Trao đổi kinh nghiệm công tác quản trị hệ thống

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận việc định hướng

Trao đổi kinh nghiệm công tác quản trị hệ thống

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	13/12/2010 16:56:19 (+0700) \| #1 \| 226982

pwd
Member

Joined: 16/01/2007 17:15:44
Messages: 7
Offline

Tôi hiện đang làm trong 1 công ty về lĩnh vực thanh toán, banking. Từ khi đi vào hoạt động đến giờ thì công ty chủ trương là đẩy mạnh việc phát triển các sản phẩm để đáp ứng nhu cầu kinh doanh. Đến thời điểm hiện tại sau một thời gian phát triển, xây dựng hệ thống, vận hành (cỡ 3 năm) tôi luôn có 1 băn khoăn là liệu hệ thống do mình quản trị có an toàn hay ko, có khả năng bị xâm nhập hay ko, nhất là sắp tới sẽ có thêm dịch vụ thanh toán trên internet được bung ra.

Vậy thì, làm thế nào để xác định được về độ an toàn của hệ thống? Kiện toàn hệ thống như thế nào? Làm sao có thể đào tạo cán bộ nâng cao trình độ về security? là những câu hỏi mà tôi chưa giải đáp được thỏa đáng.

Tôi tự đưa ra các câu trả lời cho thắc mắc của mình:
Hiện nay các hệ thống máy chủ vẫn họat động ổn định, do vậy tạm kết luận là tình trạng hệ thống có thể vẫn an toàn.

Để kiện toàn được toàn hệ thống thì trước hết mình sẽ thực hiện các giải pháp, điều chỉnh tăng cường bảo mật cho từng thành phần: server, firewall, IPS thậm chí là cả máy trạm... đưa ra các phương án redundant và backup dữ liệu cẩn thận.

Vấn đề đào tạo: hiện nay với một mớ kiến thức về unix, linux, windows, và CCNA,...làm sao để có thể bổ sung các kiến thức về bảo mật, tôi đang có dự định cho anh em đi học về CEH nhưng có băn khoăn là liệu các kiến thức đấy có phải là "fast food" hay không, và có giải quyết được căn bản vấn đề ko.

Ngoài ra còn một vấn đề nữa trong công tác quản lý: hiện nay ở VN (có thể) có một thực trạng rằng trong 1 công ty việc cấp kinh phí cho đầu tư liên quan đến việc bảo mật rất khó khăn so với các dự án có thể nhìn thấy là sẽ có thu được hiệu quả về kinh tế, vậy kinh nhiệm trong việc thuyết phục ban lãnh đạo trong việc phân bổ đầu tư cho security như thế nào.

Anh em cùng tham gia trao đổi nhé.

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	13/12/2010 17:39:27 (+0700) \| #2 \| 226984

Bướm Đêm
Member

Joined: 25/03/2008 18:30:01
Messages: 223
Location: Phố Hoa
Offline

M$ có 1611 làm 1 bài rùi nè bạn smilie

/hvaonline/posts/list/33345.html

GZ tqf zìeq ˘ऐ xखc sड़e cav xন qrqr

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	14/12/2010 10:50:00 (+0700) \| #3 \| 227013

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Theo như bồ trình bày thì tôi nghĩ rằng việc bảo mật hệ thống vốn không được công ty bồ chú trọng từ đầu, nên hiện nay "rất có thể" hệ thống đã tồn tại nhiều lỗ hổng từ chính các thành phần base nhất. Việc cần làm ngay là phải ra soát lại toàn bộ hệ thống một cách tổng thể bằng nhiều hướng kiểm tra như Blackbox tesing , Pattern testing , Open Test . Tuy nhiên việc này dù làm kĩ đi chăng nữa thì vẫn sẽ có nhiều lỗ hổng không thể phát hiện ra ngay bây giờ vì công ty bồ đã bỏ qua một giai đoạn quan trọng là "bảo mật từ trong trứng" ( điều tôi thật sự đáng tiếc nếu công ty bồ là một công ty về thanh toán, banking hay thanh toán điện tử ). Ổn định chưa chắc đã an toàn vì nó ổn định ở khía cạnh nào ? Run smooth ? hay Chưa từng bị tấn công ( hay chưa ai tấn công ? )

Hiện nay các hãng như VISA , MASTERCARD họ có các bản requirements để Verify các partner , bồ có thể tìm và tham khảo . Bên cạnh đó có một số chuẩn an toàn thông tin như ISO 27001 cũng cần được tham khảo

Về phần nhân sự, theo kinh nghiệm của tôi thì việc duy trì tình trạng an toàn cho hệ thống cần người có kinh nghiệm thực tế, vì việc thực hiện bảo mật dựa trên kinh nghiệm thực tế rất nhiều, dù không thể phủ định kiến thức academic cũng chiếm một phần quan trọng (làm nền tảng).

