Mô Hình An Toàn Và Bảo Mật Thông Tin Trên Kênh Truyền Thông Tin

bao gồm phân quyền người dùng, hướng dẫn và đào tạo người dùng, cảnh báo và xử phạt người dùng nếu gây ra các tổn thất đối với hệ thống thông tin của tổ chức, đơn vị.

Các câu hỏi thường phải trả lời trong mức bảo vệ này bao gồm:

(i) Ai được quyền truy cập vào thông tin, dữ liệu, ứng dụng hay hệ thống này?

(ii) Những lỗi thường xảy ra khi người dùng sử dụng dữ liệu, thông tin, ứng dụng hoặc hệ thống này?

(iii) Người dùng sẽ cần mức cảnh báo, xử phạt thế nào nếu gây nên các tổn thất cho hệ thống thông tin?

(4) Bảo vệ mức mạng: Do hiện nay mạng máy tính là hệ thống truyền thông không thể thiếu trong các tổ chức, đơn vị, vì vậy, tấn công vào mạng máy tính của các đơn vị, tổ chức ngày càng phổ biến. Bảo vệ mức mạng là sử dụng các phương pháp, phương tiện, công cụ kỹ thuật nhằm hạn chế các nguy cơ gây ảnh hưởng nghiêm trọng đến hoạt động truyền thông tin của mạng máy tính (nhất là các mạng máy tính của các tổ chức, doanh nghiệp) như các hệ thống tường lửa, các hệ thống phát hiện xâm nhập trái phép, các hệ thống phòng chống mã độc,... Để hạn chế các nguy cơ cho hệ thống mạng các nhà quản trị an toàn và bảo mật thông tin thường thực hiện các biện pháp:

- Sử dụng các thiết bị phần cứng chuyên dụng để ngăn chặn sự xâm nhập trái phép từ mạng Internet vào máy tính của tổ chức, đơn vị như các thiết bị tường lửa (Firewall), hệ thống phát hiện xâm nhập (IDS),...

- Thực hiện các cơ chế quản lý và phân quyền người dùng, các cơ chế xác nhận người dùng trên mạng,...

- Sử dụng các giao thức bảo mật trong quá trình truyền thông tin trên mạng, tiến hành mã hóa thông tin trước khi chúng được truyền đi trên mạng để đảm bảo tính bảo mật của thông tin.

(5) Bảo vệ mức máy chủ: Mức bảo vệ này được thực hiện trên hệ thống máy chủ của hệ thống thông tin, bao gồm các hệ thống máy chủ lưu

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

trữ dữ liệu, máy chủ ứng dụng và máy chủ dịch vụ mạng. Các mức bảo vệ được tiến hành chủ yếu là ghi nhận các truy cập, dự đoán và phát hiện các xâm nhập trái phép, bảo vệ dữ liệu và sao lưu chúng nhằm hạn chế bị hỏng hóc, mất mát khi vận hành hệ thống.

Ví dụ như tạo và phân quyền người dùng để giới hạn quyền truy cập, kiểm soát các chương trình đang được thực thi trong máy tính đầu cuối, lưu trữ các tập tin Log dùng để theo dõi hoạt động của hệ thống, hoặc dùng các chức năng bảo mật được tích hợp sẵn (các chương trình dò tìm, diệt và ngăn chặn sự lây lan của virus cũng như các phần mềm gián điệp, tường lửa).

(6) Bảo vệ mức ứng dụng: Là mức bảo vệ được thực hiện trên các ứng dụng hỗ trợ tác nghiệp của hệ thống thông tin như các ứng dụng văn phòng, ứng dụng quản trị cơ sở dữ liệu, ứng dụng tính toán, ứng dụng xử lý,... Các mức bảo vệ được tiến hành chủ yếu ở đây là sử dụng cơ chế phân quyền, kiểm soát các truy cập, dự đoán và phát hiện các xâm nhập trái phép, bảo vệ dữ liệu, sử dụng các chức năng sẵn có của ứng dụng hoặc sử dụng các phần mềm bảo mật chuyên dụng cho các ứng dụng được sử dụng trong hệ thống thông tin của tổ chức, doanh nghiệp.

