Những dữ liệu được lưu trên máy tính của bạn đôi khi rất nhạy cảm, bạn không muốn làm mất nó, và không ai có thể xem dữ liệu của bạn mà không được sự cho phép, ví dụ như: mật khẩu của một dịch vụ mạng xã hội, mã số thẻ tín dụng, thông tin tài khoản ngân hàng… cho đên những tài liệu thương mại bí mật của công ty, thông tin nhân viên hoặc khách hàng, bảng báo cáo tài chính…Và đó là những thứ mà bạn cần bảo vệ.
Bài viết này trình bày cho bạn những cách cơ bản nhất giúp bảo vệ dữ liệu của bạn không bị mất, và không bị truy cập trái phép.
Back up dữ liệu sớm và thường xuyên
Một trong những cách giúp dữ liệu của bạn được bảo vệ là hãy back up nó một cách thường xuyên. Khoảng bao lâu thì được? Điều này phụ thuộc vào dữ liệu của bạn. Nhiều hay ít? Quan trọng hay không? Có thể là mỗi tháng một lần, hay mỗi tuần, mỗi ngày, thậm chí là từng giờ. Chúng ta có thể sử dụng một tiện ích được cung cấp sẵn trong Windows (ntbackup.exe) để thực hiện các công việc sao lưu cơ bản. Nếu cảm thấy công việc này quá phức tạp với bạn thì hoàn toàn bạn có thể sử dụng chế độ Wizard để đơn giản hóa công việc và bạn có thể lập lịch tự động sao lưu dữ liệu. Ngoài ra chúng ta có thêm lựa chọn khác từ phần mềm của hãng thứ ba cùng với nhiều chức năng phong phú hơn.
Giao diện ntbackup.
Nhưng dù cho bạn có sử dụng phần mềm nào đi nữa, thì công việc sao lưu dữ liệu đôi khi cũng xảy ra một vài sự cố không lường trước như cháy đĩa do hỏa hoản, thiên tai…Đây là những điều đáng cho bạn lưu tâm đấy.
Thiết lập bảo mật ở nhiều cấp độ
Để giữ an toàn cho dữ liệu chia sẻ, bước đầu tiên là bạn cần phân lại quyền hạn truy cập cho mọi người. Nếu bạn có tài liệu chia sẻ trên mạng, bạn có thể thiết lập quyền hạn cho mọi người được phép hay không được phép truy cập, thay đổi dữ liệu. Với Windows 2000/XP, bạn thực hiện được điều này bằng cách nhấn vào nút Permissions trên tab Sharing của cửa sổ Properties của tập tin hay thư mục cần chia sẻ. Và đây là gọi là phương thức bảo mật cấp độ chia sẻ (share-level security).
Giao diện Share Permissions.
Tuy nhiên, share-level security không áp dụng cho dữ liệu được lưu ngay tại máy tính mà bạn sử dụng, mà chỉ áp dụng cho kết nối từ ngoài vào các dữ liệu được chia sẻ. Lúc này bạn phải sử dụng phương thức bảo mật cấp độ tập tin – file-share security, còn được biết đến với cái tên NTFS Permissions, chỉ có thể sử dụng cho các ổ đĩa định dạng NTFS. File-Level security được thiết lập bằng cách sử dụng tab Security trên Properties và có thêm nhiều chi tiết hơn so với share-level security.
Giao diện NTFS Permissions.
Trong cả hai trường hợp bạn có thể cấu hình quyền cho user hoặc là group, có thể từ chối hoặc chấp nhận, từ read only đến full control.
Đặt mật khẩu cho tài liệu
Nhiều chương trình như Microsoft Office applications, Adobe Acrobat…cho phép người dụng đặt mật khẩu để bảo vệ tài liệu cá nhân. Bạn bắt buộc phải nhập password khi muốn mở file. Để làm điều này trong Microsoft Word 2003, vào Tools | Options chọn qua tab Security. Bạn có thể yêu cầu một mật khẩu để mở file và hoặc để thay đổi nó.
Bạn có thể quy định loại mã hóa được sử dụng.
Thật không may, trình bảo vệ bằng mật khẩu của Microsoft là tương đối dễ dàng để crack. Có những chương trình trên thị trường được thiết kế để khôi phục mật khẩu Office, như của Elcomsoft Advanced Office Password Recovery (AOPR). Nhiều loại mã hóa không ngăn chặn được những kẽ xâm nhập, nhưng có thể lừa họ bằng những công cụ tốt hơn. Bạn cũng có thể sử dụng phần mềm nén như WinZip hoặc PKZip để nén và mã hóa các tài liệu.
