Ai/ở đâu cập nhật các chính sách quản trị
 Ai được quyền truy cập? Ai được quyền quản
trị hệ thống.
 Xác định quyền và trách nhiệm của người
quản trị hệ thống.
 Các người dùng nào được cấp quyền
root/administrator truy xuất máy trạm của họ.
 Các thư mục hiện hành không bao giờ đặt
trong đường dẫn tìm kiếm thư mục cho việc
quản lý người dùng.
máy tính
a) Bảo mật vật lý: Cần phải xây dựng chi
tiết các biện pháp bảo vệ liên quan đến
các thảm họa, trộm cắp, điều khiển truy
cập, phòng máy tính…
 Các khu vực cần xác định:
 Khu vực 1: Các vùng công cộng
 Khu vực 2: Các vùng không mở ở dạng công
cộng, nhưng mở cho các nhân viên công ty
 Khu vực 3: Vùng cần bảo vệ, chỉ được truy cập
khi đã được xác minh quyền truy cập, giám
sát chặt chẽ việc truy cập.
máy tính
 Ai là người có trách nhiệm tiêu hủy
các đĩa, băng từ bảo mật bị lỗi?
Hoặc đã cũ, chúng có thể được
phục hồi lại không?
 Xác định các hướng dẫn cho phòng
server:
 Tất cả các thiết bị máy tính cần được
cài đặt sách sẽ và được gián nhãn.
 Các hướng dẫn trong việc giao dịch
các thiết bị đa phượng tiện.
máy tính
a) Giám sát truy cập:
 Cấp quyền truy cập cho người dùng.
 Người dùng không được phép xóa các thu mục
chứa các file được chia sẽ.
 Cân nhắc đến việc đăng nhập gốc chỉ thông
qua bàn giao tiếp.
 Giám sát việc truy cập đến mọi đối tượng
trong hệ thống thông qua chính sách đã được
đưa ra (files, printer, thiết bị, database, các
ứng dụng…)
 Người dùng này không thể giám sát người
dùng khác
máy tính
 Chính sách đăng nhập:
 Cung cấp cho người dùng một số quyền
đăng nhập căn bản để họ thực hiện các
công việc của họ.
 Các tài khỏan chỉ tồn tại với những người được
quyền.
 Mỗi user phải được xác nhận bởi một tên, số
thuộc một nhóm .
 Tên truy cập và tên nhóm phải được chuẩn
hóa của doanh nghiệp (Số ký tự, cấu trúc…)
 Các users và nhóm phải được quản lý bởi các
quản trị hệ thống họăc tương đương
máy tính
a) Chính sách đăng nhập:
 Mỗi user chỉ nên có một tài khỏan trên hệ
thống.
 Các tài khỏan khách hàng nên hạn chế .
 Khi người dùng đã thực hiện giao dịch hoặc
các cựu nhân viên, tài khỏan của họ nên phải
khóa hoặc xóa ngay.
 Các màn hình khóa nên được kích họat sau 15
phút chờ với pass
 Các users cần am hiểu các hoạt động xâm
phạm bảo mật.Và phải báo cho người quản trị
hệ thống biết khi phát hiện xự xâm phạm.
 …
máy tính
a) Sự đảm bảo:
 Việc kiểm tra cần được thực hiện thường
xuyên trên hệ thống.
 Các server mới cần phải được cài đặt bởi các
nhà quản trị hệ thống.
 Trách nhiệm giải trình và kiểm tra
 Việc theo dỏi kiểm tra, các chương trình/tiện
ích phải được bảo vệ. Chúng chỉ được thực
hiện bới các nhân viên bảo mật.
 Có chế độ tự động thông báo các sự kiện quan
trọng
 Các users cần am hiểu các hoạt động xâm
phạm bảo mật.Và phải báo cho người quản trị
