Sau các vấn đề đã xảy ra do mất an toàn thông tin trong thời gian vừa qua, các cơ quan đơn vị phần nào đã coi trọng hơn công tác bảo vệ, phòng ngừa và ngăn chặn các sự cố an toàn thông tin có thể xảy ra. Tuy nhiên trên thực tế việc thiết lập các biện pháp bảo vệ hệ thống thông tin một cách hiệu quả là rất khó đối với hầu hết các cơ quan cũng như doanh nghiệp. Qua tham khảo các nước đã có kinh nghiệm và thành công trong việc bảo đảm an toàn thông tin thì việc nhà nước xây dựng và ban hành các tiêu chuẩn kỹ thuật, quy chuẩn kỹ thuật, hướng dẫn đảm bảo an toàn thông tin đóng vai trò rất quan trọng. Đặc biệt đối với các cơ quan nhà nước, nhiều nước đã ban hành các hướng dẫn dưới cả hai hình thức bắt buộc và khuyến khích áp dụng.
MỤC LỤC Chương 0 – Giới thiệu chung Chương I – Quản lý an toàn thông tin Chương II – Tổng quan TCVN 7562:2005 và ISO/IEC 17799:2005 Chương III – Phân tích đánh giá khả năng áp dụng và chọn lựa biện pháp phù hợp, cần thiết phải tuân thủ trong việc quản lý an toàn của các hệ thống thông tin ở Việt Nam. Chương IV - Một số cơ quan đã tham khảo ý kiến Phụ lục 1 – Bảng phân tích đánh giá khả năng áp dụng và chọn lựa qui tắc phù hợp, cần thiết phải tuân thủ Phụ lục 2 - Bảng lựa chọn quy tắc quản lý an toàn thông tin Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin Danh mục từ viết tắt ATTT: An toàn thông tin QLATTT: Quản lý an toàn thông tin BASE: Basic Analysis and Security Engine HIDS: Host Intrusion Detection System IDS: Intrusion Detection System NIDS: Network Intrusion Detection System OSSIM: Open Source Security Information Management PADS: Passive Asset Detection System 2 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin Chương 0. Giới thiệu chung Sau các vấn đề đã xảy ra do mất an toàn thông tin trong thời gian vừa qua, các cơ quan đơn vị phần nào đã coi trọng hơn công tác bảo vệ, phòng ngừa và ngăn chặn các sự cố an toàn thông tin có thể xảy ra. Tuy nhiên trên thực tế việc thiết lập các biện pháp bảo vệ hệ thống thông tin một cách hiệu quả là rất khó đối với hầu hết các cơ quan cũng như doanh nghiệp. Qua tham khảo các nước đã có kinh nghiệm và thành công trong việc bảo đảm an toàn thông tin thì việc nhà nước xây dựng và ban hành các tiêu chuẩn kỹ thuật, quy chuẩn kỹ thuật, hướng dẫn đảm bảo an toàn thông tin đóng vai trò rất quan trọng. Đặc biệt đối với các cơ quan nhà nước, nhiều nước đã ban hành các hướng dẫn dưới cả hai hình thức bắt buộc và khuyến khích áp dụng. Tại Việt nam vào năm 2005, tổng cục tiêu chuẩn đo lường chất lượng đã ban hành TCVN 7562:2005 với tên gọi “Mã thực hành quản lý an ninh thông tin”. Nội dung tiêu chuẩn đã đưa ra các quy tắc thực hành đảm bảo an toàn thông tin chấp thuận nguyên bản tiêu chuẩn ISO 17799:2000. Tuy nhiên việc áp dụng hoàn toàn tiêu chuẩn TCVN 7562:2005 là rất khó với điều kiện Việt Nam hiện nay, do đó Trung tâm VNCERT có được Bộ BCVT có đặt ra đề tài nghiên cứu TCVN 7562:2005 để chọn lọc ra các quy tắc quản lý an toàn thông tin cần thiết nhất bắt buộc áp dụng. Tuy nhiên sau quá trình nghiên cứu kỹ TCVN 7562:2005 cũng như tình hình áp dụng tiêu chuẩn ATTT trên thế giới, nhóm nghiên cứu thấy tồn tại các vấn đề sau: - Tiêu chuẩn ISO 17799:2000 chính là tài liệu gốc của TCVN 7562:2005 nay đã không còn phù hợp với tình hình thực tế do đó đã được tổ chức ISO/IEC biên soạn lại và ban hành phiên bản thay thế là ISO 17799:2005. Cấu trúc của ISO 17799:2005 và TCVN 7562 cũng như ISO 17799:2000 có những thay đổi lớn được trình bày chi tiết trong phần phục lục của báo cáo này. Về cơ bản ISO 17799:2000 không đáp ứng được các yêu cầu thực 3 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin tế do sự phát triển nhanh của các dịch vụ thương mại điện tử, xác thực người sử dụng và