LÀM THẾ NÀO ĐỂ BẢO VỆ CÁC MÁY TÍNH CỦA MỘT TỔ CHỨC
Phần 2: Chính sách an toàn Account cho Computer (Security Account Policies )
Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính của một tổ
chức. Phần tiếp theo này tôi sẽ trình bày những phương thức cụ thể theo trình tự, từ quá
trình setup hệ thống, vận hành hệ thống dựa trên những chính sách an toàn từ basic cho đến
những kĩ năng advance mà các Security Admin cần quan tâm để áp dụng vào việc xây
dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôi xin đề cập đến vấn
đề an ninh account (account security) và cách thức tạo account an toàn nhằm đối phó với
những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp của những công cụ phù
thủy…
Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng nhất cho
attacker, như vậy những hình thức bảo mật khác được áp dụng vào hệ thống như trang bị
các công cụ chống maleware (prevent virus, worm, spyware, ad-ware..), triển khai hệ thống
phòng thủ Mạng (Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ
trong cách thức tạo account và đưa ra chính sách tạo account chứa đựng nhiều rủi ro này.
Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến lược an toàn
account áp dụng vào an toàn thông tin của tổ chức là vấn đề mang tính cấp bách.
A. Làm thế nào để tạo và quản lý Account an toàn
Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý Account sao cho an
toàn
• Account phải được bảo vệ bằng password phức hợp ( password length, password
complexity)
• Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và dịch vụ cần
thiết (không thiếu quyền hạn mà cũng không thể để thừa)
• Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nội bộ)
• Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải được đặt trên
những hệ thống an toàn và được mã hóa)
• Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thức bảo mật
account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhân viên hoặc giả
danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để khai thác ), hướng dẫn
cách thức thay đổi password khi cần thiết và tránh tuyệt đối việc ghi lại account

những chính sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng nhất nhưng thông
thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết các con đường xâm nhập
vào hệ thống đều qua khai thác Credentials (có được thông tin account), attacker
nắm được vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác rất hiệu quả.
B. Phân tích và thiết kế các chính sách an toàn cho account.
Phân tích những rủi ro và xác định các mối đe dọa đối với account:
Account cho một User sẽ xác định những hành động mà User đó có thể thực hiện.
Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau.
Loại account
Độ tin cậy
Ví dụ
Người dùng bên ngoài
Thấp
User truy cập Web server (anonymous user), đối tác kinh doanh (business partners)..
Nhân viên nội bộ
Vừa phải
Nhân viên hợp đồng, nhân viên chính thức..
Nhóm Administrator
Cao
Quyền quản trị hệ thống, dịch vụ, dữ liệu tổ chức…
Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản:
• User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thống cho phép
thực thi những hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi
thời gian hệ thống, shutdown hệ thống…)
• Trên Windows các bạn có thể type command secpol.msc tại RUN, để open Local
Security Settings\ local policies\ User rights assignment là nơi xác lập các User
rights của hệ thống
• Permissions (Quyền truy cập): Được kiểm soát bởi DACLs (Discretionary access
control lists) của hệ thống, được phép truy cập vào các File/Folder hay Active
Directory objects (trong Domain) (ví dụ User A được quyền Read/Modify đối với

(minimum password age). Admin có thể thiết lập thờigian này khoảng vài ngày,
trước khi cho phép user thay đổi password của họ.
• Thực thi password history: Số lần các password khác biệt nhau phải sử dụng qua,
trước khi quay lại dùng password cũ. Số Password history càng cao thì độ an toàn
càng lớn.
• Chiều dài password tối thiểu (minimum password length) cần phải đặt. Càng dài
càng an toàn
• Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ phức hợp
của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệt giữa password và
P@ssW0rd)
• Khi dùng password phức hợp cần quan tâm:
• Không sử dụng họ và tên
• Chứa ít nhất 6 kí tự
• Có thể đan xen chữ hoa,(A..Z) thường (a..z), và các kí tự đặc biệt như: !@#$
%^&*()
• Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếu như sau
một số lần log-on không thành công vào hệ thống. Mục đích của chính sách này
nhằm ngăn chặn các cuộc tấn công dạng brute force vào account để dò password.
Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý Account sao cho an toàn, nhằm
đáp ứng các yêu cầu khắt khe trong chính sách an toàn thông tin của tổ chức và đối với các
Security Admin thiết nghĩ vấn đề này không nên chễnh mãng hoặc thờ ơ, vì đây là “ngõ
vào” đầu tiên mà attacker luôn ưu tiên trong việc thăm dò, khai thác yếu điểm của hệ
thống.
Chính sách bảo mật thông tin
Glory.com.vn chúng tôi coi trọng tất cả các quyền riêng tư của người sử dụng. Trong mục
này sẽ trình bày cách thức chúng tôi sử dụng các thông tin bạn đã cung cấp thông qua trang
web Glory.com.vn. Phần quy định về sự riêng tư này có thể được thay đổi trong tương lai.
Nếu có thay đổi, các quy định mới sẽ được đăng trên trang web và bạn có thể thay đổi
thông tin cá nhân của bạn qua phần giải thích dưới đây.
Thông tin cá nhân nào chúng tôi thu thập lại?

Nó được bảo mật trong trung tâm dữ liệu của chúng tôi và chỉ được truy cập khi cần kiểm
tra nhận dạng thông tin cá nhân để thực thi chính sách về quyền riêng tư này. Thêm vào đó,
khi thu thập thẻ tín dụng hay các thông tin có mức độ nhạy cảm cao khác từ bạn, chúng tôi
sử dụng hệ thống mã hóa SSL theo tiêu chuẩn trong ngành để bảo vệ các dữ liệu được
truyền đi.
Thu thập các thông tin từ đối tác thứ ba
Glory.com.vn làm việc với các đối tác thứ ba để đáp ứng phục vụ cho việc quảng cáo khi
bạn viếng thăm trang web chúng tôi. Những công ty này có thể sử dụng các thông tin về
bạn (không bao gồm tên, địa chỉ, email hay số điện thoại) khi bạn viếng thăm trang web
này hay các trang web khác nhằm mục đích quảng cáo sản phẩm, dịch vụ yêu thích tới bạn.
Bên cạnh đó, chúng tôi có thể chia sẻ thông tin quen thuộc của những khách viếng thăm