Giới Thiệu Chung Về An Toàn Và Bảo Mật Thông Tin


Chương 1

TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN


Phần đầu chương trình bày những vấn đề cơ bản về an toàn và bảo mật thông tin trong hệ thống thông tin, bao gồm những khái niệm cơ bản về an toàn và bảo mật thông tin; vai trò, mục tiêu và yêu cầu của an toàn và bảo mật thông tin trong hoạt động của các tổ chức, doanh nghiệp; các mô hình đảm bảo an toàn và bảo mật thông tin.

Trong phần tiếp theo của chương một, trình bày những nội dung chính trong tiếp cận nghiên cứu an toàn và bảo mật thông tin theo góc độ quản trị rủi ro. Trên cơ sở tổng quan về rủi ro, về quản trị rủi ro, phần này trình bày những nội dung cơ bản của hoạt động quản trị rủi ro trong hệ thống thông tin. Những nội dung đó là: nhận dạng hay xác định rủi ro thường gặp trong hệ thống thông tin; phân tích, đánh giá, đo lường mức độ ảnh hưởng; xây dựng chiến lược kiểm soát các rủi ro để hạn chế tác động của chúng.

Phần cuối của chương một giới thiệu về hành lang pháp lý (các luật, quy định và thông tư) về an toàn và bảo mật thông tin ở Việt Nam và một số quy định trên thế giới về an ninh thông tin toàn cầu.

1.1. GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN

Trong mục này, giáo trình đề cập đến khái niệm về an toàn và bảo mật thông tin, giới thiệu vài nét về lịch sử phát triển của các hệ thống đảm bảo an toàn thông tin.

1.1.1. Khái niệm an toàn và bảo mật thông tin

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

An toàn và an ninh: Theo từ điển tiếng Việt “An toàn là sự đảm bảo yên ổn hoàn toàn, không gặp trắc trở, không bị nguy hiểm về tính mạng,

sức khỏe và vật chất”. Theo quan điểm của các nhà kinh tế chính trị học thì “An toàn là sự ổn định, là sự phát triển bền vững, an toàn là tránh được các thiệt hại về vật chất và con người”. Theo quan điểm của nhà tâm lý học “An toàn là sự thoải mái về tâm lý, sự yên tâm về thể xác, tâm hồn và tài sản”. Như vậy, an toàn là biện pháp hạn chế tối đa và phòng ngừa những tình huống xấu xảy ra. Nói một cách khác, an toàn có nghĩa là được bảo vệ, không bị xâm phạm bởi người không được phép.

An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội Chủ biên - 3

Bao trùm lên khái niệm an toàn là khái niệm an ninh. Khái niệm an ninh rộng lớn hơn, có mức độ đặc biệt quan trọng và trên một diện rộng hơn chẳng hạn như an ninh quốc gia, an ninh kinh tế, an ninh quốc phòng... còn khái niệm an toàn có mức độ hẹp hơn nằm ở bên trong của khái niệm an ninh. Phải đảm bảo an ninh trước thì mới có đảm bảo an toàn. Tuy nhiên, cả hai khái niệm này đều có điểm giống nhau và chung một mục đích là bảo vệ cho con người và tài sản của con người.

An toàn thông tin (Information Security) có thể hiểu là có đầy đủ các điều kiện và các biện pháp cần thiết để đảm bảo cho thông tin tránh khỏi những nguy cơ bị truy cập trái phép, bị sử dụng, làm rò rỉ, làm hỏng, bị chỉnh sửa, bị sao chép, bị xóa bỏ bởi những người không được phép. Các nguy cơ này có thể là ngẫu nhiên (do tai nạn, thiên tai,...) hoặc có chủ định (bị phá hoại từ bên ngoài, hoặc chủ định của con người,...). Theo Bách khoa toàn thư mở thì “An toàn thông tin là hành động ngăn cản, phòng ngừa sự sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thông tin chưa có sự cho phép”.