(7) Bảo vệ mức dữ liệu: Đây là mức bảo vệ cuối cùng trong hệ thống thông tin của tổ chức doanh nghiệp là mức bảo vệ dữ liệu. Trong mức bảo vệ này, người sử dụng sẽ quyết định chính sách, quy trình cũng như các phương pháp, phương tiện, công cụ kỹ thuật để bảo mật cho dữ liệu của chính họ. Các biện pháp thường được sử dụng là mã hóa dữ liệu, phân quyền người dùng, hoặc thiết lập các cơ chế cảnh báo, sao lưu,...

- Mã hóa dữ liệu: Khác với việc mã hoá dữ liệu để truyền đi (trong mạng máy tính), trong mức này, dữ liệu được mã hoá và lưu trữ dưới dạng bản mã mà chỉ có người chủ thực sự mới có thể giải mã ra được, điều này khiến cho kẻ tấn công dù có lấy được dữ liệu cũng rất khó để có thể sử dụng được vào các mục đích phá hoại.

- Phân quyền người dùng: Để sử dụng thông tin dữ liệu một cách hiệu quả, đảm bảo an toàn, nên phân ra nhiều loại người sử dụng khác

nhau. Việc phân quyền sẽ giúp cho việc quản lý thông tin, dữ liệu dễ dàng hơn trong khi vẫn đảm bảo được việc sử dụng hiệu quả, an toàn.

- Thiết lập các cơ chế sao lưu dữ liệu để đảm bảo cho hệ thống thông tin hoạt động một cách ổn định ngay cả khi bị kẻ gian phá hoại hệ thống dữ liệu.

- Sử dụng các chương trình bảo mật thư mục để đặt các mật mã truy nhập cho một số thư mục cũng như các tập tin quan trọng.

1.2.4.3. Mô hình an toàn và bảo mật thông tin trên kênh truyền thông tin

Mạng Internet là một môi trường truyền tin không an toàn, trong đó, dữ liệu hay thông tin truyền đi có thể bị nghe trộm, bị sao chép, bị sửa đổi hoặc xóa bỏ trong quá trình truyền từ máy tính người gửi đến máy tính người nhận. Việc bảo vệ bằng biện pháp vật lý cho kênh truyền thông tin thường khó thực hiện hoặc chi phí quá cao, vì vậy, cách duy nhất để ngăn chặn các hình thức tấn công thông tin trong quá trình truyền thông là sử dụng các hình thức mã hóa. Mã hóa kênh truyền và mã hóa thông tin được truyền trên mạng, bởi vì mã hóa sẽ khiến cho kẻ tấn công dù có xâm nhập được vào đường truyền, lấy được dữ liệu cũng không thể đọc hay thay đổi nó.

Mô hình đảm bảo an toàn trong quá trình truyền dữ liệu trên mạng được thực hiện như trên Hình 1.3. Ở đây, thông tin trước khi được truyền trên kênh truyền thông tin sẽ được mã hóa thành một thông báo an toàn. Đối thủ dù có bắt được thông tin ở thông báo cũng khó có thể giải mã để đọc nó. Khi thông tin đến đích, nó sẽ được giải mã tại bên đích để trở thành thông báo nguyên bản ban đầu. Vấn đề là đảm bảo làm sao bên nhận có thể giải mã được thông báo đó mà đối thủ tấn công lại không thể. Với các phương pháp mã hóa đối xứng truyền thống, một khóa chung sẽ được tạo ra và trao đổi giữa bên gửi và bên nhận qua bên thứ ba đáng tin. Còn với các phương pháp mã hóa khóa công khai, hai bên thậm chí còn không cần thiết phải trao đổi khóa với nhau mà vẫn đảm bảo được độ bảo mật của dữ liệu.

