5 cách khoá an toàn địa chỉ e-mail của bạn - 16/8/2006 8h:6

E-mail độc hại ngày càng nhiều. Chúng ta có thể thực hiện năm bước sau để bảo vệ an toàn cho e-mail của bạn chống lại những mối đe doạ an ninh nguy hiểm nhất.

Sau browser, e-mail client là con đường bị khai thác nhiều nhất của những kẻ phá hoại máy tính có tổ chức, các hacker và những người phát tán phần mềm gián điệp (spyware).

Thực tế, phá hoại e-mail là cách để xâm nhập vào hệ thống máy tính của bạn. Melissa, virus của năm 1999 đã được phát tán qua thư điện tử, rồi đến năm sau (năm 2000) malware I LOVE YOU dựa trên nền Visual Basic đã thay thế thời kì tấn công quy mô qua e-mail.

Mặc dù chúng ta nghĩ thời kỳ đó đã ngừng và những mối đe dọa có vẻ như không còn nhưng thực sự không phải vậy. Thực tế thì những kiểu tấn công máy tính đó chuyển sang một thời kỳ khác, thời kỳ của spam, trojan và những mạnh khóe dẫn người dùng đến những trang web độc hại.

Chúng ta có thể thực hiện 5 bước sau để khoá an toàn e-mail của bạn, không chỉ dùng riêng cho Outlook mà trong vài trường hợp có thể sử dụng cho cả Thunderbird cũng rất tốt. Trước hết, tất nhiên là Microsoft client cùng bộ Office; sau đó là đối thủ cạnh tranh up-and-coming của Mozilla, hãng tạo ra Firefox. Lời khuyên ở đây là bạn nên áp dụng với cả cho dịch vụ e-mail khác, nhưng trước hết là với địa chỉ e-mail sẵn có của bạn.

Bước 1: Xem xét một cách cẩn thận.

Hầu hết kẻ tấn công đều cần sự giúp đỡ từ phía người dùng thì mới thực hiện hành động phá hoại. Chúng phải thuyết phục được người sử dụng viếng thăm một trang web hoặc mở một file đính kèm. Nhưng sử dụng một số tin nhắn độc hại thì nguy hiểm hơn: Các tin nhắn này chỉ cần được xem là đã có thể phá hoại.

Mặc dù ô xem trước email của bạn (nội dung hiển thị của một phần tin nhắn khi bạn chọn mail nào đó) có một khoảng thời gian an toàn (mail sẽ chỉ được mở nếu bạn xem qua mail đó vượt quá thời gian quy định). Bạn nên tắt chức năng đó đi nếu không khi bạn mở và xem nó, tin nhắn sẽ lây lan virus vào máy tính của bạn. Nó không phải là sự bảo vệ có hiệu quả nhưng ít nhất nó cho bạn có thể đọc dòng subject và người gửi mà không gặp rủi ro.

Để tắt chức năng đó bạn làm như sau:

- Trong Outlook 2003, chọn View -> Reading pane -> OK.

- Trong Thunderbird, chọn View -> Layout. Sau đó là "Message Pane", đánh dấu unchecked. (Bạn cũng có thể bật tắt hộp tin nhắn bằng cách ấn phím F8).

Bước 2: Vào Plain Vanilla

Một số mối đe doạ có thể đơn giản chỉ là khi bạn xem hoặc mở một tin nhắn trên ngôn ngữ HTML. Thông thường các cuộc tấn công khai thác điểm yếu trên e-mail client hay trên e-mail browser thông qua một tập lệnh HTML. (Mặt khác để đảm bảo an toàn, trong bước này bạn cũng nên loại trừ các quảng cáo hấp dẫn có thể mang đến thư rác)

Một cách để ngăn cản các cuộc tấn công là bạn đọc mail dưới dạng Plain Text (dạng đơn giản) chứ không phải là dạng HTML.

Trong Outlook 2003 thì rất dễ dàng với client được gói cùng Office 2003.

- Chọn Tool/Option, sau đó click vào "Preferences"

- Click vào nút "E-mail Option" ở phần phía trên, bên phải

- Đánh dấu vào hộp "Read all standard e-mail as Plain Text". Kích OK trong hộp thoại này và tiếp theo.

Trong phiên bản Outlook 2002 (đi kèm với Office XP) bạn phải vào Windows Registry để thực hiện thay đổi này. Bạn có thể xem trong phần Microsoft support document. (Chú ý: nhầm lẫn trong Registry có thể rất nguy hiểm vì vậy hãy cẩn thận khi tiến hành tiếp công việc mạo hiểm này của bạn).

Thunderbird của Mozilla có thiết lập tương tự:

- Từ màn hình chính, chọn View/Message Body As và lấy ra "Plain Text".

Bạn cũng nên tăng cường bảo vệ bằng các chức năng mở rộng trong Thunderbird như:

- Chọn Tool / Junk Mail Control. Trong tab "Settings" đánh dấu vào hộp "When displaying HTML messages marked as Junk, sanitize the HTML" .

- Chọn Tool / Option, sau đó kích vào biểu tượng "Privacy". Đánh dấu vào các hộp "Block loading of remote images in mail messages" và "Block JavaScript in mail messages".

- Chọn View / Display Attachments Inline, bỏ dấu chọn tuỳ chọn này.

