ĐÁNH GIÁ AN TOÀN THÔNG TIN

Giới thiệu - Mục tiêu

Dịch vụ đánh giá an ninh thông tin toàn diện (ISePro Comprehensive Information Security Auditing - iCISA) được xây dựng với mục tiêu phát hiện ra các điểm yếu, các lỗ hỏng bảo mật, các nguy cơ bị xâm nhập đối với hệ thống thông tin; đồng thời xác định sự tồn tại, tính hiệu lực của các chính sách bảo mật, các biện pháp đối phó và khả năng phục hồi khi xảy ra sự cố ANTT của tổ chức. Qua đánh giá ANTT, tổ chức có được thông tin về hiện trạng của hệ thống đảm bảo ANTT của tổ chức, các biện pháp cần triển khai trong ngắn hạn và dài hạn nhằm giảm thiểu một cách hợp lý các nguy cơ về ANTT, đảm bảo hoạt động cốt lõi (kinh doanh/ quản lý) một cách bền vững cho tổ chức.

Dịch vụ còn cho phép tổ chức chủ động trả lời câu hỏi "Hệ thống thông tin của tổ chức an toàn đến mức độ nào?"

Việc đánh giá ANTT được thực hiện dựa trên hướng dẫn của các tiêu chuẩn bảo mật quốc tế như CIS (Center for Internet Security), DISA (Defense Information System Agency), ISO/IEC 27002 (Code of Practice for Information Security Management) về việc thiết lập những biện pháp kiểm soát và những nguyên tắc cơ bản cho việc khởi tạo, thi hành, duy trì và phát triển hệ thống ANTT.

Lợi ích từ việc đánh giá an toàn thông tin

Nội dung

ISePRO tổ chức khảo sát và đánh giá hiện trạng an ninh thông tin của tổ chức bao gồm:

  • Hệ thống quy trình, chính sách an ninh thông tin
  • Xâm nhập thử nghiệm
  • Đánh giá hiệu năng
  • An ninh vật lý và môi trường
  • Hạ tầng thiết bị (switch, router, firewall, ...) ;
  • An ninh kết nối (VLAN, IP scheme, access control, ...)
  • Hệ điều hành (Window, Linux, AIX, ...)
  • Dịch vụ mạng (Web, Mail, DNS, ...)
  • Cơ sở dữ liệu (Oracle, MySQL, MSSQL, ...)
  • Máy trạm và thiết bị cá nhân phục vụ công việc

Trang thiết bị

Trang thiết bị chuyên dụng

  • Foundstone
  • SAINT-BOX
  • Spirent

Công cụ chuyên nghiệp

  • iSAT (ISePRO Information Security Audit Tool )

Kết quả

Kết quả của đánh giá ANTT được trình bày qua báo cáo chi tiết với nội dung bao gồm: Phương pháp đánh giá (tại sao phải đánh giá, phương pháp thực hiện), liệt kê điểm yếu cùng bằng chứng (raw data, screenshot, ...) và những khuyến nghị để có thể hạn chế những điểm yếu, biện pháp vá các lỗ hỏng bảo mật hoặc giảm thiểu các nguy cơ xâm nhập đối với các hệ thống tin học; khuyến nghị về các chính sách bảo mật mà tổ chức cần xem xét thiết lập và duy trì.

Báo cáo đánh giá ANTT có thể được tổ chức sử dụng để xem xét, lên kế hoạch thực hiện các công việc nhằm gia cố hệ thống để hệ thống trở nên an toàn, được bảo mật tốt hơn.

Chi phí

Chi phí dịch vụ phụ thuộc vào quy mô và độ phức tạp của hệ thống thông tin của đơn vị được khảo sát.

Với mục tiêu “xây dựng và đóng góp cho khách hàng”, công ty cổ phần ISePRO luôn luôn thực hiện tốt nhất các dịch vụ của mình, thể hiện tính khách quan, chuyên nghiệp và chất lượng hàng đầu. Các cam kết ISePRO bao gồm

  • Cam kết không tiết lộ thông tin (NDA – Non Disclosure Agreement )
  • Cam kết chất lượng dịch vụ (SLA – Service Level Agreement)
      Brochure:  Đánh giá an toàn thông tin

TƯ VẤN ISO 27001:2013

Giới thiệu - Mục tiêu

Tiêu chuẩn ISO 27001:2013 đã và đang được nhiều tổ chức áp dụng trong việc xây dựng hệ thống quản lý an ninh thông tin (ISMS) cho tổ chức của mình. Với 114 kiểm soát trong 18 mục tiêu kiểm soát, ISO 27001:2013 phù hợp với hầu hết các loại hình tổ chức Doanh nghiệp, Ngân hàng, Chính phủ, Trường học, ... muốn bảo đảm an ninh thông tin cho hệ thống của mình.

