Giới Thiệu Chung Về An Toàn Và Bảo Mật Thông Tin

Chương 1

TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN

Phần đầu chương trình bày những vấn đề cơ bản về an toàn và bảo mật thông tin trong hệ thống thông tin, bao gồm những khái niệm cơ bản về an toàn và bảo mật thông tin; vai trò, mục tiêu và yêu cầu của an toàn và bảo mật thông tin trong hoạt động của các tổ chức, doanh nghiệp; các mô hình đảm bảo an toàn và bảo mật thông tin.

Trong phần tiếp theo của chương một, trình bày những nội dung chính trong tiếp cận nghiên cứu an toàn và bảo mật thông tin theo góc độ quản trị rủi ro. Trên cơ sở tổng quan về rủi ro, về quản trị rủi ro, phần này trình bày những nội dung cơ bản của hoạt động quản trị rủi ro trong hệ thống thông tin. Những nội dung đó là: nhận dạng hay xác định rủi ro thường gặp trong hệ thống thông tin; phân tích, đánh giá, đo lường mức độ ảnh hưởng; xây dựng chiến lược kiểm soát các rủi ro để hạn chế tác động của chúng.

Phần cuối của chương một giới thiệu về hành lang pháp lý (các luật, quy định và thông tư) về an toàn và bảo mật thông tin ở Việt Nam và một số quy định trên thế giới về an ninh thông tin toàn cầu.

1.1. GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN

Trong mục này, giáo trình đề cập đến khái niệm về an toàn và bảo mật thông tin, giới thiệu vài nét về lịch sử phát triển của các hệ thống đảm bảo an toàn thông tin.

1.1.1. Khái niệm an toàn và bảo mật thông tin

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

An toàn và an ninh: Theo từ điển tiếng Việt “An toàn là sự đảm bảo yên ổn hoàn toàn, không gặp trắc trở, không bị nguy hiểm về tính mạng,

sức khỏe và vật chất”. Theo quan điểm của các nhà kinh tế chính trị học thì “An toàn là sự ổn định, là sự phát triển bền vững, an toàn là tránh được các thiệt hại về vật chất và con người”. Theo quan điểm của nhà tâm lý học “An toàn là sự thoải mái về tâm lý, sự yên tâm về thể xác, tâm hồn và tài sản”. Như vậy, an toàn là biện pháp hạn chế tối đa và phòng ngừa những tình huống xấu xảy ra. Nói một cách khác, an toàn có nghĩa là được bảo vệ, không bị xâm phạm bởi người không được phép.

Bao trùm lên khái niệm an toàn là khái niệm an ninh. Khái niệm an ninh rộng lớn hơn, có mức độ đặc biệt quan trọng và trên một diện rộng hơn chẳng hạn như an ninh quốc gia, an ninh kinh tế, an ninh quốc phòng... còn khái niệm an toàn có mức độ hẹp hơn nằm ở bên trong của khái niệm an ninh. Phải đảm bảo an ninh trước thì mới có đảm bảo an toàn. Tuy nhiên, cả hai khái niệm này đều có điểm giống nhau và chung một mục đích là bảo vệ cho con người và tài sản của con người.

An toàn thông tin (Information Security) có thể hiểu là có đầy đủ các điều kiện và các biện pháp cần thiết để đảm bảo cho thông tin tránh khỏi những nguy cơ bị truy cập trái phép, bị sử dụng, làm rò rỉ, làm hỏng, bị chỉnh sửa, bị sao chép, bị xóa bỏ bởi những người không được phép. Các nguy cơ này có thể là ngẫu nhiên (do tai nạn, thiên tai,...) hoặc có chủ định (bị phá hoại từ bên ngoài, hoặc chủ định của con người,...). Theo Bách khoa toàn thư mở thì “An toàn thông tin là hành động ngăn cản, phòng ngừa sự sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thông tin chưa có sự cho phép”.