Sử dụng thuật mã hóa EFS
Trong Windows 2000, XP Pro, và Server 2003, có hỗ trợ Encrypting File System (EFS – Mã hóa file hệ thống). Bạn có thể sử dụng để xây dựng thành hệ thống mã hóa tập tin và thư mục được lưu trữ trên phân vùng định dạng NTFS. Để làm điều này trong Windows bạn chọn Advanced trong tab General của hộp thoại Properties, sau đó chọn Encrypt contents to secure data. Lưu ý, giữa việc nén dữ liệu (compress) và mã hóa (Encrypt) bạn chỉ được phép chọn một.
Giao diện EFS trong Windows.
EFS sử dụng một sự kết hợp của mã hóa không đối xứng và đối xứng, để có thể sử dụng thuật mã hóa EFS người dùng phải có chứng nhận EFS, chứng nhận này được cấp mặc định cho người dùng Windows. Tập tin bị mã hóa EFS chỉ có thể được mỡ bằng tài khoản của người đã mã hóa nó.
Lưu ý, phương pháp mã hóa EFS chỉ có hiệu lực trên tại máy tính bạn đang sử dụng. Nếu một ai đó sử dụng phương pháp sniffer để bắt các gói dữ liệu lưu thông trong mạng, họ sẽ có thể đọc các dữ liệu của bạn một cách dể dàng.
Mã hóa ổ đĩa
Có rất nhiều sản phẩm của bên thứ ba sẵn sẽ cho phép bạn để mã hóa toàn bộ một ổ đĩa. Bạn có thể mã hóa toàn bộ nội dung trong một ổ đĩa hay một phân vùng nào đó. Dữ liệu được tự động được mã hóa khi nó được ghi vào đĩa cứng và tự động giải mã trước khi được nạp vào bộ nhớ. Một số chương trình có thề làm ảo hóa ổ đĩa, người dùng có thể thấy dữ liệu nhưng không thể đọc được. Vài chương trình khác cho phép bạn đặt mật khấu đa cấp, với từng cấp độ bạn quy định quyền hạn khác nhau cho từng người dùng. Ví dụ như PGP Whole Disk Encryption và DriveCrypt, là một trong số rất nhiều những chương trình như vậy.
Hãy sử dụng một cơ sở hạ tầng khóa công khai
Cơ sở hạ tầng khóa công khai (public key infrastructure) là một hệ thống quản lý công cộng / cặp khóa riêng và giấy chứng nhận kỹ thuật số. Bởi vì khóa và giấy chứng nhận được cấp bởi một bên thứ ba tin cậy, dựa trên giấy chứng nhận an ninh là mạnh hơn. Bạn có thể bảo vệ dữ liệu bạn muốn chia sẻ với người khác bằng cách mã hóa nó với khóa công khai và sẵn sàng cho mọi người sử dụng. Những người có thể giãi mã dữ liệu là người nắm giữ khóa cá nhân (private key) được sinh ra cùng một cặp với khóa công khai (public key).
Ẩn dữ liệu với Steganography
Bạn có thể sử dụng kỹ thuật Steganography để ẩn dữ liệu bên trong các dữ liệu khác. Ví dụ, bạn có thể giấu một tập tin văn bản trong một tập tin hình ảnh JPG. Hoặc một tập tin nhạc MP3, hoặc thậm chí trong một tập tin văn bản khác (mặc dù sau này là khó khăn vì các tập tin văn bản không chứa nhiều dữ liệu dư thừa có thể được thay thế bằng tập tin ẩn). Steganography không mã hóa được dữ liệu, do đó nó thường được sử dụng kết hợp với phần mềm mã hóa. Đầu tiên dữ liệu được mã hóa và sau đó ẩn bên trong một tập tin bằng phần mềm Steganography.