Liên quan đến khái niệm an toàn thông tin có các khái niệm an toàn thông tin mạng (cyber security), an toàn máy tính (computer security), đảm bảo thông tin (information assurance). Trong nhiều trường hợp, các khái niệm này và khái niệm an toàn thông tin (information security) có thể được sử dụng với nghĩa giống nhau. Về cơ bản, an toàn thông tin quan tâm đến khía cạnh bí mật, toàn vẹn, sẵn sàng của dữ liệu mà không quan tâm đến hình thức của dữ liệu: điện tử, bản in, hoặc các dạng khác. An toàn máy tính tập trung vào việc đảm bảo tính sẵn sàng và hoạt động đúng đắn

của hệ thống máy tính mà không quan tâm đến thông tin được lưu trữ và xử lý như thế nào, chỉ đảm bảo thông tin tập trung và sẵn sàng cho người dùng trong hệ thống. An toàn thông tin mạng là khái niệm mới xuất hiện những năm gần đây khi hệ thống mạng toàn cầu Internet phát triển bùng nổ, các dịch vụ mạng được tích hợp cùng với các quy trình hoạt động của các tổ chức doanh nghiệp dẫn đến các cuộc tấn công mạng ngày càng lan rộng và đa dạng. An toàn thông tin mạng nhằm đảm bảo cho các hoạt động của người dùng cá nhân, các tổ chức đơn vị trong mạng toàn cầu được an toàn.

Một hệ thống thông tin của tổ chức được coi là an toàn khi nó được bảo vệ nhiều lớp với nhiều mức khác nhau bao gồm: bảo vệ mức vật lý, bảo vệ mức người dùng, bảo vệ các tác vụ, bảo vệ hệ thống truyền thông, bảo vệ hệ thống mạng và bảo vệ sự an toàn của thông tin được lưu trữ, sử dụng và phân phối trong tổ chức.

Bảo mật thông tin có thể được hiểu là duy trì tính bí mật, tính toàn vẹn, toàn diện và tính sẵn sàng cho toàn bộ thông tin. Theo Bách khoa toàn thư mở bảo mật thông tin là sự hạn chế khả năng lạm dụng tài nguyên thông tin và tài sản liên quan đến thông tin như các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơ quan hoặc người sở hữu hệ thống.

An toàn của một hệ thống thông tin thực chất là sự đảm bảo an ninh ở mức độ chấp nhận được. Muốn hệ thống thông tin an toàn thì trước hết phải có sự đảm bảo thông tin trên cơ sở mạng truyền dữ liệu thông suốt. Sau chữ an toàn thường có chữ bảo mật để mở rộng khía cạnh đảm bảo bí mật về nội dung thông tin. Như vậy, an toàn bảo mật hệ thống thông tin là đảm bảo hoạt động lưu thông và nội dung bí mật cho những thành phần của hệ thống ở mức độ chấp nhận được.

Các yếu tố không thể tách rời trong an toàn và bảo mật thông tin là:

(1) Tính bí mật: Đảm bảo thông tin đó là duy nhất, chỉ những người được cho phép mới được tiếp cận đến;

(2) Tính toàn vẹn: Đảm bảo sự hoàn chỉnh, toàn diện của thông tin;

(3) Tính chính xác: Thông tin đưa ra phải chính xác, đầy đủ, không được sai lệch hay không được vi phạm bản quyền nội dung;

(4) Tính sẵn sàng: Thông tin luôn phải sẵn sàng, có thể được cung cấp ở bất cứ đâu, bất cứ khi nào khi có yêu cầu.

