1. Trang chủ
  2. » Luận Văn - Báo Cáo

Sử dụng giải thuật cây lỗi để đánh giá rủi ro trong hệ thống thông tin

175 1,6K 5

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 175
Dung lượng 17,13 MB

Nội dung

Từ những vấn đề được đề cập trên, luận văn sẽ đi phân tích cụ thể từng vần đề trong từng phần sau : + Phân tích rủi ro hạ tầng công nghệ : Ờ phần công nghệ luận văn đề cập đến tất cả th

Trang 1

Đại Học Mở Thành Phố Hồ Chí Minh Khoa Công Nghệ Thông Tin

W X

KHÓA LUẬN TỐT NGHIỆP Chuyên Ngành : Mạng Máy Tính

Đề Tài : Sử Dụng Giải Thuật Cây Lỗi Để Đánh Giá

Rủi Ro Trong Hệ Thống Thông Tin

Giảng viên hướng dẫn :

Thầy T.S Đào Thế Long

Sinh viên thực hiện:

Huỳnh Đăng Khoa MSSV: 10366066 Nguyễn Đăng Khoa MSSV: 10366261

Trang 2

Lời Mở Đầu

W X

Ngày nay, sự phát triển không ngừng của công nghệ thông tin đã tạo một bước tiến dài trong việc quản lý thông tin nội bộ của doanh nghiệp Tuy nhiên, trong quá trình phát triển đó luôn ẩn chứa những nguy cơ gây rủi ro lớn đến hệ thống thông tin của trong nội bộ doanh nghiệp, gây tác hại trực tiếp đến công việc quản

lý thông tin và gián tiếp gây thiệt hại về kinh tế, mà những thiệt hại này đôi khi có thể dẫn doanh nghiệp đến bờ vực phá sản

Vấn đề đặt ra ở đây là cần có một công cụ để phân tích và đánh giá hiệu quả, bao quát rủi ro trong toàn hệ thống, từ cơ sở đó sẽ xem xét khả năng và tăng cường tính bảo mật cho chính chính bản thân hệ thống đó

Để đánh giá được vấn đề trên cần xem xét trên hai khía cạnh cơ bản là Công

Nghệ và Chính Sách trong hệ thống thông tin

Về mặt công nghệ, chúng ta sẽ xem xét đến cấu trúc vật lý và khả năng đáp ứng nhu cầu của hệ thống, hay đơn giản hơn chính là cấu hình của thiết bị và hệ thống phần mềm đang được sử dụng

Về mặt chính sách, điều quan trọng cần khảo sát là hành vi sử dụng, các hành vi này được hình thành dựa trên các nhóm quy tắc cụ thể tuỳ thuộc vào lĩnh vực mà

cơ quan, doanh nghiệp cần xử lý thông tin

Một công cụ dùng đễ phân tích và đánh giá hiệu quả, chi tiết các rủi ro trên là “giải thuật phân tích cây lỗi để đánh giá và phân tích hệ thống” và “phương pháp đánh giá dựa trên chuẩn ISO 17799” Với Công nghệ ta dùng định tính bằng phương pháp cây lỗi đề xác định rủi ro (các lỗi) của hệ thống và Chính sách ta dùng định lượng xác định thông qua sử dụng phương pháp phân tích theo ISO 17799 Đề tài này xin giới thiệu công cụ phân tích này, qua đó giúp người phân tích hệ thống hình dung một cách tổng thể về rủi ro của hệ thống trong doanh nghiệp mình

Từ những vấn đề được đề cập trên, luận văn sẽ đi phân tích cụ thể từng vần đề trong từng phần sau :

+ Phân tích rủi ro hạ tầng công nghệ :

Ờ phần công nghệ luận văn đề cập đến tất cả thiết bị trong hệ thống thông tin, mỗi thiết bị sẽ được chia thành các nhóm lĩnh vực khác nhau đề người phân tích có thể thấy rõ hệ thống của mình đang bị lỗi tại vị trí và nhóm lĩnh vực nào Mỗi nhóm sẽ đại diện cho mỗi lĩnh vực liên quan đến hệ thống thông tin Trong phần này, sẽ dùng phương pháp cây lỗi, nhằm đánh giá một cách toàn diện hệ thống, đi từ trên xuống (chi tiết phân tích theo mô hình phân tích cây lỗi sẽ được rõ hơn ở phần sau) Các thiết bị lỗi trong mỗi nhóm sẽ có một mối quan hệ logic với nhau, và giữa các nhóm cũng sẽ có những mối quan hệ logic tượng tự Vá từ những mối quan hệ đó, ta xác định được xác suất lỗi gây ra cho hệ thống xét lĩnh vực hạ tầng công nghệ

Trang 3

ISO 17799 : Hệ thống chính sách an toàn được chia ra làm các nhóm lĩnh vực, từ những lĩnh vực sẽ chia thành các nhóm lĩnh vực con nhỏ hơn, trong các lĩnh vực con lại thiết lập các nhóm quy tắc mà các nhóm quy tắc này sẽ có các mối quan hệ với nhau thông qua các hành vi trogn từng quy tắc.Phần chính sách ta sẽ dùng phương pháp phân tích định lượng theo mô hình phân tích chuẩn ISO 17799

Từ mục đích và cách thức thực hiện luận văn thông qua các phương pháp và công

cụ như đã nêu, luận văn được viết và chia ra làm các phần sau :

Phần I : Tổng quan về phân tích và đánh giá rủi ro

Phần này cho chúng ta biết một cách tổng thể về rủi ro là gì? Tại sao phải đánh giá ? Cách đánh giá rủi ro và các phương pháp để đánh giá rủi ro hệ thống thông tin

Phần II: Phân tích và đánh giá rủi ro

Phần này sẽ cho biết chi tiết từng chi tiết trong 2 công cụ phân tích, cách sử dụng các công cụ này, cách thức thực hiện đánh giá dựa trên các công cụ đó

Phần III : Phân tích rủi ro trong hệ thống thông tin

Phần này sẽ cho chúng ta thấy rõ từng bước phân tích các lỗi của thiết bị trong hạ tầng công nghệ hay các mối quan hệ giữa các hành vi trong lĩnh vực chính sách

Từ đó sẽ nêu lên được xác suất cũng như điểm số trong 2 phần chính sách và công nghệ trong hệ thống thông tin

Phần IV : Hiện thực phần mềm đánh giá rủi ro hệ thống

Chương trình minh họa là phần thể hiện trực quan cho người dùng biết được xác suất hay điểnm số bằng đồ thị minh họa Phần này giới thiệu cách thức cũng như minh họa cho người phân tích

Phần V : Tổng kết về phân tích và đánh giá rủi ro

Đánh giá lại kết quả đã đạt được và chưa đạt được so với mục tiêu ban đầu đưa ra

Và trình bày hướng phát triển của luận văn trong thời gian tới

W ” X

Trang 4

LỜI CẢM ƠN

W ” X

Chúng em xin chân thành cảm ơn Khoa Công Nghệ Thông Tin (CNTT), Trường Đại học Mở Thành phố Hồ Chí Minh đã tạo điều kiện cho chúng em hoàn thành khoá luận tốt nghiệp này

Xin chân thành cảm ơn thầy TS Đào Thế Long đã tận tình hướng dẫn, giúp đỡ và

chỉ dạy chúng em trong suốt quá trình thực hiện đề tài

Chúng em cũng xin cảm ơn quý Thầy Cô trong Khoa CNTT đã tận tình giảng dạy, trang bị cho chúng em một nền tảng vững chắc, những kiến thức cần thiết trong suốt quá trình tham gia học tập tại trường

Các anh chị sinh viên khoá trước và bạn bè đã nhiệt tình trao đổi, đóng góp ý kiến, giúp đỡ để chúng em hoàn thành khoá luận này

Cuối cùng, chúng con xin ghi tạc công ơn của Cha Mẹ Anh Chị đã nuôi dưỡng, dạy

dỗ để chúng con có được như ngày hôm nay

Mặc dù đã cố gắng hoàn thành khoá luận với tất cả nỗ lực của bản thân, nhưng chắc chắn không thể tránh được những thiếu sót nhất định, kính mong sự thông cảm và tận tình chỉ bảo của quý Thầy Cô

Một lần nữa chúng em xin chân thành cảm ơn, chúc quý thầy cô sức khỏe, thành công và hạnh phúc

Huỳnh Đăng Khoa

Nguyễn Đăng Khoa

Trang 5

Lời mở đầu

Phần 1 : TỔNG QUAN VỀ PHÂN TÍCH VÀ ĐÁNH GIÁ RỦI RO

I Xây dựng bài toán phân tích, đánh giá rủi ro 2

1 Khái niệm rủi ro 2

2 Tại sao? 2

II Đánh giá rủi ro như thế nào 2

1 Tính toàn vẹn 3

2 Tính bảo mật 3

3 Khả năng truy cập 3

III Phân loại hệ thống thông tin 3

Phần 2 : PHÂN TÍCH ĐÁNH GIÁ RỦI RO A Phân tích đánh giá rủi ro theo chính sách an toàn thông tin I Tổng quát 8

