Lĩnh vực này đề cập đến những vấn đề sau :
• Security management responsibilities - Trách nhiệm quản lý an ninh
• Sự khác biệt giữa các vấn đề kiểm soát : hành chính, kỹ thuật và vật lý
• Nguyên tắc cơ bản về an toàn thông tin
• Quản lý rủi ro và phân tích rủi ro
• Chính sách bảo mật
• Phân loại thông tin
• Đào tạo nâng cao nhận thức về an toàn thông tin
• Security management responsibilities - Trách nhiệm quản lý an ninh
• Sự khác biệt giữa các vấn đề kiểm soát : hành chính, kỹ thuật và vật lý
• Nguyên tắc cơ bản về an toàn thông tin
• Quản lý rủi ro và phân tích rủi ro
• Chính sách bảo mật
• Phân loại thông tin
• Đào tạo nâng cao nhận thức về an toàn thông tin
Chúng ta đã từng nghe nói về các sự cố gây ra bởi Virus làm thiệt hại hàng triệu đô la mỹ, Hacker từ nhiều quốc gia tấn công vào các tổ chức tài chính để đánh cắp hàng triệu thông tin thẻ tín dụng, hàng loạt Website chính phủ và Website của các tập đoàn lớn bị thay đổi nội dung vì mục đích chính trị, phá hoại ... Cuối cùng, Hacker bị bắt và bị tống giam.
Những điều kể trên là những khía cạnh thú vị về an toàn thông tin, nhưng trên thực tế các hoạt động này không phải là những điều mà các tổ chức, cơ quan an ninh thường phải đối phó khi nhắc đến công việc hàng ngày của họ. Mặc dù Virus và Hacker hầu hết đều nằm trong tất cả các đầu đề chỉ mục liên quan đến an toàn thông tin. Quản lý an ninh mới là cốt lõi của tổ chức và cơ cấu an toàn thông tin.
Security Management - Quản lý An Ninh
Security management - Quản lý an ninh bao gồm quản lý rủi ro, chính sách an toàn thông tin, các tiêu chuẩn, các nguyên tắc, các khuyến nghị, phân loại thông tin, an ninh tổ chức và đào tạo về an ninh thông tin. Đó là những thành phần cốt lõi, là nền tảng của toàn bộ chương trình an toàn thông tin cho tổ chức. Mục tiêu chính của an ninh nói chung và chương trình an ninh nói riêng là để bảo vệ tổ chức và tài sản của tổ chức.
Risk analysis - Phân tích rủi ro là quá trình xác định các mối đe dọa có nguy cơ xảy ra đối với tài sản của tổ chức, ước tính thiệt hại và tổn thất có thể xảy ra mà công ty phải chịu nếu mối đe dọa trở thành hiện thực.
Phân tích rủi ro sẽ giúp quản lý, xây dựng ngân sách cần thiết cho việc bảo vệ tài sản và phát triển các chính sách an toàn thông tin nhằm cung cấp định hướng cho các hoạt động liên quan đến an ninh.
Security education - Đào tạo nhận thức về an toàn thông tin cho tất cả nhân viên trong tổ chức, để mọi người có một sự hiểu biết nhất định, cũng như giúp cho việc triển khai các mục tiêu an ninh cho tổ chức được suôn sẻ nhờ sự hợp tác của các nhân viên.
Quy trình quản lý an ninh là một quy trình mang tính chất hoạt động liên tục theo chu trình tuần hoàn, bắt đầu với việc đánh giá rủi ro và xác định nhu cầu an ninh cần thiết, tiếp theo là theo dõi và đánh giá hệ thống, cùng với các vấn đề liên quan trong quá trình thực tiễn hóa quy trình. Bước tiếp theo như đã đề cập qua ở trên là đẩy mạnh nhận thức về an toàn thông tin cho toàn bộ nhân viên của tổ chức. Bước cuối cùng là triển khai chính sách và cơ chế kiểm soát an ninh, nhằm giải quyết những rủi ro và các nhu cầu an ninh cần thiết đã xác định ở bước đầu tiên.
Sau khi hoàn thành một vòng chu trình, mọi thứ sẽ bắt đầu lập lại từ đầu. Bằng phương pháp này, quy trình đánh giá và giám sát an ninh thông tin sẽ liên tục được cập nhật, giúp cho quy trình thích nghi và phát triển để đáp ứng các nhu cầu an ninh của tổ chức. Sự liên tục của quy trình an ninh cũng nhằm để bắt kịp tốc độ với sự phát triển của các mối đe dọa.
Quản lý an ninh đã thực sự "lột xác" trong nhiều năm qua, bởi vì những thứ như hệ thống mạng, hệ thống máy tính và ứng dụng đã có những bước tiến thay đổi vượt bậc, vì thế quản lý an ninh cũng phải đồng tiến bước để bắt kịp công nghệ, bắt kịp nhu cầu an ninh cần thiết. Trong thời kỳ đầu khi phát triển ngành khoa học máy tính, Thông tin chủ yếu được lưu trữ trong mainframe, phần lớn sử dụng cấu trúc hệ thống mạng tập trung (centralized network structure).
Hệ thống mainframe gồm các máy chủ cực kỳ mạnh, có năng lực tính toán cao được kết nối với nhiều thiết bị đầu cuối, gọi là dumb terminals, được cấu hình và quản lý qua kết nối bằng Console, tập trung tại một vị trí thay vì phân bổ đi nhiều nơi như ngày nay (Distributed Network). Chỉ có một số người mới được quyền truy cập vào hệ thống mainframe, và chỉ có một nhóm nhỏ hiểu biết cách thức hoạt động của mainframe,điều này giúp giảm mạnh hàng loạt các rủi ro liên quan đến vấn đề an ninh.
Người dùng có thể truy cập thông tin dữ liệu trên hệ thống mainframe qua dumb terminals, chủ yếu chỉ làm mỗi nhiệm vụ Input/Output thông tin, không có màu, không có chuột, không có Floppy Disk, không có Hardisk ... Text editor chỉ là VI-editor, chỉ có khả năng đánh chữ từng 1 hàng một, đánh qua thì không thể dùng con trỏ để đi ngược lại sửa, phải đánh cho hết câu thì mới có thể thay thế chữ sai, chữ đúng ... Lúc bấy giờ, không có nhiều nhu cầu cho việc đảm bảo kiểm soát an ninh nghiêm ngặt đối với hệ thống mainframe.
Tất nhiên con người không bao giờ thỏa mãn với những gì đã có, vì thế công nghệ mainframe sớm trở nên cũ kỹ lỗi thời, thời nay hệ thống mạng được "lấp đầy" bởi hàng loạt các máy tính cá nhân với tốc độ và sức mạnh xử lý cực mạnh; người dùng bây giờ cũng đã có nhận thức về sự nguy hiểm mà các hệ thống máy tính phải đối mặt, thông tin dữ liệu không còn tập trung tại một chỗ trong "nhà kính", mà nó xuất hiện ở nhiều nơi như servers, workstations, và các loại hệ thống mạng khác. Thông tin còn được truyền qua nhiều dạng như Wires, Airways ...
Internet, extranet và intranet không chỉ làm cho vấn đề an ninh trở nên phức tạp, mà chúng còn làm cho vấn đề an ninh ngày càng được xem trọng hơn. Các kiến trúc mạng cốt lõi (core network architecture) đã có sự thay đổi, môi trường máy tính độc lập (stand-alone computing environment) chuyển thành môi trường máy tính phân tán (distributed computing environment), đồng nghĩa với việc tăng vọt cấp số nhân những sự phức tạp.
Mặc dù kết nối mạng Internet đem lại rất nhiều tiện ích, dịch vụ, cũng như mở rộng tầm nhìn của các tổ chức đến với thế giới Internet, nhưng đồng thời nó cũng sẽ mở ra "floodgates" với các cơn lũ ẩn chứa nguy cơ rủi ro bảo mật tiềm tàng ồ ạt tràn ngập vào người dùng Internet.
Trên thế giới ngày nay, đa số các tổ chức lớn hầu như phụ thuộc rất nhiều vào máy tính, nếu máy tính và hiệu năng tính toán của chúng ngừng hoạt động thì sẽ xảy ra thảm họa. Máy vi tính xuất hiện khắp mọi nơi, mỗi cá nhân sở hữu từng máy, tích hợp trực tiếp vào hệ thống vận hành kinh doanh, cho nên nếu như không có máy tính, công việc sẽ bị gián đoạn, doanh thu sẽ bị sụt giảm, rất mệt mỏi. Nhiều tập đoàn lớn đã nhận thức được rằng thông tin dữ liệu là tài sản quý giá của họ, phải được bảo vệ an ninh tuyệt đối như các buildings, thiết bị sản xuất, và các tài sản vật chất khác. Khi mà hệ thống mạng và môi trường công nghệ thay đổi, thì nhu cầu tất yếu về an toàn thông tin là hết sức hợp lý.
An toàn thông tin là lĩnh vực rất rộng, không chỉ nói về Firewall, về Router có Access List ... Tất cả các hệ thống an ninh đều phải được quản lý nghiêm ngặt, phần lớn về an toàn thông tin liên quan đến việc quản lý con người và quản lý những thủ tục, tiêu chuẩn, chính sách. Điều này mang đến cho chúng ta nhiều kinh nghiệm thực tiễn trong quá trình quản lý an ninh, trong đó tập trung chính vào việc bảo vệ tài sản của tổ chức.
Security Management Responsibilities - Trách nhiệm quản lý an ninh
Okay, ai sẽ là người chịu trách nhiệm ?
