Như chúng ta đều biết, đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thông tin và dữ liệu đóng một vai trò hết sức quan trọng trong đời sống và có khi ảnh hướng tới sự tồn vong của họ. Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là trong bối cảnh hiện nay các hệ thống thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được.
Mặt khác, tính chất, mức độ, và phạm vi của các cuộc tấn công vào hệ thống máy tính và mạng ngày càng gia tăng bởi chưa bao giờ việc tiếp cận với các kỹ thuật và sử dụng các công cụ tấn công lại trở nên dễ dàng và đơn giản hơn thế. Và cuối cùng, xuất phát từ động cơ kiếm lợi hoặc chính trị mà các tổ chức tài chính và cơ quan chính phủ đang đang trở thành mục tiêu chính của các hacker.
Tất cả những điều này cho thấy vai trò cốt yếu của các chuyên gia an toàn thông tin trong cuộc chiến bảo mật đầy khốc liệt và không có hồi kết này. Nhưng các bạn khoan vội nghĩ ngay tới các công nghệ hay cách thức để đảm bảo an toàn cho hệ thống thông tin. Trước hết, bạn phải hiểu được những mục tiêu nào cần đạt được khi làm công tác bảo mật và đó là 3 mục tiêu sau:
Confidentiality:
Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập [đọc] bởi những đối tượng [người, chương trình máy tính…] được cấp phép.
Tính bí mật của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý, ví dụ như tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập thông tin đó từ xa qua môi trường mạng. Sau đây là một số cách thức như vậy:
- Khóa kín và niêm phong thiết bị.
- Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc điểm về sinh trắc để xác thực.
- Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép.
- Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES, v.v..
Integrity
Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi. Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là đảm bảo thông tin không bị thay đổi [modify] là chưa đẩy đủ.
Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc của thông tin này [thuộc sở hữu của đối tượng nào] để đảm bảo thông tin đến từ một nguồn đáng tin cậy và ta gọi đó là tính “authenticity” của thông tin.
Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:
- Thay đổi giao diện trang chủ của một website.
- Chặn đứng và thay đổi gói tin được gửi qua mạng.
- Chỉnh sửa trái phép các file được lưu trữ trên máy tính.
- Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị sai lệch.
Availability
Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những người được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.
Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế nào: Máy của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch làm bộ nhớ lưu trữ MAC address table của switch nhanh chóng bị đầy khiến switch không thể hoạt động bình thường được nữa. Đây cũng thuộc hình thức tấn công từ chối dịch vụ [DoS].
Để tăng khả năng chống trọi với các cuộc tấn công cũng như duy trì độ sẵn sàng của hệ thống ta có thể áp dụng một số kỹ thuật như: Load Balancing, Clustering, Redudancy, Failover…
Như vậy, vấn đề bảo mật thông tin không chỉ đơn thuần là việc chống lại các cuộc tấn công từ hacker, ngăn chặn malware để đảm bảo thông tin không bị phá hủy hoặc bị tiết lộ ra ngoài… Hiểu rõ 3 mục tiêu của bảo mật ở trên là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toàn nhất có thể. Ba mục tiêu này còn được gọi là tam giác bảo mật C-I-A.
Tìm hiểu về khái niệm CIA trong an toàn thông tin? Khái niệm cơ bản về an toàn thông tin
Có thể bạn đã nghe tới từ CIA rất nhiều trên phim truyền hình Mỹ rồi phải không? Nhưng trong bài viết này, tôi muốn đề cập tới khái niệm CIA trong an toàn thông tin, nó không liên quan tới một tổ chức của chính phủ Mỹ. Vậy CIA là gì?
CIA trong an toàn thông tin là gì?
Trong an toàn thông tin, chúng ta có 3 khái niệm chủ chốt được viết tắt bằng các chữ cái đầu của nó, và cũng thể hiện mục tiêu của chương trình an toàn thông tin, bao gồm:
Confidentiality – Bảo mật
Confidentiality được định nghĩa là đặc tính của một tài nguyên đảm bảo hạn chế chỉ cho những người dùng, ứng dụng, hệ thống máy tính được phép mới có thể truy cập. Có thể nói, đặc tính này sẽ chống lại những truy cập trái phép vào thông tin, máy chủ, hệ thống khi không có quyền.
