1 Các chiến lược an ninh thông tin Bạn đã có thể thấy Internet mất an toàn thế nào, vì vậy cần tuyệt đối tuân theo các quy tắc sau khi xây dựng hệ thống, nhất là những hệ thống mạng lớn, quan trọng: a. Quyền hạn tối thiểu • Chỉ nên cấp những quyền nhất định cần có với công việc tương ứng và chỉ như vậy. • Tất cả các đối tượng: người sử dụng, chương trình ứng dụng, hệ điều hành đều nên tuân theo nguyên tắc này. b. Đơn giản • Hệ thống phải đơn giản để dễ hiểu và ít mắc lỗi. • Dễ hiểu: Sẽ giúp cho dễ dàng nắm được nó hoạt động như thế nào, có như mong muốn hay không. • Ít mắc lỗi: Càng phức tạp thì càng nhiều lỗi có thể xảy ra. ==> chính vì vậy mà Firewall thường chạy trên các hệ thống đã loại bỏ hết những gì không cần thiết. c. Bảo vệ theo chiều sâu • Nên áp dụng nhiều chế độ an toàn khác nhau. • Nhiều lớp an toàn khác nhau, chia thành các vòng bảo vệ bao lấy nhau, muốn tấn công vào bên trong thì phải lần lượt qua các lớp bảo về bên ngoài > bảo vệ lẫn nhau. d. Nút thắt • Bắt buộc mọi thông tin phải đi qua một cửa khẩu hẹp mà ta quản lý được > kể cả kẻ tấn công. Giống như cửa khẩu quốc tế, tại đó nhân viên cửa khẩu sẽ kiểm soát được những thứ đưa ra và vào. • Nút thắt sẽ vô dụng nếu có một con đường khác nữa. e. Tính toàn cục Phải quan tâm tới tất cả các máy trong mạng, vì mỗi máy đều có thể là bàn đạp tấn công từ bên trong. Bản thân một máy có thể không lưu trữ những thông tin hay dịch vụ quan trọng, nhưng để nó bị đột nhập thì những máy tính khác trong mạng cũng dễ dàng bị tấn công từ trong ra. f. Tính đa dạng Nếu tất cả cùng dùng một hệ điều hành hay một loại phần mềm duy nhất thì sẽ có thể bị tấn công đồng loạt và không có khả năng hồi phục ngay (ví dụ như tất cả các máy cùng dùng WindowsXP, đến một ngày nào đó người ta phát hiện có thể làm cho WindowsXP xoá dữ liệu trên máy một cách bất hợp pháp, lúc đó Microsoft cũng chưa có bản sửa lỗi, thì bạn chỉ còn cách là tắt hết các máy trên mạng của mình đi và chờ đến khi nào Microsoft đưa ra bản 2 sửa lỗi). Nếu dùng nhiều loại hệ điều hành cũng như phần mềm ứng dụng thì hỏng cái này, ta còn cái khác h. Tư vấn của chuyên gia Nếu như bạn không thực sự thành thạo trong việc thiết lập một hệ thống quản lý an ninh thông tin, thì tốt nhất là bạn hãy nhờ tới sự giúp đỡ của các đơn vị tư vấn chuyên nghiệp và các chuyên gia trong lĩnh vực này. Chỉ một sơ suất nhỏ trong thiết kế và vận hành, hệ thống của bạn có thể sẽ phải hứng chịu những tổn thất rất lớn. . Ví dụ minh hoạ Có thể bạn chưa rõ tại sao Tin tặc có thể tấn công vào khe hở của phần mềm, gót chân a-sin đã đề cập ở trên để gây ra những tác hại? ví dụ dưới đây sẽ phần nào giúp bạn hiểu về điều đó. Nếu bạn là người không ưa kỹ thuật thì có thể bỏ qua phần này. Kiểu tấn công SYN Defender hay còn gọi là Flood Attach - Tấn công ngập lụt: Có thể mô tả nôm na như sau: Các máy tính trên mạng Internet nói chuyện được với nhau vì chúng có chung những quy định, đó là quy định có tên "TCP/IP", hay từ chuyên môn gọi là "Giao thức TCP/IP". Cũng giống như chúng ta phải tuân thủ các quy định khi đi qua ngã tư có đèn xanh, đèn đỏ, nếu không tuân thủ thì sẽ xảy ra tắc nghẽn giao thông. Hai