LÀM THẾ NÀO ĐỂ BẢO VỆ CÁC MÁY TÍNH CỦA MỘT TỔ CHỨC
Phần 2: Chính sách an toàn Account cho Computer (Security Account Policies )
Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính của một
tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương thức cụ thể theo trình tự, từ
quá trình setup hệ thống, vận hành hệ thống dựa trên những chính sách an toàn từ basic
cho đến những kĩ năng advance mà các Security Admin cần quan tâm để áp dụng vào
việc xây dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôi xin đề
cập đến vấn đề an ninh account (account security) và cách thức tạo account an toàn
nhằm đối phó với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp của
những công cụ phù thủy…
Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng nhất
cho attacker, như vậy những hình thức bảo mật khác được áp dụng vào hệ thống như
trang bị các công cụ chống maleware (prevent virus, worm, spyware, ad-ware..), triển
khai hệ thống phòng thủ Mạng (Firewall) cũng sẽ không có tác dụng nào đáng kể, vì
Admin quá thờ ơ trong cách thức tạo account và đưa ra chính sách tạo account chứa
đựng nhiều rủi ro này.
Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến lược an toàn
account áp dụng vào an toàn thông tin của tổ chức là vấn đề mang tính cấp bách.
A. Làm thế nào để tạo và quản lý Account an toàn
Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý Account sao cho
an toàn
• Account phải được bảo vệ bằng password phức hợp ( password length,
password complexity)
• Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và dịch vụ
cần thiết (không thiếu quyền hạn mà cũng không thể để thừa)
• Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nội bộ)
• Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải được đặt
trên những hệ thống an toàn và được mã hóa)
• Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thức bảo
mật account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhân viên
hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để khai
thác ), hướng dẫn cách thức thay đổi password khi cần thiết và tránh tuyệt đối
việc ghi lại account trên các stick-notes rồi gián bừa bãi trên Monitorhoặc
Keyboard..), Khóa (lock) ngay Computer khi không sử dụng, mặc định trên các
máy tính thường cũng có chính sách tự động lock computer sau môt thời gian
không sử dụng, để giúp cho những nhân viên hay quên tránh được lỗi bảo mật
sơ đẳng (lỗi này giống như việc ra khỏi nhà mà không khóa cửa)
• Những người tạo và quản lý account (đặc biệt là những account hệ thống –
System accounts, và account vận hành, kiểm soát các dịch vụ - service
accounts) cho toàn bộ tổ chức là những người được xem là AN TOÀN TUYỆT
ĐỐI.
• Disable những account tạm thời chưa sử dụng, delete những account không còn
sử dụng.
• Tránh việc dùng chung Password cho nhiều account
• Khóa (lock) account sau một số lần người sử dụng log-on không thành công vào
hệ thống.
• Có thể không cho phép một số account quản trị hệ thống và dịch vụ, không
được log-on từ xa (remote location log-on), vì những hệ thống và dịch vụ này
rất quan trọng và thông thường chỉ cho phép được kiểm soát từ bên trong
(internal Network), nếu có nhu cầu quản trị và support từ xa Security Admin
vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu.
• Các Security admin khi log-on vào Server chỉ nên dùng account có quyền hạn
thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên dùng account System
hoặc Service (ví dụ Microsoft Windows hỗ trợ command run as thông qua run
as service để cho phép độc lập quản trị các thành phần của hệ thống, các dịch
vụ mà không cần phải log-on vào máy ban đầu bằng account admin). Điều này
giúp chúng ta tránh được các chương trình nguy hiểm đã lọt vào máy tính chạy
với quyền admin, khi đó các admin thật sự của Computer sẽ gặp nhiều rắc rối.
• Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công “đặc quyền
leo thang” (bắt đầu lọt vào hệ thống với account thông thường và sau đó leo
thang đến quyền cao nhất)
• Trên đây là những phần trực quan nhất mà Admin Security cần hình dung cụ
thể khi thiết kế chính sách bảo mật account (account security policies). Một
trong những chính sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng nhất nhưng
thông thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết các con đường
xâm nhập vào hệ thống đều qua khai thác Credentials (có được thông tin
account), attacker nắm được vulnerabilities ( yếu điểm ) này, nên lợi dụng khai
thác rất hiệu quả.
B. Phân tích và thiết kế các chính sách an toàn cho account.
Phân tích những rủi ro và xác định các mối đe dọa đối với account:
Account cho một User sẽ xác định những hành động mà User đó có thể thực hiện.
Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau.
Loại account
Độ tin cậy
Ví dụ
Người dùng bên ngoài
Thấp
User truy cập Web server (anonymous user), đối tác kinh doanh (business partners)..
