Nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin

Cần phải áp dụng các giải pháp an toàn an toàn thông tin, nhất là nắm được các điểm yếu của hệ thống an toàn thông tin Vì những lý do trên tôi chọn đề tài “Nghiên cứu giải pháp đánh giá

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

*********

VŨ THU UYÊN

NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG

AN TOÀN THÔNG TIN

LUẬN VĂN THẠC SĨ

Hà Nội – 2011

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

*********

VŨ THU UYÊN

NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG

AN TOÀN THÔNG TIN

Ngành: Công nghệ thông tin

MỤC LỤC

MỤC LỤC HÌNH 3

MỤC LỤC BẢNG 5

DANH MỤC TÊN VIẾT TẮT 6

MỞ ĐẦU 7

I Lý do chọn đề tài 7

II Lịch sử vấn đề 7

III Mục đích, nhiệm vụ nghiên cứu 8

IV Phương pháp nghiên cứu 8

CHƯƠNG 1: TỔNG QUAN 9

1.1 Tổng quan về hệ thống thông tin 9

1.1.1 Khái niệm 9

1.1.2 Các thành phần của hệ thống thông tin 9

1.1.3 Các điểm yếu trong hệ thống thông tin 9

1.2 Các vấn đề chung an toàn thông tin 13

1.2.1 An toàn thông tin là gì? 13

1.2.2 Các yêu cầu an toàn thông tin 13

1.2.3 Các phương pháp bảo vệ an toàn thông tin 14

1.2.4 Một số giải pháp khắc phục điểm yếu 14

1.3 Giới thiệu về các tiêu chuẩn đánh giá hệ thống an toàn thông tin 16

1.3.1 Chuẩn an toàn thông tin 16

1.3.2 Các tiêu chuẩn đánh giá an toàn thông tin 17

CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN THÔNG TIN 26

2.1 Tiêu chuẩn chung Common Criteria - CC 26

2.1.1 Khái niệm và mô hình chung của CC 26

2.1.2 Những yêu cầu chức năng an toàn SFR 36

2.1.3 Những yêu cầu đảm bảo an toàn SAR 42

2.1.4 Những mức đảm bảo đánh giá (EALs) 47

2.1.5 Nội dung chuẩn của PP 49

2.1.6 Lớp đảm bảo đánh giá Hồ sơ bảo vệ APE và yêu cầu của EAL4 53

2.2 Phương pháp luận cho đánh giá an toàn - CEM 57

2.2.1 Mối quan hệ CEM và CC 57

2.2.2 Sơ đồ tổng quát cho đánh giá 58

2.2.3 CEM hướng dẫn đánh giá lớp đảm bảo APE 60

CHƯƠNG 3: ỨNG DỤNG GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TOÀN THÔNG TIN 72

3.1 Áp dụng CC đánh giá thiết bị FIREWALL/VPN của NOKIA sử dụng giải pháp CHECKPOINT VPN-1/FIREWALL-1 72

3.1.1 Khái quát chung về FireWall/VPN Nokia 72

3.1.2 Áp dụng CC vào đánh giá thiết bị Firewall/VPN của Nokia 76

3.2 Đánh giá hệ thống an toàn thông qua các điểm yếu 124

KẾT LUẬN 131

TÀI LIỆU THAM KHẢO 132

MỤC LỤC HÌNH

Hình 1 1: Mô hình PDCA áp dụng cho quá trình xử lý ISMS 19

Hình 1 2: Sơ đồ lịch sử phát triển của CC 20

Hình 2 1: Đặc tả đối tượng quanh CC 27

Hình 2 2: Mối quan hệ PP, ST và TOE 29

Hình 2 3:Sơ đồ môi trường phát triển và sử dụng 31

Hình 2 4: Phân tích để đưa ra mục tiêu an toàn 32

Hình 2 5: Mô hình đưa ra mức đánh giá 33

Hình 2 6: Phân Lớp, Họ, Thành phần, Phần tử và Gói 34

Hình 2 7: Những chủ thể, thao tác, đối tượng 35

Hình 2 8: Mô hình tổng quát của CC 35

Hình 2 9: Cách bố trí lớp chức năng 36

Hình 2 10: Phân cấp lớp kiểm toán 37

Hình 2 11: Phân cấp lớp liên lạc 37

Hình 2 12: Phân cấp lớp bảo vệ dữ liệu 38

Hình 2 13: Phân cấp lớp hỗ trợ mật mã 38

Hình 2 14: Phân cấp lớp định danh và xác thực 39

Hình 2 15: Phân cấp lớp quản lý an toàn 39

Hình 2 16: Phân cấp lớp riêng tư 40

Hình 2 17: Phân cấp lớp chức năng an toàn 40

Hình 2 18: Phân cấp lớp sử dụng tài nguyên 41

Hình 2 19: Phân cấp lớp truy cập 41

Hình 2 20: Phân cấp lớp tuyến/kênh tin 41

Hình 2 21: Cách bố trí lớp chức năng 42

Hình 2 22: Phân cấp lớp quản lý cấu hình 43

Hình 2 23: Phân cấp lớp đảm bảo vận hành 43

Hình 2 24: Phân cấp lớp đảm bảo phát triển 44

Hình 2 25: Phân cấp lớp đảm bảo tài liệu hướng dẫn 44

Hình 2 26: Phân cấp lớp đảm bảo hỗ trợ vòng đời 45

Hình 2 27: Phân cấp lớp đảm bảo kiểm định 45

Hình 2 28: Phân cấp lớp đảm bảo đánh giá tổn thương 46

Hình 2 29: Phân cấp lớp đảm bảo đánh giá PP 46

Hình 2 30: Phân cấp lớp đảm bảo đánh giá ST 47

Hình 2 31: Những mức đánh giá 47

Hình 2 32: Nội dung của PP 50

Hình 2 33: Mô hình phân tích lớp APE 53

Hình 2 34: So sánh lớp APE của CC 3.1 và CC 2.3 70

Hình 2 35: Mối quan hệ giữa CC và CEM 57

Hình 2 36: Các nhiệm vụ đánh giá 58

Hình 2 37: Nội dung của báo cáo kỹ thuật 59

MỤC LỤC BẢNG

Bảng 1: Những thành phần đảm bảo an toàn mức EAL4 55

Bảng 2: Các yêu cầu chức năng an toàn TOE 87

Bảng 3: Các thành phần đảm bảo TOE 99

Bảng 4: Các yêu cầu chức năng an toàn cho môi trường IT 99

Bảng 5: Sơ đồ các mục tiêu cơ sở 107

Bảng 6: Sơ đồ các yêu cầu cơ sở TOE 111

Bảng 7: Sơ đồ các yêu cầu cơ sở môi trường IT 113

Bảng 8: Sơ đồ các phụ thuộc CC Part 2 116

Bảng 9: Sơ đồ tóm tắt các đặc điểm kỹ thuật cơ sở TOE 124

DANH MỤC TÊN VIẾT TẮT

CC Common Criteria

CEM Common Methodology for Information Security Evaluation EAL Evaluation Assurance Level

ETR Evaluation Technical Report

IPS Intrusion Prevention System

SFP Security Function Policy

SIC Secure Internal Communication

SOF Strength of Function

TSP TOE Security Policy

URL Universal Resource Locator

VPN Virtual Personal Network

MỞ ĐẦU

I Lý do chọn đề tài

1 Nhu cầu ứng dụng công nghệ thông tin vào các lĩnh vực đời sống là rất rộng rãi

2 Việc đảm bảo an toàn và an toàn thông tin là yêu cầu hàng đầu đối với các cơ quan, doanh nghiệp, …

3 Cần phải áp dụng các giải pháp an toàn an toàn thông tin, nhất là nắm được các điểm yếu của hệ thống an toàn thông tin

Vì những lý do trên tôi chọn đề tài “Nghiên cứu giải pháp đánh giá hệ thống

an toàn thông tin” mong góp phần vào việc đề xuất ra một số biện pháp và giải pháp

đánh giá hệ thống an toàn thông tin một cách phù hợp để tăng độ an toàn và an toàn thông tin trong hệ thống và các sản phẩm CNTT

II Lịch sử vấn đề

Vấn đề an toàn, an ninh thông tin không mới nhưng càng ngày càng trở nên quan trọng cùng với sự phát triển theo chiều rộng và chiều sâu của xã hội thông tin Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ đến là xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các cuộc tấn công

và xâm nhập bất hợp pháp Cách tiếp cận như vậy không hoàn toàn đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một vài giải pháp nào đó

mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng quát và khoa học hơn

Không thể đảm bảo an toàn 100% cho hệ thống thông tin, nhưng ta có thể giảm bớt các rủi ro không mong muốn dưới tác động từ mọi phía của các lĩnh vực hoạt động kinh tế xã hội Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện pháp đối phó về ATTT, họ luôn luôn đi đến kết luận: những giải pháp công nghệ (kỹ thuật) đơn lẻ không thể cung cấp đủ sự an toàn Những sản phẩm Anti-virus, Firewalls và các công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người

1 Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ máy trạm

2 Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với thông tin và sử dụng máy tính trong công việc của mình

Có lẽ không một vị lãnh đạo nào dám khẳng định nội bộ công ty là thực sự an toàn

và tin cậy Trong bối cảnh nền kinh tế thị trường như hiện nay, sự cạnh tranh diễn ra

gay gắt thậm chí giữa các nhân viên trong nội bộ công ty: tranh dành khách hàng, mục đích thăng tiến hoặc các mục đích không lành mạnh khác Ở một số tổ chức, lợi dụng

sự lỏng lẻo trong quản lý về ATTT, nhân viên đã có những hành vi bất lương như lấy cắp thông tin mật, chiếm đoạt tài khoản khách hàng, ăn cắp tiền thông qua hệ thống tín dụng… Theo thống kê, khoảng 70% các rủi ro về ATTT là xuất phát từ nội bộ trong tổ chức Một trong những câu hỏi luôn được đặt ra trước các nhà lãnh đạo và các nhà

quản trị thông tin là: “Hệ thống thông tin của tổ chức an toàn đến mức độ nào?” Câu

hỏi này là mối quan tâm lớn nhất và cũng là vấn đề nhạy cảm nhất trong các khâu quản

lý hệ thống thông tin

Trả lời câu hỏi này thật không đơn giản nhưng không phải là không có câu trả lời

Để giải đáp vấn đề trên, chủ yếu dựa vào hai phương pháp đánh giá ATTT như sau: + Phương pháp đánh giá theo chất lượng ATTT của hệ thống bằng cách cho điểm.Ví dụ: hệ thống đạt 60/100 điểm hoặc 60%

