Với tư cách là một quản trị  viên CNTT, cố vấn  về bảo mật, chuyên gia  máy tính, có khá nhiều vấn đề trong danh sách của bạn về môi trường  mạng hơn cả vấn đề bảo mật. Có đến hàng triệu đô la, hàng nghìn giờ làm việc  và cả sự cố gắng  về mặt thời gian  cấu hình máy để chiến đấu với các vấn đề bảo mật  đang lan  tràn như một bệnh dịch cho các mạng. Không may ở đây là không hề có một giải pháp thực sự nào giúp bảo vệ mạng của bạn hoàn toàn an toàn. Các nghiên cứu  gần đây đã minh chứng được rằng mặc dù việc bảo mật  là một vấn đề chính đối với các nhân viên  CNTT nhưng những người dùng  khác vẫn có một số hành động  làm mất an toàn nhiều thứ. Có nhiều giải pháp đối với hầu hết các vấn đề này mà chúng tôi  muốn giới thiệu  đến trong bài này.

Tổng quan về bảo mật  từ phía người dùng 

Có một nghiên cứu  được thực hiện bởi RSA vào cuối năm 2007  với Thống kê  được thực hiện bởi các chuyên gia  về công nghệ  ở cả Boston  và Washington. Người dùng  là những nhân viên  trong các công ty  được thăm dò với các câu hỏi  có liên quan đến vấn đề bảo mật  và hành động  thực tiễn về bảo mật  của người dùng  tại văn phòng. Cả Boston  và Washington  đều là các thành phố  lớn với nhiều tập đoàn và nhân viên  làm việc  cho các tổ chức chính phủ. Nghiên cứu  này tập trung chỉ yếu vào cách người dùng  sử dụng và truy cập  dữ liệu  công ty  cũng như cách họ truy cập  bằng phương pháp vật lý với các máy tính  và tài nguyên  công ty  như thế nào. Kết quả thu được của nghiên cứu  được đưa ra trong bảng 1 bên dưới.

Chủ đề được hỏiPhần trăm các nhân viên  doanh nghiệpPhần trăm các nhân viên  chính phủTruy cập email thông qua một hot  spot không dây công cộng6437Mất laptop, smart phone hoặc USB  flash88Gửi các tài liệu  đến một địa chỉ email cá nhân  để có thể truy cập  từ nhà6168Mạng không dây bên trong công ty  sử dụng cho các phòng hội thảo và các phòng khách luôn mở không cần đăng nhập190Giữ một cửa an toàn mở cho ai đó làm việc  mà họ không nhận ra3235Quên khóa hoặc thẻ truy cập  và bị đưa vào tòa nhà bởi ai đó mà bạn không hề biết về họ4234Phát hiện ra một người không quen đang làm việc  tại một phòng trống trong phạm vi tòa nhà của họ.2141Đã yêu cầu về nhận dạng hoặc đã được báo cáo người lạ2863Đã chuyển các công việc  nội bộ mà vẫn truy cập  vào các tài khoản  hoặc tài nguyên  không cần thiết3334Rơi vào một mạng công ty  mà lẽ ra họ không có quyền truy cập2029

Bảng 1: Các kết quả về việc hỏi các nhân viên  về sự bảo mật  tại văn phòng  của họ

Như những gì bạn thấy qua các kết quả trong bảng 1, số lượng  tiền, thời gian  và những cố gắng  phải tốn trong việc đào tạo  các nhân viên  về bảo mật  công nghệ  cũng như tài nguyên  là không trả đủ với tất cả các vấn đề đó. Tuy vậy, với các chính sách đã được viết, chính sách logic và vật lý, nhiều vấn đề này có thể được thừa nhận không tồn tại thậm chí nếu người dùng  quyết định  bỏ qua các thủ tục bảo mật  thích đáng.