Bước 3: Bỏ qua các đường link

Các cuộc tấn công dựa trên việc dẫn người dùng click vào các đường link website đáng ngờ ngày càng tăng với mức độ nguy hiểm ngày càng cao. Cách tốt nhất bạn có thể làm là lờ chúng đi. Nhưng chúng vẫn ở đó, đầy cám dỗ!

Bạn có thể làm cho nó khó click hơn bằng cách vô hiệu hoá mọi đường link HTML đến. Đường link vẫn sẽ tồn tại, nhưng bạn không thể kích vào chúng để mở website. Cám dỗ bị loại bỏ!

Outlook 2003 làm việc này tự động đối với tất cả các mail bị phân loại là các spam. (Oulook gọi nó một cách khá thân thiệt là "Junk"). Bạn cần phải cập nhật Office 2003 với SP2 để có được tính năng này. (Có thể tải tại đây), Outlook cũng đóng các liên kết trong hộp tin nhắn mà nó cho là có virus. Bạn có thể mở lại các link bằng cách kích phải chuột lên phần đầu của hộp tin nhắn và chọn "Turn on links (not recommended)".

Đáng tiếc, những phiên bản trước của Outlook không có thành phần này.

Trong Thunderbird, hiện tại cả hai thành phần đều không được xây dựng. Mặc dù các message được xem như là spam có thể bị vô hiệu hoá (xem bước 2), nhưng vẫn còn các đường link thì vẫn có thể kích, tuy nhiên e-mail client của Mozilla cũng có một tính năng chống phishing cơ bản. Thunderbird đánh dấu một số message mà nó nghi ngờ bằng cách đặt cảnh báo mỗi khi người dùng sử dụng một đường link nhúng đặt trong e-mail (một thủ đoạn phổ biến của những kẻ phá hoại).

Bước 4: Block các file đính kèm (hay Unblock)

Ban biết rằng thật không thông minh khi click vào các file đính kèm, nhưng đôi khi bạn cũng không thể tự giúp được mình. Khi bạn nhận được một e-mail của người bạn thân với câu: "Bạn nên xem cái này!" và trêu chọc bằng một hình ảnh nào đó vô tội, tay bạn đã có thể click trước khi đầu bạn kịp nói là không.

Outlook có thể tự bảo vệ bạn trong một số trường hợp.

Từ Outlook 1998, cũng giống như các phiên bản Oulook 2000, 2002, và hiện tại là 2003, e-mail client của Microsoft có một thành phần ngăn chặn việc mở file đính kèm trong một danh sách dài các loại định dạng kiểu file. Bộ chặn file đính kèm cũng ngăn chặn việc bạn ghi lại các file bên trong Outlook có nguy cơ nguy hiểm vào ổ cứng.

Outlook 2002 và 2003 tích hợp tính năng này như là một sản phẩm tiêu chuẩn. Vì thế, nếu bạn dùng những phiên bản đó thì đã được thiết lập sắn có rồi. Outlook 2002 và 98 thực hiện bảo vệ mail của bạn thông qua một bản vá lỗi, còn Outlook 97 là trường hợp đặc biệt riêng trong tất cả.

Để kiểm tra xem liệu bản sao chép Outlook 98 hay 2000 của bạn được sửa chữa chưa, hãy vào mục Help/ About và chú ý tới phiên bản. Nếu nó là: Outlook 98: v. 8.5.7806 (hoặc cao hơn) và Outlook 2000: v. 9.0.0.4201 (hoặc cao hơn) thì được.

Bạn đã sẵn sàng để dùng? Nếu không thì download bản vá lỗi tại đây.

Outlook 97 là một trường hợp đặc biệt. Bạn có thể thêm chương trình bảo vệ cục bộ này vào khi thay đổi sơ lược Registry trong Microsoft support document. Khi đó sẽ có một cảnh báo đưa ra nếu bạn nhận được một file đính kèm đi cùng thư buộc bạn phải ghi vào ổ cứng trước khi đọc nó. (Chú ý: nhầm lẫn trong Registry có thể rất nguy hiểm và hãy cẩn thận khi tiến hành tiếp công việc mạo hiểm này của bạn).

Nếu bạn muốn chỉnh sửa danh sách các kiểu file bị chặn, Windows Registry tweak sẽ thực hiện thủ thuật trên Outlook 2000, Outlook 2002 và Outlook 2003. (Xem các hướng dẫn về phiên bản của Outlock tại đây).

Lo lắng về việc sửa đổi Registry như thế nào? Bạn có thể tránh điều phức tạp đó bằng cách tải phần mở rộng miễn phí "Attachtment Options" tại địa chỉ: http://www.slovaktech.com/attachmentoptions.htm. Nó sẽ đưa ra một giao diện để block hoặc unblock các file đính kèm đã mô tả.

Outlook block chỉ xem xét ba kí tự trong đuôi mở rộng của các file, vì vậy nếu một kẻ tấn công ngụy trang dưới một file ".exe" nguy hiểm là một file ".gif" vô hại, thì malware có thể lẻn qua hàng rào bảo vệ.

Thunderbird không có chức năng xoá các file đính kèm. Nó cũng không tự động cấm các kiểu file nào đấy. Nhưng phần mở rộng "Attactment Options" cho phép bạn đặc tả các loại file mà bạn có thể phân tách ra từ thư của bạn. Tuy không nhiều, nhưng còn hơn không! Tải phần mở rộng tại đây.