máy tính muốn nói chuyện với nhau thì việc đầu tiên là phải chào hỏi, cũng như hai người gặp nhau thì phải bắt tay cái đã. Giả sử A là máy muốn nói chuyện với B, nó sẽ đưa ra yêu cầu tới B (yêu cầu "SYN" như hình vẽ). B nhận được yêu cầu thì sẽ đáp lại bằng câu trả lời "SYN/ACK" và "cử" người ra để nói chuyện với A (cử ở đây là cấp phát tài nguyên cho việc nói chuyện với A). Đến lượt A khi thấy B đáp lại thì phải khẳng định một lần nữa là thực sự muốn nói chuyện (trả lời "ACK"). Chỉ sau khi A trả lời "ACK" thì cuộc nói chuyện mới bắt đầu. Vấn đề chỉ có vậy, nhưng nó đã bị Tin tặc lợi dụng và có thể tạo ra những cuộc tấn công. 1 A SYN > B 2 A < SYN/ACK B 3 A ACK > B Để tấn công tin tặc làm như sau: Máy tính của Tin tặc sẽ đóng vai trò là A, còn máy bị tấn công là B: A sẽ gửi yêu cầu "SYN" muốn nói chuyện với B, nhưng chỉ có điều không bình thường là nó sẽ tự xưng nó là A' chứ không phải là A. Trong đó A' là một địa chỉ không có thật, không tồn tại trên thực tế. 3 B nhận được yêu cầu thì liền "cử" người ra đáp lại bằng câu trả lời "SYN/ACK". Tuy nhiên, câu trả lời này sẽ gửi đến A' chứ không phải A vì B hoàn toàn không biết đến anh A do A giả mạo như nói trên. Không may là A' lại là một địa chỉ không tồn tại trên thực tế, nên dĩ nhiên sẽ không hề có trả lời "ACK" theo như quy định từ A' tới B (quá trình thứ 3 của việc bắt tay như nói trên). Không có trả lời, nhưng người của B vẫn cứ chờ đợi, đó chính là một điểm yếu của hệ thống. Điều gì xảy ra nếu A gửi liên tiếp những yêu câu giả mạo như vây? câu trả lời là B sẽ phải "cử" hết người này đến người khác của mình ra để "nói chuyện", cuối cùng thì B hết người và không đáp ứng được các yêu cầu khác nữa và được gọi là bị "ngập lụt" bởi các yêu cầu hay bị tấn công "từ chối dịch vụ". Trong trường hợp những yêu cầu là hợp lệ, tức là A' có tồn tại trong thực tế thì B sẽ nhận được câu trả lời "ACK" từ A', khi đó người được "cử" ra nói chuyện sẽ được giải phóng, tức là không dẫn đến tình trạng "ngập lụt" nói trên. 1 A SYN > B A SYN > B A SYN > B A SYN > B A SYN > B A SYN > B 2 A' < SYN/ACK B A' < SYN/ACK B Giải pháp chống đỡ: Có 2 cách giải quyết vấn đề này: 1. Cách thứ nhất gọi là "SYNDefender Relay" • Cho chặn một Firewall ở giữa để đón nhận trước các yêu cầu kết nối. • Chỉ khi nào xác thực máy yêu cầu là hợp lệ thì mới cho kết nối thực sự tới máy chủ. • Chỉ kiểm soát quá trình bắt tay, không cấp phát bộ nhớ (không cử người ra nói chuyện nếu chưa bắt tay xong) > không bị vô hiệu hoá như server. 1 A SYN > FW B 2 A < SYN/ACK FW B 3 A ACK > FW SYN > B 4 A FW < SYN/ACK B 5 A FW ACK > B 2. Cách thứ 2 gọi là "SYNDefender Gateway" • Cũng cho Firewall đứng ra nhận yêu cầu kết nối trước. • Giải phóng ngay cho người mà B cử ra để nói chuyện, bất kể chưa có trả lời "ACK" từ phía bên kia. 4 1 A SYN > FW SYN > B 2 A FW < SYN/ACK B 3 A < SYN/ACK FW ACK > B 4a A ACK > FW ACK > B hoặc 4b A FW RST > B Cu ố i cùng là 10 l ờ i khuyên đ ã đư ợ c đúc k ế t v ề an ninh m ạ ng 1. Khuyến khích hoặc yêu cầu nhân viên đặt mật khẩu mạnh. 2. Yêu cầu nhân viên thay đổi mật khẩu sau 90 ngày. 3. Đảm bảo rằng chương trình quét virus của bạn là mới nhất. 4. Hướng dẫn nhân viên cẩn trọng trong việc sử dụng email và trao đổi qua email. 