Bảo mật vật lý

Mọi chuyên gia  CNTT đều hiểu được rằng nếu an ninh về mặt vật lý của công ty  bị thỏa hiệp thì các tài nguyên  đang được bảo vệ có thể sẽ bị hủy hoại nhanh hơn rất nhiều. Dựa vào các câu đã hỏi trong nghiên cứu  trên, thì đây là một số giải pháp để có thể giúp khắc phục  các vấn đề có liên quan đến việc bảo mật  vật lý.

Nắm giữ cửa an toàn mở cho ai đó làm việc  nhưng lại không nhận ra họ?

Quên khóa hoặc thẻ truy cập  và bị đưa vào một tòa nhà bởi ai đó mà bạn không hề biết về họ?

• Cung cấp ID cards cho các nhân viên.
• Tạo một chính sách bắt buộc các nhân viên  phải đeo hoặc trình ID card  ở mọi thời điểm.
• Cài đặt bộ đọc ID card  ở tất cả các lối vào của tòa nhà cũng như các quyền bên trong tòa nhà.
• Đưa một nhân viên  bảo vệ ở lối vào chính vào tòa nhà để kiểm tra ID card.
• Cài đặt camera  ở tất cá các cửa bên ngoài và các điểm chính bên trong tòa nhà.

Phát hiện ra một người không quen đang làm việc  tại một phòng trống trong phạm vi tòa nhà của họ?

Đã yêu cầu về nhận dạng hoặc đã được báo cáo người lạ?

• Giống như các nhân viên, tất cả các khách vào công ty  cần phải bắt buộc đeo thẻ khách mỗi khi vào trong tòa nhà công ty.
• Với việc cả nhân viên  và khách đều đeo thẻ ID, bạn sẽ dễ dàng phát hiện ra được kẻ không mời mà đến.
• Các nhân viên  cần phải có sự khuyến khích trong việc báo cáo người lạ mặt và bắt buộc phải đeo thẻ.
• Các dấu hiệu, nhắc nhở, bảng ghi nhớ,… cần phải được post thường xuyên để nhắc nhở mọi người đeo thẻ ID.

Thậm chí với sự tràn vào của spam, adware, viruses, Trojans,… liên quan bởi email, thì các nhân viên  vẫn không quan tâm  đến các khía cạnh tiêu cực  trong việc lạm dụng email. Việc thi hành một môi trường  bảo mật  nghiêm khắc hơn về vấn đề email và sự truy cập  mạng khác có thể giúp tránh được việc bản thân  người dùng  không tuân theo các hành động  bảo mật  tốt.

Truy cập email thông qua một hot  spot không dây công cộng?

• Không cung cấp truy cập  nào vào email bên ngoài công ty  trừ khi đang sử dụng VPN hoặc một kết nối an toàn.
• Cấu hình máy chủ  mail  có khả năng kiểm tra và thi hành cơ chế chứng thực từ mạng nội bộ.
• Không cho phép người dùng  kết nối với desktop truy cập  từ xa trừ khi họ tạo một kết nối đến VPN trước.

Gửi các tài liệu  đến một địa chỉ email cá nhân  để có thể truy cập  từ nhà?

• Kích hoạt mã hóa với tất cả các email gửi đi
• Cấu hình bộ lọc cho các file đính kèm đối với tất cả email gửi đi. Điều này có thể hạn chế một số kiểu file nào đó cũng như nội dung  đính kèm bên trong.
• Hạn chế các tường lửa công ty  nhận POP3, IMAP và các phương pháp khác trong việc nhận email từ bên ngoài các site email cá nhân  của công ty.
• Bổ sung một chính sách ngăn chặn người dùng  truy cập  vào email cá nhân  trong khi làm việc 
• Đào tạo và thử nghiệm  về cách các site email được cấu hình bên ngoài có thể nguy hiểm như thế nào đối với công ty.

Mạng không dây bên trong công ty  sử dụng cho các phòng hội thảo và phòng khách luôn mở không cần đăng nhập?

