2010/09/13

An ninh điện tử | Trường Hợp Nghiên Cứu 1 - Tạo Một Chính Sách An Ninh

Khi hoạch định một chính sách an ninh cho chính bạn hoặc tổ chức của bạn, bạn phải hiểu rành mạch những nguy cơ về an ninh cho máy điện toán và dữ liệu của bạn. Mức độ nguy cơ, và tức nhiên nguy hiểm, tăng theo tỉ lệ thuận với những hiểm họa (threats) và nhược điểm (vulnerabilities), như trong phương trình này:

                                    Nguy cơ = Hiểm Họa X Nhược Điểm

Hiểm Họa ở đây nghĩa là khả năng một ai đó sẽ gây hại đến sự an ninh của máy điện toán của bạn, dữ liệu lưu trữ bên trong và những trao đổi qua mạng.  Đánh giá mức độ đe doạ nghĩa là phân tích xu hướng một mối đe doạ nhất định được đưa vào hành động. 

Những ví dụ bao gồm:
    Một cuộc tấn công bằng virút (A virus attack)
    Tịch thu những thiết bị trong máy ví tính (ví dụ như ổ cứng)
    Chặn một trang web.

Nhược điểm nghĩa là mức độ bạn có nguy cơ bị mất, bị phá, và bị thiệt hại trong trường hợp một cuộc tấn công xảy ra (nếu mối đe doạ được phát hiện) và nó biến đổi theo hoàn cảnh và thời gian. Nhược điểm luôn luôn tương đối, bởi vì tất cả mọi người và tổ chức đều chỉ có nhược điểm (bị tác hại) ở một phương diện nào đấy.  Thông thường thì nhược điểm trong lãnh vực kỹ thuật là ở chổ thiếu hiểu biết hoặc không được huấn luyện đúng mức. Một nhược điểm khác nữa là sự dựa vào kỹ thuật (bảo hộ) quá mức khi chưa biết rõ kỷ thuật ấy vận hành ra sao.

-Vị trí cũng có thể trở thành nhược điểm.  Ví dụ, màn ảnh máy điện toán và những hoạt động của bạn trên máy có thể dễ bị nhìn thấy nếu bạn sinh hoạt tại quán café Internet.  Nếu bạn sống tại một quốc gia bị hạn hán hoặc thiếu điện thì nhược điểm của bạn sẽ là thiếu điện (hoặc dấy điện, tức electrical surge) và vì vậy máy của bạn không thể vận hành và truy cập Internet.

-Nhưọc điểm cũng bao gồm sự thiếu phương tiện liên lạc, như điện thoại hoặc không có nối kết Internet.

-Nhược điểm cũng có thể gắn liền với công tác tập thể và sự sợ hãi: Một nhà bảo vệ nhân quyền nếu bị hăm hoạ có thể sẽ cảm giác sợ hãi, vì thế công việc của người ấy sẽ bị ảnh hưởng. Nếu ông/bà ấy không có biện pháp đúng để đối đầu với sự sợ hãi này (người để bày tỏ, đồng đội tốt, vân vân), ông/bà ấy sẽ có nguy cơ phạm sai lầm trong công việc, hoặc là yếu kém trong những quyết định. Mặc dù mối đe doạ này không liên quan đến máy điện toán, nhưng nó rất đáng kể đối với an ninh điện toán bởi vì nó làm gia tăng mối đe doạ đã tồn tại rồi. 

Năng Lực là những khả năng và phương tiện mà một nhóm hoặc một người có thể sử dụng để đạt một sự an ninh (cho máy điện toán) hợp lý. Những ví dụ năng lực có thể là được huấn luyện trong các vấn đề liên quan đến điện toán, hoặc an ninh điện toán.

Kiến thức về môi trường điện toán/Internet là một năng lực rất quan trọng trong việc đối phó với những bất an.  Cho nên, sự quen biết với một chuyên viên điện toán khả tín, hoặc được tiếp tay bởi một nhóm người có kỹ năng tốt là điều cần thiết trong việc:

- Thiết lập chính sách an ninh trong tổ chức: Ví dụ như lưu trữ dữ liệu phòng hộ (secure).
- Bảo đảm an ninh cho các ngõ vào phần mềm office, và lắp đặt những khoá vững chắc tại các cửa (doors) và cửa sổ (windows) của máy điện toán.
- Sao chép lại tất cả bảo đảm của thiết bị cứng và những giấy phép của thiết bị mềm (copies of all hardware warranties and licences for software) cho máy. 