II Phân tích rủi ro 8

III Kết luận 9

IV Mô hình phân tích 9

B Phân tích rủi ro cơ sở hạ tầng theo cây lỗi I Tổng quan 10

1 Giới thiệu và lịch sử về FTA ( Fault tree analysis) 10

1.1 FTA là gì ? 10

1.2 Lịch sử FTA 10

2 Các bước tiến hành phân tích một hệ thống 10

3 Cấu trúc cây lỗi 11

II Tìm hiểu giải thuật 12

1 Khái niệm cơ bản về giải thuật 12

1.2 Mô hình cây lỗi 12

2.2 Các thành phần cơ bản trong mô hình cây phân tích lỗi 12

2 Những nguyên tắc xây dựng cây lỗi 16

2.1 Khái niệm “nguyên nhân trực tiếp” 16

2.2 Định nghĩa các thành phần 16

III Đại số Boolean và ứng dụng phân tích cây lỗi 17

1 Các nguyên tắc đại số Boolean 17

2 Các ứng dụng cho việc phân tích 17

IV Hạn chế 18

Phần 3 : PHÂN TÍCH RỦI RO TRONG HỆ THỐNG THÔNG TIN I Phân tích rủi ro theo chính sách ATTT 20

1 An ninh tổ chức 20

1.1 Nhận thức rủi ro 21

1.2 Chính sách an toàn thông tin 23

1.3 Chiến lược về an toàn thông tin 26

1.4 Cơ sở hạ tầng an toàn thông tin 28

2 Xác định phân loại và quản lý tài nguyên 31

Trang 6

Phân loại thông tin 33

Chỉ định người quản lý hệ thống và dữ liệu 36

Trách nhiệm đối với những hoạt động và quy trình tối quan trọng 38

Tính toàn vẹn dữ liệu 39

3 An ninh nhân sự 40

3.1 Quy trình tuyển nhân viên 40

3.2 Xử lý kỷ luật và phản ứng sự cố 43

3.3 Huấn luyện và đào tạo 45

3.4 Chính sách sử dụng Internet 47

4 An ninh vật lý 50

4.1 Kiểm tra tổng quát 50

4.2 Bảo vệ hệ thống kỹ thuật 52

4.3 Khu vực an ninh 54

4.4 Quản lý khách viếng thăm 56

4.5 Thẻ kiểm soát ra vào 58

5 Vận hành hệ thống thông tin và quản lý mạng 60

5.1 Quản trị thường nhật 60

5.2 Xử lý phương tiện lưu trữ 62

5.3 Lập và phê duyệt kế hoạch hoạt động cho hệ thống 64

5.4 Quản lý hệ thống mạng 65

5.5 Giám sát truy cập và sử dụng hệ thống 69

6 Phát triển và bảo trì hệ thống 71

6.1 Các đặc điểm về an toàn thông tin 71

6.2 Tính toàn vẹn cho tập tin hệ thống và dữ liệu 73

7 Lên kế hoạch bảo đảm tính liên tục và phục hồi 74

7.1 Kế hoạch liên tục trong kinh doanh 74

7.2 Các kế hoạch sao lưu dữ liệu 75

7.3 Các kế hoạch xây dựng lại 77

II Phân tích rủi ro trong hạ tầng công nghệ 79

A Vật lý 79

1 Hành động phá hoại 79

1.1 Tài nguyên 79

1.1.1 Tài nguyên thông tin 79

a Thiết bị xử lý thông tin 79

b Lưu trữ 82

c Hệ thống mạng 83

d Thiết bị ngoại vi 84

1.1.2 Tài nguyên vật lý 85

1.1.3 Hệ thống nguồn 86

1.2 Kênh thông tin .87

2 Các hành động không mong muốn 89

2.1 Tài nguyên 89

2.1.1 Tài nguyên thông tin 89

a Thiết bị xử lý thông tin 89

b Lưu trữ 92

c Hệ thống mạng 93

d Thiết bị ngoại vi 93

Trang 7

2.2 Kênh thông tin 97

3 Sự cố trong vận hành 99

3.1 Tài nguyên 99

3.1.1 Tài nguyên thông tin 99

a Thiết bị xử lý thông tin 99

b Lưu trữ 102

c Hệ thống mạng 103

d Thiết bị ngoại vi 103

3.1.2 Tài nguyên vật lý 105

3.1.3 Hệ thống nguồn 106

3.2 Kênh thông tin 107

B Phần mềm 109

1 Phá hoại từ bên trong 109

2 Phá hoại từ bên ngoài 110

Phần 4: HIỆN THỰC PHẦN MÊM ĐÁNH GIÁ RỦI RO HỆ THỐNG I Tổng quan 113

II Hình thái 113

1 Chính sách 113

2 Công Nghệ 113

III.Hướng dẫn 114

1 Chính sách 114

2 Công Nghệ 121

IV Đánh giá tổn thất 126

Phần 5: TỔNG KẾT VỀ PHÂN TÍCH VÀ ĐÁNH GIÁ RỦI RO I Tổng kết .128

II Hướng phát triển 128

Các tài liệu tham khảo 129

Các thuật ngữ được sử dụng .130

Trang 8

PHẦN 1 TỔNG QUAN VỀ PHÂN TÍCH ĐÁNH GIÁ

RỦI RO

Trang 9

I Xây dựng bài toán phân tích, đánh giá rủi ro

1 Khái niệm rủi ro

Rủi ro là những khả năng có thể xảy ra những hư hỏng, lỗi, những nguy cơ… mà

từ đó có thể gây ra cho hệ thống những tổn thất mà không thể lường trước được Những khả năng này có thể là do con người, do máy móc, do chính sách… hoặc có thể định nghĩa rủi ro là khả năng gặp nguy hiểm có thể phát sinh từ một vài tiến trình hay từ một vài sự kiện Ví dụ: rủi ro phát sinh từ tiến trình không trang bị thiết bị chống xâm nhập là có thể bị tấn công bởi hacker , …

2 Tại sao lại phân tích và đánh giá rủi ro?

Ngày nay, sự phát triển không ngừng của công nghệ thông tin đã tạo một bước tiến dài trong việc quản lý thông tin nội bộ của doanh nghiệp Tuy nhiên, trong quá trình phát triển đó luôn ẩn chứa những nguy cơ gây rủi ro lớn đến hệ thống thông tin của trong nội bộ doanh nghiệp, gây tác hại trực tiếp đến công việc quản lý thông tin và gián tiếp gây thiệt hại về kinh tế, mà những thiệt hại này đôi khi có thể dẫn doanh nghiệp đến bờ vực phá sản Chính sách an toàn thông tin là nhân tố quyết định đến tính bảo mật và tránh rủi ro của mỗi tổ chức Một chính sách an toàn không hợp lý có thể sẽ tạo nên những lỗ hỏng bảo mật cũng như cản trở các hoạt động hợp lệ, có ích cho hệ thống Do đó cùng với việc đầu tư thiết bị, việc xây dựng các chính sách bảo mật, an toàn an ninh hệ thống đảm bảo đáp ứng các yêu cầu cho phép thiết lập một môi trường thông tin an toàn là một nhu cầu cần thiết

Từ đó chúng ta sẽ có một khái niệm để xây dựng chính sách đó là phải đánh giá được rủi ro của hệ thống đó, vậy đánh giá là gì ? Đánh giá rủi ro là phương pháp nhằm xác định độ ảnh hưởng của những rủi ro có thể xảy ra cho hệ thống thông tin

ở mức độ nào để từ đó có thể đưa ra những giải pháp thích hợp để phòng chống hay khắc phục những rủi ro đó hoặc có thể hiểu đánh giá rủi ro là một bước trong quá trình quản lý rủi ro Đánh giá rủi ro được đo bằng hai đại lượng của rủi ro là biên độ của thiệt hại tiềm tàng và xác suất về khả năng xảy ra thiệt hại Đánh giá rủi ro là một việc làm hết sức quan trọng thiết lập một chính sách cho hệ thống thông tin vì nó bao quát tất cả và tìm ra được nguyên nhân và từ đó sẽ xây dựng được một chính sách hoàn thiện

II Đánh giá rủi ro như thế nào ?

Điều quan tâm và quan trọng nhất là phải căn cứ theo sự phân tích các nhu cầu về công việc hiện tại cũng như xu hướng phát triển của một hệ thống thông tin cụ thể

để định ra một chính sách an toàn mạng tổng thể, chính sách an toàn mạng tổng thể này sẽ ảnh hưởng đến hiệu quả của giải pháp an ninh mạng cũng như hiệu quả của việc đầu tư triển khai giải pháp đánh giá rủi ro cho mỗi đơn vị

Từ chính sách an toàn mạng tổng thể sẽ đưa ra các chính sách an toàn mạng cụ thể cho từng thiết bị, từng nhóm lĩnh vực sẽ được thiết lập trong hệ thống Thiết lập chính sách an toàn mạng cụ thể sẽ quyết định đến hiệu quả sử dụng đối với từng thiết bị, nhóm lĩnh vực được thiết kế Khi xây dựng chính sách an toàn mạng cụ thể nếu không được thiết lập một cách phù hợp dẫn đến thiết bị, nhóm lĩnh vực bảo vệ

sẽ mang lại ít giá trị sử dụng

Vấn đề đặt ra ở đây là cần có một công cụ để phân tích và đánh giá hiệu quả, bao quát rủi ro trong toàn hệ thống, từ cơ sở đó sẽ xem xét khả năng và tăng cường tính bảo mật cho chính chính bản thân hệ thống đó Vậy đánh giá rủi ro như thế nào ?