Chú thích thêm: Một số chương trình diệt virút có các chức năng lọc hoặc chặn các file đính kèm cơ bản có thể thêm vào máy tính chạy e-mailer mà không cần các chương trình khác (như Thunderbird). Ví dụ như chương trình miễn phí AVG của Grisoft có thể được thiết lập để tự động loại bỏ tất cả các file đính kèm là file chạy hoặc tất cả các file có đuôi mở rộng nằm trong danh sách mà người dùng chỉ rõ.

Bước 5: Đúng lúc!

Chức năng bảo mật e-mail quan trọng nhất và cũng là vòng cuối trong hàng rào bảo vệ của bạn chính là các phần mềm diệt virút. Chúng có thể quét các file đính kèm trước khi nó được mở.

Việc này có thể diễn ra theo nhiều mức độ. Nhưng tất cả các phần mềm diệt virút đều quét file đính kèm đến trước khi chúng tới được e-mail client. Nếu có điều gì đó đáng ngờ - có thể phụ thuộc vào phần mêm diệt virút hiện nay có phát hiện được hay không - chương trình có thể "làm sạch" file bằng cách lấy ra các phần bị nhiễm độc. Hoặc nó đơn giản chỉ là cách ly hay xoá tất cả các file đính kèm. Trong bất kì trường hợp nào bạn sẽ thấy một số cảnh bào nói rằng các thư đến của bạn đã bị nhiễm độc.

Để có được điều tốt nhất từ các phần mềm diệt virút:

- Cập nhật một cách đều đặn các chữ ký, tốt nhất là sử dụng bất kỳ một thành phần cập nhật tự động nào mà chương trình cung cấp.

- Hãy chắc chắn rằng tất cả các bộ phận của e-mail đều được mở. Không phải tất cả các phần mềm diệt virút đều được bật mặc định

- Quét vòng ngoài - nơi các phần mềm diệt virút dò các file đính kèm bạn đang gửi để chắc chắn bạn không giúp phát tán các malware cho người khác - có thể làm cho bạn là một công dân tốt. Nhưng trong thế giới khắc nghiệt sát phạt lẫn nhau thì không thể giảm được bộ nhớ của các phần mềm diệt virút cùng sự hoạt động ngon lành của bộ vi xử lý và tăng tốc độ truyền tải e-mail.

T.Thu - Quản Trị Mạng

TỰ LÀM 1 ĐĨA BOOT MẠNG

Chắc có lẽ chúng ta khi thiết lập một hệ thống mạng đều ngại nhất là công việc cài đặt hệ điều hành cho từng máy trong mạng.Nếu chúng ta không biết sắp xếp công việc thì việc cài đặt sẽ chiếm rất nhiều thời gian và công sức,có khi hiệu quả đạt được không cao.

Giả sử chúng ta phải thiết lập một hệ thống mạng gồm 1 máy Server và 30 máy Client.Yêu cầu cho việc cài đặt:

-Server sử dụng Windows 2000 Server(hay NT 4.0 Server).

-Các Client sử dụng Windows 2000 Pro hay 1 hệ điều hành nào khác.

Những hướng dẫn tăng cường an toàn, bảo mật cho hệ thống mạng

Giới thiệu

Bài viết này sẽ trình bày các vấn đề được xem là nền tảng của an toàn, bảo mật trong một tổ chức, doanh nghiệp. Các vần đề được trình bày bao gồm cả bảo mật ở mức hệ thống và ứng dụng sẽ là cơ sở cho các tổ chức khi muốn xây dựng cơ chế bảo mật. Tài liệu cũng giúp bạn rút ngắn được thời gian tiếp cận vấn đề đảm bảo an toàn cho hệ thống mạng nội bộ của mình. Bạn không cần mất nhiều thời gian để tìm hiểu mọi thứ. Khi xem xét mọi vấn đề, nơi tốt nhất để khởi đầu chính là các căn bản - ở đây, chúng tôi sẽ trình bày 6 bước cơ bản để hệ thống bảo mật tốt hơn.

Bước 1: Thành lập bộ phận chuyên trách về vấn đề bảo mật

Bất kỳ kế hoạch bảo mật nào cũng cần sự hỗ trợ trên nhiều phương diện khác nhau, nếu nó muốn thành công. Một trong những phương thức tốt nhất để có thể được sự hỗ trợ là nên thiết lập một bộ phận chuyên trách về vấn đề bảo mật. Bộ phận này sẽ chịu trách nhiệm trước công ty về các công việc bảo mật.

Mục đích trước tiên của bộ phận này là gây dựng uy tín với khách hàng. Hoạt động của bộ phận này sẽ khiến cho khách hàng cảm thấy yên tâm hơn khi làm việc hoặc sử dụng các dịch vụ của công ty. Bộ phận này có trách nhiệm thường xuyên cung cấp các lưu ý, cảnh báo liên quan đến an toàn bảo mật thông tin nhằm tránh các rủi ro đáng tiếc cho khách hàng và công ty.

Bộ phận này còn có trách nhiệm tìm hiểu, đưa ra giải pháp, cơ chế bảo mật cho toàn công ty. Sẽ là hiệu quả và xác thực hơn khi công việc này được thực hiện bởi chính đội ngũ trong công ty thay vì đi thuê một công ty bảo mật khác thực hiện.