5. Thực thi giải pháp an ninh mạng đầy đủ và toàn diện. 6. Đánh giá tình hình an ninh mạng một cách thường xuyên. 7. Khi một nhân viên không còn làm việc tại công ty, hãy xoá bỏ quyền truy cập mạng của người đó. 8. Nếu nhân viên làm việc tại nhà, hãy cung cấp dịch vụ quản lý an ninh mạng tập trung. 9. Cập nhật hệ điều hành, các phần mềm ứng dụng của công ty/tổ chức một cách thường xuyên. 10. Tắt những dịch vụ mạng không cần thiết. Nguyễn Tử Quảng 5 Các câu h ỏ i thư ờ ng g ặ p (FAQ) Hàng ngày chúng tôi nhận được rất nhiều các câu hỏi của những người sử dụng Bkav về các vấn đề có liên quan đến máy tính nói chung và Virus máy tính nói riêng. Chúng tôi đã tổng hợp một số câu hỏi thường gặp nhất để các bạn tham khảo. Đây là các câu hỏi rất hay và chắc chắn bạn sẽ biết thêm nhiều điều bổ ích từ chúng. 1. Hỏi: Tôi quét virus bằng Bkav với lựa chọn “Xóa tất cả các macro” (All Macros) và bị mất một số macro tôi đang sử dụng…? Trả lời: Bkav có một tuỳ chọn là diệt "Xóa tất cả các Macro" hay "All Macros", khi chọn tuỳ chọn này thì Bkav sẽ xoá tất cả các macro có trong máy mà không cần biết chúng có phải là virus hay không, điều này đồng nghĩa với việc tất cả các virus macro có trong máy cũng sẽ bị diệt theo. Trong công việc văn phòng của bạn có sử dụng macro thì bạn đừng bật lựa chọn này (khi đó chỉ những macro được xác định chính xác là virus thì Bkav mới diệt). Hỏi tiếp: Tôi có thể khôi phục lại các macro đã bị mất không? Trả lời: Trong trường hợp bạn không chủ định bỏ tùy chọn “Sao lưu trước khi diệt” (tùy chọn này được thiết lập mặc định ở trạng thái bật), bạn có sử dụng công cụ Bkav Restore để khôi phục lại các file có chứa virus mà bạn đã diệt bằng Bkav. Bấm vào đây để xem thêm chi tiết. 2. Hỏi: Máy tính của tôi bị nhiễm virus, tôi đã dùng Bkav để diệt nhưng mỗi khi khởi động lại máy tính tôi lại thấy virus này xuất hiện. Vậy tôi phải làm sao? Trả lời: Có thể máy tính của bạn cài hệ điều hành Windows ME, Windows XP hay Windows Vista có bật chức năng System Restore. Chức năng này tự động giám sát và ghi lại những tác động làm thay đổi hệ thống hiện tại của hệ điều hành Windows, mục đích là nếu máy tính có trục trặc thì có thể khôi phục lại trạng thái đang làm việc được trước đó. Tuy nhiên trong trường hợp máy tính bị nhiễm virus thì chức năng này lại cản trở hoạt động của các chương trình diệt virus. Trong khi các chương trình diệt virus cố gắng sửa các file hệ thống đang bị nhiễm virus, thì chức năng System Restore lại thực hiện khôi phục lại các file đó khi khởi động lại hệ điều hành. Vì vậy, kết quả là các phần mềm diệt virus sẽ không thể diệt được virus khi chức năng này được kích hoạt. Để diệt virus triệt để, bạn cần phải tắt chức năng System Restore trước khi quét virus bằng Bkav. 3. Hỏi: Máy tính của tôi khi vào mạng thường tự động bật lên các trang web không lành mạnh mặc dù tôi không vào các trang đó. Có phải máy tính của tôi đã bị nhiễm virus không? 