Để đánh giá được một hệ thống thông tin, nhà phân tích thường dựa trên 3 tính chất

Trang 10

1 Tính toàn vẹn

Toàn vẹn hệ thống và dữ liệu là hệ thống và dữ liệu phải được bảo vệ không bị thay đổi bất hợp pháp trong quá trình điều khiển, truyền đi

Mối de dọa dựa trên tính chất toàn vẹn có thể như sau :

- Làm sai lệch thông tin

- Làm sai lệch trong quá trình điều khiển

- Phá hoại các vật mang tin

2 Tính bảo mật

Tính bảo mật của hệ thống và dữ liệu là sự bảo vệ thông tin khỏi những sự truy cập bất hợp pháp

Mối de dọa dựa trên tính chất bảo mật có thể như sau :

- Rò rỉ kênh thông tin

- Bị mất các thiết bị mang tin

3 Tính sẵn sàng của hệ thống

Hệ thống có tính sẵn sàng là hệ thống luôn luôn được có sẵn và dể dàng để mọi người có quyền hợp pháp truy cập

Mối de dọa dựa trên tính chất khả năng truy cập có thể như sau :

- Ngăn chặn việc truy cập đến các thiết bị mang tin

- Phá hủy các thiết bị mang tin

III Phân loại hệ thống thông tin

Phân loại hệ thống thông tin có nhiều cách phân loại hệ thống, như phân loại theo tính chất, kiểu tác động, nguồn gốc, đối tượng tác động Ngoài ra việc phân loại có thể dựa trên các tính chất toàn vẹn, bảo mật và khả năng truy cập, cùng với phân loại theo từng nhóm lĩnh vực và trong từng lĩnh vực là các lĩnh vực con và tiếp theo là các nhóm quy tắc dựa theo chuẩn ISO 17799 Tùy từng hệ thống và khả năng phân tích cũng như thói quen của nhà phân tích sẽ áp dụng để phân loại hệ thống thông tin, để từ đó sẽ cho ra một nền tảng cơ bản và chi tiết để xây dựng nên chính sách an toàn hệ thống thông tin

Hệ thống thông tin được phân loại theo hai mô hình :

+ Mô hình phân loại hệ thống thông tin theo mối đe dọa theo CIA (hình 1) ( Confidencial – Integreaty – Accessbility ) : mô hình này phân tích theo 3 khía cạnh : Tính bảo mật, tính toàn vẹn và tính sẵn sàng của dữ liệu, nếu phân loại hệ thống theo mô hình này chúng ta sẽ phân tích dựa trên các tính chất, các dạng đe dọa, đối tượng tác động, hậu quả và các chỉ số đánh giá rủi ro Nếu phân tích theo

mô hình này, chúng ta sẽ cho được mối quan hệ logic toàn diện, cụ thể và khái quát được tất cả những tác động và các sự cố trong hệ thống Tuy nhiên ở mức độ luận văn , mô hình phân loại này chưa được đề cập do phức tạp, cần áp dụng tất cả giải thuật về lý thuyết mờ, trí tuệ nhân tạo và hệ chuyên gia, … tuy nhiên đây cũng là hướng phát triển tiếp tục trong luận văn nhằm đánh giá hết tất cả các mối quan hệ trong hệ thống thông tin

Trang 11

+ Mô hình phân tích theo phân loại tính chất tổ chức và công nghệ (hình 2) : mô hình này dựa vào các tính chất, nguồn gốc, kiểu tác động và đối tượng tác động để phân tích hệ thống Đây là mô hình dể áp dụng cho các mô hình, cách thức tiếp cận

dể dàng nhưng hiệu quả phân tích khá cao, có nhiều cách tiếp cạnh thông qua các chuẩn mực phân tích như : phân tích theo chuẩn ISO 17799 hay phân tích theo mô hình cây lỗi (FTA ) Bằng cách dựa vào các chuẩn phân tích, người phân tích xác định các mối quan hệ logic, từ đó sẽ tao ra mối quan hệ chặt chẽ giữa các lĩnh vực, các khía cạnh của hệ thống cần phân tích Tuy nhiên mô hình phân tích này chỉ dựa vào kinh nghiệm và cách thức phân tích và đánh giá cho điểm của người phân tích

Đo đó tùy theo kinh nghiệm và sự trải nghiệm đánh giá hệ thống cũng như kiến thức phân tích logic của nhà phân tích Do đó khi áp dụng mô hình này, người phân tích có thể sẽ chưa phân tích hết, phân tích đủ và toàn diện hệ thống Nhưng với thời gian và giới hạn trong bài luận văn, chúng em sẽ đề cập mô hình này để phân tích hệ thống

Để có một cái nhìn tổng quan về chuẩn ISO 17799 luận văn xin đề cập những nội dung khái quát của chuẩn ISO 17799 này như sau:

Nội dung chính của chuẩn ISO 17799

- Nội dung chuẩn ISO 17799 được chia thành 12 phần, 2 phần đầu giới thiệu các khái niệm nền tảng, 10 phần tiếp theo giới thiệu cách thực hiện an ninh thông tin trong 10 lĩnh vực (domain) cụ thể của mỗi tổ chức Dưới đây, xin giới thiệu tóm tắt nội dung từng phần

1 Phạm vi

- Nhấn mạnh chuẩn ISO 17799 chỉ là tài liệu khung về an ninh thông tin cho một tổchức, các khuyến cáo trong tài liệu này nên được lựa chọn và sử dụng phù hợp với luật pháp nước sở tại và theo thông lệ

2 Khái niệm và định nghĩa

- Giới thiệu các khái niệm và định nghĩa về an ninh thông tin, gồm:

• Định nghĩa an ninh thông tin là gì?

• Đánh giá rủiro và quản lý rủi ro là gì?

3 Chính sách an ninh thông tin

- Giới thiệu về chính sách an ninh thông tin – cơsởcủa các giải pháp quản lý

Trang 12

an ninh thông tin của một tổchức, các nộidung cơbản mà mộtchính sách an ninh phải có

4 An ninh tổchức

- Mô tả các vấn đề liên quan đến an ninh thông tin nhìn từ bên trong tổchức Các kênh thông tin với lãnh đạo được thiết lập để phê chuẩn chính sách an ninh thông tin, để bổ nhiệm các vai trò an ninh và cùng điều phối thực thi các biện pháp an ninh trong tổ chức Nếu cần thiết, một bộ phận tư vấn về

an ninh thông tin được thiết lập và luôn sẵn sàng trong tổ chức, phối hợp với các chuyên gia an ninh bên ngoài để kịp thời nắm bắt các khuynh hướng công nghiệp, giám sát các tiêu chuẩn và đánh giá các phương pháp, liên lạc các bên phối hợp khi giải quyết các sự cố an ninh Một cách tiếp cận đa chiều đối với an ninh thông tin được khuyến khích nhằm giải quyết vấn đề này từ nhiều góc độ

5 Kiểm soát và phân loại tài sản

- Phần này mô tả các phương pháp bảo vệ thích hợp đối với tài sản của tổ chức dưới khía cạnh an ninh thông tin Tất cả các tài sản thông tin đều phải giải trình lý do tồn tại và được chỉ định một chủ sử dụng Trách nhiệm giải trình này nhằm tạo điều kiện bảo vệ và bảo trì tài sản một cách thích hợp Chủ sử dụng được xác định và chịu trách nhiệm hoàn toàn trong việc bảo trì và kiểm soát đối với tài sản Trách nhiệm giải trình được chỉ định cho chủ sử dụng tài sản

6 An ninh cá nhân

- Mô tả các kiểm soát để giảm bớt rủi ro do sai lỗi của con người Trách nhiệm an ninh phải được xác định rõ ngay khi tuyển nhân viên mới, trách nhiệm được ghi trong hợp đồng, được giám sát trong công việc của mỗi người Tất cả các nhân viên của tổ chức và các đối tác phải ký cam kết đảm bảo an ninh thông tin

7 An ninh môi trường và an ninh vật lý

- Mô tả các kiểm đối với các truy nhập không được cấp phép, các phá hoại

vô ý hoặc cố ý đế hệ thống Các thiết bị xử lý thông tin nhạy cảm hoặc quan trọng cần phải được cất trong nhà, trong các vùng an ninh (security areas), được bảo vệ bởi một vành đai an ninh (security perimeter) có sự kiểm tra vào ra, được bảo vệ tránh các truy nhập không được phép Sự bảo

vệ phải tương ứng với các rủi ro đã được đánh giá

8 Quản lý giao tiếp và quản lý vận hành

Trang 13

- Mô tả các kiểm soát đảm bảo vận hành đúng và an toàn các thiết bị xử lý thông tin Mô tả trách nhiệm, thủ tục quản lý vận hành các thiết bị xử lý thông tin Mô tả sự phân chia trách nhiệm giữa đơn vị phát triển hệ thống

và đơn vị vận hành hệ thống Mô tả các kiểm soát tránh ảnh hưởng đến an ninh thông tin của hệ thống khi tổ chức giao tiếp với các tổchức khác

