Mô Hình An Toàn Và Bảo Mật Thông Tin Trên Kênh Truyền Thông Tin

bao gồm phân quyền người dùng, hướng dẫn và đào tạo người dùng, cảnh báo và xử phạt người dùng nếu gây ra các tổn thất đối với hệ thống thông tin của tổ chức, đơn vị.

Các câu hỏi thường phải trả lời trong mức bảo vệ này bao gồm:

(i) Ai được quyền truy cập vào thông tin, dữ liệu, ứng dụng hay hệ thống này?

(ii) Những lỗi thường xảy ra khi người dùng sử dụng dữ liệu, thông tin, ứng dụng hoặc hệ thống này?

(iii) Người dùng sẽ cần mức cảnh báo, xử phạt thế nào nếu gây nên các tổn thất cho hệ thống thông tin?

(4) Bảo vệ mức mạng: Do hiện nay mạng máy tính là hệ thống truyền thông không thể thiếu trong các tổ chức, đơn vị, vì vậy, tấn công vào mạng máy tính của các đơn vị, tổ chức ngày càng phổ biến. Bảo vệ mức mạng là sử dụng các phương pháp, phương tiện, công cụ kỹ thuật nhằm hạn chế các nguy cơ gây ảnh hưởng nghiêm trọng đến hoạt động truyền thông tin của mạng máy tính (nhất là các mạng máy tính của các tổ chức, doanh nghiệp) như các hệ thống tường lửa, các hệ thống phát hiện xâm nhập trái phép, các hệ thống phòng chống mã độc,... Để hạn chế các nguy cơ cho hệ thống mạng các nhà quản trị an toàn và bảo mật thông tin thường thực hiện các biện pháp:

- Sử dụng các thiết bị phần cứng chuyên dụng để ngăn chặn sự xâm nhập trái phép từ mạng Internet vào máy tính của tổ chức, đơn vị như các thiết bị tường lửa (Firewall), hệ thống phát hiện xâm nhập (IDS),...

- Thực hiện các cơ chế quản lý và phân quyền người dùng, các cơ chế xác nhận người dùng trên mạng,...

- Sử dụng các giao thức bảo mật trong quá trình truyền thông tin trên mạng, tiến hành mã hóa thông tin trước khi chúng được truyền đi trên mạng để đảm bảo tính bảo mật của thông tin.

(5) Bảo vệ mức máy chủ: Mức bảo vệ này được thực hiện trên hệ thống máy chủ của hệ thống thông tin, bao gồm các hệ thống máy chủ lưu

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

trữ dữ liệu, máy chủ ứng dụng và máy chủ dịch vụ mạng. Các mức bảo vệ được tiến hành chủ yếu là ghi nhận các truy cập, dự đoán và phát hiện các xâm nhập trái phép, bảo vệ dữ liệu và sao lưu chúng nhằm hạn chế bị hỏng hóc, mất mát khi vận hành hệ thống.

Ví dụ như tạo và phân quyền người dùng để giới hạn quyền truy cập, kiểm soát các chương trình đang được thực thi trong máy tính đầu cuối, lưu trữ các tập tin Log dùng để theo dõi hoạt động của hệ thống, hoặc dùng các chức năng bảo mật được tích hợp sẵn (các chương trình dò tìm, diệt và ngăn chặn sự lây lan của virus cũng như các phần mềm gián điệp, tường lửa).

(6) Bảo vệ mức ứng dụng: Là mức bảo vệ được thực hiện trên các ứng dụng hỗ trợ tác nghiệp của hệ thống thông tin như các ứng dụng văn phòng, ứng dụng quản trị cơ sở dữ liệu, ứng dụng tính toán, ứng dụng xử lý,... Các mức bảo vệ được tiến hành chủ yếu ở đây là sử dụng cơ chế phân quyền, kiểm soát các truy cập, dự đoán và phát hiện các xâm nhập trái phép, bảo vệ dữ liệu, sử dụng các chức năng sẵn có của ứng dụng hoặc sử dụng các phần mềm bảo mật chuyên dụng cho các ứng dụng được sử dụng trong hệ thống thông tin của tổ chức, doanh nghiệp.