Liên quan đến khái niệm an toàn thông tin có các khái niệm an toàn thông tin mạng (cyber security), an toàn máy tính (computer security), đảm bảo thông tin (information assurance). Trong nhiều trường hợp, các khái niệm này và khái niệm an toàn thông tin (information security) có thể được sử dụng với nghĩa giống nhau. Về cơ bản, an toàn thông tin quan tâm đến khía cạnh bí mật, toàn vẹn, sẵn sàng của dữ liệu mà không quan tâm đến hình thức của dữ liệu: điện tử, bản in, hoặc các dạng khác. An toàn máy tính tập trung vào việc đảm bảo tính sẵn sàng và hoạt động đúng đắn

của hệ thống máy tính mà không quan tâm đến thông tin được lưu trữ và xử lý như thế nào, chỉ đảm bảo thông tin tập trung và sẵn sàng cho người dùng trong hệ thống. An toàn thông tin mạng là khái niệm mới xuất hiện những năm gần đây khi hệ thống mạng toàn cầu Internet phát triển bùng nổ, các dịch vụ mạng được tích hợp cùng với các quy trình hoạt động của các tổ chức doanh nghiệp dẫn đến các cuộc tấn công mạng ngày càng lan rộng và đa dạng. An toàn thông tin mạng nhằm đảm bảo cho các hoạt động của người dùng cá nhân, các tổ chức đơn vị trong mạng toàn cầu được an toàn.

Một hệ thống thông tin của tổ chức được coi là an toàn khi nó được bảo vệ nhiều lớp với nhiều mức khác nhau bao gồm: bảo vệ mức vật lý, bảo vệ mức người dùng, bảo vệ các tác vụ, bảo vệ hệ thống truyền thông, bảo vệ hệ thống mạng và bảo vệ sự an toàn của thông tin được lưu trữ, sử dụng và phân phối trong tổ chức.

Bảo mật thông tin có thể được hiểu là duy trì tính bí mật, tính toàn vẹn, toàn diện và tính sẵn sàng cho toàn bộ thông tin. Theo Bách khoa toàn thư mở bảo mật thông tin là sự hạn chế khả năng lạm dụng tài nguyên thông tin và tài sản liên quan đến thông tin như các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơ quan hoặc người sở hữu hệ thống.

An toàn của một hệ thống thông tin thực chất là sự đảm bảo an ninh ở mức độ chấp nhận được. Muốn hệ thống thông tin an toàn thì trước hết phải có sự đảm bảo thông tin trên cơ sở mạng truyền dữ liệu thông suốt. Sau chữ an toàn thường có chữ bảo mật để mở rộng khía cạnh đảm bảo bí mật về nội dung thông tin. Như vậy, an toàn bảo mật hệ thống thông tin là đảm bảo hoạt động lưu thông và nội dung bí mật cho những thành phần của hệ thống ở mức độ chấp nhận được.

Các yếu tố không thể tách rời trong an toàn và bảo mật thông tin là:

(1) Tính bí mật: Đảm bảo thông tin đó là duy nhất, chỉ những người được cho phép mới được tiếp cận đến;

(2) Tính toàn vẹn: Đảm bảo sự hoàn chỉnh, toàn diện của thông tin;

(3) Tính chính xác: Thông tin đưa ra phải chính xác, đầy đủ, không được sai lệch hay không được vi phạm bản quyền nội dung;

(4) Tính sẵn sàng: Thông tin luôn phải sẵn sàng, có thể được cung cấp ở bất cứ đâu, bất cứ khi nào khi có yêu cầu.