Đây cũng là thuật ngữ rất hay gặp trong đời thực: bạn mong muốn tài khoản ngân hàng của mình được bảo mật, các ngôi sao nổi tiếng mong muốn đời tư của mình không bị xâm phạm,…
Các công nghệ mà doanh nghiệp có thể áp dụng để đảm bảo tính bảo mật:
- Mã hóa mạnh
- Xác thực mạnh
- Kiểm soát truy cập nghiêm ngặt
Ngoài việc áp dụng các công nghệ nhằm mục đích bảo mật hơn, chúng ta cũng cần phải xác minh lại xem thông tin nào cần được bảo mật hoặc không. Thông thường, các tổ chức phân biệt dữ liệu vào các loại phổ biến như:
- Công khai
- Lưu hành nội bộ
- Bí mật
- Tuyệt mật
Trong quân đội thường phân loại thông tin vào các nhóm:
- Unclassified – Chưa được phân loại
- Restricted – Hạn chế
- Confidential – Bảo mật
- Secret – Bí mật
- Top Secret – Bí mật hàng đầu
Integrity – Tính nhất quán
Trong ngữ cảnh an toàn thông tin, Integrity được định nghĩa là tính nhất quán, chính xác và hợp lệ của dữ liệu hay thông tin.
Một trong những mục tiêu lớn của hệ thống bảo mật là bảo vệ dữ liệu khỏi những thay đổi vô tình hoặc không được phép. Do đó, hệ thống bảo mật thường được trang bị những giải pháp, quy trình để ngăn chặn hành vi thay đổi dữ liệu không được phép cũng như giám sát phát hiện thay đổi
Các cách để bảo vệ tính nhất quán như:
- Authentication, Authorization & Accounting: xác thực người dùng, phân quyền truy cập dữ liệu để những người dùng không được xác thực hoặc đã xác thực nhưng không có quyền thì không được phép truy cập dữ liệu
- Định kỳ tính hash và đối chiếu với CSDL để phát hiện sự thay đổi
Availibility – Tính sẵn sàng
Là đặc tính mô tả tính sẵn sàng của tài nguyên cho phép người dùng, ứng dụng hay hệ thống máy tính có thể truy cập khi cần. Rủi ro đối với tính sẵn sàng có hai dạng:
- Vô tình: tác động sai dẫn đến down hệ thống, thiên tai,…
- Cố tình: tấn công deface giao diện website, DDoS [tấn công từ chối dịch vụ], mã độc tấn công mã hóa dữ liệu quan trọng [Ransomeware, …]…
Tính ràng buộc của CIA
Khi một trong ba đặc tính này thay đổi thì nó sẽ ảnh hưởng tới hai đặc tính còn lại.
Ví dụ: tính sẵn sàng của dữ liệu càng tăng cao thì tính bảo mật và toàn vẹn của dữ liệu sẽ càng giảm. Cụ thể: khi bạn muốn dữ liệu của công ty có thể được truy cập được ở bất cứ đâu nếu có internet, bạn sẽ đẩy dữ liệu đó lên Cloud cho nhân viên truy cập, khi đó tính bảo mật và toàn vẹn của dữ liệu đó sẽ bị giảm đi.
Ngược lại, cũng với dữ liệu trên, nếu dữ liệu được lưu trữ trên một máy tính và nếu ai cần thì chỉ có thể truy cập vào máy tính đó để đọc, đẫn tới tính sẵn sàng sẽ giảm.
Do đó, khi xây dựng chương trình đảm bảo an toàn thông tin, chúng ta cần phải xem xét và cân đối kỹ ba đặc tính trên
| Confidentiality | - Mất quyền riêng tư
- Truy cập trái phép vào dữ liệu - Ăn cắp dữ liệu định danh | - Mã hóa dữ liệu
- Xác thực - Kiểm soát truy cập |
| Integrity | - Thông tin không còn chính xác hoặc không đáng tin cậy - Gian lận | - Hash & Check
- Quy trình tác động chặt chẽ - Audit logs |
| Availability | - Gián đoạn kinh doanh, cung cấp dịch vụ | - Sao lưu, dữ phòng |
Các đặc tính khác trong an toàn thông tin
Ngoài ra, với việc công nghệ phát triển nhanh như ngày nay, chúng ta có thêm 2 đặc tính mới bổ sung đó là:
Authenticity – Tính xác thực
Là quá trình định danh người dùng hoặc thiết bị để cấp quyền đảm bảo các chính sách, điều lệ đã đặt ra. Thực ra, đây là một quá trình để đảm bảo tính Bí mật [Confidentiality] của thông tin
Non-Repudiation – Tính không thể chối bỏ
Đặc tính này sinh ra nhằm mục đích không thể chối bỏ dữ liệu, thông tin mình đã gửi. Tương tự, người nhận không thể phủ nhận việc mình đã nhận.
Các công nghệ sử dụng như: chữ ký số, chữ ký điện tử, ứng dụng hợp đồng điện tử, ký số cho file,…