hệ thống biết khi phát hiện xự xâm phạm.
 …
máy tính
a) Sự tin cậy của hệ thống:
 Chính sách phục hồi và sao lưu dữ
liệu.
 Việc sao lưu nên được thực hiện
thường xuyên
 Chính sách sao lưu phải tồn tại cho
mỗi hệ thống hoặc một nhóm hệ
thống, bao gồm:
 Xác định việc sao lưu như thế nào, vào thời
gian nào?
 Chu kỳ sao lưu, ai có trách nhiệm kiểm tra
tính đúng đắn các họat động đó.
máy tính
 Chính sách phục hồi và sao lưu dữ
liệu.
 Chính sách phục hồi, ai là người có
trách nhiệm phục hồi, kiểm tra tính
đúng đắn của việc phục hồi.
 Mô tả chi tíết các tiện ích sử dụng để
phục hồi dữ liệu.
 Mô tả chi tiết các cách họat động phục
hồi
 Kiểm tra thường xuyên chính sách
máy tính
 Quản lý sự thay đổi.
 Chỉ những người quản trị hệ thống mới
được phép cài đặt hoặc nâng cấp các
phần mềm trên server.
 Chi tiết mọi sự thay đổi phải được lưu
trữ trong các server.
 Các server còn có : tên server trên tất
cả các thiết bị ngọai vi, lọai đĩa, ngày
bảo hành, cấu hình, bảng chỉ dẫn điều
khiển thiết bị
 …
máy tính
2. Chính sách mạng:
a) Chính sách hệ thống phân phối/mạng:
 Tính chắc chắn: cấu hình mạng nên được
thể hiện qua tài liệu.
 Sự xác minh và thẩm định quyền:
 Thông qua hệ thống mạng dùng chung.
 Thông qua các máy đơn
 Trách nhiệm giải trình và kiểm tra
 Các user phải chịu trách nhiệm về các họat
động của mình. Họ phải tôn trọng chính sách
sử dụng mạng.
 Các node mạng quan trọng cần có các bản ghi
họat động, các bản ghi phải được phân tích
thường xuyên.
máy tính
 Điều khiển truy cập:
 Cấu hình tại các node mạng dễ bị tổn
thương: các dịch vụ không cần thiết
nên vô hiệu hóa (disabled).
 Các mạng tính luôn sử dụng nên gián
nhãn “open access” , “ hạn chế truy
cập” hoặc ở mức cao hơn.
 Độ chính xác: các nút mạng quan
trọng, nên kiểm tra tính tòan vẹn
dữ liệu thường xuyên.
máy tính
 Trao đổi dữ liệu:
 Các thông tin quan trọng chỉ được
phép truyền tải khi có sự đồng ý của
người quản lý bảo mật.
 Các mạng cần phải có hệ thống chống
lại sự nghe lén: cần chia mạng thành
các mạng con, sử dụng các cầu nối và
hub.
 Khi truyền thông tin, người gửi và
người nhận cần phải đính kèm các
thông tin và được kiểm tra bởi các bộ
phận có trách nhiệm.
máy tính
 Sự tin cậy của dịch vụ/ tính sẳn
sàng:
 Hệ thống mạng phải đảm bảo
24/7/365.
 Hệ thống mạng cần có sự giám sát các
vấn đề thực thi và lỗi.
 Mọi cập nhật và thay đổi cấu hình phải
được thực hiện theo quy trình chất
lượng
máy tính
 Truy cập Dial-in: Cần sử dụng hệ thống
xác nhận Pass mạnh.
 Sự đảm bảo
 Xác minh quyền truy cập:
 Sử dụng hệ thống xác nhận quyền truy cập
 Người quản trị đăng nhập không gửi Pass dưới
dạng văn bản.
 Các user chịu trách nhiệm các họat động của
họ.
 Việc đăng nhập cần được phân tích và thông
báo lỗi tự động
máy tính