Việc bảo vệ thông tin trong hệ thống thông tin của tổ chức có thể được thực hiện bằng các thiết bị phần cứng (các hệ thống backup dữ liệu,...) hay các chương trình phần mềm (trình diệt virus, các chương trình mã hóa,...). Trong môi trường mạng toàn cầu như hiện nay, việc đảm bảo an toàn thông tin gặp khó khăn hơn rất nhiều. Trước đây, dữ liệu chỉ được lưu trữ trong một máy tính cá nhân độc lập, việc bảo mật thông tin được thực hiện dễ dàng bằng cách sử dụng các biện pháp phần cứng (niêm phong các ổ mềm, ổ CD) hay các trình bảo vệ dữ liệu cục bộ đơn giản. Nhưng giờ đây, dữ liệu không đơn thuần nằm trong một máy tính riêng biệt nữa mà được chia sẻ trên mạng cho nhiều người sử dụng cùng lúc, điều này giúp việc trao đổi thông tin ngày càng thuận lợi hơn nhưng cũng gia tăng các nguy cơ bị tấn công cho các hệ thống thông tin của các tổ chức, doanh nghiệp. Các kẻ tấn công không cần phải trực tiếp tác động lên máy tính của nạn nhân, thậm chí cũng không cần biết chiếc máy tính đó như thế nào mà vẫn có thể xâm nhập vào nó, thay đổi, sao chép, xóa bỏ thông tin của nạn nhân. Vì vậy, người đảm bảo an toàn thông tin cho các hệ thống thông tin phải luôn luôn cập nhật các kiến thức bảo mật mới có thể thích nghi được với tình trạng tấn công dữ liệu ngày càng gia tăng như hiện nay.

Như vậy, có thể hiểu: Thông tin trong một hệ thống thông tin là an toàn khi các khiếm khuyết không thể làm cho hoạt động chủ yếu của hệ thống thông tin bị ngừng hẳn và các sự cố xảy ra sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. Thông tin trong một hệ thống thông tin được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định.

Trong hệ thống thông tin, hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống mất an toàn thì không bảo mật và ngược

lại hệ thống không bảo mật thì mất an toàn. Tuy nhiên, nếu phân tích theo mô hình OSI (mô hình tham chiếu các hệ thống mở) thì sự an toàn của hệ thống thông tin được thực hiện chủ yếu ở các tầng dưới, còn việc bảo mật nội dung thông tin được thực hiện ở các tầng trên.

1.1.2. Lịch sử phát triển của an toàn và bảo mật thông tin

Lịch sử về an toàn thông tin gắn liền với an toàn máy tính. Trong chiến tranh thế giới, các hệ thống máy tính cần đảm bảo an toàn về tính bí mật của vị trí cất giữ, an toàn cho phần cứng, phần mềm tránh khỏi các mối đe dọa từ chiến tranh nên đã có nhiều biện pháp được thực hiện nhằm đảm bảo cho các máy tính vẫn có thể hoạt động tốt trong chiến tranh như cất vào tủ sắt, có cơ chế tài khoản kèm mật khẩu khi truy cập dữ liệu,...

Những năm 1960 của thế kỷ trước, trong suốt thời kỳ chiến tranh lạnh giữa Mỹ và Liên Xô, các hệ thống bảo mật và phòng tránh bắt đầu ra đời, như hệ thống ARPA (Advanced Research Project Agency - Cơ quan hoạch định nghiên cứu tiên tiến) bắt đầu được thực thi, sau đó đến hệ thống ARPANET (Advanced Research Projects Agency Network) rồi đến các hệ thống ARPANET- Program Plan.

Những năm từ 1970 đến 1980, hệ thống ARPANET trở nên phổ biến và được sử dụng rộng rãi. Tháng 12 năm 1973 Robert.M (còn gọi Bob Metcalfe) đã phát triển một hệ thống bảo đảm an toàn cho mạng Ethernet với khả năng đảm bảo an toàn cho dữ liệu bằng cách giới hạn người dùng, định danh truy cập, chia quyền truy cập trong tổ chức thành nhiều mức đã đem lại thành công mới cho các giải pháp đảm bảo an toàn thông tin cho các tổ chức, đơn vị. Ngoài ra, trong giai đoạn này các nghiên cứu của MIT (Massachusetts Institute of Technology), MULTICS (Multiplexed Information and Computing Service) rồi các hệ thống trên UNIX cũng đưa ra các giải pháp mới cho các hệ thống thông tin được đảm bảo an toàn.