Trong lĩnh vực an toàn thông tin, điều hành quản lý chủ yếu liên quan đến việc xác định mục tiêu, phạm vi, chính sách, mức độ ưu tiên và hoạch định chiến lược. Người quản lý cần phải xác định một phạm vi rõ ràng, trước khi xảy ra tình trạng nhiều người đưa ra nhiều cách bảo mật khác nhau sẽ làm rối loạn chiến lược, cũng như cấu trúc an ninh, ngoài ra phải đưa ra được những mục tiêu thực tế dự kiến sẽ hoàn thành khi triển khai chương trình an toàn thông tin cho tổ chức. Quản lý cũng cần phải đánh giá mục tiêu kinh doanh của tổ chức, rủi ro an ninh, năng suất lao động của nhân viên. Cuối cùng, người quản lý phải xác định các bước tiến hành rõ ràng, minh bạch, để đảm bảo rằng tất cả những vấn đề này đều được hạch toán và giải quyết.
Nhiều tổ chức xem các yếu tố về hiệu suất và kinh doanh là sự cân bằng duy nhất, quan niệm về thông tin và an ninh không được xem trọng, dồn hết vào cho IT Administrator quản lý. Trong những trường hợp như thế này, người quản lý không sử dụng máy tính và thông tin bảo mật nghiêm túc, kết quả là vấn đề an ninh thông tin sẽ kém phát triển, không được sự hỗ trợ, thiếu kinh phí, dẫn đến không thành công. Vấn đề an toàn thông tin cần phải được ủng hộ và giải quyết ở cấp lãnh đạo cao nhất trong tổ chức. Các IT Administrator có thể tư vấn, tham gia đóng góp ý kiến về việc quản lý các vấn đề an ninh, nhưng tính bảo mật của tổ chức không được giao hoàn toàn cho IT hay Security Administrator.
Quản lý an ninh phụ thuộc nhiều vào việc xác định và định giá chính xác tài sản của tổ chức, sau đó tiến hành thực hiện hóa chính sách an ninh, các thủ tục, các tiêu chuẩn và các hướng dẫn để cung cấp tính toàn vẹn, tính bảo mật và tính sẵn sàng cho các tài sản của tổ chức. Nhiều công cụ quản lý khác nhau được sử dụng để phân loại dữ liệu và thực hiện phân tích và đánh giá rủi ro. Những công cụ này dùng để xác định các lỗ hổng, mức độ tổn thất và xếp hạng mức độ nghiêm trọng của các lỗ hổng được xác định để đưa ra được các biện pháp đối phó, nhằm mục đích giảm thiểu mức độ rủi ro một cách hiệu quả.
Người quản lý có trách nhiệm cung cấp sự bảo vệ cho các nguồn tài nguyên nói chung và tổ chức nói riêng. Những nguồn tài nguyên có thể đến từ nguồn nhân lực (human), vốn tài chính (financial capital), hardware và các biểu mẫu thông tin. Khi tiến hành xây dựng chương trình an ninh cho tổ chức, người quản lý phải đảm bảo được rằng chương trình chắc chắn có thể nhận ra được những mối đe dọa gây ảnh hưởng đến các nguồn tài nguyên và phải đảm bảo các biện pháp bảo vệ đưa ra có hiệu lực thật sự.
Các nguồn lực và kinh phí cần thiết phải luôn luôn sẵn sàng, nội dung chi tiết chiến lược phải được chuẩn bị đầy đủ. Người quản lý phải phân công trách nhiệm và xác định vai trò cần thiết, để có được chương trình bảo mật thực tế, không quá viễn vông, giữ cho nó luôn bền vững và tiến triển mạnh mẽ. Người quản lý cũng phải tích hợp chương trình vào môi trường kinh doanh hiện tại và theo dõi những thành quả của chương trình ( Đảm bảo xuyên suốt 24/24, không xuất hiện các sự cố an ninh ...) Sự hỗ trợ từ phía lãnh đạo là phần quan trọng nhất trong chương trình bảo mật. Một cái gật đầu và nháy mắt sẽ không cung cấp được sự hỗ trợ cần thiết bằng những hành động thực tế.
The Top-Down & Bottom-Up Approach to Security
Các tổ chức có thể giải quyết những vấn đề liên quan đến quản lý an ninh bằng những phương pháp khác nhau.
Theo truyền thống, các tổ chức đã quen với phương pháp tiếp cận Bottom-Up (Từ dưới lên trên), với phương pháp này sẽ phụ thuộc vào quá trình hoạt động của các nhân viên nghiệp vụ trong tổ chức, trong lúc làm việc gặp phải các vấn đề liên quan đến an ninh thông tin thì họ sẽ thông báo lên phía người quản lý an ninh (ví dụ khi bị thất thoát dữ liệu, bị Malware tấn công máy tính, bị mất tài khoản thông tin .) Với phương pháp này người quản lý sẽ không có một sự chuẩn bị, nắm bắt, quản lý về những mối đe dọa tiềm tàng, ảnh hưởng của nó, sự phân bố nguồn nhân lực hợp lý, phương pháp này đã không ít lần phải chịu sự thất bại.
Ngược lại với Bottom-Up là Top-Down (Từ trên xuống dưới), Top-down là phương pháp đã chứng tỏ được sự thành công khi áp dụng nó. Với phương pháp này, người quản lý hiểu biết toàn bộ cục diện chiến lược an ninh của tổ chức (mối đe dọa, tác động ảnh hưởng, phân bố nhân lực...) để tiến hành quy trình quản lý an ninh bằng cách thiết lập một Framework về an toàn thông tin như Federal Information Security Management (FISMA) và ISO27000. Sau đó, kết quả mang lại là sự quản lý an ninh một cách hệ thống xuyên suốt từ trên xuống dưới, xuống đến toàn bộ các nhân viên trong tổ chức.
Xây dựng một chương trình bảo mật cũng tương tự như xây một ngôi nhà. Khi thiết kế và triển khai thực hiện một chương trình bảo mật, các chuyên gia bảo mật phải xác định và dự kiến được những chức năng và kết quả mà chương trình mang lại. Nhiều khi, các tổ chức chỉ thực hiện theo kiểu khóa vật lý máy tính và cài đặt Firewalls, họ cho rằng như vậy là đã an toàn, mà không dành thời gian để tìm hiểu nhu cầu bảo mật tổng thể, mức đảm bảo mà họ mong đợi cho toàn bộ tổ chức của họ.
Nhóm chuyên gia bảo mật tham gia vào quá trình này nên bắt đầu từ phía trên cùng (Top), với những ý tưởng rộng lớn và đi sâu vào công việc xuống tới tận chi tiết cấu hình và thông số hệ thống. Tại mỗi bước thực hiện quá trình, nhóm nghiên cứu phải ghi nhớ các mục tiêu an ninh tổng thể, để bổ sung thêm mức độ chi tiết cho những mục tiêu đó. Điều này giúp cho nhóm nghiên cứu tránh bị phân mảng những mục tiêu chính bởi nhiều phương hướng thực hiện khác nhau cùng một lúc.
Bước kế tiếp là phát triển và triển khai thực thi các thủ tục, tiêu chuẩn, các tài liệu hỗ trợ cho chính sách an ninh, xác định phương pháp đối phó cũng như đặt chúng vào đúng vị trí cần thiết. Một khi các mục này được phát triển, chương trình bảo mật sẽ gia tăng độ chi tiết bởi các tài liệu chuẩn (baselines) và các tài liệu cấu hình dành cho các phương pháp kiểm soát an ninh.
Nếu chương trình bảo mật bắt đầu với một nền tảng vững chắc và phát triển về lâu về dài với mục tiêu được hoạch định rõ ràng, thì tổ chức không phải thay đổi cơ cấu an ninh một cách quyết liệt khi thực hiện được nửa giai đoạn. Quy trình có thể là một phương pháp, tiết kiệm thời gian, kinh phí, nguồn lực, cung cấp một sự cân bằng giữa chức năng và an ninh.
Phương pháp Top-down không phải là một tiêu chuẩn, nhưng nó giúp cho chúng ta có cái nhìn sâu sắc hơn, giúp tổ chức có được phương pháp tiếp cận một cách kiểm soát hơn. Chúng ta có thể cung cấp tầm nhìn cùng với sự hiểu biết về việc lên kế hoạch và triển khai thực hiện, làm thế nào để chương trình tiến triển một cách có tổ chức, qua đó giúp tránh được một kết quả không mấy tốt đẹp, bản chất là một đống khổng lồ rời rạc, những giải pháp bảo mật sai lầm.
Security Administration & Supporting Controls
Nếu tổ chức hiện tại không có vai trò nhân viên an ninh, thì vai trò này nên được thiết lập bởi người quản lý.Vai trò nhân viên an ninh chủ yếu chịu trách nhiệm trực tiếp giám sát một phần lớn các khía cạnh của một chương trình bảo mật. Tùy thuộc vào các tổ chức, vào nhu cầu bảo mật và kích cỡ của môi trường làm việc, quản lý an ninh (Security Administration) có thể bao gồm một người hoặc một nhóm người làm việc tại một trung tâm hoặc theo mô hình phân tán
Bất kể là môi trường làm việc thuộc kích thước lớn hay nhỏ, quản lý an ninh đòi hỏi phải có một cơ cấu báo cáo rõ ràng, hiểu rõ trách nhiệm của mình, kiểm định và theo dõi hiệu năng của chương trình bảo mật để đảm bảo không xảy ra sai sót vì thiếu thông tin hoặc thiếu sự hiểu biết.
Chủ sở hữu thông tin (Information owners) sẽ là người cấp phép cho người dùng có thể truy cập vào tài nguyên của họ và có thể làm được những gì sau khi truy cập thành công. Công việc quản lý an ninh là để đảm bảo những điều này được thực hiện chính xác, không được phép sai sót. Các phương thức kiểm soát sau đây nên sử dụng để đạt được yêu cầu của ban quản lý an ninh :
Administrative controls - Kiểm soát hành chính : Bao gồm việc phát triển và xuất bản các chính sách,tiêu chuẩn, thủ tục và các tài liệu hướng dẫn, quản lý rủi ro, kiểm tra và sàng lọc nhân sự, tiến hành đào tạo nâng cao nhận thức về bảo mật, kiểm soát việc thay đổi các thủ tục.