Vấn đề phức tạp của việc triển khai hệ thống ISMS theo ISO 27001:2013 mà các tổ chức gặp phải là đảm bảo tính thực tế, có thể triển khai và tính đơn giản, dễ hiểu của các quy trình, quy định, chính sách nằm trong yêu cầu của ISO.

Với phương châm làm cho vấn đề an ninh thông tin trở nên đơn giản và thiết thực, mục tiêu của dịch vụ tư vấn xây dựng hệ thống ISMS theo ISO 27001:2013 là hỗ trợ cho các tổ chức từ khâu chuẩn bị, đào tạo, huấn luyện đến khâu đánh giá và xử lý rủi ro, xây dựng chính sách, quy trình, quy trình phù hợp, triển khai đánh giá nội bộ, rà soát lãnh đạo nhằm mục tiêu vừa đáp ứng được tiêu chuẩn ISO vừa mang tính thực tiễn cao cho tổ chức.

Dịch vụ tiếp tục tư vấn cho tổ chức trong quá trình kiểm định để lấy chứng nhận ISO 27001:2013 từ các đơn vị cấp chứng nhận.

spacerTrang thiết bị và nhân sự thực hiện

Dịch vụ được thực hiện bởi các chuyên gia về ISO 27001:2013 đã có nhiều kinh nghiệm triển khai cho các tổ chức lớn

Kết quả

Ngoài mục tiêu giúp tổ chức đạt được chứng nhận ISO 27001:2013, dịch vụ của ISePRO còn mang lại các kết quả

  • Đơn giản hóa các chính sách, quy trình, quy định về ANTT vốn phức tạp và khó áp dụng thực tế
  • Chương trình đào tạo dài giúp tổ chức có đội ngũ tốt để quản lý và vận hành hệ thống ISMS
  •  

    Nội dung

    Dịch vụ tư vấn xây dựng hệ thống ISMS theo ISO 27001:2013 triển khai qua các bước sau:

    Bước 1: Khảo sát hiện trạng, đánh giá sai lệch (gaps analysic) và đưa ra phạm vi (scope) của hệ thống ISMS theo ISO 27001. Hỗ trợ xác định chính xác phạm vi, khối lượng từ đó xây dựng kế hoạch triển khai.

    Bước 2: Huấn luyện nhận thức ISO 27001 cho toàn bộ nhân viên (3 ngày). Khóa huấn luyện được triển khai theo phương pháp thực hành sinh động, thực tế. Sử dụng các thông tin từ chính tổ chức giúp học viên cảm thấy gần gũi và dễ tiếp thu.

    Bước 3: Huấn luyện chuyên gia đánh giá nội bộ cho đội ngũ trực tiếp xây dựng, vận hành hệ thống ISMS (khoảng 5 ngày). Đào tạo chuyên sâu về phương pháp và kỹ năng thực hiện đánh giá nội bộ. Đồng thời kèm theo kiến thức chuyên sâu về ISO 27001:2013. Khóa học cũng được triển khai theo phương pháp thực hành sinh động với thông tin thực tế từ tổ chức.

    spacer

    Bước 4: Đánh giá rủi ro, xử lý rủi ro. Xây dựng các chính sách, quy trình, quy định, hướng dẫn, ... đáp ứng yêu cầu của ISO.
    Thực hiện theo phương pháp làm việc tập thể giữa chuyên gia và tổ chức. Vét cạn các rủi ro mà tổ chức đang đối mặt, đưa ra được các phương pháp xử lý rủi ro dựa vào các kiểm soát của ISO, từ đó xây dựng các chính sách, quy trình, quy định để thực hiện các kiểm soát này.

    Bước 5: Thực hiện đánh giá nội bộ, rà soát lãnh đạo và triển khai các hành động khắc phục. Hỗ trợ trong quá trình đánh giá cấp chứng nhận. Phối hợp cùng tổ chức thực hiện các công việc đánh giá nội bộ sau khi đã triển khai áp dụng hệ thống ISMS. Cùng với lãnh đạo tiến hành rà soát lãnh đạo để tìm ra các điểm chưa phù hợp, các cơ hội cải tiến và từ đó thực hiện các hành động khắc phục.
    Tùy theo nhu cầu của tổ chức, chuyên gia tư vấn có thể chỉ thực hiện hướng dẫn, huấn luyện và rà soát các công việc được thực hiện bởi chính tổ chức hoặc tham gia và thay mặt tổ chức thực hiện toàn bộ các công việc.

