TÀI LIỆU HƯỚNG DẪN...Hướng dẫn thiết lập mật khẩu an toàn dành cho người dùng.....12 2.1. Thay đổi tất cả mật khẩu mặc định.....12 2.2. Đối

CỤC AN TOÀN THÔNG TIN

TRUNG TÂM GIÁM SÁT AN TOÀN KHÔNG GIAN MẠNG QUỐC GIA

TÀI LIỆU HƯỚNG DẪNTĂNG CƯỜNG BẢO ĐẢM AN TOÀN THÔNG TIN TRONG

MÔI TRƯỜNG LÀM VIỆC TỪ XA

Loại tài liệu Công khai

Phiên bản Draft, Version1.0

Đóng góp ý kiến: Tài liệu có tham khảo một số thông tin từ nguồn công khai trên Internet.Mọi góp ý cho tài liệu xin gửi về Trung tâm Giám sát an toàn không gian mạng quốc gia(NCSC), thư điện tử [email protected], số điện thoại 02432091616.

Hà Nội, 2020

MỤC LỤC

CHƯƠNG 1 PHẠM VI, ĐỐI TƯỢNG ÁP DỤNG................................................................................4

1. Phạm vi áp dụng.................................................................................................................................4

2. Đối tượng áp dụng..............................................................................................................................4

4. Thuật ngữ, định nghĩa.........................................................................................................................4

CHƯƠNG 2 HƯỚNG DẪN BẢO VỆ HỆ THỐNG THÔNG TIN ĐỐI VỚI CƠ QUAN TỔ CHỨC VÀ NGƯỜI DÙNG LÀM VIỆC TỪ XA...............................................................................................6

1. Yêu cầu chung đối với cơ quan, tổ chức.............................................................................................6

2. Các công tác chuẩn bị cho cơ quan, tổ chức làm việc từ xa................................................................6

3. Kiểm soát an toàn truy cập vào hệ thống cơ quan tổ chức..................................................................7

4. Bảo đảm an toàn hệ thống thông tin theo phân cấp.............................................................................7

5. Giám sát an toàn thông tin..................................................................................................................8

6. Hỗ trợ người dùng các kỹ thuật cơ bản để bảo vệ thiết bị...................................................................8

CHƯƠNG 3 HƯỚNG DẪN ĐỐI VỚI NGƯỜI DÙNG LÀM VIỆC TỪ XA......................................10

1. Thiết lập máy tính, thiết bị an toàn để làm việc từ xa.......................................................................10

1.1. Thiết lập xác thực tài khoản bằng mật khẩu..............................................................................10

1.2. Kích hoạt chức năng tường lửa bảo vệ cá nhân trên thiết bị.....................................................10

1.3. Gỡ bỏ các chương trình không cần thiết...................................................................................10

1.4. Cập nhật các phần mềm và hệ điều hành..................................................................................11

1.5. Cài đặt phần mềm phòng chống mã độc...................................................................................11

1.6. Mã hóa và sao lưu dữ liệu quan trọng định kỳ, thường xuyên..................................................11

1.6.1. Mã hóa dữ liệu..................................................................................................................11

1.6.2. Sao lưu dự phòng dữ liệu..................................................................................................12

2. Hướng dẫn thiết lập mật khẩu an toàn dành cho người dùng............................................................12

2.1. Thay đổi tất cả mật khẩu mặc định...........................................................................................12

2.2. Đối phó với tình trạng quá tải mật khẩu....................................................................................12

2.3. Tạo các mật khẩu khó đoán, phức tạp.......................................................................................12

2.4. Đối với quản trị viên và tài khoản người dùng từ xa.................................................................13

2.5. Không lưu mật khẩu dưới dạng bản rõ......................................................................................13

3. Hướng dẫn phòng chống mã độc......................................................................................................13

3.1. Sử dụng thư điện tử thận trọng.................................................................................................13

3.2. Sử dụng USB, thiết bị lưu trữ di động cẩn trọng.......................................................................13

3.3. Cẩn thận khi truy cập các trang web trên mạng Internet...........................................................14

TRUNG TÂM GIÁM SÁT AN TOÀNKHÔNG GIAN MẠNG QUỐC GIA

[email protected] | 02432091616https://khonggianmang.vn 2

https://khonggianmang.vn/

3.4. Không sử dụng phần mềm bẻ khoá, vi phạm bản quyền...........................................................14

3.5. Sử dụng phần mềm diệt virus...................................................................................................14

4. Phòng chống thư điện tử lừa đảo, giả mạo........................................................................................15

4.1. Một số gợi ý phát hiện thư điện tử lừa đảo đối cho người dùng................................................15

4.1.1. Không nên tin tưởng tên hiển thị trong mail.....................................................................15

4.1.2. Cân nhắc kỹ lưỡng khi bấm vào liên kết trong thư điện tử...............................................15

4.1.3. Bỏ qua các thư điện tử yêu cầu cung cấp thông tin cá nhân của bạn.................................15

4.1.4. Cẩn trọng với các thư điện tử có tiêu đề “Hấp dẫn Nhạy cảm Khẩn cấp”‐ Nhạy cảm ‐ Khẩn cấp” ‐ Nhạy cảm ‐ Khẩn cấp” ....................15

4.1.5. Cẩn thận, cân nhắc khi tải về các File đính kèm trong thư điện tử....................................15

4.1.6. Nhận diện các thư điện tử spam – thư điện tử quảng cáo..................................................16

4.1.7. Cẩn trọng với các tin nhắn rác..........................................................................................16

4.2. Các khuyến nghị khi nhận được các thư điện tử lừa đảo...........................................................16

5. Hướng dẫn sử dụng mạng xã hội an toàn..........................................................................................16

5.1. Các rủi ro khi sử dụng mạng xã hội..........................................................................................17

5.2. Làm sao để bảo vệ bản thân trên mạng xã hội..........................................................................17

6. Hướng dẫn sử dụng an toàn mạng không dây...................................................................................17

6.1. Các nguy cơ..............................................................................................................................17

6.2. Các phương pháp thiết lập mạng không dây an toàn.................................................................18

PHỤ LỤC 01 HƯỚNG DẪN THIẾT LẬP PHÒNG CHỐNG TẤN CÔNG LỪA ĐẢO QUA THƯ ĐIỆN TỬ (PHISHING)........................................................................................................................20

PHỤ LỤC 02 QUẢN LÝ VÀ THIẾT LẬP MẬT KHẨU AN TOÀN CHO CƠ QUAN, TỔ CHỨC. .24

PHỤ LỤC 03 HƯỚNG DẪN THIẾT LẬP HỆ THỐNG MẠNG RIÊNG ẢO (VPN).........................28




CHƯƠNG 1 PHẠM VI, ĐỐI TƯỢNG ÁP DỤNG

1. Phạm vi áp dụng

Tài liệu này đưa ra các hướng dẫn cơ bản để đảm bảo an toàn thông tin đối vớicơ quan, tổ chức và cá nhân tham gia làm việc trực tuyến từ xa.

Mọi ý kiến góp

2. Đối tượng áp dụng

Tài liệu này áp dụng cho tất cả cơ quan tổ chức và người dùng làm việc trựctuyến từ xa, qua môi trường mạng Internet.

4. Thuật ngữ, định nghĩa

STTTừ

Viết tắtThuật ngữ tiếng Anh Thuật ngữ tiếng Việt

1 2FA Two-factor authentication Xác thực hai yêu tố

2 MFA Multi-factor authentication Xác thực đa yếu tố

3 SSO Single sign-on Đăng nhập một lần

4 OTP One-time password Mật khẩu một lần

5 ICTInformation and Communication

TechnologyCNTT&TT

6 IP Internet Protocol Giao diện Internet

7 IT Information Technology Công nghệ thông tin

8 LAN Local Area Network Mạng cục bộ

9 NAS Network Attached Storage Thiết bị lưu trữ kết nối mạng

10 NFS Network File System Hệ thống tệp tin mạng

11 NTP Network Time Protocol Giao thức đồng bộ thời gian mạng

12 VPN Virtual Private Network Mạng riêng ảo

13 OS Operating System Hệ điều hành

14 TLS Transport Layer Security An toàn tầng giao vận

15 SSL Secure Sockets Layer An toàn tầng Socket




CHƯƠNG 2 HƯỚNG DẪN BẢO VỆ HỆ THỐNG THÔNG TIN ĐỐI VỚI CƠ QUAN TỔ

CHỨC VÀ NGƯỜI DÙNG LÀM VIỆC TỪ XA

1. Yêu cầu chung đối với cơ quan, tổ chức

Tổ chức cần xem xét các yêu cầu chung khi muốn dịch chuyển từ mô hình làmviệc thông thường tại trụ sở sang làm việc từ xa, trong khi vẫn bảo đảm an toàn thôngtin. Các yêu cầu này bao gồm:

- Lập kế hoạch ban hành các chính sách bảo mật và kiểm soát liên quan đến làmviệc từ xa dựa trên các giả định môi trường bên ngoài có chứa các mối đe dọa thù địch,kẻ tấn công ác ý.

- Tăng cường đào tạo, tập huấn, tuyên truyền, phổ biến, nâng cao nhận thức vàtrách nhiệm về an toàn thông tin của người dùng khi làm việc trong môi trường từ xa.Lồng ghép nội dung hướng dẫn bảo đảm an toàn thông tin trong phần hướng dẫnngười dùng sử dụng các ứng dụng, dịch vụ từ xa.

- Phát triển chính sách bảo đảm an toàn thông tin khi làm việc từ xa như: truy cậptừ xa an toàn và các yêu cầu liên quan đến thiết bị cá nhân, thiết lập tài khoản mới,quản lý và thiết lập mật khẩu an toàn..

- Đảm bảo các máy chủ truy cập từ xa được bảo vệ hiệu quả và được thiết lập cấuhình để thực thi các chính sách an toàn khi làm việc từ xa. Triển khai các ứng dụng hộinghị truyền hình và chia sẻ tài liệu an toàn.

- Kiểm soát an toàn các truy cập và bảo đảm hệ thống kết nối thường xuyên liêntục, nhằm chống lại các mối đe dọa phổ biến và các cuộc tấn công từ chối dịch vụ hayphá hoại.

