Xây dựng chính sách bảo mật

Một hệ thống có chính sách bảo mật hợp lý là biện pháp tốt nhất để đảm bảo an toàn mạng. Với những quy tắc bảo mật đã được đề cập ở phần trước, bạn có thể dựa vào đó để xây dựng cho công ty mình một chính sách bảo mật căn cứ vào tình hình thực tế và khả năng của công ty.

Một hệ thống có chính sách bảo mật hợp lý là biện pháp tốt nhất để đảm bảo an toàn mạng. Với những quy tắc bảo mật đã được đề cập ở phần trước, bạn có thể dựa vào đó để xây dựng cho công ty mình một chính sách bảo mật căn cứ vào tình hình thực tế và khả năng của công ty. Việc xây dựng một chính sách bảo mật là những hoạt động cần thiết nhằm thiết lập các khung chính sách đảm bảo hệ thống an toàn, ổn định và có tính thực thi cao, có khả năng chống lại những cuộc tấn công từ bên ngoài lẫn bên trong. Nhiệm vụ đầu tiên trong các bước xây dựng một chính sách bảo mật là xác định được mục tiêu cần bảo mật. Điều này sẽ giúp cho nhà quản trị biết được trách nhiệm của mình trong việc bảo vệ tài nguyên của bản thân và của tổ chức trên mạng. Ngoài ra, nó còn giúp cho nhà quản trị thiết lập được các biện pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống. Những mục tiêu bảo mật mà một nhà quản trị hệ thống cần đạt được, bao gồm : - Xác định được đối tượng cần bảo vệ. - Xác định được nguy cơ đối với hệ thống. - Xác định được phương án thực thi chính sách bảo mật. 1/- Xác định đối tượng cần bảo vệ : Trong một hệ thống, người quản trị phải biết được đối tượng nào là quan trọng, đối tượng nào là không quan trọng bằng để đưa ra một phương thức bảo mật tương xứng với từng đối tượng. Với hành động này, người quản trị có thể xác định độ ưu tiên của từng đối tượng cần bảo vệ trong hệ thống. Thông thường, các đối tượng cần bảo vệ trong hệ thống bao gồm các máy dịch vụ, các router, các điểm truy cập hệ thống, tài nguyên, các chương trình ứng dụng, cơ sở dữ liệu, … Người quản trị cần xác định rõ phạm vi và ranh giới giữa các thành phần trong hệ thống để khi xảy ra sự cố, có thể cô lập các thành phần khác với nhau, dễ dàng dò tìm nguyên nhân và cách khắc phục. Trong các thành phần của hệ thống, có thể chia các đối tượng theo từng dạng khác nhau thông qua các cách sau : - Phân tách cách dịch vụ tùy theo mức độ truy cập và độ tin cậy của chúng. - Phân tách hệ thống theo các thành phần vật lý. - Phân tách hệ thống theo phạm vi cung cấp của các dịch vụ bên trong mạng và cách dịch vụ bên ngoài mạng. 2/- Xác định nguy cơ đối với hệ thống cần bảo vệ : Các nguy cơ đối với hệ thống thông thường là các lỗ hổng bảo mật trong các dịch vụ do hệ thống