Về việc thuyết phục các lãnh đạo doanh nghiệp về vấn đề xảy ra nếu không chú trọng cho bảo mật thông tin, theo tôi ở trường hợp cty bồ là rất dễ vì chuyện bảo mật thông tin ở một cty về tài chính là chuyện đương nhiên chắc chắn phải đầu tư. Bồ chỉ việc thực hiện một báo cáo chi tiết với các Case Study cụ thể về các cty trước đây bị tấn công làm thất thoát thông tin kèm theo các thiệt hại tài chính mà họ gặp phải ( cứ ghi rõ số tiền họ mất ra là có người ớn lạnh ngay smilie

), nếu có kiến thức về kinh tế nữa thì bồ báo cáo thêm về tình huống giả định bị tấn công (cụ thể ở cty bồ) và chỉ rõ ra mức độ thiệt hại ( con số tiền nong rõ ràng ) , so sánh với mức độ giảm thiểu thiệt hại khi đầu tư cho bảo mật. Chú ý các con số KPI ( Key Performance Index ) phải rõ ràng

Thân mến,

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	14/12/2010 13:51:47 (+0700) \| #4 \| 227021

H3x4
Member

Joined: 02/04/2009 00:03:16
Messages: 242
Offline

Vấn đề này có vẻ to tát quá,bản thân em cũng không có kinh nghiệm nhiều mà cũng không dám lạm bàn nhiều quá, chỉ đưa ra 1 số suy nghĩ và nhận định của bản thân thôi. Có gì nhờ mọi người góp ý thêm smilie

Theo em nghĩ về cơ bản thì một hệ thống lớn đến mấy thì cũng có một số điểm nhạy cảm ( ở đây tạm thời loại trừ nhân tố con người, vì cái đó theo em thuộc về 1 phạm trù khác smilie

) những điểm đó giống như một đất nước thì có biên giới vậy smilie

, hệ thống thì sẽ có một số nút giao tiếp với những nguy cơ ( ta tạm thời cho rằng mọi thứ bên ngoài đều gọi là nguy cơ, giống như biên giới thì giao tiếp với nước khác thì cũng nguy cơ vậy).
Vì vậy để có thể phòng thủ hệ thống của mình tốt thì việc đầu tiên là phải rà soát lại những điểm này. Lấy thí dụ nó là 1 cái firewall đứng chắn giữa hệ thống của mình và Internet thì nó sẽ là điểm nhạy cảm nhất vì muốn đi sâu vào hệ thống bắt buộc phải đi qua nó. Ta sẽ phải rà soát lại cái server đó có thể bị tấn công và thoả hiệp hay không. Còn bằng cách nào nếu như anh chưa biết qua thì em sẽ theo kiến thức của em mà thảo luận thêm vào.

Sau khi đã tăng tình phòng thủ cho biên giới thì sẽ bắt tay vào giả định trong đất nước có điệp viên xâm nhập. Vậy làm gì để hạn chế tối đa tai hại cho việc này gây ra ? Việc này sẽ dẫn tới thiết lập những bộ luật thí dụ như chặn tưởng lửa không cho ra ngoài những port nào khác ngoài 80 và 443 chẳng hạn. Rồi không cho bên ngoài đi trực tiếp vào trong chẳng hạn....
Cuối cùng ta sẽ tính tới tác nhân là con người, làm thế nào để tránh các kịch bản đã xảy ra trước đây như ở China, google đã bị phá dựa vào kịch bản này. Theo xu thế hiện nay có thể thấy client side attack đang nóng dần lên và trở thành chiến trường mới trong an toàn thông tin. Chủ đề này cũng rất dài và có nhiều cái để bàn.

Về cơ bản thì nếu em là anh em sẽ giải quyết vấn đề như vậy.

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	14/12/2010 16:00:52 (+0700) \| #5 \| 227040

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

xnohat wrote:

Về việc thuyết phục các lãnh đạo doanh nghiệp về vấn đề xảy ra nếu không chú trọng cho bảo mật thông tin, theo tôi ở trường hợp cty bồ là rất dễ vì chuyện bảo mật thông tin ở một cty về tài chính là chuyện đương nhiên chắc chắn phải đầu tư. Bồ chỉ việc thực hiện một báo cáo chi tiết với các Case Study cụ thể về các cty trước đây bị tấn công làm thất thoát thông tin kèm theo các thiệt hại tài chính mà họ gặp phải ( cứ ghi rõ số tiền họ mất ra là có người ớn lạnh ngay ), nếu có kiến thức về kinh tế nữa thì bồ báo cáo thêm về tình huống giả định bị tấn công (cụ thể ở cty bồ) và chỉ rõ ra mức độ thiệt hại ( con số tiền nong rõ ràng ) , so sánh với mức độ giảm thiểu thiệt hại khi đầu tư cho bảo mật. Chú ý các con số KPI ( Key Performance Index ) phải rõ ràng

Thân mến,

xnohat đã từng làm qua việc này chưa smilie

http://www.microsoft.com/forefront/en/us/business-ready-security.aspx các bạn có thể tham khảo giải pháp trọn bộ của microsoft tại đây.

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	14/12/2010 21:37:13 (+0700) \| #6 \| 227075

pwd
Member

Joined: 16/01/2007 17:15:44
Messages: 7
Offline

Chào xnohat, rất vui vì bạn tham gia.

xnohat wrote:

Theo như bồ trình bày thì tôi nghĩ rằng việc bảo mật hệ thống vốn không được công ty bồ chú trọng từ đầu, nên hiện nay "rất có thể" hệ thống đã tồn tại nhiều lỗ hổng từ chính các thành phần base nhất. Việc cần làm ngay là phải ra soát lại toàn bộ hệ thống một cách tổng thể bằng nhiều hướng kiểm tra như Blackbox tesing , Pattern testing , Open Test . Tuy nhiên việc này dù làm kĩ đi chăng nữa thì vẫn sẽ có nhiều lỗ hổng không thể phát hiện ra ngay bây giờ vì công ty bồ đã bỏ qua một giai đoạn quan trọng là "bảo mật từ trong trứng" ( điều tôi thật sự đáng tiếc nếu công ty bồ là một công ty về thanh toán, banking hay thanh toán điện tử ). Ổn định chưa chắc đã an toàn vì nó ổn định ở khía cạnh nào ? Run smooth ? hay Chưa từng bị tấn công ( hay chưa ai tấn công ? )