Việc bảo vệ thông tin trong hệ thống thông tin của tổ chức có thể được thực hiện bằng các thiết bị phần cứng (các hệ thống backup dữ liệu,...) hay các chương trình phần mềm (trình diệt virus, các chương trình mã hóa,...). Trong môi trường mạng toàn cầu như hiện nay, việc đảm bảo an toàn thông tin gặp khó khăn hơn rất nhiều. Trước đây, dữ liệu chỉ được lưu trữ trong một máy tính cá nhân độc lập, việc bảo mật thông tin được thực hiện dễ dàng bằng cách sử dụng các biện pháp phần cứng (niêm phong các ổ mềm, ổ CD) hay các trình bảo vệ dữ liệu cục bộ đơn giản. Nhưng giờ đây, dữ liệu không đơn thuần nằm trong một máy tính riêng biệt nữa mà được chia sẻ trên mạng cho nhiều người sử dụng cùng lúc, điều này giúp việc trao đổi thông tin ngày càng thuận lợi hơn nhưng cũng gia tăng các nguy cơ bị tấn công cho các hệ thống thông tin của các tổ chức, doanh nghiệp. Các kẻ tấn công không cần phải trực tiếp tác động lên máy tính của nạn nhân, thậm chí cũng không cần biết chiếc máy tính đó như thế nào mà vẫn có thể xâm nhập vào nó, thay đổi, sao chép, xóa bỏ thông tin của nạn nhân. Vì vậy, người đảm bảo an toàn thông tin cho các hệ thống thông tin phải luôn luôn cập nhật các kiến thức bảo mật mới có thể thích nghi được với tình trạng tấn công dữ liệu ngày càng gia tăng như hiện nay.

Như vậy, có thể hiểu: Thông tin trong một hệ thống thông tin là an toàn khi các khiếm khuyết không thể làm cho hoạt động chủ yếu của hệ thống thông tin bị ngừng hẳn và các sự cố xảy ra sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. Thông tin trong một hệ thống thông tin được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định.

Trong hệ thống thông tin, hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống mất an toàn thì không bảo mật và ngược

lại hệ thống không bảo mật thì mất an toàn. Tuy nhiên, nếu phân tích theo mô hình OSI (mô hình tham chiếu các hệ thống mở) thì sự an toàn của hệ thống thông tin được thực hiện chủ yếu ở các tầng dưới, còn việc bảo mật nội dung thông tin được thực hiện ở các tầng trên.

1.1.2. Lịch sử phát triển của an toàn và bảo mật thông tin

Lịch sử về an toàn thông tin gắn liền với an toàn máy tính. Trong chiến tranh thế giới, các hệ thống máy tính cần đảm bảo an toàn về tính bí mật của vị trí cất giữ, an toàn cho phần cứng, phần mềm tránh khỏi các mối đe dọa từ chiến tranh nên đã có nhiều biện pháp được thực hiện nhằm đảm bảo cho các máy tính vẫn có thể hoạt động tốt trong chiến tranh như cất vào tủ sắt, có cơ chế tài khoản kèm mật khẩu khi truy cập dữ liệu,...

Những năm 1960 của thế kỷ trước, trong suốt thời kỳ chiến tranh lạnh giữa Mỹ và Liên Xô, các hệ thống bảo mật và phòng tránh bắt đầu ra đời, như hệ thống ARPA (Advanced Research Project Agency - Cơ quan hoạch định nghiên cứu tiên tiến) bắt đầu được thực thi, sau đó đến hệ thống ARPANET (Advanced Research Projects Agency Network) rồi đến các hệ thống ARPANET- Program Plan.

Những năm từ 1970 đến 1980, hệ thống ARPANET trở nên phổ biến và được sử dụng rộng rãi. Tháng 12 năm 1973 Robert.M (còn gọi Bob Metcalfe) đã phát triển một hệ thống bảo đảm an toàn cho mạng Ethernet với khả năng đảm bảo an toàn cho dữ liệu bằng cách giới hạn người dùng, định danh truy cập, chia quyền truy cập trong tổ chức thành nhiều mức đã đem lại thành công mới cho các giải pháp đảm bảo an toàn thông tin cho các tổ chức, đơn vị. Ngoài ra, trong giai đoạn này các nghiên cứu của MIT (Massachusetts Institute of Technology), MULTICS (Multiplexed Information and Computing Service) rồi các hệ thống trên UNIX cũng đưa ra các giải pháp mới cho các hệ thống thông tin được đảm bảo an toàn.