9 Kiểm soát truy nhập

- Mô tả các kiểm soát đối với việc truy nhập thông tin của tổ chức sao cho các hoạt động nghiệp vụ của tổ chức được tiến hành bình thường nhưng an ninh thông tin không bị tổn hại

10 Phát triển và bảo trì hệ thống

- Mô tả các kiểm soát an ninh thông tin trong quá trình phát triển và bảo trì

hệ thống Nhấn mạnh chi phí cho các kiểm soát an ninh được đưa và hệ thống ngay trong quá trình phát triển sẽ rẻ hơn rất nhiều khi đưa vào trong quá trình bảo trì

11 Quản lý liên tục nghiệp vụ

- Mô tả việc xây dựng một quy trình quản lý liên tục nghiệp vụ nhằm giảm bớt các sai sót gây ra bởi tai nạn hoặc các lỗi an ninh (có thể là kết quả của các tai hoạ thiên nhiên, tai nạn, lỗi thiết bị, …) thông qua sự kết hợp các kiểm soát phòng ngừa và khôi phục Hậu quả của tai nạn, lỗi an ninh và mất dịch vụ cần được phân tích Lập các kế hoạch ứng phó sự cố, sẵn sàng thực hiện nhằm khôi phục hệ thống trong một thời gian nhất định, đảm bảo

sự liên tục của nghiệp vụ khi sự cố xảy ra

12 Sự tuân thủ

- Tổ chức phải tuân thủ các yêu cầu của luật pháp liên quan đến các khía cạnh đa dạng của an ninh thông tin như luật sở hữu trí tuệ, luật bảo vệ sự riêng tư của thông tin cá nhân, luật hợp đồng,…Nhấn mạnh sự khác nhau về luật khi thông tin lưu chuyển giữa các nước khác nhau

Trên đây là những nhóm lĩnh vực, trong các lĩnh vực này sẽ có những lĩnh vực con, trong các lĩnh vực con sẽ có những nhóm quy tắc, từ những nhóm quy tắc này sẽ có những hành vi mà khi thực hiện theo những hành vi này sẽ làm tăng tính an toàn cho hệ thống thông tin Những hành vi này có các mối quan hệ logic với những hành vi khác, các nhóm quy tắc này có mối quan hệ logic phụ thuộc hoặc loại trừ với các nhóm quy tắc hoặc các lĩnh vực khác Tuỳ đặc thù của từng cơ quan, doanh nghiệp sẽ có những chọn lựa và đánh giá khác nhau dựa trên chuẩn ISO 17799 này

Trang 14

PHẦN 2 PHÂN TÍCH ĐÁNH GIÁ

RỦI RO

Trang 15

A PHÂN TÍCH ĐÁNH GIÁ RỦI RO THEO CHÍNH SÁCH AN TOÀN THÔNG TIN

I Tổng quát

Phân tích rủi ro (PTRR) theo chính sách an toàn thông tin dựa trên chuẩn ISO

17799, là cách phân tích định lượng nhằm nâng cao khả năng an toàn, tránh rủi ro cho hệ thống Nếu thực hiện theo đúng hành vi trong các quy tắc của các lĩnh vực thì hệ thống sẽ nâng cao khả năng an toàn, tránh rủi ro Dựa vào các mức an toàn,

sẽ đánh giá được hệ thống như thế nào? Trạng thái an toàn ở mức nào?,… Dưới đây sẽ làm rõ thêm quan điểm phân tích chính sách an toàn theo ISO 17799

Quá trình PTRR theo định lượng bao gồm:

a Đánh giá tổn thất có thể xảy ra trong quá trình sử dụng hoặc phụ thuộc vào HTTT

b Phân tích các mối đe dọa tiềm năng và các điểm yếu có thể gây tổn thất cho HTTT

c Lựa chọn các giải pháp và các phương tiện tối ưu nhằm giảm thiểu rủi ro đến mức độ cho phép

Các đối tượng cần PTRR:

a Các đối tượng trong HTTT

b Các bộ xử lý

c Các quy trình và chương trình xử lý thông tin

d Đối với kênh thông tin

e Phát xạ điện từ trường ngoại vi

f Các cơ chế quản lý điều khiển hệ thống

Các căn cứ :

a Cơ sở luật pháp và các chỉ dẫn về ATTT

b Các giải pháp (Các chính sách)

c Cơ sở hạ tầng – Cấu trúc hệ thống

d Các phương tiện bảo vệ trong HTTT

II Phân Tích Rủi Ro

Các bước nghiên cứu và hệ thống hóa các hiểm họa

a Lựa chọn các đối tượng và tài nguyên cần phân tích

b Khởi thảo phương pháp đánh giá rủi ro

c Phân tích các hiểm họa và các nơi xung yếu trong hệ thống

d Nhận diện các hiểm họa và lập danh sách các hiểm họa

e Phân tích chi tiết các hiểm họa và xây dựng ma trận “hiểm họa / thành phần HTTT”

Khởi thảo phương pháp đánh giá rủi ro nhằm đánh giá một cách chính xác nhất

xác xuất tác động của các hiểm họa lên các điểm yếu trong HTTT trong một khoảng thời gian nào đó

Đánh giá tổn thất gây ra do các hiểm họa : Trên cơ sở tác động đến 3 tính chất

của thông tin : C-I-A.Việc đánh giá liên quan đến chi phí và khả năng chấp nhận rủi ro còn lại.(rủi ro dư thừa )

Phân tích chi phí / hiệu quả : Phân tích mối quan hệ chi phí bỏ ra / hiệu quả trước

và sau khi thực hiện các giải pháp ATTT

Các tài liệu tổng hợp :

Trang 16

- Danh mục các hiểm họa , đánh giá rủi ro và khuyên cáo các giải pháp nhằm giải thiểu rủi ro

- Các biệm pháp bảo vệ để triệt tiêu rủi ro

- Phân tích mối quan hệ chi phí / hiệu quả , đưa ra kết luận về mức rủi ro cho phép đối với hệ thống cũng như biện pháp bảo vệ đối với từng trường hợp

cụ thể

Đánh giá rủi ro theo nhóm :

• Nhóm quản trị HTTT

• Nhóm lãnh đạo của tổ chức

• Nhóm nhân viên có trách nhiệm về ATTT

• Người chủ sở hữu thông tin

• Nhóm người dùng thông tin

Mục đích cuối cùng của ATTT sẽ không bao giờ đạt được nếu không có một

người thủ lĩnh có năng lực thực sự

III Kết Luận

- Đánh giá rủi ro được thực hiện bằng nhiều phương tiện trong số đó có các

phương pháp mô hình hóa hệ thống bảo vệ thông tin

- Kết quả quá trình đánh giá RR là phát hiện những hiểm họa có tác động tiềm

ẩn dẫn đến những rủi ro lớn nhất

- Mục đích đánh giá rủi ro : Xác định các rủi ro cho HTTT Nhiệm vụ này thực hiện theo hai bước : Bước 1 – xác định giới hạn phân tích : mức độ phức tạp của hệ thống và phương pháp sử dụng Bước 2- Tiến hành phân tích rủi ro

gồm : Xác định giá trị thông tin cần bảo vệ, xác định danh mục hiểm họa và các điểm xung yếu trong hệ thống; Tính xác xuất xảy ra hiểm họa tại các điểm xung yếu và tính độ rủi ro

- Mục đích giảm thiểu rủi ro : Sử dụng các giải pháp hiệu quả nhằm đảm bảo độ

rủi ro dư thừa (sau khi áp dụng các giải pháp chống trả ) ở mức chấp nhận được Quá trình này bao gồm ba phần : 1- xác định những lĩnh vực không cho phép rủi ro quá cao.2- lựa chọn các giải pháp bảo vệ hiệu quả ; 3- Đánh giá tính hiệu quả của các giải pháp , thỏa mãn hay không các chỉ tiêu về rủi ro dư thừa

IV Mô hình phân tích

Luận văn này xin đề cập đến mô hình phân tích rủi ro an toàn thông tin theo chuẩn ISO 17799 : Hệ thống chính sách an toàn được chia ra làm các nhóm lĩnh vực, từ những lĩnh vực sẽ chia thành các nhóm lĩnh vực con nhỏ hơn, trong các lĩnh vực con lại thiết lập các nhóm quy tắc mà các nhóm quy tắc này sẽ có các mối quan hệ với nhau thông qua các hành vi trogn từng quy tắc

Sẽ chia thành bốn mức cơ bản để đánh giá theo nguyên tắc định lượng :

1 Thang điểm từ 0 – 40 : mức an toàn thấp

2 Thang điểm từ 41 – 69 : mức an toàn trung bình

3 Thang điểm từ 70 – 89 : mức an toàn cao

4 Thang điểm từ 90 – 100 : mức rất cao

Từng hành vi trong nhóm quy tắc được đánh giá theo thang điểm hành vi đó khi hành động hay khi được thực thi sẽ tác động tích cực đến hệ thống như thế nào ? Mỗi hành

vi sẽ có quan hệ bắt buộc, hoặc loại trừ hoặc kết hợp với các thành viên khác, người phân tích cần có kinh nghiệm và xử lý các mối quan hệ một cách rõ ràng và chính xác Nhưng cũng tùy theo trải nghiệm người phân tích, vì vậy sẽ có các mối quan hệ khác