- Yêu cầu người dùng mã hóa tất cả dữ liệu nhạy cảm được lưu trữ trên thiết bịhoặc hoàn toàn không lưu trữ dữ liệu nhạy cảm trên các thiết bị cá nhân.

- Hạn chế các mối nguy hại, lừa đảo từ bên ngoài vào các hệ thống thông tin củacơ quan tổ chức, trong đó lưu ý hệ thống thư điện tử với số lượng tấn công lừa đảotrực tiếp vào người dùng cuối ngày càng tăng. (Tham khảo Hướng dẫn thiết lậpphòng chống tấn công lừa đảo qua thư điện tử tại Phụ lục 01 của hướng dẫn này).

- Các yêu cầu khác liên quan đến công nghệ truy cập từ xa; thiết bị cá nhân vàđiện thoại di động có nhiều khả năng bị mất hoặc bị đánh cắp khi nhân viên ở ngoài cơquan, tổ chức.

2. Các công tác chuẩn bị cho cơ quan, tổ chức làm việc từ xa

Để đảm bảo hoạt động làm việc tại nhà của các nhân viên hiệu quả, an toàn, cáccơ quan, tổ chức nên rà soát lại tất cả tài khoản sử dụng để kết nối đến hệ thống của tổchức. Vô hiệu hóa hoặc thiết lập các chính sách phù hợp hơn đối với các tài khoảnkhông sử dụng hoặc không phù hợp với thẩm quyền. Thực hiện theo nguyên tắc “đặcquyền tối thiểu”, nghĩa là giới hạn các quyền truy cập của người dùng với mức tối




thiểu để thực hiện công việc của họ. Nếu cần thiết lập tài khoản mới hoặc truy cập đểnhân viên của bạn có thể làm việc tại nhà, tổ chức cần thiết lập chính sách yêu cầu đặtmật khẩu mạnh, an toàn cho tài khoản người dùng. Tham khảo Quản lý và thiết lậpmật khẩu an toàn cho cơ quan tổ chức tại Phụ lục 02 của hướng dẫn này.

Làm việc từ xa có thể gây khó khăn cho những người dùng chưa từng làm việc từxa đó từ trước. Các cơ quan, tổ chức cần triển khai các dịch vụ mới để có thể cung cấphướng dẫn cho nhân viên các hoạt động làm việc từ xa như: Phòng trò chuyện trựctuyến, hội nghị truyền hình và chia sẻ tài liệu... Trường hợp, các cơ quan, tổ chức sửdụng các giải pháp trực tuyến từ nhà cung cấp thứ ba, cần lưu ý các yêu cầu về bảođảm an toàn thông tin để lựa chọn như: Khả năng mã hóa dữ liệu trong lưu trữ và kếtnối, truyền đưa thông tin; Khả năng nhà cung cấp sử dụng dữ liệu để cung cấp cho cácđối tác quảng cáo; Hướng dẫn người dùng cách thiết lập kết nối qua mạng riêng ảohoặc bảo vệ quyền riêng tư cho người dùng… Đối với các cơ quan, tổ chức đầu tư,triển khai hệ thống giải pháp hội nghị truyền hình cần đáp ứng được nhu cầu bảo vệthông tin của tổ chức.

Tham khảo thêm nội dung yêu cầu cơ bản về bảo đảm an toàn thông tin cho hệthống truyền hình hội nghị tại văn bản số 2558/BTTTT-CBĐTW ngày 02/8/2019 củaBộ Thông tin và Truyền thông về việc công bố tài liệu hướng dẫn việc xây dựng, triểnkhai hạ tầng mạng và hệ thống thiết bị; tiêu chuẩn kỹ thuật kết nối các hệ thốngHNTH; ứng dụng công nghệ thông tin phục vụ các cuộc họp trực tuyến.

3. Kiểm soát an toàn truy cập vào hệ thống cơ quan tổ chức

Mạng riêng ảo (Virtual Private Network - VPN) cho phép người dùng từ xa truycập an toàn các tài nguyên CNTT của cơ quan, tổ chức, chẳng hạn như dịch vụ thưđiện tử và chia sẻ tệp tin. VPN tạo kết nối mạng được mã hóa để xác thực người dùngvà/hoặc thiết bị và mã hóa dữ liệu chuyển tiếp giữa người dùng và dịch vụ của cơquan, tổ chức.

Nếu cơ quan, tổ chức đã sử dụng VPN, hãy đảm bảo rằng hệ thống đã được cậpnhật bản vá đầy đủ. Cung cấp các giấy phép (license) bổ sung phù hợp theo số lượngngười dùng, dung lượng hoặc băng thông trong thực tế.

Tham khảo Hướng dẫn thiết lập hệ thống mạng riêng ảo (VPN) tại Phụ lục03 của hướng dẫn này.

4. Bảo đảm an toàn hệ thống thông tin theo phân cấp

Bảo đảm an toàn hệ thống thông tin theo định hướng tổng thể, xác định tài sảnquan trọng, hệ thống thông tin theo phân cấp, từ đó nhận diện các nguy cơ, mối đe dọađể tiến hành các phương án quản lý theo rủi ro.

Trên cơ sở cấp độ an toàn hệ thống thông tin đã được xác định, cơ quan tổ chứctriển khai các biện pháp kiểm soát tổng thể từ quản lý đến kỹ thuật, tham khảo tiêu




chuẩn quốc gia TCVN 11930:2017 yêu cầu cơ bản về an toàn hệ thống thông tin theocấp độ. Các phương án tổng thể bao gồm:

- Yêu cầu quản lý: Thiết lập chính sách an toàn thông tin

Tổ chức bảo đảm an toàn thông tin

Bảo đảm nguồn nhân lực

Quản lý thiết kế, xây dựng hệ thống

Quản lý vận hành hệ thống

- Yêu cầu kỹ thuật Bảo đảm an toàn mạng

Bảo đảm an toàn máy chủ

Bảo đảm an toàn ứng dụng

Bảo đảm an toàn dữ liệu

Tham khảo thêm nội dung tại văn bản số 713/CATTT-TĐQLGS ngày 25/7/2019của Cục An toàn thông tin về việc hướng dẫn xác định và thực thi bảo vệ hệ thốngthông tin theo cấp độ.

5. Giám sát an toàn thông tin

Giám sát an toàn thông tin là một thành phần quan trọng trong các giải pháp bảođảm an toàn thông tin tổng thể. Giải pháp này đề cao tính thường xuyên, liên tục, trongmột số trường hợp các hệ thống quan trọng, phải yêu cầu giám sát, cảnh báo theo thờigian thực (real-time), giám sát 24/7.

Tham khảo thêm nội dung tại văn bản số 2973/BTTTT-CATTT ngày 4/9/2019của Bộ Thông tin và Truyền thông về việc hướng dẫn triển khai hoạt động giám sát antoàn thông tin trong cơ quan, tổ chức nhà nước.

Ngoài ra, cơ quan tổ chức có thể đăng ký dịch vụ để sử dụng Hệ thống Cảnhbáo điểm yếu và rà soát lỗ hổng bảo mật tự động của Trung tâm Giám sát an toànkhông gian mạng quốc gia (NCSC) để bổ sung hiệu quả trong công tác giám sát antoàn thông tin.

6. Hỗ trợ người dùng các kỹ thuật cơ bản để bảo vệ thiết bị

Các thiết bị được sử dụng để làm việc bên ngoài môi trường văn phòng dễ bị mấtcắp. Cho dù sử dụng thiết bị của riêng họ thì các tổ chức, cần đảm bảo nhân viên hiểuđược những rủi ro khi thiết bị không được giám sát, đặc biệt là ở những nơi công cộng.

Ban hành các hướng dẫn và chính sách đảm bảo nhân viên có những kỹ năng cơbản trong việc thiết lập, khai thác sử dụng các hệ thống công nghệ thông tin khi làmviệc từ xa.

(Tham khảo nội dung tại Chương 3) Đảm bảo các nhân viên biết phải làm gì nếu thiết bị của họ bị mất hoặc bị đánh




cắp, chẳng hạn như báo cáo cho ai. Khuyến khích người dùng báo cáo mọi tổn thấtcàng sớm càng tốt. Báo cáo sớm về những mất mát như vậy có thể giúp giảm thiểu rủiro, thiệt hại cho dữ liệu của tổ chức.




CHƯƠNG 3 HƯỚNG DẪN ĐỐI VỚI NGƯỜI DÙNG LÀM VIỆC TỪ XA

1. Thiết lập máy tính, thiết bị an toàn để làm việc từ xa

Dưới đây là một số bước để thiết lập máy tính, thiết bị an toàn chống lại các nguycơ bị tấn công.

1.1. Thiết lập xác thực tài khoản bằng mật khẩu

Khi sử dụng các thiết bị cá nhân, có nhiều tình huống bạn phải rời khỏi máy mộtkhoảng thời gian. Những lúc như vậy, nếu không cẩn thận và có phương pháp bảo vệthì thiết bị của bạn hoàn toàn có thể bị người khác sử dụng và có thể gặp phải tìnhtrạng bị sao chép, đánh cắp dữ liệu…

Một trong các bước đầu tiên của việc thiết lập cấu hình máy tính là thiết lập mậtkhẩu cho các tài khoản với độ phức tạp nhất định. Do đó, người dùng cần có một mậtkhẩu an toàn, đủ mạnh để kẻ tấn công khó đoán và lợi dụng.

Ngoài ra, trong trường hợp người dùng quên khóa màn hình khi ra ngoài, cầnthiết lập khóa màn hình thiết bị tự động trong khoảng thời gian nhất định. Buộc ngườidùng nếu muốn sử dụng thiết bị phải nhập đúng mật khẩu, nếu không sẽ không thể sửdụng được thiết bị và dữ liệu liên quan.

Việc khóa màn hình yêu cầu mỗi lần người dùng muốn mở khóa thiết bị hoặc bậtthiết bị, họ sẽ được yêu cầu nhập mã PIN, mật khẩu hoặc dấu vân tay. Điều này cónghĩa là nếu ai đó giữ thiết bị của bạn, họ không thể truy cập dữ liệu trên thiết bị, khingười dùng không cung cấp mật khẩu, mẫu, mã PIN, dấu vân tay.

