To Be or Not To Be!!!

Just another Wordpress.com weblog

Con nguoi la mat xich yeu nhat trong mot he thong an toan thong tin

Đôi khi những gì các nhân viên thường lầm tưởng như đơn giản nhưng (những gì họ làm) lại đặt doanh nghiệp của họ trước nguy cơ phải chịu rủi ro.Các chuyên gia an toàn thông tin mới đây tuyên bố rằng trong một công ty, việc các nhân viên không tuân thủ chính sách an toàn thông tin chính là một nguyên nhân lớn nhất gây ra các lỗ hổng bảo mật bên trong nội bộ của tổ chức. Để giúp các công ty tìm và giải quyết được vấn đề này, @stake đã cho liệt kê một danh sách các nguy cơ bị mất an toàn thông tin của một công ty. Mặc dù danh sách này chỉ ra những lỗi rất đơn giản và thường gặp của các nhân viên, @stake cảnh báo rằng mỗi công ty phải xác định được nguy cơ mất an toàn thông tin và đánh giá các mức độ an toàn thông tin cần thiết.Có quá nhiều công ty tin rằng an toàn thông tin là vấn đề ở sản phẩm, nhưng cốt lõi của vấn đề lại ở chỗ: con người chính là mắt xích yếu nhất trong cả một hệ thống an toàn thông tin. Các biện pháp bảo mật tốn kém đôi khi lại chẳng có hiệu quả nếu doanh nghiệp không thể thi hành được một chính sách an toàn thông tin đơn giản nhất, và điều này vô tình đã đặt toàn bộ hệ thống hạ tầng cơ sở công nghệ thông tin (CNTT) của doanh nghiệp trước các cuộc tấn công ác ý.Một trong những lỗi thông thường nhất mà các nhân viên gặp phải là việc bảo vệ mật khẩu (password), chẳng hạn như việc tiết lộ mật khẩu cho các bạn đồng nghiệp khác hoặc đơn giản là viết lên một tờ giấy rồi dán lên tường hoặc trước máy tính để đỡ quên hay sử dụng chung một mật khẩu trong việc đăng nhập nhiều hệ thống cho dễ nhớ. Các lỗi thường gặp khác là việc bỏ qua các nội quy về an toàn thông tin bằng việc kết nối các thiết bị phần cứng không thích hợp vào hệ thống mạng. Viêc không thường xuyên cập nhật các bản sửa lỗi bảo mật (security patch) cũng tạo cơ hội cho hacker đột nhập vào những nơi chứa dữ liệu quan trọng của công ty.Không có thần dược nào cho căn bệnh mất an toàn thông tin, đó là cả một quá trình, chứ không phải là một sự kiện. Các doanh nghiệp phải ý thức được về việc triển khai các chính sách an toàn thông tin phù hợp với điều kiện thực tế và phải nhớ rằng yếu tố con người là phần chính của quá trình đó. Các công ty càng coi trọng việc sửa các lỗi thường gặp của nhân viên và có những hành động bảo vệ thích hợp, hệ thống của họ sẽ càng an toàn hơn.Những lỗi về an toàn thông tin mà các nhân viên thường phạm phải:

  • Ghi mật khẩu ra một tờ giấy rồi để ở gần máy tính. Có những trường hợp bản thân nhân viên quản trị mạng của một văn phòng cũng rất cẩu thả trong việc bảo vệ mật khẩu của những người dùng mạng. Anh ta lưu toàn bộ password trong một file Excell, và quẳng lên máy chủ mà không hề bảo vệ cho nó, tệ hại hơn nữa, anh ta còn in những dữ liệu này ra và để ngay cạnh máy chủ để tiện lúc cần tìm.
  • Đặt mật khẩu mặc định y như mật khẩu được cấp lúc đầu.
  • Vẫn giữ mật khẩu cũ mặc dù hệ thống đã nhắc đổi mật khẩu mới.
  • Truy cập dữ liệu các ổ đĩa được mã hoá và quên không thoát ra, để nguyên mật khẩu.
  • Lắp modem trực tiếp với máy chủ và bỏ qua các hệ thống bảo mật đa mức của công ty.
  • Kết nối máy chủ trực tiếp với Internet, bỏ qua các thiết bị định tuyến (router) có thể đóng vai trò như các bức tường lửa (firewall).
  • Cấp phát chứng thực với các mật khẩu rỗng (blank password).
  • Quên không nhập mật khẩu vào hệ thống quản trị của Microsoft vì thế đã vô tình bỏ lại mật khẩu rỗng gây nguy hiểm cho toàn bộ hệ thống mạng.
  • Mang theo (hoặc vô ý đánh mất) máy tính xách tay mang toàn bộ bí mật của công ty.
  • Không thường xuyên cập nhật các bản sửa lỗi phần mềm từ các nhà sản xuất khi các lỗ hổng này được phát hiện. Chẳng hạn như các nhân viên của Amazon.com đã quên không cài bản sửa lỗi cho Microsoft IIS, để cho các hacker sử dụng lỗ hổng này lấy được các thông tin về thẻ tín dụng và thông tin cá nhân của khách hàng trong 4 tháng liền.