Thật ra là tôi cũng đã có thiết kế topo của hệ thống dựa trên các nguyên tắc "bảo mật" (theo quan điểm của tôi): phân chia các vùng mạng, thiết lập các firewall, ips giữa các phân vùng, phân quyền trên các hệ thống server,... và đến giờ này hệ thống vẫn run smooth, chưa từng bị tấn công (có thể là chưa ai tấn công) smilie

Có lẽ vấn đề hiện nay của tôi là không kiểm soát được liệu hệ thống có lỗ hổng hay không? Vậy phương án đưa ra là sử dụng các kỹ thuật kiểm tra như anh nói và fix các lỗ hổng dựa trên kết quả testing thu được.

xnohat wrote:

Hiện nay các hãng như VISA , MASTERCARD họ có các bản requirements để Verify các partner , bồ có thể tìm và tham khảo . Bên cạnh đó có một số chuẩn an toàn thông tin như ISO 27001 cũng cần được tham khảo

Tôi cũng có suy nghĩ thế này, có thể tôi sẽ xây dựng các chính sách, topo hướng theo các tiêu chuẩn như PCIDSS, ISO27001 để hướng tới sự an toàn cho hệ thống.

xnohat wrote:

Về phần nhân sự, theo kinh nghiệm của tôi thì việc duy trì tình trạng an toàn cho hệ thống cần người có kinh nghiệm thực tế, vì việc thực hiện bảo mật dựa trên kinh nghiệm thực tế rất nhiều, dù không thể phủ định kiến thức academic cũng chiếm một phần quan trọng (làm nền tảng).

Vậy theo xnohat, từ một người có các kiến thức academic rồi làm sao để có thể tích lũy kinh nghiệm thực tế. Những việc như triển khai hệ thống, build-up một hệ thống thì có thể tích lũy kinh nhiệm trong thực tế công việc, nhưng đối với security mà tích lũy từ những sự cố xâm nhập thì có vẻ không ổn, sự đã rồi.
Dạo qua các bài viết khác thấy có bài của anh conmale về risk management cũng rất hay, vậy có thể đặt ra 1 phương pháp nữa là dựa trên việc đánh giá rủi ro khi có 1 hành động xâm nhập vào hệ thống, làm sao để giảm thiểu rủi ro đấy xuống thấp nhất có thể.
Các bạn tiếp tục cho ý kiến nhé.

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	14/12/2010 21:51:59 (+0700) \| #7 \| 227076

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

pwd wrote:

Tôi hiện đang làm trong 1 công ty về lĩnh vực thanh toán, banking. Từ khi đi vào hoạt động đến giờ thì công ty chủ trương là đẩy mạnh việc phát triển các sản phẩm để đáp ứng nhu cầu kinh doanh. Đến thời điểm hiện tại sau một thời gian phát triển, xây dựng hệ thống, vận hành (cỡ 3 năm) tôi luôn có 1 băn khoăn là liệu hệ thống do mình quản trị có an toàn hay ko, có khả năng bị xâm nhập hay ko, nhất là sắp tới sẽ có thêm dịch vụ thanh toán trên internet được bung ra.
Vậy thì, làm thế nào để xác định được về độ an toàn của hệ thống? Kiện toàn hệ thống như thế nào? Làm sao có thể đào tạo cán bộ nâng cao trình độ về security? là những câu hỏi mà tôi chưa giải đáp được thỏa đáng.
Tôi tự đưa ra các câu trả lời cho thắc mắc của mình:
Hiện nay các hệ thống máy chủ vẫn họat động ổn định, do vậy tạm kết luận là tình trạng hệ thống có thể vẫn an toàn.
Để kiện toàn được toàn hệ thống thì trước hết mình sẽ thực hiện các giải pháp, điều chỉnh tăng cường bảo mật cho từng thành phần: server, firewall, IPS thậm chí là cả máy trạm... đưa ra các phương án redundant và backup dữ liệu cẩn thận.
Vấn đề đào tạo: hiện nay với một mớ kiến thức về unix, linux, windows, và CCNA,...làm sao để có thể bổ sung các kiến thức về bảo mật, tôi đang có dự định cho anh em đi học về CEH nhưng có băn khoăn là liệu các kiến thức đấy có phải là "fast food" hay không, và có giải quyết được căn bản vấn đề ko.
Ngoài ra còn một vấn đề nữa trong công tác quản lý: hiện nay ở VN (có thể) có một thực trạng rằng trong 1 công ty việc cấp kinh phí cho đầu tư liên quan đến việc bảo mật rất khó khăn so với các dự án có thể nhìn thấy là sẽ có thu được hiệu quả về kinh tế, vậy kinh nhiệm trong việc thuyết phục ban lãnh đạo trong việc phân bổ đầu tư cho security như thế nào.
Anh em cùng tham gia trao đổi nhé.