Trang 17

nhau giữa các hành vi, nhưng sẽ đảm bảo rằng hệ thống sau khi được đánh giá phải xây dụng nên một chính sách hoàn chỉnh và áp dụng tốt cho nhu cầu bảo mật thông tin

B PHÂN TÍCH RỦI RO CƠ SỞ HẠ TẦNG THEO CÂY LỖI

Kỹ thuật này được sử dụng cho hầu hết các loại ước lượng rủi ro, nhưng hiệu quả nhất là tập trung vào nguyên nhân cơ bản của các loại rủi ro đặc trưng bị tác động bởi mối quan hệ phức tạp của các sự kiện

1.2 Lịch sử FTA

FTA được khai sinh bởi H.A.Watson – thuộc Bell Telephone Laboratories –

vào năm 1962, khi ông làm việc trong dự án Minuteman Lauch Control System của Không quân Mỹ Sau đó, Dave Haasl – thuộc Boeing Company – nhận thấy giá trị của phương pháp này và lãnh đạo một nhóm ứng dụng FTA vào toàn bộ Miniteman Missile System Một nhánh khác của Boeing nhận thấy kết quả từ chương trình Minuteman và bắt đầu dùng FTA trong quá trình thiết kế máy bay thương mại Năm 1965, Boeing và University of Washington tài trợ cho Hội thảo An toàn hệ thống (System Safety Conference) đầu tiên và tại đây đã có vài bài giới thiệu về FTA Sự kiện này đánh dấu sự phát triển rộng khắp của FTA trên toàn cầu

2 Các bước tiến hành phân tích một hệ thống

2.1 Các bước chính trong phân tích cây lỗi

Để phân tích cây lỗi một cách chính xác và rõ ràng nhằm đi đến một kết quả hoàn hảo về việc đánh giá rủi ro trong một hệ thống, người phân tích cần tiến hành theo các bước chính sau :

1 Vạch rõ hệ thống cần tập trung : Xác định rõ ràng, cụ thể các ranh giới

và điều kiện ban đầu của hệ thống cần thông tin lỗi

2 Vạch rõ sự kiện chính (TOP) của quá trình phân tích : Chỉ định rõ vấn

đề người phân tích sẽ chú trọng Đó có thể là vấn đề chất lượng cụ thể, ngừng trệ hay phân phối an toàn…

3 Vạch rõ cấu trúc cây : Xác định các sự kiện và điều kiện (sự kiện trung

gian) trực tiếp nhất dẫn đến sự kiện chính cần phân tích (TOP event)

4 Khảo sát các nhánh khác nhau trong các mức kế tiếp của chi tiết : Xác

định các sự kiện và các điều kiện trực tiếp nhất dẫn đến các sự kiện trung gian Lặp lại quá trình trên ở mỗi mức kế tiếp của cây cho đến khi mô hình cây lỗi được hoàn thành

Trang 18

5 Làm sáng tỏ cây lỗi trong việc liên kết các sự kiện góp phần vào sự

kiện chính : Khảo sát cây lỗi để nhận dạng tất cả sự kết hợp có khả năng

xảy ra của các sự kiện và điều kiện có thể gây nên vấn đề chính Một kết hợp các sự kiện và điều kiện cần và đủ để gây nên sự kiện chính gọi là một

minimal cut set (tạm dịch là tập hợp cắt tối thiểu)

6 Nhận dạng các nguy cơ về lỗi phụ thuộc quan trọng và điều chỉnh mô

hình cho hợp lý (có thể hiểu là quá trình xác định việc sử dụng các cổng

luận lý (AND, OR…) nào để kết hợp các sự kiện và điều kiện mức dưới dẫn tới việc xuất hiện các sự kiện và điều kiện cấp trên) : Xem xét cẩn

thận mô hình cây lỗi và danh sách các minimal cut set để nhận dạng các

phụ thuộc quan trọng tiềm ẩn giữa các sự kiện Các phụ thuộc xảy ra đơn

lẻ mà có thể gây nên nhiều sự kiện và điều kiện xuất hiện trong cùng một thời điểm Bước này thường gây nên những phân tích sai lầm

7 Thực thi phân tích định lượng (nếu cần) : Dùng các mô tả thống kê liên

quan đến lỗi, quá trình sửa chữa các sự kiện và điều kiện đặc trưng trong

mô hình cây lỗi để tiên liệu việc vận hành của hệ thống trong tương lai

8 Sử dụng các kết quả trong việc ra quyết định : Sử dụng các kết quả có

được trong quá trình phân tích để nhận dạng những điểm yếu đáng kể nhất trong hệ thống và đưa ra những đề nghị hiệu quả để giảm thiểu các rủi ro liên quan đến điểm yếu đó

3 Cấu trúc cây lỗi (Fault Tree Construction)

1 Định nghĩa TOP event trọn vẹn ( toàn bộ/đầy đủ) và không mập mờ (rõ ràng – unambiguous)

Nên luôn luôn trả lời :

What : vd : “Server ”

Where : vd : “hệ thống xữ lý thông tin”

When : vd : “trong thời gian/trong lúc hoạt động bình thường” (during

normal operation)

2 Các sự kiện trực tiếp (immediate), cần thiết (necessary) và có khả năng (sufficient) và các điều kiện gây ra TOP event là cái gì ?

3 Kết nối thông qua các cổng AND hoặc OR

4 Xuất phát bằng cách này để có một cấp độ thích hợp ( = các sự kiện cơ bản -

an appropriate level)

5 Cấp độ thích hợp ( appropriate level):

a Các sự kiện cơ bản độc lập ( independent basic events)

b Các sự kiện với mục đích các sự kiện có lỗi dữ liệu

Các loại sự kiện ( Types of events) : có 5 loại sự kiện cũ thông thường

1 Nhóm không thể sửa chữa (non-repairable unit)

2 Nhóm có thể sửa chữa (repairable unit) : được sửa chữa khi lỗi xảy ra

3 Nhóm được kiểm tra một cách định kỳ (periodically tested unit) : các lỗi

ẩn (hidden failures)

4 Các sự kiện thường xuyên xảy ra (frequency of events)

5 Theo yêu cầu có khả năng xảy ra (on demand probability)

Trang 19

II Tìm Hiểu Giải Thuật

1 Khái Niệm Cơ Bản Về Giải Thuật

1.1 Mô hình cây lỗi

Phân tích cây lỗi có thể được miêu tả một cách đơn giản như là một kỹ thuật phân tích, nhờ đó một trạng thái không mong đợi của hệ thống được chỉ rõ (thường là trạng thái quan trọng then chốt từ một điểm an toàn) Và hệ thống sau khi được phân tích trong ngữ cảnh môi trường và cách thức hoạt động để tìm ra tất cả các dạng sự kiện không mong muốn xảy ra.Chính cây lỗi nó là một

mô hình đồ họa của các lỗi và các kết hợp liên tiếp, điều này có thể sẽ có một kết quả trong sự cố của những sự kiện không mong muốn được xác định trước Các lỗi có thể là những sự kiện mà những sự kiện này được kết hợp với thành phần thiết bị phần cứng trong tình trạng không hoạt động lỗi do con người, hoặc bất cứ những sự kiện thích hợp khác mà những sự kiện này dẫn đến lỗi không mong muốn Một cây lỗi mô tả mối quan hệ logic cũa những sự kiện cơ bản, mà những sự kiện này dấn đến sự kiện không mong đợi mà sự kiện này là TOP event

Cây lỗi không phải là mô hình cho tất cả những lỗi hệ thống có thể xảy ra Hoặc tất cả những nguyên nhân có thể xảy ra cho lỗi hệ thống Một cây lỗi được biến đổi để nó trở thành top event mà nó tương tự một vài lỗi hệ thống riêng biệt và cây lỗi bao gồm duy nhất những lỗi góp phần vào TOP event Hơn nữa cây lỗi không bao trùm mọi khía cạnh, chúng chỉ duy nhất phần lớn các lỗi mà đang tìm hiểu, ước lượng

1.2 Các thành phần cơ bản trong mô hình cây phân tích lỗi

Cây lỗi điển hình thì bao gồm số biểu tượng mà các biểu tượng này được miêu

tả chi tiết

Các sự kiện chính (Primary events)

Các lỗi chính của một cây lỗi là các lỗi mà các lỗi này là lý do hoặc cái khác, không phát triển tiếp trong tương lai Các các sự kiện có khả năng xảy ra sẽ được cung cấp nếu cây lỗi được sử dụng cho việc tính toán khả năng xảy ra của TOP event, có bốn loai sự kiện chính :

- Sự kiện cơ bản ( the basic event)

Vòng tròn miêu tả một sự kiện cơ bản được yêu cầu và không phát

triển tiếp

- Sự kiện không được phát triển ( the undeveloped event )