Cuối cùng, một bộ phận chuyên trách về vấn đề bảo mật có thể thay đổi cách làm, cách thực hiện công việc kinh doanh của công ty để tăng tính bảo mật trong khi cũng cải tiến được sức sản xuất, chất lượng, hiệu quả và tạo ra sức cạnh tranh của công ty. Ví dụ, chúng ta hãy nói đến VPN (Virtual Private Network), đây là một công nghệ cho phép các nhân viên đảm bảo an toàn khi đọc email, làm việc với các tài liệu tại nhà, hay chia sẻ công việc giữa hai nhân viên hay hai phòng ban.

Bước 2: Thu thập thông tin

Trước khi đưa ra các thông báo mô tả thực hiện bảo mật, bạn phải lường được mọi tình huống sẽ xảy ra, không chỉ bao gồm toàn bộ các thiết bị và hệ thống đi kèm trong việc thực hiện bảo mật mà còn phải kế đến cả các tiền trình xử lý, các cảnh bảo bảo mật, sự thẩm định hay các thông tin cần được bảo vệ. Điều này rất quan trọng khi cung cấp một cái nhìn bao quát về hệ thống bảo mật của công ty. Sự chuẩn bị này cũng nên tham chiếu tới các chính sách bảo mật cũng như các hướng dẫn thực hiện của công ty trong vần đề an toàn bảo mật. Phải lường trước được những gì xảy ra trong từng bước tiến hành của các dự án.

Để kiểm tra mức độ yếu kém của hệ thống, hãy bắt đầu với những vấn đề có thể dẫn tới độ rủi ro cao nhất trong hệ thống mạng của bạn, như Internet. Hãy sử dụng cơ chế bảo mật bên ngoài từ sản phẩm của một hãng có danh tiếng, có thể cung cấp thông tin cần thiết để ước lượng mức bảo mật hiện tại của công ty bạn khi bị tấn công từ Internet. Sự thẩm định này không chỉ bao gồm việc kiểm tra các lỗ hổng, mà còn gồm cả các phân tích từ người sử dụng, hệ thống được kết nối bằng VPN, mạng và các phân tích về thông tin công cộng sẵn có.

Một trong những cân nhắc mang tính quan trọng là thẩm định từ bên ngoài vào. Đây chính là điểm mấu chốt trong việc đánh giá hệ thống mạng. Điển hình, một công ty sử dụng cơ chế bảo mật bên ngoài, cung cấp các dịch vụ email, Web theo cơ chế đó, thì họ nhận ra rằng, không phải toàn bộ các tấn công đều đến từ Internet. Việc cung cấp lớp bảo mật theo account, mạng bảo vệ bản thân họ từ chính những người sử dụng VPN và các đồng nghiệp, và tạo ra các mạng riêng rẽ từ các cổng truy cập đầu cuối là toàn bộ các ưu thế của cơ chế này.

Cơ chế bảo mật bên trong cũng giúp việc quản lý bảo mật công ty được tốt hơn. Bằng cách kiểm tra toàn bộ công việc kinh doanh, các cơ chế chính sách, các quá trình xử lý, xác thực dữ liệu tương phản với những gì được mô tả, hay sự tương thích với những chuẩn đã tồn tại được thẩm định. Cơ chế bảo mật bên trong cung cấp thông tin một cách chi tiết tương tự như việc khảo sát kỹ lưỡng phạm vi ở mức sâu hơn, thậm chí bao gồm cả việc phá mã mật khẩu và các công cụ phân tích hệ thống để kiểm tra tính tương thích về chính sách trong tương lai.

Bước 3: Thẩm định tính rủi ro của hệ thống

Khi thẩm định tính rủi ro của hệ thống, hãy sử dụng công thức sau:

Tính rủi ro = Giá trị thông tin * Mức độ của lỗ hổng * Khả năng mất thông tin

Tính rủi ro bằng với giá trị thông tin trong câu hỏi (bao gồm giá trị đồng tiền, giá trị thời gian máy bị lỗi do lỗi bảo mật, giá trị mất mát khách hàng - tương đối), thời gian của quy mô lỗ hổng (tổng cộng/từng phần của tổn thất dữ liệu, thời gian hệ thống ngừng hoạt động, sự nguy hiểm khi dữ liệu hỏng), thời gian về khả năng xuất hiện mất thông tin.

Để lấy được các kết quả từ bước đầu (các giá trị, báo cáo về cơ chế bảo mật ngoài, và chính sách bảo mật), và tập trung vào 3 trong số các mặt thường được đề cập. Sau đó, bắt đầu với một số câu hỏi khung sau:

*Cơ chế bảo mật đã tồn tại của công ty có được đề ra rõ ràng và cung cấp đủ biện pháp bảo mật chưa?

*Kết quả từ cơ chế bảo mật bên ngoài có hợp lệ so với chính sách bảo mật của công ty?

*Có mục nào cần sửa lại trong cơ chế bảo mật mà không được chỉ rõ trong chính sách?

*Hệ thống bảo mật sẽ mất tác dụng trong tính rủi ro cao nhất nào?

*Giá trị, thông tin gì mang tính rủi ro cao nhất?

