Trong quá công tác, không ít câu hỏi được đặt ra với tôi cũng như các bạn về lĩnh vực an toàn thông tin và đang có rất nhiều cơ quan tổ chức bắt đầu manh nha thành lập bộ phận, phòng ban chuyên về an toàn thông tin nhưng chưa biết bắt đầu từ đâu.
vd:
1, Làm an toàn thông tin là làm những cái gì trong CNTT?
2, Người quản lý về về an toàn thông tin (Trưởng /phó phòng , giám đốc trung tâm bảo mật) cần có kiến thức gì?
3, Có phải cá nhân đang quản trị hệ thống website để website chạy được cũng là làm về an toàn thông tin.
4, Có phải làm an toàn thông tin phải biết lập trình ?
5, Làm an toàn thông tin thì công việc hằng ngày là thực hiện pentest an ninh.
6, Tôi hack được hệ thống tôi có làm được an toàn thông tin
.....
Trước tin chúng ta phải định nghĩa được:
An toàn thông tin là gì: các bạn xem định nghĩa.
http://vi.wikipedia.org/wiki/An_to%C3%A0n_th%C3%B4ng_tin
Bảo mật: là phạm vi hẹp hơn an toàn thông tin, chỉ công việc cụ thể hơn đối với hệ thống nhằm đảm bảo hệ thống chống được thay đổi, ảnh hưởng hoặc thất thoát khi bị tấn công.
Trong quá trình làm việc và đi dạy mình thấy các câu hỏi trên đang thật sự vướng mắc ở mọi người. Nay mình xin chia sẽ chút về sự hiểu biết riêng của mình, nhằm giúp các bạn có thêm cách hoàn chỉnh hơn nữa về ngành thật sự cao quý của chúng ta.
Như các bạn thấy dù một người quản lý hay những bạn làm về nn ninh thông tin ( viết tắt Security) đều phải là những người hiểu biết về công nghệ thông tin, vì an toàn thông tin là tinh túy của CNTT. Tức chúng ta có thể ví CNTT nó là một ngôi nhà còn an toàn thông tin nó là những cái cửa , những cái kết sắt vào ra để bảo vệ ngôi nhà , trách kẻ an trộm nhìn thấy , ăn cắp, hoặc thay đổi đồ trong nhà mình. Như vậy điều đầu tiên bạn muốn là người làm được an toàn thông tin, bạn phải là người hiểu biết về CNTT. CNTT chúng ta có thể phân thành các mảng sau: Hệ thống (Quản trị các máy chủ), Mạng (liên quan định tuyết Router, Switch), Ứng dụng (Lập trình các ứng dụng ) , Kiến trúc (Thiết kế , quy hoạch mạng, hệ thống, ứng dụng), Chính sách CNTT. Tương đương với mảng CNTT trên chúng ta có mảng an toàn thông tin cho hệ thống, mạng, kiến trúc, chính sách. Hiện nay các công việc bảo mật thường được phân định công việc cụ thể phổ biến ở các tổ chức, mình xin nêu để bạn hiểu thêm công việc của ngành bảo mật cũng như an toàn thông tin.
- Quản trị bảo mật: là công việc vận hành hệ thống bảo mật như :IDS/IPS, Firewall, Virus, DLP, Syslog....
- Kiến trúc bảo mật: là công việc thiết kế kiến trước từ hệ thống, mạng,cho đến ứng dụng đảm bảo về bảo mật
vd: kiến trúc bảo mật mạng: Phải đặt firewall, firewall cần mấy lớp, IDS/IPS chỗ nào là tối ứu....., mô hình hệ thống mạng đảm bảo phân luồng và mã hóa như thế nào......
- Chính sách: Đưa ra chính sách về an ninh thông tin.: độ dài mật khẩu bao gồm bao nhiêu ký tự, chính sách cam kết bảo mật với nhân viên , cấm cắm USB....Đưa ra hardening chuẩn, những checklist chuẩn về security.
- Pentest bảo mật: Thực hiện công việc kiểm thử về bảo mật cho hệ thống, mạng, ứng dụng, kiến trúc...