Những năm 1990 cho đến những năm cuối của thế kỷ 20, mạng máy tính trở nên phổ biến và cũng tiềm ẩn những nguy cơ mất an toàn thông tin cho người sử dụng, đặc biệt là sự phát triển vượt bậc của mạng toàn cầu Internet, đã đem lại rất nhiều nguy cơ cho người sử dụng chúng.

Bởi sự kết nối hàng triệu người dùng kèm theo các dịch vụ như chia sẻ thông tin, gửi nhận thư, truyền nhận tập tin,... đã làm tăng các nguy cơ giả mạo, làm hỏng hóc cũng như các nguy cơ tác động trực tiếp lên dữ liệu của người dùng. Do đó, đòi hỏi các nhà nghiên cứu phải đưa ra các chiến lược và giải pháp an toàn thông tin đa dạng hơn.

Từ năm 2000 cho đến nay, đặc biệt là từ cuối những năm 2000, các khái niệm về an toàn thông tin, an toàn máy tính,... được thay bằng khái niệm an ninh mạng (cyber security) bởi vào giai đoạn này sự phát triển bùng nổ của công nghệ thông tin và các hệ thống mạng con kết nối với mạng Internet làm gia tăng các cuộc tấn công trên mạng, gây ra sự mất an toàn thông tin. Các hệ thống lưu trữ thông tin cũng dần được đẩy lên các đám mây cùng các dịch vụ cho thuê kho lưu trữ ngày càng phát triển và phổ biến làm nguy cơ mất an toàn cho dữ liệu ngày càng cao. Các hệ thống truyền thông xã hội bùng nổ kèm theo các dịch vụ truyền thông phát triển cũng làm tăng nguy cơ đối với người dùng, thêm nữa, các hệ thống thông tin của các tổ chức doanh nghiệp ngày mở rộng và thâm nhập vào hầu hết các tác vụ trong hoạt động của tổ chức làm nguy cơ mất an toàn của các hệ thống thông tin ngày càng cao.

1.1.3. Vai trò của an toàn và bảo mật thông tin

Không giống như các chương trình phần mềm hay các hệ thống ứng dụng khác, các hệ thống đảm bảo an toàn thông tin cho tổ chức có nhiệm vụ chính là đảm bảo rằng hệ thống thông tin và các nội dung của chúng đều hoạt động tốt, không có sai sót hay hỏng hóc. Về cơ bản, các hệ thống đảm bảo an toàn thông tin cho các đơn vị tổ chức có bốn vai trò chính sau đây:

Thứ nhất, bảo vệ chức năng hoạt động của tổ chức: Bao gồm cả khía cạnh quản lý nói chung và quản lý CNTT nói riêng đều chịu trách nhiệm thực thi các biện pháp an ninh thông tin để bảo vệ khả năng hoạt động của tổ chức không bị sai sót hay hỏng hóc. Các tổ chức quan tâm đến các biện pháp an ninh thông tin có ảnh hưởng đối với các hoạt động kinh doanh cũng như tăng thêm chi phí gây nên các gián đoạn trong hoạt động kinh

doanh hay không, chứ không phải là chỉ đơn thuần lựa chọn một biện pháp nhằm thiết lập một kỹ thuật nào đó để đảm bảo an ninh thông tin. Nghĩa là các hệ thống đảm bảo an toàn thông tin phải làm sao để nó trong suốt với các hoạt động kinh doanh của tổ chức, hoặc làm cho các hoạt động được dễ dàng thuận tiện chứ không phải đảm bảo an ninh mà ảnh hưởng nhiều đến kết quả hoạt động kinh doanh của tổ chức.

Thứ hai, tạo môi trường thuận lợi cho các ứng dụng trong tổ chức thực thi an toàn. Các tổ chức ngày nay đang chịu áp lực rất lớn trong thực thi và vận hành các ứng dụng tích hợp, vì vậy, các hệ thống đảm bảo an toàn thông tin cần tạo ra một môi trường thuận lợi trong đó các biện pháp bảo vệ các ứng dụng phải được thực hiện một cách trong suốt.