Nếu công ty không có đủ nhân lực hoặc vì lý do nào đó cảm thấy kiến thức của mình chưa đủ để hoàn thiện thì nên nhờ 1 đối tác nào đó có kinh nghiệm để làm những việc mà bro yêu cầu, sau đó nhờ bên họ training cho bên bro một thời gian nào đó hoặc mướn người đứng đằng sau hệ thống của bro smilie

Về phần đào tạo cho nhân viên đảm trách vị trí "tiền bạc" trong công ty là điều phải bắt buộc, không nên vì mấy cái chứng chỉ LPI, CCNP, MCSE , CEH đó, mấy chứng chỉ đó chẳng qua doạ thiên hạ , cái gì cũng có trải qua thời gian để có kiến thức background cả, không nên chạy theo thời thượng để sau này hối hận làm lại từ đầu thì lúc đó e rằng già cả mất smilie

Để thuyết phục 1 ông sếp theo ý mình thì tuỳ vào ông sếp, ban lãnh đạo đó, nếu trong ban lãnh đạo chẳng tay nào xuất thân từ dân kỹ thuật toàn xuất thân từ dân kinh tế, lo làm giàu thì việc thuyết phục hơi khó tuy nhiên theo tôi nghĩ rằng bro thuộc diện người có quyền quyết định hệ thống mạng trong công ty của bro thì bro sẽ biết 1 vài yếu điểm của mình ở đâu để từ đó trình lên ban lãnh đạo ý kiến của mình để thuyết phục được họ .

Vài dòng cảm nhận mang tính cá nhân

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	14/12/2010 22:34:45 (+0700) \| #8 \| 227080

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

pwd wrote:

Vậy theo xnohat, từ một người có các kiến thức academic rồi làm sao để có thể tích lũy kinh nghiệm thực tế. Những việc như triển khai hệ thống, build-up một hệ thống thì có thể tích lũy kinh nhiệm trong thực tế công việc, nhưng đối với security mà tích lũy từ những sự cố xâm nhập thì có vẻ không ổn, sự đã rồi.
Dạo qua các bài viết khác thấy có bài của anh conmale về risk management cũng rất hay, vậy có thể đặt ra 1 phương pháp nữa là dựa trên việc đánh giá rủi ro khi có 1 hành động xâm nhập vào hệ thống, làm sao để giảm thiểu rủi ro đấy xuống thấp nhất có thể.
Các bạn tiếp tục cho ý kiến nhé.

Theo kinh nghiệm của riêng bản thân tôi, thì kinh nghiệm khi bảo mật hệ thống thật sự là thứ phải trải nghiệm mới có được, các kinh nghiệm nảy rất khó để truyền đạt đầy đủ thông qua giáo dục ( đào tạo ) thông thường, vì thứ truyền đạt được chỉ là "khái niệm" còn thực tế nó rất khác rất khác.

Bồ có thể coi qua loạt kí sự những vụ DDoS vào HVA của anh conmale để thấy rõ sự phức tạp mà một chuyên gia bảo mật cần phải đối mặt khi hệ thống anh ta quản lý phải đối mặt với nguy cơ tấn công thường trực từng h từng phút

Với một hệ thống thuộc một tổ chức tài chính thì mọi lỗ hổng cần được ngăn chặn ngay khi nó bị đe dọa hoặc đang bị khai thác nhằm giảm thiểu tối đa thất thoát thông tin, điều này theo tôi chỉ có một chuyên gia đã có kinh nghiệm thực tế mới có thể đảm nhận

Tôi nghiêng theo lời khuyên của lão tranhuuphuoc , cty bồ không nên để sự rủi ro của doanh nghiệp ( tài chính ) vào tay những chuyên gia bảo mật non tay, mà nên thuê một ( hoặc vài ) chuyên gia có kinh nghiệm để bảo mật hệ thống và hướng dẫn cũng như đào tạo nâng cao trình độ cho các chuyên gia non tay của công ty

Thân mến,

@vikjava: tớ thường xuyên phải "dọa" các bác trong hội đồng quản trị để họ chịu chi các khoản cho hệ thống thông tin, nên việc này tớ nói trơn tru như trên cũng là có lý do smilie

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	14/12/2010 22:43:29 (+0700) \| #9 \| 227081

K4i
Moderator

Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline

pwd wrote:

Tôi hiện đang làm trong 1 công ty về lĩnh vực thanh toán, banking. Từ khi đi vào hoạt động đến giờ thì công ty chủ trương là đẩy mạnh việc phát triển các sản phẩm để đáp ứng nhu cầu kinh doanh. Đến thời điểm hiện tại sau một thời gian phát triển, xây dựng hệ thống, vận hành (cỡ 3 năm) tôi luôn có 1 băn khoăn là liệu hệ thống do mình quản trị có an toàn hay ko, có khả năng bị xâm nhập hay ko, nhất là sắp tới sẽ có thêm dịch vụ thanh toán trên internet được bung ra.

Cách nhanh nhất và đơn giản nhất là thuê tư vấn, làm pentest hay đánh giá bảo mật. Trên thị trường có khá nhiều công ty đang hoạt động trong lĩnh vực này, đơn cử như Bluemoon của lamer hoặc contact mrro (chả rõ là có dịch vụ chưa nữa trời).

Hiện nay các hệ thống máy chủ vẫn họat động ổn định, do vậy tạm kết luận là tình trạng hệ thống có thể vẫn an toàn.