     

     

     

    TƯ VẤN THIẾT KẾ HỆ THỐNG

    Để một doanh nghiệp hoạt động hiệu quả và đạt năng suất cao trong công tác điều hành và quản lý, cần phải có một cơ sở hạ tầng mạng đủ mạnh, và đảm bảo an toàn thông tin. Dựa trên các nhu cầu về kinh doanh của doanh nghiệp, dịch vụ “Tư vấn thiết kế hệ thống mạng” của ISePRO đưa ra các giải pháp công nghệ thông tin cho doanh nghiệp để doanh nghiệp có thể xây dựng một hệ thống mạng phù hợp.
    Dịch vụ “Tư vấn thiết kế hệ thống mạng” của ISePRO chúng tôi bao gồm:
        - Tư vấn, thiết kế mô hình mạng phù hợp với nhu cầu của công ty
        - Tư vấn cấu hình, cài đặt các thiết bị trong hệ thống mạng (router, switch, PC)
        - Tư vấn cấu hình bảo mật với các thiết bị trong hệ thống mạng (router, firewall, server, PC)
        - Tư vấn chính sách bảo mật trong công ty

     

    Tư Vấn Thiết Kế Hệ Thống

    THẨM ĐỊNH DỰ ÁN

    Khi một doanh nghiệp triển khai một dự án về công nghệ thông tin như thiết kế, thi công một hệ thống mạng hay hệ thống bảo mật thông tin. Lúc này, doanh nghiệp rất cần một đơn vị thứ 3 đứng ra thẩm định dự án để đảm bảo tính khách quan và hiệu quả của dự án. Từ đó, dịch vụ “Thẩm định dự án” của ISePRO được đưa ra để giải quyết vấn đề này cho doanh nghiệp và bao gồm:
            - Đánh giá mức độ phù hợp với doanh nghiệp dựa vào các yêu cầu đặt ra
            - Đánh giá mức độ khả thi của dự án
            - Đánh giá hiệu quả của các giải pháp trong tương lai gần

    Dịch vụ thẩm định thông tin

    ĐÁNH GIÁ HIỆU NĂNG

    Giới Thiệu:

    Dịch vụ kiểm tra hiệu suất của hệ thống được xây dựng với mục đích xác định khả năng đáp ứng của hệ thống. Giúp tổ chức có cái nhìn chi tiết về mức độ hoạt động của từng thiết bị trong hệ thống; khả năng phục vụ của hệ thống so với nhu cầu của tổ chức; hỗ trợ công tác cấu hình tăng hiệu suất; xác định các điểm ngẽn trong hệ thống và phục vụ cho nhu cầu nâng cấp thiết bị và ứng dụng để phù hợp hơn với những nhu cầu ngày càng tăng của tổ chức.


    Mô hình giả lập user đối với thiết bị Spirent Avalanche.

     

    Tại Sao Cần Đánh Giá Hiệu Năng?

    Trong hệ thống mạng của tổ chức, giả sử các chức năng đều hoạt động bình thường, tuy nhiên thường xuyên bị user phàn nàn về hiệu suất trong giờ cao điểm. Cần nâng cấp ?

    • Thiết bị nào trong hệ thống cần nâng cấp?
    • Nâng cấp phần mềm hay phần cứng?
    • Việc xác định đâu là điểm yếu (điểm nghẽn cỗ chai) trong hệ thống giúp tổ chức có kế hoạch đầu tư nâng cấp hạ tầng công nghệ thông tin hoặc phần mềm ứng dụng một cách hợp lý và chính xác. Giảm thiểu các chi phí đầu tư không cần thiết.

    Đối với hệ thống mạng mới được triển khai:

    • Hiệu suất hoạt động thực tế của hệ thống so với nhu cầu đề ra?
    • Hiệu suất hoạt động của hệ thống so với cam kết của nhà triển khai?
    • Việc đo hiệu suất của hệ thống giúp cho tổ chức đánh giá được khả năng phục vụ của hệ thống mạng, thẩm định hiệu năng hệ thống so với nhu cầu đề ra, giúp tổ chức lập kế hoạch phát triển theo nhu cầu hoặc triển khai lại cho phù hợp trước khi đưa ra sử dụng chính thức.


    biểu đồ đánh giá hệ thống


    Về Thiết Bị Sử Dụng:

    Thiết bị được sử dụng trong dự án là Spirent Avalance 3100 với một số chức năng nổi bật sau:

    • Khả năng giả lập tối đa 35 Gbps statefull traffic
    • Có thể thực hiện trên 25 triệu kết nối TCP đồng thời
    • Hỗ trợ 4 port 10Gbps
    • Tạo traffic load linh động dựa trên số lượng user đồng thời, số lượng connection đồng thời, …
    • Khả năng giả lập packet loss, fragmentation
    • Real time statistics
    • Có khả năng đánh giá nhiều loại thiết bị mạng khác nhau: Firewall, Application firewall, IDS/IPS, Proxy, Anti-Virus, Gateway, …
    • Có khả năng đánh giá nhiều loại ứng dụng: Web, Mail, DNS, FTP, …
    • Khả năng đánh giá mức độ hoạt động của thiết bị mạng, ứng dụng với các traffic giống  thực tế: packet loss, attack traffic, think time, response time…

    Spirent Avalanche.

    Về Nhân Sự Thực Hiện

    Dự án được thực hiện bởi công ty cổ phần An toàn thông tin ISePRO, tiền thân là phòng thí nghiệm An ninh thông tin ISeLAB thuộc Khu công nghệ phần  mềm – ĐHQG HCM với đội ngũ chuyên viên giàu kinh nghiệm đã được đào tạo và đạt chứng chỉ SCPE – Spirent Certified Performance Expert

    Certificate Number:

    • Nguyễn Huy Cường – PE-1170
    • Nguyễn Anh Dũng – PE-1171
    • Bùi Thanh Phong – PE-1172
    • Mai Chí Tâm – PE-1169

    Chứng chỉ SCPE

     






    Về Kết Quả Dịch Vụ:

    Vì kết quả của dịch vụ có thể bao gồm những thông tin nhạy cảm, những thông tin về điểm yếu của hệ thống nếu thất thoát ra ngoài rất có thể ảnh hưởng đến hoạt động của tổ chức nên:

    • Kết quả của dịch vụ sẽ được sử dụng các biện pháp kỹ thuật nhằm bảo mật một cách tối ưu nhất
    • Thực hiện ký các cam kết đảm bảo việc tránh tiết lộ thông tin (NDA – Non-Disclosure Agreement).

    Về Các Tiêu Chuẩn:

    Việc đánh giá hiệu suất hệ thống được dựa trên các tiêu chuẩn quốc tế sau:

    • Benchmarking Terminology for Network Interconnection Devices,RFC 1242
    • Benchmarking Methodology for Network Interconnect Devices,RFC 2544
    • Benchmarking Terminology for Firewall Performance,RFC 2647
    • Benchmarking Methodology for Firewall Performance,RFC 3511

    Mục Tiêu:

    • Xác định điểm nghẽn trong hệ thống (bandwitdh)
    • Xác định khả năng đáp ứng của thiết bị trong hệ thống
    • Xác định khả năng đáp ứng của ứng dụng (transactions)
    • Xác định khả năng chịu tải của thiết bị (connections)
    • Xác định khả năng đáp ứng của hệ thống khi có lượng traffic tăng một cách đột biến
    • Xác định khả năng đáp ứng của hệ thống khi hoạt động trong thời gian dài với tải nặng, có thể gây ra các lỗi về rỏ rỉ bộ nhớ.

    Nội Dung:

    Kiểm tra khả năng đáp ứng của ứng dụng hoặc thiết bị bao gồm các test case sau, tuỳ theo nhu cầu và mục đích sẽ lựa chọn test case phù hợp.

    • Maximun Connection Rate: Kiểm tra số lượng connections tối đa trên mỗi giây hệ thống có thể thiếp lập kết nối.
    • Maximum Connection: Kiểm tra số lượng tối đa connections mà hệ thống có thể xử lý.
    • Maximum Bandwidth: Kiểm tra bandwidth tối đa của hệ thống
    • Maximum Simultaneous Users: Kiểm tra số lượng User tối đa mà hệ thống có thể xử lý
    • Maximum Transaction Rate: Kiểm tra số lượng transactions tối đa trên mỗi giây mà hệ thống có thể xử lý
    • Traffic Surges: Kiểm tra khả năng chịu tải nặng của hệ thống, khả năng đáp ứng khi lượng traffic tăng một cách đột biến.
    • Long-Term Stability: Kiểm tra khả năng hoạt động của hệ thống khi hoạt động trong thời gian dài với tải nặng, kiểm tra việc gây ra lỗi hệ thống do rò rỉ bộ nhớ.