Sự thiếu kiến thức trong môi trường làm việc và kỹ thuật (mà bạn) vận hành là một nguy cơ bị xâm hại, trong khi có kiến thức trong lãnh vực này là một năng lực.  Nguy cơ bị xâm hại, tạo nên bởi những hiểm họa và nhược điểm, có thể  được giảm thiểu nếu người sử dụng điện toán có đủ năng lực (năng lực càng nhiều, nguy cơ bị xâm hại càng ít).

Nguy Cơ =    (Hiểm Họa X Nhược Điểm) / Năng Lực

Bởi vậy, ví dụ, nguy cơ bạn bị mất dữ liệu điện tử do một virút tấn công bằng: Hiểm họa bị virút tấn công, nhân cho Nhược Điểm vì không có phầm mềm và tường lửa chống virút, chia cho Năng Lực đạt được khi bạn có trong tay phương tiện Digital Security Toolkit (để bảo vệ an ninh điện tử).  Lẽ đương nhiên đây không phải là một công thức toán học, nhưng công dụng chánh của nó là nhằm giúp bạn nhận diện những yếu tố có thể gây ra nguy cơ nói trên để bạn biết mà trừ khử chúng.

Tạo Dựng Một Kế Hoạch An Ninh Cấu Tạo của Kế Hoạch

Mục đích của một kế hoạch an ninh là giảm thiểu nguy cơ bị hại của bạn.  Cho nên nó sẽ có ít nhất ba mục tiêu, dựa theo bản lượng giá nguy cơ của bạn:

• Cắt giảm mức độ hiểm họa mà bạn đang chịu đựng
• Cắt giảm những nhược điểm của bạn
• Gia tăng năng lực của bạn

Sẽ hữu dụng hơn nếu kế hoạch an nình của bạn bao gồm thêm:

• Các kế hoạch hoặc quy trình dự phòng để bảo đảm công việc hằng ngày được thực hiện trong tiêu chuẩn an ninh cố định.  Ví dụ, cách trao đổi những chủ để nhạy cảm qua email với một nhóm người (lạ hay quen) phải nằm trong khuôn khổ được quy định trước nhằm bảo vệ an ninh. 

• Những kế hoạch để đương đầu với trường hợp cụ thể khẩn cấp, ví dụ như bị tịch thu phương tiện.

Những Trách Nhiệm và Tài Nguyên Để Thực Thi Kế Hoạch

Để bảo đảm kế hoạch được thực thi, các thói quen về an ninh phải được áp dụng vào công việc hàng ngày.  Hãy:

• Theo thói quen mà liệt kê công tác lượng giá nguy cơ (bị hại) và những điểm về an ninh trong chương trình làm việc của bạn.
•Báo cáo và phân tích những sự cố về an ninh 
•Phân chia trách nhiệm
•Phân chia tài nguyên, tức là thời gian, tiền tài, vân vân, cho sự an ninh.

Soạn thảo kế hoạch- Cách bắt đầu

Nếu bạn đã làm xong một bản lượng giá nguy cơ (risk assessment) cho một nhà bảo vệ nhân quyền hoặc một tổ chức nào đấy, bạn có thể đã có một bản liệt kê thật dài các nhược điểm, vài loại hiểm họa, và một số năng lực.  Bạn không thể, trên thực tế, bao quát hết tất cả mọi thứ cùng một lúc. Vì vậy, phải bắt đầu từ đâu?  Điều đấy rất dễ. Hãy:

• Chọn một vài hiểm hoạ: Ưu tiên hóa những hiểm họa-dù thật sự hay chỉ tiềm ẩn-mà bạn đã liệt kê bằng một trong những tiêu chí sau đây:  Hiểm họa siêu nghiêm trọng-ví dụ, mất tất cả dữ kiện trong máy điện toán; hoặc nguy cơ hiểm họa siêu nghiêm trọng: Nếu một tổ chức tương tự như của bạn bị tấn công thì bạn có nguy cơ siêu nghiêm trọng sẽ bị tấn công; hoặc là hiểm họa tương ứng nhất với những nhược điểm của bạn-bởi vì nguy cơ bạn bị hại cao nhất tại nhược điểm cụ thể đó.

