Đánh giá hệ thống

Một trong những vấn đề lớn nhất và khó nhất mà các chuyên viên quản trị hệ thống mạng máy tính ngày nay thường gặp phải là: Làm cách nào để kiểm soát bảo mật hệ thống công nghệ thông tin của tổ chức và doanh nghiệp? An toàn thông tin hệ thống mạng có thật sự quan trọng? Các cấu hình nào cần được kiểm tra trên các hệ thống máy chủ ứng dụng riêng biệt? Làm cách nào để làm các hoạt động riêng rẽ này thành một quy trình giám sát liên tục?


3STONE Co., LTD cung cấp dịch vụ đánh giá hệ thống nhằm giải quyết những khối lượng công việc khổng lồ mà chuyên viên hệ thống phải thực hiện để vận hành các chính sách bảo mật của tổ chức và doanh nghiệp. Từ kết quả đánh giá hệ thống, chúng tôi sẽ giải thích làm thế nào để xây dựng hệ thống giám sát tuân thủ diễn ra liên tục và làm thế nào để tự động xác nhận thông qua các thiết bị bảo vệ và tự động hóa các danh mục kiểm tra.

Nhằm giảm thiểu các nguy cơ mất kiểm soát hệ thống thông tin nội bộ, dịch vụ Đánh giá hệ thống thông tin được chúng tôi áp dụng theo tiêu chuẩn NIST (National Institute of Standards and Technology), CIS Security Benchmarks kết hợp với kinh nghiệm từ các chuyên gia hơn 10 năm kinh nghiệm trong lĩnh vực tối ưu hệ thống máy chủ, hạ tầng.


Chúng tôi bảo đảm các đối tượng kỹ thuật CNTT được triển khai, vận hành an toàn, hiệu quả, bao gồm các ưu thế về tối ưu hóa hệ thống trong kernel hệ điều hành, việc kiểm định có thể được chúng tôi kết hợp với hình thức kiểm tra xâm nhập mũ trắng trong điều khoản chi tiết hợp đồng được ký kết. 

Mục đích

Đánh giá ATTT nhằm phát hiện những rủi ro của hệ thống mạng bao gồm phần cứng và phần mềm như máy chủ, thiết bị tường lửa, thiết bị cân bằng tải, các ứng dụng phần mềm… Đánh giá ATTT để định lượng các rủi ro này, xây dựng các phương án và các biện pháp bảo vệ nhằm giảm thiểu, giảm nhẹ thiệt hại. Đánh giá ATTT cũng là cơ sở để xây dựng các chiến lược đầu tư, phát triển hệ thống mạng và xây dựng chính sách an toàn thông tin.

Lợi ích giúp doanh nghiệp:


  • Giảm thiểu thời gian đánh giá hệ thống máy chủ, đây là một tiêu chí bắt buộc trong các chứng chỉ PCIDSS, ISO 27001, COBIT.
  • Nhận thức về các nguy cơ bảo mật máy chủ.
  • Đánh giá, báo cáo chi tiết về các cấu hình máy chủ hiện tại.
  • Triển khai các chính sách bảo mật trong vận hành và bảo trì máy chủ.
  • Đánh giá, báo cáo chi tiết về hiện trạng bảo mật hệ thống máy chủ thông qua các con số cụ thể.