Technical controls - Kiểm soát kỹ thuật (hay còn gọi là kiểm soát logical) : Bao gồm việc triển khai thực hiện và duy trì cơ chế kiểm soát truy cập, quản lý tài nguyên và mật khẩu, phương pháp định danh và xác thực, thiết bị an ninh và cấu hình cơ sở hạ tầng.
Physical controls - Kiểm soát vật l�� : Bao gồm kiểm soát truy cập từng cá nhân ra vào các cơ sở và các phòng ban, khóa vật lý hệ thống, loại bỏ ổ CDROM, bảo vệ vành đai vật lý tòa nhà chứa hệ thống, giám sát những sự kiện phá hoại, tấn công và kiểm soát môi trường vật lý.
Những điều kể trên là những khía cạnh thú vị về an toàn thông tin, nhưng trên thực tế các hoạt động này không phải là những điều mà các tổ chức, cơ quan an ninh thường phải đối phó khi nhắc đến công việc hàng ngày của họ. Mặc dù Virus và Hacker hầu hết đều nằm trong tất cả các đầu đề chỉ mục liên quan đến an toàn thông tin. Quản lý an ninh mới là cốt lõi của tổ chức và cơ cấu an toàn thông tin.
Security Management - Quản lý An Ninh
Security management - Quản lý an ninh bao gồm quản lý rủi ro, chính sách an toàn thông tin, các tiêu chuẩn, các nguyên tắc, các khuyến nghị, phân loại thông tin, an ninh tổ chức và đào tạo về an ninh thông tin. Đó là những thành phần cốt lõi, là nền tảng của toàn bộ chương trình an toàn thông tin cho tổ chức. Mục tiêu chính của an ninh nói chung và chương trình an ninh nói riêng là để bảo vệ tổ chức và tài sản của tổ chức.
Risk analysis - Phân tích rủi ro là quá trình xác định các mối đe dọa có nguy cơ xảy ra đối với tài sản của tổ chức, ước tính thiệt hại và tổn thất có thể xảy ra mà công ty phải chịu nếu mối đe dọa trở thành hiện thực.
Phân tích rủi ro sẽ giúp quản lý, xây dựng ngân sách cần thiết cho việc bảo vệ tài sản và phát triển các chính sách an toàn thông tin nhằm cung cấp định hướng cho các hoạt động liên quan đến an ninh.
Security education - Đào tạo nhận thức về an toàn thông tin cho tất cả nhân viên trong tổ chức, để mọi người có một sự hiểu biết nhất định, cũng như giúp cho việc triển khai các mục tiêu an ninh cho tổ chức được suôn sẻ nhờ sự hợp tác của các nhân viên.
Quy trình quản lý an ninh là một quy trình mang tính chất hoạt động liên tục theo chu trình tuần hoàn, bắt đầu với việc đánh giá rủi ro và xác định nhu cầu an ninh cần thiết, tiếp theo là theo dõi và đánh giá hệ thống, cùng với các vấn đề liên quan trong quá trình thực tiễn hóa quy trình. Bước tiếp theo như đã đề cập qua ở trên là đẩy mạnh nhận thức về an toàn thông tin cho toàn bộ nhân viên của tổ chức. Bước cuối cùng là triển khai chính sách và cơ chế kiểm soát an ninh, nhằm giải quyết những rủi ro và các nhu cầu an ninh cần thiết đã xác định ở bước đầu tiên.
Sau khi hoàn thành một vòng chu trình, mọi thứ sẽ bắt đầu lập lại từ đầu. Bằng phương pháp này, quy trình đánh giá và giám sát an ninh thông tin sẽ liên tục được cập nhật, giúp cho quy trình thích nghi và phát triển để đáp ứng các nhu cầu an ninh của tổ chức. Sự liên tục của quy trình an ninh cũng nhằm để bắt kịp tốc độ với sự phát triển của các mối đe dọa.
Quản lý an ninh đã thực sự "lột xác" trong nhiều năm qua, bởi vì những thứ như hệ thống mạng, hệ thống máy tính và ứng dụng đã có những bước tiến thay đổi vượt bậc, vì thế quản lý an ninh cũng phải đồng tiến bước để bắt kịp công nghệ, bắt kịp nhu cầu an ninh cần thiết. Trong thời kỳ đầu khi phát triển ngành khoa học máy tính, Thông tin chủ yếu được lưu trữ trong mainframe, phần lớn sử dụng cấu trúc hệ thống mạng tập trung (centralized network structure).
Hệ thống mainframe gồm các máy chủ cực kỳ mạnh, có năng lực tính toán cao được kết nối với nhiều thiết bị đầu cuối, gọi là dumb terminals, được cấu hình và quản lý qua kết nối bằng Console, tập trung tại một vị trí thay vì phân bổ đi nhiều nơi như ngày nay (Distributed Network). Chỉ có một số người mới được quyền truy cập vào hệ thống mainframe, và chỉ có một nhóm nhỏ hiểu biết cách thức hoạt động của mainframe,điều này giúp giảm mạnh hàng loạt các rủi ro liên quan đến vấn đề an ninh.
Người dùng có thể truy cập thông tin dữ liệu trên hệ thống mainframe qua dumb terminals, chủ yếu chỉ làm mỗi nhiệm vụ Input/Output thông tin, không có màu, không có chuột, không có Floppy Disk, không có Hardisk ... Text editor chỉ là VI-editor, chỉ có khả năng đánh chữ từng 1 hàng một, đánh qua thì không thể dùng con trỏ để đi ngược lại sửa, phải đánh cho hết câu thì mới có thể thay thế chữ sai, chữ đúng ... Lúc bấy giờ, không có nhiều nhu cầu cho việc đảm bảo kiểm soát an ninh nghiêm ngặt đối với hệ thống mainframe.
Tất nhiên con người không bao giờ thỏa mãn với những gì đã có, vì thế công nghệ mainframe sớm trở nên cũ kỹ lỗi thời, thời nay hệ thống mạng được "lấp đầy" bởi hàng loạt các máy tính cá nhân với tốc độ và sức mạnh xử lý cực mạnh; người dùng bây giờ cũng đã có nhận thức về sự nguy hiểm mà các hệ thống máy tính phải đối mặt, thông tin dữ liệu không còn tập trung tại một chỗ trong "nhà kính", mà nó xuất hiện ở nhiều nơi như servers, workstations, và các loại hệ thống mạng khác. Thông tin còn được truyền qua nhiều dạng như Wires, Airways ...
Internet, extranet và intranet không chỉ làm cho vấn đề an ninh trở nên phức tạp, mà chúng còn làm cho vấn đề an ninh ngày càng được xem trọng hơn. Các kiến trúc mạng cốt lõi (core network architecture) đã có sự thay đổi, môi trường máy tính độc lập (stand-alone computing environment) chuyển thành môi trường máy tính phân tán (distributed computing environment), đồng nghĩa với việc tăng vọt cấp số nhân những sự phức tạp.
Mặc dù kết nối mạng Internet đem lại rất nhiều tiện ích, dịch vụ, cũng như mở rộng tầm nhìn của các tổ chức đến với thế giới Internet, nhưng đồng thời nó cũng sẽ mở ra "floodgates" với các cơn lũ ẩn chứa nguy cơ rủi ro bảo mật tiềm tàng ồ ạt tràn ngập vào người dùng Internet.
Trên thế giới ngày nay, đa số các tổ chức lớn hầu như phụ thuộc rất nhiều vào máy tính, nếu máy tính và hiệu năng tính toán của chúng ngừng hoạt động thì sẽ xảy ra thảm họa. Máy vi tính xuất hiện khắp mọi nơi, mỗi cá nhân sở hữu từng máy, tích hợp trực tiếp vào hệ thống vận hành kinh doanh, cho nên nếu như không có máy tính, công việc sẽ bị gián đoạn, doanh thu sẽ bị sụt giảm, rất mệt mỏi. Nhiều tập đoàn lớn đã nhận thức được rằng thông tin dữ liệu là tài sản quý giá của họ, phải được bảo vệ an ninh tuyệt đối như các buildings, thiết bị sản xuất, và các tài sản vật chất khác. Khi mà hệ thống mạng và môi trường công nghệ thay đổi, thì nhu cầu tất yếu về an toàn thông tin là hết sức hợp lý.
An toàn thông tin là lĩnh vực rất rộng, không chỉ nói về Firewall, về Router có Access List ... Tất cả các hệ thống an ninh đều phải được quản lý nghiêm ngặt, phần lớn về an toàn thông tin liên quan đến việc quản lý con người và quản lý những thủ tục, tiêu chuẩn, chính sách. Điều này mang đến cho chúng ta nhiều kinh nghiệm thực tiễn trong quá trình quản lý an ninh, trong đó tập trung chính vào việc bảo vệ tài sản của tổ chức.
Security Management Responsibilities - Trách nhiệm quản lý an ninh
Okay, ai sẽ là người chịu trách nhiệm ?
Trong lĩnh vực an toàn thông tin, điều hành quản lý chủ yếu liên quan đến việc xác định mục tiêu, phạm vi, chính sách, mức độ ưu tiên và hoạch định chiến lược. Người quản lý cần phải xác định một phạm vi rõ ràng, trước khi xảy ra tình trạng nhiều người đưa ra nhiều cách bảo mật khác nhau sẽ làm rối loạn chiến lược, cũng như cấu trúc an ninh, ngoài ra phải đưa ra được những mục tiêu thực tế dự kiến sẽ hoàn thành khi triển khai chương trình an toàn thông tin cho tổ chức. Quản lý cũng cần phải đánh giá mục tiêu kinh doanh của tổ chức, rủi ro an ninh, năng suất lao động của nhân viên. Cuối cùng, người quản lý phải xác định các bước tiến hành rõ ràng, minh bạch, để đảm bảo rằng tất cả những vấn đề này đều được hạch toán và giải quyết.