1.2. Kích hoạt chức năng tường lửa bảo vệ cá nhân trên thiết bị

Một trong các tác vụ đầu tiên cần thực hiện sau khi cài đặt thiết bị cá nhân antoàn là thiết lập các cơ chế bảo vệ cơ bản cho thiết bị. Trong đó, tường lửa là biện phápcơ bản để phòng tránh các nguy cơ mất an toàn thông tin. Hiện nay, hầu hết các hệđiều hành đã tích hợp tường lửa cá nhân nhằm bảo vệ người dùng khỏi các tấn công cơbản. Do đó, cần kích hoạt phần mềm tường lửa này trước khi kết nối máy tính đến bấtkỳ mạng máy tính nào như Internet, Wifi hay LAN.

Trên hệ điều hành Windows, có thể kích hoạt tường lửa bằng cách truy cập chứcnăng Windows Defender Firewall trong Control Panel. Sau đó, lựa chọn “Turn Win-dows Firewall on or off” để thực hiện việc kích hoạt. Tiếp tục chọn các lựa chọn “Turnon…” và tuỳ chọn bên dưới để kích hoạt.

1.3. Gỡ bỏ các chương trình không cần thiết

Các thiết bị cá nhân thường được nhà sản xuất cài đặt sẵn các chương trình quảngcáo, giới thiệu hoặc bản dùng thử của các phần mềm khác. Các chương trình này có




thể ẩn chứa các nguy cơ gây mất an toàn thông tin mà kẻ tấn công có thể lợi dụng ngaytrong quá trình sử dụng lần đầu tiên. Vì vậy, người dùng cần tháo gỡ các chương trìnhkhông cần thiết trên máy tính của mình ngay trong quá trình thiết lập ban đầu đểphòng tránh các nguy cơ mất an toàn thông tin.

Để tháo gỡ các chương trình không cần thiết, người dùng có thể sử dụng chứcnăng quản lý chương trình đã được cài đặt trong máy tính để liệt kê tất cả các chươngtrình đã được cài đặt. Từ đó, lần lượt xem xét các chương trình đang có sẵn để tháo gỡcác chương trình không cần thiết khỏi hệ thống theo nhu cầu.

Để mở chức năng quản lý các chương trình đã cài đặt trong hệ điều hành Win-dows, người dùng có thể truy cập Control Panel, chọn Programs and Features để thựchiện việc gỡ bỏ hoặc tùy chọn khác.

1.4. Cập nhật các phần mềm và hệ điều hành

Sau khi cài đặt, hệ điều hành của máy tính có thể là phiên bản cũ chưa được válỗi bảo mật. Do đó, người sử dụng cần thiết lập chế độ tự động cập nhật hệ điều hànhvà các phần mềm khác. Để thực hiện việc này, người dùng mở chức năng WindowsUpdate, sử dụng tuỳ chọn “Change Settings” để thiếp lập việc tự động cập nhật.

Người dùng có thể tuỳ chọn chế độ tự động cập nhật theo nhu cầu. Tuy nhiên, cóthể tuỳ chọn việc tự quyết định thực hiện cập nhật theo yêu cầu của người sử dụng đểđảm bảo không bị gián đoạn công việc.

1.5. Cài đặt phần mềm phòng chống mã độc

Phần mềm phòng chống mã độc là lớp lá chắn quan trọng bảo vệ người sử dụngkhỏi mã độc. Trên thị trường có nhiều hãng cung cấp phần mềm phòng chống mã độc,người dùng có thể lựa chọn giải pháp miễn phí hoặc thương mại. Ngoài ra, người dùngcó thể cân nhắc sử dụng các phần mềm phòng chống mã độc của Việt Nam sản xuất.Các phần mềm này đều có phiên bản miễn phí với chức năng cơ bản cho người dùng.

Một số phần mềm phòng chống mã độc có thể bao gồm các chức năng khác nhưtường lửa, IDS cá nhân,... Do đó, việc cài đặt các phần mềm cũng như kích hoạt cácchức năng bảo vệ khác là cần thiết để bảo vệ người sử dụng khỏi tấn công của mã độctrong quá trình sử dụng máy tính. Việc có ít nhất một phần mềm antivirus là rất cầnthiết và nên được cài đặt trước khi kết nối máy tính vào mạng hoặc sao chép dữ liệu từmột thiết bị khác.

1.6. Mã hóa và sao lưu dữ liệu quan trọng định kỳ, thường xuyên

1.6.1. Mã hóa dữ liệu

Mã hóa là một phương pháp bảo vệ thông tin, bằng cách chuyển đổi thông tin từdạng có thể đọc và hiểu được thông thường trên các hệ điều hành sang dạng thông tinchỉ thể có thể đọc được qua giải pháp đã mã hóa. Việc làm này giúp ta có thẻ bảo vệthông tin tốt hơn, an toàn trong việc lưu trữ dữ liệu. Dù kẻ xấu có được ổ cứng, thiết bị




lưu trữ của người dùng cũng không thể có được thông tin và dữ liệu lưu trữ bên trong.Ngoài các giải pháp mã hóa dữ liệu thương mại trên thị trường, trên hệ điều hành

Windows có tích hợp sẵn tính năng bảo vệ dữ liệu là BitLocker. Tính năng mã hóatoàn bộ ổ cứng hoặc phân vùng bất kỳ của BitLocker sẽ đảm bảo nếu thiết bị mất hoặcbị đánh cắp thì cũng sẽ không thể truy nhập vào tệp, dữ liệu trên ổ đĩa đã được bảo vệ.

Tính năng này nên được người dùng hệ điều hành windows tận dụng để đảm bảocác dữ liệu quan trọng của cơ quan, tổ chức không bị lộ lọt trong trường hợp xấu xảyra.

1.6.2. Sao lưu dự phòng dữ liệu

Bảo vệ dữ liệu quan trọng bằng cách sao lưu chúng vào ổ cứng ngoài hoặc hệthống lưu trữ trên hạ tầng đám mây. Trường hợp thiết bị của bạn bị nhiễm phần mềmđộc hại hoặc bị truy cập bởi tội phạm mạng, dữ liệu của bạn có thể bị hỏng, bị xóahoặc mã hóa đòi tiền chuộc ransomware.

Tuy nhiên, để việc sao lưu, phục hồi dữ liệu hiệu quả cần lưu ý một số nội dungsau:

- Đảm bảo thiết bị di động, ổ cứng ngoài sử dụng để sao lưu dữ liệu tách biệt vớithiết bị đang sử dụng (Không kết nối liên tục qua dây cable vật lý hoặc mạng cục bộ)

- Dịch vụ đám mây rất hữu ích để lưu trữ một bản sao dữ liệu của mình ở nơikhác qua internet.

2. Hướng dẫn thiết lập mật khẩu an toàn dành cho người dùng

Các hướng dẫn những quy tắc cơ bản để thiết lập mật khẩu an toàn sẽ giúp ngườidùng chủ động tạo ra các phương án bảo vệ cơ bản, có giá trị thiết thực trong việc sửdụng các ứng dụng, dịch vụ có xác thực qua mật khẩu. Các nguyên tắc này bao gồm:

2.1. Thay đổi tất cả mật khẩu mặc định

Thay đổi tất cả mật khẩu mặc định trước khi sử dụng hay vận hành ứng

dụng, thiết bị nào đó. Thực hiện kiểm tra thường xuyên các thiết bị và phần mềm hệ thống để

tìm các mật khẩu mặc định chưa thay đổi. Ưu tiên các ứng dụng, thiết bị cơ sở hạ tầng quan trọng.

2.2. Đối phó với tình trạng quá tải mật khẩu

Sử dụng một bộ công cụ để quản lý mật khẩu chuyên dụng.

Chỉ sử dụng mật khẩu khi thực sự cần thiết, như các mật khẩu quan trọng

Không chia sẻ mật khẩu.

2.3. Tạo mật khẩu khó đoán, phức tạp

Tránh việc chọn mật khẩu quá ngắn, đơn giản, dễ đoán và những mật khẩu




phổ biến nhất đã được đưa vào các danh sách đen (blacklist). Mật khẩu khóđoán (Mật khẩu cần bao gồm: chữ hoa, chữ thường trong bảng chữ cái, sốvà các ký tự đặc biệt).

Không nên sử dụng cùng mật khẩu trong công việc và ứng dụng, thiết bị cá

nhân. Có độ dài tối thiểu 8 ký tự và phù hợp với tính chất bí mật của từng loại tài

khoản khác nhau

2.4. Đối với quản trị viên và tài khoản người dùng từ xa

Sử dụng thêm các giải pháp xác thực di động từ xa (USB Token, OTP..)

cung cấp cho quản trị viên, người dùng từ xa. Các quản trị viên phải sử dụng các mật khẩu khác nhau cho các tài khoản

quản trị và các tài khoản khác. Sử dụng biện pháp xác thực hai yếu tố cho tất cả các tài khoản từ xa (nếu

có)

2.5. Không lưu mật khẩu dưới dạng bản rõ

Người dùng không nên lưu trữ mật khẩu dưới dạng bản rõ (không mã hóa)vì các mật khẩu sẽ dễ dàng bị kẻ xấu khai thác, sử dụng.

Người dùng nên lưu trữ trên công cụ quản lý mật khẩu chuyên dụng và ghi

nhớ những mật khẩu quan trọng.

3. Hướng dẫn phòng chống mã độc

3.1. Sử dụng thư điện tử thận trọng

Mã độc có thể lây nhiễm vào máy tính người dùng thông qua các tệp tin đínhkèm thư điện tử. Các tệp tin này thường được đính kèm thư điện tử từ người lạ gửi đếnnạn nhân hoặc thư điện tử giả mạo một cơ quan tổ chức.

Do đó, người sử dụng không nên mở các tệp tin đính kèm thư điện tử nhận đượctừ một người lạ hoặc một người có địa chỉ thư điện tử giống với những người mà mìnhquen biết, mà không rõ lý do nhận được thư.