Quy trình

3STONE Co., LTD thực hiện quy trình đánh giá hệ thống máy chủ dựa trên sự kết hợp nhiều tiêu chuẩn đánh giá hệ thống khác nhau nhằm bảo đảm tất cả các khuyến cáo bảo mật mới nhất sẽ được áp dụng trên hệ thống máy chủ của tổ chức và doanh nghiệp.
3STONE Co., LTD thực hiện thu thập thông tin hệ thống và phân tích kết quả hoàn toàn tự động thông qua chương trình, mã thực thi được phát triển bởi các chuyên gia của chúng tôi.
Các tiêu chuẩn đánh giá bảo mật hệ thống phổ biến:
  • CISBenchmarks.
  • OSSTMM (Open Source Security Testing Methodology and Manual).
  • Critical Security Controls – Version 5 (SANS).
Các tiêu chuẩn bảo mật yêu cầu đánh giá bảo mật hệ thống:
  • PCIDSS.
  • ISO27001.
  • COBIT.
3STONE Co., LTD thực hiện đánh giá hệ thống máy chủ trên 4 nhóm dịch vụ máy chủ, 10 – 12 tiêu chí cấu hình khuyến cáo cho những hệ thống riêng biệt như Microsoft Windows, Unix, Linux, Apple Macintosh, VMWare, Openstack…
Các hạng mục đánh giá hệ thống:
HỆ ĐIỀU HÀNH
(Miscrosoft Windows, Unix/Linux…)
Kiểm tra các bảng cập nhật, vá lỗi và các phần mềm bảo mật.
Kiểm tra cấu hình tập tin hệ thống (Ext3, NTFS).
Kiểm tra các dịch vụ hệ điều hành.
Kiểm tra các dịch vụ đặc biệt.
Kiểm tra log và các dịch vụ theo dõi sự kiện hệ thống (auditing services).
Kiểm tra cấu hình mạng và tường lửa.
Kiểm tra vấn đề phân quyền truy cập hệ thống, xác thực.
Kiểm tra các tài khoản và các môi trường.
Kiểm tra các cấu hình cảnh báo về quyền.
Kiểm tra các vấn đề bảo trì hệ thống.
CƠ SỞ DỮ LIỆU
(MySQL, MSSQL…)
Kiểm tra cấp độ hệ điều hành.
Kiểm tra phân quyền tập tin hệ thống.
Kiểm tra log.
Kiểm tra các vấn đề chung liên quan đến cơ sở dữ liệu.
Kiểm tra quyền truy cập cơ sở dữ liệu.
Kiểm tra các cấu hình tùy chỉnh.
Kiểm tra các cấu hình SSL.
Kiểm tra các cấu hình sao lưu và phục hồi sau thảm họa.
MÁY CHỦ WEB
(Nginx, Apache, IIS…)
Kiểm tra quá trình cài đặt máy chủ web.
Kiểm tra cấu hình hệ điều hành và quản lý truy cập.
Kiểm tra các cấu hình bảo mật thư mục lưu trữ mã nguồn web.
Kiểm tra các cấu hình xác thực và giải pháp mã hóa.
Kiểm tra các cấu hình SSL/TLS.
Kiểm tra các cấu hình logging.
Kiểm tra các cấu hình sao lưu hệ thống.
Kiểm tra các cấu hình truy cập từ xa và cập nhật nội dung mã nguồn.
NETWORK
(Cisco, Juniper…)
Kiểm tra các yêu cầu truy cập thiết bị (AAA, Access rule, Banner rule, Password…).
Kiểm tra các yêu cầu quản trị thiết bị (Clock, Service, Log, NTP…).
Kiểm tra các yêu cầu truyền dẫn số liệu (Border routing, Neighbor authentication, Routing rule….).

Quá trình thực hiện

Tùy theo quy mô của các doanh nghiệp và quy mô của các ứng dụng, thông thường việc đánh giá các hệ thống máy chủ, hệ thống Cơ sở dữ liệu thường kéo dài 10 ngày.

BÁO CÁO

3STONE Co., LTD thực hiện lập báo cáo chi tiết toàn bộ quá trình đánh giá bảo mật hệ thống bao gồm hai báo cáo chính:

Báo cáo tổng quan

  • Bảng thống kê hiện trạng các tham số cấu hình (số lượng lỗ hổng theo mức độ nghiêm trọng, đồ thị tổng quan…).
  • Bảng đánh giá tổng quan toàn bộ hệ thống.

Báo cáo chi tiết

  • Danh mục các cấu hình hệ thống đã được thu thập.
  • Thông tin chi tiết các hạng mục được đánh giá.
  • Cách khắc phục các cấu hình không đạt chuẩn.
  • Đánh giá mức độ ảnh hưởng của cấu hình không đạt chuẩn.