Nhân viên nội bộ
Vừa phải
Nhân viên hợp đồng, nhân viên chính thức..
Nhóm Administrator
Cao
Quyền quản trị hệ thống, dịch vụ, dữ liệu tổ chức…
Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản:
• User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thống cho
phép thực thi những hành động đặc biệt (ví dụ: Quyền Backup Files Và
Folders, thay đổi thời gian hệ thống, shutdown hệ thống…)
• Trên Windows các bạn có thể type command secpol.msc tại RUN, để open
Local Security Settings\ local policies\ User rights assignment là nơi xác lập các
User rights của hệ thống
• Permissions (Quyền truy cập): Được kiểm soát bởi DACLs (Discretionary
access control lists) của hệ thống, được phép truy cập vào các File/Folder hay
Active Directory objects (trong Domain) (ví dụ User A được quyền
Read/Modify đối với Folder C:\Data, User B được Full Control đối với OU
Business..)
• Chú ý trong việc cấp phát Permission cho account, nên đưa account vào Group
để dễ kiểm soát, tránh việc phân quyền mang tính cá nhân cho một account nào
đó. Điều này tăng cường khả năng kiểm soát account, vì khi số lượng account
của hệ thống (Local hay Domain) tăng lên thì việc tổ chức này tạo sự an toàn
và dễ kiểm soát hơn.
Những kẽ hở từ Account có thể tạo cơ hội cho attacker:
Password:
• Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngày
tháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt cho
password).
• Dùng cùng password cho nhiều account. password được dán bừa bãi lên
Monitor/Keyboard, hoặc lưu password vào một text file không bảo vệ.
• Chia sẽ password hệ thống của mình cho bạn đồng nghiệp…
Cấp phát đặc quyền:
• Cấp phát đặc quyền Administrator cho các User.
• Các services của hệ thống không dùng Service account.
• Cấp phát User right không cần thiết cho account.
Việc sử dụng account:
• Log-on vào máy với account Administrators khi thi hành những tác vụ thông
thường.
• Tạo những User account cho phép quyền quản trị các tài khoản khác. Kích hoạt
những tài khoản không còn được sử dụng (ví dụ nhân viên đã nghỉ việc, tài
khỏan vẫn được lưu hành trên hệ thống..)
Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account:
• Chính sách tạo password sao cho an toàn thực sư là một trong những yếu tố
chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố chính như sau:
• Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng tối
đa của password trước khi user phải thay đổi password. Thay đổi password theo
định kì sẽ giúp tăng cường an toàn cho tài khoản
• Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi
(minimum password age). Admin có thể thiết lập thờigian này khoảng vài ngày,
trước khi cho phép user thay đổi password của họ.
• Thực thi password history: Số lần các password khác biệt nhau phải sử dụng
qua, trước khi quay lại dùng password cũ. Số Password history càng cao thì độ
an toàn càng lớn.
• Chiều dài password tối thiểu (minimum password length) cần phải đặt. Càng
dài càng an toàn
• Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ phức
hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệt giữa
password và P@ssW0rd)
• Khi dùng password phức hợp cần quan tâm:
• Không sử dụng họ và tên
• Chứa ít nhất 6 kí tự
• Có thể đan xen chữ hoa,(A..Z) thường (a..z), và các kí tự đặc biệt như: !@#$
%^&*()
• Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếu như
sau một số lần log-on không thành công vào hệ thống. Mục đích của chính sách
này nhằm ngăn chặn các cuộc tấn công dạng brute force vào account để dò
password.
Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý Account sao cho an toàn,
nhằm đáp ứng các yêu cầu khắt khe trong chính sách an toàn thông tin của tổ chức và
đối với các Security Admin thiết nghĩ vấn đề này không nên chễnh mãng hoặc thờ ơ,
vì đây là “ngõ vào” đầu tiên mà attacker luôn ưu tiên trong việc thăm dò, khai thác yếu
điểm của hệ thống.
Chính sách bảo mật thông tin
Glory.com.vn chúng tôi coi trọng tất cả các quyền riêng tư của người sử dụng. Trong
mục này sẽ trình bày cách thức chúng tôi sử dụng các thông tin bạn đã cung cấp thông
qua trang web Glory.com.vn. Phần quy định về sự riêng tư này có thể được thay đổi
trong tương lai. Nếu có thay đổi, các quy định mới sẽ được đăng trên trang web và bạn
có thể thay đổi thông tin cá nhân của bạn qua phần giải thích dưới đây.