Nhiều tổ chức xem các yếu tố về hiệu suất và kinh doanh là sự cân bằng duy nhất, quan niệm về thông tin và an ninh không được xem trọng, dồn hết vào cho IT Administrator quản lý. Trong những trường hợp như thế này, người quản lý không sử dụng máy tính và thông tin bảo mật nghiêm túc, kết quả là vấn đề an ninh thông tin sẽ kém phát triển, không được sự hỗ trợ, thiếu kinh phí, dẫn đến không thành công. Vấn đề an toàn thông tin cần phải được ủng hộ và giải quyết ở cấp lãnh đạo cao nhất trong tổ chức. Các IT Administrator có thể tư vấn, tham gia đóng góp ý kiến về việc quản lý các vấn đề an ninh, nhưng tính bảo mật của tổ chức không được giao hoàn toàn cho IT hay Security Administrator.
Quản lý an ninh phụ thuộc nhiều vào việc xác định và định giá chính xác tài sản của tổ chức, sau đó tiến hành thực hiện hóa chính sách an ninh, các thủ tục, các tiêu chuẩn và các hướng dẫn để cung cấp tính toàn vẹn, tính bảo mật và tính sẵn sàng cho các tài sản của tổ chức. Nhiều công cụ quản lý khác nhau được sử dụng để phân loại dữ liệu và thực hiện phân tích và đánh giá rủi ro. Những công cụ này dùng để xác định các lỗ hổng, mức độ tổn thất và xếp hạng mức độ nghiêm trọng của các lỗ hổng được xác định để đưa ra được các biện pháp đối phó, nhằm mục đích giảm thiểu mức độ rủi ro một cách hiệu quả.
Người quản lý có trách nhiệm cung cấp sự bảo vệ cho các nguồn tài nguyên nói chung và tổ chức nói riêng. Những nguồn tài nguyên có thể đến từ nguồn nhân lực (human), vốn tài chính (financial capital), hardware và các biểu mẫu thông tin. Khi tiến hành xây dựng chương trình an ninh cho tổ chức, người quản lý phải đảm bảo được rằng chương trình chắc chắn có thể nhận ra được những mối đe dọa gây ảnh hưởng đến các nguồn tài nguyên và phải đảm bảo các biện pháp bảo vệ đưa ra có hiệu lực thật sự.
Các nguồn lực và kinh phí cần thiết phải luôn luôn sẵn sàng, nội dung chi tiết chiến lược phải được chuẩn bị đầy đủ. Người quản lý phải phân công trách nhiệm và xác định vai trò cần thiết, để có được chương trình bảo mật thực tế, không quá viễn vông, giữ cho nó luôn bền vững và tiến triển mạnh mẽ. Người quản lý cũng phải tích hợp chương trình vào môi trường kinh doanh hiện tại và theo dõi những thành quả của chương trình ( Đảm bảo xuyên suốt 24/24, không xuất hiện các sự cố an ninh ...) Sự hỗ trợ từ phía lãnh đạo là phần quan trọng nhất trong chương trình bảo mật. Một cái gật đầu và nháy mắt sẽ không cung cấp được sự hỗ trợ cần thiết bằng những hành động thực tế.
The Top-Down & Bottom-Up Approach to Security
Các tổ chức có thể giải quyết những vấn đề liên quan đến quản lý an ninh bằng những phương pháp khác nhau.
Theo truyền thống, các tổ chức đã quen với phương pháp tiếp cận Bottom-Up (Từ dưới lên trên), với phương pháp này sẽ phụ thuộc vào quá trình hoạt động của các nhân viên nghiệp vụ trong tổ chức, trong lúc làm việc gặp phải các vấn đề liên quan đến an ninh thông tin thì họ sẽ thông báo lên phía người quản lý an ninh (ví dụ khi bị thất thoát dữ liệu, bị Malware tấn công máy tính, bị mất tài khoản thông tin .) Với phương pháp này người quản lý sẽ không có một sự chuẩn bị, nắm bắt, quản lý về những mối đe dọa tiềm tàng, ảnh hưởng của nó, sự phân bố nguồn nhân lực hợp lý, phương pháp này đã không ít lần phải chịu sự thất bại.
Ngược lại với Bottom-Up là Top-Down (Từ trên xuống dưới), Top-down là phương pháp đã chứng tỏ được sự thành công khi áp dụng nó. Với phương pháp này, người quản lý hiểu biết toàn bộ cục diện chiến lược an ninh của tổ chức (mối đe dọa, tác động ảnh hưởng, phân bố nhân lực...) để tiến hành quy trình quản lý an ninh bằng cách thiết lập một Framework về an toàn thông tin như Federal Information Security Management (FISMA) và ISO27000. Sau đó, kết quả mang lại là sự quản lý an ninh một cách hệ thống xuyên suốt từ trên xuống dưới, xuống đến toàn bộ các nhân viên trong tổ chức.
Xây dựng một chương trình bảo mật cũng tương tự như xây một ngôi nhà. Khi thiết kế và triển khai thực hiện một chương trình bảo mật, các chuyên gia bảo mật phải xác định và dự kiến được những chức năng và kết quả mà chương trình mang lại. Nhiều khi, các tổ chức chỉ thực hiện theo kiểu khóa vật lý máy tính và cài đặt Firewalls, họ cho rằng như vậy là đã an toàn, mà không dành thời gian để tìm hiểu nhu cầu bảo mật tổng thể, mức đảm bảo mà họ mong đợi cho toàn bộ tổ chức của họ.
Nhóm chuyên gia bảo mật tham gia vào quá trình này nên bắt đầu từ phía trên cùng (Top), với những ý tưởng rộng lớn và đi sâu vào công việc xuống tới tận chi tiết cấu hình và thông số hệ thống. Tại mỗi bước thực hiện quá trình, nhóm nghiên cứu phải ghi nhớ các mục tiêu an ninh tổng thể, để bổ sung thêm mức độ chi tiết cho những mục tiêu đó. Điều này giúp cho nhóm nghiên cứu tránh bị phân mảng những mục tiêu chính bởi nhiều phương hướng thực hiện khác nhau cùng một lúc.
Bước kế tiếp là phát triển và triển khai thực thi các thủ tục, tiêu chuẩn, các tài liệu hỗ trợ cho chính sách an ninh, xác định phương pháp đối phó cũng như đặt chúng vào đúng vị trí cần thiết. Một khi các mục này được phát triển, chương trình bảo mật sẽ gia tăng độ chi tiết bởi các tài liệu chuẩn (baselines) và các tài liệu cấu hình dành cho các phương pháp kiểm soát an ninh.
Nếu chương trình bảo mật bắt đầu với một nền tảng vững chắc và phát triển về lâu về dài với mục tiêu được hoạch định rõ ràng, thì tổ chức không phải thay đổi cơ cấu an ninh một cách quyết liệt khi thực hiện được nửa giai đoạn. Quy trình có thể là một phương pháp, tiết kiệm thời gian, kinh phí, nguồn lực, cung cấp một sự cân bằng giữa chức năng và an ninh.
Phương pháp Top-down không phải là một tiêu chuẩn, nhưng nó giúp cho chúng ta có cái nhìn sâu sắc hơn, giúp tổ chức có được phương pháp tiếp cận một cách kiểm soát hơn. Chúng ta có thể cung cấp tầm nhìn cùng với sự hiểu biết về việc lên kế hoạch và triển khai thực hiện, làm thế nào để chương trình tiến triển một cách có tổ chức, qua đó giúp tránh được một kết quả không mấy tốt đẹp, bản chất là một đống khổng lồ rời rạc, những giải pháp bảo mật sai lầm.
Security Administration & Supporting Controls
Nếu tổ chức hiện tại không có vai trò nhân viên an ninh, thì vai trò này nên được thiết lập bởi người quản lý.Vai trò nhân viên an ninh chủ yếu chịu trách nhiệm trực tiếp giám sát một phần lớn các khía cạnh của một chương trình bảo mật. Tùy thuộc vào các tổ chức, vào nhu cầu bảo mật và kích cỡ của môi trường làm việc, quản lý an ninh (Security Administration) có thể bao gồm một người hoặc một nhóm người làm việc tại một trung tâm hoặc theo mô hình phân tán
Bất kể là môi trường làm việc thuộc kích thước lớn hay nhỏ, quản lý an ninh đòi hỏi phải có một cơ cấu báo cáo rõ ràng, hiểu rõ trách nhiệm của mình, kiểm định và theo dõi hiệu năng của chương trình bảo mật để đảm bảo không xảy ra sai sót vì thiếu thông tin hoặc thiếu sự hiểu biết.
Chủ sở hữu thông tin (Information owners) sẽ là người cấp phép cho người dùng có thể truy cập vào tài nguyên của họ và có thể làm được những gì sau khi truy cập thành công. Công việc quản lý an ninh là để đảm bảo những điều này được thực hiện chính xác, không được phép sai sót. Các phương thức kiểm soát sau đây nên sử dụng để đạt được yêu cầu của ban quản lý an ninh :
Administrative controls - Kiểm soát hành chính : Bao gồm việc phát triển và xuất bản các chính sách,tiêu chuẩn, thủ tục và các tài liệu hướng dẫn, quản lý rủi ro, kiểm tra và sàng lọc nhân sự, tiến hành đào tạo nâng cao nhận thức về bảo mật, kiểm soát việc thay đổi các thủ tục.
Technical controls - Kiểm soát kỹ thuật (hay còn gọi là kiểm soát logical) : Bao gồm việc triển khai thực hiện và duy trì cơ chế kiểm soát truy cập, quản lý tài nguyên và mật khẩu, phương pháp định danh và xác thực, thiết bị an ninh và cấu hình cơ sở hạ tầng.