Ngoài ra, chúng ta có thể sử dụng chương trình phòng chống mã độc để dò quéttệp tin đính kèm trước khi đọc nội dung.

3.2. Sử dụng USB, thiết bị lưu trữ di động cẩn trọng

Phần lớn, người dùng đều đã hoặc đang sở hữu thiết bị USB để lưu trữ dữ liệuphục vụ cho việc học tập, làm việc của bản thân. Các thiết bị lưu trữ hoàn toàn có thểbị nhiễm virus và ransomware (vô tình hoặc cố ý) và sử dụng với mục đích xấu, gâythiệt hại cho người sử dụng chúng. Thậm chí còn có những phần mềm độc hại đượcthiết kế dành riêng cho USB, biến chiếc USB thành công cụ lây nhiễm mã độc trung




gian trên máy tính, qua đó đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm.Một số lưu ý bảo vệ hệ thống, dữ liệu của người dùng khỏi USB, thiết bị lưu trữ

độc hại bao gồm: Không cắm USB chưa xác định nguồn gốc vào các máy tính quan trọng.

Đánh vào tâm lý tò mò của con người cũng là một kỹ thuật tấn công phổbiến của tin tặc. Điều này đặc biệt hay xảy ra trong trường hợp bạn nhặtđược USB rơi ở đâu đó.

Không sử dụng chung một ổ USB cho máy tính cả gia đình và cơ quan.Điều này có thể làm giảm nguy cơ lây nhiễm chéo giữa các máy tính.

Luôn bật các tính năng bảo mật như xác thực mật khẩu, vân tay (nếu có)

đối với kết nối USB. Điều này sẽ giúp bảo vệ thiết bị khỏi hoạt động truycập vật lý của tin tặc.

Luôn cập nhật phần mềm trên máy tính của bạn lên phiên bản mới nhất đểđược bảo vệ tối đa trước các loại mã độc, lỗ hổng bảo mật đã biết.

Luôn dùng giải pháp phòng chống phần mềm độc hại như Anti-Virus,

Endpoint Security để rà quét, tìm và loại bỏ các mã độc trên các thiết bịlưu trữ di động trước khi sử dụng.

3.3. Cẩn thận khi truy cập các trang web trên mạng Internet

Chỉ cần truy cập vào một trang web độc hại là người dùng đã có thể bị lây nhiễmmã độc vào máy tính của mình. Các trang web này thường dụ dỗ người sử dụng truycập thông qua các liên kết gửi qua mạng xã hội, thư điện tử hay tin nhắn. Vì vậy,người sử dụng cần thật cẩn trọng khi truy cập vào các trang web lạ được gửi đến từngười khác trong quá trình sử dụng các dịch vụ trên mạng Internet

Hầu hết các trình duyệt Internet sẽ cảnh báo các trang web độc hại. Tuy nhiên,người sử dụng vẫn phải cảnh giác cho dù các trình duyệt Internet không cảnh báo.

3.4. Không sử dụng phần mềm bẻ khoá, vi phạm bản quyền

Phần mềm độc hại có thể tồn tại trong các phần mềm bẻ khoá, phần mềm miễnphí hay có trả phí nhưng không được tải từ chính trang web của nhà phát triển. Cácphần mềm này thường được đính kèm virus, mã độc và sẽ được kích hoạt khi ngườidùng chạy các phần mềm này. Vì vậy, không nên tải, sử dụng hay cài đặt phần mềm bẻkhoá hoặc phần mềm được chia sẻ trên các diễn đàn, mạng xã hội mà người dùngkhông rõ nguồn gốc.

Cách tốt nhất để phòng chống mã độc là tải phần mềm tại ngay chính trang webcủa nhà sản xuất để tránh trường hợp tải phải phiên bản “giả mạo” kèm sẵn mã độc

3.5. Sử dụng phần mềm diệt virus

Mỗi máy tính hay điện thoại cần được cài đặt các chương trình diệt mã độc. Cácchương trình này sẽ tự động dò quét các tệp tin hay thư điện tử và cảnh báo người sử




dụng khi phát hiện mã độcTrên thị trường hiện nay, có nhiều chương trình diệt virus miễn phí và có trả phí.

Các chương trình miễn phí có ít chức năng hơn nhưng cũng có thể giúp người dùng cơbản chống lại các mã độc thông dụng.

Một số chương trình diệt virus do Việt Nam sản xuất có khả năng bảo vệ tốt đốivới người sử dụng Việt Nam.

4. Phòng chống thư điện tử lừa đảo, giả mạo

Các biện pháp phòng vệ dù có được triển khai, đầu tư hoàn thiện đến đâu thì giảipháp căn bản nhất của việc ngăn chặn và phòng chống lừa đảo thường phụ thuộc hoàntoàn vào khả năng người dùng có thể phát hiện các thư điện tử lừa đảo hay không. Dođó, công tác tuyên truyền, đào tạo, nâng cao nhận thức cho đối tượng người dùng nhậnbiết được phương thức, hành vi của những kẻ tấn công lừa đảo qua thư điện tử cầnđược phổ cập, tổ chức định kỳ, thường xuyên.

4.1. Một số gợi ý phát hiện thư điện tử lừa đảo đối cho người dùng

4.1.1. Không nên tin tưởng tên hiển thị trong mail

Một chiến thuật lừa đảo yêu thích của các tin tặc là giả mạo tên hiển thị của mộtthư điện tử để đánh lừa người nhận. Các tên hiển thị hay được giả mạo như tên của cácCông ty, tổ chức, hãng lớn; Người quen của bạn; Người nổi tiếng …

4.1.2. Cân nhắc kỹ lưỡng khi bấm vào liên kết trong thư điện tử

Cẩn trọng khi bấm vào bất cứ liên kết (link) được gửi trong nội dung thư điện tử.Liên kết (link) đó có thể dẫn bạn tới một website lừa đảo giả mạo, quảng cáo hay mộtwebsite độc hại mà tin tặc dựng lên để tấn công.

4.1.3. Bỏ qua các thư điện tử yêu cầu cung cấp thông tin cá nhân của bạn

Một tổ chức, công ty, ngân hàng,…sẽ không yêu cầu người sử dụng cung cấpthông tin cá nhân. Do vậy bạn hoàn toàn có thể bỏ qua chúng khi nhận được các thưđiện tử với nội dung đó. Và thậm chí hạn chế tối đa, cân nhắc cẩn thận khi cung cấpthông tin cá nhân cho bất kỳ tổ chức nào.

4.1.4. Cẩn trọng với các thư điện tử có tiêu đề “Hấp dẫn Nhạy cảm Khẩn ‐ Nhạy cảm ‐ Khẩn ‐ Nhạy cảm ‐ Khẩn cấp”

Đánh vào tâm lý của người dùng, các tin tặc thường xuyên sử dụng các tiêu đềemail có tính Hấp dẫn – Nhạy cảm Khẩn cấp trong thư điện tử để lừa người dùng.‐ Nhạy cảm ‐ Khẩn cấp”Chúng ta bị tiêu đề đó làm chủ quan, mất cảnh giác, hay thậm chí là hoảng hốt và cảmthấy cần phải xử lý gấp. Ví dụ như: “Cập nhật bảng lương công ty Quý 2/2019” ;“Cảnh bảo: Tài khoản của bạn bị đình chỉ” …




4.1.5. Cẩn thận, cân nhắc khi tải về các File đính kèm trong thư điện tử

Tấn công bằng việc cài mã độc, virus trong các file đính kèm trong thư điện tử làphương thức tấn công phổ biến và hiệu quả nhất hiện nay. Không nên tải và mở chạyfile ngay khi nhận được các thư điện tử có file đính kèm. Chú ý tới định dạng file vàtạo thói quen quét virus với các file đính kèm trước khi mở chúng, đặc biệt là các tậptin đính kèm có đặt mật khẩu gửi kèm theo nhằm qua mặt các giải pháp bảo vệ ở lớpmạng.

4.1.6. Nhận diện các thư điện tử spam – thư điện tử quảng cáo

Người dùng cần cảnh giác khi nhận các thư điện tử spam, thư điện tử quảng cáotừ Internet. Trong các thư điện tử này thường đi kèm với nhiều rủi ro mất an toànthông tin mà chúng ta không mong muốn như: lừa đảo, mã độc, gây ảnh hưởng tớicông việc khi nhận quá nhiều…

4.1.7. Cẩn trọng với các tin nhắn rác

Cũng tương tự như thư điện tử spam thì các tin nhắn rác (sms spam) cũng gâycho người dùng rất nhiều phiền toái. Bên cạnh đó ngày nay các tin nhắn rác thườngxuyên được sử dụng như một phương thức để lừa đảo người dùng như: Bạn trúngthưởng một xe SH….Nhắn tin, gọi tới 1800XXXX, 1900XXXX, 1900XXXXXX,6XXX, 7XXX, 8XXX, 9XXX,… Truy cập vào đường link, trang web

4.2. Các khuyến nghị khi nhận được các thư điện tử lừa đảo

Nếu bạn phát hiện ra một thư điện tử đáng ngờ, hãy đánh dấu nó là Spam/

Junk hoặc nghi ngờ trong hộp thư đến thư điện tử của bạn. Điều này sẽđưa nó ra khỏi hộp thư đến của bạn và cũng nói với nhà cung cấp/hệ thốngthư điện tử của bạn rằng bạn đã xác định nó là không an toàn.

Báo cáo đến quản trị viên, bộ phận, đơn vị chuyên trách ATTT về các thưđiện tử, cuộc gọi điện thoại hoặc tin nhắn đáng ngờ liên quan đến lừa đảo.