Hình 1.2. Mô hình truyền thông tin an toàn

Các yêu cầu cụ thể đảm bảo an toàn và bảo mật thông tin truyền trên mạng máy tính là:

- Thiết kế một giải thuật thích hợp cho việc chuyển đổi liên quan đến an toàn.

- Tạo ra thông tin bí mật (khóa) đi kèm với giải thuật.

- Phát triển các phương pháp phân bổ và chia sẻ thông tin bí mật.

- Đặc tả một giao thức sử dụng bởi hai bên gửi và nhận dựa trên giải thuật an toàn và thông tin bí mật, làm cơ sở cho một dịch vụ an toàn.

Kiến trúc truyền thông an toàn phổ biến hiện nay được khuyến nghị theo mô hình mạng bẩy tầng OSI là khuyến nghị X.800 của ITU-T (ISO, 2013). Kiến trúc này đã định ra một phương thức chung cho việc xác định các nhu cầu về an toàn thông tin. Kiến trúc này chú trọng đến các dịch vụ an toàn, các cơ chế an toàn và các hành động tấn công. X.800 là một dịch vụ an toàn cung cấp cho tầng giao thức của các hệ thống mở trao đổi thông tin mà vẫn đảm bảo an toàn thông tin cần thiết cho hệ thống và các cuộc truyền dữ liệu.

Kiến trúc truyền thông an toàn được sử dụng nữa là RFC 2828 (Man Y.R, 2003) (RFC - Request For Comments - Yêu cầu cho các bình luận- là tập hợp những tài liệu về những kiến nghị, đề xuất, những nghiên cứu

mới và những bình luận liên quan trực tiếp hoặc gián tiếp đến công nghệ, nghi thức ứng dụng mạng Internet).

Các kỹ thuật mã hóa kênh truyền và mã hóa dữ liệu sẽ được trình bày chi tiết trong các chương sau của giáo trình.

1.3. AN TOÀN VÀ BẢO MẬT THÔNG TIN THEO TIẾP CẬN QUẢN TRỊ RỦI RO

1.3.1. Tổng quan về rủi ro và quản trị rủi ro

1.3.1.1. Vài nét về rủi ro

Trong cuộc sống hàng ngày có những tình huống xảy ra ngoài dự kiến đến với con người và đối với mỗi người. Nếu đó là tình huống có tác động tích cực người ta gọi đó là may mắn (hay cơ hội), còn nếu nó tác động tiêu cực người ta gọi đó là không may mắn (hay rủi ro). Rủi ro là một thuật ngữ được mọi người dùng một cách phổ biến trong cuộc sống thường ngày. Vì vậy, có khá nhiều quan điểm khác nhau để tiếp cận khái niệm về rủi ro (Trần Hùng, 2017). Trong giáo trình này, rủi ro được hiểu là một biến cố không chắc chắn mà nếu xảy ra thì sẽ gây tổn thất cho con người hoặc tổ chức nào đó.

Trong thực tế, khi nói đến rủi ro thường nói đến tổn thất. Tổn thất ở đây có thể là những thiệt hại, mất mát về tài sản, cũng có thể là mất cơ hội có thể được hưởng về tinh thần, thể chất. Rủi ro và tổn thất là 2 phạm trù khác nhau nhưng lại có quan hệ chặt chẽ với nhau: rủi ro là nguyên nhân, tổn thất là hậu quả. Bất cứ rủi ro nào cũng để lại tổn thất ở dạng này hay dạng khác, nhưng không phải tổn thất nào cũng được quy cho những rủi ro. Khi nghiên cứu về rủi ro phải nghiên cứu về tổn thất, bởi qua nghiên cứu về tổn thất sẽ thấy được sự nguy hiểm, tác hại, mức độ nghiêm trọng của rủi ro. Ngược lại, nghiên cứu về tổn thất mà không nghiên cứu rủi ro thì sẽ không biết được nguyên nhân của thiệt hại để từ đó có biện pháp phòng ngừa, hạn chế tổn thất.