Physical controls - Kiểm soát vật l�� : Bao gồm kiểm soát truy cập từng cá nhân ra vào các cơ sở và các phòng ban, khóa vật lý hệ thống, loại bỏ ổ CDROM, bảo vệ vành đai vật lý tòa nhà chứa hệ thống, giám sát những sự kiện phá hoại, tấn công và kiểm soát môi trường vật lý.
 |
| Hình trên đây minh họa một bức tranh tổng thể, kết hợp với nhau giữa các phương pháp kiểm soát Administrative, Technical và Physical để cung cấp một mức độ bảo vệ cần thiết |
Data Classification
Chúng ta không thể thực hiện bất cứ công việc gì nếu như lãnh đạo không hỗ trợ, điều này là chắc chắn, chúng ta cần có những nhân viên để làm việc khi quy trình vận hành, nhưng yếu tố lớn nhất để thành công một chương trình bảo mật là phải đảm bảo được an ninh bắt nguồn từ phía các lãnh đạo cấp cao trong công ty (Top). Với sự dẫn dắt của lãnh đạo cấp cao, chúng ta có thể bảo đảm sự thành công bằng cách thiết lập một đề án Data Classification (Phân Loại Dữ Liệu), phân loại để chi ? Để nhân viên toàn tổ chức nhận ra được tầm quan trọng của dữ liệu mà họ đang làm việc hàng ngày với nó.
Thông tin tổ chức là sự sở hữu độc quyền hoặc bí mật cần phải được bảo vệ. Phân loại dữ liệu là một cách hữu ích nhất để xếp loại tài sản thông tin (informational assets) của tổ chức. Có hai phương pháp phổ biến nhất để phân loại dữ liệu là Military và Public/Private.
Nhiều tổ chức lưu trữ và xử lý rất nhiều thông tin điện tử quan trọng về khách hàng và nhân viên của họ, vì thế họ rất cần những biện pháp phòng vệ thích hợp để bảo vệ những thông tin này.
Cả hai phương pháp phân loại Military và Public/Private đều thực hiện công việc bằng cách xếp loại (categories) thông tin. Bước đầu tiên của quá trình này là để đánh giá, giá trị của thông tin. Khi giá trị này được xác định, nó sẽ trở nên dễ dàng hơn cho việc phân bố nguồn lực dùng để bảo vệ dữ liệu. Sẽ là một việc làm vô nghĩa nếu như chúng ta phải bỏ ra kinh phí quá lớn để bảo vệ một cái gì đó có giá trị thấp hoặc vô giá trị.
Mỗi cấp độ phân loại muốn được thiết lập cần có yêu cầu cụ thể và các thủ tục cần thiết. Mô hình phân loại dữ liệu theo Military và Commercial đều đã có các cấp độ rõ ràng. Một khi tổ chức quyết định một mô hình sử dụng, có thể đánh giá dữ liệu bằng các tiêu chí như sau :
• The value of the data - Giá trị của dữ liệu
• Its age - Thời gian tồn tại của nó
• Laws - Liên quan đến luật
• Regulations pertaining to its disclosure - Quy chế liên quan đến việc công bố dữ liệu
• Replacement cost - Chi phí thay thế nếu xảy ra mất mát
Military Data Classification
Hệ thống phân loại dữ liệu Military được sử dụng rộng rãi trong Department of Defense - DoD (Bộ Quốc Phòng). Hệ thống này có năm mức độ phân loại:
• Unclassified : Không phân loại
• Sensitive : Nhạy cảm
• Confidential : Bí mật
• Secret : Bí mật cấp độ nghiêm trọng
• Top Secret : Tối mật !
Mỗi mức độ đại diện cho sự gia tăng độ nhạy cảm của thông tin. Sensitivity là mức độ mong muốn thông tin cần được lưu trữ và bảo mật. Nếu có một cá nhân nắm giữ một số thông tin mật, anh ta được quyền truy cập vào thông tin ở mức độ unclassified, sensitive hoặc confidential.
Thông tin cần biết của cá nhân này sẽ không được mở rộng tới mức độ Secret hoặc Top Secret. Khái niệm "need-to-know" (cần phải biết) nó tương tự như các nguyên tắc đặc quyền tối thiểu, trong đó người nhân viên chỉ được quyền truy cập vào các thông tin mà người đó cần biết để hoàn thành công việc được giao, các thông tin còn lại miễn được phép để ý tới.
Bảng dưới đây cung cấp chi tiết về mô hình phân loại dữ liệu Military và Public/Private :
| Commercial Business Classifications | Military Classifications |
| Top secret | |
| Confidential | Secret |
| Private | Confidential |
| Sensitive | Sensitive |
| Public | Unclassified |
Public/Private Data Classification
Việc phân loại Public/Private hay còn gọi là Commercial được dựa trên bốn mức độ như sau :
Public—Thông tin được xếp loại vào đây không cần thiết phải tiết lộ, nhưng nếu xảy ra trường hợp đó, nó cũng không gây ra bất cứ thiệt hại nào cả.
Sensitive—Thông tin được xếp loại vào đây đòi hỏi mức độ bảo vệ tương đối để tránh thất thoát dữ liệu bí mật.
Private—Thông tin được xếp loại vào đây chỉ được phép sử dụng trong nội bộ tổ chức, nếu bị thất thoát ra ngoài gây thiệt hại cho công ty.
Confidential—Thông tin được xếp loại vào đây thuộc loại nhạy cảm cao nhất, nếu bị thất thoát ra ngoài sẽ gây thiệt hại vô cùng lớn cho công ty.
Roles and Responsibility - Vai trò và Trách nhiệm
Như chúng ta đã trao đổi qua về tầm quan trọng của việc phân loại dữ liệu, một vấn đề cũng quan trọng không kém là sự phân chia rõ ràng về vai trò và trách nhiệm. Điều này sẽ là một sự hỗ trợ rất lớn khi xử lý bất kỳ vấn đề liên quan đến bảo mật. Tất cả mọi người đều phải chấp nhận sự áp dụng của chính sách bảo mật, bao gồm nhân viên, chuyên gia tư vấn và các công ty cung cấp giải pháp.
Danh sách dưới đây nhấn mạnh một số vị trí của tổ chức chịu những trách nhiệm và vai trò khác nhau, liên quan đến an ninh của tổ chức. Vai trò thường bao gồm chủ sở hữu (owner), giám sát dữ liệu (data custodian), người dùng (user), và kiểm toán an ninh (security auditor):
Data Owner - Chủ sở hữu dữ liệu
Thường là một thành viên trong ban lãnh đạo cấp cao. Sau tất cả mọi thứ, lãnh đạo cấp cao sẽ là người chịu trách nhiệm về tài sản, nếu tài sản bị tổn hại, thì người này phải chịu trách nhiệm. Chủ sở hữu dữ liệu có thể ủy quyền công việc cho các nhân viên cấp dưới nhưng không thể giao hoàn toàn trách nhiệm cho họ, tóm lại lãnh đạo cao nhất sẽ là người chịu trách nhiệm cuối cùng nếu xảy ra sự cố.
Data Custodian - Giám sát viên dữ liệu
Thường là nhân viên thuộc bộ phận CNTT. Giám sát viên dữ liệu không quyết định những gì sẽ phải kiểm soát, mà chỉ thực hiện việc kiểm soát thay mặt Data Owner. Ngoài ra còn phụ trách những việc khác như quản lý tài sản, kiểm soát truy cập, thêm hoặc loại bỏ đặc quyền cho người dùng dữ liệu, bảo đảm các phương pháp kiểm soát thích hợp đã được triển khai là một phần công việc hàng ngày của Data Custodian.
User - Người dùng
Đây là vai trò phổ biến nhất mà chúng ta hầu hết ai cũng quen thuộc, bởi vì đây là bộ phận end-user, các nhân viên trong tổ chức. Người dùng có những trách nhiệm như sau : Tuân thủ các yêu cầu, chính sách và thủ tục mà tổ chức đã đặt ra, thực hành các biện pháp giảm thiểu rủi ro ( practie due care).
Due care là một thuật ngữ dùng trong pháp lý, được sử dụng để xác định tính trách nhiệm tại một tòa án pháp luật. Nếu một người nào đó thực hành "due care", họ sẽ được đánh giá là có trách nhiệm, giúp cho xác suất chứng minh họ cẩu thả, chứng minh họ phải chịu trách nhiệm về sự cố xảy ra sẽ được giảm xuống đáng kể.
Due care còn được định nghĩa : hành động giảm thiểu rủi ro.
Bằng cách xây dựng một nhóm quản lý an ninh (security administration group), tổ chức đảm bảo sẽ không bị mất tập trung về vấn đề an ninh, mà có một cơ cấu phân cấp rõ ràng, ngoài ra công việc chính của các nhân viên an ninh là đảm bảo hoàn thành chỉ thị do người quản lý an ninh đề ra.
Thông thường, lãnh đạo cấp cao thường ít quan tâm đến các vấn đề an ninh thông tin, bất chấp thực tế rằng khi có sự cố an ninh nghiêm trọng xảy ra, lãnh đạo cấp cao phải giải thích lý do cho đối tác kinh doanh, cổ đông và công chúng. Có khi sau một sự cố, lãnh đạo cấp cao mới nhìn nhận ra được vấn đề và mong muốn tham gia quản lý chương trình bảo mật của tổ chức. Vì thế, một mối quan hệ mật thiết giữa nhóm quản lý an ninh và lãnh đạo cấp cao cần được phát triển ngay từ buổi đầu.
Người quản lý yếu kém có thể làm suy yếu toàn bộ nỗ lực xây dựng an ninh thông tin trong tổ chức. Trong số các lý do yếu kém như : không hoàn toàn hiểu được sự cần thiết của nhu cầu an ninh, đem mục tiêu an ninh của tổ chức ra cạnh tranh với các mục tiêu của những người quản lý khác, xem quản lý an ninh là việc tốn kém và không cần thiết, quản lý áp dụng dịch vụ theo kiểu làm cho có chứ không hỗ trợ thực sự để bảo mật.
Công nghệ tối tân, thiết bị tốt, chính sách, thủ tục, phương pháp hợp lý là những thứ cần thiết để cung cấp mức độ chính xác cho vấn đề an ninh, nhưng nếu thiếu đi sự quản lý an ninh và sự hỗ trợ an ninh, thì đây mới là vấn đề thực sự.