Biểu tượng hình thoi mô tả sự kiện lỗi được chỉ ra không phát triển

tiếp, bởi vì sự kiện thì không đủ hệ quả để tác động hoặc thông tin

liên quan của sự kiện không đáng tin cậy

- Sự kiện điều kiện (Conditioning event)

Hình ellip được sử dụng để ghi lại bất cứ điều kiện hoặc giới hạn

để tác động đến bất cứ cổng logic Nó được sử dụng chính với

cổng INHIBIT và PRIORITY AND

Trang 20

- Sự kiện bên ngoài ( the external event)

Biểu tượng này được sử dụng để hiển thị một sự kiện mà nó thường mong muốn xảy ra : một sự thay đổi trong một hệ thống động

- Các sự kiện trung gian ( intermediate events)

Một sự kiện trung gian là một sự kiện lỗi mà sự kiện lỗi này xảy ra bởi vì một hoặc nhiều nguyên nhân khác tác động thông qua cổng logic, tất cả các sự kiện trung gian có biểu tượng hình chữ nhật

- Cổng (Gate)

Có 2 loại cổng cơ bản của các cổng trong cây lỗi : cổng OR và cổng AND Tất

cả các cổng thật ra chỉ trường hợp của 2 loại sự kiện cơ bản Với ngoại lệ, các cổng là biểu tượng bởi che chắn với một cờ hoặc đáy cong

Công thức tính xác suất khi có mối quan hệ :

Nếu a và b có mối quan hệ OR Gọi ot là đầu ra của mối quan hệ a và b

ot = a + b

Gọi P là xác suất cần tính , ta có

P(ot) = P(a) + P(b) – P(a).P(b) (1)

Nếu ta có 3 mối quan hệ : a or b or c

Ta sẽ có :

P(ot) = P(a) + P(b) + P(c) - P(a) P(b) - P(b) P(c)

- P(a) P(c) + P(a) P(b) P(c) (2)

Trang 21

- Cổng AND

Cổng AND được sử dụng để trình diễn đầu ra duy nhất xảy ra khi tất cả đầu vào các lỗi xảy ra.Có thể có nhiều đầu vào Ví dụ sau về 1 loại có 2 đầu vào cổng AND với các sự kiện A và B, và đầu ra Q, Sự kiện Q duy nhất xảy ra nếu sự kiện A và B đều xảy ra

Mối tương phản cổng OR và AND chỉ ra mối quan hệ nguyên nhân giữa đầu ra

và đầu vào Các lỗi đầu vào chung miêu tả nguyên nhân lỗi đầu ra Cổng AND đưa đến mọi thứ về nguồn gốc của các loại đầu vào Ví dụ một cổng AND : một tình trạng không hoạt động của cả 2 bộ nguồn cung cấp cho server và UPS dự phòng sẽ là kết quả không hoạt động của máy Server

Nếu a và b có mối quan hệ AND Gọi ot là đầu ra của mối quan hệ a va b

UPS không hoạt động

Trang 22

kiện mà điều kiện này phải tồn tại là điều kiện ngỏ vào Việc miêu tả điều kiện ngõ vào này được thể hiện hình ellip bên phải cổng

- Cổng EXCLUSIVE OR

Cổng này là trường hợp đặc biệt của cổng OR, sự kiện ngõ ra duy nhất xảy ra nếu chính xác một trong các sự kiện ngõ vào xảy ra Hình bên dưới chỉ ra 2 cách thức miêu tả loại EXCLUSIVE OR với 2 đầu vào

Nếu a và b có mối quan hệ XOR Gọi ot là đầu ra của mối quan hệ a va b

- Cổng PRIORITY AND

Cổng này là trường hợp đặc biệt của AND, ngõ ra duy nhất xảy ra nếu tất cả sự kiện ngõ vào xảy ra trong trình tự sắp xếp chỉ ra trước, trình tự thường được trình bày bên trong hình ellip, trong thực tế , cần thiết có thứ tự được chỉ ra thì không thường bắt gặp

Trang 23

Biểu tượng chuyển tiếp

Hình tam giác được nói đến như biểu tượng chuyển tiếp và được dùng như việc tiện lợi để tránh kéo dài gấp đôi trong cây lổi đường từ đỉnh chóp của tam giác

có nghĩa là “transfer in” và một đường từ bên cạnh là “ transfer out” Một

“transfer in” được kèm theo cổng sẽ liên kết tương ứng với “transfer out”

“transfer out” này có thể một trang khác, sẽ chứa vị trí tiếp theo của cây đang miêu tả ngõ vào cổng

2 Những Nguyên Tắc Xây Dựng Cây Lỗi

2.1 Khái niệm “nguyên nhân trực tiếp”

Việc phân tích hệ thống, đầu tiên, như ta đã thấy định nghĩa hệ thống và sau đó lựa chọn một kiểu sự cố hệ thống riêng biệt để phân tích sâu hơn Cái tạo thành sự kiện top của cây lỗi của hệ thống phân tích Sau đó xác định những nguyên nhân trực tiếp, cần thiết, và có khả năng gây ra sự xuất hiện của sự kiện top Có thể ghi nhớ rằng những cái này không phải là nguyên nhân cơ bản của

sự kiện nhưng là nguyên nhân trực tiếp hoặc cơ chế trực tiếp của sự kiện Đây

là điểm cực kì quan trọng mà sẽ được làm rõ và chứng minh trong các ví dụ sau

Vì vậy sự phân tích sự kiện top tạo ra một sự liên kết các sự kiện lỗi được kết nối bằng các cổng logic “and” và “or” Khung sườn ( hoặc kiểu hệ thống) mà sự liên kết này dựa vào là cây lỗi

Các thành phần của hệ thống mà khi hoạt động sẽ gây nên tác động tới

hệ thống Có thể hiểu nôm na là các thành phần có khả năng tạo ra và hiệu chỉnh tín hiệu

Vd : Máy chủ DNS, Firewall,…

c Primary Component

Lỗi phát sinh trong nội tại của một thành phần nào đó thuộc hệ thống, không thể chi tiết thêm nữa, là nguyên nhân cuối cùng trong phân tích hệ

Trang 24

thống hay Một thành phần không hoạt động không thể được định nghĩa thêm nữa tại mức thấp hơn

Vd : Tụ điện trên bo mạch bị cháy, nguồn 5v hõng,…

d Secondary Component

Lỗi phát sinh do tác động vượt quá khả năng đã được thiết kế của thành phần nào đó thuộc hệ thống Một thành phần không hoạt động có thể được định nghĩa thêm tại mức thấp hơn, nhưng không được định nghĩa chi tiết (ground rules)

Vd : máy tính hỏng (không quan tâm chi tiết tại sao)

e Command Component

Lỗi phát sinh do thành phần thuộc hệ thống hoạt động đúng nhưng lại không đúng nơi, đúng lúc Một thành phần không hoạt động là nguyên nhân tác động từ bên ngoài đến hệ thống, có thể được định nghĩa thêm Chúng cũng quan trọng khi biểu diễn của việc phân tích nguyên nhân phổ biến

Vd : máy tính hỏng do nguồn

III Đại Số Boolen và Ứng Dụng Phân Tích Cây Lỗi

1 Các nguyên tắc đại số Boolean

Luật giao hoán (commutative)

• ab = ba

• a + b = b + a Luật kết hợp (associative)

• a a = a

• a + a = a

• a a = 0

• a + a = 1 Luật absorption ( luật hút)

• a + ab = a

• a(a + b ) = a

• a + ab = a + b

2 Các ứng dụng cho việc phân tích

Chúng ta xem xét mối quan hệ giữa đại số Boolean đến cây lỗi Một cây lỗi là một

mô hình logic , miêu tả tất yếu các sự kiện phải xảy ra theo thứ tự các sự kiện xảy

ra Các sự kiện này được khái niệm “Lỗi – Faults”nếu chúng khởi đầu bởi các sự kiện khác và khái niệm “tình trang không hoạt động – failures” nếu chúng là những

Trang 25

sự kiện khởi đầu cơ bản Cây lỗi tương quan các sự kiện ( các lỗi dẫn đến các lỗi, hoặc các lỗi dấn đến tình trạng không hoạt động” và biểu tượng thì được sử dụng miêu tả mối quan hệ khác nhau Biểu tượng cơ bản là các “Cổng- Gate” và mổi cổng có các đầu vào và một đầu ra

Cổng đầu ra là sự kiện lỗi cao hơn “higher” lý do bên dưới và cổng đầu ra là những lỗi cơ bản (“lower”) hoặc (failure), chúng có quan hệ với đầu ra Khi chúng ta vẽ một cây lỗi, chúng ta đã xử lý từ các lỗi ở mức cao đến các lỗi cơ bản thấp hơn

IV Hạn chế

Tuy cây lỗi là một phương pháp hiệu quả để phân tích nguyên nhân gây ra rủi ro và tìm ra lỗi trong mô hình hệ thống thông tin, nhưng FTA cũng có một số hạn chế nhất định sau :

Tập trung hạn hẹp : Phương pháp phân tích cây lỗi chỉ khảo sát một tai nạn cụ thể

trong vấn đề quan tâm Để phân tích những dạng tai nạn khác, các cây lỗi khác phải được phát triển