bảo mật trước các kỹ thuật tấn công mới của tin tặc. - Nội dung tiêu chuẩn TCVN 7562:2005 có nhiều điểm dịch không được chính xác nên gây khó hiểu cho người thực hiện. - Các hệ thống thông tin tại Việt Nam rất đa dạng, việc đáp ứng được nhu cầu cho tất cả các loại hệ thống thông tin tại Việt Nam là rất khó khăn. Do đó đề tài tập trung chính vào đối tượng là các cơ quan nhà nước. Trên cơ sở này nhóm đề tài đã thu thập, biên dịch nghiên cứu tiêu chuẩn ISO 17799:2005 và sử dụng đây như là tài liệu gốc để xây dựng quy chuẩn kỹ thuật “quy tắc quản lý an toàn thông tin” chứ không sử dụng TCVN 7562:2005 như trong đề cuơng đã nêu. Để đảm khả năng áp dụng thành công và linh hoạt cho từng đối tượng, kết quả đề tài đưa ra hai sản phẩm: + Bản dự thảo quy chuẩn kỹ thuật “Quy tắc quản lý an toàn thông tin” để áp dụng trong các cơ quan nhà nước. Nội dung quy chuẩn bao gồm các quy tắc cần thiết nhất mà các CQNN đều phải tuân thủ để đảm bảo hệ thống thông tin đạt được mức an toàn tối thiểu. + Bản dự thảo các biện pháp quản lý an toàn thông tin khuyến khích áp dụng trong các cơ quan nhà nước. Nội dung bản dự thảo đưa ra thêm một số quy tắc quản lý an toàn thông tin so với bản quy chuẩn kỹ thuật, để các cơ quan nhà nước cũng như các tổ chức có thể xem xét áp dụng trong điều kiện có thể để có thể nâng cao mức độ an toàn cho hệ thống thông tin. 4 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin Chương I. Quản lý an toàn thông tin I. Nhiệm vụ của quản lý ATTT (QLATTT) Nhiệm vụ của quản lý ATTT là quản lý được các đặc tính bí mật, toàn vẹn và sẵn sàng của các hệ thống thông tin phục vụ các hoạt động của một tổ chức. Hình 1 – Tam giác an toàn thông tin 1.1. Đặc tính bí mật – C (Confidentiality) Đặc tính bí mật đảm bảo thông tin chỉ cung cấp cho những người có thẩm quyền. Như vậy confidentiality là biện pháp ngăn ngừa các hành vi cố ý hay vô ý xem thông tin không được cấp phép. Ví dụ: một ngân hàng thì rất cần giữ bí mật thông tin cá nhân, số tiền trong tài khoản, lịch sử giao dịch,… của khách hàng. Do yêu cầu hiện đại hoá các hoạt động nên ngân hàng đã xây dựng một website ngân hàng trực tuyến nhằm cho phép khách hàng có thể đăng ký tài khoản và thực hiện các giao dịch thông qua website này. Website do đội ngũ cán bộ CNTT của ngân hàng thiết kế và phát triển. Tuy nhiên do một số giới hạn về kiến thức và quy trình phát triển an toàn ứng dụng nên website này mắc lỗi trong quản lý phiên làm việc (session 5 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin management), điều này dẫn đến việc bất kỳ người dùng nào của hệ thống cũng có thể đăng nhập và truy vấn tài khoản của các tài khoản khác, kể cả các tài khoản không đăng ký sử dụng website để giao dịch. Hình 2 – Website ngân hàng trực tuyến Trong Hình 3 thì user A sau khi đăng nhập thì hoàn toàn có khả năng truy vấn các tài khoản của các user B,…,X Hình 3 – Minh hoạ lỗi quản lý phiên làm việc làm mất tính bí mật thông tin Tin tặc đã lợi dụng lỗi này để truy vấn thông tin của tất cả tài khoản thuộc 6 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin ngân hàng này. Các nguyên nhân dẫn đến sự cố mất an toàn về bí mật thông tin trên là: 1. Ngân hàng tự phát triển phần mềm không tuân thủ các yêu cầu về an toàn trong ứng dụng ngân hàng trực tuyến cụ thể là bỏ qua các biện pháp kiểm soát phiên làm việc; 2. Không giám sát đầy đủ quá trình hoạt động của hệ thống để có thể phát hiện dấu hiệu bất thường của việc usert A truy vấn tài khoản của các usert khác; Để bảo vệ đặc tính bí mật cho dịch vụ ngân hàng trực tuyến trên cần thực hiện nhiều giải pháp và kèm theo là các chi phí liên quan: 1. Cần tuân thủ đầy đủ các yêu cầu về an toàn trong các quá trình phát triển, triển khai và vận hành hệ thống. Chi phí: mất thêm