Các câu trả lời cung cấp cái nhìn toàn diện cho việc phân tích về toàn bộ chính sách bảo mật của công ty. Có lẽ, thông tin quan trọng được lấy trong quá trình kết hợp các giá trị thẩm định và tính rủi ro tương ứng. Theo giá trị thông tin, bạn có thể tìm thấy các giải pháp mô tả được toàn bộ các yêu cầu, bạn có thể tạo ra một danh sách quan tâm về lỗ hổng bảo mật.

Bước 4: Xây dựng giải pháp

Trên thực tế không tồn tại giải pháp an toàn, bảo mật thông tin dang Plug and Play cho các tổ chức đặc biệt khi phải đảm bảo các luật thương mại đã tồn tại và phải tương thích với các ứng dụng, dữ liệu sắn có. Không có một tài liệu nào có thể lượng hết được mọi lỗ hổng trong hệ thống và cũng không có nhà sản xuất nào có thể cung cấp đủ các công cụ cần thiết. Cách tốt nhẫt vẫn là sử dụng kết hợp các giải pháp, sản phẩm nhằm tạo ra cơ chế bảo mật đa năng.

Firewall

Xem xét và lựa chọn một sản phẩm firewall hợp lý và đưa và hoạt động phù hợp với chính sách của công ty là một trong những việc đầu tiên trong quá trình bảo mật hệ thống. Firewall có thể là giải pháp phần cứng hoặc phần mềm hoặc kết hợp cả hai. Nhiệm vụ của firewall là ngăn chặn các tấn công trực tiếp vào các thông tin quan trọng của hệ thống, kiểm soát các thông tin ra vào hệ thống. Việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall, cần tập trung tìm hiểu tập các chức năng của firewall, tính năng lọc địa chỉ, gói tin, ...

Hệ thống kiểm tra xâm nhập mạng (IDS)

Một firewall được gọi là tốt chỉ khi nó có thể lọc và tạo khả năng kiểm soát các gói tin khi đi qua nó. Và đây cũng chính là nơi mà hệ thống IDS nhập cuộc. Nếu bạn xem firewall như một con đập ngăn nước, thì thì bạn có thể ví IDS như một hệ thống điều khiển luồng nước trên các hệ thống xả nước khác nhau. Một IDS, không liên quan tới các công việc điều khiển hướng đi của các gói tin, mà nó chỉ có nhiệm vụ phân tích các gói tin mà firewall cho phép đi qua, tìm kiếm các chữ kí tấn công đã biết (các chữ kí tấn công chính là các đoạn mã được biết mang tính nguy hiểm cho hệ thống) mà không thể kiểm tra hay ngăn chặn bởi firewall. IDS tương ứng với việc bảo vệ đằng sau của firewall, cung cấp việc chứng thực thông tin cần thiết để đảm bảo chắc chắn cho firewall hoạt động hiệu quả.

Hệ thống kiểm tra xâm phạm dựa theo vùng (H-IDS)

Sự lựa chọn, thực hiện và sử dụng một hệ thống kiểm tra sự xâm phạm trên máy chủ dựa trên nhiều hệ điều hành và môi trường ứng dụng chỉ định. Một hàm chức năng đầy đủ của H-IDS có thể cung cấp các thông báo đều đặn theo thời gian của bất kỳ sự thay đổi nào tới máy chủ từ tác động bên trong hay bên ngoài. Nó là một trong những cách tốt nhất để giảm thiểu sự tổn thương của hệ thống. Việc tìm kiếm hệ thống mà hỗ trợ hầu hết các hệ điều hành sử dụng trong tổ chức của bạn nên được xem như một trong những quyết định chính cho mỗi H-IDS.

Hệ thống kiểm tra xâm phạm dựa theo ứng dụng (App-IDS)

Số lượng App-IDS xuất hiện trên thị trường ngày càng nhiều. Các công cụ này thực hiện việc phân tích các thông điệp từ một ứng dụng cụ thể hay thông tin qua proxy tới ứng dụng đó. Trong lúc chúng có mục đích cụ thể, chúng có thể cung cấp mức bảo mật tăng lên theo từng mảng ứng dụng cụ thể. Khi được kết hợp với một H-IDS, chúng đảm bảo rằng sự xâm nhập tới một máy chủ sẽ giảm thiểu. Một App-IDS nên được xem như một chức năng hỗ trợ bảo mật trong suốt, mặc dù không đúng trong một số trường hợp.

Phần mềm Anti-Virus (AV)

Phần mềm AV nên được cài trên toàn bộ máy trạm (workstation), máy chủ (server), hệ thống hỗ trợ dịch vụ số, và hầu hết những nơi chứa dữ liệu quan trọng vào ra. Hai vấn đề quan trọng nhất để xem xét khi đặt yêu cầu một nhà sản xuất AV quản lý nhiều máy chủ và máy trạm trên toàn bộ phạm vi của công ty là khả năng nhà cung cấp đó có đối phó được các đe doạ từ virus mới hay không. (nguyên nhân: không bao giờ cho rằng phầm mềm đang chạy, luôn kiểm tả phiên bản của virus và các file cập nhật cho virus mới).

Mạng riêng ảo (VPN)

Việc sử dụng VPN để cung cấp cho các nhân viên hay các cộng sự truy cập tới các tài nguyên của công ty từ nhà hay nơi làm việc khác với mức bảo mật cao, hiệu quả nhất trong quá trình truyền thông, và làm tăng hiệu quả sản xuất của nhân viên. Tuy nhiên, không có điều gì không đi kèm sự rủi ro. Bất kỳ tại thời điểm nào khi một VPN được thiết lập, bạn phải mở rộng phạm vi kiểm soát bảo mật của công ty tới toàn bộ các nút được kết nối với VPN.