• Cấu hình các điểm truy cập  không dây để thực hiện một cấu hình:
  - Không quảng bá  SSID
  - Kích hoạt lọc địa chỉ MAC 
  - Cấu hình bảo mật  mức cao như WPA và WPA2
  - Thực thi một máy chủ  RADIUS để chứng thực, thể hiện trong hình 1 là ví dụ cho một tùy chọn của điểm truy cập.
   
• Sử dụng thẻ thông minh  (Smart Card) cho tất cả các truy cập  mạng không dây

Hình 1: Bảo mật  không dây có thể sử dụng các khóa đã được chia sẻ  trước đó và các máy chủ  RADIUS để chứng thực

Đã chuyển các công việc  nội bộ mà vẫn truy cập  vào các tài khoản  hoặc tài nguyên  không cần thiết?

• Thực thi các thủ tục cho thuê và các thay đổicông việc mà yêu cầu chủ sở hữu tài nguyên  cung cấp mức truy cập  toàn bộ cho nhân viên 
• Thực thi Restricted Groups và Local Users and Groups bên trong Group Policy để kiểm soát thành viên  nhóm, như thể hiện trong hình 2.
• Thực thi sự ủy nhiệm cho quản trị  viên bên trong Active Directory để hạn chế quản trị  thành viên  nhóm.
• Thực hiện các thẩm định thông thường về thành viên  của nhóm bảo mật.

Hình 2: Hội viên của nhóm nội bộ có thể được quản lý bằng cách sử dụng PolicyMaker,
Windows Server  2008, hoặc Windows Vista SP1 

Rơi vào một mạng công ty  mà lẽ ra họ không có quyền truy cập?

• Thực thi một chương trình  khuyến khích động viên  để đẩy mạnh các hành động  bảo mật  tốt, như các vùng mạng bị cấu hình lỗi chẳng hạn.
• Bảo đảm rằng các điều khoản NTFS đều được cấu hình trên tất cả các tài nguyên  mạng để chỉ nhóm vào các nhóm bảo mật  thích hợp.
• Thực thi các hành động  nhóm và người dùng  bên trong Active Directory. Điển hình là các tài khoản  người dùng  đang nằm trong nhóm, được đặt tên và được sử dụng để nhóm các kiểu người dùng  giống nhau cư trú trong Active Directory. Sau đó các nhóm này sẽ được đặt vào trong các nhóm khác, đặt tên và được sử dụng để gán các điều khoản đang cư trú trong Active Directory hoặc Local Group đang cư trú trên máy chủ  tài nguyên. Cuối cùng, các tài nguyên  cần được cấu hình với nhóm đã được sử dụng để gán các điều khoản.
• Thực thi Access  Based Enumeration (kiểm kê truy cập) đối với tất cả các máy chủ  dùng để lưu dữ liệu.

Kết luận

Nhiều tham số trong các tham số trên cũng như các giải pháp đã được viết theo cách hướng chính sách. Chính sách được viết phải chính xác  và rõ ràng để hạn chế các hành vi không thích hợp. Với sự bắt buộc về bảo mật  thông qua nghĩa kỹ thuật, một số giải pháp sẽ yêu cầu một sự thay đổi về cách người dùng  truy cập  mạng và dữ liệu. Tuy bảo mật  chưa bao giờ là điều dễ dàng, thú vị hoặc không quá nhiều phức tạp nhưng nếu bảo mật  không được đề ra từ sớm và thường xuyên hay không được đề cao thì hầu hết các công ty  sẽ bị ảnh hưởng rất lớn và kết quả của những ảnh hưởng này được thể hiện trong hình 1, minh chứng về việc không có các chính sách bảo mật.

Bạn có ý kiến gì về bài viết Bảo vệ người dùng để có được mạng an toàn này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Bảo vệ người dùng để có được mạng an toàn bạn tại đây.