Cái này chỉ chứng minh được rằng chưa xảy ra sự cố bảo mật nào mà thôi smilie

Để kiện toàn được toàn hệ thống thì trước hết mình sẽ thực hiện các giải pháp, điều chỉnh tăng cường bảo mật cho từng thành phần: server, firewall, IPS thậm chí là cả máy trạm... đưa ra các phương án redundant và backup dữ liệu cẩn thận.

Thật ra cái này là bước thuần kỹ thuật rồi. Cái mà công ty pwd cần bây giờ là cách tiếp cận đúng đắn nhất để thực hiện bảo mật thông tin (methodolody). Bảo mật là một tổng hoà của chính sách / qui trình / kỹ thuật và con người. Nếu là công ty thanh toán thì có thể lựa chọn các chuẩn bảo mật / guideline như PCI DSS thì hợp lý hơn là ISO 27001. ISO 27001 là thiên về quản lý hơn là các guideline / best practices.

Vấn đề đào tạo: hiện nay với một mớ kiến thức về unix, linux, windows, và CCNA,...làm sao để có thể bổ sung các kiến thức về bảo mật, tôi đang có dự định cho anh em đi học về CEH nhưng có băn khoăn là liệu các kiến thức đấy có phải là "fast food" hay không, và có giải quyết được căn bản vấn đề ko.

Theo cá nhân mình thì phù hợp sẽ là CSSP / CISSP hoặc ban đầu là Security+. Cần phải hiểu những thứ cơ bản trước đã mà trong course của CEH thì không có những cái đấy.

Ngoài ra còn một vấn đề nữa trong công tác quản lý: hiện nay ở VN (có thể) có một thực trạng rằng trong 1 công ty việc cấp kinh phí cho đầu tư liên quan đến việc bảo mật rất khó khăn so với các dự án có thể nhìn thấy là sẽ có thu được hiệu quả về kinh tế, vậy kinh nhiệm trong việc thuyết phục ban lãnh đạo trong việc phân bổ đầu tư cho security như thế nào.

Để đong đo đếm được những lợi ích mà bảo mật mang lại thì e là rất khó khăn (KPI như xnohat nếu có thì quá tốt nhưng hình như là chưa ai làm cả) vì hầu hết là những giá trị vô hình hơn là hữu hình.

Bạn có thể đưa ra các rủi ro mà hệ thống / ứng dụng gặp phải cũng như các ảnh hưởng đến công ty / người dùng cuối (cái nào có thể qui đổi ra tiền / thời gian / ,...) nếu không triển khai các giải pháp bảo mật để cho các sếp quyết định vì có một khái niệm là "Risk Acceptance - chấp nhận rủi ro".

Sống là để không chết chứ không phải để trở thành anh hùng

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	15/12/2010 09:11:06 (+0700) \| #10 \| 227109

mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline

pwd wrote:

Tôi hiện đang làm trong 1 công ty về lĩnh vực thanh toán, banking. Từ khi đi vào hoạt động đến giờ thì công ty chủ trương là đẩy mạnh việc phát triển các sản phẩm để đáp ứng nhu cầu kinh doanh. Đến thời điểm hiện tại sau một thời gian phát triển, xây dựng hệ thống, vận hành (cỡ 3 năm) tôi luôn có 1 băn khoăn là liệu hệ thống do mình quản trị có an toàn hay ko, có khả năng bị xâm nhập hay ko, nhất là sắp tới sẽ có thêm dịch vụ thanh toán trên internet được bung ra.

Vậy thì, làm thế nào để xác định được về độ an toàn của hệ thống? Kiện toàn hệ thống như thế nào? Làm sao có thể đào tạo cán bộ nâng cao trình độ về security? là những câu hỏi mà tôi chưa giải đáp được thỏa đáng.

Tôi tự đưa ra các câu trả lời cho thắc mắc của mình:

Hiện nay các hệ thống máy chủ vẫn họat động ổn định, do vậy tạm kết luận là tình trạng hệ thống có thể vẫn an toàn.

Để kiện toàn được toàn hệ thống thì trước hết mình sẽ thực hiện các giải pháp, điều chỉnh tăng cường bảo mật cho từng thành phần: server, firewall, IPS thậm chí là cả máy trạm... đưa ra các phương án redundant và backup dữ liệu cẩn thận.

Vấn đề đào tạo: hiện nay với một mớ kiến thức về unix, linux, windows, và CCNA,... làm sao để có thể bổ sung các kiến thức về bảo mật, tôi đang có dự định cho anh em đi học về CEH nhưng có băn khoăn là liệu các kiến thức đấy có phải là "fast food" hay không, và có giải quyết được căn bản vấn đề ko.

Ngoài ra còn một vấn đề nữa trong công tác quản lý: hiện nay ở VN (có thể) có một thực trạng rằng trong 1 công ty việc cấp kinh phí cho đầu tư liên quan đến việc bảo mật rất khó khăn so với các dự án có thể nhìn thấy là sẽ có thu được hiệu quả về kinh tế, vậy kinh nhiệm trong việc thuyết phục ban lãnh đạo trong việc phân bổ đầu tư cho security như thế nào.

Anh em cùng tham gia trao đổi nhé.

Thực ra băn khoăn của bồ là băn khoăn thường gặp của những người làm quản trị hệ thống và cả những người chủ doanh nghiệp.

