Mười quy tắc then chốt về an
toàn và bảo mật
.
Nếu một người nào đó có thể thuyết phục bạn chạy chương
trình của anh ta trên máy tính của bạn, nó sẽ không còn là
máy tính của bạn nữa
Nó chính là một trường hợp đáng tiếc của hệ thống máy tính:
khi một chương trình máy tính chạy, nó sẽ thực hiện phần
việc đã được lập trình, thậm chí nếu phần việc đã được lập
trình gây nguy hiểm cho hệ thống máy tính. Đó chính là lí do
tại sao thật là quan trọng khi chạy, thậm chí download một
chương trình từ một tài nguyên không chứng thực. Nếu một
người xa lạ đi tới bạn và đưa cho bạn một chiếc bánh
sandwich, vậy liệu bạn có ăn nó không? Có lẽ là không. Nếu
người bạn thân nhất của bạn đưa bạn chiếc bánh đó thì sao?
có lẽ bạn sẽ ăn, có lẽ bạn sẽ không - điều này phụ thuộc vào
liệu cô ấy làm nó hay tìm thấy nó trên phố. Việc lựa chọn sử
dụng một chương trình cũng giống như bạn với chiếc bánh
sandwich, điều này sẽ giúp bạn an toàn với hệ thống máy tính
của bạn.
2. Nếu một người nào đó có thể sửa đổi hệ
điều hành trên máy tính của bạn, nó sẽ không còn là máy tính
của bạn nữa
Nhìn chung, hệ điều hành chỉ là một tập của các con số 1 và
con số 0, khi được dịch bởi bộ vi xử lí. Việc thay đổi các
con số 1 và số 0, nó sẽ làm cho một vài thứ khác đi. Nơi nào
các con số 1 và số 0 này được lưu? Tại sao, trên hệ thống
máy, thứ tự các con số luôn đi cùng với mọi thứ khác. Chúng
chỉ là các file, và nếu một người nào khác có thể sử dụng hệ
thống và được quyền thay đổi các file đó, điều này có nghĩa
là hệ thống của bạn đã chết.
Anh ta có thể ăn cắp password, tạo cho anh ta có quyền quản
trị hệ thống, hay thêm toàn bộ các chức năng mới tới hệ điều
hành. Để ngăn cản kiểu tấn công này, phải đảm bảo chắc chắn
rằng các file hệ thống được bảo vệ tốt nhất.
3. Nếu một người nào đó truy cập vật lí không hạn chế tới
máy tính của bạn, nó sẽ không còn là máy tính của bạn nữa
Luôn luôn đảm bảo chắc chắn rằng một máy tính được bảo vệ về
mặt vật chất, và nhớ rằng giá trị của hệ thống bao gồm không
chỉ giá trị của bản thân phần cứng, mà còn giá trị của dữ
liệu trên nó, và giá trị truy cập tới mạng của bạn mà người
lạ đó có thể truy cập vào.
Mức tối thiểu, các hệ thống thương mại quan trọng như các
điều khiển vùng (domain controller), các máy chủ cơ sở dữ
liệu (database server) và các máy chủ dịch vụ in hay máy chủ
chia se file nên được khoá mà chỉ cho phép người có quyền
quản trị bảo trì và truy cập. Nhưng bạn có thể xem xét việc
bảo vệ các hệ thống tốt hơn với các phương thức bảo vệ được
thêm vào cho mỗi hệ thống.
4. Nếu bạn cho phép một người nào đó đẩy các chương trình
tới website của bạn. Nó sẽ không còn là website của bạn
Điều này dựa trên luật 1, trong luật này người nào đó dùng
thủ đoạn tiếp cận với nạn nhân trong khi download chương
trình có hại trên hệ thống của anh ta và chạy nó. Còn trong
trường hợp này, anh ta sẽ đẩy chương trình có hại tới hệ
thống và chạy nó. Có rất nhiều người khi quản lý website quá
ưu đãi với khách hàng của họ, và cho phép các vị khách có
thể đẩy các chương trình tới site và chạy chúng. Điều này có
thể dẫn tới hệ thống bị xâm phạm.
5. Các mật khẩu dễ nhận có thể làm hỏng hệ thống bảo mật
mạnh
Mục đích của việc đăng nhập vào máy là để biết bạn là ai.
Ban đầu, hệ điều hành biết bạn là ai, nó có thể cho phép ban
truy cập tài nguyên hay từ chối. Nếu một người nào đó học
được mật khẩu của bạ, anh ta có thể đăng nhập như bạn. Trong
thực tế, nếu anh ta thành công, hệ thống máy sẽ coi anh ta
là bạn. Bất kì bạn có thể thao tác gì với hệ thống, anh ta
cũng có thể làm như vậy. Có lẽ bạn có các quyền trên mạng
hơn anh ra và bạn có thể làm những thao tác mà anh ta bình
thường anh ta không thể thực hiện. Hay có thể anh ta chỉ
muốn làm một điều gì đó có ác ý hay đe doạ bạn. Trong bất kì
trường hợp nào, tốt nhất nên bảo vệ mật khẩu của bạn.