+ Phương pháp đánh giá theo số lượng thiết bị - công nghệ an toàn

Trong thực tế, phương pháp đánh giá theo chất lượng là phương pháp duy nhất để đánh giá mức độ an toàn của các tài nguyên trong hệ thống thông tin ở Việt Nam, việc đánh giá ATTT theo chất lượng là hoàn toàn mới Người ta dễ ngộ nhận việc trang bị một công cụ ATTT như (Firewall, Anti-virus…) là đảm bảo được ATTT cho hệ thống Chất lượng ATTT phải được đánh giá trên toàn bộ các yếu tố đảm bảo tính an toàn cho

hệ thống từ tổ chức, con người, an ninh vật lý, quản lý tài nguyên … đến việc sử dụng các công cụ kỹ thuật Nói cách khác, chất lượng ATTT được đánh giá trên cơ sở thực thi các chính sách về ATTT trong hệ thống Vì thế, Phương pháp đánh giá chất lượng

hệ thống ATTT là dựa trên các Tiêu chuẩn đánh giá về hệ thống ATTT đã được chuẩn hóa, công bố và công nhận trên toàn thế giới

III Mục đích, nhiệm vụ nghiên cứu

Trong khuôn khổ của đề tài, tác giả tập trung vào nghiên cứu các vấn đề sau:

- Nghiên cứu về an toàn an toàn thông tin, mật mã

- Nghiên cứu các nguy cơ mất an toàn thông tin trên mạng

- Nghiên cứu hệ thống tiêu chuẩn đánh giá hệ thống an toàn thông tin, cụ thể ở đây là 2 tiêu chuẩn Common Criteria – CC và CEM

- Đề xuất biện pháp và giải pháp đánh giá hệ thống an toàn thông tin

- Triển khai thử nghiệm đánh giá một số thành phần trong hệ thống thực tế

IV Phương pháp nghiên cứu

1 Phương pháp nghiên cứu tài liệu

2 Xây dựng chương trình demo

CHƯƠNG 1: TỔNG QUAN

1.1 Tổng quan về hệ thống thông tin

1.1.1 Khái niệm

Hệ thống thông tin (Information System - IS) là một tập hợp và kết hợp của các

phần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức

Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội

bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển

1.1.2 Các thành phần của hệ thống thông tin

Hệ thống thông tin thông thường được cấu thành bởi 5 thành phần chính là:

1.1.3 Các điểm yếu trong hệ thống thông tin

1.1.3.1 Điểm yếu về công nghệ

Điểm yếu về công nghệ bao gồm các điểm yếu về: giao thức, hệ điều hành, trang thiết bị mạng và cấu hình

a Điểm yếu trong giao thức

Để kết nối các hệ thống có nguồn gốc khác nhau thì những hệ thống này phải là

hệ thống mở Ví dụ như một client chạy hệ điều hành Windows muốn kết nối tới server chạy hệ điều hành Unix thì Windows và Unix phải có chung một kiến trúc hoạt động Điều đó có nghĩa là các giao thức hoạt động của Windows – Unix phải được chuẩn hóa; mà chuẩn hóa đồng nghĩa với việc phải công bố rộng rãi các đặc tả kỹ

thuật Mặt trái của việc công bố và áp dụng rộng rãi các tiêu chuẩn đó là các hacker có thể nghiên cứu và tìm ra các nhược điểm có trong các giao thức từ đó triệt để khai thác chúng để phá hoại hệ thống

Trong hệ thống các giao thức được sử dụng thì giao thức TCP/IP là một điểm yếu điển hình vì nó được thiết kế như một chuẩn mở để giúp cho việc trao đổi thông tin dễ dàng hơn Điều đó làm cho TCP/IP được sử dụng rộng rãi nhưng cũng dễ trở thành đích nhắm của các Hacker vì hầu hết mọi người đều thân thuộc với cách thức làm việc của TCP/IP Hai giao thức mà Cisco thích lựa chọn trong họ giao thức TCP/IP nhưng vốn cố hữu không được an toàn là SMTP (TCP) và SNMP (UDP) Điển hình của kỹ thuật tấn công vào hai giao thức này là IP spoofing, man-in-the-middle và session replay Ngoài ra còn những giao thức khác cũng tồn tại điểm yếu có thể bị lợi dụng như: giao thức LDAP, giao thức DHCP, giao thức Telnet, giao thức ICMP và đặc biệt là giao thức DNS đã và đang là đích nhắm tấn công của rất nhiều tin tặc, để lại những hậu quả nặng nề cho hoạt động chung của Internet

b Điểm yếu trong hệ điều hành

Hệ điều hành là phần mềm cơ bản của các máy tính, tuy nhiên chúng còn tồn tại những vấn đề tiềm ẩn mà thông qua đó Hacker có thể lợi dụng để khai thác và tấn công hệ thống Hiện nay có khá nhiều dạng hệ điều hành nhưng đa số thị phần chỉ thuộc về một vài hãng nổi tiếng và trong số đó những hệ điều hành (HĐH) chạy trên máy chủ có ảnh hưởng quan trọng đến an ninh mạng như: Unix, Linux, Windows Hầu hết máy PC đều cài đặt các phiên bản Windows nên nhiều Hacker sẽ hướng đích nhắm tấn công vào sản phẩm này của hãng Microsoft Do đó, tác hại của các cuộc tấn công vào HĐH này có khả năng nhân rộng và nhanh hơn vào các cuộc tấn công vào các HĐH khác

c Điểm yếu trong các trang thiết bị hạ tầng mạng

Hầu hết các thiết bị mạng như server, client, switch, router, … đều có điểm yếu trong an toàn Hacker có thể lợi dụng những điểm yếu này để thực hiện tấn công vào

hệ thống như tấn công ARP, tấn công theo kiểu man-in-the-middle, … Nếu có một chính sách tốt cho việc cấu hình và lắp đặt cho các thiết bị mạng sẽ làm giảm đi rất nhiều sự ảnh hưởng của điểm yếu này Ví dụ như với Cisco – một hãng cung cấp thiết

bị mạng hàng đầu thế giới Trong cuộc kiểm tra nội bộ, Cisco đã phát hiện được những thiết bị định tuyến của họ chạy HĐH liên mạng IOS (Internet Operating System) có thể bị tấn công kiểu từ chối dịch vụ Bằng việc khai thác kẽ hở trên, hacker có thể gửi những gói tin trực tiếp tới một thiết bị của Cisco và đánh lừa bộ định tuyến, khiến cho thiết bị này ngừng kiểm soát các kênh dữ liệu và buộc phải khởi động lại

d Điểm yếu khi cấu hình

Đây là lỗi do nhà quản trị tạo ra Các lỗi này do sự thiếu sót trong việc cấu hình: không an toàn tài khoản khách hàng, hệ thống tài khoản với password dễ dàng đoán

biết, không an toàn các cấu hình mặc định trên thiết bị hay lỗi trong việc cấu hình thiết

bị

 Tài khoản người dùng không an toàn

Mỗi user account cần có username và password cho mục đích an toàn Các username và password này thường được truyền đi ở dạng clear text trên mạng Do đó, cần có chính sách an toàn user account như mã hóa, xác thực …

 Tài khoản hệ thống đặt mật khẩu dễ đoán

Một điểm yếu trong lỗi cấu hình khác là an toàn account với password dễ dàng

bị đánh cắp Để ngăn chặn tình trạng đó, người quản trị cần có chính sách để không cho phép một password có hiệu lực mãi mãi mà password này phải có một thời hạn kết thúc

 Dịch vụ Internet bị lỗi cấu hình

Một vài công ty đã sử dụng địa chỉ thật trên mạng Internet để đánh địa chỉ cho host và server Điều này tạo nên điểm yếu mà các hacker sẽ dễ dàng khai thác thông tin

Sử dụng giao thức NAT hoặc PAT có thể giải quyết các vấn đề trên Sử dụng địa chỉ riêng cho phép đánh địa chỉ host và server mà không cần dùng địa chỉ thật trên mạng, trong khi địa chỉ thật thì được border Router định tuyến ra mạng Internet Thế nhưng đây chưa phải là biện pháp tối ưu Port trên interface kết nối ra Internet phải ở trạng thái mở cho phép user vào mạng internet và ngược lại Đó là lỗ hổng trên Firewall mà hacker có thể tấn công vào

 Thiết lập cấu hình mặc định trong các sản phẩm

Nhiều sản phẩm phần cứng được cung cấp mà không có password hoặc là password sẵn có giúp cho nhà quản trị dễ dàng cấu hình thiết bị, ví dụ như một số thiết

bị chỉ cần cắm vào là hoạt động Điều này sẽ giúp cho các hacker dễ dàng tấn công

Do đó, ta cần phải thiết lập một chính sách cấu hình an toàn trên mỗi thiết bị trước khi thiết bị được lắp đặt vào hệ thống mạng

 Cấu hình trang thiết bị mạng bị lỗi

Lỗi cấu hình thiết bị là một lỗ hổng có thể khai thác để tấn công mạng như: password yếu, không có chính sách an toàn hoặc không an toàn user account, … đều là lỗi cấu hình thiết bị

