BẢO MẬT CHO HỆ THỐNG ERP – PHẦN 1

 

PHẦN 1 – NGUY CƠ TỪ SỰ RÒ RỈ DỮ LIỆU CỦA HỆ THỐNG ERP.

ERP là hệ thống lõi, xử lý và lưu trữ nhiều dữ liệu quan trọng và nhạy cảm nhất của doanh nghiệp như là thông tin tài chính – quản trị, nhân sự, khách hàng, thông tin thẻ,.. đồng thời ERP cũng là hệ thống lớn và phức tạp vì có rất nhiều dữ liệu, nhiều hệ thống khác nhau truy cập, nhiều giao dịch xử lý, với nhiều đối tượng thao tác như người dùng ứng dụng, quản trị viên ứng dụng/CSDL có nhiều đặc quyền trên CSDL. Ngoài ra ứng dụng có thể là cổng thông tin Web portal được public ra Internet có thể bị hacker bên ngoài tấn công từ đó xâm nhập vào CSDL ERP. Chính vì vậy doanh nghiệp rất khó kiểm soát hệ thống, và tồn tại các nguy cơ như hành vi trái quyền của người dùng nội bộ, tấn công từ hacker, dữ liệu có thể bị đánh cắp và bị làm sai lệch. Doanh nghiệp có thể gặp các thách thức về an ninh trên hệ thống ERP như sau:

• Xác định được dữ liệu nhạy cảm đang nằm ở đâu trong hệ thống.
• Theo dõi, giám sát được các truy cập nhạy cảm, nhanh chóng phát hiện và ngăn chặn hành vi bất thường, truy cập trái phép từ hacker và người dùng nội bộ bên trong.
• Phát hiện ra các điểm yếu/lỗ hổng an ninh trong hệ thống, cách bảo trì và khắc phục các lỗ hổng mà không làm ảnh hưởng, gián đoạn tới hệ thống đang hoạt động.

 

Bên cạnh đó doanh nghiệp hoạt động trong lĩnh vực tài chính – ngân hàng có thể phải thực hiện tuân thủ các qui định về An ninh thông tin như PCI DSS – yêu cầu đối với các hệ thống có lưu trữ và xử lý dữ liệu thẻ.

Bài viết này xin giới thiệu giải pháp an ninh cho CSDL của hệ thống ERP của Imperva, giải pháp đạt được chứng chỉ của SAP, nhà cung cấp giải pháp ERP hàng đầu, chứng nhận khả năng tương tác với SAP NetWeaver Application Server, cũng như với SAP 4/HANA,  để giúp các doanh nghiệp có thể  thực hiện biện pháp an ninh thông tin, giải quyết các vấn đề như nêu ở trên đối với ERP.

 

NGUYÊN TẮC THIẾT KẾ HỆ THỐNG BẢO MẬT CSDL

 

 

Xác định đối tượng dữ liệu cần bảo vệ

Để thiết lập chính sách bảo vệ dữ liệu nhạy cảm, doanh nghiệp đầu tiên cần xác định được có những đối tượng nhạy cảm gì, đang ở đâu trong hệ thống. Với hệ thống lớn như ERP, với nhiều đối tượng dữ liệu và nhiều tiến trình, để trả lời câu hỏi này không phải dễ. Imperva có Trung tâm lab chuyên nghiên cứu cấu trúc ứng dụng và CSDL các hệ thống tập trung của doanh nghiệp như ERP, CRM hay quản trị nhân sự do các hãng cung cấp dịch vụ hàng đầu thế giới là SAP, Oracle EBS, PeopleSoft… xây dựng.

Do đó giải pháp xác định các đối tượng dữ liệu quan trọng trong hệ thống và chứa thông tin nhạy cảm bao gồm thông tin tài chính, thông tin thẻ tín dụng, metadata. Ngoài ra giải pháp cho phép khách hàng tự định nghĩa các luật để quét tìm, phát hiện các bảng CSDL mới được tạo và các dữ liệu nhạy cảm khác trong hệ thống. Khi các đối tượng dữ liệu được xác định, các chính sách giám sát, bảo vệ được tạo ra tương ứng cho các đối tượng.