Những năm 1990 cho đến những năm cuối của thế kỷ 20, mạng máy tính trở nên phổ biến và cũng tiềm ẩn những nguy cơ mất an toàn thông tin cho người sử dụng, đặc biệt là sự phát triển vượt bậc của mạng toàn cầu Internet, đã đem lại rất nhiều nguy cơ cho người sử dụng chúng.

Bởi sự kết nối hàng triệu người dùng kèm theo các dịch vụ như chia sẻ thông tin, gửi nhận thư, truyền nhận tập tin,... đã làm tăng các nguy cơ giả mạo, làm hỏng hóc cũng như các nguy cơ tác động trực tiếp lên dữ liệu của người dùng. Do đó, đòi hỏi các nhà nghiên cứu phải đưa ra các chiến lược và giải pháp an toàn thông tin đa dạng hơn.

Từ năm 2000 cho đến nay, đặc biệt là từ cuối những năm 2000, các khái niệm về an toàn thông tin, an toàn máy tính,... được thay bằng khái niệm an ninh mạng (cyber security) bởi vào giai đoạn này sự phát triển bùng nổ của công nghệ thông tin và các hệ thống mạng con kết nối với mạng Internet làm gia tăng các cuộc tấn công trên mạng, gây ra sự mất an toàn thông tin. Các hệ thống lưu trữ thông tin cũng dần được đẩy lên các đám mây cùng các dịch vụ cho thuê kho lưu trữ ngày càng phát triển và phổ biến làm nguy cơ mất an toàn cho dữ liệu ngày càng cao. Các hệ thống truyền thông xã hội bùng nổ kèm theo các dịch vụ truyền thông phát triển cũng làm tăng nguy cơ đối với người dùng, thêm nữa, các hệ thống thông tin của các tổ chức doanh nghiệp ngày mở rộng và thâm nhập vào hầu hết các tác vụ trong hoạt động của tổ chức làm nguy cơ mất an toàn của các hệ thống thông tin ngày càng cao.

1.1.3. Vai trò của an toàn và bảo mật thông tin

Không giống như các chương trình phần mềm hay các hệ thống ứng dụng khác, các hệ thống đảm bảo an toàn thông tin cho tổ chức có nhiệm vụ chính là đảm bảo rằng hệ thống thông tin và các nội dung của chúng đều hoạt động tốt, không có sai sót hay hỏng hóc. Về cơ bản, các hệ thống đảm bảo an toàn thông tin cho các đơn vị tổ chức có bốn vai trò chính sau đây:

Thứ nhất, bảo vệ chức năng hoạt động của tổ chức: Bao gồm cả khía cạnh quản lý nói chung và quản lý CNTT nói riêng đều chịu trách nhiệm thực thi các biện pháp an ninh thông tin để bảo vệ khả năng hoạt động của tổ chức không bị sai sót hay hỏng hóc. Các tổ chức quan tâm đến các biện pháp an ninh thông tin có ảnh hưởng đối với các hoạt động kinh doanh cũng như tăng thêm chi phí gây nên các gián đoạn trong hoạt động kinh

doanh hay không, chứ không phải là chỉ đơn thuần lựa chọn một biện pháp nhằm thiết lập một kỹ thuật nào đó để đảm bảo an ninh thông tin. Nghĩa là các hệ thống đảm bảo an toàn thông tin phải làm sao để nó trong suốt với các hoạt động kinh doanh của tổ chức, hoặc làm cho các hoạt động được dễ dàng thuận tiện chứ không phải đảm bảo an ninh mà ảnh hưởng nhiều đến kết quả hoạt động kinh doanh của tổ chức.

Thứ hai, tạo môi trường thuận lợi cho các ứng dụng trong tổ chức thực thi an toàn. Các tổ chức ngày nay đang chịu áp lực rất lớn trong thực thi và vận hành các ứng dụng tích hợp, vì vậy, các hệ thống đảm bảo an toàn thông tin cần tạo ra một môi trường thuận lợi trong đó các biện pháp bảo vệ các ứng dụng phải được thực hiện một cách trong suốt.