• Liệt kê những nhược điểm nào tương ứng với những hiểm họa bạn đã liệt kê. Phải đối phó với những nhươc điểm này trước, nhưng hãy nhớ rằng không phải nhược điểm nào cũng tương ứng tuyệt đối với tất cả hiểm họa. Ví dụ, nếu bạn không biết chắc tất cả dữ liệu trong máy ví tính của bạn đã được lưu secure (backup) chưa, thì điều này đồng nghĩa với hiểm họa bị mất tất cả dữ liệu trong máy mà không thể phục hồi, hoặc tìm lại được.

• Liệt kê những năng lực tương ứng với những hiểm họa mà bạn đã liệt kê.  Bây giờ, bằng cách sử dụng những năng lực, bạn  đứng ở tư thế sẵn sàng đối phó với những hiểm họa trong danh sách, và có thể bảo đảm một cách hợp lý rằng bạn sẽ có khả năng giảm thiểu nguy cơ bị xâm hại ngay từ thời điểm thích hợp ban đầu.

Áp Dụng Trong Thực Tiễn

Mục đích của kế hoạch này là bảo vệ dữ liệu trong máy điện toán của chúng ta không bị đánh mất, trộm, hoặc bị hư hại mà không thể phục hồi bằng cách này hay cách khác.



Bây giờ chúng ta hãy bắt tay vào việc giảm thiểu những nhược điểm và đồng thời gia tăng năng lực của chúng ta trong việc đối phó với những hiểm họa này và những hiểm  họa khác có thể xuất hiện trong tương lại.  Giải pháp và tài nguyên của bạn có thể sẽ khác nhau tùy theo trường họp.  Lưu ý rằng sự việc không sao lưu dữ liệu (lack of information backup) là một nhược điểm thông thường, nhưng có thể gây ra hậu quả nghiệm trọng, sau khi hiểm hoạ được phát giác.  Dưới đây là một bản liệt kê những động tác mà bạn có thể thi hành để giảm thiểu các nhược điểm (tất cả những thiết bị, dụng cụ và chú thích về cách thực hành những động tác này có thể tìm trong cuốn cẩm nang (thủ bản) này và trong quyển Digital Security Toolkit.

Để đối phó với nguy cơ bị virus tấn công
Ban hành một chính sách cứng rắn cho việc mở email có nguồn gốc lạ, trả lời các thư rác (spam).   Nói trắng ra là, phải ngăn cấm bất kỳ ai làm một trong hai, hoặc cả hai điều này.  Những ai nhận được hàng trăm thư  rác hoặc thư chứa virút thì nên đổi đia chỉ điện thư.

-Cài đặt phần mềm chống virus miễn phí (như Avast) ở tất cả máy điện toán và cập nhật thông tin, phần mềm chống virus từ Internet.  Các chương trình và chỉ dẫn có thể tìm tại Digital Security Toolkit.  Hãy bảo đảm mỗi máy điện toán trong văn phòng được bảo vệ toàn phần bởi hệ thống chống virus khi vận hành.

-Khi virus được trừ khử và máy ví tính không còn nhiễm virus nữa, hãy sao lưu (backup) tất cả dữ kiện quan trọng, và cất giữ nó nơi riêng biệt (đĩa CD, thẻ nhớ USB) cách xa văn phòng.  Nếu trong trường hợp bạn bị virus tấn công, bạn vẫn ít nhất cũng thu hồi lại  được những hồ sơ chứa dữ kiện quan trọng