Trước đây tôi cũng chịu trách nhiệm về an toàn thông tin cho một ngân hàng, và kinh nghiệm của tôi cho thấy bài toán mà bồ đang gặp phải là rất khó giải quyết triệt để. Có vô vàn vấn đề phát sinh khi một doanh nghiệp vận hành, mà không một phương pháp, một tiêu chuẩn nào có thể tiên liệu và giải quyết được hết.

Trước tiên, bồ cần phải nằm lòng thế này:

1. An toàn thông tin là phải xây từ từ, chứ không thể mua. Bồ có thể mua thiết bị, mua giải pháp, nhưng muốn an toàn thì phải xây dựng quy trình kiểm soát về kỹ thuật và hành chính, rồi xây dựng đội ngũ thực thi các quy trình đó.

2. An toàn thông tin là sự phối hợp tốt giữa ngăn chặn, phát hiện và xử lý. Cái gì ngăn chặn được bằng kỹ thuật/công nghệ, thì chặn triệt để bằng kỹ thuật/công nghệ. Chỉ có một cách làm đúng duy nhất, và cách đó phải an toàn. Cái gì không ngăn chặn được, thì phải tính đến chuyện, nếu ai đó vi phạm thì có cách nào phát hiện sớm, hạn chế và xử lý thiệt hại ra sao.

3. Làm gì thì làm, phải nhớ 3 công việc chính: giám sát, giám sát và giám sát. Giờ tôi thử hỏi bồ, bồ có biết ai đang làm gì ở đâu và tại sao trên hệ thống của bồ hay không?

Lời khuyên của cá nhân tôi là bồ có thể bắt đầu bằng việc xây dựng càng sớm càng tốt một hệ thống giám sát an ninh mạng. Trên HVA có một chủ đề thảo luận rất sôi nổi về đề tài đó, bồ có thể tìm đọc.

Về việc đào tạo, thì cá nhân tôi thấy rằng, người ta sẽ không xem một vấn đề là nghiêm trọng cho đến khi họ tận mắt chứng kiến tác hại của vấn đề đó. Bồ sẽ không xem các lỗ hổng bảo mật trong phần mềm là nghiêm trọng cho đến khi bồ biết cách tận dụng các lỗ hổng đó. Thành ra, kinh nghiệm của tôi là xây dựng một đội ngũ chuyên sâu, mạnh về kỹ thuật, nắm rõ các kiến thức nền tảng như mạng máy tính, hệ điều hành, và lập trình hệ thống. Bồ cần một người biết viết mã khai thác lỗi tràn bộ đệm hơn là một tay CISSP. Bồ cần một người biết dịch ngược và phân tích mã nguồn virus hơn là một tay CISSP. Bồ cần một người hiểu rõ EXT4 hơn là một tay CISSP.

Về việc làm thế nào để có thể thuyết phục chủ doanh nghiệp đầu tư cho an toàn thông tin, thì bồ phải chỉ ra rằng an toàn thông tin đem đến lợi ích cụ thể cho doanh nghiệp:

1. An toàn thông tin là lợi thế cạnh tranh so với các đối thủ. Bồ làm thanh toán và ngân hàng, thì đây là điều dễ hiểu và thậm chí đôi khi nó còn quyết định sự tồn tại của doanh nghiệp. Sở dĩ PayPal chiến thằng các công ty khác một phần là vì founder của nó là người làm an toàn thông tin và nó giải quyết bài toán gian lận giao dịch rất tốt.

2. An toàn thông tin là bắt buộc phải có nếu doanh nghiệp muốn làm ăn với các doanh nghiệp khác. Nó giống như uy tín và các danh hiệu về tiêu chuẩn. Chẳng hạn như giờ bồ muốn xử lý thẻ tín dụng, thì bồ phải đạt chuẩn này chuẩn khác, và muốn đạt các chuẩn đó, thì phải đầu tư vào an toàn thông tin.

3. Tóm lại là an toàn thông tin không cản trở kinh doanh mà là hỗ trợ kinh doanh. Mục tiêu cuối cùng của làm an toàn thông tin đếch phải an toàn là trên hết, mà là đủ an toàn để kiếm được nhiều tiền nhất.

-m

PS: bổ sung về đào tạo.

http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	15/12/2010 13:47:55 (+0700) \| #11 \| 227147

pwd
Member

Joined: 16/01/2007 17:15:44
Messages: 7
Offline

Cám ơn các bạn. Tất cả các trao đổi đều rất bổ ích đối với tôi. Tôi sẽ đọc kỹ và suy nghĩ về các vấn đề các bạn đưa ra để có được những trao đổi lại chất lượng.
Sẽ rất hay nếu như có bạn nào có những tình huống thực tế để mang ra thảo luận.

P/s mình đã tìm và đọc bài viết của mrro về công cụ giám sát an ninh hệ thống, rất hay, nó có thể tạo ra những công cụ giám sát an ninh mở phù hợp với nhu cầu của từng đơn vị. Trong tương lai mình cũng muốn xây dựng được 1 công cụ như thế dựa trên các signatures do chính mình định nghĩa.