Rủi ro có thể xảy ra với bất kỳ ai, bất kỳ tổ chức nào và ở bất kỳ đâu, trong mọi hoạt động. Sự tồn tại khách quan và có tính phổ biến của rủi ro

có nguyên nhân từ thông tin. Đó là do con người bị hạn chế trong thu thập và xử lý thông tin. Thông tin có được hàng ngày, thường xuyên, liên tục với mức độ đa dạng và phức tạp khác nhau. Hiện nay, mặc dù có nhiều phương pháp và phương tiện, công cụ hiện đại để thu thập thông tin, nhưng con người không thể nào nắm bắt được tất cả các thông tin khác nhau để xử lý theo ý muốn. Trên thực tế, việc thu thập và xử lý thông tin phụ thuộc rất nhiều vào năng lực, trình độ của người xử lý thông tin, nên với cùng một lượng thông tin có chất lượng như nhau, có người có được kết quả xử lý như mong đợi nhưng có người thì lại không. Chưa kể đến việc trong nhiều tình huống có những thông tin không chính xác, gây nhiễu cho việc xử lý thông tin làm cho con người ra quyết định không phù hợp dẫn đến những tổn thất khó lường. Ngay cả khi ngày nay, trí tuệ của con người có thể thu thập và xử lý được một khối lượng lớn thông tin, điều đó không có nghĩa là các thông tin này được sử dụng thường xuyên bởi chi phí cho việc thu thập và xử lý chúng rất cao.

Rủi ro có các đặc trưng cơ bản là tần suất rủi ro và biên độ rủi ro. Tần suất rủi ro biểu hiện số lần xuất hiện rủi ro trong một khoảng thời gian hay trong tổng số lần quan sát sự kiện. Còn biên độ rủi ro thể hiện tính chất nguy hiểm, mức độ thiệt hại gây ra nghĩa là thể hiện hậu quả hay tổn thất do rủi ro gây ra về tài chính, nhân lực,...

Có thể phân loại rủi ro theo các tiêu chí khác nhau như: theo nguyên nhân gây ra rủi ro; theo kết quả hay hậu quả; theo nguồn gốc; theo đối tượng gánh chịu rủi ro; theo khả năng kiểm soát, giảm tổn thất; theo các giai đoạn phát triển của đối tượng chịu rủi ro.

1.3.1.2. Tổng quan về quản trị rủi ro

Tương tự như đối với khái niệm về rủi ro, có khá nhiều khái niệm về quản trị rủi ro. Tuy nhiên, các quan điểm khác nhau về quản trị rủi ro đều xác định hoạt động quản trị rủi ro bao gồm các khâu chủ yếu là: (1) nhận dạng, phân tích, đo lường và phân loại những rủi ro đã và sẽ đến đối với tổ chức; (2) xây dựng và tổ chức thực hiện chương trình kiểm soát rủi ro với những điều kiện phù hợp của tổ chức; (3) xây dựng và thực hiện tốt

các nguồn lực như tài chính, phương tiện, công cụ phục vụ cho hạn chế tác động và hậu quả của rủi ro.

Từ nhận định trên, trong giáo trình này, quản trị rủi ro được hiểu như sau: Quản trị rủi ro là quá trình nhận dạng, phân tích, đo lường và đánh giá, xây dựng và triển khai kế hoạch kiểm soát, nguồn lực để khắc phục các hậu quả của rủi ro.

Quản trị rủi ro là một quy trình được thực hiện bởi những vị trí cấp cao của tổ chức, doanh nghiệp (có thể là giám đốc điều hành, chuyên gia tài chính, cố vấn nhân sự,...) nhằm mục đích hạn chế đến mức thấp nhất hậu quả của rủi ro với các mục tiêu chủ yếu là: (1) nhận biết các rủi ro có thể xảy ra trong hoạt động của tổ chức, phân tích nguồn gốc, tính chất và mức độ ảnh hưởng của các rủi ro đã được nhận dạng; (2) chỉ ra được những rủi ro cần và/có thể né tránh được và cách thức để tránh, cũng như chỉ ra những rủi ro nào có thể chấp nhận được; (3) chỉ ra cách thức, biện pháp cần áp dụng để phòng ngừa hay giảm thiểu hậu quả của các rủi ro khác;