Phần cứng và những giao thức chạy trên thiết bị cũng tạo ra lỗ hổng an toàn trong mạng Nếu ta không có chính sách an toàn cho phần cứng và những giao thức này thì hacker sẽ lợi dụng để tấn công mạng

Hơn nữa, nếu sử dụng SNMP được mặc định thiết lập thì thông tin có thể bị đánh cắp một cách dễ dàng và nhanh chóng Do đó, để tăng tính an toàn, ta cần phải làm mất hiệu lực của SNMP hoặc là thay đổi mặc định thiết lập SNMP có sẵn

1.1.3.2 Chính sách yếu

Khi thiết kế một hệ thống mạng nào, bước đầu tiên cần nghĩ đến đó là chính sách đảm bảo an toàn cho hệ thống mạng đó Chính sách này không chỉ cho các trang thiết bị mà còn là chính sách áp dụng đối với toàn bộ những người sử dụng trong hệ thống mạng Nếu như chính sách an toàn yếu kém thì rất có cơ hội cho hacker tấn công khai thác hệ thống mạng

Điểm yếu trong chính sách bao gồm: Thiếu khi thiết đặt chính sách an toàn, sự cạnh tranh trong tổ chức, sự lỏng lẻo của người quản trị an toàn thông tin, không có kế hoạch khi muốn thiết lập và áp dụng chính sách cũng như kế hoạch phục hổi sau thảm họa, …

1.1.3.3 Điểm yếu từ người sử dụng

Người sử dụng, dù vô tình hay cố ý cũng có thể gây ra sự cố cục bộ hoặc toàn diện trong mạng với hậu quả là xâm hại đến dữ liệu của mình hoặc của người khác Sau đây là một số những kẽ hở lớn nhất do người sử dụng tạo nên mà một người đánh giá an toàn cần biết đến để có thể có các biện pháp đánh giá và hạn chế tương ứng

a Thư điện tử không rõ nguồn gốc

Ngay khi người sử dụng bất cẩn mở một thư điện tử không rõ nguồn gốc, hoặc các file đính kèm (kể các file ảnh, âm nhạc và file nén), hoặc các đường liên kết địa chỉ trên mạng Internet có trong thư điện tử thì nguy cơ tai họa đã nhân lên gấp bội Đó

là vì các hacker có thể gài sẵn các chương trình tấn công hoặc đánh lừa ngay trong những bộ phận nói trên

Ngày nay, thư điện tử là phương tiện tin học được sử dụng nhiều nhất bởi những người không chuyên làm tin học, do vậy cũng là cách đơn giản để phát tán, lây nhiễm virus và khủng bố bằng các phần mềm Theo báo chí, chỉ riêng trong khoảng năm 2007 – 2008 những vụ tấn công nổi tiếng như sâu Conficker, Sobig, Sasser, Blast, NetSky, … đã làm thiệt hại hàng chục tỷ đô la Mỹ Có thể kể ra hàng trăm trường hợp dẫn đến những mối đe dọa như vậy, trong đó, đặc biệt là hàng tỷ thư rác tung ra mỗi ngày trên Internet

b Thông tin cá nhân bị lộ

Việc đánh mất hoặc để lộ mật khẩu, tên đăng nhập hệ thống, số điện thoại, địa chỉ mạng của mình hoặc người khác (đối tác, bạn bè, …) đều tạo nên những kẽ hở rất

dễ bị kẻ xấu lợi dụng Những thông tin như thế thường nằm ngay trong máy tính, thư điện tử, file văn bản, sổ địa chỉ, sơ đồ mạng, … thậm chí trong cuốn lịch để bàn hoặc

sổ tay, ví tiền, túi sách của nhiều người sử dụng vô ý

Nếu máy tính của người sử dụng có nối mạng thì hacker cũng có thể tự tìm ra nhiều thông tin cá nhân chứ không chờ đợi sự vô ý của họ Hacker thường sử dụng các

công cụ phần mềm chuyên dụng như bộ quét (scanner), bộ dò (sniffer) và bộ phân tích (analyzer), … để làm việc đó Những phần mềm này có rất nhiều trên mạng Internet và phần lớn là miễn phí, cho nên hacker có thể dễ dàng tải nạp về dùng

c Kết nối mạng sai quy cách

Đôi khi người sử dụng do sơ ý hoặc không nắm vững quy trình thao tác trên mạng, nên đã kết nối đến những địa chỉ có vẻ bình thường nhưng thực chất là các bẫy nguy hiểm gài sẵn trên Internet, như vậy không khác gì tự dẫn thân nộp mạng cho hacker Một trong những thủ đoạn quen thuộc của họ là sử dụng các virus, trojan xâm nhập qua các trình gửi thư điện tử (Ví dụ: Outlook Express) hoặc các trình duyệt Web

để rình thời cơ tấn công, …

1.2 Các vấn đề chung an toàn thông tin

1.2.1 An toàn thông tin là gì?

An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất Hệ thống có một trong các đặc điểm sau

là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ) Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)

Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ

có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn Mục tiêu của an toàn trong công nghệ thông tin là đưa ra một

số tiêu chuẩn an toàn Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào

đó Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng Khi đánh giá độ

an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng

1.2.2 Các yêu cầu an toàn thông tin

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách và phương pháp đề phòng cần thiết Mục đích cuối cùng của an toàn là bảo vệ các thông tin và tài nguyên theo các yêu cầu sau:

- Đảm bảo tính tin cậy (Confidentiality): Thông tin không thể bị truy nhập trái

phép bởi những người không có thẩm quyền

- Đảm bảo tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làm

giả bởi những người không có thẩm quyền

- Đảm bảo tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sử

dụng cho người có thẩm quyền

- Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin được cam kết

về mặt pháp luật của người cung cấp

1.2.3 Các phương pháp bảo vệ an toàn thông tin

Được quy tụ vào 3 nhóm:

- Bảo vệ an toàn thông tin bằng các biện pháp hành chính

- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)

- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)

Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp Nội dung chính cần nghiên cứu sẽ là:

- An toàn Dữ liệu (Data Security)

- An toàn Cơ sở dữ liệu (CSDL) (Database Security)

- An toàn Hệ điều hành (Operation system Security)

- An toàn mạng máy tính (Network Security)

1.2.4 Một số giải pháp khắc phục điểm yếu

1.2.4.1 Đảm bảo an ninh cơ sở hạ tầng mạng

Cơ sở hạ tầng mạng là rất quan trọng và không thể thiếu trong bất kỳ hệ thống nào hiện nay Các thành phần của cơ sở hạ tầng mạng bao gồm nhiều thành phần như: Router, Switch, Firewall, … Do đó, việc cấu hình các thành phần và thiết bị này rất dễ gây ra lỗ hổng để các hacker tấn công

Đảm bảo an ninh, an toàn mạng sẽ bao gồm các giải pháp:

 Bộ định tuyến Router

- Kiểm tra các dịch vụ trên Router

- Kiểm tra cấu hình trên Router

 Bộ chuyển mạch Switch

- Kiểm tra cấu hình cơ bản trên Switch

- Một số cấu hình nâng cao trên Switch

 Thiết bị IDS/IPS

- Kiểm tra sơ đồ kết nối

- Giới hạn truy cập bằng ACL

- Kiểm tra giao thức truy cập để đảm bảo an ninh

- Cấu hình chế độ hoạt động

- Kiểm tra phiên bản HĐH, signature, virus

- Bật chức năng phát hiện/chống tấn công thăm dò

- Bật chức năng phát hiện/chống tấn công Dos

 Thiết bị tường lửa (Firewall)

- Quản lý cấu hình

- Tắt bỏ dịch vụ thừa

- Đảm bảo truy cập

- Quản lý truy cập và ngăn chặn tấn công

- Ghi nhận lại các log để kiểm tra

1.2.4.2 An ninh mật khẩu

Mật khẩu thường là một xâu, chuỗi hoặc một loạt các ký tự mà dịch vụ Internet, phần mềm, hệ thống máy tính yêu cầu người sử dụng nhập vào trước khi có thể tiếp tục truy cập vào hệ thống hoặc trước khi có thể tiếp tục sử dụng một số tính năng nhất định Do vậy, mật khẩu có mặt ở khắp các lĩnh vực và ứng dụng, nên vấn đề an ninh mật khẩu là một yếu tố rất quan trọng, nếu bị lộ mật khẩu thì kẻ xấu có thể lợi dụng và thực thi ý đồ xấu

Đảm bảo an ninh mật khẩu bao gồm các giải pháp sau:

- Kiểm tra cách đặt mật khẩu của người dùng (Password Guessing)

- Cách quản lý mật khẩu trên HĐH, phương pháp hash mật khẩu (Password Cracking)

- Kiểm soát các phương pháp crack mật khẩu để từ đó có cách đề phòng hữu hiệu

1.2.4.3 An ninh cho các máy chủ

Tùy thuộc vào môi trường và tính chất làm việc mà mỗi một hệ thống có thể bao gồm một hay nhiều máy chủ với các chức năng riêng biệt: máy chủ quản lý miền (Domain Controller), máy chủ DNS, máy chủ Mail, Web, máy chủ lưu trữ CSDL, …

Do vậy, mỗi máy chủ đều đóng một vai trò nhất định trong toàn bộ hệ thống Việc đánh giá an ninh máy chủ có ý nghĩa rất quan trọng trong việc góp phần đảm bảo an ninh tổng thể cho toàn hệ thống

Đảm bảo an ninh cho máy chủ bằng các giải pháp sau:

- Kiểm tra cập nhật bản vá lỗ hổng cho hệ điều hành và các ứng dụng

- Cấu hình phân quyền các tài khoản và thư mục ứng dụng trên máy chủ

- An ninh vật lý cho các máy chủ

1.2.4.4 An ninh ứng dụng Web

Thực tế ngày nay, các hoạt động giao dịch trực tuyến, thương mại điện tử, ngân hàng điện tử, tài chính ngân hàng, thị trường chứng khoán, … là rất phổ biến và là một trong các chiến lược phát triển của các cơ quan, doanh nghiệp Do đó, các vấn đề xoay quanh hệ thống Website là rất quan trọng Việc đảm bảo an ninh cho các ứng dụng Web là yếu tố mà rất nhiều doanh nghiệp quan tâm khi mà có rất nhiều lỗ hổng và nguy cơ tấn công liên quan đến Website