Khi nhận được tin nhắn rác: Vui lòng chuyển lại tới đầu số miễn phí 456

của Bộ Thông tin và Truyền thông để được xử lý. Sử dụng các ứng dụngchuyên chặn các tin nhắn rác trên thiết bị di động

5. Hướng dẫn sử dụng mạng xã hội an toàn

Trong môi trường làm việc từ xa (chủ yếu là tại nhà), người dùng có xu hướng sửdụng mạng xã hội nhiều hơn tại cơ quan. Tuy nhiên, như xã hội thực tế, không mộtmạng xã hội trên Internet, thế giới ảo hay trò chơi trực tuyến nào đảm bảo được 100%an toàn cho người sử dụng. Trong khi mạng xã hội được xem là phương tiện giao tiếptốt với mọi người thì nó cũng trở thành mục đích cho tội phạm mạng. Các hãng bảomật lớn đã và đang theo dõi được các chiến dịch đe dọa trực tuyến ngày càng tăng lợidụng mạng xã hội để đánh cắp thông tin sử dụng cho mục đích kiếm tiền. Những đe




dọa này ngày càng phức tạp hơn, khó phát hiện hơn và thường nhắm vào lối sống “kếtbạn trực tuyến” của mọi người.

5.1. Các rủi ro khi sử dụng mạng xã hội

Mạng xã hội hoạt động trên nguyên tắc kết nối và chia sẻ thông tin. Do đó, cácmạng xã hội sẽ bắt buộc người dùng phải cung cấp một số nhất định các thông tin cánhân. Càng nhiều thông tin mà người sử dụng cung cấp lên mạng xã hội, càng làmtăng nguy cơ bị kẻ xấu lợi dụng. Các hãng bảo mật lớn đã quan sát được làn sóng đedọa trực tuyến ngày càng tăng lợi dụng mạng xã hội để đánh cắp thông tin sử dụng chomục đích kiếm tiền. Những đe dọa này ngày càng phức tạp hơn, khó phát hiện hơn vàthường nhắm vào lối sống “kết bạn trực tuyến” của mọi người.

Làm ảnh hưởng tới hình ảnh, uy tín của bản thân. ‐ Nhạy cảm ‐ Khẩn cấp” Sử dụng các thông tin đưa lên mạng xã hội như: vị trí địa lý, sở thích cá nhân,‐ Nhạy cảm ‐ Khẩn cấp”

danh sách bạn bè, kẻ xấu có thể khai thác thêm các thông tin cá nhân khác hoặc các dữliệu tài chính, ngân hàng của người dùng.

Luôn luôn phải đối mặt với nguy cơ bị tấn công, bị cài phần mềm gián điệp làm‐ Nhạy cảm ‐ Khẩn cấp”lộ các thông tin mật của cá nhân hoặc cơ quan, tổ chức.

Mạng xã hội có thể gây nghiện và có nguy cơ giành quá nhiều thời gian vào‐ Nhạy cảm ‐ Khẩn cấp”mạng xã hội, làm ảnh hưởng đến công việc và gia đình

5.2. Làm sao để bảo vệ bản thân trên mạng xã hội

- Hạn chế tối đa sử dụng mạng xã hội (không phục vụ mục đích công việc) trongkhoảng thời gian làm việc từ xa.

- Phòng, chống thông tin giả mạo, sai lệch: Không đăng tin chia sẻ, bình luận,tương tác với các nội dung thông tin chưa được kiểm chứng từ các nguồn báo chíchính thống hoặc cơ quan có thẩm quyền.

- Nếu phát hiện thông tin nghi vấn, giả mạo, sai lệch phải thông báo với cơ quanchức năng có thẩm quyền.

6. Hướng dẫn sử dụng an toàn mạng không dây

Trong những năm gần đây, mạng không dây ngày càng trở nên phổ biến, giáthành thấp và dễ sử dụng. Người dùng có thể lắp đặt để truy cập mạng không dây tạinhà hoặc sử dụng máy tính xách tay, thiết bị di động thông minh để truy cập tại nhữngnơi công cộng như quán café, sân bay, khách sạn... Việc sử dụng mạng không dây sẽrất tiện lợi và đơn giản nhưng nó cũng tiềm ẩn rất nhiều nguy cơ mất an toàn thông tin.

Nếu mạng không dây không được bảo vệ đúng mức thì bất cứ một máy tính nàocó hỗ trợ truy cập không dây nằm trong vùng phủ sóng của thiết bị phát sóng đều cóthể kết nối để truy cập Internet. Ở ngoài trời, phạm vi này có thể đạt tới hơn 300m. Vìvậy, bất cứ ai ở xung quanh cũng có thể dễ dàng truy cập vào thiết bị phát sóng này




6.1. Các nguy cơ

Bị xâm phạm dịch vụ: dung lượng, số lượng kết nối ... có thể vượt quá giới hạnmà nhà cung cấp dịch vụ cho phép, tốc độ có thể rất chậm do bị chiếm dụng băngthông.

Bị lợi dụng: một số người có thể lợi dụng hệ thống để thực thi những hành độngbất hợp pháp.

Bị theo dõi: các hoạt động trên internet có thể bị theo dõi, những thông tin nhạycảm (mật khẩu, số thẻ tín dụng có thể bị đánh cắp).

Bị tấn công: các tệp tin trên máy tính có thể bị truy cập trái phép, máy tính có thểbị cài đặt spyware và các chương trình độc hại khác

6.2. Các phương pháp thiết lập mạng không dây an toàn

Do chi phí triển khai các mạng không dây nhỏ tại gia đình, khu vực nhỏ các biệnpháp bảo đảm an toàn thông tin là một vấn đề không được lưu tâm đầu tư, nên một sốbiện pháp có thể áp dụng để giảm thiểu rủi ro mất an toàn thông tin bao gồm:

- Cập nhật phần mềm, firmware cho các thiết bị truy nhập và các điểm truy nhậpvới phiên bản mới nhất do nhà sản xuất cung cấp.

- Kích hoạt các phương thức mã hóa WEP/WPA/WPA2 theo thứ tự ưu tiên sửdụng WPA2, WPA nếu thiết bị hỗ trợ.

- Thay đổi tên mạng không dây (Service Set Identifier - SSID) mặc định do cácnhà sản xuất cài đặt sẵn, chú ý không sử dụng các tên gọi có gợi ý như tên đường phốhay địa chỉ, công ty, nhà riêng hay họ tên các thành viên trong gia đình, cơ quan, vănphòng. Có thể lựa chọn thêm tính năng “ẩn” tên mạng không dây, nghĩa là các thiết bịthu nhận sẽ không nhìn thấy các tên mạng bị ẩn này mà phải thiết lập thủ công.

- Không kích hoạt chức năng quảng bá SSID. Để thực hiện tính năng này, cầnđảm người dùng hợp pháp đã lưu trữ thông tin SSID trên thiết bị.

- Lọc địa chỉ MAC (Media Access Control): Một vài điểm truy nhập có khả năngchấp nhận các kết nối chỉ đối với các địa chỉ MAC đáng tin cậy là các địa chỉ duy nhấttrên mạng (không trùng khớp nhau). Thực hiện điều này là rất khó khăn trong một môitrường với hơn 20 người dùng do việc thiết lập điểm truy nhập bằng tay rất mất thờigian. Tuy nhiên, nó có thể được thiết lập một cách đơn giản trong môi trường nhà ở vàvăn phòng nhỏ.




PHỤ LỤC 01HƯỚNG DẪN THIẾT LẬP PHÒNG CHỐNG

TẤN CÔNG LỪA ĐẢO QUA THƯ ĐIỆN TỬ (PHISHING)

Tấn công lừa đảo là một dạng tấn công phổ biến, tấn công trực diện vào sự thiếuhiểu biết của người dùng. Kẻ tấn công sử dụng các kỹ nghệ xã hội của mình lôi kéonhững người khác tiết lộ thông tin mà có thể được sử dụng để đánh cắp dữ liệu, truycập vào hệ thống, truy cập vào điện thoại di động, tiền bạc, hoặc thậm chí thông tinriêng của bạn. Các tấn công như vậy có thể rất đơn giản hoặc rất phức tạp tùy vào mụctiêu, đối tượng tấn công. Việc tiếp cận thông tin qua thư điện tử, điện thoại hoặc quacác trang web mà bạn truy cập đã đưa thêm vào một chiều hướng mới đối với các kẻlừa đảo.

Hướng dẫn này nhằm bảo vệ cơ quan, tổ chức cung cấp một số phương án cơ bảnđể cải thiện khả năng của tổ chức của bạn trước các cuộc tấn công lừa đảo qua hệthống thư điện tử, cũng như giảm thiểu sự gián đoạn đến năng suất của người dùng.

Hướng dẫn này nhằm giúp bạn bảo mật hệ thống thư điện tử của tổ chức mình,theo hai cách riêng biệt:

a) Hạn chế thư điện tử giả mạo được gửi từ chính tên miền của cơ quan, tổchức

Điều này sẽ đạt được bằng cách định cấu hình các điều khiển chống giả mạo hiệuquả trên các miền của bạn. Tóm tắt:

• Khung chính sách người gửi (SPF) cho phép bạn thiết lập các địa chỉ IP đángtin cậy cho miền của bạn.

• Thư xác định khóa tên miền (DKIM) cho phép bạn ký mật mã thư điện tử bạngửi để hiển thị nó từ tên miền của bạn. Mặc dù DKIM không được hỗ trợ rộng rãi nhưSPF, nhưng nó có lợi thế là có thể hỗ trợ thư điện tử chuyển tiếp.

• Xác thực thư, báo cáo và tuân thủ dựa trên tên miền (DMARC) cho phép bạnđặt chính sách về cách nhận máy chủ thư điện tử nên xử lý thư điện tử mà không vượtqua kiểm tra SPF hoặc DKIM. Điều này bao gồm các thư điện tử không đáng tin cậy,cần được loại bỏ. DMARC cũng tạo các báo cáo mà bạn có thể sử dụng để hiểu cáchthư điện tử của bạn được xử lý.

b) Bảo vệ hệ thống thư điện tử trong truyền đưa trên mạng với giao thức mãhóa

Dịch vụ của bạn phải có khả năng gửi và nhận thư điện tử qua các mạng khôngtin cậy như Internet bằng cách sử dụng giao thức TLS.

Hướng dẫn này yêu cầu người quản trị viên có kiến thức và kinh nghiệm trướcđây về việc quản lý tên miền và hệ thống thư điện tử cho các tổ chức của họ.

