Quy định về đảm bảo an toàn an ninh thông tin điện tử

Quy định về đảm bảo an toàn an ninh thông tin điện tử
 I. ĐẶT VẤN ĐỀ
Trong thời gian gần đây, thông tin điện tử đã trở thành một công cụ hữu hiệu trong việc trao đổi thông tin, hỗ trợ việc học tập, nghiên cứu khoa học, góp phần quan trọng trong việc nâng cao hiệu quả công việc, năng suất lao động, nâng cao nhận thức và kiến thức của mỗi người, giảm thời gian thực hiện và chi phí hoạt động trong công việc.
Tuy nhiên bên cạnh đó xuất hiện nhiều vấn đề liên quan đến an toàn thông tin như:
- Lộ lọt các thông tin bí mật, nhạy cảm.
- Phát tán các thư giả mạo, có nội dung lừa đảo hoặc quảng cáo không phù hợp.
- Phát tán, lây lan mã độc, phần mềm quảng cáo trái phép v.v….
- Chiếm quyền sử dụng trái phép.
- Bị lợi dụng để phục vụ cho các mục đích xấu.
Các vấn đề trên đã gây ảnh hưởng xấu tới việc sử dụng thông tin điện tử trong các hoạt động quản lý, trao đổi thông tin. Vì vậy, mỗi cá nhân cần phải nắm bắt được một số nguyên tắc cơ bản mà người sử dụng hệ thống thông tin để sử dụng an toàn, hiệu quả thông tin điện tử nội bộ, tránh bị mất thông tin hoặc bị chiếm quyền sử dụng, lợi dụng cho các mục đích khác.

II. SỬ DỤNG HÒM THƯ ĐIỆN TỬ CÔNG VỤ
1. Nguyên tắc chung khi sử dụng thư điện tử an toàn:
Khi sử dụng hòm thư điện tử công vụ (TĐT CV) do cơ quan nhà nước  (CNNN) cấp, người sử dụng cần chú ý tuân thủ đầy đủ các nguyên tắc cơ bản sau:
- Hạn chế tối đa việc truy cập hòm thư điện tử bằng các máy tính không đảm bảo toàn hoặc mạng máy tính không an toàn.
- Hạn chế tối đa việc sử dụng máy tính cá nhân truy cập hòm thư điện tử công vụ thông qua các mạng Internet không an toàn như: truy cập mạng Internet thông qua các điểm truy cập không dây tại quán ăn, giải khát, không rõ nguồn gốc…
- Không sử dụng hòm thư điện tử công vụ do cơ quan cấp cho mục đích cá nhân như: đăng ký các dịch vụ thương mại, dịch vụ trao đổi chia sẻ thông tin cá nhân
- Không đặt chế độ chuyển thư tự động từ hòm thư điện tử công vụ được cấp tới hòm thư khác không phải do các cơ quan nhà nước cấp.
- Hạn chế sử dụng các ứng dụng duyệt thư điện tử có sẵn trên các thiết bị di động như Smart phone hoặc máy tính bảng để truy cập vào các hòm thư điện tử công vụ được cấp.
- Chú ý cảnh giác với những thư điện tử có nội dung, nguồn gốc khả nghi. Khi nhận được những thư điện tử không rõ người gửi, phải tìm hiểu kỹ người gửi, đồng thời không được mở các tệp tin hoặc các đường link đính kèm.
- Đánh dấu Spam ngay khi nhận được các thư rác.
- Khi nhận được thư điện tử gửi kèm tệp tin mà không phát hiện ra nghi ngờ thì thực hiện các bước sau:
1) Tải tệp tin về ổ cứng (tuyệt đổi không mở hoặc kích hoạt tệp tin ngay);
2) Dùng phần mềm diệt mã độc quét kiểm tra tệp tin vừa tải về (nếu cần có thể liên lạc lại với người gửi thư để xác nhận tệp tin đã nhận được). Chỉ mở tệp tin nếu không phát hiện ra mã độc;
- Không gửi, nhận tệp tin thực thi qua hệ thống thư điện tử và hạn chế việc dùng tệp tin nén có mã hóa.
- Khuyến khích sử dụng chữ ký số để ký xác nhận trên thư điện tử gửi đi và kiểm tra nguồn gốc thư điện tử khi tiếp nhận bằng chữ ký số nếu thư đó đã được ký bằng chữ ký số của người gửi.
- Xóa thư khi không còn cần thiết để tránh bị mất mát thông tin nếu tài khoản bị lộ.
2. Thiết lập môi trường an toàn:
a) Hệ điều hành:
Người sử dụng thực hiện theo các nguyên tắc sau để đảm bảo an toàn cho máy tính:
- Liên tục cập nhật các bản vá bảo mật cho hệ điều hành.
- Cấu hình hệ điều hành cho phép chi có tài khoản người dùng mới được phép truy cập thư mục lưu trữ tin nhắn và tệp tin cấu hình.
- Xoá bỏ các chức năng cho phép thực thi các kịch bản trên Windows nếu không thực sự cần thiết.
- Hiển thị đầy đủ phần mở rộng của tệp tin để không kích hoạt nhầm tập tin thực thi.
- Chỉ cài đặt và sử dụng các phần mềm cũng như hệ điều hành có bản quyền.
- Không chạy các ứng dụng dưới quyền quản trị (Administrator).
b) Cài đặt phần mềm phát hiện và diệt mã độc, tường lửa:
- Cài đặt ứng dụng phát hiện và diệt mã độc, thực hiện kiểm tra toàn bộ các thư điện tử và tệp tin đính kèm ngay khi chúng được tải về.
- Cài đặt tường lửa cá nhân để ngăn chặn máy tính khỏi các truy cập không hợp pháp.
c) Đảm bảo an toàn khi truy cập hòm thư điện tử bằng trình duyệt web:
  • Truy cập bằng các giao thức an toàn
Trong trường hợp hệ thống thư điện tử cung cấp truy cập thư điện tử bằng hai giao thức HTTPS và HTTP, người sử dụng cần sử dụng giao thức HTTPS thay cho giao thức HTTP.
  • Cấu hình an toàn cho trình duyệt web
Khi truy cập hòm thư điện tử bằng trình duyệt web người dùng cần thực hiện các nguyên tắc sau:
- Tắt môi trường chạy ứng dụng java cho trình duyệt web (JRE)
- Cấm popup, flash.
- Vô hiệu hoá ActiveX
- Không chạy các nội dung động trong email.
- Không tự động tải các ảnh hay thông tin từ xa khi mở email.
- Quét virus ngay khi tải các tệp tin đính kèm về máy tính.
- Ngăn chặn việc chạy javascript nếu không cần thiết.
- Không sử dụng chế độ tự động lưu trữ mật khẩu.
d) Đảm bảo an toàn khi truy cập hòm thư điện tử bằng Mail client:
  • Cấu hình truy cập máy chủ an toàn
Để truy cập thư mục email trên máy chủ thư điện tử an toàn người sử dụng cần thiết lập các tính năng:
- Sử dụng các giao thức bảo mật SMTPS, POP3S hoặc IMAPS thay thế cho các giao thức SMTP, POP3 hoặc IMAPS nếu máy chủ thư điện tử có hỗ trợ.
  • Cấu hình các tính năng bảo mật của Mail client
Người dùng cần cấu hình cho Mail client các tính năng sau để nâng cao mức độ an toàn theo hướng dẫn chi tiết trong Phụ lục B của báo cáo, về cơ bản bao gồm các nội dung sau:
- Hạn chế sử dụng chế độ tự động lưu trữ mật khẩu.
- Cấu hình sử dụng giao thức mã hoá để truy cập mailbox.
- Tự động tải về và cập nhật các bản vá cho phần mềm và các plugins.
- Cấm tự động hiển thị nội dung và tải hình ảnh từ xa.
- Cấm thực thi các nội dung động( như hiển thị HTML) trong email.
- Kích hoạt các tính năng cảnh báo email lừa đảo.
- Tự động phát hiện và tiêu điệt phần mềm độc hại trên các thư đến, trước khi chúng được lưu vào máy.
- Chuyển thư rác vào hộp thư rác và tự động xoá sau 14 ngày.
 