Thông tin cá nhân nào chúng tôi thu thập lại?
Khách viếng thăm: Bạn không bị yêu cầu cung cấp thông tin nhận dạng cá nhân khi
viếng thăm trang web Glory.com.vn. Chúng tôi chỉ thu thập sử dụng các thông tin thông
thường của khách viếng thăm mà không phải là thông tin nhận dạng cá nhân, ví dụ
như địa chỉ IP nơi máy bạn sử dụng.
Đăng ký sử dụng dịch vụ từ trang web: Bạn được yêu cầu cung cấp thông tin cá nhân
để có thể sử dụng các dịch vụ chính trên trang web, các thông tin này sẽ được hiển thị
rõ ràng trên web để bạn có thể hoàn thành nó.
Tập tin Cookie: Cookie là những tập tin văn bản nhỏ được lưu trên ổ cứng máy tính
bạn từ hệ thống máy chủ để giúp nhận diện ra máy tính bạn. Cookie là tập tin chỉ đọc
do máy chủ đặt tại đấy và không hề thực thi bất kỳ đoạn mã nào cũng như không hề
có virus. Chúng tôi chỉ sử dụng cookie để nhận ra bạn khi bạn đang viếng thăm trang
web, giúp xác định việc sử dụng và phục vụ bạn tốt hơn.
Chúng tôi sử dụng các thông tin thu thập được như thế nào?
Thông tin từ trang web: Thông tin bạn cung cấp khi bạn đăng ký tài khoản tại
Glory.com.vn hay các thông tin bạn điền tại những nơi khác trên trang web mà có thể
được lưu trữ trên máy chủ của chúng tôi, hay trong một số trường hợp, thông tin được
lấy từ tập tin cookie trên máy bạn. Thông tin này sẽ được sử dụng để hoàn thành việc
tổng hợp lại các dữ liệu, chứ không phải là thông tin nhận dạng cá nhân nhằm mục
đích sử dụng ẩn bên dưới hay chia sẻ cho bên thứ 3.
Liên hệ trực tiếp: Glory.com.vn có thể liên hệ trực tiếp với bạn để hỏi về các thông
tin bạn đã cung cấp với mục đích xác nhận lại tính hợp lệ các thông tin bạn đã điền
trên trang web.
Quảng cáo trực tiếp: Sử dụng thông tin liên hệ được đưa bởi các nhà cung cấp,
Glory.com.vn hay các đối tác thứ 3 như địa chỉ email mà phù hợp với các quy định về
quyền riêng tư, có thể sẽ gửi các thông tin hay quảng cáo tới bạn một cách định kỳ.
Thái độ khách viếng thăm: Glory.com.vn có thể thực hiện các cuộc phân tích thống kê
thái độ của người dùng để đo lường mức độ yêu thích trên những phần khác nhau của
trang web chúng tôi, nhằm mục đích phát triển, đưa kết quả cho các nhà quảng cáo,
các đối tác về những khách hàng đã nhấp vào quảng cáo hay những thông tin khác của
họ.
Bảo mật
Thông tin cá nhân của bạn là một trong những tài sản quan trọng nhất đối với chúng
tôi. Nó được bảo mật trong trung tâm dữ liệu của chúng tôi và chỉ được truy cập khi
cần kiểm tra nhận dạng thông tin cá nhân để thực thi chính sách về quyền riêng tư
này. Thêm vào đó, khi thu thập thẻ tín dụng hay các thông tin có mức độ nhạy cảm cao
khác từ bạn, chúng tôi sử dụng hệ thống mã hóa SSL theo tiêu chuẩn trong ngành để
bảo vệ các dữ liệu được truyền đi.
Thu thập các thông tin từ đối tác thứ ba
Glory.com.vn làm việc với các đối tác thứ ba để đáp ứng phục vụ cho việc quảng cáo
khi bạn viếng thăm trang web chúng tôi. Những công ty này có thể sử dụng các thông
tin về bạn (không bao gồm tên, địa chỉ, email hay số điện thoại) khi bạn viếng thăm
trang web này hay các trang web khác nhằm mục đích quảng cáo sản phẩm, dịch vụ
yêu thích tới bạn. Bên cạnh đó, chúng tôi có thể chia sẻ thông tin quen thuộc của
những khách viếng thăm trên trang web chúng tôi với các công ty này nhằm mục đích
quản lý và đề ra các mục tiêu quảng cáo trên trang web chúng tôi và các trang web
khác.
Nếu bạn có bất kỳ thắc mắc câu hỏi nào về các chính sách quyền riêng tư này, vui
lòng email cho chúng tôi tại
[email protected]