- Audit security: Thực hiện kiểm toán bảo mật cho hệ thống, mạng, ứng dụng, chính sách đảm bảo đáp ứng chuẩn security như ISO 27001, PCI-DSS đưa ra cải tiến, hoặc cách khắc phục điểm chưa phù hợp.
.....
Một số đầu việc công việc bảo mật:
Nhưng thiết nghĩ điều quan trọng nhất của một người làm về bảo mật đó là khả năng tư duy đúng đắn về bảo mật, tức người ấy phải có base về bảo mật, được đào tạo bài bản về bảo mật điều này không chỉ đúng chuyên viên bảo mật mà phải bắt buộc đối với những người làm quản lý về bảo mật . Một hệ thống đảm bảo an toàn thông tin chúng ta phải làm tốt các yếu tố: Tính bí mật, tính toàn vẹn, tính sẵn sàng, tính xác thực và tính chống chối bỏ ở 3 nhân tố đó là : Con người , Hệ thống và Công nghệ, điều này là những tất yếu để một người làm về bảo mật. Như vậy để có tư duy tốt về bảo mật, bạn cần có kiến thức sâu và rộng về bảo mật, bạn phải biết cả hệ thống, mạng, kiến trúc ...nhưng có thể bạn chuyên về một phần nào đó. Hiện nay các học viên, các trường đại học Việt Nam đã đang đào tạo theo định hướng này, trường đầu ngành đào cơ bản về an toàn thông tin như mình biết đó là "Học viện kỹ thuật mật mã". Nếu bạn là người bắt đầu hoặc người chưa nắm cơ bản và những yêu cầu cơ bản về bảo mật, tôi khuyên bạn nên bắt đầu đọc về ISO 27001: Chuẩn quản lý an ninh thông tin. Đây là tài liệu rất tốt cho những người làm quản lý về bảo mật.
http://mysunitsecurity.blogspot.com/2011/03/quy-trinh-xay-dung-he-thong-quan-ly.html
http://mysunitsecurity.blogspot.com/2012/05/giong-khac-nhau-pci-dss-and-iso-27001.html
Tham khảo thêm checklist ISO 27001: http://www.iso27001standard.com/en/free-downloads?utm_source=linkedin&utm_medium=dk&utm_campaign=free-downloads
vd:
1, Làm an toàn thông tin là làm những cái gì trong CNTT?
2, Người quản lý về về an toàn thông tin (Trưởng /phó phòng , giám đốc trung tâm bảo mật) cần có kiến thức gì?
3, Có phải cá nhân đang quản trị hệ thống website để website chạy được cũng là làm về an toàn thông tin.
4, Có phải làm an toàn thông tin phải biết lập trình ?
5, Làm an toàn thông tin thì công việc hằng ngày là thực hiện pentest an ninh.
6, Tôi hack được hệ thống tôi có làm được an toàn thông tin
.....
Trước tin chúng ta phải định nghĩa được:
An toàn thông tin là gì: các bạn xem định nghĩa.
http://vi.wikipedia.org/wiki/An_to%C3%A0n_th%C3%B4ng_tin
Bảo mật: là phạm vi hẹp hơn an toàn thông tin, chỉ công việc cụ thể hơn đối với hệ thống nhằm đảm bảo hệ thống chống được thay đổi, ảnh hưởng hoặc thất thoát khi bị tấn công.
Trong quá trình làm việc và đi dạy mình thấy các câu hỏi trên đang thật sự vướng mắc ở mọi người. Nay mình xin chia sẽ chút về sự hiểu biết riêng của mình, nhằm giúp các bạn có thêm cách hoàn chỉnh hơn nữa về ngành thật sự cao quý của chúng ta.