 Internet Firewall: tất cả việc truy cập Internet từ
hệ thống mạng đều phải xãy ra qua Firewall
 Sự đảm bảo:
 Chính sách firewall và cấu hình phải được thể hiện
rõ ràng bằng các tài liệu.
 Phải giám sát thường xuyên hệ thống firewall và
kiểm tra hàng năm.
 Xác minh quyền truy cập:
 Sử dụng hệ thống xác nhận quyền truy cập
 Người quản trị hệ thống nên sử dụng Pass mạnh và
mã hóa trong mỗi phiên giao dịch.
 Hệ thống firewall và proxy cần được cài đặt an
tòan, các dịch vụ không cần thiết nên dừng họat
động trên hệ thống
máy tính
 Trao đổi dữ liệu:
 Tất cả các phiên giao dịch thông qua firewall cần
phải được mã hóa và sử dụng pass mạnh.
 Sự giả mạo và phá vở các dịch vụ mạng cần phải
được ngăn chặn.
 Sự tin cậy của dịch vụ:
 Đảm bảo tính sẳn sàng 24/7
 Quản lý và giám sát mọi sự thay đổi, cập nhật và
thay đổi cấu hình.
 Cảnh giác với sự phá vỡ các quy trình và dịch vụ
quan trọng
 Các dịch vụ quan trọng nên sử dụng cấu hình có
tính sẳn sàng cao.
 Hệ thống firewall và proxy cần được cài đặt an
tòan, các dịch vụ không cần thiết nên dừng họat
động trên hệ thống
máy tính
 Giao tiếp với các mạng khác
Cần phải có chính sách rõ ràng
 Kết nối với mạng của khách hàng, đại lý :
 Các quy định về những tài liệu, thông tin, dịch
vụ nào được giao dịch và phải gắn liền với
chính sách mạng
 Sự giao tiếp phải được bảo vệ bởi firewall và
có sự giám sát thường xuyên.
 Phối hợp phát hiện sự xâm nhập trái phép,
 Mạng điện thọai, Fax:
máy tính
 Chính sách đáp ứng sự thay đổi bất
ngờ
 Phạm vi:
 Firewall được thiết kế để bảo vệ mạng
hợp tác tránh việc truy xuất bất hợp
pháp từ Internet.
 Thường xuyên giám sát các lỗ hổng
bảo mật.
 Khi phát hiện lỗ hổng, cần phải có biện
pháp chống lại.
máy tính
3. Chính sách phát triển phần mềm:
 Nguyên tắc chung
 Tách rời sự phát triển và sản xuất
và dữ liệu.
 Xem sự bảo mật là một phần của
các phát triển ứng dụng.
 Cân nhắc kỹ đến việc sử dụng các
ngôn ngữ bảo mật
e) Nguyên tắc sản xuất
 Tài liệu gì được phân phối với các ứng
dụng
Questions?
 Tuần sau chuyển sang học buổi sáng

(7h00)
 Tuần sau kiểm tra giữa kỳ
Trần Văn Thanh

khoadtvt@hcm.vnn.vn
THÔNG BÁO
 Thứ 2 tuần sau: Học bù

– Sáng: Phòng 203 (8h00 – 11h00).
– Chiều: Phòng 201 (13h30 – 17h00)
Trần Văn Thanh

khoadtvt@hcm.vnn.vn

Chuong 3- Chính sách bảo mật

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chuong 3- Chính sách bảo mật

Uploaded by

Copyright:

Available Formats

CHÍNH SÁCH BẢO MẬT

Ths. Trần Văn Thanh

1- Người sở hữu các tài sản thông

2- Phân loại thông tin: hệ thống

3- Dựa việc phân loại để đưa ra các nguyên tắc:

3- Dựa việc phân loại để đưa ra các

3- Dựa việc phân loại để đưa ra các

 Tuần sau chuyển sang học buổi sáng

Trần Văn Thanh

 Thứ 2 tuần sau: Học bù

Trần Văn Thanh

You might also like