Một ví dụ về Quản Lý An Ninh
Bất cứ ai đã từng tham gia xây dựng một chương trình an ninh cũng đều hiểu rằng nó phải đảm bảo được sự cân bằng giữa việc bảo vệ an ninh và không ảnh hưởng đến các chức năng cần thiết của end-users dùng để hoàn thành công việc.
Một trường hợp thường xảy ra vào lúc bắt đầu các dự án về an ninh là các cá nhân xây dựng xác định được kết quả cuối cùng mà họ cần đạt được, bằng những ý tưởng táo bạo để hoàn thành công việc một cách nhanh chóng, đem lại hiệu quả cao, nhưng họ quên một điều ! Đó là tham khảo ý kiến end-user về những hạn chế mà end-user sẽ phải chấp hành. End-users, sau khi nghe về những hạn chế, họ thông báo lên người quản lý dự án rằng có thể họ sẽ không thực hiện được một số phần công việc, nếu như việc triển khai bảo mật diễn ra. Điều này thường khiến cho các dự án, các chương trình bảo mật bị ngưng lại.
Để giảm thiểu tình trạng này, trước tiên người quản lý dự án an ninh cần phải khởi tạo một số đánh giá phù hợp, thẩm định và lên kế hoạch làm thế nào để áp dụng phương pháp bảo mật vào môi trường một cách từ tốn, không ào ào, làm thế nào để người dùng cảm thấy vẫn dễ sử dụng và chấp nhận những giới hạn mới này theo thời gian.
Việc không tham khảo ý kiến người dùng đầu cuối hoặc không hiểu rõ quy trình kinh doanh của tổ chức trong giai đoạn lên kế hoạch, sẽ rất nhức đầu, tốn kém thời gian và tiền bạc. Người chịu trách nhiệm xây dựng chương trình bảo mật cần phải nhận ra rằng họ có trách nhiệm phải hiểu rõ về môi trường làm việc, cũng như lên kế hoạch hợp lý trước giai đoạn kich-off thực hiện một chương trình bảo mật cho tổ chức.
Fundamental Principles of Security - Nguyên tắc cơ bản về An Toàn Thông Tin
Đa số các chương trình bảo mật thường có một vài mục tiêu nhỏ và lớn, nhưng trong tất cả các chương trình đó đều có chung ba nguyên tắc chính đó là Confidentiality (tính bảo mật), Availability (tính sẵn sàng), Integrity (tính toàn vẹn). Gọi tắt là bộ ba CIA (hay có tài liệu gọi là AIC).
Tất cả các cơ chế, phương thức kiểm soát an ninh và biện pháp bảo vệ được triển khai nhằm mục đích cung cấp một hoặc cả ba nguyên tắc chung này, tất cả các rủi ro, mối đe dọa hoặc lỗ hổng đều có khả năng gây tổn thương cho một hoặc cả ba nguyên tắc an ninh CIA.
 |
| Hình trên đây minh họa bộ ba CIA |
Availability
Sếp : Khẩn cấp ! Tôi không thể sử dụng được dữ liệu của tôi !
Lính : Ấy ấy sếp, bật máy tính lên sếp ơi !
Các hệ thống và mạng lưới điện toán bắt buộc phải được cung cấp đầy đủ năng lượng dự trữ để có thể vẫn "sẵn sàng" nếu xảy ra sự cố. Chúng có thể tự động phục hồi năng lượng từ sự cố gián đoạn (cúp điện, sụp nguồn ...) một cách an toàn và nhanh chóng, không gây ảnh hưởng nặng nề đến năng suất hoạt động.
Single point of failure - Điểm lỗi đơn là đều cần tránh để bảo đảm tính sẵn sàng (giải thích sơ về SPOF nghĩa là đừng bao giờ dồn tất cả mọi thứ vào một sự vật, mà nên phân tán hoặc dùng song song, để nếu có một điểm bị sự cố thì các điểm còn lại vẫn duy trì được hệ thống, nếu phụ thuộc tất cả vào một sự vật, khi xảy ra sự cố, toàn bộ hệ thống sẽ bị sụp đổ theo chúng).
Ngoài ra biện pháp sao lưu phục hồi cũng cần được thực hiện, cơ chế dự phòng phải thiếp lập để sử dụng khi cần thiết, những tác động tiêu cực do môi trường cần phải được ngăn chặn. Cơ chế bảo vệ cần phải được triển khai thực hiện để chống lại các mối đe dọa từ bên ngoài lẫn bên trong có khả năng gây ảnh hưởng đến tính sẵn sàng và năng suất của mạng lưới, hệ thống và thông tin.
Đảm bảo tính sẵn sàng nghĩa là phải đảm bảo được độ tin cậy, luôn luôn truy cập được dữ liệu và tài nguyên khi các cá nhân có thẩm quyền cần đến. Tính sẵn sàng của hệ thống có thể bị ảnh hưởng bởi hỏng hóc thiết bị hoặc lỗi phần mềm. Trang bị thiết bị sao lưu dữ liệu là điều cần thiết, cần có sẵn để dễ dàng thay thế cho các hệ thống quan trọng, nhân viên IT cần phải có kỹ năng và kinh nghiệm thực tiễn để đảm bảo có thể hiệu chỉnh, đưa hệ thống trở lại làm việc bình thường khi gặp sự cố.
Vấn đề môi trường như nhiệt độ, độ ẩm, tĩnh điện và chất gây ô nhiễm cũng có thể ảnh hưởng đến tính sẵn sàng của hệ thống. Những vấn đề này sẽ được đề cập chi tiết trong chương Physical & Environmental Security.
Integrity
Integrity (tính toàn vẹn) là việc duy trì và đảm bảo độ chính xác cùng với độ tin cậy của thông tin và hệ thống, ngoài ra còn liên quan đến việc ngăn chặn hành động sửa đổi trái phép hệ thống, thông tin. Phần cứng, phần mềm và cơ chế truyền thông cần phải duy trì và xử lý dữ liệu thật chính xác, để đảm bảo dữ liệu đến nơi nhận không bị bất kỳ sự thay đổi nào cả. Các hệ thống và mạng lưới điện toán cần phải được bảo vệ khỏi sự can thiệp từ bên ngoài, cũng như sự phá hủy từ ô nhiễm môi trường.
Khi Hacker phát tán malware, hoặc backdoor vào hệ thống, điều đó có nghĩa tính toàn vẹn của hệ thống đã bị xâm phạm, các hành động đó có thể lần lượt làm tổn hại đến tính toàn vẹn của thông tin bằng nhiều cách như sửa đổi chèn mã độc hại, hoặc thay thế dữ liệu chuẩn với dữ liệu sai lệch. Kiểm soát truy cập chặt chẽ, phát hiện xâm nhập là một trong những thứ có thể chống lại các mối đe dọa gây ảnh hưởng đến tính toàn vẹn.
Người dùng thường gây ảnh hưởng đến tính toàn vẹn của dữ liệu hoặc hệ thống là do sự nhầm lẫn (đôi khi người dùng nội bộ cũng có thể là kẻ gây ra những hành động xâm phạm).Ví dụ, người dùng với một ổ cứng họ có thể vô tình xóa nhầm các file cấu hình, vì họ cho rằng họ chưa bao giờ sử dụng đến chúng (ví dụ boot.ini chẳng hạn).
Một ví dụ khác, một người dùng có thể chèn sai giá trị trong quá trình nhập liệu vào ứng dụng, ví dụ nạp thông tin tài khoản cho khách hàng thành 3.000.000$ thay vì chỉ có 300$ .
Sửa đổi không chính xác dữ liệu trong Database có thể vô tình làm liên đới tới các giá trị khác, khiến cho hỏng toàn bộ cơ sở dữ liệu---một sai lầm đem lại ảnh hưởng lâu dài!
Người quản lý an ninh nên sắp xếp cung cấp chức năng và lựa chọn nhất định theo năng lực của người dùng, nhờ đó hạn chế được sự cố xảy ra do nhầm lẫn hoặc không rành chức năng mà họ sử dụng. Các files hệ thống quan trọng nên giới hạn không cho xem và truy cập đối với các người dùng trong tổ chức. Ứng dụng cũng nên cung cấp cơ chế kiểm tra giá trị đầu vào hợp lý. Cơ sở dữ liệu chỉ cho phép cá nhân được ủy quyền mới có khả năng thay đổi dữ liệu, và dữ liệu trong quá trình vận chuyển nên được bảo vệ bằng phương pháp mã hóa hoặc một cơ chế khác.
Confidentiality
Confidentiality (tính bảo mật) đảm bảo một mức độ bí mật cần thiết trong quá trình xử lý, lưu trữ dữ liệu và ngăn ngừa hành động tiết lộ trái phép. Nguyên tắc Confidentiality cần phải được ưu tiên áp dụng trong khi dữ liệu lưu trữ trên hệ thống và các thiết bị nằm trong mạng lưới điện toán, cũng như trong quá trình truyền tải dữ liệu.
Những Hacker có thể phá hoại cơ chế bảo mật bằng cách theo dõi mạng lưới, tấn công man-in-the-middle , tấn công shoulder surfing, đánh cấp files chứa thông tin mật khẩu, tấn công social engineering. Những vấn đề này sẽ được đề cập chi tiết ở chương sau. Tấn công shoulder surfing là nhìn trộm mật khẩu khi người dùng gõ ký tự trên bàn phím. Social Engineering là kỹ thuật lừa đảo làm cho người khác tiết lộ thông tin bí mật (Nổi tiếng nhất về các cuộc tấn công SE là Kevin Mitnick). Social Engineering có rất nhiều hình thức tấn công. Bất cứ ai có được khả năng giao tiếp tốt đều có thể sử dụng để thực hiện kỹ thuật tấn công SE.
Người dùng có thể cố ý hoặc vô tình tiết lộ thông tin nhạy cảm bằng cách không mã hóa thông tin trước khi gửi đến một người khác, trở thành con mối cho các cuộc tấn công Social Engineering, chia sẻ thông tin bí mật của tổ chức ra ngoài, không bảo vệ thông tin cẩn thận trong quá trình xử lý thông tin. Tính bảo mật có thể được cung cấp bằng cách mã hóa dữ liệu khi nó được lưu trữ và truyền tải, bằng cách sử dụng kỹ thuật network traffic padding, kiểm soát truy cập chặt chẽ, phân loại dữ liệu ...