Như các bạn thấy dù một người quản lý hay những bạn làm về nn ninh thông tin ( viết tắt Security) đều phải là những người hiểu biết về công nghệ thông tin, vì an toàn thông tin là tinh túy của CNTT. Tức chúng ta có thể ví CNTT nó là một ngôi nhà còn an toàn thông tin nó là những cái cửa , những cái kết sắt vào ra để bảo vệ ngôi nhà , trách kẻ an trộm nhìn thấy , ăn cắp, hoặc thay đổi đồ trong nhà mình. Như vậy điều đầu tiên bạn muốn là người làm được an toàn thông tin, bạn phải là người hiểu biết về CNTT. CNTT chúng ta có thể phân thành các mảng sau: Hệ thống (Quản trị các máy chủ), Mạng (liên quan định tuyết Router, Switch), Ứng dụng (Lập trình các ứng dụng ) , Kiến trúc (Thiết kế , quy hoạch mạng, hệ thống, ứng dụng), Chính sách CNTT. Tương đương với mảng CNTT trên chúng ta có mảng an toàn thông tin cho hệ thống, mạng, kiến trúc, chính sách. Hiện nay các công việc bảo mật thường được phân định công việc cụ thể phổ biến ở các tổ chức, mình xin nêu để bạn hiểu thêm công việc của ngành bảo mật cũng như an toàn thông tin.
- Quản trị bảo mật: là công việc vận hành hệ thống bảo mật như :IDS/IPS, Firewall, Virus, DLP, Syslog....
- Kiến trúc bảo mật: là công việc thiết kế kiến trước từ hệ thống, mạng,cho đến ứng dụng đảm bảo về bảo mật
vd: kiến trúc bảo mật mạng: Phải đặt firewall, firewall cần mấy lớp, IDS/IPS chỗ nào là tối ứu....., mô hình hệ thống mạng đảm bảo phân luồng và mã hóa như thế nào......
- Chính sách: Đưa ra chính sách về an ninh thông tin.: độ dài mật khẩu bao gồm bao nhiêu ký tự, chính sách cam kết bảo mật với nhân viên , cấm cắm USB....Đưa ra hardening chuẩn, những checklist chuẩn về security.
- Pentest bảo mật: Thực hiện công việc kiểm thử về bảo mật cho hệ thống, mạng, ứng dụng, kiến trúc...
- Audit security: Thực hiện kiểm toán bảo mật cho hệ thống, mạng, ứng dụng, chính sách đảm bảo đáp ứng chuẩn security như ISO 27001, PCI-DSS đưa ra cải tiến, hoặc cách khắc phục điểm chưa phù hợp.
.....
Một số đầu việc công việc bảo mật:
Nhưng thiết nghĩ điều quan trọng nhất của một người làm về bảo mật đó là khả năng tư duy đúng đắn về bảo mật, tức người ấy phải có base về bảo mật, được đào tạo bài bản về bảo mật điều này không chỉ đúng chuyên viên bảo mật mà phải bắt buộc đối với những người làm quản lý về bảo mật . Một hệ thống đảm bảo an toàn thông tin chúng ta phải làm tốt các yếu tố: Tính bí mật, tính toàn vẹn, tính sẵn sàng, tính xác thực và tính chống chối bỏ ở 3 nhân tố đó là : Con người , Hệ thống và Công nghệ, điều này là những tất yếu để một người làm về bảo mật. Như vậy để có tư duy tốt về bảo mật, bạn cần có kiến thức sâu và rộng về bảo mật, bạn phải biết cả hệ thống, mạng, kiến trúc ...nhưng có thể bạn chuyên về một phần nào đó. Hiện nay các học viên, các trường đại học Việt Nam đã đang đào tạo theo định hướng này, trường đầu ngành đào cơ bản về an toàn thông tin như mình biết đó là "Học viện kỹ thuật mật mã". Nếu bạn là người bắt đầu hoặc người chưa nắm cơ bản và những yêu cầu cơ bản về bảo mật, tôi khuyên bạn nên bắt đầu đọc về ISO 27001: Chuẩn quản lý an ninh thông tin. Đây là tài liệu rất tốt cho những người làm quản lý về bảo mật.
http://mysunitsecurity.blogspot.com/2011/03/quy-trinh-xay-dung-he-thong-quan-ly.html
http://mysunitsecurity.blogspot.com/2012/05/giong-khac-nhau-pci-dss-and-iso-27001.html
Tham khảo thêm checklist ISO 27001: http://www.iso27001standard.com/en/free-downloads?utm_source=linkedin&utm_medium=dk&utm_campaign=free-downloads