Nghệ thuật cũng như khoa học : Ở mức chi tiết, các dạng của sự kiện được thêm vào

quá trình phân tích cây lỗi, và tổ chức cây có sự biến đổi đáng kể giữa nhà phân tích này và nhà phân tích khác – nghĩa là với 2 nhà phân tích có kiến thức kĩ thuật như nhau, có thể phân tích và cho ra 2 cây lỗi khác biệt đáng kể cho cùng một trường hợp Tuy nhiên, căn cứ vào cùng một phạm vi và giới hạn các giả định, những phân tích khác nhau, nếu có khác biệt, nên được đưa ra để so sánh các kết quả

Các xác định số lượng cần một sự thành thạo đáng kể : Sử dụng kết quả phân tích

cây lỗi để làm các dự đoán thống kê về hoạt động của hệ thống trong tương lai rất phức tạp Chỉ có những nhà phân tích có kỹ năng cao mới có thể thực hiện tốt những các xác định đó

Bên cạnh đó, các nhà phân tích thường quá chú trọng đến các thiết bị và hệ thống mà quên mất việc chú tâm một cách xác đáng vào vấn đề con người và tổ chức trong các

mô hình của họ Đây không phải là giới hạn vốn có của phương pháp phân tích cây lỗi nhưng là một lưu ý có giá trị

Trang 26

PHẦN 3 PHÂN TÍCH RỦI RO

TRONG HTTT

Trang 27

I Phân tích rủi ro theo chính sách ATTT

Phân tích rủi ro theo chính sách an toàn thông tin dựa trên chuẩn ISO 17799, là cách phân tích định lượng nhằm nâng cao khả năng an toàn, tránh rủi ro cho hệ thống Dựa vào các mức an toàn, sẽ đánh giá được hệ thống như thế nào? Trạng thái an toàn ở mức nào?,… Dưới đây sẽ làm rõ thêm quan điểm phân tích chính sách an toàn theo ISO 17799 của từng lĩnh vực với các mối quan hệ logic được thiết lập dựa trên các hành vi của từng quy tắc trong các lĩnh vực

1 An ninh tổ chức

1.1 Nhận Thức Rủi Ro (RR)

a, Đánh giá rủi ro (DG): có các quy tắc sau

• Cần tiến hành đánh giá khái quát các hiểm họa ảnh hưởng đến cơ quan (DG1)

• Việc đánh giá rủi ro phải được cập nhật hàng năm (DG2)

• Tiến hành đánh giá rủi ro an toàn thông tin theo diện rộng, bao gồm tất cả các bộ phận của một cơ quan Mục tiêu là phải xác định rõ các mối hiểm họa , các điểm yếu với các ảnh hưởng của nó đến hoạt động của đơn vị , phản ánh một cách chính xác toàn cảnh về rủi ro an toàn thông tin của cơ quan (DG3)

Việc tiến hành đánh giá khái quát cho phép biết rỏ ràng về hệ thống và phân tích theo diện rộng sẽ bao quát toàn bộ các lĩnh vực của hệ thống Tổ chức

có thể chọn hành vi phân tích từ hai hành vi trên (DG1, DG3) và hành vi DG2 sẽ làm tăng thêm tính bảo mật hệ thống, giam thiểu khả năng rủi ro

DG1 DG3 DG2 DG13

DG

Gọi y_dg là hàm logic của quy tắc đánh giá rủi ro

DG, x_dg1, x_dg2, x_dg3 là các biến, ta có

y_dg =( x_dg1 + x_dg3) x_dg2

Trang 28

Điểm theo công thức (1) & (3)

P(y_dg) =( P(x_dg1) + P(x_dg3) – P(x_dg1)

P(x_dg3)) P( x_dg2)

b, Phân tích rủi ro (PT): có các quy tắc sau

• Cần tiến hành phân tích khái quát các rủi ro (PT1)

• Cần tiến hành phân tích rủi ro chi tiết (PT2)

• Cần sử dụng các phương pháp và mô hình đánh giá rủi ro chuẩn.(PT3)

Việc phân tích khái quát rủi ro và chi tiết là 2 hành vi trái ngược nhau, nếu PT1 được thực hiện thì PT2 sẽ không thực hiện và ngược lại Để làm tăng khả năng phân tích cho hệ thống ta cần thực hiện việc phận tích theo mô hình và phương pháp chuẩn

Gọi y_pt là hàm logic của quy tắc PT, x_pt1, x_pt2, x_pt3 là các biến trong hàm

• Những lỗ hổng bảo mật nghiêm trọng và các vấn đề liên quan cần phải được đánh giá ngay khi có thông tin Các hoạt động này phải được ưu tiên tại bất kì

bộ phận hay đơn vị nào để giảm thiểu tối đa các ảnh hưởng xấu (NT2)

Trang 29

Trong trường hợp này, chúng ta sẽ chọn một trong 2 hành vi để thực hiện việc nhận thức các hiểm họa, các điểm yếu của hệ thống Hai hành vi này độc lập và không phụ thuộc vào nhau

Gọi y_nt là hàm logic của quy tắc NT, x_nt1, x_nt2 là các biến thành phần

Gọi y_rr là hàm logic của lĩnh vực con RR, x_dg, x_pt, x_nt là các biến thành phần

y_rr = x_dg x_pt x_nt

Điểm theo công thức (3)

P( y_rr) = P(x_dg) P( x_pt) P(x_nt)

Trang 30

1.2 Chính sách an toàn thông tin (CS)

a, Quyền sở hữu các chính sách về an toàn thông tin - Vị trí (SH): có

các quy tắc sau

• Giám đốc IT (IT manager) là người quản lý các chính sách về ATTT (SH1)

• Giám đốc về ATTT (Chief Security Officer - CSO)

là người quản lý các chính sách về ATTT (SH2)

• Giám đốc về an ninh (Chief Security Officer - CSO) sẽ quản lý các chính sách, tiêu chuẩn, quy trình và hướng dẫn an toàn thông tin của cơ quan (bao gồm cả hướng dẫn thực hiện an toàn thông tin) (SH3)

Trong trường hợp này, đây là các hành vi độc lập và không phụ thuộc, việc lựa chọn sẽ được chọn ra từ các hành vi trên, tùy thuộc vào cách bố trị của từng tổ chức

Gọi y_sh là hàm logic của quy tắc SH, x_sh1, x_sh2, x_sh3 là các biến thành phần

Trang 31

chuẩn ở các cấp cao, các chính sách được phê chuẩn theo thứ tự vị trí lãnh đạo của tổ chức

Gọi y_pc là hàm logic của quy tắc PC, x_pc1, x_pc2, x_pc3 là các biến thành phần

c, Ngôn ngữ của các chính sách ATTT (NN): có các quy tắc sau

• Các chính sách an toàn thông tin phải được soạn thảo bởi các nhân viên am hiểu lĩnh vực kỹ thuật tương ứng (NN1)

• Các chính sách an toàn thông tin phải sử dụng ngôn ngữ dùng chung trong toàn bộ hoạt động kinh doanh của tổ chức (NN2)

• Các chính sách an toàn thông tin chỉ được thể hiện dưới một ngôn ngữ chính thức của cơ quan.(NN3) Các hành vi trên là các hành vi độc lập và không phụ thuộc, khi chọn lựa ta chỉ chọn một trong các hành vi trên để thực hiện quy tắc NN

Trang 32

Gọi y_nn là hàm logic của quy tắc NN, x_nn, x_nn, x_nn là các biến thành phần

• Ngôn ngữ của các chính sách ATTT (NN)

Đây là các hành vi thuộc lĩnh vực chính sách an toàn, các hành vi này xét ở trường hợp độc lập, chúng không phụ thuộc vào nhau

Gọi y_cs là hàm logic của của lĩnh vực con CS, x_sh, x_pc, x_nn là các biến thành phần

Trang 33

1.3 Chiến lược về an toàn thông tin (CL)

a, Các trường hợp ngoại lệ đối với các yêu cầu về an toàn thông tin (NL): có các quy tắc sau

• Những hệ thống thông tin không phù hợp với các yêu cầu trong chính sách về ATTT phải được nâng cấp, cấu hình lại hoặc loại bỏ (NL1)

• Cho phép một số trường hợp ngoại lệ trong chính sách an toàn thông tin (NL2)

• Giám đốc an ninh (Chief Security Officer - CSO)

có thể cho phép các trường hợp ngoại lệ khi Tuân thủ các qui tắc trong chính sách an toàn thông tin.( NL3)

• Các trường hợp ngoại lệ không phù hợp với chính sách ATTT chỉ có thể được thực hiện khi có các tài liệu và đánh giá rõ ràng của các chủ tài sản và sự đồng ý của cấp quản lý cao hơn Từng trường hợp phải được rà soát lại ít nhất mỗi năm một lần Người sở hữu sẽ liên đới chịu trách nhiệm cá nhân khi có bất cứ sự cố nào do các trường hợp ngoại lệ này gây ra.(NL4)