    Thời gian và số lượng các bài test cần thực hiện ở mỗi test case:
    Số lượng tối thiểu các bài test cho mỗi test case: 2 ( đối với các hệ thống phức tạp, số lượng các bài test sẽ nhiều hơn)
    Thời gian cho mỗi bài test: 120 - 150 phút


    Mô Hình Kiểm Tra Hiệu Suất:

     

    Mô hình kiểm tra hiệu suất đối với thiết bị

     


    Mô hình kiểm tra hiệu suất đối với ứng dụng


    Những Dấu Hiệu Để Xác Định Hệ Thống Quá Tải, Không Thể Tiếp Nhận Thêm Yêu Cầu:

    • Timeout đối với tất cả những “incoming connections” mới
    • Reset những “incoming connections” trong khi vẫn tiếp tục xử lý những connection hiện tại
    • Accept và mở kết nối đối với những “incoming connections” nhưng không chuyển tiếp dữ liệu.
    • Bị khoá hoặc hỏng hóc một cách hoàn toàn.

    Sơ Đồ Mô Tả Quy Trình Thực Hiện:



    sơ đồ qui trình thực hiện

    • Why: Xác định mục đích, nhu cầu của tổ chức
    • What: Xác định thiết bị, dịch vụ cần được kiểm tra của tổ chức
    • Who: Phân bố nhân lực khi thực hiện kiểm tra để dịch vụ có thể hoàn thành đúng tiến độ
    • When: Xác định khoảng thời gian kiểm tra tránh ảnh hưởng đến hoạt động của hệ thống
    • Cost: Kinh phí cho cuộc kiểm tra
    • How: Cách thức triển khai để tổ chức nắm được mô hình kiểm tra, xác định được những nguy cơ có thể xảy ra khi thực hiện nhằm tránh rủi ro một cách tối đa. Lên kế hoạch phục hồi nếu có sự cố xảy ra khi thực hiện kiểm tra.

    Một Số Thuật Ngữ:

    • Connection: phiên kết nối
    • Transaction: phiên kết nối http
    • Bandwidth: băng thông
    • Traffic: dữ liệu qua lại trong đường truyền
    • Incoming connections: phiên kết nối đến hệ thống

    ĐẢM BẢO AN TOÀN THÔNG TIN

    Ngày nay, sự phát triển không ngừng của công nghệ thông tin cùng với mức độ ứng dụng ngày càng nhiều đối với các hoạt động của các doanh nghiệp vừa và nhỏ. Việc đảm bảo cho hệ thống mạng thông tin của doanh nghiệp vận hành một cách ổn định, hiệu quả và an toàn cho thông tin là một việc làm tương đối khó khăn và cần có đầu tư về con người và thời gian một cách hợp lý.
    Đối với các doanh nghiệp này thì việc có một nguồn nhân lực chuyên trách cho các công việc quản lý và vận hành hệ thống mạng thông tin sẽ tốn nhiều chi phí. Do vậy các doanh nghiệp vừa và nhỏ thường không có người phụ trách việc quản lý và điều hành mạng riêng, nhất là đối với các doanh nghiệp không hoạt động trong ngành về CNTT. Khi đó dịch vụ “Quản trị và đảm bảo an toàn hệ thống mạng” của ISePRO là một giải pháp tối ưu và tiết kiệm cho doanh nghiệp. Cán bộ kỹ thuật chuyên môn của ISePRO sẽ thay mặt doanh nghiệp tổ chức và điều hành các hoạt động mạng thông tin của doanh nghiệp bao gồm các mặt:

        - Đảm bảo sự hoạt động liên tục, thông suốt của hệ thống mạng bao gồm các mảng:

    • Hệ thống mạng
    • Các máy chủ: cơ sở dữ liệu, Web, Mail…
    • Cập nhật các bản vá lỗi
    • Scan hệ thống để kịp thời phát hiện các lỗi bảo mật
    • Back up dữ liệu

         - Khắc phục và sửa chữa các sự cố do nguyên nhân chủ quan hay khách quan

         - Cảnh báo trước các vấn đề lỗi có thể xảy ra cho hệ thống

         - Tư vấn việc cải tạo, nâng cấp hệ thống

    Mục tiêu của gói dịch vụ “Quản trị hệ thống mạng và ứng cứu sự cố” là giúp các doanh nghiệp quản lý và vận hành thông suốt hệ thống, đảm bảo sự hoạt động liên tục và an toàn thông tin của hệ thống mạng doanh nghiệp.

    © 2010 ISePRO | contact@isepro.vn | (08) 37244 008 | Phòng 102, VNU-ITP, Khu phố 6, P. Linh Trung, Q. Thủ Đức, TP. HCM