Các biện pháp đảm bảo an toàn cho Website như sau:

- Kiểm tra, đánh giá độ bảo mật an toàn thông tin trước nguy cơ tấn công dạng Cross Site Scripting,

- Kiểm tra, đánh giá độ bảo mật an toàn thông tin trước nguy cơ tấn công dạng XPath Injection, SQL-injection, PHP-injection, HTML code injection

- Kiểm tra, đánh giá độ bảo mật an toàn thông tin trước nguy cơ tấn công dạng HTTP Response Splitting, File Inclusion, Backdoors /Debug Options

- Kiểm tra, đánh giá độ bảo mật an toàn thông tin trước nguy cơ tấn công dạng Cookie Poisoning, Directory Traversal

1.3 Giới thiệu về các tiêu chuẩn đánh giá hệ thống an toàn thông tin 1.3.1 Chuẩn an toàn thông tin

Viện tiêu chuẩn của Anh đã công bố một danh sách gồm 10 điều kiện cần để kiểm tra việc triển khai các biện pháp an ninh cơ bản của một hệ thống như sau:

1 Chính sách an ninh (Security Policy): Cung cấp các nguyên tắc, chỉ dẫn

khuyến nghị để cải thiện an ninh thông tin

2 Tổ chức an ninh (Security Organization): Đề cập đến cơ cấu tổ chức quản

lý an ninh thông tin

3 Phân loại và kiểm tra tài sản (Asset Classification and Control): Thực

hiện việc kiểm kê tài sản thông tin, đánh giá rủi ro để bảo vệ thông tin một cách có hiệu quả

4 An ninh về nhân sự (Personnel Security): Mô tả trách nhiệm của nhân

viên, vai trò của các cá nhân trong an ninh thông tin, nhằm giảm thiểu các sai sót do lỗi của con người, do ăn cắp hoặc lạm dụng tài sản công

5 An ninh về môi trường và mức vật lý (Physical and Environmental Security): Định nghĩa, xác định mức độ an toàn về môi trường, vị trí lắp đặt hệ thống

giám sát, phòng chống cháy nổ, giảm thiểu thiên tai cho các thiết bị và tài sản thông tin

6 Quản lý tác nghiệp và thông tin liên lạc (Communications and Operations Management): Xác định và quản trị các quá trình thông tin, tạo điều kiện

cho hệ thống quản lý an ninh thông tin hoạt động có hiệu quả

7 Điều khiển truy nhập (Access Control): Các khuyến nghị nhằm đảm bảo

truy nhập thông tin có kiểm soát, ghi nhận (logging) quá trình truy nhập vào hệ thống

8 Phát triển hệ thống và bảo dưỡng (Systems Development and Maintenance): Đảm bảo các dự án, chương trình CNTT được xây dựng, thiết lập,

triển khai một cách an toàn thông qua quá trình kiểm tra mã nguồn, kiểm soát dữ liệu chương trình và sử dụng các giải thuật mã hóa

9 Quản trị tính liên tục trong kinh doanh (Business Continuity Management): Các khuyến nghị cho vấn đề phát triển và duy trì họat động kinh

doanh qua các kế hoạch sao lưu dự phòng và khôi phục dữ liệu (backup and disaster recovery plan)

10 Điều kiện tuân thủ (Compliance): Các vấn đề liên quan đến pháp lý, các

cam kết tuân thủ các quy định của chính phủ, nhà nước

1.3.2 Các tiêu chuẩn đánh giá an toàn thông tin

Trước tiên chúng ta tìm hiểu qua một số các tiêu chuẩn đánh giá an toàn thông tin thông dụng đang được áp dụng rộng rãi hiện nay

1.3.2.1 Quản lý an ninh thông tin (Information Security Management) theo tiêu chuẩn ISO 27001

Theo định nghĩa, an ninh thông tin (Information Security) nhằm đảm bảo ba thuộc tính (triad) được viết tắt từ 3 chữ CIA đó là: Tính bí mật (Confidentiality), Tính toàn vẹn (Integrity) và Tính sẵn sàng (Availability)

Nhu cầu thiết lập một chính sách an ninh thông tin dựa trên nền tảng một hệ thống quản lý an ninh thông tin ISMS (Information Security Management System) chuẩn hóa là vô cùng cần thiết, tiêu chuẩn ISO 27001 đã được chuẩn bị nhằm cung cấp một mô hình để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến Hệ thống quản lý an toàn thông tin (ISMS) Việc chấp nhận ISMS phải là quyết định mang tính chiến lược của một tổ chức Việc thiết kế và thực hiện ISMS của tổ chức chịu ảnh hưởng bởi các cần thiết và các mục tiêu, các yêu cầu an toàn, các quá trình

tuyển dụng, qui mô và cấu trúc của tổ chức Các yếu tố này cùng với các hệ thống hỗ trợ của chúng có thể xảy ra thay đổi theo thời gian Do đó việc thực hiện ISMS sẽ được tuỳ biến phù hợp với nhu cầu của tổ chức Ví dụ, một tình huống đơn giản yêu cầu một giải pháp ISMS đơn giản

Tiêu chuẩn này sử dụng cách tiếp cận theo quá trình để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến ISMS của một tổ chức

Tổ chức cần nhận biết và quản lý nhiều hoạt động nhằm thực hiện chức năng một cách hiệu quả Bất kỳ hoạt động nào sử dụng các nguồn lực và được quản lý nhằm biến các đầu vào thành các đầu ra được coi như một quá trình Thông thường các đầu

ra của một quá trình hình thành đầu vào trực tiếp cho quá trình tiếp theo

Việc áp dụng một hệ thống các quá trình của một tổ chức, đồng thời với việc nhận biết và tương tác giữa các quá trình đó, và việc quản lý chúng được xem như một cách tiếp cận theo quá trình

Tiếp cận theo quá trình của việc quản lý an toàn và an toàn thông tin thể hiện trong tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh tầm quan trọng của việc:

a) Thấu hiểu được nhu cầu và các yêu cầu về quản lý an toàn thông tin của tổ chức

và sự cần thiết thiết lập chính sách và các mục tiêu an toàn thông tin;

b) Các kiểm soát thực hiện và vận hành để quản lý các rủi ro an toàn thông tin của

tổ chức trong bối cảnh toàn bộ các rủi ro kinh doanh của tổ chức;

c) Theo dõi và xem xét tính thực hiện và hiệu lực của ISMS

d) Cải tiến liên tục trên cơ sở đo lường mục tiêu

Tiêu chuẩn này tuân theo mô hình "Plan-Do-Check-Act" (PDCA), mô hình này được áp dụng cho cấu trúc của mọi quá trình ISMS Hình 1.1 thể hiện cách tiếp nhận yêu cầu an toàn thông tin, và mong đợi của các bên liên quan và thông qua các hành động, quá trình cần thiết nhằm tạo ra các kết quả an toàn thông tin đáp ứng các yêu cầu

và mong đợi đó

VÍ DỤ 1:

Một yêu cầu có thể là sự vi phạm an toàn và an toàn thông tin sẽ không là nguyên nhân gây thiệt hại nghiêm trọng về tài chính và/hoặc gây nên tình trạng rắc rối của tổ chức

VÍ DỤ 2:

Trong trường hợp một sự cố nghiêm trọng xảy ra - ví dụ như hoạt động phá hoại trang kinh doanh điện tử của tổ chức – cần có những người được đào tạo thoả đáng về các thủ tục thích hợp nhằm giảm thiểu tác động

Plan (thiết lập ISMS): lập chính sách, mục tiêu, các quá trình và thủ tục của

ISMS phù hợp với việc quản lý rủi ro và cải tiến an toàn an toàn thông tin nhằm đạt được kết quả tuân theo các chính sách và mục tiêu của tổ chức

Do (Thực hiện và điều hành ISMS): Thực hiện và vận hành chính sách, các

kiểm soát, các quá trình và thủ tục của ISMS

Check (Theo dõi và xem xét ISMS): Đánh giá và khi thích hợp, đo lường thực

hiện quá trình so với chính sách, mục tiêu và kinh nghiệm triển khai áp dụng ISMS, báo cáo kết quả để lãnh đạo xem xét

Act (Duy trì và cải tiến ISMS) Thực hiện các hành động khắc phục phòng

ngừa dựa trên kết quả đánh giá nội bộ ISMS và xem xét của lãnh đạo cũng như các thông tin liên quan để thực hiện cải tiến liên tục hệ thống ISMS

Hình 1 1: Mô hình PDCA áp dụng cho quá trình xử lý ISMS

Tương thích với các hệ thống quản lý khác

Tiêu chuẩn này có mối liên kết với ISO 9001:2000 và ISO 14001:2004 nhằm

hỗ trợ việc thực hiện và vận hành thống nhất và tích hợp với các tiêu chuẩn quản lý liên quan Một hệ thống quản lý được thiết kế phù hợp có thể đáp ứng các yêu cầu của tất cả các tiêu chuẩn

Tiêu chuẩn này được thiết kế cho phép một tổ chức liên kết hoặc tích hợp ISMS với các yêu cầu hệ thống quản lý liên quan

1.3.2.2 Hệ thống tiêu chuẩn chung Common Criteria (CC)

a Tóm tắt lịch sử phát triển CC

Ta có thể tóm tắt lịch sử hình thành tiêu chuẩn CC như sau:

CC là tên viết tắt của cụm từ Tiếng Anh “Common Criteria for Information Technology Sercurity Evaluation” được hiểu như là “Tiêu chí chung cho đánh giá an toàn Công nghệ thông tin” Đây là một hệ thống tài liệu tiêu chuẩn đặc tả và đưa ra chuẩn chung bao gồm các khái niệm, thuật ngữ, phạm vi, khuôn mẫu, yêu cầu cũng như quan hệ giữa chúng, phục vụ cho công tác đánh giá sự phù hợp các sản phẩm an toàn Công nghệ thông tin

CC được hình thành và phát triển qua một thời kỳ khá dài dựa trên sự công nhận lẫn nhau về tiêu chuẩn của một số quốc gia phát triển về CNTT Vào tháng 12 năm 1999, CC chính thức trở thành tiêu chuẩn quốc tế ISO/IEC 15408 CC được chia làm ba phần riêng biệt nhưng thống nhất với nhau về mặt nội dung

- CC Phần 1: Giới thiệu chung và mô hình tổng quan: Đưa ra những định nghĩa

và thuật ngữ làm cơ sở cho những phần sau Định nghĩa và mô tả một số khái niệm trọng tâm xuyêt suốt trong cả ba phần CC

- CC Phần 2: Các yêu cầu chức năng an toàn: Đặc tả một tập các yêu cầu chức

năng an toàn làm khuôn mẫu xây dựng các tài liệu khác như Hồ sơ bảo vệ (PP), Chỉ tiêu an toàn (ST),…Có thể xem đây như là một bộ “từ điển” chứa các yêu cầu chức năng an toàn được phân lớp về nhiều lĩnh vực Dựa vào bộ “từ điển” này, tác giả PP/ST có thể lựa chọn để “nhặt” ra các yêu cầu chức năng an toàn phù hợp hoặc phối hợp giữa chúng để tạo nên PP/ST của họ

- CC Phần 3: Các yêu cầu đảm bảo an toàn: Phần này đặc tả một tập các yêu

cầu đảm bảo an toàn giúp xây dựng các tài liệu cũng như hướng dẫn cho công tác đánh giá Ngoài việc cung cấp các yêu cầu đảm bảo an toàn thì ở cuối Phần 3 đưa ra các tập hợp yêu cầu đảm bảo được tổ chức theo một cách đặc biệt gọi là các Mức đảm bảo đánh giá (EAL – Evaluation Assurance Level) CC mô tả tất cả 7 mức đảm bảo đánh giá mà sản phẩm sau khi đánh giá có thể đạt được

Lịch sử hình thành tiêu chuẩn CC được mô ta qua sơ đồ sau:

Hình 1 2: Sơ đồ lịch sử phát triển của CC

Việc ra đời của máy tính điện tử đã đưa đến sự ứng dụng nó ở khắp mọi nơi Tuy nhiên, khi nó được đưa vào sử dụng ở các cơ quan trọng yếu thì người ta đã đặt ra vấn đề là mức độ tin tưởng của các máy tính này ở mức độ nào? Hoa Kỳ là một trong những quốc gia đặt ra vấn đề cần phải đánh giá độ an toàn của hệ thống máy tính đầu tiên Từ năm 1983, Bộ Quốc phòng Hoa Kỳ (DoD) đã soạn thảo Tiêu chí kiểm định cho hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation

Criteria) hay vẫn được gọi với các tên thân thiện hơn là “Sách Da cam” Tiêu chí này

được xây dựng nhằm đưa ra các yêu cầu để bảo đảm về phần cứng, phần mềm và các đảm bảo đặc biệt khác của hệ thống máy tính cũng như đưa ra phương pháp luận tương ứng để phân tích mức độ hỗ trợ của chính sách an toàn trong các hệ thống máy tính dùng cho Bộ Quốc phòng Hoa Kỳ

Sau khi “Sách Da cam” được ban hành thì các nước Châu Âu đã soạn

thảo Tiêu chí kiểm định An toàn Công nghệ thông tin (ITSEC - Information Technology Security Evaluation Criteria) Tiêu chí này được bốn nước Anh, Pháp, Đức và Hà Lan xây dựng vào tháng 6 năm 1991 Mức độ an toàn của một hệ thống đánh giá theo tiêu chí này được chia làm 3 mức: cơ sở, trung bình và cao An toàn cơ

sở nếu phương tiện bảo vệ có khả năng chống lại các tấn công ngẫu nhiên đơn lẻ An toàn trung bình nếu các phương tiện bảo vệ có khả năng chống lại các tội phạm có tài nguyên và khả năng hạn chế An toàn ở mức cao nếu các phương tiện bảo vệ có khả năng vượt trội hơn các tội phạm có trình độ nghiệp vụ cao

TCSEC của Hoa Kỳ và ITSEC của Châu Âu có ảnh hưởng thực sự tới các tiêu chuẩn về an toàn và các phương pháp đánh giá an toàn cho các sản phẩm BM&ATTT sau này ITSEC được xây dựng trên cơ sở TCSEC nên nó không phải là tài liệu độc lập mà có sự liên quan mật thiết với “Sách Da cam”

Năm 1992, Ủy ban Kỹ thuật Quốc gia Nga, trực thuộc Phủ tổng thống Liên bang Nga đã ban hành các tài liệu hướng dẫn về các vấn đề bảo vệ chống lại các truy cập trái phép thông tin Nội dung của tài liệu đề xuất hai nhóm tiêu chí an toàn: Các chỉ số về mức bảo vệ an toàn cho các phương tiện kỹ thuật tính toán chống lại các truy cập trái phép và Các tiêu chí bảo vệ các hệ thống tự động hóa xử lý dữ liệu Nhóm thứ nhất cho phép đánh giá mức độ bảo vệ do người dùng đặt ra một cách đơn lẻ và nhóm thứ hai tính đến các hệ thống đầy đủ các chức năng xử lý dữ liệu Việc xây dựng các tài liệu hướng dẫn của Ủy ban Kỹ thuật Quốc gia Nga bước đầu đã tạo ra các tiêu chuẩn nội địa trong lĩnh vực an toàn thông tin cho Liên bang Nga Tài liệu này cũng chịu ảnh hưởng của “Sách Da cam” Nhược điểm của các tài liệu tiêu chuẩn này là không có các yêu cầu về chống hiểm họa đối với khả năng làm việc, không có sự định hướng chống xâm nhập trái phép và không có các yêu cầu về mức bảo đảm thực thi chính sách an toàn Tuy nhiên, tài liệu này cũng đã lấp được chỗ trống về mặt luật pháp trong lĩnh vực tiêu chuẩn cho an toàn thông tin ở Liên bang Nga vào giai đoạn

đó

Dựa vào rất nhiều nghiên cứu về lĩnh vực an toàn thông tin trong những năm 80

và đầu những năm 90 cũng như dựa vào kinh nghiệm áp dụng “Sách Da cam”, Hoa Kỳ

đã ban hành bộ Tiêu chuẩn xử lý thông tin Liên bang (FIPS – Federal Information Proccessing Standard) trong đó có Tiêu chi Liên bang về an toàn công nghệ thông tin (FCITS – Federal Criteria for Information Technology Security) Đối tượng cơ bản

sử dụng tiêu chí này là các sản phẩm CNTT và các hệ thống xử lý thông tin Một khái niệm mới và quan trọng đã được dùng là “Hồ sơ bảo vệ” (Protection Profiles) Hồ sơ bảo vệ là một dạng tài liệu chuẩn quy định tất cả các mặt an toàn của một sản phẩm CNTT dưới dạng các yêu cầu về thiết kế, công nghệ thiết kế và phận tích đánh giá Thông thường một Hồ sơ bảo vệ mô tả một vài sản phẩm CNTT gần giống nhau về cấu trúc và công dụng Tiêu chí này đánh dấu sự xuất hiện của một thế hệ mới các tài liệu hướng dẫn trong lĩnh vực an toàn thông tin

Tháng giêng, năm 1982, Canada đã cho ban hành Tiêu chí Canada cho việc đánh giá độ tin cậy của hệ thống máy tính (CTCPEC - Canadian Trusted Computer Product Evaluation Criteria) Tiêu chí này đề xuất một thang đo chung để đánh giá tính

an toàn của các hệ thống máy tính, cho phép so sánh các hệ thống xử lý thông tin mật

về mức độ đảm bảo an toàn Tạo cơ sở cho việc sử dụng an toàn các hệ thống máy tính nhằm hướng dẫn cách xác định các thành phần chức năng của phương tiện bảo vệ khi thiết kế các hệ thống Tiêu chí cũng đề xuất cách tiếp cận thống nhất các phương tiện chuẩn để mô tả các đặc tính của hệ thống máy tính

Từ tháng 6 năm 1993, với mục đích khắc phục những khác biệt về quan niệm

và kỹ thuật của các tiêu chí đánh giá mức độ an toàn cho các sản phẩm CNTT, nhằm tạo ra một tiêu chuẩn quốc tế, một dự án xây dựng tiêu chí chung để đánh giá độ an toàn của các sản phẩm CNTT đã được thành lập Tiêu chí chung để đánh giá các sản phẩm an toàn CNTT (Common Criteria for Information Technology Security Evaluation) thường được gọi tắt là “Tiêu chí chung” (CC) đã ra đời dựa trên các tiêu chí trước đó của Hoa Kỳ, Canada và Châu Âu CC đã chính thức trở thành tiêu chuẩn quốc tế ISO/IEC 15408:1999 vào năm 1999 Qua quá trình phát triển, rất nhiều phiên bản của CC đã ra đời để khắc phục dần những điểm không thích hợp trong công tác đánh giá cũng như tương thích với tình hình phát triển của công nghệ thông tin Hiện tại, CC phiên bản 3.1 được coi là phiên bản dùng để đánh giá chính thức các sản phẩm