An toàn thông tin và yếu tố con ngườiCó một chân lý là: tính an toàn sẽ được tăng lên khi mức độ phức tạp của mật khẩu tăng lên. Trong thực tế, việc người sử dụng viết các mật khẩu khó nhớ lên giấy đã khiến cho hệ thống rơi vào tình trạng dễ bị tấn công. An toàn thông tin sẽ được cải thiện bằng việc thiết kế chính sách sử dụng cho các nhân viên.Những người sử dụng thì muốn làm thế nào để sử dụng hệ thống dễ hơn, lý tưởng nhất là không cần tới bất cứ quy trình thủ tục nào. Trong khi đó những chuyên gia về an toàn thông tin thì lại muốn tăng mức độ khó khăn truy cập hệ thống, ít nhất là cho những người sử dụng trái phép.Làm thế nào chúng ta có thể giải quyết được những xung đột này? Bằng việc nhận thức được rằng mục tiêu chính của an toàn thông tin là giảm thiểu việc sử dụng trái phép. Mặc dù một hệ thống được quản lý và sử dụng bừa bãi sẽ khuyến khích những người sử dụng trái phép.Các mật khẩu…Những lời nói dối về bảo mật máy tính:

  • Mật khẩu ngẫu nhiên sẽ an toàn hơn.
  • Mật khẩu do hệ thống tự chọn sẽ an toàn hơn mật khẩu do người dùng tự chọn.
  • Mật khẩu dài sẽ an toàn hơn là mật khẩu ngắn.
  • Việc buộc người dùng thay mật khẩu thường xuyên sẽ tăng khả năng bảo mật.
  • Việc đòi hỏi mật khẩu khác nhau cho những hệ thống khác nhau sẽ tăng tính bảo mật.

Tất cả những tuyên bố trên sẽ hoàn toàn chính xác nếu chúng ta không tính đến yếu tố con người. Trên thực tế, những mật khẩu được tạo ra theo các nguyên tắc đã nêu ở trên sẽ đem lại hậu quả là: người dùng sẽ viết mật khẩu ra giấy cho dễ nhớ. Chỉ cần dạo quanh bất cứ một văn phòng nào bạn cũng có thể lượm được khá nhiều mật khẩu được viết trên các mẩu giấy để vương vãi trên bàn hoặc dán trên tường.

  • Ngó quanh nhìn các tờ giấy dính (sticky notes) được dán trên các máy tính.
  • Tìm những thông tin có liên quan đến mật khẩu trong ngăn bàn.
  • Tìm kiếm trên ổ đĩa cứng của người dùng để tìm các file chứa các mật khẩu.