Ta thấy rằng nếu NL1 xảy ra thì các trường hợp NL2, NL3, NL4 không xảy

ra, vì khi NL1 xảy ra, các ngoại lệ sẽ được nâng cấp, cấu hình lại vì vậy sẽ không xảy ra các ngoại lệ và ngược lại, chúng có mối quan hệ loại trừ nhau

Gọi y_nl là hàm logic của quy tắc NL, x_nl1, x_nl2, x_nl3, x_nl4 là các biến thành phần

Ta có

y_nl = x_nl1 + (x_nl2 x_nl3 x_nt4)

Điểm theo công thức (3) & (4)

P(y_nl) = P( x_nl1) + P(x_nl2) P( x_nl3) P( x_nt4))

b, Phân tích lợi ích kinh tế của các biện pháp an toàn thông tin (KT): có các quy tắc sau

Trang 34

• Khi triển khai các biện pháp an toàn thông tin cần phải cân nhắc chi phí triển khai với thiệt hại

do rủi ro an toàn thông tin gây ra.(KT1)

• Việc cấp phát các tài nguyên an toàn thông tin phải được ghi nhận và chứng minh rõ các mức hiệu quả thu được (KT2)

• Các biện pháp ATTT phải tạo ra lợi nhuận thực cho

cơ quan Chi phí cho việc xác định, thiết kế, triển khai, vận hành, và bảo trì chính sách ATTT phải được tính toán với các hậu quả trực tiếp hoặc gián tiếp do các rủi ro ATTT gây ra.(KT3)

Nếu là các sự kiện độc lập, các hành vi này sẽ tác động đến lợi ích kinh tế trong tổ chức khi thực hiện các chính sách về an toàn thông tin Ta có mối quan hệ :

Gọi y_kt là hàm logic của quy tắc KT, x_kt1, x_kt2, x_kt3 là các biến thành phần

• Các trường hợp ngoại lệ đối với các yêu cầu về

an toàn thông tin (NL)

• Phân tích lợi ích kinh tế của các biện pháp an toàn thông tin (KT)

Đây là 2 hành vi tác động có mối quan hệ trong chiến lược ATTT, chúng độc lập và tác động, các quy tắc này tác động với nhau., có sự kết hợp cả 2 quy tắc trên làm tăng tính khả thi của chính sách ATTT cho hệ thống

Trang 35

Gọi y_cl là hàm logic của lĩnh vực con CL, x_nl, x_kt là các biến thành phần

1.4 Cơ sở hạ tầng an toàn thông tin (HT)

a, Cung ứng và sử dụng các thiết bị công nghệ thông tin (CU):

• Cung ứng, sử dụng các thiết bị và dịch vụ CNTT phải tính đến chính sách ATTT của cơ quan Nếu cần, phải tiến hành phân tích rủi ro của các thiết bị này để xác định rõ những yêu cầu cần thiết phải có

và duy trì tính phù hợp với các chính sách hiện tại, không mâu thuẫn CS (CU3)

Xét các hành vi là các sự kiện độc lập, không phụ thuộc, các hành vi có thể được thưc thi theo từng hành vi không liên quan đến các hành vi, nếu hành

vi CU1 được thực hiện thì không cần thực hiện CU3, nhưng cũng có thể 2 hành vi cùng thực hiện, nhưng CU2 phải được đảm bảo thực hiện

Trang 36

Gọi y_cu là hàm logic của quy tắc CU, x_cu1, x_cu2, x_cu3 là các biến thành phần

Ta có

y_cu = (x_cu1 + x_cu3 ) x_cu2

Điểm :theo công thức (3) & (4)

P(y_cu) = (P(x_cu1) + P( x_cu3) ) P( x_cu2)

b, An toàn cơ quan (AT): có các quy tắc sau

• Cần phải có một bộ phận chuyên trách về ATTT với chức năng chính là bảo vệ tài sản thông tin của cơ quan (AT1)

• Cơ quan phải tổ chức diễn đàn về an toàn thông tin (4 ) nhằm đảm bảo việc thiết lập các chính sách ATTT cho chiến lược kinh doanh thật rõ ràng và phù hợp với mục tiêu của cơ quan.(AT2)

• Cơ quan cần tổ chức các buổi trao đổi về ATTT nhằm đảm bảo việc phổ biến các chính sách ATTT thật

rõ ràng và phù hợp với mục tiêu kinh doanh của cơ quan.(AT3)

Để tăng tính an toàn cho cơ quan, cần thực hiện đầy đủ các hành vi trên, việc thiết lập bộ phận chuyên trách về ATTT sẽ giúp tổ chức dể dàng quản

lý và tổ chức

Gọi y_at là hàm logic của quy tắc AT, x_at1, x_at2, x_at3 là các biến thành phần

Ta có

y_at = x_at1 x_at2 x_cu3

Điểm theo công thức (3)

P(y_at) =P( x_at1) P( x_at2) P( x_cu3)

c, Mối quan hệ trong lĩnh vực con Cơ sở hạ tầng an toàn thông tin (HT): có các quy tắc sau

• Cung ứng và sử dụng các thiết bị công nghệ thông tin (CU)

• An toàn cơ quan (AT)

Để tăng cường an toàn cho hệ thống việc cung ứng và sử dụng cung như quy tắc an toàn thông tin cần kết hợp với nhau, quan hệ độc lập nhưng hỗ trợ

Trang 37

Gọi y_ht là hàm logic của lĩnh vực HT, x_cu, x_at

là các biến thành phần

Ta có

y_ht = x_cu + x_at

Điểm theo công thức (1)

P(y_ht) = P(x_cu) + P( x_at) - P(x_cu) P( x_at)

* Mối quan hệ giữa các lĩnh vực con trong lĩnh vực an ninh

tố chức

• Nhận Thức Rủi Ro (RR)

• Chính sách an toàn thông tin (CS)

• Chiến lược về an toàn thông tin (CL)

• Cơ sở hạ tầng an toàn thông tin (HT)

Các lĩnh vực con có mối quan hệ độc lập với nhau, nhưng chúng quan hệ phụ thuộc nhau, các lĩnh vực hỗ trợ nhau, làm tăng cương khả năng an toàn cho hệ thống

Gọi y_an là hàm logic của lĩnh vực AN, x_rr, x_cs, x_cl, x_ht là các biến thành phần

Ta có

Trang 38

P(x_cl) P( x_ht))

2 Xác định, phân loại và quản lý tài nguyên (XP)

2.1 Xử lý và đánh nhãn tài nguyên ( DN)

a, Bảo quản các tài liệu vật lý (BQ): có các quy tắc sau

• Các tài liệu bảo mật phải được bảo quản ở nơi có khóa bảo vệ (BQ1)

• Sau giờ làm việc, tài liệu chứa các thông tin cá nhân phải được cất giữ ở nơi có khóa (BQ2)

• Trên bàn làm việc, các tài liệu mật phải được dọn sạch chậm nhất là vào cuối giờ làm việc mỗi ngày (BQ3)

• Tài liệu có thể được để lại trên bàn làm việc với điều kiện văn phòng phải được khóa (BQ4)

• Không được để tài liệu một cách lộ liễu khi rời khỏi bàn làm việc (BQ5)

Ta thấy rằng nếu hành vi BQ1 và hành vi BQ2 xảy ra thì hành vi BQ4 không xảy ra hoặc ngược lại, để tăng cường việc bảo quản các tài liệu thì sự kết hợp giửa BQ3 và BQ5 là tối quan trọng trong hệ thống

Gọi y_bq là hàm logic của quy tắc BQ, x_bq1, x_bq2, x_bq3, x_bq4, x_bq5 là các biến thành phần

Trang 39

b, Xử lý các thông tin mật (XM): có các quy tắc sau

• Không được phép tiết lộ các thông tin mật khi chưa được sự đồng ý của chủ sử hữu thông tin đó.(XM1)

• Có thể chuyển giao các tài liệu bảo mật nếu có các văn bản thỏa thuận về mức độ bảo mật được sử dụng.(XM2)

• Thông tin mật không được chuyển cho bên thứ ba trong bất kỳ trường hợp nào nếu không có sự cho phép của chủ sở hữu các thông tin đó Điều này cũng

áp dụng cho cả các thông tin nhạy cảm và thông tin

c, Thông tin mật ở nơi công cộng (CC): có các quy tắc sau

• Không được phép để lộ các thông tin mật dưới bất

kỳ hình thức nào ở nơi công cộng.(CC1)

• Phải có cảnh báo khi trao đổi các thông tin mật ở khu vực công cộng (CC2)

Trang 40

Gọi y_cc là hàm logic của quy tắc CC, x_cc1, x_cc2

• Thông tin mật ở nơi công cộng (CC)

Gọi y_dn là hàm logic của lĩnh vực con DN, x_bq, x_xm, x_cc là các biến thành phần

2.2 Phân loại thông tin (PL)

a, Thông tin phải được phân cấp như sau (TP): có các quy tắc sau

• Không phân cấp: Không giới hạn truy cập (TP1)

• Thông tin nội bộ (TP2)

• Thông tin riêng tư (TP3)

• Thông tin công khai (TP4)

• Thông tin mật (TP5)

• Thông tin cá nhân (TP6)

• Các thông tin nhạy cảm (TP7)

Ngày đăng: 15/05/2015, 20:20

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w