Bảo vệ người dùng để có được mạng an toàn

Bảo vệ người dùng để có được mạng an toàn Nguồn : quantrimang.com  Derek Melber Làm thế nào để tránh cho các nhân viên của bạn vô tình trở thành một sự đe dọa cho tập thể. Với tư cách là một quản trị viên CNTT, cố vấn về bảo mật, chuyên gia máy tính, có khá nhiều vấn đề trong danh sách của bạn về môi trường mạng hơn cả vấn đề bảo mật. Có đến hàng triệu đô la, hàng nghìn giờ làm việc và cả sự cố gắng về mặt thời gian cấu hình máy để chiến đấu với các vấn đề bảo mật đang lan tràn như một bệnh dịch cho các mạng. Không may ở đây là không hề có một giải pháp thực sự nào giúp bảo vệ mạng của bạn hoàn toàn an toàn. Các nghiên cứu gần đây đã minh chứng được rằng mặc dù việc bảo mật là một vấn đề chính đối với các nhân viên CNTT nhưng những người dùng khác vẫn có một số hành động làm mất an toàn nhiều thứ. Có nhiều giải pháp đối với hầu hết các vấn đề này mà chúng tôi muốn giới thiệu đến trong bài này. Tổng quan về bảo mật từ phía người dùng Có một nghiên cứu được thực hiện bởi RSA vào cuối năm 2007 với Thống kê được thực hiện bởi các chuyên gia về công nghệ ở cả Boston và Washington. Người dùng là những nhân viên trong các công ty được thăm dò với các câu hỏi có liên quan đến vấn đề bảo mật và hành động thực tiễn về bảo mật của người dùng tại văn phòng. Cả Boston và Washington đều là các thành phố lớn với nhiều tập đoàn và nhân viên làm việc cho các tổ chức chính phủ. Nghiên cứu này tập trung chỉ yếu vào cách người dùng sử dụng và truy cập dữ liệu công ty cũng như cách họ truy cập bằng phương pháp vật lý với các máy tính và tài nguyên công ty như thế nào. Kết quả thu được của nghiên cứu được đưa ra trong bảng 1 bên dưới. Chủ đề được hỏi Phần trăm các nhân viên doanh nghiệp Phần trăm các nhân viên chính phủ Truy cập email thông qua một hot spot không dây công cộng 64 37 Mất laptop, smart phone hoặc USB flash 8 8 Gửi các tài liệu đến một địa chỉ email cá 61 68 nhân để có thể truy cập từ nhà Mạng không dây bên trong công ty sử dụng cho các phòng hội thảo và các phòng khách luôn mở không cần đăng nhập 19 0 Giữ một cửa an toàn mở cho ai đó làm việc mà họ không nhận ra 32 35 Quên khóa hoặc thẻ truy cập và bị đưa vào tòa nhà bởi ai đó mà bạn không hề biết về họ 42 34 Phát hiện ra một người không quen đang làm việc tại một phòng trống trong phạm vi tòa nhà của họ. 21 41 Đã yêu cầu về nhận dạng hoặc đã được báo cáo người lạ 28 63 Đã chuyển các công việc nội bộ mà vẫn truy cập vào các tài khoản hoặc tài nguyên không cần thiết 33 34 Rơi vào một mạng công ty mà lẽ ra họ không có quyền truy cập 20 29 Bảng 1: Các kết quả về việc hỏi các nhân viên về sự bảo mật tại văn phòng của họ Như những gì bạn thấy qua các kết quả trong bảng 1, số lượng tiền, thời gian và những cố gắng phải tốn trong việc đào tạo các nhân viên về bảo mật công nghệ cũng như tài nguyên là không trả đủ với tất cả các vấn đề đó. Tuy vậy, với các chính sách đã được viết, chính sách logic và vật lý, nhiều vấn đề này có thể được thừa nhận không tồn tại thậm chí nếu người dùng quyết định bỏ qua các thủ tục bảo mật thích đáng. Bảo mật vật lý Mọi chuyên gia CNTT đều hiểu được rằng nếu an ninh về mặt vật lý của công ty bị thỏa hiệp thì các tài nguyên đang được bảo vệ có thể sẽ bị hủy hoại nhanh hơn rất nhiều. Dựa vào các câu đã hỏi trong nghiên cứu trên, thì đây là một số giải pháp để có thể giúp khắc phục các vấn đề có liên quan đến việc bảo mật vật lý. Nắm giữ cửa an toàn mở cho ai đó làm việc nhưng lại không nhận ra họ? Quên khóa hoặc thẻ truy cập và bị đưa vào một tòa nhà bởi ai đó mà bạn không hề biết về họ? • Cung cấp ID cards cho các nhân viên. • Tạo một chính sách bắt buộc các nhân viên phải đeo hoặc trình ID card ở mọi thời điểm. • Cài đặt bộ đọc ID card ở tất cả các lối vào của tòa nhà cũng như các quyền bên trong tòa nhà. • Đưa một nhân viên bảo vệ ở lối vào chính vào tòa nhà để kiểm tra ID card. • Cài đặt camera ở tất cá các cửa bên ngoài và các điểm chính bên trong tòa nhà. Phát hiện ra một người không quen đang làm việc tại một phòng trống trong phạm vi tòa nhà của họ? Đã yêu cầu về nhận dạng hoặc đã được báo cáo người lạ? • Giống như các nhân viên, tất cả các khách vào công ty cần phải bắt buộc đeo thẻ khách mỗi khi vào trong tòa nhà công ty. • Với việc cả nhân viên và khách đều đeo thẻ ID, bạn sẽ dễ dàng phát hiện ra được kẻ không mời mà đến. • Các nhân viên cần phải có sự khuyến khích trong việc báo cáo người lạ mặt và bắt buộc phải đeo thẻ. • Các dấu hiệu, nhắc nhở, bảng ghi nhớ,… cần phải được post thường xuyên để nhắc nhở mọi người đeo thẻ ID. Bảo mật logic Thậm chí với sự tràn vào của spam, adware, viruses, Trojans,… liên quan bởi email, thì các nhân viên vẫn không quan tâm đến các khía cạnh tiêu cực trong việc lạm dụng email. Việc thi hành một môi trường bảo mật nghiêm khắc hơn về vấn đề email và sự truy cập mạng khác có thể giúp tránh được việc bản thân người dùng không tuân theo các hành động bảo mật tốt. Truy cập email thông qua một hot spot không dây công cộng? • Không cung cấp truy cập nào vào email bên ngoài công ty trừ khi đang sử dụng VPN hoặc một kết nối an toàn. • Cấu hình máy chủ mail có khả năng kiểm tra và thi hành cơ chế chứng thực từ mạng nội bộ. • Không cho phép người dùng kết nối với desktop truy cập từ xa trừ khi họ tạo một kết nối đến VPN trước. Gửi các tài liệu đến một địa chỉ email cá nhân để có thể truy cập từ nhà? • Kích hoạt mã hóa với tất cả các email gửi đi • Cấu hình bộ lọc cho các file đính kèm đối với tất cả email gửi đi. Điều này có thể hạn chế một số kiểu file nào đó cũng như nội dung đính kèm bên trong. • Hạn chế các tường lửa công ty nhận POP3, IMAP và các phương pháp khác trong việc nhận email từ bên ngoài các site email cá nhân của công ty. • Bổ sung một chính sách ngăn chặn người dùng truy cập vào email cá nhân trong khi làm việc • Đào tạo và thử nghiệm về cách các site email được cấu hình bên ngoài có thể nguy hiểm như thế nào đối với công ty. Mạng không dây bên trong công ty sử dụng cho các phòng hội thảo và phòng khách luôn mở không cần đăng nhập? • Cấu hình các điểm truy cập không dây để thực hiện một cấu hình: - Không quảng bá SSID - Kích hoạt lọc địa chỉ MAC - Cấu hình bảo mật mức cao như WPA và WPA2 - Thực thi một máy chủ RADIUS để chứng thực, thể hiện trong hình 1 là ví dụ cho một tùy chọn của điểm truy cập. • Sử dụng thẻ thông minh (Smart Card) cho tất cả các truy cập mạng không dây Hình 1: Bảo mật không dây có thể sử dụng các khóa đã được chia sẻ trước đó và các máy chủ RADIUS để chứng thực Đã chuyển các công việc nội bộ mà vẫn truy cập vào các tài khoản hoặc tài nguyên không cần thiết? • Thực thi các thủ tục cho thuê và các thay đổicông việc mà yêu cầu chủ sở hữu tài nguyên cung cấp mức truy cập toàn bộ cho nhân viên • Thực thi Restricted Groups và Local Users and Groups bên trong Group Policy để kiểm soát thành viên nhóm, như thể hiện trong hình 2. • Thực thi sự ủy nhiệm cho quản trị viên bên trong Active Directory để hạn chế quản trị thành viên nhóm. • Thực hiện các thẩm định thông thường về thành viên của nhóm bảo mật. Hình 2: Hội viên của nhóm nội bộ có thể được quản lý bằng cách sử dụng PolicyMaker, Windows Server 2008, hoặc Windows Vista SP1 Rơi vào một mạng công ty mà lẽ ra họ không có quyền truy cập? • Thực thi một chương trình khuyến khích động viên để đẩy mạnh các hành động bảo mật tốt, như các vùng mạng bị cấu hình lỗi chẳng hạn. • Bảo đảm rằng các điều khoản NTFS đều được cấu hình trên tất cả các tài nguyên mạng để chỉ nhóm vào các nhóm bảo mật thích hợp. • Thực thi các hành động nhóm và người dùng bên trong Active Directory. Điển hình là các tài khoản người dùng đang nằm trong nhóm, được đặt tên và được sử dụng để nhóm các kiểu người dùng giống nhau cư trú trong Active Directory. Sau đó các nhóm này sẽ được đặt vào trong các nhóm khác, đặt tên và được sử dụng để gán các điều khoản đang cư trú trong Active Directory hoặc Local Group đang cư trú trên máy chủ tài nguyên. Cuối cùng, các tài nguyên cần được cấu hình với nhóm đã được sử dụng để gán các điều khoản. • Thực thi Access Based Enumeration (kiểm kê truy cập) đối với tất cả các máy chủ dùng để lưu dữ liệu. Kết luận Nhiều tham số trong các tham số trên cũng như các giải pháp đã được viết theo cách hướng chính sách. Chính sách được viết phải chính xác và rõ ràng để hạn chế các hành vi không thích hợp. Với sự bắt buộc về bảo mật thông qua nghĩa kỹ thuật, một số giải pháp sẽ yêu cầu một sự thay đổi về cách người dùng truy cập mạng và dữ liệu. Tuy bảo mật chưa bao giờ là điều dễ dàng, thú vị hoặc không quá nhiều phức tạp nhưng nếu bảo mật không được đề ra từ sớm và thường xuyên hay không được đề cao thì hầu hết các công ty sẽ bị ảnh hưởng rất lớn và kết quả của những ảnh hưởng này được thể hiện trong hình 1, minh chứng về việc không có các chính sách bảo mật.