Mức độ bảo mật cao hơn qua những thiết kế hữu dụngNhững người duy nhất có thể nhớ những chuỗi ký tự ngẫu nhiên là những diễn viên ảo thuật. Tốt nhất là thiết kế cho chúng ta, những người còn lại, những người chỉ có bộ nhớ rất hạn chế.Khi bạn đòi hỏi một mật khẩu mà người sử dụng có thể nhớ được, bạn có thể tăng tính khả thi là mật khẩu sẽ được giữ bí mật. Điều tương tự đối với những mật khẩu người sử dụng chọn và họ không phải thay đổi thường xuyên.Trong khi sự thật là những mật khẩu này rất dễ bị bẻ, phần lớn những nguy cơ tấn công đề là từ những kẻ đột nhập bên ngoài (hoặc bên trong nội bộ công ty) khai thác điểm yếu của người dùng mà không cần tới bất cứ thuật toán bẻ khoá nào.Trong tương lai, an toàn thông tin sẽ được tăng cường nhờ cơ chế xác thực sinh trắc học như nhận dạng vân tay hoặc quét võng mạc. Tuy nhiên, cần có thời gian để xây dựng hạ tầng cơ sở cho những công nghệ này phát triển (và hệ thống nhận dạng vân tay không phải lúc nào cũng làm việc hiệu quả). Trong bất cứ trường hợp nào, tốt nhất là nên tránh việc áp dụng những chính sách đăng nhập quá rắc rối và đơn giản là ghi lại quá trình sử dụng của người dùng trên những hệ thống có tính an toàn thấp.Với thương mại điện tử chẳng hạn, người sử dụng không cần phải tạo tên và mật khẩu trước khi họ mua hàng. Và điều này đã khiến họ không muốn sử dụng dịch vụ này và chính vì thế mà ảnh hưởng đến sự phát triển của thương mại điện tử.Các biện pháp an toàn thông tin phù hợp đem lại hiệu quả kinh tếCác biện pháp an toàn thông tin phù hợp có thể tiết kiệm cho công ty hàng ngàn đô la mỗi năm bằng việc cải thiện hiệu năng của hệ thống mạng.Các chuyên gia đã chỉ ra rằng một hệ thống an toàn thông tin hiệu quả có thể giảm bớt số lượng máy tính cần thiết để xử lý các giao dịch, đem lại các hiệu quả về kinh tế cho doanh nghiệp. Một nghiên cứu đã chỉ ra rằng một hệ thống an toàn có hiệu năng cao hơn một hệ thống không an toàn 3,28%. Hiệu quả này còn thể hiện rõ nhất đối với các công ty thực hiện các giao dịch trên Internet như đem lại công suất giao dịch cao hơn và giảm phí bảo trì hệ thống.Những biện pháp tưởng như đơn giản như ngừng các dịch vụ và chương trình không cần thiết … đều đem lại hiệu năng tốt hơn cho máy chủ Web (Web Server). Các con số thống kê chỉ ra rằng một Web Server không an toàn xử lý các yêu cầu ở tốc độ trung bình là 126,635/giây hoặc 4.088.177.244/năm. Trong khi đó bằng việc tắt một số module và các dịch vụ không cần thiết và dễ bị tấn công, Web Server này có thể tăng tốc độ xử lý các yêu cầu ở mức 133,885/giây hay 4.222.210.500/năm. Tức là tăng khoảng 3,28%.Trong thời gian gần đây, nhiều công ty đã mạnh dạn đầu tư cho an toàn thông tin, không chỉ đơn giản là vì được bảo vệ thêm mà còn vì họ đã nhận ra rằng việc hiệu chỉnh hạ tầng cơ sở CNTT thực sự có thể giúp tiết kiệm tiền bạc. Mặc dù cốt lõi của an toàn thông tin là bảo vệ hệ thống thông tin của doanh nghiệp, nhưng một lợi điểm thứ hai của nó là tiềm năng đem lại lợi nhuận từ hạ tầng cơ sở CNTT.Nhiều năm trước đây, các sản phẩm và dịch vụ an toàn thông tin thường được thực thi dưới dạng một mẫu cho tất cả (one-size-fits all), trên thực tế thì các giải pháp bảo mật được thiết kế riêng theo thực trạng của mỗi công ty sẽ đem lại hiệu quả nhiều hơn. Khi ngày càng nhiều lãnh đạo các công ty phải điều chỉnh các khoản đầu tư cho CNTT để thu hồi vốn đầu tư nhanh hơn, kết quả là an toàn thông tin kỹ thuật số có thể được nhìn nhận như một khoản đầu tư, hơn là một khoản chi phí. Ví dụ, một trung tâm dữ liệu có tới 1000 máy chủ có thể giảm bớt 3% số máy chủ. Điều này sẽ giúp họ tiết kiệm khoảng 60.000 USD mỗi năm.Một số các biện pháp an toàn thông tin đơn giản và rẻ tiền khi được triển khai, không những sẽ làm giảm bớt nguy cơ bị tấn công cho tổ chức mà còn giúp bảo vệ lợi nhuận. Nếu các công ty không hiểu được tài sản nào cân được bảo vệ và phải bảo vệ như thế nào và cho thiết kế ngay các giải pháp an toàn thông tin phù hợp. Họ sẽ không chỉ gặp rủi ro trước các cuộc tấn công mà còn lỡ các lợi ích khác.

(Tổng hợp từ Internet) 

Black Angel

Tháng Sáu 19, 2006 - Posted by | Network and Security

Chưa có phản hồi.

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: