AN TOÀN THÔNG TIN -...

Cán bộ thực hiện:

- Ngô Hoàng Quyền Vũ: [email protected]

- Lý Quang Tùng: [email protected]

NÂNG CAO NHẬN THỨC VỀ

AN TOÀN THÔNG TIN

NGÂN HÀNG NHÀ NƯỚC VIỆT NAM

TRƯỜNG BỒI DƯỠNG CÁN BỘ NGÂN HÀNG

truongnganhang.edu.vn

mailto:[email protected]

































CHUYÊN ĐỀ: ĐÀO TẠO NHẬN THỨC ATTT

KHUNG ĐÀO TẠO

2

Nội dung Thời gian (Phút)

Lý thuyết Thực tế

Buổi sáng (Từ 8h30-11h30)

Phần 1: Mục tiêu 15’

Phần 2: Một số văn bản pháp quy phạm, quy định về ATTT 15’

Phần 3: Tổng quan về ATTT 30’

Phần 4: Các hình thức tấn công mạng phổ biến 30’ 30’

Giải lao 15’

Phần 5: An toàn trong sử dụng, quản lý tài khoản truy cập các hệ thống CNTT 30’ 15’

Buổi chiều (Từ 13h30-16h30)

Phần 6: An toàn thông tin khi sử dụng máy tính và truy cập Internet 60’ 30’

Giải lao 15’

Phần 7: Quản lý và sử dụng hộp thư điện tử NHNN 30’ 30’

Phần 8: Trách nhiệm trong công tác đảm bảo ATTT 15’




Mỗi cán bộ NHNN đều có thể “tự bảo vệ chính mình” trước các mối đe dọa, hiểu và sử dụng các hệ thống CNTT của NHNN một cách an toàn và hiệu quả

Nhận thức được vai trò và trách nhiệm của mỗi cán bộ, mỗi đơn vị trong công tác đảm bảo ATTT của NHNN

Phổ biến và quán triệt đến toàn thể cán bộ NHNN nắm rõ và tuân thủ đầy đủ các VBQP, quy định về việc đảm bảo ATTT


Phần 1: Mục tiêu

Nhận thức

ATTT

3





Phần 2: Một số văn bản quy phạm, quy định về ATTT 1 NHNN

4

Tên văn bản Số hiệu văn bản

Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin 31/2015/TT-NHNN,

trong hoạt động ngân hàng 28/12/2015

Quy chế về điều phối các hoạt động ứng cứu sự cố an ninh công nghệ 1126/QĐ-NHNN, 27/5/2016

thông tin ngành ngân hàng

Quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết 47/2014/TT-NHNN,

bị phục vụ thanh toán thẻ ngân hàng 31/12/2014

Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng 35/2016/TT-NHNN,

trên Internet 29/12/2016

Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán 630/QĐ-NHNN, 31/3/2017

trực tuyến và thanh toán thẻ ngân hàng






5


Danh mục bí mật nhà nước độ Tuyệt mật và Tối mật trong 15/2003/QĐ-TTg, 20/1/2003

ngành Ngân hàng: Quyết định

Danh mục bí mật nhà nước độ mật trong ngành Ngân hàng 151.2003/QĐ-BCA (A11),

11/3/2003

Sửa đổi, bổ sung một số điều của Quy chế bảo vệ bí mật Nhà 316/2004/QĐ-NHNN, 31/3/2004

nước trong ngành Ngân hàng

Sửa đổi, bổ sung Quyết định 45/2007/QĐ-NHNN ngày 10/2008/TT-NHNN, 08/5/2009

17/12/2007 của Thống đốc Ngân hàng Nhà nước về độ mật của

từng tài liệu, vật mang bí mật nhà nước trong ngành Ngân hàng






6


Quy chế Quản lý, sử dụng hệ thống thư điện tử Ngân hàng Nhà nước 1274/QĐ-NHNN, 15/06/2016

Việt Nam

Quy chế Quản lý, sử dụng tài khoản định danh và máy trạm kết nối 1274/QĐ-NHNN, 15/06/2016

domain NHNN Việt Nam

Quy chế sử dụng Internet trong Ngân hàng Nhà nước Việt Nam 2190/QĐ-NHNN, 30/10/2014

Quy định Quản lý và sử dụng mật khẩu trong các hệ thống công 253/QĐ-CNTH, 12/3/2013

nghệ thông tin

Quy định về quy trình quản lý kiểm toán hoạt động quản lý, sử dụng 4918/QyĐ-NHNN, 7/8/2012

hệ thống công nghệ thông tin tại các đơn vị Ngân hàng Nhà nước





Phần 2: Một số văn bản quy phạm, quy định về ATTT 4 Khác

7


Luật an toàn thông tin mạng 86/2015/QH13, 19/11/2015

Luật bảo vệ bí mật nhà nước thay thế cho Pháp lệnh bảo vệ Dự Thảo - /2017/QH14

bí mật nhà nước số 30/2000/PL-UBTVQH10 ngày 28 tháng

12 năm 2000

Quy định chi tiết thi hành Pháp lệnh Bảo vệ bí mật Nhà Nghị định 33/2002/NĐ-CP,

nước 28/3/2002

Quy định chi tiết và hướng dẫn một số điều của Nghị định Thông tư 03/2017/TT-BTTTT,

số 85/2016/NĐ-CP ngày 1/7/2016 của chính phủ về bảo 24/4/2017

đảm an toàn hệ thống thông tin theo cấp độ

Quy định về hệ thống phương án ứng cứu khẩn cấp bảo 05/2017/QĐ-TTg, 16/3/2017

đảm an toàn thông tin mạng quốc gia

Quy định về điều phối, ứng cứu sự cố an toàn thông tin 20/2017/TT-BTTTT, 12/9/2017

mạng trên toàn quốc





Phần 2: Một số văn bản quy phạm, quy định về ATTT . Khác

8


Quy định chuẩn kỹ năng sử dụng công nghệ thông tin 03/2014/TT-BTTTT

Quy định chuẩn kỹ năng nhân lực công nghệ thông tin 11/2015/TT-BTTTT, 5/5/2015

chuyên nghiệp

Quy định chuẩn kỹ năng sử dụng công nghệ thông tin 03/2014/TT-BTTT, 11/3/2014

Quy định điều kiện kinh doanh thiết bị, phần mềm ngụy 66/2017/NĐ-CP, 19/5/2017

trang dùng để ghi âm, ghi hình, định vị

Ngăn chặn xung đột thông tin trên mạng 142/2016/NĐ-CP, 14/10/2016

Quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên 72/2013/NĐ-CP, 15/7/2013

mạng

Quy định xử phạt vi phạm hành chính trong lĩnh vực bưu 174/2013/NĐ-CP, 13/11/2013

chính, viễn thông, công nghệ thông tin và tần số vô tuyến

điện





(Mô hình C.I.A)

ATTT là việc thông tin được xử lý đảm bảo 3 yếu tố hoặc mục tiêu sau:

chuẩn của các hệ thống thông tin bảo mật gọi tắt là Mô hình CIA hay thường được

gọi là tam giác bảo mật C.I.A.

1. Tính bí mật của thông tin (Confidentiality)

2. Tính toàn vẹn của thông tin (Integrity).

3. Tính khả dụng của thông tin (Availability).

Ba yếu tố này tác động qua lại, ràng buộc lẫn nhau và xem như là mô hình tiêu

Phần 2: Tổng quan về ATTT 1

9





Tính bí mật của thông tin:

là thông tin chỉ được phép truy cập bởi những đối tượng (con người, chương trình

máy tính,…) được cấp phép.

Tính bí mật có thể đạt được:

Bằng các cơ chế đảm bảo an toàn về mặt vật lý: tường bao, kiểm soát cửa ra vào, bảo

vệ/niêm phong vật mang thông tin,…

Bằng giải pháp kỹ thuật, công nghệ: kỹ thuật quản lý truy cập/xác thực; Mã hóa dữ

liệu trên truyền thông, lưu trữ;

…


10





Tính toàn vẹn của thông tin:

Là thông tin chỉ được thay đổi (xóa, sửa) bởi những đối tượng được phép và phải

đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền thông.

Tính toàn vẹn có thể đạt được:

Sử dụng các giải pháp kiểm tra/đảm bảo sự toàn vẹn của dữ liệu/thông tin như Hash,

Chữ ký số, niêm phong, khóa bí mật, …


11





Tính khả dụng của thông tin:

là đảm bảo các đối tượng được phép luôn truy cập được thông tin khi cần. Tính

khả dụng là một yêu cầu rất quan trọng và là nền tảng của một hệ thống bảo mật,

bởi vì khi hệ thống không sẵn sàng thì việc đảm bảo 2 tính bí mật và toàn vẹn sẽ trở

nên vô nghĩa.

Tính khả dụng có thể đạt được:

Bằng giải pháp kỹ thuật như load Balancing, Clustering, Redudancy, Failover, …;

xây dựng hệ thống dự phòng/trung tâm dự phòng thảm họa;

Bằng chính sách quy định, quy trình quản lý hoạt động CNTT như các kế hoạch và

diễn tập ứng phó sự cố cho từng hệ thống CNTT, tài liệu quản trị vận hành/quản

trị/sử dụng, an toàn và dự phòng trong tuyển dụng và sử dụng nguồn nhân lực, …

…

Phần 3: Tổng quan về ATTT .

12





0

1. Tấn công giả danh (Spoofing Attack)

2. Tấn công xen giữa (Man-in-the-middle Attack)

3. Tấn công thông tin xác thực (Credentials Attack)

4. Tấn công khai thác lỗ hổng bảo mật (Vulnerability Exploitation)

5. Tấn công bằng phần mềm độc hại (Malware)

6. Tấn công bằng các kỹ thuật đánh lừa (Social Enginerring)

7. Tấn công từ chối dịch vụ - DOS (Denial of Service)

Phần 4: Các hình thức tấn công mạng phổ biến

13





1. Tấn công giả mạo (Spoofing Attack)

Là hình thức tấn công bằng cách giả danh một đối tượng (người, địa chỉ IP máy tính,

phần mềm, địa chỉ hòm thư điện tử, website,.... ) với mục đích chủ yếu là đánh cắp

thông tin. Phương thức tấn công này thường tác động vào tính bí mật của hệ thống

thông tin.

Phòng và tránh tấn công:

Về mặt kỹ thuật: sử dụng chứng thực SSL được trust online cho các ứng dụng web;

ký số đối với gói cài đặt; chống giải mạo DHCP, ARP; hệ thống phòng chống thư

điện tử giả mạo và thư rác;…

Tăng cường nhận thức ATTT cho người dùng: giúp người dùng có thể tự nhận ra

và tự bảo vệ chính mình trước các rủi ro, có thể nói đây là cách phòng tránh hữu hiệu

nhất!

1 Phần 4: Các hình thức tấn công mạng phổ biến

14





2. Tấn công xen giữa (Man-in-the-middle Attack)

Đây là hình thức tấn công bằng cách xen vào giữa một kết nối truyền thông, với

mục đích chủ yếu là thao tác, truy cập bất hợp pháp thông tin. Phương thức tấn

công này thường tác động vào tính bí mật, toàn vẹn của hệ thống thông tin.

Có hai hình thức tấn công xen giữa:

Tấn công xen giữa mà không thay đổi thông tin.

Tấn công xen giữa có thay đổi thông tin.

Phòng và tránh tấn công: với phương châm “lấy cũng chẳng làm gì được”.

Sử dụng các biện pháp mã hóa thông tin trên đường truyền và lưu trữ

Sử dụng các biện pháp kiểm tra, đảm bảo tính toàn vẹn của thông tin

Xác thực các giao dịch/thông tin quan trọng.

…


15





16


Là hình thức truy xuất trái phép vào hệ thống bằng cách dò thông tin xác thực (tên

đăng nhập, mật khẩu, …), thường là mật khẩu. Phương thức tấn công này thường

tác động vào tính bí mật của hệ thống thông tin.

Có 2 kỹ thuật dò mật khẩu phổ biến:

Bruteforce Attack = phương pháp “mò”: dò thông tin xác thực bằng cách thử tất cả

các trường hợp có thể đúng từ tổ hợp các ký tự. Tỷ lệ thành công thấp và cần thời gian

dài

Dictionary Attack = phương pháp “đoán”: thực hiện dò thông tin xác thực thông

qua một tập các mật khẩu được tạo sẵn (Dictionary) dựa trên tập các dữ kiện đầu vào

như các thông tin cá nhân của người quản trị; các ký tự mà kẻ tấn công nhìn thấy khi

nạn nhân đăng nhập (rình mò qua vai); các mật khẩu phổ biến; ... Tỷ lệ thành công cao

và trong thời gian ngắn.

3.1 Phần 4: Các hình thức tấn công mạng phổ biến






Ví dụ đối với BruteForce Attack: với một mật khẩu được tạo từ bộ kí tự a-zA-Z0-9 (65

kí tự = n) có độ dài 13 kí tự (m) thì phải mò 369720589101871337890625 lần (chỉnh

hợp lặp chập m của n phần tử) và cần 148,582,413 năm trên máy tính có tốc độ xử lý

80,000,000 trên 1 giây


Sử dụng xác thực hai thành tố như mật khẩu một lần (OTP) qua SMS hoặc Token,

thẻ bảo mật, Email...

Sử dụng các biện pháp chống dò mật khẩu như khóa tài khoản một thời gian sau

khi đăng nhập không thành công quá số lần quy định; nhận dạng người hay máy

bằng captcha, trả lời câu hỏi ngẫu nhiên,…

Yêu cầu bảo mật đối với tài khoản: tên đăng nhập khó đoán và mật khẩu phải đủ

mạnh (độ dài từ 8 kí tự trở lên và có chữ hoa, chữ thường, số và kí tự đặc biệt,...)


17





4. Tấn công khai thác lỗ hổng bảo mật (Vulnerability Exploitation)

Kẻ tấn công thực hiện tấn công bằng cách dò tìm các lỗ hổng trên các ứng dụng

(ứng dụng trên nền web, ứng dụng trên nền desktop), hệ thống (Hệ điều hành

Windows, Linux, Unix ...) và lỗi phần cứng,… Bằng cách khai thác các lỗ hổng này

kẻ tấn công có thể xâm nhập, điều khiển hệ thống.


Thường xuyên giám sát, đánh giá dò quét an toàn bảo mật và cập nhật hệ thống

CNTT.

Kiểm soát và sử dụng các phần mềm sạch, tin cậy.


18






Ngoài các hình thức tấn công trên các hệ thống CNTT còn phải đối mặt với một

nguy cơ xâm nhập, phá hoại, lộ lọt thông tin rất lớn từ vi rút, sâu, troijan … gọi

chung là các mã độc hay phần mềm độc hại (Malware). Các malware thường có

khả năng tự thay đổi, Mã hóa / Giải mã, Siêu đa hình (mã hóa mã theo nhiều cách

khác nhau với mỗi lần lây nhiễm và thay đổi hình thái khác nhau) ...

- Virus: cấy/chèn (inject) chính nó vào một tập tin thực thi (bằng nhiều cách khác

nhau để được kích hoạt ví dụ Boot record, File script, Macro trong Microsft

Office,... Thường lây lan sang các tập tin khác trên máy tính bị nhiễm khi có đối

tượng (người, phần mềm, …) kích hoạt nó

- Worm: tự lây lan qua mạng (internet, lan, wan, wifi) chủ yếu thông qua việc

khai thác lỗ hổng bảo mật của hệ thống. Có khả năng tự nhân bản trên chính

nó mà không cần cấy/chèn vào một tập tin lưu trữ


19






Trojan: không lẫy nhiễm vào các tập tin như virus, thay vào đó được cài đặt vào hệ

thống bằng cách giả làm một phần mềm hợp lệ và vô hại sau đó cho phép kẻ tấn

công điều khiển máy tính từ xa: thao tác về hệ thống tập tin, quản lý tiến trình,

chạy các lệnh từ xa, ghi lại thao tác bàn phím, …

Rootkit: chủ động "tàng hình“/“Khó bị phát hiện” (tắt chương trình diệt virus hoặc

tự cấy vào lõi của hệ điều hành, …) khỏi cặp mắt của người dùng, hệ điều hành và

các chương trình anti-malware. Rootkit có thể được cài đặt bằng nhiều cách bao

gồm việc khai thác lỗ hổng trong hệ điều hành hoặc lấy quyền quản trị máy tính.

Phòng và tránh tấn công: triển khai/cài đặt giải pháp anti-malware được cập nhật

kịp thời mẫu malware và phát hiện, phòng chống malware theo hành vi. Tối ưu hóa

hệ thống (Phần 6)

Phần 4: Các hình thức tấn công mạng phổ biến 5.2

20





6. Tấn công bằng các kỹ thuật đánh lừa (Social Enginerring)

Là phương pháp tấn công đơn giản nhưng lại vô cùng hiệu quả do nó tấn công trực

tiếp vào yếu tố con người bằng cách lừa đảo, tìm kiếm, thu thập các thông tin cần

thiết,... với nhiều thủ đoạn để chuẩn bị cho các mục đích tấn công nguy hiểm hơn.

Phương pháp này kể từ khi ra đời đến nay vẫn là phương pháp cực kỳ hiệu quả do

không có một dạng cố định.

Phòng và tránh tấn công: để phòng tránh loại tấn công này không có cách nào

khác là đào tạo, nâng cao nhận thức ATTT cho người dùng, giúp người dùng có thể

tự nhận biết và tự bảo vệ chính mình trước các mối đe dọa từ mọi nơi, mọi lúc với

phương châm “đa nghi như Tào Tháo”.


21





22

7. Tấn công từ chối dịch vụ - DoS (Denial of Service)

DoS nhắm vào tính khả dụng của hệ thống, nó khiến hệ thống không thể đáp ứng

được các yêu cầu hợp lệ thông qua việc chiếm dụng tài nguyên hệ thống.

Tất cả các hệ thống CNTT chỉ có khả năng đáp ứng một mức yêu cầu tới hạn nào đó.

Như vậy, hầu hết các máy chủ đều có thể trở thành mục tiêu tấn công của DoS

DoS theo mô hình phân tán - DDoS là hình thức tấn công DoS phổ biến và nguy

hiểm: để thực hiện DDoS, kẻ tấn công tìm cách chiếm dụng và điều khiển với số

lượng lớn các thiết bị có kết nối internet như máy tính, điện thoại thông minh, tivi

internet,... làm trung gian được gọi là zoombie (xác sống) hay bot (viết tắt của

Robot) từ khắp nơi trên thế giới, tạo ra một mạng ma thường gọi là botnet. Botnet

có thể bao gồm nhiều mạng Botnet nhỏ hơn, các mạng botnet này được điều khiển,


cập nhật bởi máy chủ điều khiển hay nhiều bot kết nối ngang hàng (C&C)





7. Tấn công từ chối dịch vụ - DoS (Denial of Service)

Đối với một hệ thống thông tin được bảo mật tốt, việc tấn công từ chối dịch vụ DoS

được tội phạm CNTT sử dụng như là “cú chót” để triệt hạ hệ thống đó.

Phòng và tránh tấn công: thường xuyên giám sát, đánh giá hiệu năng phần cứng, rò

quét lỗ hổng bảo mật của hệ thống CNTT từ đó có kế hoạch nâng cấp, bổ sung và cập

nhật phù hợp đáp ứng nhu cầu thực tế, trong tương lai và hạn chế các rủi ro khai thác,

lợi dụng của kẻ tấn công

Phần 4: Các hình thức tấn công mạng phổ biến .

23





Phần 5: An toàn trong sử dụng, quản lý tài khoản truy cập các hệ thống CNTT

Kiểm soát và hạn chế việc lưu/nhớ tài khoản truy cập;

Sử dụng chức năng đăng xuất do hệ thống cung cấp thay vì việc đóng cửa sổ hoặc

truy cập website/ứng dụng khác;

Rà soát và đề nghị thu hồi các tài khoản định danh không sử dụng.

Lưu trữ tài khoản đảm bảo tính bí mật: mã hóa, cất giữ có niêm phong, lưu trong

file có mật khẩu, …

Không sử dụng trái phép tài khoản hoặc phổ biến mật khẩu của người khác: Ngân

hàng Nhà nước đã triển khai giải pháp Single Sign-On (SSO) tích hợp với 1 số hệ

thống như Corebanking, Edoc, Email, Hệ điều hành,… do đó tài khoản định danh

Domain cũng chính là tài khoản truy cập vào các hệ thống này và tất cả các hệ

thống khác trong thời gian tới

24





Phần 5: An toàn trong sử dụng, quản lý tài khoản truy cập các hệ thống CNTT

Đặt mật khẩu dễ nhớ, khó đoán và thay đổi định kỳ:

+ Mật khẩu phải có độ dài từ 6 kí tự trở lên, kết hợp giữa chữ cái thường và hoa (a-

zA-Z), số (0-9) và các ký tự đặc biệt (~!@#$%^&*()_-+ …) ví dụ t2CtLhAn (tên 2

Con tôi là Hưng, An Nhiên).

+ Tránh dùng chung hoặc đặt cùng quy tắc mật khẩu với các tài khoản truy cập không

phải của NHNN khác như FaceBook, Gmail, Zalo, InternetBanking,…

+ Định kỳ 90 ngày thay đổi mật khẩu;

Quản lý tài khoản quản trị cục bộ của các máy trạm:

+ Do đơn vị quản lý;

+ Lập 02 bản: 01 bản do người quản trị lưu trữ, 01 bản niêm phong và ban giao cho

Lãnh đạo tại đơn vị

Tuân thủ các quy định khác theo Quy chế Quản lý, sử dụng tài khoản định danh và

máy trạm kết nối domain NHNN Việt Nam

25





1. Tối ưu cấu hình hệ điều hành

Sử dụng chức năng tường lửa của hệ điều hành: hầu hết các hệ điều hành

(Windows, Linux,…) đều tích hợp sẵn tường lửa (Firewall), là hệ thống kiểm soát

mọi kết nối “vào ra” máy tính, giúp chặn những kết nối “bất thường”, hạn chế các

khai thác các lỗ hổng bảo mật, …

Sử dụng chức năng cập nhật tự động hệ điều hành và các phần mềm: các hệ

điều hành và các phần mềm đều hỗ trợ chức năng cập nhật tự động từ hãng, các

bản cập nhật này sẽ thực hiện khắc phục các lỗi, tối ưu hệ thống và đặc biệt vá các

lỗ hổng bảo mật, hạn chế việc khai thác lỗ hổng bảo mật.

Phần 6: An toàn trong sử dụng máy tính và truy cập Internet 1

26





Kiểm soát tài khoản sử dụng:

Sử dụng tài khoản hạn chế và được kiểm soát khi thay đổi hệ thống (Cài đặt phần

mềm, thiết lập hệ thống, …) thay vì sử dụng tài khoản đầy đủ quyền.

Rà soát, loại bỏ hoặc vô hiệu hóa các tài khoản mặc định và không sử dụng

Thiết lập mật khẩu đủ mạnh và khả năng phòng chống dò đoán mật khẩu: độ dài từ 8

kí tự trở lên, bao gồm ki tự thường, hoa, chữ số và ký tự đặc biệt (~!@#$%^&*()_-+

…) và dễ nhớ, khó đoán.

Kiểm soát và phân quyền hợp lý việc chia sẻ tài nguyên trong mạng: Đối với

Windows, cần tắt các chia sẻ mặc định như các phân vùng (C$, D$, …), thư mục

Windows (ADMIN$), … Đối với các tài nguyên cần chia sẻ thì cần phần quyền

với phương châm “quyền tối thiểu”


27





Tắt chức năng AutoPlay và AutoRun: khi hệ thống phát hiện ra một thiết bị mới

được cắm vào (USB/HDD, CD/DVD, Mobile, thẻ nhớ ...): chức năng AutoPlay

giúp hệ thống tự động kích hoạt chương trình mặc định để chạy và hiển thị nội

dung (ảnh, video, audio, các phần mềm và trò chơi,...) có trong thiết bị này. Chức

năng AutoRun sẽ tự động chạy tệp có tên Autorun.inf tại thư mục gốc của thiết

bị. Các Malware thường lợi dụng vào 2 chức năng này để lây nhiễm vào hệ thống.

Kiểm soát các chương trình, dịch vụ và tác vụ nguy hại chạy cùng hệ điều

hành: cần ra soát, loại bỏ hoặc vô hiệu hóa các chương trình, dịch vụ và tác vụ

nguy hại khi hệ điều hành khởi động và trong quá trình hoạt động

Ghi các nhật ký hoạt động quan trọng của hệ thống: lựa chọn và ghi nhật ký các

hoạt động quan trọng trên hệ thống (các hệ điều hành đều đều có sẵn chức năng ghi

nhật ký), phục vụ cho truy vết tìm bằng chứng/nguyên nhân gây ra sự cố, rủi ro.


28






4.Sao lưu dữ liệu quan trọng: các dữ liệu nhạy cảm, quan trọng cần phải được lên kế

hoạch sao lưu định kỳ ra các vùng lưu trữ an toàn như trên máy tính khác, thiết bị lưu

trữ ngoài (như ổ cứng và USB) có chức năng xác thực khi truy cập hoặc mã hóa, ...

tránh sao lưu trên internet như DropBox, MediaFire, GoogleDrive, ...

5.Mã hóa dữ liệu nhạy cảm, quan trọng trong quá trình lưu trữ và truyền

thông: các dữ liệu nhạy cảm nên được nén có mã hóa bằng mật khẩu vừa phòng

tránh mã độc lây nhiễm, lại vừa đảm bảo tính bí mật và tính toàn vẹn.

6.Đừng Next...Next khi cài đặt các phần mềm: thay vì Next...Next, chúng ta nên

chọn cài đặt tùy chọn (Custom ...) bởi vì nhiều phần mềm đính kèm các tùy chọn là

các phần mềm khác hoặc các chức năng/cấu hình không cần thiết, an toàn cho bạn.

29






7. Thiết lập an toàn trình duyệt web và truy cập Internet an toàn

Thiết lập an toàn trình duyệt web

Bật tính năng bảo mật đối với tài khoản lưu trên trình duyệt: đặt mật khẩu

master bảo vệ; không lưu thông tin các tài khoản quan trọng; ...

Kiểm soát các cửa sổ pop-up bằng tính năng Block pop-up Windows.

Kiểm soát việc cài đặt và chạy các tiện ích (Add-on) trên trình duyệt : Addon là các

mẩu phần mềm nhỏ thêm các tính năng hoặc chức năng mới cho trình duyệt của

bạn.

Sử dụng chế độ duyệt ẩn danh và xóa lịch sử truy cập web trên các máy tính dùng

chung: chế độ ẩn danh giúp lịch sử duyệt web của người dùng không bị lưu lại .

Thay đổi trang mặc định (home-page), bộ máy tìm kiếm và các thiết lập mặc định

của trình duyệt.

30






Nguyên tắc truy cập internet an toàn:

Hạn chế tối đa việc sử dụng máy tính công cộng hoặc các điểm truy cập

Internet công cộng (mạng không dây hoặc có dây) cho các mục đích, truyền

thông các thông tin quan trọng, nhạy cảm và truy cập các hệ thống của NHNN

(thư điện tử, các ứng dụng nghiệp vụ ...). Trường hợp bắt buộc phải sử dụng thì

thông tin, dữ liệu quan trọng, nhạy cảm cần được mã hóa (như đặt mật khẩu mở

file, ...) hoặc chỉ cung cấp các thông tin này trên các website sử dụng HTTPS với

chứng thực SSL trực tuyến, duyệt chế độ ẩn danh hoặc xóa hết lịch sử truy cập.

Hãy là “vô danh” trên Internet: không chia sẻ, lưu trữ hoặc có biện pháp che

(markup) các thông tin quan trọng, nhạy cảm lên Internet, đây có thể là thông tin cơ

sở để kẻ xấu lợi dụng khai thác, tấn công. Nếu có thì phải kiểm soát chặt chẽ.

Biết mình đang làm gì, làm ở đâu và làm với cái gì trên mạng: đừng nhấp chọn

những liên kết đến những website không biết, những hình ảnh (kiểu mời gọi những

trang tự nhiên sổ ra “bất thình lình”, ... Và mọi thứ nếu không biết đằng sau chúng

là gì, tốt nhất nên đóng an toàn luôn.

31






Hãy cảnh giác trước các tấn công kiểu giả danh (Spoofing Attack) và đánh lừa

(Social Engineering): có thể cái bạn đã nhìn không phải thật như cái bạn đang

nghĩ ... Hãy đa nghi 1 chút sẽ được an toàn!

Đề phòng những kẻ “rình mò qua vai”: bằng việc “rình mò qua vai” tên đăng

nhập, các kí tự trong mật khẩu, thông tin khác đang thao tác, đây là cách đơn giản

mà hiệu quả để kẻ xấu dò và lấy trộm tài khoản và các thông tin quan trọng, nhạy

cảm của bạn.

Tải và sử dụng các tệp tin (phần mềm, tài liệu, tiện ích mở rộng, ...) từ các

nguồn đáng tin cậy và có bản quyền: muốn tải phần mềm nào đó từ internet thì

bạn tuân thủ theo thứ tự ưu tiên sau từ nguồn mà Hãng/nhà sản xuất cung cấp, sau

đó mới đến các nguồn đáng tin cậy khác. Ưu tiên sử dụng phần mềm có bản quyền,

các phần mềm free/mã nguồn mở, tránh việc sử dụng các công cụ Crack

Tuân thủ các quy định khác theo Quy chế sử dụng Internet trong Ngân hàng

Nhà nước Việt Nam 32





Các mối đe dọa phổ biến:

Thư rác (Spam/Junk Mail)

Thư điện tử giả mạo

Phát tán malware thông qua đính kèm hoặc dẫn dụ tải từ các liên kết độc hại.

Phòng tránh các mối đe dọa:

Cảnh giác với những thư điện tử (gọi tắt là “thư”) có tiêu đề, nội dung, nguồn gốc

bất thường hoặc thậm chí cả khi thư này được gửi từ người thân của bạn, đối với

những thư này cần tiến hành kiểm tra và xử lý theo “Hướng dẫn phát hiện thư điện

tử giả mạo” của NHNN hoặc tìm cách xác nhận lại từ phía người gửi.

Phần 7: Quản lý và sử dụng hộp thư điện tử NHNN 1

33





Đối với các email được đánh giá là nguy hại thì thực hiện:

o Đánh dấu là thư spam hoặc đưa địa chỉ người gửi vào blacklist

o Không mở, nhấp chọn vào bất kỳ nội dung nào trong thư hoặc cách tốt nhất trong

trường hợp này là xóa, đừng chuyển tiếp cho bất kỳ ai hoặc trả lời lại

o Không mở hoặc lưu về máy bất kỳ tập tin đính kèm theo thư.

Sử dụng một chương trình diệt vi rút tin cậy và được cập nhật thường xuyên và có

hỗ trợ tính năng bảo vệ trên thư điên tử.

Hạn chế tối đa việc truy cập hòm thư điện tử bằng các máy tính không đảm bảo an

toàn (máy tính công cộng, máy tính của người khác, ...) hoặc qua các điểm truy cập

internet công cộng (wifi nhà hàng, wifi không rõ nguồn gốc,...). Xóa mọi dữ liệu

lịch sử truy cập trên các máy tính này.


34





Không sử dụng hòm thư điện tử quan trọng đặc biệt là hòm thư điện tử NHNN cho

mục đích cá nhân như đăng ký các dịch vụ thương mại, mạng xã hội, …

Không đặt chế độ chuyển tiếp tự động từ hòm thư điện tử NHNN cấp tới hòm thư

bên ngoài.

Sử dụng các phần mềm duyệt thư điện tử tin cậy để truy cập vào hộp thư điện tử

NHNN, đặc biệt trên các thiết bị di động. Đồng thời tối ưu hóa thiết lập hộp thư

điện tử: không tự động tải các ảnh, sử dụng chữ ký điện tử (nếu có), ...

Cảnh giác và thực hiện dò quét malware đối với các tệp đính kèm, đặc biệt là các

tệp tin thực thi (có phần mở rộng là .exe, .bat, .cmd, .com, .msi, ...) và tệp tin có

mật khẩu.

Sử dụng và quản lý mật khẩu theo quy định mật khẩu của NHNN. Đặc biệt trên

trình duyệt hay phần mềm duyệt thư điện tử trên máy tính công cộng


35





Phần 8: Trách nhiệm trong công tác đảm bảo ATTT

Mỗi cá nhân, đơn vị cần luôn chủ động theo dõi các thông tin về ATTT từ Bản tin

ATTT hàng tuần của Cục CNTT, whitehat.vn, ictnews.vn, antoanthongtin.vn, … và

nhận thức được vai trò, trách nhiệm trong tự bảo vệ chính mình trước “các mối đe

dọa” và tích cực tham gia công tác đảm bảo ATTT hệ thống CNTT của NHNN

Thông liên hệ khi phát hiện mối đe dọa, sự cố và rủi ro gây mất ATTT:

• Đầu mối tiếp nhận, giải quyết các sự cố CNTT:

Bộ phận HelpDesk – Cục Công nghệ thông tin

Điện thoại: 024.775.6789 số máy lẻ 8888 hoặc 024.32.59.59.86

Email: [email protected]

• Đầu mối thông báo, tiếp nhận và xử lý sự cố ANTT:

Phòng An ninh thông tin – Cục Công nghệ thông tin

Điện thoại: 024.32.59.59.83

Email: [email protected] 36






















CHUYÊN ĐỀ: ĐÀO TẠO NHẬN THỨC ATTT NGÂN HÀNG NHÀ NƯỚC VIỆT NAM



AN TOÀN THÔNG TIN -...

Documents

Transcript of AN TOÀN THÔNG TIN -...