1. Chọn một công cụ quản lý, kiểm tra chống giả mạoĐể kiểm tra cấu hình mail server đã đảm bảo để chống giả mạo hay chưa cơ quan

tổ chức có thể kiểm tra bằng các công cụ để kiểm tra cấu hình DMARC, SPF, DKIM




có chính xác hay không. Hoặc có thể sử dụng công cụ kiểm tra online trên tranghttps://khonggianmang.vn. Các công cụ này thường đưa ra lời khuyên về cách sửa cấuhình. Chúng tôi khuyên bạn nên sử dụng một trong những công cụ này để đánh giá bảomật email và các biện pháp chống giả mạo.

Ngoài ra, cơ quan tổ chức có thể đăng ký dịch vụ hỗ trợ phòng chống giả mạothư điện tử của Trung tâm Giám sát không gian mạng quốc gia (NCSC) để được tưvấn, hỗ trợ chuyên sâu.

2. Cấu hình các điều khiển chống giả mạo2.1. Tạo và quản lý bản ghi SPF Bản ghi SPF (sender policy framework) được tạo trên hệ thống DNS cho tên

miền của tổ chức. Mục đích của bản ghi SPF là ngăn chặn kẻ gởi tin rác gởi tin nhắngiả mạo từ địa chỉ tên miền của bạn. Người nhận có thể tham chiếu đến bản ghi SPF đểxác định liệu nội dung tin nhắn tới từ domain của bạn có được thẩm quyền từ máy chủmail.

Hướng dẫn tạo SPF:1. Lấy địa chỉ IP của máy chủ trỏ về domain (ví dụ domain abc.vn) trỏ vào, ví dụ

địa chỉ IP là 103.192.0.1112. Vào phần quản lý domain bằn tài khoản quản lý tên miền mà nhà cung cấp

dịch vụ đã cung cấp khách hàng3. Thêm 1 record với thông tin sau:

Tên mục Ví dụ thiết lập Chi tiết

Loại TXT Chọn loại bản ghi

TênNhập tên máy chủ lưu trữ (Trường hợp xxx.z.com thì chỉ nhập xxx)

TTL 3600Nhập thời gian có hiệu lực của thông tin bản ghi trong khoảng từ 60 giây đến 214,748,3647 giây

Giá trịv=spf1 ip4:Địa chỉ IP/32 -all

Nhập nội dung của bản ghi SPF

2.2. Tạo và quản lý bản ghi DKIM Ngoài việc xác thực tên miền gửi thư điện tử bằng SPF, quản trị cần phải cấu

hình thêm bản ghi DKIM để tăng tính tin cậy cho tên miền khi gửi mail và đồng thờiviệc này sẽ giảm thiểu tối đa việc thư điện tử bị rơi vào spam.

Đây là một phương pháp xác thực chứ không phải là một phương pháp chốngspam. Nhưng vì có tính năng đảm bảo thư gửi là thật (địa chỉ người gửi, hay ít nhất tênmiền gửi thư là thật) trong khi thực tế đa số spam đều là thư giả mạo (mạo tên người




khác, tên miền khác) nên nó hỗ trợ việc chống spam.Tùy theo hệ thống Mail server khác nhau sẽ có hướng dẫn khác nhau về cấu hình

DKIM ở phía server, nhưng hầu hết đều phải thực hiện các bước:Bước 1: Sinh ra cặp khóa private/public, có nhiều phần mềm hỗ trợ việc này (ví

dụ: OpenSSL)Bước 2: Đưa khóa Public lên khai báo bản ghi TXT trên DNS theo đúng domain

gửi thư điện tử.Bước 3: Cấu hình Mail server sử dụng khóa private để ký vào thư điện tử trước

khi gửi thư điện tử. Khóa này chỉ lưu trên Mail server nên không thể giả mạo.Nếu bạn đang định cấu hình DKIM trực tiếp trên các máy chủ thư điện tử của

mình, cần phải tạo cặp khóa công khai/khóa riêng RSA. Cơ quan, tổ chức nên sử dụngkhóa 2048 bit. Các khóa DKIM không hết hạn, nhưng cơ quan, tổ chức nên thay đổichúng theo định kỳ (chúng tôi đề xuất 12 tháng một lần). Tạo khóa mới với bộ chọnmới và làm theo các bước tương tự như trên. Giữ bản ghi DNS cũ tồn tại trong vàingày sau khi thực hiện thay đổi, để cho máy chủ DNS cập nhật.

2.3. Tạo và thiết lập bản ghi DMARCDMARC là viết tắt của cụm từ “Domain-based Message Authentication & Con-

formance” hoạt động dựa trên sự kết hợp cả hai SPF và DKIM. Biện pháp kĩ thuật nàyđược tạo ra nhằm giảm thiểu việc lạm dụng thư điện tử thông qua việc giải quyết cácvấn đề của giao thức xác thực thư điện tử. Những vấn đề này gắn liền với khuôn khổchính sách người gửi (SPF) và cơ chế để xác định các miền thư điện tử (DKIM).

DMARC nâng cao hơn so với DKIM và SPF khi nó cho ta quyền thiết lập mộtpolicy để loại bỏ (p=reject) hay cách ly (p=quarantine- thường hành động là cho mailnày vào SPAM folder) hoặc lắng nghe (p=none) một thư điện tử từ một nguồn khôngrõ ràng hoặc không có độ tin cậy dựa trên kết quả của DKIM và SPF.

Cấu hình bản ghi trên máy chủ DNS của bạn như chi tiết như sau: Host/Name: _dmarc

Value/Destination: v=DMARC1;p=none;rua=mailto: master@do-

main.com (có thể thay thế bằng tài khoản quản trị để nhận thông báohoặc không điền)

Lưu ý: Chỉ thêm bản ghi DMARC sau khi đã cấu hình hoàn chỉnh bản ghi SPFvà DKIM cho hệ thống.

Bản ghi này, chúng ta đã sử dụng “p=none” thay vì từ chối “p=reject”. Và thêmnữa “none” sẽ cho biết đây là chế độ test mode. Các máy chủ mail nhận kiểm tra từngmessage gửi đến, khác là nó sẽ chỉ gửi về các report mà không thực hiện bất cứ hànhđộng cụ thể nào. Từ đó cho phép thu thập được các thông tin chi tiết về những địa chỉmail server gửi về từ trước khi có quyết định để thực hiện một hành động cụ thể.

3. Theo dõi và cập nhật bản ghi máy chủ DNS Sau khi chuyển đổi cập nhật các bản ghi DNS của cơ quan tổ chức từ “lắng




nghe” (p=none) sang chính sách “cách ly” (p=quarantine) hoàn toàn, các quản trị viênnên theo dõi các báo cáo của mình trong ít nhất 4 tuần để có được sự tin cậy rằng cácthư điện tử hợp pháp không bị cách ly nhầm lẫn

3.1. Định hướng cho DMARC thiết lập chính sách từ chốiGiai đoạn hoàn thiện các thiết lập DMARC khi các cơ quan tổ chức chuyển sang

chính sách “từ chối” hoàn toàn (p=reject) để ngăn các thư điện tử giả mạo, phát tán nộidung rác, ngay sau khi hệ thống đã hoàn thiện cấu hình chính xác các bản ghi DKIMvà SPF trong hệ thống DNS của tổ chức.

Tại thời điểm này, bạn nên tự tin rằng bạn có bản ghi SPF chính xác và DKIMđang đăng nhập các tin nhắn gửi đi. Khuyến nghị các cơ quan, tổ chức nên cập nhậtbản ghi DMARC của mình thành chính sách từ chối (p=reject) và áp dụng nó cho mộttỷ lệ nhỏ thư điện tử trước, ví dụ bản ghi được áp dụng cho 50% thư điện tử như sau:

v=DMARC1;p=reject;pct=50;rua=mailto:[email protected] đó:

Chính sách là DMARC (v = DMARC1)

Từ chối bất kỳ mẫu thư điện tử nào không vượt qua kiểm tra DMARC (p

= reject) Xử lý 50% thư điện tử nhận được theo cách này (pct = 50)

Báo cáo chi tiết gửi về người quản trị (rua = mailto: [email protected])

3.2. Các giải pháp bảo vệ bổ sungNgoài các phương pháp thiết lập, cấu hình quản lý, ngăn chặn các các thư điện tử

giả mạo, lừa đảo, phát tán nội dung rác, khuyến nghị đầu tư, triển khai các giải pháp,kỹ thuật bổ sung bảo vệ hệ thống thư điện tử.

Các giải pháp bảo vệ như hệ thống thư điện tử ở tầng biên (Secure Thư điện tửGateway), hệ thống lọc và ngăn chặn thư rác (Anti Spam Gateway) giúp bổ sungphương án bảo vệ hữu hiệu, tập trung từ các mối nguy hại bên ngoài tổ chức. Giảipháp này có nhiều phương án triển khai, nhưng phổ biến nhất triển khai ở tầng biên,đứng trước máy chủ thư điện tử nhằm phát hiện các thư điện tử giả mạo, thư rác và cácthư có chứa phần mềm độc hại.




PHỤ LỤC 02QUẢN LÝ VÀ THIẾT LẬP MẬT KHẨU

AN TOÀN CHO CƠ QUAN, TỔ CHỨC

Chính sách quản lý mật khẩu an toàn sẽ giúp cơ quan, tổ chức hiểu rõ lợi ích vàhạn chế của mật khẩu, giúp đồng bộ theo hướng tiếp cận quản lý, các biện pháp kỹthuật có thể giảm gánh nặng mật khẩu cho người dùng; giúp người dùng tạo và quản lýmật khẩu khó đoán hơn. Các chính sách quản lý mật khẩu an toàn hiệu quả sẽ baogồm:

1. Giảm sự phụ thuộc của tổ chức vào mật khẩuCó những trường hợp mật khẩu vẫn là một giải pháp thích hợp, ví dụ như truy

cập vào mạng Wi-Fi của khách. Tuy nhiên, hiện nay mật khẩu đã được sử dụng quámức và áp dụng trong nhiều lĩnh vực mà chúng không phù hợp. Một cách tốt để giảmthiểu gánh nặng mật khẩu là chỉ thực hiện mật khẩu khi chúng thực sự cần thiết và phùhợp.

