Chính sách bảo mật

Security Awareness Presented by: ATHENA Security Team Security Awareness Chương 6: Chính sách bảo mật Chính sách bảo mật Chính sách hạn chế truy cập Chính sách cho máy đơn Chính sách bảo vệ hạ tầng mạng Các chính sách bảo vệ Username/password Chính sách nhân sự Chính sách huấn luyện Phản ứng với sự cố máy tính Các chính sách quản lý truy cập Dữ liệu là tài nguyên thông tin vô cùng quý giá của công ty. Sự truy cập vào dữ liệu quan trọng phải được quản lý. Xác định nhu cầu truy cập dữ liệu của người sử dụng và phân quyền dữ liệu theo nhóm làm việc. Nhóm làm việc và user trong hệ thống chỉ truy cập được những dữ liệu cần thiết nhất cho công việc của họ, và không được truy cập dữ liệu của nhóm khác hoặc những gì không liên quan. Chính sách bảo vệ máy đơn Nếu máy đơn(máy của nhân viên) không được kiểm soát bằng chính sách thì sẽ phát sinh những vấn đề sau: User có thể toàn quyền tại máy nội bộ và có thể lưu trữ nhiều thông tin của riêng họ. User có thể thay đổi giao thức mạng tại máy nội bộ và làm gián đọan công việc. Những user có sự hiểu biết sẽ cài vào máy những đoạn code nguy hiểm và trojan từ đó lây nhiễm cho toàn mạng. User có thể tải những chương trình game từ Internet và làm lãng phí thời gian của doanh nghiệp. Chính sách bảo vệ máy đơn Biện pháp bảo vệ tại máy đơn: Cần có chính sách bảo vệ tài nguyên tại máy đơn. Cần có chính sách cấp quyền cho account tại máy đơn.( tham gia vào domain) Không cho phép chạy những đoạn code nguy hiểm và phải thường xuyên quét virus. Kiểm tra user một cách ngẫu nhiên. Không được cài đặt những phần mềm và game khi chưa được phép đồng ý của lãnh đạo. Chính sách bảo vệ hạ tầng mạng Tại sao phải có chính sách bảo vệ hạ tầng mạng: Hacker khi tiếp xúc với một máy tính trực tiếp có thể xóa dữ liệu đồng thời kiểm soát được Server.( nhấn nút reset trên Server và boot bằng CD) Laptop(chứa dữ liệu quan trọng của nhà lãnh đạo ) bị lấy cắp và sau đó hacker có thể lấy được dữ liệu của công ty từ laptop này. Chính sách bảo hạ tầng mạng Biện pháp phòng tránh: Phải thiết kế phân vùng để server, thiết bị mạng v.v. vào những nơi an toàn và được bảo vệ. Phân vùng để thiết bị, Server phải có những thiết bị an toàn như là khóa, hay là những thiết bị chứng thực mạnh như thẻ từ, máy nhận dạng vân tay. Nếu việc bảo mật là cực kỳ cần thiết thì phải tạo ra những tình huống tấn công giả lập. Chính sách bảo vệ Username/Password Tầm quan trọng của username/password: Username/password sử dụng để chống lại sự truy cập bất hợp pháp và PC hay Server của User. Password được xem như là chìa khóa để truy cập vào hệ thống, và đối với hệ thống thì password được giấu kín( ở dưới dạng mã hóa) Tất cả các tấn công hầu hết mục tiêu để lấy được Username/Password của user và từ tài khoản này có thể truy cập được dữ liệu công ty. Chính sách bảo vệ Username/Password Cách bảo vệ sư tấn cống Username/Password: Sử dụng Password mạnh kết hợp 2 hay lớn hơn những yếu tố sau: -chữ thường ( az) -chữ hoa(AZ) -Số(19) -Ký tự đặc biệt( #$%%&()+_|:”? V.v.) Thay đổi password định kỳ. Các chính sách liên quan đến nhân sự Cần kết hợp giữa bộ phận nhân sự và nhân viên IT trong công ty. IT tạo account cho nhân sư mới với quyền hạn tối thiểu để có thể làm việc tốt trong công ty IT xóa account nếu như nhân sự của account đó không làm ở công ty .( tránh trường hợp bị tấn công bởi account này tại máy nội bộ) Chính sách huấn luyện và tài liệu cho người dùng Các hình thức truyền thông: Email nội bộ hay là email Internet Hệ thống điện thoại của công ty Tài liệu Website Chia sẽ tài nguyên Nhắn tin hay Chat trực tiếp Chính sách huấn luyện và tài liệu cho người dùng Nhận thức cho User: Chính sách bảo mật chỉ có ý nghĩa khi user nhận thức được. Admin có thể phổ biến những quy định, những điều cần chú ý cho User bằng các hình thức truyền thông nêu trên. Admin có trách nhiệm giúp cho User nhận thức được các nguyên nhân gây ra mất thông tin, ví dụ phải thay đổi password mỗi tháng 1 lần, không được tiết lộ thông tin về password v.v. Chính sách huấn luyện và tài liệu cho người dùng User nhận thức được tầm quan trọng của việc mất thông tin của công ty. Chính sách huấn luyện và tài liệu cho người dùng Huấn luyện cho User: Huấn luyện giúp cho user để sớm có được phương pháp phòng chống các cuộc tấn công lấy thông tin. Giúp cho user tăng kỹ năng nhận biết. Giúp cho user có khả năng biết được nhiệm vụ của mình trong quy trình bảo mật Phải chú ý huấn luyện cho người mới vào công ty làm việc, để tăng sự hòa nhập của họ đối với công ty. Tạo ra tài nguyên trực tuyến để giúp đỡ user khi gặp sự cố. Chính sách huấn luyện và tài liệu cho người dùng Tài liệu dành cho user là rất quan trọng trong việc phổ biến những chính sách và những luật lệ của công ty. Tài liệu về chính sách phải rõ ràng và dễ đọc. Summary Hỏi - Đáp Q&A ? ?