(7) Bảo vệ mức dữ liệu: Đây là mức bảo vệ cuối cùng trong hệ thống thông tin của tổ chức doanh nghiệp là mức bảo vệ dữ liệu. Trong mức bảo vệ này, người sử dụng sẽ quyết định chính sách, quy trình cũng như các phương pháp, phương tiện, công cụ kỹ thuật để bảo mật cho dữ liệu của chính họ. Các biện pháp thường được sử dụng là mã hóa dữ liệu, phân quyền người dùng, hoặc thiết lập các cơ chế cảnh báo, sao lưu,...

- Mã hóa dữ liệu: Khác với việc mã hoá dữ liệu để truyền đi (trong mạng máy tính), trong mức này, dữ liệu được mã hoá và lưu trữ dưới dạng bản mã mà chỉ có người chủ thực sự mới có thể giải mã ra được, điều này khiến cho kẻ tấn công dù có lấy được dữ liệu cũng rất khó để có thể sử dụng được vào các mục đích phá hoại.

- Phân quyền người dùng: Để sử dụng thông tin dữ liệu một cách hiệu quả, đảm bảo an toàn, nên phân ra nhiều loại người sử dụng khác

nhau. Việc phân quyền sẽ giúp cho việc quản lý thông tin, dữ liệu dễ dàng hơn trong khi vẫn đảm bảo được việc sử dụng hiệu quả, an toàn.

- Thiết lập các cơ chế sao lưu dữ liệu để đảm bảo cho hệ thống thông tin hoạt động một cách ổn định ngay cả khi bị kẻ gian phá hoại hệ thống dữ liệu.

- Sử dụng các chương trình bảo mật thư mục để đặt các mật mã truy nhập cho một số thư mục cũng như các tập tin quan trọng.

1.2.4.3. Mô hình an toàn và bảo mật thông tin trên kênh truyền thông tin

Mạng Internet là một môi trường truyền tin không an toàn, trong đó, dữ liệu hay thông tin truyền đi có thể bị nghe trộm, bị sao chép, bị sửa đổi hoặc xóa bỏ trong quá trình truyền từ máy tính người gửi đến máy tính người nhận. Việc bảo vệ bằng biện pháp vật lý cho kênh truyền thông tin thường khó thực hiện hoặc chi phí quá cao, vì vậy, cách duy nhất để ngăn chặn các hình thức tấn công thông tin trong quá trình truyền thông là sử dụng các hình thức mã hóa. Mã hóa kênh truyền và mã hóa thông tin được truyền trên mạng, bởi vì mã hóa sẽ khiến cho kẻ tấn công dù có xâm nhập được vào đường truyền, lấy được dữ liệu cũng không thể đọc hay thay đổi nó.

Mô hình đảm bảo an toàn trong quá trình truyền dữ liệu trên mạng được thực hiện như trên Hình 1.3. Ở đây, thông tin trước khi được truyền trên kênh truyền thông tin sẽ được mã hóa thành một thông báo an toàn. Đối thủ dù có bắt được thông tin ở thông báo cũng khó có thể giải mã để đọc nó. Khi thông tin đến đích, nó sẽ được giải mã tại bên đích để trở thành thông báo nguyên bản ban đầu. Vấn đề là đảm bảo làm sao bên nhận có thể giải mã được thông báo đó mà đối thủ tấn công lại không thể. Với các phương pháp mã hóa đối xứng truyền thống, một khóa chung sẽ được tạo ra và trao đổi giữa bên gửi và bên nhận qua bên thứ ba đáng tin. Còn với các phương pháp mã hóa khóa công khai, hai bên thậm chí còn không cần thiết phải trao đổi khóa với nhau mà vẫn đảm bảo được độ bảo mật của dữ liệu.

