(VnMedia) - Vụ việc hàng loạt website thông tin và dịch vụ bị tê liệt trong thời gian vừa qua cho thấy, quy trình bảo mật và an toàn thông tin của các website tại Việt
VnMedia xin tổng hợp lại một số ý kiến và quan điểm của các chuyên gia trong lĩnh vực này nhằm cảnh báo và tư vấn cho các đơn vị củng cố hệ thống an toàn thông tin của mình.
Công nghệ thông tin là ngành thay đổi hết sức nhanh chóng, trong lĩnh vực bảo mật dữ liệu và an toàn dữ liệu cũng vậy. Những gì được coi là bảo mật vũng vàng và chắc chắn của ngày hôm qua đến hôm nay sẽ có thể lại là lỗ hổng 'chết người'. Các hệ điều hành mới cập nhật nhất cũng hoàn toàn có thể bị phát hiện ra các lỗ hổng và sơ hở có thể bị lợi dụng. Để đáp ứng được sự thay đổi nhanh chóng của công nghệ và xử lý những lỗ hổng trong công nghệ cũng như lỗ hổng trong quản lý, chiến lược bảo mật, nhân sự công nghệ và xây dựng quy trình bảo mật là yếu tố cốt lõi.
Theo các chuyên gia công nghệ thông tin, các tòa soạn, đặc biệt là tòa soạn báo điện tử, các website thông tin do tính chất phổ cập thông tin đến càng phải ý thức được việc bảo vệ hệ thống thông tin của mình, quy trình về bảo mật thông tin là việc cần triển khai ngay.
Đồng thời, cần quan tâm tới việc quản lý nhân sự công nghệ, thực chất cũng là nhân sự của tổ chức. Việc áp đặt các nguyên tắc bảo mật luôn phải được đặt lên hàng đầu tránh trường hợp “mất bò mới lo làm chuồng”. Xây dựng quy trình tổng thể cho bảo mật thông tin và an toàn dữ liệu là việc cần làm ngay. Cách thức “ứng xử” sau thảm họa cũng cần được xác định để tránh “vỡ trận”.
Các kiểu tấn công phải dè chừng
Tuy nhiên, tốt hơn hết là vẫn cần đánh giá lại những vụ việc vừa qua và có phương án phòng tránh, dè chừng. Nhìn lại các vụ việc đình đám vừa qua, chúng ta có thể nhận thấy có hai cách tấn công chủ yếu: Tấn công từ ngoài vào và tấn công từ trong ra!
Các chuyên gia về bảo mật nhận định, hacker tấn công hiện nay chủ yếu dựa vào lỗ hổng của phần mềm (bug) bao gồm hệ điều hành, phần mềm ứng dụng và rò rỉ thông tin nội bộ. Qua đó, tấn công trực tiếp vào hệ thông quản lý và cơ sở dữ liệu của website bị nhắm đến. Đây được coi là kiểu tấn công từ trong ra.
DDoS (Viết tắt của Distributed Denial of Service – Tấn công từ chối dịch vụ phân tán) – thông thường DDoS xảy ra khi hàng loạt máy tính (có thể đã dính malware/virus) nhận được lệnh gửi thông tin truy cập dồn dập đến một tên miền, trang web hay IP cụ thể làm cho máy chủ dịch vụ không thể đáp ứng dẫn đến tê liệt dịch vụ cung cấp. Nguyên nhân DDoS thường thấy là hành động “dằn mặt” và có thể là khởi mào cho cuộc tiến công. Bản chất tấn công DDoS thường tập trung vào tên miền cụ thể như trang thanh toán của ngân hàng, trang web của các cơ quan chính phủ.
Phòng tránh: Áp dụng tiêu chuẩn quốc tế và phân tán dữ liệu dự phòng
Theo các chuyên gia công nghệ và bảo mật tư vấn đối với các website thông tin và các báo điện tử lớn cần áp dụng ngay một số phương án như sau:
Toàn bộ hệ thống máy tính phải được cài đặt chính sách an ninh chung có tính bảo mật cao, hạn chế rò gỉ thông tin nội bộ (có thể tham khảo thêm series tiêu chuẩn An toàn thông tin 27000 tại http://www.27000.org).
Việc rò rỉ thông tin bảo mật nội bộ cùng sự cấu kết với hacker sẽ dẫn đến sự phá hoại gây tổn thất vô cùng nặng nề. Do vậy, đội ngũ quản trị cần được đào tạo bài bản về bảo mật, chống hacker cũng như cần được nâng cao đạo đức nghề nghiệp. Bên cạnh đó toàn bộ nhân viên công nghệ ra/vào văn phòng phải mang thẻ (thẻ từ/chip để giám sát ra vào).