Để đối phó với việc máy điện toán bị đánh cắp hoặc tịch thu

-    Để đề phòng kẻ trộm, bạn phải bảo đảm an ninh cho văn phòng và phạm vi làm việc của bạn.  Cửa phải vững chắc và các cửa sổ thì được nẹp song sắt (đặc biệt cần thiết nếu văn phòng của bạn ở tầng trệt). Bạn cũng có thể đặt thêm hệ thống giao tiếp intercom hoặc các hệ thống nhận diện khác.  Lý tưởng nhất là văn phòng của bạn có một bàn tiếp tân, để khách đến viếng được chào đón trước khi được vào văn phòng chính.
-    Sao lưu dữ liệu và gìn giữ an toàn ở một nơi khác.
-    Bạn cũng nên chuẩn bị trước nguồn trương mục khẩn cấp để mua thiết bị mới để thu hồi và tải lại những dữ liệu được sao lưu.
-    Nếu máy ví tính bị tịch thu, ít nhất phải bảo đảm những dữ liệu trong máy được bảo vệ để tránh bị truy cập một cách tùy tiện.  Xử dụng phần mềm mã hoá để bảo vệ một phần ổ cứng (hard drive) trong máy của bạn.  Tương tự, hãy xoá bỏ tất cảc dữ liệu không cần thiết để tránh khỏi việc bị khôi phục bởi những người tịch thu. (Xem thêm ở  chương Sao Lưu Dữ Liệu, Hủy Bỏ và Thu Hồi)
-    Hãy biết rõ ai có chìa khoá vào văn phòng, và biết luôn bao nhiêu bản photo copy đang hiện diện.  Nếu máy điện toán của bạn không đuợc bảo vệ bởi phương pháp mã hoá, hoặc văn phòng bạn lữu trữ  dữ kiện nhạy cảm trên giấy hoặc trong máy điện toán, thì nên bảo đảm rằng không ai được phép đơn phương đột nhập vào văn phòng của bạn, kể cả nhân viên quét dọn.

Máy điện toán bị hỏng do thời tiết hoặc những yếu tố bên ngoài khác

-    Lý tưởng nhất là phạm vi làm việc của bạn được một thợ ống nước hoặc thợ điện kiểm tra thường xuyên để báo cáo tính bền chắc của nó. Ví dụ như các vết nứt trên ống nước, đường điện bị hỏng, hoặc tình trạng của thiết bị phòng cháy.  Tất cả đường giây điện nào bị hỏng nên được vứt bỏ và thay thế đường giây mới. Việc này có thể đắt tiền, nhưng rất cần thiết, vì các máy điện toán rất tinh vi và không chịu nổi nước hoặc hơi nóng kẻo một cuộc hoả hoạn xảy ra!
-    Sao lưu tất cả các dữ liệu và chúng phải được gìn giữ an toàn tại một nơi khác.
-    Bạn nên trang bị loại pin Uninterrupted Power Supply (UPS) cho máy điện toán của bạn để đề phòng máy bị tắt ngang trong trường hợp cúp điện. Ổ cắm điện và bảng điện ở nhà bạn nên có một hệ thống phòng chống bội điện, để chúng có thể tự động cắt điện trong trường hợp điện thế tăng đột biến (electric spike). Những vùng bị cúp điện cả  tháng mỗi lần nên tìm đến máy phát điện chạy bằng dầu hoặc các nguồn năng lượng khác để phục vụ cho nhu cầu của máy điện toán.

Từ các khía cạnh nào đó, thật là khó khăn khi phải ban hành những chính sách an ninh mà không ảnh hưởng đến hiệu quả công việc tại phòng làm việc của bạn.  Sự chú tâm đến an ninh thường tốn thời gian và công sức để tập trung.  Những bất cẩn, thời hạn, và sự thiếu nhân lực là những kẻ thù của an ninh.  Cho nên điều ấy rất cần thiết để các nguyên tắc an ninh được chấp thuận và tuân thủ bởi tất cả mọi người.  Mỗi người phải thực thi chúng, và các lãnh đạo trong một tổ chức cụ thể phải dẫn đầu làm gương.  Một nền an ninh vững chắc cũng bắt buộc bạn phải chủ động,  phải phát hiện ra những hiểm họa và phải tìm cách đương đầu với chúng trước khi chúng tấn công.

No comments:

Post a Comment