Hình 1 2 Mô hình truyền thông tin an toàn Các yêu cầu cụ thể đảm bảo an toàn 1


Hình 1.2. Mô hình truyền thông tin an toàn


Các yêu cầu cụ thể đảm bảo an toàn và bảo mật thông tin truyền trên mạng máy tính là:

- Thiết kế một giải thuật thích hợp cho việc chuyển đổi liên quan đến an toàn.

- Tạo ra thông tin bí mật (khóa) đi kèm với giải thuật.

- Phát triển các phương pháp phân bổ và chia sẻ thông tin bí mật.

- Đặc tả một giao thức sử dụng bởi hai bên gửi và nhận dựa trên giải thuật an toàn và thông tin bí mật, làm cơ sở cho một dịch vụ an toàn.

Kiến trúc truyền thông an toàn phổ biến hiện nay được khuyến nghị theo mô hình mạng bẩy tầng OSI là khuyến nghị X.800 của ITU-T (ISO, 2013). Kiến trúc này đã định ra một phương thức chung cho việc xác định các nhu cầu về an toàn thông tin. Kiến trúc này chú trọng đến các dịch vụ an toàn, các cơ chế an toàn và các hành động tấn công. X.800 là một dịch vụ an toàn cung cấp cho tầng giao thức của các hệ thống mở trao đổi thông tin mà vẫn đảm bảo an toàn thông tin cần thiết cho hệ thống và các cuộc truyền dữ liệu.

Kiến trúc truyền thông an toàn được sử dụng nữa là RFC 2828 (Man Y.R, 2003) (RFC - Request For Comments - Yêu cầu cho các bình luận- là tập hợp những tài liệu về những kiến nghị, đề xuất, những nghiên cứu

mới và những bình luận liên quan trực tiếp hoặc gián tiếp đến công nghệ, nghi thức ứng dụng mạng Internet).

Các kỹ thuật mã hóa kênh truyền và mã hóa dữ liệu sẽ được trình bày chi tiết trong các chương sau của giáo trình.

1.3. AN TOÀN VÀ BẢO MẬT THÔNG TIN THEO TIẾP CẬN QUẢN TRỊ RỦI RO

1.3.1. Tổng quan về rủi ro và quản trị rủi ro

1.3.1.1. Vài nét về rủi ro

Trong cuộc sống hàng ngày có những tình huống xảy ra ngoài dự kiến đến với con người và đối với mỗi người. Nếu đó là tình huống có tác động tích cực người ta gọi đó là may mắn (hay cơ hội), còn nếu nó tác động tiêu cực người ta gọi đó là không may mắn (hay rủi ro). Rủi ro là một thuật ngữ được mọi người dùng một cách phổ biến trong cuộc sống thường ngày. Vì vậy, có khá nhiều quan điểm khác nhau để tiếp cận khái niệm về rủi ro (Trần Hùng, 2017). Trong giáo trình này, rủi ro được hiểu là một biến cố không chắc chắn mà nếu xảy ra thì sẽ gây tổn thất cho con người hoặc tổ chức nào đó.

Trong thực tế, khi nói đến rủi ro thường nói đến tổn thất. Tổn thất ở đây có thể là những thiệt hại, mất mát về tài sản, cũng có thể là mất cơ hội có thể được hưởng về tinh thần, thể chất. Rủi ro và tổn thất là 2 phạm trù khác nhau nhưng lại có quan hệ chặt chẽ với nhau: rủi ro là nguyên nhân, tổn thất là hậu quả. Bất cứ rủi ro nào cũng để lại tổn thất ở dạng này hay dạng khác, nhưng không phải tổn thất nào cũng được quy cho những rủi ro. Khi nghiên cứu về rủi ro phải nghiên cứu về tổn thất, bởi qua nghiên cứu về tổn thất sẽ thấy được sự nguy hiểm, tác hại, mức độ nghiêm trọng của rủi ro. Ngược lại, nghiên cứu về tổn thất mà không nghiên cứu rủi ro thì sẽ không biết được nguyên nhân của thiệt hại để từ đó có biện pháp phòng ngừa, hạn chế tổn thất.