 03/2005 phiên bản CC 3.0 xuất bản

 12/2006 phiên bản CC 3.1 xuất bản

Như vậy, chỉ trong vòng 10 năm phát triển CC đã đưa ra rất nhiều phiên bản của mình, thể hiện được sự phát triển nhanh chóng của ngành đánh giá Hiện nay, phiên bản mới nhất là CC 3.1, nhưng chưa được sử dụng rộng rãi, chúng ta thường dùng phiên bản 2.3 vì thói quen cũng như độ chín muồi của nó Nhưng các tổ chức chuẩn chung đang hướng chúng ta dùng CC 3.1 với nhiều lần chỉnh sửa và bổ sung Hiện nay có rất nhiều tài liệu hướng dẫn cách sử dụng CC từ phiên bản 2.3 lên 3.1

1.3.2.3 Phương pháp luận cho đánh giá an toàn (CEM)

a Tổng quát về CEM

CEM viết tắt của cụm từ tiếng anh (Common Methodology for Information Security Evaluation) là tài liệu bao gồm hệ thống các nguyên tắc, các thủ tục, các tiến trình cơ bản để có thể tiến hành đánh giá một SPATCNTT CEM là tài liệu hướng dẫn Tiêu chuẩn chung CC đánh giá sự phù hợp về an toàn mà chỉ dùng Tiêu chí và các chứng cứ để đánh giá CEM giúp giảm hành vi đánh giá thừa, giảm chi phí đánh giá, cho ra kết quả đánh giá duy nhất khi đánh giá độc lập một sản phẩm ở những nơi khác nhau

Phiên bản đầu tiên của CEM ra đời năm 1999 phiên bản CEM 1.0, tiếp đến

CEM 2.2 năm 2004 và CEM 2.3 tháng 8/2005 Hiện nay đã có CEM 3 1

CEM 2.3 được viết phục vụ nhằm vào việc hướng dẫn đánh giá Tiêu chí chung

CC 2.3 Nó được viết bởi Ban Quản Lý Thi Hành Tiêu chí Chung viết tắt CEMEB Hiện nay nó mới được viết để hướng dẫn đánh giá EAL1 đến EAL4, các mức cao hơn đang được CEMEB tiến hành viết Nếu đánh giá qua mức cao thì nó đã qua ở mức thấp hơn CEM luôn thoả mãn bốn tính chất lớn: Tính vô tư, Tính khách quan, Tính lặp lại tái tạo, Tính mạnh của những kết quả

b Các phép toán trên thành phần

Các thành phần đảm bảo và chức năng của CEM có thể được dùng chính xác như đã định nghĩa trong CC hoặc có thể được dùng qua các phép toán mở rộng của CEM để thỏa mãn một mục tiêu an toàn Các phép toán đó là:

Iteration: Phép lặp cho phép một thành phần được sử dụng nhiều hơn một lần

với các phép toán khác nhau

Assignment: Phép gán cho phép đặc tả các tham số

Selection: Phép lựa chọn cho phép đặc tả một hoặc nhiều mục từ một danh

sách

Renewal: Phép cải tiến cho phép thêm các chi tiết

Nó được dùng khi muốn bao hàm các khía cạnh khác nhau của cùng một yêu cầu (ví dụ định danh một hoặc nhiều kiều người đùng) Iteration được dùng ở mức thành phần yêu cầu, không nhất thiết phải nhắc lại toàn bộ văn bản mà chỉ cần nhắc lại những phần yêu cầu có sự thay đổi

Một số thành phần có các phần tử mà chứa các tham số cho phép tác giả PP/ST chỉ rõ tập các giá trị để hợp nhất vào PP hoặc ST để thỏa mãn một mục tiêu an toàn Những phần tử này rõ ràng xác định mỗi tham số và buộc phải gián tiếp các giá trị cho tham số đó

Kết luận: CEM đã đưa ra 4 phép toán mở rộng nhằm nâng cao sự bao quát khía

cạnh an toàn cho Tiêu chí CC, nó bổ sung sự chặt chẽ và trình bày khoa học những vấn đề an toàn mà CC không bao phủ được Chúng ta có thể nói 4 phép toán này làm tăng giá trị của CEM, chẳng những CEM dùng để hướng dẫn đánh giá mà chúng còn đưa ra 4 phép toán bao phủ khía cạnh an toàn mà CC không thể bao phủ hết

 Các thuật ngữ và định nghĩa

Hành động: Phần tử hành động nhà đánh giá trong phần 3 của CC Các hành

động này được nêu rõ ràng như các hành động nhà đánh giá hoặc lấy từ các hành động nhà phát triển (hàm là các hành động người đánh giá) trong các thành phần đảm bảo phần 3 của CC

Hoạt động: Sự áp dụng của lớp đảm bảo an toàn trong CC phần 3

Báo cáo kĩ thuật ETR: Báo cáo nêu lên phán quyết toàn thể và những lý lẽ đợi

người đánh giá cung cấp và gửi cho người quan sát

Khảo sát: Để sinh ra một phán quyết bằng cách phân tích dựa trên những ý

kiến chuyên môn của người đánh giá Báo cáo dùng động từ này sẽ xác định cái gì được phân tích và các thuộc tính của cái được phân tích

Tác vụ và tiểu tác vụ: Đây là công việc đánh giá cụ thể CEM mà nó không

nhận trực tiếp từ những yêu cầu của CC

Sự thể hiện: Việc làm cho dễ hiểu hoặc mở rộng CC, CEM hay yêu cầu kế

hoạch

Báo cáo quan sát OR: Báo cáo do người đánh giá viết để yêu cầu làm rõ hoặc

xác định một vấn đề trong suốt quá trình đánh giá

Phán quyết toàn thể: Kết luận “qua”, “không qua” hay “không kết luận được”

của người đánh giá đối với kết quả đánh giá

Phán quyết giám sát: Kết luận người giám sát xác thực hay không chấp thuận

một phán quyết toàn thể dựa trên các kết quả của các hoạt động quan sát đánh giá

Bản ghi: Để lưu lại một cách đầy đủ chi tiết sự mô tả về các thủ tục, sự kiện, sự

quan sát, sự hiểu biết và các kết quả để cho phép công việc được thực hiện trong quá trình đánh giá sau này có thể khôi phục lại

Tóm tắt chương:

Một thực tế là không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là đầy đủ Một hệ thống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối Do nhu cầu và tốc độ phát triển của ngành CNTT, nên hầu hết các hệ thống thông tin hiện nay đều là các hệ thống được kết nối với nhau Do đó, môi trường khó bảo vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ xâm nhập nhất đó là môi trường mạng và truyền tin Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều rào chắn đối với các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong máy tính, đặc biệt là các server trên mạng Bởi thế ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường truyền mọi cố gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong cho các hệ thống kết nối vào mạng Ở đây, để xem xét, đánh giá một

hệ thống an toàn đến mức nào thì tác giả đề xuất ra một số giải pháp đánh giá dựa trên các tiêu chuẩn đánh giá đã được thế giới công nhận

CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG

AN TOÀN THÔNG TIN

2.1 Tiêu chuẩn chung Common Criteria - CC

2.1.1 Khái niệm và mô hình chung của CC

2.1.1.1 Phạm vi và ngoài phạm vi của CC:

a Phạm vi của CC:

CC được viết nhằm tới 3 đối tượng chính đó là nhà đánh giá, khách hàng và nhà phát triển và ba đối tượng trên hoàn toàn độc lập với nhau

- Khách hàng: Là tất cả những đối tượng sử dụng SPATCNTT và đưa ra những

yêu cầu an toàn cho SPATCNTT họ cần Khách hàng chính là tác giả viết PP

1 Khách hàng sử dụng những kết quả đánh giá khác nhau để so sánh độc lập mức độ an toàn của SPATCNTT Giúp họ lựa chọn SPATCNTT mà họ cần Kết quả đánh giá là quá trình phân tích sự mạo hiểm và chính sách an toàn

có tổ chức

2 CC còn hướng dẫn để khách hàng có thể tự thiết lập một Hồ sơ bảo vệ mô tả những yêu cầu an toàn mà họ cần làm cơ sở cho nhà phát triển đáp ứng nhu cầu, bằng cách thi hành và xây dựng SPATCNTT đáp ứng yêu cầu an toàn

đó

3 CC giúp khách hàng thi hành những biện pháp an toàn đối phó với việc mất

an toàn đối với SPATCNTT bằng công nghệ hoặc từ phía người dùng

- Nhà phát triển: Là những nhà phân tích, cung cấp và tạo ra SPATCNTT

1 CC giúp nhà phát triển chuẩn bị điều kiện để đánh giá SPATCNTT của họ tạo ra

2 Giúp họ xác định những yêu cầu an toàn sẽ thỏa mãn yêu cầu an toàn mà khách hàng đặt ra Những yêu cầu này chứa đựng trong sự thực thi và xây dựng ST ST xây dựng dựa vào những yêu cầu an toàn của khách hàng trong

PP Như vậy, nhà phát triển là tác giả viết nên ST

3 Đặc biệt qua kết quả đánh giá nhà phát triển có thể thấy những điểm thiếu sót của SPATCNTT mà trước đó họ không biết, để khắc phục cho ra SPATCNTT hoàn thiện và tốt hơn

- Nhà đánh giá: Là cơ quan sử dụng tiêu chuẩn CC, phương pháp luận và thí

nghiệm để đánh giá

1 Nhà đánh giá có trách nhiệm trả lời câu hỏi khi nào quyết định về sự phù hợp của SPATCNTT tới những yêu cầu an toàn đặt ra

Đặc tả SPATCNTT Phát triển SPATCNTT

Cấp chứng chỉ Đánh giá chương trình

CC

2 CC mô tả những hoạt động chung của nhà đánh giá sẽ thực hiện

3 CC không chỉ rõ những thủ tục kèm theo để thực hiện hành động đánh giá

4 Giúp nhà đánh giá quyết định câu trả lời về sự phù hợp của SPATCNTT

- Những đối tượng khác: CC hướng vào sự thuyết minh và sự đánh giá những

thuộc tính an toàn của SPATCNTT Nó cũng rất hữu ích cho ai có trách nhiệm hoặc quan tâm đến lĩnh vực đánh giá SPATCNTT