Để đảm bảo mức bảo mật cho hệ thống này, người sử dụng phải thực hiện đầy đủ các chính sách bảo mật của công ty. Điều này có thể thực hiện được qua việc sử dụng các hướng dẫn của nhà sản xuất về dịch vụ VPN như hạn chế các ứng dụng có thể chạy ở nhà, cổng mạng có thể mở, loại bỏ khả năng chia kênh dữ liệu, thiết lập hệ thống bảo vệ virus khi chạy hệ thống từ xa, tất cả công việc này giúp giảm thiểu tính rủi ro. Điều này rất quan trọng đối với các công ty phải đối mặt với những đe doạ trong việc kiện cáo, mạng của họ hay hệ thống được sử dụng để tấn công các công ty khác.

Sinh trắc học trong bảo mật

Sinh trắc học đã được biết đến từ một số năm trước đây, nhưng cho đến nay vẫn có rất nhiều khó khăn cho việc nhân rộng để áp dụng cho các hệ thống bảo mật thương mại. Dấu tay, tròng mắt, giọng nói, ..., cung cấp bảo mật mức cao trên các mật khẩu thông thường hay chứng thực hai nhân tố, nhưng cho đến hiện tại, chúng cũng vẫn được coi như phương thức tốt nhất để truy cập vào hệ thống.

Các thế hệ thẻ thông minh

Các công ty gần đây sử dụng đã sử dụng thẻ thông minh như một phương thức bảo mật hữu hiệu. Windows 2000 cung cấp cơ chế hỗ trợ thẻ thông minh như một phương tiện chính trong việc chứng thực quyền đăng nhập hệ thống. Nói chung, sự kết hợp đa công nghệ (như tròng mắt, thẻ thông minh, dấu tay) đang dần hoàn thiện và mở ra một thời đại mới cho việc chứng thực quyền truy cập trong hệ thống bảo mật.

Kiểm tra máy chủ

Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc chủ yếu vào sự quản lý. Mọi máy chủ ở trong một công ty nên được kiểm tra từ Internet để phát hiện lỗ hổng bảo mật. Thêm nữa, việc kiểm tra từ bên trong và quá trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc.

Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật tối thiểu và có rất nhiều lỗ hổng bảo mật. Trước khi một máy chủ khi đưa vào sản xuất, sẽ có một quá trình kiểm tra theo một số bước nhất định. Toàn bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiết nào phải được loại bỏ. Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệ thống.

Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng. Chúng sẽ cung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảo mật. Trong rất nhiều trường hợp, đó chính là một trong những cách để xác nhận quy mô của một tấn công vào máy chủ.

Kiểm soát ứng dụng

Vấn đề an toàn bảo mật trong mã nguồn của các ứng dụng hầu hết không được quan tâm. Điều này không được thể hiện trên các sản phẩm như liệu nó có được mua, được download miễn phí hay được phát triển từ một mã nguồn nào đó. Để giúp đỡ giảm thiểu sự rủi ro bảo mật trong các ứng dụng, thẩm định lại giá trị của ứng dụng trong công ty, như công việc phát triển bên trong của các ứng dụng, Điều này cũng có thể bao gồm các đánh giá của các thực thể bên ngoài như đồng nghiệp hay các khách hàng.

Việc điều khiển cấu hình bảo mật các ứng dụng có thể làm tăng mức bảo mật. Hầu hết các ứng dụng được cấu hình tại mức tối thiểu của tính năng bảo mật, nhưng qua các công cụ cấu hình, mức bảo mật của hệ thống có thể được tăng lên. Lượng thông tin kiểm soát được cung cấp bởi ứng dụng cũng có thể được cấu hình. Nơi mà các ứng dụng cung cấp thông tin về quy mô bảo mật, thời gian kiểm soát và sự phân tích thông tin này sẽ là chìa khoá để kiểm tra các vấn đề bảo mật thông tin.

Các hệ điều hành

Sự lựa chọn hệ điều hành và ứng dụng là quá trình đòi hỏi phải có sự cân nhắc kỹ càng. Chọn cái gì giữa hệ điều hành Microsoft hay UNIX, trong rất nhiều trường hợp, điều thường do ấn tượng cá nhân ề sản phẩm. Khi lựa chọn một hệ điều hành, thông tin về nhà sản xuất không quan trọng bằng những gì nhà sản xuất đó làm được trong thực tế, về khả năng bảo trì hay dễ dàng thực hiện với các tài liệu đi kèm. Bất kỳ một hệ điều hành nào từ 2 năm trước đây đều không thể đảm bảo theo những chuẩn ngày nay, và việc giữ các máy chủ, ứng dụng của bạn được cập nhật thường xuyên sẽ đảm bảo giảm thiểu khả năng rủi ro của hệ thống.

Khi lựa chọn một hệ điều hành, hãy tìm hiểu không chỉ các tiêu chuẩn thông thường như (quản trị, hiệu năng, tính chứng thực), mà còn phải xem xét khả năng áp dụng được của hệ điều hành với hệ thống hiện tại. Một hệ điều hành có thể cung cấp cơ chế bảo mật tốt hơn khi nó tương thích với các ứng dụng chạy bên trong nó như DNS hay WebServer, trong khi các hệ điều hành khác có thể có nhiều chức năng tốt hơn như một hệ thống application, database hay email server.