Các giải pháp kỹ thuật dưới đây cũng có thể giảm gánh nặng cho nhân viên. Mặcdù những điều này có thể phải chịu một số chi phí thiết lập và vận hành bổ sung,nhưng chúng rất dễ sử dụng và cải thiện toàn bộ bảo mật hệ thống, do đó có thể cungcấp giá trị tốt trong dài hạn:

- Sử dụng xác thực đa yếu tố (MFA - multi-factor authentication) cho các tàikhoản quan trọng. Một trong những cách hiệu quả nhất để cung cấp bảo vệ bổ sungcho tài khoản được bảo vệ bằng mật khẩu là sử dụng MFA. Các tài khoản đã đượcthiết lập để sử dụng MFA sẽ yêu cầu thêm tối thiểu một yếu tố nữa, đó là những thứchỉ có bạn có thể truy cập. Đây có thể là mã được gửi cho bạn bằng tin nhắn văn bảnhoặc do ứng dụng tạo ra, vì vậy ngay cả khi kẻ tấn công phát hiện ra mật khẩu, họ sẽkhông thể truy cập vào tài khoản được liên kết mà không ảnh hưởng đến yếu tố khác.

- Sử dụng hệ thống đăng nhập một lần (SSO - Single sign-on) cho phép nhânviên chỉ sử dụng một bộ thông tin đăng nhập để tự động truy cập vào nhiều ứng dụngvà dịch vụ. Vì vậy, người dùng có thể đăng nhập vào máy làm việc của họ và có quyềntruy cập vào mọi thứ họ cần mà không cần phải nhập một bộ thông tin xác thực khác.SSO có thể ở dạng cổng thông tin dựa trên web xác thực người dùng trên tất cả cácdịch vụ. Điều này làm giảm áp lực cho người dùng tạo và phải ghi nhớ mật khẩu. Tuynhiên, nhược điểm của nó là nếu kẻ tấn công có được tài khoản hoặc mật khẩu củangười dùng, kẻ tấn công đó có thể dễ dàng truy cập vào nhiều nội dung hơn so vớinhững gì họ có trong hệ thống truyền thống. Vì lý do này, lời khuyên khi sử dụng SSOnên được triển khai kèm MFA.

2. Triển khai các biện pháp kỹ thuậtBảo vệ hệ thống của cơ quan, tổ chức phải luôn dựa vào các biện pháp kỹ thuật

hiệu quả thay vì phụ thuộc vào hành vi người dùng không thể kiểm soát được. Do đó,




một giải pháp kỹ thuật cần được các cơ quan tổ chức vận dụng triển khai phù hợp nhưsau:

- Quản lý số lần đăng nhập sai hoặc khóa tài khoản: Các hệ thống mật khẩu cóthể được cấu hình để có thể kiểm soát thời gian tăng dần giữa các lần đăng nhập liêntiếp. Điều này hạn chế số lần đoán mật khẩu kẻ tấn công có thể thử, đồng thời cungcấp cho người dùng nhiều cơ hội để nhớ mật khẩu của họ. Một cách khác là thiết lậpkhóa tài khoản người dùng khi nhập sai mật khẩu nhiều với số lần nhất định. Nếu sửdụng khóa tài khoản, khuyến nghị nên cho phép từ 5 đến 10 lần nhập sai trước khi tàikhoản bị khóa.

- Giám sát an toàn, an ninh: Cơ quan, tổ chức có thể sử dụng hệ thống giám sátan toàn thông tin để phát hiện và cảnh báo về những gì có thể là dấu hiệu của hành viđộc hại hoặc bất thường, chẳng hạn như:

Đăng nhập không thành công bước thứ hai của MFA

Tấn công dò quét mật khẩu và tài khoản

Cố gắng đăng nhập từ các khu vực, vị trí lạ

Báo cáo về việc khóa tài khoản đột xuất hoặc hành vi tài khoản bất thường

khác từ người dùng3. Bảo vệ tất cả mật khẩu trong lưu trữ, truyền đưa hay đã bị hủy bỏMật khẩu cần được bảo vệ trong hệ thống của bạn, ngay cả khi thông tin tài

khoản đã hủy bỏ hoặc vô hiệu hóa. Việc tái sử dụng thông tin mật khẩu của ngườidùng, kẻ tấn công có thể sử dụng để cố gắng truy cập vào các tài khoản quan trọnghơn, hoặc gây ra các thiệt hại nghiêm trọng khác.

- Không lưu trữ mật khẩu dưới dạng không mã hóa (plain text): Đảm bảo tất cảcác hệ thống bạn triển khai không lưu trữ mật khẩu dưới dạng không mã hóa (bản rõ –plain text). Tất cả mật khẩu phải được lưu trữ ở định dạng băm. Tuy nhiên, những kẻtấn công vẫn có thể sử dụng các cuộc tấn công để đảo ngược các hàm băm mật mã đểlấy lại mật khẩu từ các bảng băm bị đánh cắp. Do đó, các ứng dụng nên thêm mộtchuỗi ngẫu nhiên được tạo ra (salt) vào mật khẩu trước khi băm. Hàm băm phải tuântheo các tiêu chuẩn chung (như PBKDF2), ví dụ SHA-256.

- Ưu tiên bảo mật các tài khoản quan trọng hoặc dễ bị tổn thương: Mặc dù tất cảmật khẩu cần được bảo vệ, nhưng các tài khoản có quyền truy cập đặc quyền cao vàohệ thống, dịch vụ và dữ liệu (hoặc tài khoản có thể truy cập bên ngoài như dịch vụđám mây hoặc truy cập từ xa) đặc biệt hấp dẫn đối với kẻ tấn công. MFA nên làphương pháp chính để bảo vệ các tài khoản này, việc áp dụng các yêu cầu phức tạp vềmật khẩu bổ sung cho các tài khoản này cũng cần xem xét tính đến, tùy theo tình hìnhthực tế.

4. Giúp người dùng đối phó với tình trạng quá tải mật khẩuSử dụng phần mềm quản lý mật khẩu hoặc phương án lưu trữ an toàn khác: Các

cơ quan, tổ chức nên cung cấp các phương tiện thích hợp để lưu trữ mật khẩu. Khuyến




nghị sử dụng các trình quản lý mật khẩu để lưu trữ an toàn bất cứ khi nào thích hợp.Cũng như cung cấp lưu trữ an toàn, người quản lý mật khẩu có thể giúp người dùngbằng cách tạo và tự động điền mật khẩu khi được yêu cầu. Tất cả các dịch vụ trựctuyến đều nên sử dụng trình quản lý mật khẩu và người dùng nên được phép dán mậtkhẩu vào các biểu mẫu web.

Không thực thi hết hạn mật khẩu thường xuyên: Thay đổi mật khẩu thườngxuyên gây hại nhiều hơn là cải thiện bảo mật. Nhiều hệ thống sẽ buộc người dùng thayđổi mật khẩu theo định kỳ, thường là cứ sau 30, 60 hoặc 90 ngày. Điều này áp đặtgánh nặng lên người dùng và có thể mất chi phí liên quan đến việc khôi phục tàikhoản.

Buộc hết hạn mật khẩu không mang lại lợi ích thực sự vì: Người dùng có thể tạo mật khẩu mới chỉ là các sửa đổi nhỏ của mật khẩu

cũ Mật khẩu bị đánh cắp thường được khai thác ngay lập tức

Kẻ tấn công có quyền truy cập vào tài khoản có thể cũng sẽ nhận đượcyêu cầu đặt lại mật khẩu

nếu bị xâm nhập qua bộ nhớ không an toàn, kẻ tấn công sẽ có thể tìm thấy

mật khẩu mới ở cùng một nơiThay vì buộc các quy đinh hết hạn, bạn nên ngăn chặn lại việc sử dụng mật khẩu

bị xâm phạm bằng cách: Đảm bảo quy trình quản lý, cấp phát mật khẩu được thực hiện hiệu quả

Tự động khóa tài khoản không hoạt động

Giám sát các hành vi đăng nhập đáng ngờ (như thời gian đăng nhập bấtthường, đăng nhập bằng thiết bị mới)

Khuyến khích người dùng báo cáo khi có điều gì đó bất thường

5. Giúp người dùng tạo mật khẩu tốt hơnMật khẩu có thể được tạo bởi chính người dùng hoặc có thể được cung cấp bởi

một công cụ hoặc dịch vụ. Dù bằng cách nào, nếu bạn chỉ phụ thuộc vào độ mạnh củamật khẩu (do máy hoặc người dùng tạo) thì hệ thống của bạn sẽ vẫn tiếp xúc với nhiềucuộc tấn công.

- Mật khẩu do công cụ tạo ra: Mật khẩu do máy tạo ra sẽ là ngẫu nhiên và duynhất, chúng giúp loại bỏ những mật khẩu đơn giản để kẻ tấn công đoán. Tuy nhiên,hầu hết các mật khẩu do máy tạo ra rất khó để mọi người nhớ. Vì lý do này, khuyếnnghị người dùng nên sử dụng với trình quản lý mật khẩu. Hầu hết các trình quản lýmật khẩu có bao gồm kèm một trình tạo mật khẩu ngẫu nhiên và nhân viên nên đượckhuyến khích sử dụng phương thức này.

- Mật khẩu do người dùng tạo ra: Chúng thường nhanh chóng, dễ thực hiện và làcách phổ biến nhất để tạo ra mật khẩu. Tuy nhiên, chúng mang những rủi ro hơnphương thức kia là:




Người dùng có thể sử dụng lại mật khẩu mà họ đã sử dụng trên các hệ

thống khác Người dùng có thể sử dụng mật khẩu dễ đoán (như tên của thú cưng)

Người dùng có thể áp dụng các chiến lược tạo mật khẩu có thể dự đoánđược (chẳng hạn như thay thế chữ ’o, bằng 0)

Điều này có nghĩa là các hệ thống có mật khẩu do người dùng tạo thường sẽ chứamột số lượng lớn mật khẩu yếu sẽ nhanh chóng rơi vào một cuộc tấn công dò quét,đoán tự động. Một số khuyến nghị của cơ quan, tổ chức với nhân viên là:

Hướng dẫn nhân viên nhận biết những ưu và nhược điểm của các phương

pháp tạo mật khẩu khác nhau, để sử dụng phù hợp mục đích. Nếu trình quản lý mật khẩu được sử dụng, khuyến khích sử dụng trình tạo

mật khẩu tích hợp trong công cụ đó. Các yêu cầu phức tạp không cung cấp sự bảo vệ chống lại các cuộc tấn

công thông thường như: Lừa đảo bằng kỹ thuật xã hội (Social engineer-ing) hoặc lưu trữ mật khẩu không an toàn.