Traffic padding : là kỹ thuật tạo ra thêm dữ liệu giả mạo trong quá trình truyền tải để làm khó khăn cho kẻ tấn công trong quá trình phân tích traffic hoặc giải mã.
Tính sẵn sàng, tính toàn vẹn và tính bảo mật là những nguyên tắc quan trọng nhất của an toàn thông tin. Chúng ta phải nắm bắt, hiểu rõ được ý nghĩa của chúng, cách thức chúng hoạt động qua nhiều cơ chế khác nhau, sự thiếu vắng của chúng có thể gây ra những ảnh hưởng tiêu cực ra sao đối với môi trường an ninh của tổ chức, tất cả những điều này giúp cho chúng ta dễ dàng xác định vấn đề và đưa ra được giải pháp thích hợp nhất cho an ninh tổ chức.
Tất cả các giải pháp, từ firewall, tư vấn, cho đến chương trình bảo mật đều phải được đánh giá về chức năng mà chúng ta cung cấp và bảo đảm. Đánh giá yêu cầu về chức năng nghĩa là : Liệu giải pháp này có đảm bảo hoàn thành được các công việc mà chúng ta yêu cầu ?
Đánh giá về độ bảo đảm (Assurance requirement evaluation) : Làm sao để bảo đảm về mức độ bảo vệ mà giải pháp này cung cấp ? Bảo đảm các yêu cầu bao gồm tính toàn vẹn, tính sẵn sàng và tính bảo mật trên nhiều khía cạnh mà giải pháp cung cấp.
Security Definitions - Các định nghĩa trong lĩnh vực an ninh
Tôi là Vulnerable và bạn là Threat
Những từ "vulnerability", "threat", "risk", "exposure" thường hay được sử dụng để đại diện chung cho cùng một vấn đề, mặc dù chúng có ý nghĩa và mối quan hệ khác nhau. Điều quan trọng là phải hiểu về định nghĩa của từng từ đó, nhưng quan trọng hơn nữa là phải hiểu được mối quan hệ của chúng và các khái niệm mà chúng mang lại.
Vulnerability đề cập đến điểm yếu trong software, hardware, procedural hoặc human mà thông qua đó cung cấp cho Hacker một lối vào, nhằm tiềm nhập vào máy tính hoặc mạng lưới điện toán và truy cập trái phép vào các tài nguyên của tổ chức. Vulnerability là đặc trưng của sự thiếu vắng hoặc lỗ hổng trong cơ chế bảo vệ.
Vulnerability có thể là một dịch vụ đang chạy trên máy chủ, một ứng dụng hoặc một OS chưa được vá lỗi, một kết nối không hạn chế qua model dial-in, một port được mở trên Firewall, một cơ chế bảo vệ vật lý lỏng lẻo ai muốn ra vào phòng máy chủ cũng được, hoặc không có giải pháp quản trị mật khẩu cho servers và workstations.
Threat mang ý nghĩa là bất kỳ mối nguy hiểm tiềm tàng đối với thông tin hoặc hệ thống. Threat có thể là một ai đó, hoặc một cái gì đó, sẽ thông qua một Vulnerability cụ thể để gây nguy hiểm cho tổ chức hoặc một cá nhân. Các đối tượng lợi dụng Vulnerability được gọi là Threat Agent.
Thuật ngữ Threat Agent có thể được sử dụng để chỉ một cá nhân, hoặc một nhóm người có khả năng trở thành một mối đe dọa, một Hacker truy cập trái phép vào mạng lưới thông qua port được mở trên Firewall, cũng có thể là một quy trình truy xuất dữ liệu vi phạm chính sách an ninh, một cơn lốc quét sạch toàn bộ tổ chức, hay có thể là sai lầm vô ý của một nhân viên làm lộ hết tất cả các thông tin mật của tổ chức, hoặc phá hủy tính toàn vẹn của một files.
Những cá nhân hoặc nhóm có khả năng là Threat Agents, được phân loại như sau :
- Không mục tiêu cụ thể : Threat Agent ở mục không mục tiêu cụ thể có là Malware, Worm, Trojan hoặc Login Bomb.
- Các nhân viên : Nhà thầu, nhân viên bảo trì, hoặc nhân viên bảo vệ đang có tâm trạng bất mãn đối với tổ chức
- Tổ chức tội phạm hoặc tội phạm cá nhân : Mục tiêu của các tội phạm thường là tài khoản ngân hàng, credit card hoặc sở hữu trí tuệ có thể chuyển thành tiền. Tội phạm thường sử dụng người trong nội bộ để giúp chúng đạt được mục đích.
- Human, không chủ ý : Tai nạn, bất cẩn
- Human, cố ý : Nội gián, người ngoài.
- Thiên nhiên : Lũ lụt, hỏa hoạn, sét đánh, thiên thạch, động đất.
Risk là khả năng xảy ra của một Threat Agent, lợi dụng một Vulnerability để gây ảnh hưởng đến tổ chức hoặc năng suất kinh doanh.
Nếu Firewall có một số lượng lớn ports được mở, thì khả năng xảy ra sự cố có một kẻ tấn công xâm nhập trái phép vào mạng lưới là rất cao.Nếu một người dùng không được đào tạo về processes và procedures, thì khả năng xảy ra sự cố về việc vô tình hoặc cố ý phá hủy dữ liệu là rất cao.Nếu một hệ thống phát hiện xâm nhập (IDS) không được triển khai trên mạng lưới điện toán, thì khả năng xảy ra sự cố phát hiện chậm trễ các tấn công vào mạng lưới là rất cao.
Risk có mối quan hệ mật thiết với Vulnerability, Threat, Exposure.
Exposure miêu tả về sự tổn thất từ một Threat Agent. Một Vulnerability có thể gây ra nhiều sự tổn thất. Ví dụ, nếu quản lý mật khẩu lỏng lẻo và không triển khai thực hiện quy định cho mật khẩu, tổ chức có thể bị tổn thất từ mối đe dọa capture mật khẩu người dùng hoặc sử dụng một cách trái phép. Nếu tổ chức không thường xuyên kiểm tra hệ thống dây điện và không trang bị hệ thống phòng cháy chữa cháy, thì tổn thất xảy ra có thể là việc toàn bộ hệ thống bị tàn phá bởi sự cháy rụi.
Countermeasure hay còn gọi là Safeguard, định nghĩa về một phương pháp hoặc một cái gì đó được đưa vào để giảm thiểu Risks.Countermeasure có thể là một cấu hình phần mềm, một thiết bị phần cứng hoặc là một procedure nhằm loại bỏ hoặc làm giảm thiểu tối đa khả năng xảy ra việc Threat Agent khai thác Vulnerability.
Ví dụ về Countermeasure : hệ thống xác thực mạnh, nhân viên bảo vệ, cơ chế kiểm soát truy cập trong OS, triển khai thực hiện mật khẩu BIOS, tiến hành đào tạo nhận thức an toàn thông tin.
- Nếu một tổ chức có trang bị hệ thống Antivirus nhưng không được cập nhật database thường xuyên thì đây được xem là một Vulnerability.
- Threat ở đây là việc mã độc sẽ xuất hiện trong môi trường và làm gián đoạn năng suất làm việc của tổ chức.
- Khả năng xảy ra mã độc xuất hiện và gây ra thiệt hại được xem là Risk.
- Nếu mã độc tấn công vào tổ chức và khai thác thông qua một lỗ hổng khiến cho bị gián đoạn công việc, thì đây được xem là Expose.
- Countermeasure ở đây là phải cập nhật database thường xuyên và triển khai cài đặt Antivirus trên tất cả các máy tính.
Mối quan hệ giữa Risks - Vulnerabilities - Threats - Countermeasure - Exposes được diễn giải theo hình sau :
Theo như hình Figure 3-3, chúng ta có thể diễn giải lại như sau :
Threat Agent thông qua ==> Threat, để khai thác ==> Vulnerability, dẫn đến ==> Risk, gây ra tổn thất cho ==> Asset, sinh ra ==> Exposure, chúng ta có thể ngăn chặn giảm thiểu bằng ==> Safeguard, tác động trực tiếp đến ==> Threat Agent.
Order of Concepts - Thứ tự của các khái niệm
Theo đúng thứ tự dưới đây, để áp dụng cho việc đánh giá mạng lưới điện toán của tổ chức, có thể xếp như sau :
1.Threat - Mối đe dọa
2.Exposure - Tổn thất
3.Vulnerability - Lỗ hổng
4.Countermeasure - Biện pháp đối phó
5.Risk - Rủi ro
Security through Obscurity - Bảo mật bằng cách che dấu
Chúng ta viết ngược những thông tin nhạy cảm và lật úp chúng lại để đánh lừa những kẻ xấu xa
Security thông qua (hoặc bằng cách) sự che giấu đề cập đến một nguyên tắc trong kỹ thuật an ninh, bằng cách che giấu những thứ như kiến trúc hệ thống, thiết kế nhằm mục đích làm tăng tính an toàn cho chúng. Một hệ thống dựa vào kỹ thuật "security through obscurity" về lý thuyết hoặc trên thực tế chúng có thể đang bị những lỗ hổng bảo mật thực sự,nhưng người quản trị hoặc người thiết kế hệ thống tin rằng sẽ không ai biết được sự tồn tại của lỗ hổng này và Hacker sẽ không thể tìm thấy chúng.
Một hệ thống có thể sử dụng security through obscurity như là một phương pháp Defense-in-the-depth. Bước đầu tiên của Hacker thường là thu thập thông tin, hay còn gọi là Footprinting, nhờ security through obscurity mà chúng ta có làm chậm bước thu thập hoặc đánh lừa, làm nản lòng các Scriptkiddy. Kỹ thuật này được một số các chuyên gia đánh giá là tương phản với lối thiết kế an ninh chuẩn hóa, mặc dù trên thực tế rất nhiều dự án bảo mật áp dụng cả hai chiến lược Security by Design và Security by Obscurity.