Bước 5: Thực hiện và giáo dục

Ban đầu, sự hỗ trợ cần thiết sẽ được đúc rút lại và lên kế hoạch hoàn chỉnh cho dự án bảo mật. Đây chính là bước đi quan trọng mang tính chiến lược của mỗi công ty về vấn đề bảo mật. Các chi tiết kỹ thuật của bất kỳ sự mô tả nào cũng sẽ thay đổi theo môi trường, công nghệ, và các kỹ năng liên quan, ngoài ra có một phần không nằm trong việc thực thi bảo mật nhưng chúng ta không được coi nhẹ, đó chính là sự giáo dục. Để đảm bảo sự thành công bảo mật ngay từ lúc đầu, người sử dụng phải có được sự giáo dục cần thiết về chính sách, gồm có:

* Kỹ năng về các hệ thống bảo mật mới, các thủ tục mới.

* Hiểu biết về các chính sách mới về tài sản, dữ liệu quan trọng của công ty.

* Hiểu các thủ tục bắt buộc mới, chính sách bảo mật công ty.

Nói tóm lại, không chỉ đòi hỏi người sử dụng có các kỹ năng cơ bản, mà đòi hỏi học phải biết như tại sao và cái gì họ đang làm là cần thiết với chính sách của công ty.

Bước 6: Tiếp tục kiểm tra, phân tích và thực hiện

Hầu hết những gì mong đợi của một hệ thống bảo mật bất kỳ là chạy ổn định, điều khiển được hệ thống và nắm bắt được các luồng dữ liệu của hệ thống. Quá trình phân tích, tổng hợp các thông tin, sự kiện từ firewall, IDS's, VPN, router, server, và các ứng dụng là cách duy nhất để kiểm tra hiệu quả của một hệ thống bảo mật, và cũng là cách duy nhất để kiểm tra hầu hết sự vi phạm về chính sách cũng như các lỗi thông thường mắc phải với hệ thống.

Các gợi ý bảo mật cho hệ thống và mạng

Theo luận điểm này, chúng tôi tập trung chủ yếu và các bước mang tính hệ thống để cung cấp một hệ thống bảo mật. Từ đây, chúng tôi sẽ chỉ ra một vài bước đi cụ thể để cải thiện hệ thống bảo mật, dựa trên kết quả của việc sử dụng các phương thức bảo mật bên ngoài và bảo mật bên trong của hệ thống. Chúng tôi cũng giới hạn phạm vi của các gợi ý này theo các vấn đề chung nhất mà chúng tôi đã gặp phải, để cung cấp, mô tả vấn đề một cách chính xác hơn cũng như các thách thức mà mạng công ty phải đối mặt ngày nay. Để mang tính chuyên nghiệp hơn về IT, các gợi ý này được chia thành các phần như sau:

Đặc điểm của bảo mật

*Tạo bộ phận chuyên trách bảo mật để xem xét toàn bộ các vấn đề liên quan tới bảo mật

*Thực hiện các thông báo bảo mật tới người sử dụng để đảm bảo mọi người hiểu và thực hiện theo các yêu cầu cũng như sự cần thiết của việc thực hiện các yêu cầu đó.

* Tạo, cập nhật, và theo dõi toàn bộ chính sách bảo mật của công ty.

Windows NT/IIS

* Hầu hết 95% các vấn đề bảo mật của NT/IIS, chúng ta có thể giải quyết theo các bản sửa lỗi. Đảm bảo chắc chắn toàn bộ các máy chủ NT và IIS được sửa lỗi với phiên bản mới nhất.

* Xoá (đừng cài đặt) toàn bộ các script từ Internet.

Cisco Routers

* Loại bỏ các tính năng như finger, telnet, và các dịch vụ, cổng khác trên thiết bị định tuyến (router).

* Bỏ các gói tin tài nguyên IP dẫn đường trong router.

* Chạy Unicast RPF để ngăn chặn người sử dụng của bạn sử dụng việc giả mạo IP.

* Sử dụng router của bạn như một firewall phía trước và thực hiện các ACL tương tự theo các luật trong firewall của bạn.

Quy định chung về cầu hình firewall

* Cấu hình của firewall nên có các luật nghiêm ngặt. Chỉ rõ các luật đối với từng loại truy nhập cả bên ngoài lẫn bên trong.

* Giảm thiểu các truy nhập từ xa tới firewall.

* Cung cấp hệ thống kiểm soát tập luật của firewall.

* Kiểm tra lại các luật.

Cisco PIX Firewalls

* Không cho phép truy cập qua telnet

* Sử dụng AAA cho việc truy cập, điều khiển hệ thống console

Kiểm soát Firewall-1

* Loại bỏ các luật mặc định cho phép mã hoá và quản lý của firewall, thay thế các luật không rõ ràng bằng các luật phân biệt rạch ròi trong công việc thực thi của bạn.

* Không sử dụng mặc định luật "allow DNS traffic" - chấp nhận luật này chỉ cho các máy chủ cung cấp DNS cho bên ngoài.

DNS bên trong

* Bất kỳ máy chủ nào cung cấp DNS bên trong và các dịch vụ mang tính chất nội bộ phải không được cung cấp DNS bên ngoài.