Một số kỹ thuật Steganography yêu cầu trao đổi một khóa bí mật và những người khác sử dụng khóa public/private . Một ví dụ phổ biến của phần mềm Steganography là StegoMagic, một tải phần mềm miễn phí này sẽ mã hóa thông điệp và ẩn chúng trong. TXT, WAV,. Hoặc các tập tin BMP…
Bảo mật IP
Dữ liệu của bạn thể “bị bắt” khi nó đi ngang qua mạng của một hacker đang sử dụng sniffer (còn gọi là mạng lưới giám sát hoặc phần mềm phân tích giao thức). Để bảo vệ dữ liệu của bạn khi nó “quá cảnh”, bạn có thể sử dụng Internet Protocol Security (IPSec)-nhưng cả hai việc gửi và nhận các hệ thống phải có hỗ trợ giao thức này. Windows 2000 và mới hơn trong hệ thống điều hành Microsoft đã được xây dựng trong việc hỗ trợ cho IPsec. Các ứng dụng không cần phải được nhận thức của IPsec bởi vì nó hoạt động ở một mức độ thấp của các mô hình kết nối mạng. Đóng gói dữ liệu an toàn (Encapsulating Security Payload -ESP) là sử dụng giao thức IPSec để mã hóa dữ liệu cho bảo mật
IPSec có thể hoạt động ở chế độ đường hầm (tunnel mode) của gateway-to-gateway,hoặc trong chế độ vận tải (transport mode) cho end-to-end. Để sử dụng IPSec trong Windows, bạn phải tạo một chính sách IPsec và chọn phương pháp xác thực và các bộ lọc IP sẽ sử dụng. Để cài đặt được cấu hình IPSec thông qua cửa sổ Properties của TCP/IP protocol, bấm nút Advanced, chọn qua tab IP Settings.
An toàn mạng không dây
Dữ liệu gửi qua mạng không dây một cách lan tràn, những ai có card mạng không dây đều có khả năng nắm lấy dữ liệu của bạn. Hacker không cần thông qua các thiết bị vật lý để sâm nhập hệ thống, chỉ cần một máy laptop có thể kết nối wifi, hacker có thể xâm nhập mạng của bạn nếu nó không được cấu hình an toàn. Bạn có thể chọn lấy một phương thức mã hóa dành cho mạng không dây của mình, thích hợp nhất Wi-Fi Protected Access (WPA), mạnh hơn so với phương thức ra đời trước đó là Wired Equivalent Protocol (WEP).
Kiểm soát và duy trì quyền hạn
Nếu bạn cần phải gửi dữ liệu cho người khác nhưng đang lo lắng về việc bảo vệ nó khi nó rời khỏi hệ thống của bạn, bạn có thể sử dụng Windows Rights Management Services (RMS) để kiểm soát những gì mà người nhận có thể làm gì với nó. Ví dụ, bạn có thể thiết lập quyền để cho phép người nhận có thể đọc các tài liệu Word được gửi, nhưng không thể thay đổi, sao chép, hoặc lưu nó lại. Bạn có thể ngăn chặn những người nhận thư chuyển tiếp e-mail bạn gửi cho họ đến người khác và thậm chí bạn có thể thiết lập cho văn bản hoặc tin nhắn thời hạn nhất định, quy định một ngày nhất định để các người nhận không còn có thể truy cập chúng sau thời gian đó. Để sử dụng RMS, bạn cần một máy chủ Windows Server 2003 cấu hình như một máy chủ RMS. Người sử dụng cần phần mềm máy khách hoặc một tiện ích Internet Explorer để truy cập các tài liệu được RMS bảo vệ. Người dùng sẽ được giao quyền cũng cần phải tải về một chứng chỉ từ máy chủ RMS.
Nguyễn Tấn Thành
CTVuitnetwork
- 02/06/2010 16:28 - Hội thảo bảo mật quốc tế SyScan 2010 đến Tp.HCM
- 30/05/2010 18:00 - Xuất hiện cách trộm mật khẩu mới trên web
- 04/05/2010 13:36 - Những quái kiệt hacker "mũ trắng"
- 30/03/2010 21:24 - Computer Viruses - Phần 2
- 15/12/2009 00:46 - Computer Viruses - Phần 1
- 04/12/2009 15:24 - Tuần tới Microsoft sẽ vá lỗ hổng Zero-day trong IE
- 03/12/2009 15:42 - Tên miền Cameroon nguy hiểm nhất thế giới
- 03/12/2009 15:41 - 5 nguy cơ bảo mật năm 2010
- 02/12/2009 17:37 - Hacker lợi dụng vụ tai nạn xe hơi của Tiger Woods
- 02/12/2009 17:26 - Symantec công bố 100 website bẩn năm 2009