 

Theo dõi, giám sát (Audit) các truy xuất dữ liệu

Việc theo dõi, giám sát được mọi hoạt động truy xuất vào CSDL là vô cùng quan trọng trong việc ghi lại các dấu vết (forensic) chứng cứ để điều tra khi có sự cố, phát hiện và ngăn ngừa sớm các hành vi trái phép. Tuy nhiên công việc này trên hệ thống ERP gặp các hạn chế hoặc không thực hiện được bởi vì bật tính năng ghi log trên CSDL sẽ làm suy giảm máy chủ CSDL, ngoài ra việc sử dụng log trên CSDL/ứng dụng không đảm bảo nguyên tắc tách quyền độc lập do các quản trị viên ứng dụng và CSDL có thể xóa hoặc tắt chức năng log nếu họ có ý đồ xấu. Giải pháp Imperva cho phép tạo các log (audit) một cách liên tục và độc lập với ứng dụng và CSDL với thông chi tiết về các truy cập vào CSDL bao gồm:

• Ghi lại mọi truy xuất của người dùng ứng dụng như truy vấn dữ liệu (SELECT) và thao tác sửa đổi dữ liệu (UPDATE, INSERT, DELETEs)
• Ghi lại các hành động của người dùng có đặc quyền/quản trị viên (DBA) như tạo phân quyền tài khoản (GRANT, REVOKE), tạo và sửa đổi cấu trúc/Schema CSDL (CREATE, DROP, ALTER)
• Nhận biết và ghi lại tên người dùng cuối của ứng dụng (SAP, Oracle EBS, PeopleSoft) cho dù ứng dụng dùng chung một tài khoản của CSDL để truy xuất CSDL và các chi tiết khác như OS user name, truy xuất bằng cách thức/công cụ gì, truy xuất vào đối tượng dữ liệu gì, mức độ nhạy cảm,..

 

Nhằm giúp đơn giản hóa việc thiết lập chính sách, giải pháp Imperva cung cấp nhiều chính sách audit được định nghĩa sẵn cho hệ thống SAP, Oracle EBS, PeopleSoft… Người quản trị chỉ việc lựa chọn các chính sách được định nghĩa sẵn mà mình cần. Tương tự giải pháp cung cấp nhiều mẫu báo cáo được tạo sẵn cho hệ thống SAP, Oracle EBS, PeopleSoft… cũng như chính sách, báo cáo mẫu đáp ứng theo các tiêu chuẩn An toàn thông tin như ISO 27001, PCI DSS…

Phát hiện và ngăn chặn các truy xuất trái phép, bất thường

Trong hàng nghìn, hàng triệu giao dịch trên hệ thống, giải pháp Imperva có khả năng phát hiện những hành vi bất thường, truy cập trái quyền và tấn công từ bên ngoài. Giải pháp cung cấp các chính sách an ninh định nghĩa cho phép phát hiện và ngay lập tức cảnh bảo/ngăn chặn các bất thường điển hình, ví dụ trên hệ thống SAP như sau:

• Các truy cập bởi những tài khoản không phải của hệ thống SAP (tài khoản không đăng ký trên hệ thống).
• Các truy cập vào dữ liệu và cấu trúc dữ liệu không phải bởi ứng dụng SAP.
• Các truy cập vào dữ liệu và cấu trúc dữ liệu từ một máy trạm của người dùng và không thông qua máy chủ ứng dụng SAP.
• Giám sát, theo dõi các các tài khoản mới (của đối tác thứ 3, không phải của SAP), các đặc quyền được cấp cho tài khoản.

 

PHẦN 2 – PHƯƠNG ÁN ĐỀ XUẤT

 

Emanvn | Song Phương