* Kiểm tra với nhà cung cấp DNS của bạn để cấu hình bảo vệ từ thuộc tính "cache poisoning"

=====================

====== HcE Gr0up ======

&ksvthdang(HCE)

Hướng giải quyết công việc:

-Cách 1:Chúng ta phải cài đặt cho từng máy:cài Server trước sau đó cài đặt cho từng Client trong mạng.Quá mất thời gian và chi phí cao do mỗi Client đều phải cần 1 ổ đĩa CD-Rom.

-Cách 2:Sử dụng công nghệ RIS(Remote Installation Service).Cách này thực sự hữu ích tuy nhiên có 1 nhược điểm là Server phải sử dụng hệ điều hành Windows 2000 Server,các Client chỉ có thể cài đặt hệ điều hành Windows 2000 Pro và card mạng phải hỗ trợ Rom Boot theo chuẩn PXE.Tuy nhiên không phải card mạng nào cũng hỗ trợ Rom Boot.Trong trường hợp đó thì RIS không phải là cách hay.

-Cách 3:Chúng ta sẽ tiến hành làm 1 đĩa mềm có thể Boot mạng từ DOS.Sau đó chúng ta sẽ cho các máy Client cài đặt hệ điều hành từ source trên Server. Đây thực sự là 1 cách hữu ích.Bởi vì yêu cầu về phần cứng không cao và các máy Client có thể cài đặt bất kỳ hệ điều hành nào.

Ở đây chúng ta có 2 cách để tạo đĩa Boot mạng.Một là sử dụng Norton Ghost 2003,hai là sử dụng tiện ích NETSETUP trong bộ đĩa cài đặt Windows NT 4.0 Server (mở đĩa Windows NT 4.0 Server vào ..\CLIENTS\MSCLIENT\NETSETUP chạy file Setup.exe).Trong bài này tôi xin giới thiệu phương pháp làm đĩa Boot mạng sử dụng phần mềm Norton Ghost 2003.

Làm đĩa Boot mạng sử dụng Norton Ghost 2003:

Trước hết chúng ta phải cài đặt hệ điều hành cho Server. Ở đây Server sẽ sử dụng Windows 2000 Server.Kế tiếp chúng ta phải nâng cấp lên Active Directory(vào Start\Run\DCPROMO rồi enter).Sau khi nâng cấp lên Active Directory chúng ta phải cấu hình DNS Server và DHCP Server để Server cấp phát IP cho các Client.

Kế đó chúng ta sẽ tạo user để sử dụng cho việc Boot mạng từ DOS. Ở đây chúng ta phải tạo một thư mục để chép bộ Source cài đặt hệ điều hành (có thể sử dụng file Ghost của bất kỳ hệ điều hành nào).Thư mục này phải được share để cho các Client khi Boot vào mạng có thể truy cập được.

Cuối cùng là chúng ta tiến hành cài đặt Norton Ghost 2003 (lưu ý là chỉ có phiên bản 2003 mới hỗ trợ việc làm đĩa Boot mạng).Sau khi cài đặt xong chúng ta mở Norton Ghost 2003 lên,như hình bên dưới:

Chúng ta chọn mục Ghost Utilities.Bảng Norton Ghost Boot Wizard xuất hiện:

Kế tiếp chúng ta chọn tiếp "Drive Mapping Boot Disk",rồi Click Next.

Ở bảng này chúng ta sẽ thấy các Driver card mạng được hỗ trợ để làm đĩa Boot.Nếu chúng ta sử dụng 1 loại card mạng khác không có trong mục này,chúng ta có thể chọn nút Add để bổ sung thêm.Click Next để tiếp tục.

Click Next để tiếp tục.

Kế tiếp bảng Norton Ghost Boot Wizard-Network Client Configuration xuất hiện.Chúng ta cần điền đầy đủ cho các mục này.

-Client Computer Name:tên máy Client.

-User name:tên người sử dụng,có thể sử dụng tên Administrator hay chúng ta phải tạo 1 tài khoản riêng(sử dụng Server để tạo tài khoản người dùng).

-Domain:tên domain sau khi chúng ta đã nâng cấp lên Active Directory.

-Drive Letter:tên ổ đĩa mà Server đã chép Source cài đặt và share trên mạng.

-Map To: đường dẫn đến thư mục mà Server đã share.

Click Next tiếp tục.

Bảng kế tiếp xuât hiện,hỏi chúng ta cấp phát địa chỉ IP bằng dịch vụ DHCP hoặc cấp phát bằng tay. Ở đây do chúng ta đã cài đặt DHCP Server nên chúng ta chọn:"DHCP will assign the IP settings".Click Next để tiếp tục.

Bảng kế tiếp xuất hiện,chúng ta chọn các thông số cho phù hợp rồi Click Next.

Bảng trên sẽ cho chúng ta xem rõ chi tiết của các file như Autoxec.bat hay Config.sys.Click Next để cho công việc tạo đĩa bắt đầu.Cuối cùng là nhấn Finish để hoàn thành việc tạo đĩa.

Sau khi hoàn thành,chúng ta sẽ dễ dàng hơn trong việc cài đặt 1 hệ thống mạng mà không phải tốn nhiều thời gian và công sức cũng như tiền bạc.Chúc các bạn thành công.