1 Cơ quan chứng nhận đánh giá: Họ dựa vào kết quả đánh giá để cấp chứng nhận sản phẩm đó

2 Nhà quản trị hệ thống: Sẽ hoạch định yêu cầu an toàn cho tổ chức của họ …

3 Nhà bảo trợ đánh giá (Sponsor): Cung cấp bằng chứng và đưa ra những yêu cầu đánh giá cho nhà đánh giá

Hình 2 1: Đặc tả đối tượng quanh CC

b Ngoài phạm vi của CC:

CC không bao hàm phương pháp luận đánh giá, đánh giá module mật mã, những biện pháp đối phó an toàn vật lý và những ứng dụng từ con người như: thủ tục hành chính, việc cấp chứng chỉ, xử lý việc, sắp đặt thủ tục đánh giá, các thủ tục công nhận lẫn nhau kết quả đánh giá của CCRA

1 Thủ tục hành chính là những quy định về pháp luật, hay đó là hành lang pháp lý của riêng từng quốc gia để đưa ra thủ tục hành chính riêng cho quốc gia đó Vì vậy, CC là chuẩn chung nên không thể bao hàm hành lang pháp lý riêng của từng quốc gia

2 Một vấn đề của CC đó là không bao hàm đánh giá các module mật mã, trước đây tiêu chuẩn của Liên bang Nga đã đề cập tới Vì module mật mã đã có tiêu chuẩn riêng dùng đánh giá nó Mỹ và Canada đã đưa ra tiêu chuẩn đánh giá các thuật toán mật mã và nó đã chuẩn hóa thành FIPS 140, hiện nay có rất nhiều quốc gia đã tham gia chuẩn này

2.1.1.2 Định nghĩa SPATCNTT và đích đánh giá TOE

a Sản phẩm an toàn CNTT:

SPATCNTT là những sản phẩm CNTT (là một thực thể CNTT mà nhà phát triển hoặc chủ nhân đặt giá trị lên nó) như phần cứng (hardware), phần mềm (software), phần sụn (firmware) được tạo ra nhằm bảo vệ an toàn cho chủ thể nào đấy Đơn giản là những ứng dụng an toàn nào đó được thiết kế cài đặt với những yêu cầu an toàn được đặt ra Ví dụ: hệ thống tường lửa (Firewall), hệ điều hành an toàn, hệ thống phòng chống xâm nhập IPS …

b Đích đánh giá TOE:

TOE (Target Of Evaluation): Chính là một phần hoặc SPATCNTT cụ thể khi đưa ra đánh giá, nó bao gồm cả tài liệu đi kèm hướng dẫn đánh giá và sử dụng TOE là SPATCNTT nguyên thủy, tức bản thân nó phát triển làm nhiệm vụ an toàn chứ không phải là các sản phẩm khi cấu hình, cài đặt để sinh ra an toàn Ví dụ: hệ thống tường lửa (Firewall), hệ điều hành an toàn, hệ thống phòng chống xâm nhập IPS …

Sản phẩm hoặc hệ thống là đối tượng của việc đánh giá Việc đánh giá nhằm để xác nhận các tuyên bố về mục tiêu Để được sử dụng thực tế, việc đánh giá phải xác minh tính năng bảo mật của mục tiêu Điều này được thực hiện thông qua các biện pháp sẽ trình bày sau đây

2.1.1.3 Hồ sơ bảo vệ (PP), Đích an toàn (ST) và mối quan hệ giữa chúng

Đây là những định nghĩa quan trọng nhất ở phần 1 của nội dung CC, nó xuyên suốt quá trình phân tích và đánh giá SPATCNTT, khái niệm PP mãi đến Tiêu chuẩn của Liên bang Mỹ mới đưa ra, mang một ý nghĩa lớn, đột phá trong ngành đánh giá, là

cơ sở để CC đưa ra tiếp định nghĩa ST và TOE

PP mô tả hợp lý về các mối đe dọa cần được xác định trước và dự tính phương pháp sử dụng SPATCNTT Trong khi xây dựng Hồ sơ bảo vệ, việc thêm vào các thuộc tính an toàn phải được cân nhắc kỹ giữa yêu cầu chức năng an toàn và đảm bảo an toàn

PP dùng để trả lời câu hỏi: Tôi dùng giải pháp nào an toàn?

b Đích an toàn (ST – Security Target):

Là tổ hợp hoàn chỉnh của những mục tiêu an toàn, những yêu cầu chức năng an toàn và đảm bảo an toàn, những thuyết minh an toàn được sử dụng làm cơ sở đánh giá nhận dạng TOE

Là những thi hành đáp lại những yêu cầu đòi hỏi về an toàn trong PP Việc thi hành hoàn toàn phụ thuộc vào cài đặt và vận hành SPATCNTT cụ thể Ví dụ: ST của Windows 2003 phụ thuộc vào các dạng thuộc tính an toàn Windows 2003 Cung cấp việc thiết kế hợp nhất những đặc tính, những hàm, những cơ chế an toàn để chống lại những đe dọa, đáp ứng những yêu cầu đòi hỏi trong PP

ST đi phân tích những yêu cầu an toàn trong PP, hướng PP đến sản phẩm cụ thể

là TOE Dùng để trả lời câu hỏi:

- Bạn cung cấp một giải pháp an toàn như thế nào để đáp ứng những yêu cầu an toàn trong PP?

- Tác giả ST là ai?: Là nhà phát triển

- Đánh giá ST: tức là đánh giá liệu sự đảm bảo an toàn tồn tại trong TOE có tuân theo chính sách an toàn đích đánh giá TSP (TOE Security Policy) Khảo sát những chức năng an toàn, có đầy đủ và hợp lý không Kết quả của đánh giá ST

là việc đưa ra những mô tả về phạm vi TOE chấp nhận tuân theo những yêu cầu

an toàn

Mối quan hệ giữa PP, ST, TOE:

Hình 2 2: Mối quan hệ PP, ST và TOE

Qua mô hình cho ta thấy rất rõ một PP chứa nhiều ST và mỗi ST tương ứng với một TOE Từ tổng quát không hình thức, CC đã xây dựng nên PP một cách tổng quát,

ST đi vào phân tích PP, hướng PP tới SPATCNTT cụ thể là TOE TOE được tạo ra trên cơ sở sự phân tích an toàn trong ST Vậy để có SPATCNTT tốt thì khách hàng cần có một PP đầy đủ những yêu cầu an toàn, Nhà phân tích viết ST phải phân tích đầy

đủ yêu cầu an toàn và có thể bổ sung thêm yêu cầu an toàn nếu thấy cần thiết, hướng những yêu cầu này thành những câu lệnh, quy tắc để người xây dựng TOE thực hiện

Người đánh giá sẽ có trách nhiệm đánh giá, kiểm định những yêu cầu an toàn

đó có đầy đủ, chắc chắn, cài đặt, thi hành và xem PP ST, TOE có tuân thủ TSP đến mức nào

Kết luận: Như vậy một SPATCNTT khi được đánh giá sẽ dùng hình thức đánh giá là:

dùng tiêu chí CC và phương pháp luận CEM để đánh giá PP/ST và sau đó đưa TOE vào phòng thí nghiệm để kiểm định cho ra kết quả đánh giá, kết quả đánh giá được cơ quan cấp thẩm quyền sử dụng làm bằng chứng cấp chứng chỉ Đánh giá SPATCNTT phụ thuộc rất nhiều vào việc chọn Tiêu chuẩn đánh giá và Phương pháp luận đánh giá Việc đánh giá, kiểm định và chứng nhận SPATCNTT nằm ở hai cơ quan tách bạch và gồm 4 khâu cơ bản: (1) đánh giá Hồ sơ bảo vệ PP; (2) đánh giá Đích an toàn ST; (3) đưa Đích đánh giá TOE vào kiểm định trong phòng thí nghiệm; (4) cấp chứng chỉ công nhận Đồng thời, từ mô hình trên ta thấy mức độ tinh tế của CC, nó phân tích SPATCNTT theo thuật toán chia để trị CC phân tích sản phẩm theo hướng (Top - Down) từ PP đến TOE Đây là kiểu phân tích truyền thống được CC áp dụng triệt để

2.1.1.4 Những chính sách an toàn tổ chức, Những đe dọa, Những giả định, Môi trường đánh giá

a Chính sách an toàn có tổ chức:

Là tập các thiết lập, quy tắc thủ tục, thi hành và những nguyên tắc chỉ đạo để chống lại những đe dọa Là những hành động, thao tác mà bắt buộc TOE tuân theo TSP

b Những đe dọa:

Là những đối tượng công khai hoặc tiềm ẩn có khả năng gây mất an toàn, tổn thương đến thông tin, bao gồm tất cả hoàn cảnh hoặc sự kiện gây ra thiệt hại một cách tiềm tàng tới SPATCNTT như: sự phá hủy, sự tiết lộ, sự chỉnh sửa dữ liệu hoặc từ chối dịch vụ Đi sâu từng đe dọa ta sẽ có hiểm họa cụ thể đối với SPATCNTT Các hiểm họa được chia làm ba chủng loại: (1) hiểm họa đe dọa đến tính bí mật của thông tin, (2) hiểm họa đe dọa đến tính toàn vẹn của thông tin, (3) hiểm họa đe dọa đến khả năng chối bỏ dịch vụ hay tổng quát hơn là tính sẵn sàng

c Những giả định:

Là những đe dọa tiềm ẩn hoặc công khai dựa vào môi trường để nâng lên thành mức giả định hay ở mức đe dọa cao nhất, có thể hiểu sự giả định về an toàn SPATCNTT giúp nhà phân tích đưa ra giải pháp an toàn tối ưu cho SPATCNTT