An ninh mạng cần được chuyên nghiệp hóa hơn nữa thông qua việc xây dựng các lớp bảo mật, phân quyền nhằm hạn chế tối đa các rủi ro tiềm tàng. Đặc biệt là nên áp dụng bộ tiêu chuẩn ISO 27000.
Nâng cao hơn nữa tầm quan trọng của việc backup dữ liệu (lưu trữ dự phòng dữ liệu). Đối với nhiều doanh nghiệp, tổ chức và các đơn vị báo chí, an ninh dữ liệu hiện nay vẫn chưa được quan tâm một cách đúng mức. Nhiều những trường hợp website bị tấn công, dữ liệu được back-up tập trung tại cùng 1 vị trí cũng là sự thuận lợi cho đối tượng hacker dễ triệt tiêu và công tác phục hồi dữ liệu sẽ hết sức khó khăn. Việc backup dữ liệu nên phân tán tránh trường hợp “đặt hết trứng vào một giỏ”.
Và cuối cùng là cần liên kết với các đối tác, nhà cung cấp dịch vụ và cơ quan an ninh mạng có uy tín.
Lựa chọn nơi đặt dữ liệu an toàn và phân tán dữ liệu dự phòng
Việc lựa chọn địa điểm thuê chỗ đặt máy chủ cũng như nhà cung cấp dịch vụ có đủnăng lực, đạt chứng nhận tiêu chuẩn quốc tế sẽ đảm bảo an toàn cho hệ thống công nghệ thông tin và dữ liệu của các tổ chức, doanh nghiệp hay chính các đơn vị cung cấp dịch vụ liên quan đến cơ sở dữ liệu thông tin. Ở Việt Nam hiện nay, đã có một số nhà cung cấp dịch vụ Trung tâm Dữ liệu (Data Center) đáp ứng được các tiêu chuẩn quốc tế về chất lượng dịch vụ và chứng nhận an toàn an ninh thông tin này.
Trung tâm dữ liệu Thăng Long của GDS đã đạt chứng nhận ISO/IEC 27001:2005 từ năm 2012, tiêu chuẩn đánh giá quản lý chất lượng và hệ thống an toàn an ninh thông tin doanh nghiệp do tổ chức DAS/UKAS vương quốc Anh cấp. Việc đạt được chứng nhận này đảm bảo các Dịch vụ Data Center của GDS luôn tuân thủ nghiêm ngặt các chuẩn bảo mật thông tin quốc tế để bảo đảm sự toàn vẹn dữ liệu của khách hàng.
Công ty cổ phần Dịch vụ Số liệu Toàn cầu (GDS) là một công ty liên doanh giữa Tập đoàn VNPT, nhà cung cấp Viễn thông lớn nhất tại Việt Nam, và Tập đoàn Viễn thông khổng lồ NTT (Nhật Bản). Do đó, các dịch vụ được cung cấp tuân thủ chặt chẽ quy trình vận hành và bảo dưỡng toàn cầu của NTT, tập đoàn hiện đang vận hành hơn 100 Data Center (Trung tâm dữ liệu) trên toàn cầu, dành cho các khách hàng lớn và chính phủ các nước như Nhật, Thái Lan, Đức, Malaysia…
Chứng nhận ISO/IEC 27001:2005 là tiêu chuẩn quốc tế toàn cầu về quản lý hệ thống quản trị bảo mật thông tin (ISMS). Chứng nhận này là một phần quan trọng trong chương trình bảo vệ dữ liệu của khách hàng khỏi những mối đe dọa trên mạng cũng như các lỗ hổng có thể dẫn đến mất dữ liệu.
Để được cấp chứng nhận ISO/IEC 27001:2005, doanh nghiệp đã triển khai đồng bộ các hệ thống và giám sát cần thiết nhằm bảo vệ toàn diện các ứng dụng trọng yếu của khách hàng đang được lưu trú tại trung tâm dữ liệu Thăng Long.
Bên cạnh đó, doanh nghiệp cũng phải trải qua nhiều kỳ sát hạch và đánh giá thực địa khắt khe từ DAS/UKAS bao gồm chính sách bảo mật, bảo mật tổ chức, kiểm soát và phân loại tài sản, bảo mật môi trường, bảo mật vật lý, an ninh mạng và hệ thống giám sát truy cập, duy trì và phát triển hệ thống… Bởi vậy, chứng nhận tiêu chuẩn ISO/IEC 27001:2005 sẽ giúp khách hàng yên tâm lưu trữ dữ liệu hệ thống và dữ liệu dự phòng.
Ý kiến bạn đọc