Thứ ba, bảo vệ dữ liệu mà tổ chức thu thập và sử dụng. Nếu không có dữ liệu thì các tổ chức không thể có các giao dịch và/hoặc không có khả năng mang lại giá trị cho khách hàng, vì vậy, mỗi tổ chức, doanh nghiệp đều mong muốn có các hệ thống thông tin có thể đáp ứng được các dịch vụ kết nối với khách hàng, đưa ra nhiều dịch vụ cũng như có khả năng đáp ứng các yêu cầu dựa vào hệ thống thông tin của họ. Vì vậy, bảo vệ dữ liệu trong các hoạt động và lưu trữ chúng an toàn để sử dụng cho các lần sau là khía cạnh quan trọng của an toàn thông tin. Một hệ thống bảo mật thông tin hiệu quả sẽ thực hiện chức năng bảo vệ sự toàn vẹn và giá trị của dữ liệu trong tổ chức, doanh nghiệp.

Thứ tư, bảo vệ các tài sản có tính công nghệ trong các tổ chức. Để thực hiện các hoạt động sản xuất, kinh doanh đạt hiệu quả, các tổ chức phải sử dụng các dịch vụ cơ sở hạ tầng an toàn phù hợp với quy mô và phạm vi của tổ chức mình. Ví dụ, sử dụng các phần mềm diệt virus, các hệ thống tường lửa, các dịch vụ kiểm soát truy cập trái phép, các dịch vụ lưu trữ dữ liệu an toàn, các dịch vụ e-mail, các dịch vụ cung cấp gửi và nhận tệp tin,... đảm bảo hoạt động an toàn. Vì vậy, hệ thống đảm bảo an toàn thông tin phải đảm bảo sao cho các tài sản mang tính công nghệ trong các tổ chức hoạt động đúng và không bị hỏng hóc.

Hộp 1.1. An toàn và bảo mật thông tin được xem là nhiệm vụ rất quan trọng trong các chiến lược nhằm đưa đến một kế hoạch phát triển bền vững cho

mỗi cá nhân, tổ chức và quốc gia


Theo thống kê của AV-Test (https://www.av-test.org, 2019) trong năm 2018 có 137,5 triệu mã độc mới đã xuất hiện và ba tháng đầu năm 2019 đã xuất hiện thêm 24,55 triệu mã độc mới. Còn theo Imperva 2019 Cyber Threat Defense Report, trong 6 tháng đầu năm 2019 có 78% các cuộc tấn công an ninh mạng vào các tổ chức thành công, nghĩa là hơn hai phần ba các cuộc tấn công vào các hệ thống mạng diễn ra đã thành công. Xu hướng tấn công an ninh mạng ngày càng đa dạng, từ các hệ thống ATM đến các mạng xã hội và các hệ thống gửi nhận thư điện tử; Từ các hệ thống mạng doanh nghiệp đến các thiết bị sử dụng cá nhân như máy tính cá nhân, điện thoại di động thông minh hay các thiết bị gia dụng trong các hệ thống vạn vật kết nối (Internet of Things - IoT),... Điều đó cho thấy rằng, an toàn thông tin là một vấn đề luôn luôn nóng bỏng đối với tất cả các quốc gia trên thế giới.

Ở Việt Nam, theo quyết định của Thủ tướng Chính phủ số 632/QĐ-TTg ban hành ngày 10/05/2017 thì Việt Nam hiện nay đang tập trung ưu tiên đảm bảo an toàn thông tin vào 11 lĩnh vực sau (Hình 1.1):

(1) Lĩnh vực giao thông;

(2) Lĩnh vực năng lượng;

(3) Lĩnh vực tài nguyên và môi trường;

(4) Lĩnh vực thông tin;

(5) Lĩnh vực y tế;

(6) Lĩnh vực tài chính;

(7) Lĩnh vực ngân hàng;

(8) Lĩnh vực quốc phòng;

(9) Lĩnh vực an ninh;

(10) Lĩnh vực đô thị;

(11) Lĩnh vực chỉ đạo, điều hành của Chính phủ.

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 18/05/2023