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	15/12/2010 20:59:07 (+0700) \| #12 \| 227191

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

pwd có thể mời mrro tư vấn xây dựng hệ thống giám sát an ninh mạng, đồng thời đánh giá độ an toàn của hệ thống mạng bên pwd. Hoặc có thể bắt đầu triển khai một chuẩn an toàn thông tin nào đó, từ các yêu cầu của chuẩn đánh giá lại ta có gì, thiếu gì ... sau khi triển khai thì mời chuyên gia vào đánh giá lại smilie

Bản thân mình rất dị ứng với mấy tên có CEH, mình gặp toàn lũ cùi bắp không smilie

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	15/12/2010 21:15:26 (+0700) \| #13 \| 227194

zjm_zjm
Member

Joined: 26/07/2009 01:53:09
Messages: 159
Location: hhhhhh
Offline

Có lẽ vikjava chưa gặp cao thủ thật sự chăng smilie

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	15/12/2010 21:28:35 (+0700) \| #14 \| 227198

pwd
Member

Joined: 16/01/2007 17:15:44
Messages: 7
Offline

Sau khi đọc kỹ các ý kiến thảo luận của các bạn, tôi tạm thời đưa ra những công việc mình cần làm trước mắt và lâu dài để nâng cao độ an toàn cho hệ thống (tôi không dám dùng từ "kiện toàn" nữa smilie

):

Biện pháp trước mắt:
1. Thực hiện các biện pháp đánh giá bảo mật của hệ thống hiện tại (thuê tư vấn - nhờ đối tác hỗ trợ).
2. Fix lại các lỗ hổng, nguy cơ bị tấn công - có được từ kết quả đánh giá hệ thống.

Lâu dài:
1. Xác định các đối tượng (dữ liệu, máy chủ, dịch vụ...) cần được bảo vệ.
2. Xây dựng, cập nhật chính sách, qui trình bảo mật để hướng tới đảm bảo an toàn cho các đối tượng đã xác định.
3. Thường xuyên giám sát hệ thống, phát hiện kịp thời các hành động, sự kiện vi phạm chính sách bảo mật đã xây dựng.
4. Định kỳ quay trở lại bước 1.

Về vấn đề đào tạo tôi vẫn còn lờ mờ, nếu chỉ khá về các kiến thức về background mà không có các kiến thức về bảo mật thì tôi thấy cũng không ổn lắm.
Ví dụ như tôi có thể có kỹ năng lập trình tốt nhưng lại không ý thức được là nếu tạo ra 1 lỗi tràn bộ đệm tôi sẽ thu được kết quả gì.
Có lẽ tôi sẽ có những khóa đào tạo như Security+ mà bạn nào đã đề cập ở trên chăng?

Đây la những suy nghĩ của tôi, các bạn cho ý kiến nhé.

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	15/12/2010 22:53:55 (+0700) \| #15 \| 227205

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Hi pwd .

Không biết bác làm ở đâu mà lo chuyện học hành của anh em IT thế smilie

@zjm_zjm: Mình chẳng muốn gặp mấy thằng ku "cao thủ" làm gì cả smilie

, gặp mấy anh em HVA làm vài chai xem ra sướng hơn

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	15/12/2010 23:10:40 (+0700) \| #16 \| 227208

pwd
Member

Joined: 16/01/2007 17:15:44
Messages: 7
Offline

@vikjava: lo nhất thời để an tâm dài dài mà bác smilie

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	16/12/2010 05:43:25 (+0700) \| #17 \| 227219

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

pwd wrote:

Sau khi đọc kỹ các ý kiến thảo luận của các bạn, tôi tạm thời đưa ra những công việc mình cần làm trước mắt và lâu dài để nâng cao độ an toàn cho hệ thống (tôi không dám dùng từ "kiện toàn" nữa ):

Biện pháp trước mắt:
1. Thực hiện các biện pháp đánh giá bảo mật của hệ thống hiện tại (thuê tư vấn - nhờ đối tác hỗ trợ).
2. Fix lại các lỗ hổng, nguy cơ bị tấn công - có được từ kết quả đánh giá hệ thống.

Theo tớ, việc đầu tiên và trên hết là xác định được nhu cầu thực tế của công tác bảo mật. Việc này đòi hỏi auditing (thống kê) chính xác và chi tiết từng bộ phận của trọn bộ hệ thống. Từ đó mới quy ra giá trị vật chất của hệ thống và mức độ thiệt hại nếu sự cố xảy ra. Kết quả của việc thống kê và xác định giá trị + thiệt hại (bằng tiền) mới có thể giúp thuyết phục sự ủng hộ của ban giám đốc trong việc tiến hành cả mặt kỹ thuật lẫn mặt quy định.

Công tác đánh giá bảo mật và kiện toàn bảo mật sẽ không thể tiến hành nếu như bước đầu tiên không được tiến hành và thiếu ủng hộ từ cấp lãnh đạo dẫn đến những khó khăn hoặc thậm chí tình trạng chắp vá tạm thời trong quá trình thực hiện đánh giá + kiện toàn.

pwd wrote:

Lâu dài:
1. Xác định các đối tượng (dữ liệu, máy chủ, dịch vụ...) cần được bảo vệ.
2. Xây dựng, cập nhật chính sách, qui trình bảo mật để hướng tới đảm bảo an toàn cho các đối tượng đã xác định.
3. Thường xuyên giám sát hệ thống, phát hiện kịp thời các hành động, sự kiện vi phạm chính sách bảo mật đã xây dựng.
4. Định kỳ quay trở lại bước 1.

