Trường đại học khoa học tự nhiên
Khoa công nghệ thông tin
-----0O0-----

BẢO MẬT DỮ LIỆU MÁY TÍNH
CỦA MỘT TỔ CHỨC

Mục lục

1. Xác định những rủi ro và những mối đe dọa Computer. ................................................ 2
2. Tầm quan trọng của việc bảo mật cho Computer . ......................................................... 2
2.1 Những cuộc tấn công từ bên ngoài: ...................................................................... 2
2.2 Hiểm họa từ bên trong: ......................................................................................... 3
2.3 Những mối đe dọa phổ biến: ................................................................................. 3
3. Thiết kế Security cho các Computer ............................................................................... 3
3.1 Những phương thức chung secure Computer ....................................................... 3
3.2 Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ chức (Security
baseline) ...................................................................................................................... 4
3.3 Security cho các Computer có vai trò đặc biệt như thế nào. ................................. 4
3.4 Những Phương pháp chung để áp dụng Security Updates (cập nhật security) ..... 5

dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ trực tiếp cho
Computer. Chú ý setup password cho tài khoản built-in ADMINISTRATOR tại giai đoạn
này theo đúng chính sách đặt password của tổ chức. Chúng ta có thói quen không tốt ở
giai đoạn này là set password null (không đặt pssword) !
• Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định an toàn
thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer
• Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server , Database
Server. Căn cứ trên chính sách bảo mật chuẩn, các security admin cần tăng cường hơn
nữa các xác lập bảo mật đối với các Computer đặc biệt này nhằm tạo một hệ thống được
bảo vệ tối đa có thể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía
attackers.
• Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông thường
sẽ update các Service packs, securiry updates..) Đây là điều bắt buộc để nâng cao hơn
nữa baseline security đã được thiết lập
• Tạm biệt Computer: Kết thúc vòng đời, giờ là lúc đem chiếc Computer này vào
kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cần phải security, attacker
có thể lấy những thông tin còn sót lại trên HDD, hoặc các thiết bị Media khác để khai
thác những thông tin còn sót lạ
i này.
2. Tầm quan trọng của việc bảo mật cho Computer .
2.1 Những cuộc tấn công từ bên ngoài:
Khi một admin cài đặt software trên một computer mới, một Virus có thể lây
nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ thống. Virus này sẽ
khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thống một chú Trojan Horse (ví dụ như
Bo 2k). Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biết rằng
Computer có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của
tổ chức !
2.2 Hiểm họa từ bên trong:
Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và không
cần phải theo dõi trong suốt quá trình cài đặt (unattended Installation) , cách cài đặt này

Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức.
Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành
cho việc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng
dịch vụ RIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có
thể chống được sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account
như Administrator được tạo ra qua Mạng từ các unattended installation
scripts không bị thâu tóm.. các CD cài đặt HDH, ứng dụng nên tích hợp
đầy đủ các Service packs, security updates (vá lỗi ngay trong quá trình cài
đặt)
3.2 Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ
chức (Security baseline)
Trước khi triển khai Computer cho tổ chức, cần xác định các security baseline.
Các security admin có thể triển khai những security baseline này trong suốt quá trình cài
đặt hoặc sau đó. Trên Microsoft Windows 2000 và Microsoft Windows XP, các admin có
thể taọ và triển khai các security templates để đạt được những yêu cầu bảo mật cần thiết.

Tuân thủ những hướng dẫn sau để tạo security baseline cho các Computer
Tạo một chính sách security baseline cho các Computer theo đúng những quy
định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp vụ. Chính
sách này phải đảm bảo an toàn cho Computer, HDH và các ứng dụng nghiệp vụ…
Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được kiểu
tấn công SYN-ACK (synchronize acknowledge) denial of service (DoS) tấn
công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai trò của
Computer cần bảo vệ..
Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo vệ HDH
chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry những giá trị
mong muốn nhằm thay đổi cách thức vận hành của TCP/IP stack trong giao tiếp
Mạng với các Computer khác, như vậy có thể chống được những cuộc tấn công
kiểu này.
Vận hành thử và Kiểm tra các security templates này. Mỗi security template được

Computer trên Mạng.
Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cả
security updates mới nhất, các thành phần liên quan đến Windows (Windows
components) , và các driver cho thiết bị đã được cài đặt. Để sử dụng Windows
Update phải là thành viên của nhóm Administrators. Nếu phải scan nhiều máy
trên Mạng từ một location, có thể sử dụng tool: MBSA (Microsoft Baseline
Security Analyzer) của hãng Shavlik, một partner của Microsoft. Hoặc chuyên
dụng hơn và cung cấp giải pháp scan bảo mật toàn diện có thể dùng GFI
Languard network security scanner của GFI, rất phổ biến với Admin.
Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩm
Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quan trong mà
các Security admin cần chú ý. Chỉ thành viên nhóm Administrators mới đuợc
dùng tính năng này
Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các Computer
trong môi trường Active directory domain, các admin sẽ sử dụng các chính sách
của Domain hoặc GPO cho các OU trong Domain. Khi dùng Group Policy, User
không cần phải làm bất cứ động tác nào vì thông qua Active Directory service,
Group Policy có thể thực hiện hoàn toan 2 tự động
Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS):
Server cài đặt dịch vụ này, được xem là trung tâm phân phối các security updateas
cho các Computer trên Mạng. Admin có thể cấu hình trên các Computer để tự
động download security updates hoặc lập lịch biểu (scheduling) download từ
WSUS server này
Dùng tính năng Feature Pack (Microsoft Systems Management Server (SMS)
Update Services Feature Pack) có trong dịch vu SMS: Bao gồm Wizard hướng
dẫn đóng gói các Security updates và triển khai chúng đến các Computer thông
qua kho lưu trữ Software Inventory.

Tham khảo tài liệu: quantrimang.com