(4) dự tính được tổn thất nếu rủi ro sẽ xảy ra và đo lường được tổn thất trong trường hợp rủi ro đã xảy ra và phương thức, biện pháp khắc phục hậu quả, bù đắp tổn thất. Như vậy, quản trị rủi ro thực chất là phòng chống và khắc phục hậu quả, quản trị rủi ro nhằm để xác định những tình huống, vấn đề, sự kiện có thể ảnh hưởng đến tổ chức doanh nghiệp trong tương lai; đồng thời quản lý, ngăn chặn và hạn chế các mức độ rủi ro để tổ chức, doanh nghiệp thực hiện được mục tiêu của mình; xác định được các vấn đề gặp phải với tài sản của tổ chức từ đó thực hiện các biện pháp nhằm giảm thiểu các rủi ro này xuống mức có thể chấp nhận được.

Như vậy, có thể thấy hoạt động quản trị rủi ro có những nội dung chính như sau: (1) nhận dạng rủi ro: là quá trình xác định một cách liên tục và có hệ thống các rủi ro có thể xảy ra trong hoạt động của tổ chức, doanh nghiệp; (2) phân tích rủi ro: là việc nghiên cứu những hiểm họa, xác định nguyên nhân dẫn đến, đo lường, đánh giá và phân tích những tổn thất do hiểm họa gây ra; (3) kiểm soát rủi ro: sử dụng các công cụ, phương tiện kỹ thuật, các biện pháp khác nhau để phòng ngừa, né tránh, giảm thiểu và

chuyển giao các rủi ro có thể xảy ra trong hoạt động của tổ chức, doanh nghiệp.

Hoạt động quản trị rủi ro cần tuân thủ các nguyên tắc: (1) không chấp nhận các rủi ro không cần thiết, chấp nhận các rủi ro khi lợi ích lớn hơn chi phí; (2) các quyết định liên quan đến rủi ro được ra ở tất cả các cấp thích hợp của tổ chức, doanh nghiệp; (3) quản trị rủi ro được thực hiện kết hợp với hoạch định và vận hành hoạt động ở tất cả các cấp của tổ chức, doanh nghiệp.

Quản trị rủi ro là một trong 3 cấp độ cơ bản trong quản trị doanh nghiệp, đó là: quản trị chiến lược, quản trị hoạt động và quản trị rủi ro.

1.3.2. Tổng quan về rủi ro cho thông tin và quản trị rủi ro trong hệ thống thông tin

1.3.2.1. Rủi ro cho thông tin

a) Khái niệm

Theo Viện nghiên cứu Quản trị dự án Hoa Kỳ (US Project Management Institute - US PMI) và Hiệp hội Quản trị dự án Vương quốc Anh (UK Association for Project Management - UK APM) thì: Rủi ro trong quản trị dự án là một sự kiện hay điều kiện không chắc chắn mà nếu xảy ra sẽ có ảnh hưởng tích cực hoặc tiêu cực đến mục tiêu của dự án; Rủi ro là một sự kiện hay một tập hợp các tình huống không chắc chắn có thể xảy ra sẽ ảnh hưởng đến việc đạt được các mục tiêu của dự án.

Từ các khái niệm này, kết hợp với khái niệm về rủi ro đã nêu trên, có thể định nghĩa: Rủi ro cho thông tin là những sự kiện, những tình huống, những nguy cơ hay những mối đe dọa nếu xảy ra sẽ gây mất an toàn và bảo mật thông tin.

b) Các đặc trưng

Cũng như đối với rủi ro chung, rủi ro cho thông tin có các đặc trưng cơ bản là tần suất rủi ro và biên độ rủi ro. Tần suất rủi ro cho thông tin biểu hiện số lần xuất hiện của các mối đe dọa, các cuộc tấn công gây mất

Xem tất cả 142 trang.

Ngày đăng: 18/05/2023