Rủi ro có thể xảy ra với bất kỳ ai, bất kỳ tổ chức nào và ở bất kỳ đâu, trong mọi hoạt động. Sự tồn tại khách quan và có tính phổ biến của rủi ro

có nguyên nhân từ thông tin. Đó là do con người bị hạn chế trong thu thập và xử lý thông tin. Thông tin có được hàng ngày, thường xuyên, liên tục với mức độ đa dạng và phức tạp khác nhau. Hiện nay, mặc dù có nhiều phương pháp và phương tiện, công cụ hiện đại để thu thập thông tin, nhưng con người không thể nào nắm bắt được tất cả các thông tin khác nhau để xử lý theo ý muốn. Trên thực tế, việc thu thập và xử lý thông tin phụ thuộc rất nhiều vào năng lực, trình độ của người xử lý thông tin, nên với cùng một lượng thông tin có chất lượng như nhau, có người có được kết quả xử lý như mong đợi nhưng có người thì lại không. Chưa kể đến việc trong nhiều tình huống có những thông tin không chính xác, gây nhiễu cho việc xử lý thông tin làm cho con người ra quyết định không phù hợp dẫn đến những tổn thất khó lường. Ngay cả khi ngày nay, trí tuệ của con người có thể thu thập và xử lý được một khối lượng lớn thông tin, điều đó không có nghĩa là các thông tin này được sử dụng thường xuyên bởi chi phí cho việc thu thập và xử lý chúng rất cao.

Rủi ro có các đặc trưng cơ bản là tần suất rủi ro và biên độ rủi ro. Tần suất rủi ro biểu hiện số lần xuất hiện rủi ro trong một khoảng thời gian hay trong tổng số lần quan sát sự kiện. Còn biên độ rủi ro thể hiện tính chất nguy hiểm, mức độ thiệt hại gây ra nghĩa là thể hiện hậu quả hay tổn thất do rủi ro gây ra về tài chính, nhân lực,...

Có thể phân loại rủi ro theo các tiêu chí khác nhau như: theo nguyên nhân gây ra rủi ro; theo kết quả hay hậu quả; theo nguồn gốc; theo đối tượng gánh chịu rủi ro; theo khả năng kiểm soát, giảm tổn thất; theo các giai đoạn phát triển của đối tượng chịu rủi ro.

1.3.1.2. Tổng quan về quản trị rủi ro

Tương tự như đối với khái niệm về rủi ro, có khá nhiều khái niệm về quản trị rủi ro. Tuy nhiên, các quan điểm khác nhau về quản trị rủi ro đều xác định hoạt động quản trị rủi ro bao gồm các khâu chủ yếu là: (1) nhận dạng, phân tích, đo lường và phân loại những rủi ro đã và sẽ đến đối với tổ chức; (2) xây dựng và tổ chức thực hiện chương trình kiểm soát rủi ro với những điều kiện phù hợp của tổ chức; (3) xây dựng và thực hiện tốt

các nguồn lực như tài chính, phương tiện, công cụ phục vụ cho hạn chế tác động và hậu quả của rủi ro.

Từ nhận định trên, trong giáo trình này, quản trị rủi ro được hiểu như sau: Quản trị rủi ro là quá trình nhận dạng, phân tích, đo lường và đánh giá, xây dựng và triển khai kế hoạch kiểm soát, nguồn lực để khắc phục các hậu quả của rủi ro.

Quản trị rủi ro là một quy trình được thực hiện bởi những vị trí cấp cao của tổ chức, doanh nghiệp (có thể là giám đốc điều hành, chuyên gia tài chính, cố vấn nhân sự,...) nhằm mục đích hạn chế đến mức thấp nhất hậu quả của rủi ro với các mục tiêu chủ yếu là: (1) nhận biết các rủi ro có thể xảy ra trong hoạt động của tổ chức, phân tích nguồn gốc, tính chất và mức độ ảnh hưởng của các rủi ro đã được nhận dạng; (2) chỉ ra được những rủi ro cần và/có thể né tránh được và cách thức để tránh, cũng như chỉ ra những rủi ro nào có thể chấp nhận được; (3) chỉ ra cách thức, biện pháp cần áp dụng để phòng ngừa hay giảm thiểu hậu quả của các rủi ro khác;