Ngăn chặn người dùng thiết lập mật khẩu quá ngắn.

Đừng áp đặt giới hạn vào chiều dài mật khẩu.




PHỤ LỤC 03HƯỚNG DẪN THIẾT LẬP HỆ THỐNG MẠNG RIÊNG ẢO (VPN)

Để kiểm soát và bảo vệ các kết nối truy cập vào hệ thống, các cơ quan, tổ chứccó thể lựa chọn phương án mã hóa tất cả lưu lượng truy cập mạng với một mạng riêngkết nối ảo (VPN - Virtual Private Network). Các kết nối VPN sử dụng một loạt cácgiao thức để thực hiện một kết nối an toàn giữa điểm kết nối vào hệ thống. VPN có thểsử dụng để kết nối từ một mạng có khả năng không an toàn (như kết nối không dâytrong một khách sạn, quán cafe hay tại nhà của nhân viên) đến các nguồn tài nguyênnội bộ trong hệ thống của cơ quan, tổ chức

Công nghệ của VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN (Kếtnối các văn phòng ở xa với cơ quan, tổ chức) và Remote Access VPN (kết nối từngnhân viên với cơ quan, tổ chức):

- Site-to-Site VPN hay còn gọi là LAN-to-LAN VPN sử dụng các thiết bị làmđầu kết nối 2 mạng nội bộ với nhau, giúp các nhân viên không cần phải cấu hình, càiđặt gì thêm.

- Remote Access VPN hay còn gọi là User-to-LAN VPN: Phương pháp nàythường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốn kết nối vàomạng cơ quan, tổ chức một cách an toàn. Chúng cũng cho phép truy cập bất cứ thiết bịnào như máy tính, mobile, và các thiết bị truyền thông khác của nhân viên.

1. Tại sao nên sử dụng VPN?VPN là các kết nối mạng được mã hóa. Điều này cho phép người dùng từ xa truy

cập an toàn các dịch vụ của tổ chức. VPN là một cách để đảm bảo tính bảo mật cho“dữ liệu truyền qua” trên một mạng không tin cậy, nhưng chúng cũng cung cấp một sốlợi ích khác. Ví dụ: Một tổ chức có các văn phòng ở nhiều địa điểm có thể sử dụngVPN để cung cấp cho người dùng từ xa quyền truy cập vào các dịch vụ tệp và thư điệntử của công ty.

Các ưu điểm của giải pháp kết nối qua VPN:- Cho phép các hệ thống kế thừa hoạt động bình thường từ xa- Cung cấp lớp bảo vệ thứ hai giúp bảo vệ các dịch vụ nội bộ của cơ quan, tổ

chức- Bảo vệ các máy chủ, tài nguyên mạng nội bộ khỏi những kẻ tấn công bên

ngoài, không được xác thực- Bảo vệ các thiết bị người dùng khỏi cuộc tấn công mạng bằng cách chặn bắt

gói tin kết nối trực tiếp đến hệ thống. Ví dụ: tấn công giả mạo ARP hoặc tấncông nghe lén khác.

- Buộc các lưu lượng giữa một thiết bị và các dịch vụ bên ngoài vào hệ thốngthông qua các công cụ giám sát bảo vệ nội bộ, chống lại nhiều mối đe dọakhác nhau.




- Vẫn cho phép giám sát, chống thất thoát dữ liệu và kiểm soát lưu lượng truycập mạng vì lý do pháp lý, chính sách của cơ quan, tổ chức.

2. Các yêu cầu thiết lập hệ thống VPNThiết lập hệ thống VPN hiệu quả phụ thuộc nhiều vào kiến trúc, thiết kế xây

dựng hệ thống mạng ban đầu của cơ quan, tổ chức. Nếu hệ thống các cơ quan, tổ chứchiện tại đã có sẵn thiết kế hệ thống sử dụng VPN tích hợp qua các thiết bị lớp biên (Vídụ: Router, Firewall..), yêu cầu người quản trị cần kiểm tra giấy phép (license), sốlượng người dùng kết nối cho phép để bật tính năng này, cho phép cơ quan, tổ chứchoạt động ngay lập tức. Đối với hệ thống các cơ quan, tổ chức hiện tại chưa có sẵnthiết kế hệ thống sử dụng VPN tích hợp, việc thiết lập, đầu tư một máy chủ độc lậpphục vụ hệ thống VPN cần được tính đến, đảm bảo phù hợp với nhu cầu và phạm vicủa cơ quan tổ chức.

Một số lưu ý bảo đảm hệ thống VPN an toàn:2.1. Sử dụng an toàn mạng riêng ảo VPNVPN có hai thành phần chính là: Máy khách và Máy chủ. Cơ quan, tổ chức có

thể muốn sử dụng cùng một nhà cung cấp cho cả hai thành phần hoặc áp dụng một tiêuchuẩn mở và sử dụng các nhà cung cấp khác nhau. Do đó, nên xem xét từng khía cạnhcủa cấu hình VPN phù hợp, tuy nhiên khuyến nghị đảm bảo các yêu cầu:

Sử dụng giao thức IPsec để cung cấp cho bạn sự linh hoạt để lựa chọn

trong số nhiều sản phẩm có thể hoạt động được. Sử dụng xác thực chứng chỉ. Lưu trữ khóa riêng trong bộ lưu trữ được bảo

vệ bằng phần cứng (TPM hoặc TEE) nếu có thể. Sử dụng VPN bắt buộc để đảm bảo các ứng dụng không thể trốn tránh các

giải pháp giám sát doanh nghiệp (nếu bạn sử dụng chúng). Sử dụng VPN tự động kết nối, do đó người dùng thiết bị không bắt buộc

phải kích hoạt thủ công. Sử dụng VPN toàn thiết bị và tránh chia đường hầm để giảm thiểu rủi ro

rò rỉ dữ liệu bên ngoài VPN. Sử dụng trình trợ giúp cổng bị khóa tích hợp sẵn của nền tảng, nếu có,

hoặc triển khai một bên thứ ba. Thực hiện theo hồ sơ mật mã được đề xuất cho IPsec hoặc TLS, nếu phù

hợp.2.2. Các lưu ý khácCó một số vấn đề nhất định không liên quan trực tiếp đến cấu hình của VPN,

nhưng sẽ bị ảnh hưởng bởi sự lựa chọn công nghệ và cấu hình như sau:Cập nhật bảo mật máy khách và máy chủNhư với tất cả các phần mềm, cả thành phần máy khách và máy chủ sẽ cần phải

được cập nhật thường xuyên. Trên các thiết bị mà máy khách được tích hợp vào hệđiều hành, các cập nhật này sẽ tự nhiên xảy ra do các cập nhật nền tảng thường xuyên.




Phần mềm của bên thứ ba sẽ cần được cập nhật theo một số cách khác. Các dịch vụVPN sẽ là một phần của bề mặt tấn công tiếp xúc với internet của tổ chức của bạn, vìvậy sẽ cần được cập nhật nhanh chóng ngay khi các bản vá bảo mật được phát hành

Liên kết với các thiết bị có VPNCác điểm truy cập di động mở rộng (hotspot), liên quan đến việc kết nối một thiết

bị bên ngoài với điện thoại thông minh của bạn để sử dụng kết nối internet trên điệnthoại thông minh.

Tuy nhiên, VPN toàn thiết bị thường có thể có tác động đến cách thức kết nốihoạt động trên nền tảng cơ bản. Một số nền tảng sẽ định tuyến các thiết bị được kết nốikết nối bên ngoài kết nối VPN của điện thoại thông minh, trong khi một số điện thoạithông minh sẽ không định tuyến lưu lượng truy cập được kết nối nếu có VPN toànthiết bị được kết nối.




DỊCH VỤ TRỰC TUYẾN CỦA CHÚNG TÔI

https://service.khonggianmang.vn

Vulnerability Alert

✔ Cảnh báo sớm cụ thể và chi tiết thể đến từng Product/Version của tổ chức

✔ Cung cấp thông tin giải pháp, khuyến nghị với từng lỗ hổng, điểm yếu

✔ Cung cấp các "bản tin kỹ thuật riêng" cho nhóm tổ chức CIIP

✔ Các gói dịch vụ phong phú đa dạng theo từng nhu cầu của tổ chức

✔ Hỗ trợ cảnh báo tức thì khi có thông tin vào Email và SMS

✔ Cung cấp cảnh báo chuyên sâu với những lỗ hổng trên diện rộng

Remote Vulnerability Scanning

✔ Tự động rà quét, đánh giá điểm yếu cho các IP public

✔ Đặt lịch định kỳ để rà soát và đánh giá IP của tổ chức

✔ Có báo cáo định kỳ theo tuần/tháng tùy nhu cầu

✔ Cung cấp khuyến nghị, giải pháp cho từng lỗ hổng đã phát hiện

✔ Quản trị và báo cáo trực quan trên nền tảng Web

✔ Hỗ trợ cảnh báo tức thì khi có thông tin vào Email và SMS

Threat Intelligence Basic

✔ Cung cấp IoC của mã độc, các mạng botnet;

✔ Cung cấp IoC của các chiến dịch tấn công APT

✔ Hỗ trợ tích hợp vào các giải pháp thương mại

✔ Cung cấp API tích hợp với hệ thống

✔ Giám sát các kết nối độc hại, nguy cơ với dải địa chỉ IP của tổ chức

Thông tin liên hệ:Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC)Điện thoại: 024 32091616Email: [email protected]|[email protected]

0101

0202

0303

Documents

TÀI LIỆU HƯỚNG DẪN...Hướng dẫn thiết lập mật khẩu an toàn dành cho người dùng.....12 2.1. Thay đổi tất cả mật khẩu mặc định.....12 2.2. Đối