6. Một hệ thống chỉ có độ an toàn như sự tin tưởng nhà quản
trị
Mọi máy tính phải có một nhà quản trị: là một người nào đó
có thể cài đặt chương trình phần mềm, cấu hình hệ điều hành,
thêm và quản lí các account của user, thiết lập các chính
sách về bảo mật, và điều khiển các thao tác quản lí được
liên kết với việc giữ cho máy tính chạy tốt. Theo định nghĩa,
các thao tác này đòi hỏi anh ta có toàn quyền với hệ thống.
Điều này đặt nhà quản trị trong một vị trí rất quan trọng
với hệ thống. Với một nhà quản trị không đáng tin cậy có thể
loại bỏ hoàn toàn các quy chế về an toàn bảo mật mà bạn đã
tạo ra. Anh ra có thể thay đổi quyền trên hệ thống, sửa các
chính sách bảo mật của hệ thống, cài đặt các chương trình có
hại vào trong hệ thống, thêm các user không có thật vào
trong hệ thống hay làm bất kì điều gì với hệ thống. Anh ta
có thể làm hỏng hệ thống ảo và bảo vệ của hệ điều hành, bởi
vì anh ta điều khiển nó. Nếu bạn có một nhà quản trị không
mấy tin tưởng, bạn có thể không có chế độ bảo mật.
7. Dữ liệu được mã hoá chỉ như chìa khoá giải mã
Giả như bạn vài đặt một hệ thống khoá lớn nhất, mạnh nhất,
có độ bảo mật tốt nhất trên thế giới cho hệ thống của bạn,
nhưng bạn phải đặt mã để mở được hệ thống đó. Nó sẽ thực sự
là mạnh như thế nào, điều này còn phụ thuộc vào chìa khoá
cho hệ thống khoá đó. Nếu chìa khoá quá giản đơn với hệ
thống được bảo vệ, kẻ trộm có thể tìm ra nó. Vậy anh ta đã
có mọi thứ để mở cánh cửa đó. Dữ liệu được mã hoá cũng chỉ
an toàn như chìa khoá để giải mã nó.
8. Một hệ thống quét virus hết hạn thì cũng còn tốt hơn
không có hệ thống diệt virus nào.
Các hệ thống quét virus làm việc được so sánh như hệ thống
máy tính của bạn đối chọi với một loại virus được đăng kí.
Mỗi một chữ kí là kí tự của một virus đặc biệt, và khi hệ
thống quét tìm dữ liệu trong một file, email, hay bất kì đâu
mà điền chữ kí. nó thông báo rằng đã tìm thấy virus. Tuy
nhiên, một hệ thống quét virus có thể chỉ quét cho các virus
mà nó đã biết. Điều này thật cần thiết cho hệ thống của bạn
được cập nhật thường xuyên hệ thống diệt virus vào mọi ngày.
9. Tình trạng dấu tên hoàn toàn không thực tế
Toàn bộ loài người ảnh hưởng lẫn nhau bao hàm việc trao đổi
dữ liệu về mọi mặt. Nếu một người nào đó đưa ra đủ dữ liệu,
họ có thể mô tả được bạn. Hãy nghĩ về toàn bộ thông tin mà
một người có thể thu được chỉ trong một cuộc hội thoại ngắn
với bạn. Chỉ một cái liếc mắt, họ có thể phán đoán chiều cao,
số cân, hay tuổi xấp xỉ mà bạn có. Giọng của bạn có thể nói
cho họ biết rằng bạn từ đâu đến, và có thể thậm chí nói cho
họ biết một vài điều về gia đình bạn, sở thích của bạn, nơi
bạn sống, và bạn đang làm gì để kiếm sống. Điều đó không mất
nhiều thời gian cho bất kì ai muốn thu lượm thông tin để mô
tả bạn là ai. Nếu bạn ao ước được giấu mặt hoàn toàn, cách
tốt nhất là sống trong hang động và tránh xa tiếp xúc với
loài người.
10. Công nghệ không phải là tất cả
Công nghệ có thể làm một vài điều gây kinh ngạc cho mọi
người. Những năm gần đây chúng ta đã được nhìn thấy sự phát
triển tột bậc trong cả phần cứng cũng như phần mềm như: phần
cứng rẻ đi và có nhiều tính năng mới, phần mềm cũng phát
triển song song với phần cứng như tạo các tiêu chuẩn mới
trong vấn đề an toàn và bảo mật v các ngành khoa học khác
liên quan tới máy tính. Nó mở ra viễn cảnh mà công nghệ có
thể tạo ra một thế giới mới với tính năng an toàn bảo mật
tuyệt đối, nếu chúng ta làm việc chăm chỉ. Tuy nhiên, điều
này là không thực tế.
Giải pháp là thừa nhận hai điểm mang tính bản chất. Điểm thứ
nhất, an toàn bảo mật bao gồm cả công nghệ và chính sách, có
nghĩa là, nó kết hợp công nghệ và hệ thống của bạn an toàn
đến đâu với các vấn đề thuộc bản chất. Điểm thứ hai, an toàn
bảo mật là một quá trình, không có kết thúc, nó không phải
là một vấn đề mà có thể giải quyết một lần cho tất cả; nó là
một tập các vấn đề luôn tồn tại và các biện pháp giữa người
mang tính bảo vệ và người mang tính phá hoại.
S