2. Với những bug phần mềm. 3/.Không kiểm soát được cấu hình hệ thống. Tuy nhiên. 2. không phụ thuộc vào quyền hạn cũng như những dịch vụ mà người dùng đang dùng. . .Các điểm truy cập hệ thống : Là điểm đầu tiên mà những kẻ tấn công quan tâm đến. các điểm truy cập là những thành phần có tính bảo mật lỏng lẻo nhất. các điểm truy cập phục vụ hầu hết người dùng trên mạng.Các phần mềm ứng dụng.Cấu hình hệ thống : Người quản trị không kiểm soát hoặc mất cấu hình hệ thống hiện đang chiếm một tỉ lệ lớn trong việc tạo ra các lỗ hổng bảo mật.Nguy cơ trong mạng nội bộ : Một hệ thống không những chịu tấn công từ bên ngoài mà còn có thể bị tấn công ngay từ bên trong nội bộ mạng.3/.Các điểm truy cập hệ thống. 2.1/. Điều này cũng dẫn đến khó khăn để nhà quản trị hệ thống có thể nắm bắt được cấu hình hệ thống.Những phần mềm ứng dụng : Những phần mềm mà người dùng đang sử dụng có những lỗi và những lỗi này sẽ tạo nên những lổ hỗng bảo mật của dịch vụ. .4/. Nhiều nhà sản xuất đã khắc phục tình trạng này bằng cách đưa ra những cấu hình mặc định. người quản trị cần thường xuyên cập nhật những phiên bản vá lỗi mới nhất của các phần mềm hay dịch vụ mà họ đang sử dụng. Hiện nay. người quản trị cần lựa chọn cho mình các phương án thực thi chính sách bảo mật.2/.Xác định các phương án thực thi chính sách bảo mật : Sau khi thiết lập được một chính sách bảo mật. Các chương trình virus và trojan hay những cuộc tấn công từ chối dịch vụ là những ví dụ điển hình. .cung cấp. tạo cơ hội cho các hình thức tấn công khác nhau xâm nhập vào hệ thống. Một chính sách bảo mật là hoàn hảo khi nó có tính thực thi cao. Các lỗ hổng bảo mật này nằm trong một số các thành phần sau của hệ thống : . Các hình tấn công bên trong mạng luôn xảy ra với số lượng lớn. Do đó. những cấu hình mặc định này không được xem xét kỹ lưỡng về mặt bảo mật. ý nghĩa của các file hay các cấu hình quan trọng. Người quản trị nếu xác định chính xác được các lỗ hổng bảo mật này sẽ giúp cho họ tránh được những cuộc tấn công hay ít ra là tìm được phương thức bảo vệ đúng đắn. có rất nhiều phần mềm sử dụng có yêu cầu cấu hình phức tạp và đa dạng. 2. Thông thường. người quản trị phải nắm bắt được các hoạt động của các phần mềm sử dụng. Do đó.Các nguy cơ trong nội bộ một mạng.

. không gây khó khăn cho họ. 3. nhà quản trị còn xem xét đến nó trong một thời gian dài cùng với các lợi nhuận khác mà nó mang lại khi thực thi chính sách bảo mật. Chẳng hạn. tin cậy nhưng cần có chi phí quá cao so với lợi nhuận mà hệ thống mang lại thì không có tính khả thi vì nó không hiệu quả. 3. nếu như một hệ thống thường xuyên có các nguy cơ bị tấn công từ bên ngoài thì tính đúng đắn thể hiện ở việc chính sách này cần đảm bảo kiểm soát được các truy cập của khách hàng vào hệ thống bằng việc xây dựng các thủ tục quản lý tài khoản người dùng chặt chẽ. những chính sách nhằm kiểm tra tính hợp lệ khi khách hàng truy cập vào hệ thống.2/. tính thân thiện còn đảm bảo các biện pháp bảo mật trên hệ thống không làm khó khăn hoặc bất tiện đối với người dùng.Tính hiệu quả : Nhà quản trị luôn quan tâm đến hiệu quả mà một chính sách bảo mật mang lại.Tính hiệu quả.3/. những chính sách cần bảo vệ mật khẩu như yêu cầu khách hàng xác nhận mật khẩu của mình theo định kỳ đều phải dễ dàng và ai cũng có thể chấp nhận. Đồng thời. người ta đưa ra một số tiêu chí chọn lựa như sau : . 3.Tính thân thiện.1/. Tiêu chí này sẽ đảm bảo cho sự thành công của chính sách bảo mật đó.Tính thân thiện : Một chính sách bảo mật cần thiết lập ra các công cụ bảo mật thân thiện với người quản trị và dễ dàng thực thi các chính sách bảo mật. Một chính sách bảo mật có thể đảm bảo là hệ thống an toàn. Chẳng hạn. Khi xem xét đến tính hiệu quả của một chính sách bảo mật.Tính đúng đắn. .Tính đúng đắn : Là tiêu chí quan trọng nhất để chọn lựa một chính sách bảo mật.Để đánh giá tính thực thi của chính sách bảo mật. .