Đoạn trên là dưới góc nhìn của người định nghĩa về Security through Obscurity trên Wikipedia. Còn từ sau đoạn này trở đi, tôi đưa ra góc nhìn của một CISSP :
Sự hiểu biết không đúng về Risks và Requirements, có thể dẫn đến xảy ra tất cả những vấn đề khó khăn cho tổ chức. Thông thường, mang lại kết quả xấu trong bảo mật thực tiễn.
Những thứ như Security through obscurity có thể trở thành thông lệ phổ biến và thường đem lại kết quả gây thiệt hại. Nguồn gốc của vấn đề là sự thiếu hiểu biết về Information Age luôn phát triển như vũ bảo, những công cụ nguy hiểm và sự thông minh của kẻ tấn công. Sự thiếu hiểu biết có thể dẫn đến những sai lầm nghiêm trọng, chúng ta tin rằng đối thủ kém thông minh hơn chúng ta.
Điều này dẫn đến những sai lầm hết sức đơn giản, những hiểu lầm hết sức cẩu thả và gia tăng sự nhận thức sai lệch về an toàn thông tin. Bao gồm những ý tưởng obscurity như :
Theo như hình Figure 3-3, chúng ta có thể diễn giải lại như sau :
Threat Agent thông qua ==> Threat, để khai thác ==> Vulnerability, dẫn đến ==> Risk, gây ra tổn thất cho ==> Asset, sinh ra ==> Exposure, chúng ta có thể ngăn chặn giảm thiểu bằng ==> Safeguard, tác động trực tiếp đến ==> Threat Agent.
Order of Concepts - Thứ tự của các khái niệm
Theo đúng thứ tự dưới đây, để áp dụng cho việc đánh giá mạng lưới điện toán của tổ chức, có thể xếp như sau :
1.Threat - Mối đe dọa
2.Exposure - Tổn thất
3.Vulnerability - Lỗ hổng
4.Countermeasure - Biện pháp đối phó
5.Risk - Rủi ro
Security through Obscurity - Bảo mật bằng cách che dấu
Chúng ta viết ngược những thông tin nhạy cảm và lật úp chúng lại để đánh lừa những kẻ xấu xa
Security thông qua (hoặc bằng cách) sự che giấu đề cập đến một nguyên tắc trong kỹ thuật an ninh, bằng cách che giấu những thứ như kiến trúc hệ thống, thiết kế nhằm mục đích làm tăng tính an toàn cho chúng. Một hệ thống dựa vào kỹ thuật "security through obscurity" về lý thuyết hoặc trên thực tế chúng có thể đang bị những lỗ hổng bảo mật thực sự,nhưng người quản trị hoặc người thiết kế hệ thống tin rằng sẽ không ai biết được sự tồn tại của lỗ hổng này và Hacker sẽ không thể tìm thấy chúng.
Một hệ thống có thể sử dụng security through obscurity như là một phương pháp Defense-in-the-depth. Bước đầu tiên của Hacker thường là thu thập thông tin, hay còn gọi là Footprinting, nhờ security through obscurity mà chúng ta có làm chậm bước thu thập hoặc đánh lừa, làm nản lòng các Scriptkiddy. Kỹ thuật này được một số các chuyên gia đánh giá là tương phản với lối thiết kế an ninh chuẩn hóa, mặc dù trên thực tế rất nhiều dự án bảo mật áp dụng cả hai chiến lược Security by Design và Security by Obscurity.
Đoạn trên là dưới góc nhìn của người định nghĩa về Security through Obscurity trên Wikipedia. Còn từ sau đoạn này trở đi, tôi đưa ra góc nhìn của một CISSP :
Sự hiểu biết không đúng về Risks và Requirements, có thể dẫn đến xảy ra tất cả những vấn đề khó khăn cho tổ chức. Thông thường, mang lại kết quả xấu trong bảo mật thực tiễn.
Những thứ như Security through obscurity có thể trở thành thông lệ phổ biến và thường đem lại kết quả gây thiệt hại. Nguồn gốc của vấn đề là sự thiếu hiểu biết về Information Age luôn phát triển như vũ bảo, những công cụ nguy hiểm và sự thông minh của kẻ tấn công. Sự thiếu hiểu biết có thể dẫn đến những sai lầm nghiêm trọng, chúng ta tin rằng đối thủ kém thông minh hơn chúng ta.
Điều này dẫn đến những sai lầm hết sức đơn giản, những hiểu lầm hết sức cẩu thả và gia tăng sự nhận thức sai lệch về an toàn thông tin. Bao gồm những ý tưởng obscurity như :
- Lỗi không bao giờ bị khai thác nếu đối thủ không biết đến chúng
- Mã nguồn đóng được biên dịch an toàn hơn so với mã nguồn mở, bởi vì không ai có thể nhìn thấy mã nguồn của nó
- Chuyển lưu lương HTTP sang port 8088 sẽ an toàn hơn so với 80
- Phát triển các thuật toán mã hóa cá nhân có thể giúp chống lại Crackers
- Nếu chúng ta mặc trang phục giống cảnh sát, không một ai có thể tấn công chúng ta bằng kỹ thuật Social Engineering .
Mặc dù tất cả mọi người đều tin rằng, bản ngã con người của mình luôn hướng thiện, không bao giờ làm đều xấu, các chuyên gia về an ninh sẽ bị mất việc nếu đều đó thực sự đúng (lúc đó làm gì có ai làm kẻ xấu xa nữa)
Về khía cạnh bảo mật, có một câu ngạn ngữ cổ xưa rất hay :
"Chỉ có hai người tôi tin tưởng trên thế giới này, đó là chính bản thân tôi và bạn ... nhưng tôi không chắc lắm có nên tin bạn hay không."
Đây thực sự là một quan điểm rất tốt về mặt bảo mật, bởi vì thật sự bảo mật có thể bị tổn hại bởi bất cứ ai, bất cứ lúc nào, không một ai trả lời được câu này. Một ví dụ rất đời thường về Security through obscurity : chúng ta thường hay giấu một chìa khóa phụ dưới chậu cây, dưới tấm thảm trước cửa nhà, trong trường hợp để quên chìa khóa, bị nhốt ở bên ngoài thì có cái để mà mở cửa. Và chúng ta tin rằng, không một ai biết về chiếc chìa khóa phụ này, hết sức an toàn.
Lỗ hổng ở đây là việc bất cứ ai cũng có thể ra vào nhà bạn một cách dễ dàng, nếu họ có được chiếc chìa khóa phụ này, và một kẻ trộm kinh nghiệm thì chúng luôn biết những điều đó, biết những lỗ hổng đang tồn tại và chúng sẽ có những cách thức thích hợp để tìm ra nó. Đây là một điều tương tự đối với việc bảo mật hệ thống. Thiết lập một biện pháp bảo vệ "mập mờ" hoặc "mẹo" không cung cấp cho chúng ta một mức độ đảm bảo cần thiết, không cung cấp một cơ chế phòng thủ có chiều sâu mà các chương trình bảo mật luôn có.
Trong thế giới mật mã học, các nguyên tắc của Kerckhoffs đưa ra những ý kiến tương phản với security-through-obscurity. Quay trở lại những năm 80s, ông Kerckhoffs đã nói rằng không có một thuận toán nào giữ được sự bí mật cả, chỉ có "chìa khóa" mới là thành phần của sự bí mật. Nguyên văn câu nói :
--Một hệ thống mật mã được xem là an toàn ngay cả khi tất cả các hệ thống được public ra ngoài, ngoại trừ "key".
Chi tiết hơn: Năm 1883, ông Auguste Kerckhoffs đã viết hai bài báo trên La Cryptographie Militare, trong đó ông nêu sáu nguyên tắc thiết kế cho các Mật Mã Quân Sự, một số nguyên tắc không còn phù hợp cho đến ngày nay với khả năng của máy tính thực hiện các thuật toán mã hóa phức tạp, nhưng tiền đề thứ 2 của ông bây giờ vẫn còn rất quan trọng.
"Thuật toán mã hóa được tạo ra không cần phải giữ bí mật, có thể được công bố công khai, rơi vào tay quân địch mà không có bất kỳ sự phiền phức nào cả".
Thông điệp của ông giả định rằng kẻ tấn công có thể tìm ra được thuật toán của chúng ta và logic của nó, vì thế thứ quan trọng nhất cần bảo vệ ở đây chính là "Key" --- Là thứ mà kẻ tấn công cần có nó để giải mã thông tin nhạy cảm đã mã hóa.
Nếu không là Obscurity, thì sẽ là gì ?
Trong suốt quá trình rèn luyện, nghiên cứu kiến thức CISSP, sẽ bao gồm kinh nghiệm thực tiễn, các tiêu chuẩn mở, triển khai thực hiện và duy trì cơ chế kiểm soát an ninh một cách hiệu quả nhất sẽ được thảo luận rõ ràng, chi tiết. Sự phát triển của một chương trình bảo mật với nhiều lớp bảo vệ có thể mất nhiều thời gian trong giai đoạn đầu, nhưng về lâu về dài nó sẽ cho ta thấy được kết quả tốt, hơn là việc "tránh vỏ dưa gặp vỏ dừa".
Thông tin tham khảo :
1.http://en.wikipedia.org/wiki/Security_through_obscurity
2.http://en.wikipedia.org/wiki/Kerckhoffs's_Principle
3.http://home.earthlink.net/~bmgei/educate/docs/fperson/clasdocs/transhtm/phtran8.htm
4.http://www.trainning.com.br/download/COBIT_41.pdf
5.http://www.helium.com/items/1959893-iso-27001-iso-27002
6. Shon Harris CISSP All-in-One
Nguyễn Phước Đức – DNA
Không có nhận xét nào:
Đăng nhận xét