(4) dự tính được tổn thất nếu rủi ro sẽ xảy ra và đo lường được tổn thất trong trường hợp rủi ro đã xảy ra và phương thức, biện pháp khắc phục hậu quả, bù đắp tổn thất. Như vậy, quản trị rủi ro thực chất là phòng chống và khắc phục hậu quả, quản trị rủi ro nhằm để xác định những tình huống, vấn đề, sự kiện có thể ảnh hưởng đến tổ chức doanh nghiệp trong tương lai; đồng thời quản lý, ngăn chặn và hạn chế các mức độ rủi ro để tổ chức, doanh nghiệp thực hiện được mục tiêu của mình; xác định được các vấn đề gặp phải với tài sản của tổ chức từ đó thực hiện các biện pháp nhằm giảm thiểu các rủi ro này xuống mức có thể chấp nhận được.

Như vậy, có thể thấy hoạt động quản trị rủi ro có những nội dung chính như sau: (1) nhận dạng rủi ro: là quá trình xác định một cách liên tục và có hệ thống các rủi ro có thể xảy ra trong hoạt động của tổ chức, doanh nghiệp; (2) phân tích rủi ro: là việc nghiên cứu những hiểm họa, xác định nguyên nhân dẫn đến, đo lường, đánh giá và phân tích những tổn thất do hiểm họa gây ra; (3) kiểm soát rủi ro: sử dụng các công cụ, phương tiện kỹ thuật, các biện pháp khác nhau để phòng ngừa, né tránh, giảm thiểu và

chuyển giao các rủi ro có thể xảy ra trong hoạt động của tổ chức, doanh nghiệp.

Hoạt động quản trị rủi ro cần tuân thủ các nguyên tắc: (1) không chấp nhận các rủi ro không cần thiết, chấp nhận các rủi ro khi lợi ích lớn hơn chi phí; (2) các quyết định liên quan đến rủi ro được ra ở tất cả các cấp thích hợp của tổ chức, doanh nghiệp; (3) quản trị rủi ro được thực hiện kết hợp với hoạch định và vận hành hoạt động ở tất cả các cấp của tổ chức, doanh nghiệp.

Quản trị rủi ro là một trong 3 cấp độ cơ bản trong quản trị doanh nghiệp, đó là: quản trị chiến lược, quản trị hoạt động và quản trị rủi ro.

1.3.2. Tổng quan về rủi ro cho thông tin và quản trị rủi ro trong hệ thống thông tin

1.3.2.1. Rủi ro cho thông tin

a) Khái niệm

Theo Viện nghiên cứu Quản trị dự án Hoa Kỳ (US Project Management Institute - US PMI) và Hiệp hội Quản trị dự án Vương quốc Anh (UK Association for Project Management - UK APM) thì: Rủi ro trong quản trị dự án là một sự kiện hay điều kiện không chắc chắn mà nếu xảy ra sẽ có ảnh hưởng tích cực hoặc tiêu cực đến mục tiêu của dự án; Rủi ro là một sự kiện hay một tập hợp các tình huống không chắc chắn có thể xảy ra sẽ ảnh hưởng đến việc đạt được các mục tiêu của dự án.

Từ các khái niệm này, kết hợp với khái niệm về rủi ro đã nêu trên, có thể định nghĩa: Rủi ro cho thông tin là những sự kiện, những tình huống, những nguy cơ hay những mối đe dọa nếu xảy ra sẽ gây mất an toàn và bảo mật thông tin.

b) Các đặc trưng

Cũng như đối với rủi ro chung, rủi ro cho thông tin có các đặc trưng cơ bản là tần suất rủi ro và biên độ rủi ro. Tần suất rủi ro cho thông tin biểu hiện số lần xuất hiện của các mối đe dọa, các cuộc tấn công gây mất

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 18/05/2023