III. THIẾT LẬP VÀ SỬ DỤNG MẬT KHẨU AN TOÀN
1. Đối tượng áp dụng
Tài liệu hướng dẫn đặt và sử dụng an toàn mật khẩu của các tài khoản dành cho cá nhân để truy cập ứng dụng.
 
2. Đặt mật khẩu
Người sử dụng cần chú ý các nguyên tắc đặt mật khẩu sau đây để hạn chế khả năng lộ mật khẩu do bị đoán nhận hoặc tấn công vét cạn:
- Mật khẩu khó đoán (Mật khẩu cần bao gồm: chữ hoa, chữ thường trong bảng chữ cái, số và các ký tự đặc biệt).
- Tự tạo riêng quy tắc đặt mật khẩu sao cho vừa dễ nhớ và bí mật. Không nên dùng một số thông tin dễ bị đoán nhận để đặt mật khẩu.
- Có độ dài tối thiểu 8 ký tự và phù hợp với tính chất bí mật của từng loại tài khoản khác nhau.
- Không sử dụng cùng một mật khẩu cho nhiều tài khoản.
Căn cứ vào mức độ quan trọng của từng loại tài khoản có thể cân nhắc đặt mật khẩu theo những quy tắc sau:
- Mức 1: Đối với tài khoản thông thường: Mật khẩu cần có độ dài từ 8 đến 11 ký tự, bao gồm cả chữ và số.
- Mức 2: Đối với tài khoản có tính chất quan trọng: Mật khẩu cần có độ dài trên 15 ký tự, bao gồm cả chữ hoa, chữ thường và số.
 
3. Sử dụng mật khẩu
Một số chú ý trong quá trình sử dụng mật khẩu an toàn, hạn chế rủi ro lộ mật khẩu do phần mềm mã độc, sơ xuất trong quá trình sử dụng hoặc tấn công vét cạn:
- Trước khi nhập mật khẩu, chú ý kiểm tra và tắt tất cả các chế độ cho phép lưu mật khẩu.
- Cần chú ý thoát khỏi tài khoản trước khi kết thúc công việc hoặc chuyển giao máy tính cho người khác sử dụng.
- Hạn chế tiết lộ, chia sẻ mật khẩu cho người khác.
- Dùng ứng dụng bàn phím ảo của hệ điều hành đăng nhập (Dùng chuột bấm chữ cái trên bàn phím ảo thay cho gõ chữ cái trên bàn phím) để tránh các phần mềm keylogger trên các máy tính không an toàn. Chi tiết có thể xem phụ lục kèm theo.
 
 
  GIÁM ĐỐC
 
 
 
 
Nguyễn Đông Thanh