6 Trả lời: Nhiều khả năng là máy tính của bạn đã bị nhiễm Spyware (phần mềm gián điệp) hoặc Adware (phần mềm quảng cáo bất hợp pháp). Các chương trình này cố tình thay đổi trang web mặc định (home page), các trang tìm kiếm mặc định (search page) trên máy của bạn hay liên tục tự động hiện lên (popup) các trang web quảng cáo (thường là các trang web không lành mạnh) khi bạn đang duyệt web. Chúng xâm nhập vào máy của bạn khi bạn vô tình “ghé thăm” những trang web có nội dung không lành mạnh, các trang web bẻ khóa phần mềm…hoặc đi theo các phần mềm miễn phí không đáng tin cậy, các phần mềm bẻ khóa (crack, keygen). Hỏi tiếp: Tôi phải làm gì với những chương trình kiểu này? Trả lời: Đầu tiên hãy dùng Bkav phiên bản mới nhất để quét virus trước. Nếu hiện tượng không hết, bạn nên tìm và gỡ (remove) chúng đi (vào Control Panel chọn Add Remove Program ). Tuy nhiên không phải lúc nào bạn cũng có thể dễ dàng tìm thấy chúng trong "Add Remove Program", cũng như bạn sẽ gặp khó khăn trong việc nhận biết chương trình nào là chương trình phải gỡ đi. Trong trường hợp này, tốt nhất là bạn nên gọi điện đến cho chúng tôi qua số: 1900.58.58.50, chúng tôi sẽ tư vấn cho bạn cách xử lý sơ bộ cũng như lấy mẫu gửi cho chúng tôi. 4. Hỏi: Nếu tôi nghi ngờ một file bị nhiễm virus, tôi có thể gửi mẫu cho Bkav bằng cách nào? Trả lời: Bạn cần nén file đó lại (bằng Winzip hoặc Winrar), đặt password là "a" sau đó gửi theo email (Attach) tới địa chỉ Bkav@Bkav.com.vn. Lý do bạn cần đặt password cho file gửi kèm là bởi vì một số Mail Server thường tự động chặn các file gửi kèm (attach) là các file thực thi. 5. Hỏi: Có phải những bản Bkav mới nhất thì có diệt được những virus ở những bản trước hay không? Còn nếu tôi muốn tải Bkav của bản cũ thì tải bằng cách nào? Trả lời: Phiên bản Bkav mới bao giờ cũng bao gồm toàn bộ định nghĩa virus có trong các phiên bản trước đó. Vì vậy, bạn chỉ cần một phiên bản mới nhất là đủ và bạn cũng không cần mất công đi tìm kiếm các phiên bản trước đó 6. Hỏi: Chế độ bảo vệ mật khẩu và tự cảnh báo của Bkav để làm gì, tôi có cần bật các chế độ này không? Trả lời: Chế độ bảo vệ mật khẩu của Bkav giúp bạn bảo vệ thông tin cá nhân của mình (không chỉ mật khẩu). Các virus, các chương trình gián điệp có thể lấy trộm các thông tin của bạn và gửi ra ngoài qua thư điện tử mà bạn không biết được. Nếu bạn bật chế độ này, các bức thư điện tử chỉ được gửi ra ngoài khi bạn đồng ý, qua đó bạn cũng có thể phát hiện ra máy của mình có đang bị nhiễm virus, chương trình gián điệp hay không. Bạn nên sử dụng chức năng này nếu máy tính của bạn nối mạng Internet. 7 Chế độ tự cảnh báo là một chức năng quan trọng của Bkav. Chức năng này sẽ kiểm soát các hoạt động trong máy để đảm bảo rằng virus không thể tự nhân bản, giúp việc quét virus được triệt để, ngăn chặn virus lây lan từ bộ nhớ ra, và việc vô tình chạy các ứng dụng có hại. Ví dụ như khi bạn copy một file bị nhiễm virus, hay mở một file bị nhiễm virus từ đĩa mềm hay từ trên mạng xuống thì chương trình sẽ lập tức báo ngay cho bạn và hỏi cách xử lý với virus đó hoặc tự động xử lý nếu bạn thiết lập từ trước, như thế sẽ ngăn chặn virus một cách tự động và kịp thời, không cho virus xâm nhập vào máy. Trong đa số các tình huống, bạn nên để chế độ tự cảnh báo ở trạng thái bật. Bkav cũng tự động bật chế độ tự cảnh báo mỗi khi bạn khởi động hệ điều hành Windows. 