2.1.1.5 Môi trường an toàn và sự khắc phục những đe dọa tới môi trường

Gồm môi trường phát triển và môi trường sử dụng Trong môi trường phát triển

và sử dụng chúng ta phân chúng làm 2 loại đó là môi trường CNTT và phi CNTT:

Môi trường CNTT: Là môi trường đặt TOE vào hoạt động trong môi trường CNTT

hay sản phẩm CNTT ảnh hưởng đến TOE

Môi trường phi CNTT: Bao gồm lĩnh vực môi trường tự nhiên như: địa lý, kinh tế,

chính trị, bao gồm: điều kiện tự nhiên phù hợp để phát triển CNTT, hành lang pháp lý, các Tiêu chuẩn đánh giá (TCSEC, CC …), các quy tắc để phát triển sản phẩm an toàn,

kỹ thuật sáng chế …

Khắc phục những đe dọa tới môi trường: Nhà phát triển và nhà đánh giá hướng

người sử dụng SPATCNTT theo tài liệu hướng dẫn để SPATCNTT của họ đạt mức cao nhất, đảm bảo SPATCNTT của họ tránh được tác nhân đe dọa từ người dùng Còn tác nhân đe dọa tiềm ẩn do cố tình hoặc vô ý là những rủi ro tồn tại trong sản phẩm Ví dụ: thiếu sót của sản phẩm, lỗi do chính phần mềm lập trình hoặc nhà phát triển cố tình cài đặt mã ác ý vào trong sản phẩm Tất cả các yếu tố này cần phải được khắc phục để

Hình 2 4: Phân tích để đưa ra mục tiêu an toàn

Mô hình an toàn tổng thể của một SPATCNTT phụ thuộc vào các yếu tố sau:

Một là: Những đe dọa tiềm ẩn hoặc công khai trực tiếp trên sản phẩm (đây có

thể là đe dọa vô hình hoặc vô ý của nhà phát triển SPATCNTT gây nên những thiếu sót của sản phẩm…)

Hai là: Những chính sách an toàn có tổ chức

Ba là: Những giả định về an toàn

Từ (1) những đe dọa kết hợp (2) chính sách an toàn (3) chúng ta đưa ra (4) mục tiêu an toàn cho TOE Từ mục tiêu an toàn chúng ta đưa ra (6) yêu cầu an toàn Yêu cầu an toàn đó phân ra làm hai yêu cầu, đó là (9) yêu cầu chức năng an toàn và (10) yêu cầu đảm bảo an toàn Đây là đích cuối cùng mà sản phẩm bắt buộc tuân theo Từ (1) những đe dọa, (2) những chính sách an toàn về kết hợp với giả định chúng ta đưa

ra được (5) mục tiêu bao quanh SPATCNTT

Như vậy CC đã cung cấp cho chúng ta khung khoa học đưa ra những yêu cầu

an toàn tổng thể cho sản phẩm chúng ta cần thiết kế Đó là yêu cầu chức năng an toàn, yêu cầu đảm bảo an toàn, yêu cầu an toàn môi trường CNTT và yêu cầu an toàn cho môi trường phi CNTT Vậy để có SPATCNTT tốt thì tất cả các đe dọa phải được đưa

Đe dọa

(1)

Những chính sách an toàn có tổ chức (2)

Những giả định (3)

Những mục tiêu

an toàn cho TOE

(4)

Những mục tiêu an toàn bao quanh sản phẩm

(5)

Những yêu cầu an toàn cho Môi trường phi CNTT (8)

Những yêu cầu an toàn cho môi trường CNTT

(7)

Những yêu cầu an

toàn TOE (6)

Đặt TOE vào yêu cầu

Những yêu cầu chức năng an toàn

Những yêu cầu đảm bảo an toàn

2.1.1.7 Mức đảm bảo đánh giá EAL

Sau khi SPATCNTT được đánh giá thành công thì sẽ được xếp mức đảm bảo đánh giá Hay mức đảm bảo đánh giá là tập hợp các thành phần chức năng an toàn và đảm bảo an toàn được kết hợp để thỏa mãn một tập con các mục tiêu an toàn xác định Mức đảm bảo đánh giá được gán cho SPATCNTT sau quá trình đánh giá thành công Qua mức đánh giá khách hàng có thể biết được SPACNTT có đáp ứng được yêu cầu đòi hỏi của họ không và sản phẩm đó an toàn đến mức nào

Hình 2 5: Mô hình đưa ra mức đánh giá

2.1.1.8 Định nghĩa Lớp, Thành phần, Phần tử, Gói

CC đã xác định được cấu trúc của sản phẩm gồm PP, ST, TOE Và phân các yêu cầu an toàn thành 2 yêu cầu là yêu cầu chức năng an toàn và yêu cầu đảm bảo an toàn Trong các yêu cầu ấy CC lại chia thành các Lớp, Họ, Thành phần, Phần tử và Gói Chúng ta xét một số định nghĩa về các đối tượng này:

o Lớp:

Là tập hợp các Họ mà chúng cùng chia sẻ một ý định chung về an toàn, nhưng khác nhau về khả năng bao phủ các mục tiêu an toàn các lớp dùng cho những mục tổ chức

o Phần tử:

Là thành viên của Thành phần và không thể lựa chọn từng phần riêng rẽ Người

ta phải lựa chọn tất cả các phần tử an toàn trong một thành phần cho những yêu cầu an toàn mong muốn CC đã chia các yêu cầu an toàn đến mức phần tử, cũng tương đương chúng ta có thể tác động đến an toàn SPATCNTT ở mức phần tử, mức sâu nhất của sản phẩm mà không thể chia nhỏ được nữa

o Gói:

Là tập hợp các thành phần đảm bảo an toàn để thỏa mãn đòi hỏi một EAL

Mối quan hệ của Lớp, Họ, Thành phần, Phần tử và Gói:

Hình 2 6: Phân Lớp, Họ, Thành phần, Phần tử và Gói

2.1.1.9 Những chủ thể, đối tượng và thao tác:

CC xem hoạt động của sản phẩm cũng chính là sự tác động của chủ thể vào các đối tượng thông qua những thao tác trong TOE

Những chủ thể:

Những chủ thể là thực thể chủ động trong TOE, thực hiện các thao tác trong TOE Chủ thể được phân biệt với hành động của thực thể của bên ngoài TOE Ví dụ về chủ thể:

+ Mã biên dịch Assembly (trong mạch tích hợp IC)

+ Hoạt động đăng nhập điều kiện để vào mạng (trong một Firewall)

Những đối tượng:

Những đối tượng là thực thể bị động trong TOE Chúng là những thực thể mà

để chủ thể tác động lên nó nhờ thao tác Thi hành tiêu biểu của đối tượng là tệp, hàng đợi và cơ sở dữ liệu

Những thao tác:

Những thao tác là kiểu hoạt động của chủ thể đến đối tượng Ví dụ các thao tác: + Sửa đổi hoạt động đối tượng trong TOE

Những chủ thể

Những đối tượng Thao tác

Hình 2 7: Những chủ thể, thao tác, đối tượng

2.1.1.10 Mô hình tổng quát của CC

Từ những tìm hiểu trên ta có thể mô hình hoá CC thành sơ đồ sau:

Hình 2 8: Mô hình tổng quát của CC

CC phân yêu cầu an toàn thành 2 yêu cầu: đó là yêu cầu chức năng an toàn và yêu cầu đảm bảo an toàn, hướng dẫn khách hàng thiết lập hồ sơ bảo vệ PP Trong PP chứa tổng quát nhất các yêu cầu chức năng an toàn và yêu cầu đảm bảo an toàn của dòng SPATCNTT Đây chính là những đòi hỏi của khách hàng đưa ra Và từ yêu cầu

an toàn được mô tả trong PP thì nhà phát triển sẽ phân tích chi tiết cụ thể những yêu cầu an toàn đó trong ST hướng yêu cầu đó thành sản phẩm cụ thể Trong những yêu cầu đó phân thành lớp, họ, thành phần, phần tử và Gói an toàn CC làm cơ sở cho nhà đánh giá khảo sát sự đáp ứng những yêu cầu của SPATCNTT và xếp mức đảm bảo an toàn EAL cho SPTCNTT

2.1.2 Những yêu cầu chức năng an toàn SFR

Những yêu cầu chức năng an toàn SFR (Security Funcional Reguirements): Là tập hợp các chức năng mô tả hành vi an toàn mong muốn của Đích đánh giá TOE khi gặp những mục tiêu an toàn trong PP/ST

Đây cũng là các lớp chức năng được tác giả lựa chọn vào PP/ST/TOE để đáp ứng nhu cầu SPATCNTT họ mong muốn Tiêu chí CC bao gồm 11 lớp chức năng an toàn chứa 67 họ chức năng tương đương với 138 những thành phần chức năng an toàn

250 những phần tử chức năng an toàn

 Sự phân chia lớp chức năng an toàn như sau:

Hình 2 9: Cách bố trí lớp chức năng Hai thành phần phụ thuộc nhau: Tức muốn thoả mãn được thành phần thứ 2

thì SPATCNTT phải thoả mãn đầy đủ thành phần thứ nhất

Hai thành phần độc lập: Tức thành phần 1 và 2 hoàn toàn độc lập nhau,

SPATCNTT thoả mãn thành phần này nhưng có thể không thoả mãn thành phần khác

 Những lớp chức năng an toàn

a Lớp kiểm toán an toàn FAU

Mục đích: Giám sát và ghi lại tất cả sự kiện, những thao tác của chủ thể tác động vào đối tượng

c Lớp bảo vệ dữ liệu người dùng FDP

Mục đích nhằm bảo vệ dữ liệu của người dùng khi đăng nhập và vận hành TOE

- Sự phân cấp lớp FDP:

FCO_NRO: Họ chống chối bỏ nguồn gốc 1 2

FCO_NRR: Họ chống chối bỏ thu nhận 1 2

Hình 2 12: Phân cấp lớp bảo vệ dữ liệu