Theo tớ, có một điểm cực kỳ quan trọng bồ cần đưa vô danh sách này đó là: huấn luyện và khảo sát định kỳ tất cả các nhân viên chức năng về những quy định bảo mật. Yếu tố con người quan trọng ngang hàng với yếu tố kỹ thuật và khi hiểm hoạ xảy ra, yếu tố con người còn ghê gớm hơn yếu tố kỹ thuật. Ví dụ, nhân viên cần nắm vững cái gì nên làm, được làm và không nên làm một cách cụ thể. Trong trường hợp biến cố xảy ra, ai làm gì theo thứ tự nào. Tất cả đều phải có tài liệu chính thức, được xác thực và ký duyệt cụ thể.

pwd wrote:

Về vấn đề đào tạo tôi vẫn còn lờ mờ, nếu chỉ khá về các kiến thức về background mà không có các kiến thức về bảo mật thì tôi thấy cũng không ổn lắm.
Ví dụ như tôi có thể có kỹ năng lập trình tốt nhưng lại không ý thức được là nếu tạo ra 1 lỗi tràn bộ đệm tôi sẽ thu được kết quả gì.
Có lẽ tôi sẽ có những khóa đào tạo như Security+ mà bạn nào đã đề cập ở trên chăng?

Đây la những suy nghĩ của tôi, các bạn cho ý kiến nhé.

Cần xác định cụ thể trách nhiệm của từng bộ phận và hình thành các dạng đào tạo cụ thể và thích hợp. Kiện toàn bảo mật không chỉ là một mớ thiết bị và các chuyên gia bảo mật mà đòi hỏi ý thức, trách nhiệm và kiến thức (quy trình) cho từng bộ phận. Ví dụ, coders cần nắm rõ những nguyên tắc nhất định khi code để tránh tạo lỗ hổng trên tầng applications. Network admins cần nắm những nguyên tắc nhất định khi thiết kế, bảo trì, cập nhật các topologies và cách kiện toàn những thiết bị về mạng. System admins cần nắm vững những nguyên tắc bảo mật trên từng máy chủ cho từng hệ điều hành khi thiết lập, bảo trì và cập nhật chúng. Các chuyên viên bảo mật cần nắm vững architecture của cả hệ thống để xoáy sâu vô những điểm yếu khi một component được mang vô (hoặc mang ra khỏi) hệ thống. Không có ai có thể nắm vững và đào sâu hết các mảng trên. Những bộ phận này gọi là SME (Subject Matter Expert) và mỗi SME cần kiện toàn khu vực của mình dựa trên quy định chung và mô hình chung.

Trách nhiệm và kiến thức của từng SME có thể được tách rời ra thành nhiều thảo luận chuyên sâu (nếu bồ cần).

What bringing us together is stronger than what pulling us apart.

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	16/12/2010 08:58:07 (+0700) \| #18 \| 227226

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

conmale wrote:

Trách nhiệm và kiến thức của từng SME có thể được tách rời ra thành nhiều thảo luận chuyên sâu (nếu bồ cần).

- Tiện thể cho em hỏi, các policy, các quy trình có thể chia sẽ với nhau đươc không ah? Nó có phải là tài liệu "mật", ảnh hưởng đến hệ thống ....

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	16/12/2010 09:27:26 (+0700) \| #19 \| 227229

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

vikjava wrote:

conmale wrote:

Trách nhiệm và kiến thức của từng SME có thể được tách rời ra thành nhiều thảo luận chuyên sâu (nếu bồ cần).

- Tiện thể cho em hỏi, các policy, các quy trình có thể chia sẽ với nhau đươc không ah? Nó có phải là tài liệu "mật", ảnh hưởng đến hệ thống ....

Nếu là quy trình thì chẳng có gì là "mật" hết. Chỉ có chi tiết nhập / xuất trong quy trình thì mới có thể được coi là "mật". Ví dụ, một quy trình đại khái như:

Nếu nhận error 404 thì thực hiện các bước sau:

1. Thử telnel vô xxx.xxx.xxx.xxxx 1234 xem có hồi báo gì không. Nếu không,

2. Đăng nhập bảng kiểm soát trung tâm ở http://noc.somewhere.com/web-controller/ để xem status của ứng dụng. Chi tiết tài khoản đăng nhập có thể tìm thấy ở trang account hỗ trợ intranet.

3. Nếu status đúng là màu đỏ, liên lạc gấp với NOC và đồng thời,

4. Lập một vé hỗ trợ (support ticket) và gởi nó đến nhóm ABC. Các nhân viên túc trực (on-call) của nhóm này sẽ tiến hành điều tra sơ khởi.

5. Tiếp tục theo dõi và liên lạc tiến triển. Gởi thông báo ra toàn nhóm hỗ trợ mỗi 15 phút.

.........

Nếu coi kỹ em sẽ thấy phần màu đỏ ở trên là "nhạy cảm" và tất nhiên chỉ có nhân viên có liên quan đến khu vực đó thì mới có thể truy cập và lấy tài khoản đăng nhập được. Ngoài ra, các bước 1 - 5 là quy trình không giới hạn "mật" gì hết. Tất nhiên, nếu xét tới mức độ cụ thể và nhạy cảm nào đó thì mọi trao đổi kể cả quy trình đều là mật ngoại trừ những người có trách nhiệm trực tiếp.

What bringing us together is stronger than what pulling us apart.

[Discussion] Trao đổi kinh nghiệm công tác quản trị hệ thống	20/12/2010 08:16:21 (+0700) \| #20 \| 227444

pwd
Member

Joined: 16/01/2007 17:15:44
Messages: 7
Offline

Cám ơn anh conmale, giờ chắc là lúc phải bắt đầu công việc thôi.

Go to:

Users currently in here
2 Anonymous