Thứ ba, bảo vệ dữ liệu mà tổ chức thu thập và sử dụng. Nếu không có dữ liệu thì các tổ chức không thể có các giao dịch và/hoặc không có khả năng mang lại giá trị cho khách hàng, vì vậy, mỗi tổ chức, doanh nghiệp đều mong muốn có các hệ thống thông tin có thể đáp ứng được các dịch vụ kết nối với khách hàng, đưa ra nhiều dịch vụ cũng như có khả năng đáp ứng các yêu cầu dựa vào hệ thống thông tin của họ. Vì vậy, bảo vệ dữ liệu trong các hoạt động và lưu trữ chúng an toàn để sử dụng cho các lần sau là khía cạnh quan trọng của an toàn thông tin. Một hệ thống bảo mật thông tin hiệu quả sẽ thực hiện chức năng bảo vệ sự toàn vẹn và giá trị của dữ liệu trong tổ chức, doanh nghiệp.

Thứ tư, bảo vệ các tài sản có tính công nghệ trong các tổ chức. Để thực hiện các hoạt động sản xuất, kinh doanh đạt hiệu quả, các tổ chức phải sử dụng các dịch vụ cơ sở hạ tầng an toàn phù hợp với quy mô và phạm vi của tổ chức mình. Ví dụ, sử dụng các phần mềm diệt virus, các hệ thống tường lửa, các dịch vụ kiểm soát truy cập trái phép, các dịch vụ lưu trữ dữ liệu an toàn, các dịch vụ e-mail, các dịch vụ cung cấp gửi và nhận tệp tin,... đảm bảo hoạt động an toàn. Vì vậy, hệ thống đảm bảo an toàn thông tin phải đảm bảo sao cho các tài sản mang tính công nghệ trong các tổ chức hoạt động đúng và không bị hỏng hóc.

Hộp 1.1. An toàn và bảo mật thông tin được xem là nhiệm vụ rất quan trọng trong các chiến lược nhằm đưa đến một kế hoạch phát triển bền vững cho

mỗi cá nhân, tổ chức và quốc gia

Theo thống kê của AV-Test (https://www.av-test.org, 2019) trong năm 2018 có 137,5 triệu mã độc mới đã xuất hiện và ba tháng đầu năm 2019 đã xuất hiện thêm 24,55 triệu mã độc mới. Còn theo Imperva 2019 Cyber Threat Defense Report, trong 6 tháng đầu năm 2019 có 78% các cuộc tấn công an ninh mạng vào các tổ chức thành công, nghĩa là hơn hai phần ba các cuộc tấn công vào các hệ thống mạng diễn ra đã thành công. Xu hướng tấn công an ninh mạng ngày càng đa dạng, từ các hệ thống ATM đến các mạng xã hội và các hệ thống gửi nhận thư điện tử; Từ các hệ thống mạng doanh nghiệp đến các thiết bị sử dụng cá nhân như máy tính cá nhân, điện thoại di động thông minh hay các thiết bị gia dụng trong các hệ thống vạn vật kết nối (Internet of Things - IoT),... Điều đó cho thấy rằng, an toàn thông tin là một vấn đề luôn luôn nóng bỏng đối với tất cả các quốc gia trên thế giới.

Ở Việt Nam, theo quyết định của Thủ tướng Chính phủ số 632/QĐ-TTg ban hành ngày 10/05/2017 thì Việt Nam hiện nay đang tập trung ưu tiên đảm bảo an toàn thông tin vào 11 lĩnh vực sau (Hình 1.1):

(1) Lĩnh vực giao thông;

(2) Lĩnh vực năng lượng;

(3) Lĩnh vực tài nguyên và môi trường;

(4) Lĩnh vực thông tin;

(5) Lĩnh vực y tế;

(6) Lĩnh vực tài chính;

(7) Lĩnh vực ngân hàng;

(8) Lĩnh vực quốc phòng;

(9) Lĩnh vực an ninh;

(10) Lĩnh vực đô thị;

(11) Lĩnh vực chỉ đạo, điều hành của Chính phủ.

Xem tất cả 142 trang.

Ngày đăng: 18/05/2023