7. Hỏi: Máy tính của tôi nối mạng LAN, tôi đã quét virus rất nhiều lần nhưng virus vẫn không hết ? Trả lời: Một số virus có thể lây qua mạng vì vậy để diệt virus triệt để bạn cần ngắt tất cả các máy tính bị nhiễm virus ra khỏi mạng ( đơn giản nhất là rút dây mạng ra) rồi quét virus cho từng máy đó. Sau khi quét xong virus mới cho chúng nối mạng trở lại. 8. Hỏi: Tôi có một đĩa CD, khi quét virus thì Bkav báo là có virus nhưng không thể diệt được ? Trả lời: Vì đĩa CD không cho phép ghi vào được nên Bkav không diệt được những virus nằm trong các chương trình chứa trên đĩa CD. Tốt nhất bạn hãy copy dữ liệu từ đĩa CD ra ổ cứng, dùng Bkav quét virus cho các dữ liệu vừa copy ra và sử dụng chúng thay cho đĩa CD. 9. Hỏi: Tôi tải chương trình Bkav từ mạng về nhưng khi chạy chương trình thì thấy báo lỗi: “This program play an illegal operation and will be shutdown…”? Trả lời: Nguyên nhân là do khi bạn tải chương trình Bkav trên mạng về, tốc độ của mạng quá chậm dẫn đến quá trình tải file về bị lỗi làm hỏng chương trình. Vì vậy bạn chỉ cần tải Bkav lại là được. 10. Hỏi: Trong phần setup của BIOS tôi thấy có mục về Virus checking , nó để làm gì, tôi có cần bật lên không? Trả lời: Một số bản mạch của máy tính có chương trình cho phép kiểm tra việc truy xuất Master Boot của ổ đĩa cứng ( là nơi mà các virus boot lây nhiễm ), nếu có thao tác ghi hoặc sửa Master Boot truy xuất chương trình này sẽ hiện lên thông báo và ngăn chặn các thao tác đó. Tuy nhiên hiện nay các virus boot hầu như không còn tồn tại nữa và một số chương trình hoặc phần mềm hệ thống cũng cần thao tác lên Master boot của ổ đĩa cứng vì vậy bạn không nên bật chức năng này của BIOS. Bạn cũng không thể cài hệ điều hành mới nếu bật chức năng này. 8 11. Hỏi: Máy tính của tôi khi kết nối mạng Internet thì tự động hiện ra bảng thông báo sẽ shutdown máy tính trong vòng 60 giây, như vậy máy tính của tôi có bị nhiễm virus không? Trả lời: Chắc bạn đang cài hệ điều hành Windows 2000 hoặc Windows XP và chưa cài các bản sửa lỗi cho Windows (cụ thể là bản sửa lỗi KB823980 và bản sửa lỗi KB835732). Bạn hãy sang một máy tính khác có thể vào mạng bình thường, tải 2 bản sửa lỗi nói trên về, sau đó copy sang máy của mình và chạy lên để cập nhật bản sửa lỗi cho Windows. Nếu sau khi cài xong các bản sửa lỗi, khởi động lại máy tính và dùng phần mềm diệt virus Bkav mới nhất quét virus xong mà vẫn gặp hiện tượng này thì bạn có thể gọi điện cho chúng tôi qua số 1900.58.58.50, chúng tôi sẽ tư vấn trực tiếp cho bạn . Các chiến lược an ninh thông tin Bạn đã có thể thấy Internet mất an toàn thế nào, vì vậy cần tuyệt đối tuân theo các quy tắc sau khi xây dựng hệ thống, nhất là những hệ thống mạng lớn, quan. thạo trong việc thiết lập một hệ thống quản lý an ninh thông tin, thì tốt nhất là bạn hãy nhờ tới sự giúp đỡ của các đơn vị tư vấn chuyên nghiệp và các chuyên gia trong lĩnh vực này. Chỉ một sơ. hợp pháp). Các chương trình này cố tình thay đổi trang web mặc định (home page), các trang tìm kiếm mặc định (search page) trên máy của bạn hay liên tục tự động hiện lên (popup) các trang web