thời gian cho giai đoạn phát triển ứng dụng, nhân sự cần được đào tạo về kỷ năng phát triển an toàn ứng dụng,… 2. Giám sát thường xuyên và rà soát hệ thống định kỳ. Chi phí: chi phí xây dựng vào bảo trì các hệ thống giám sát, chi phí giám sát, nhân sự, … 1.2. Đặc tính toàn vẹn – I (Integrity) Đặc tính toàn vẹn đảm bảo chỉ có những người có thẩm quyền mới có thể thay đổi các thông tin trên hệ thống. Ví dụ: Website của Bộ GDĐT mắc một số điểm yếu về bảo mật. Học sinh Bùi Minh Trí nhiều lần cảnh báo nhưng không có tiến triển nên đã quyết định thay hình bộ trưởng bằng hình của mình để chứng minh. Sự việc làm tốn khá nhiều giấy mực của báo chí suốt một thời gian dài. Đôi khi các điểm yếu rất dễ lợi dụng nhưng lại có thể gây ra các hậu quả rất lớn cho sự toàn vẹn thông tin của một tổ chức nếu không có các biện pháp bảo vệ đúng đắn. Các nguyên nhân dẫn đến sự cố mất an toàn về toàn vẹn thông tin trên là: 1. Website có điểm yếu, được thông báo nhưng không khắc phục kịp thời; 7 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin 2. Thiếu cán bộ chuyên trách đủ năng lực, xử lý sự cố không đúng quy trình. Hình 4 – Giao diện trang chủ của website Bộ GDĐT khi bị hacker tấn công Trong thực tế các lỗi bảo mật rất dễ khai thác, các hacker có thể dựa trên các hướng dẫn có sẵn để tấn công vào các hệ thống mắc lỗi. Ví dụ: có rất nhiều website có phần đăng nhập dành cho người dùng và người quản trị hệ thống, phần đăng nhập thường bao gồm trường username (hay ID) và trường password. Khi người dùng cung cấp đúng cặp username/password có trong cơ sở dữ liệu của hệ thống thì họ sẽ được phép truy cập trang nội bộ của hệ thống, nếu sai họ sẽ được dẫn đến trang thông báo lỗi. Về mặt logic khi người dùng nhập giá trị name=‘admin’ và pass=‘wrong’ (một password không chính xác), hệ thống sẽ kiểm tra theo câu lệnh: SELECT * FROM users WHERE (name=‘admin’ AND pass=‘wrong’) Câu lệnh này sẽ kiểm tra hai giá trị người dùng nhập vào bằng biểu thức 8 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin logic (name= ‘admin’ AND pass=‘wrong’), nếu biểu thức này có giá trị là TRUE người dùng sẽ được phép đăng nhập (do trong cơ sở dữ liệu users có username admin và passord tương ứng là wrong), nếu biểu thức này có giá trị là FALSE người dùng sẽ được báo lỗi đăng nhập. Trong trường hợp này người dùng sẽ nhận được thông báo lỗi. Hình 5 – Logic xử lý đăng nhập của các hệ thống Lợi dụng logic này hacker có thể đơn giản nhập cặp giá trị: name=‘’ or ‘a’= ‘a’ và pass==‘’ or ‘a’= ‘a’ Khi đó biểu thức logic kiểm tra quá trình đăng nhập sẽ là: (name=‘’ or ‘a’= ‘a’ AND pass=‘’ or ‘a’= ‘a’) Ta có thể viết lại biểu thức này thành biểu thức tương đương như sau: (((name=‘ ’) or (‘a’= ‘a ’) ) AND ((pass=‘ ’) or (‘a’= ‘a ’)) ) Đây là mệnh đề AND của hai mệnh đề con giống nhau ((pass=‘’) or (‘a’= ‘a’)). Có thể dẽ dàng nhận thấy giá trị của mệnh đề con này luôn là TRUE do (‘a’= ‘a’) là một mệnh đề TRUE. Như vậy toàn bộ biểu thức logic sẽ cho giá trị là TRUE và điều này có 9 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin nghĩa là hacker được phép đăng nhập vào hệ thống. Bất cứ hacker nào cũng có thể copy cụm giá trị ’ or ‘a’= ‘a để thử đăng nhập vào các hệ thống khi không hề biết username và password hợp lệ. Đây là một trong các kỹ thuật vượt hệ thống kiểm soát đăng nhập (authentication bypass). Hình 6 – Hacker đăng nhập hệ thống không cần username và password Sau khi đăng nhập hệ thống hacker có thể dễ dàng dùng một chức năng tải file lên hệ thống (upload) đưa một file mã độc vào hệ thống (Hình 7). Mã độc này có đầy đủ chức năng để hacker nắm quyền điều khiển toàn bộ hệ thống (Hình 8). Nguyên nhân chính dẫn đến lỗi bảo mật trên là do các lập trình viên khi lập trình phát triển hệ thống đã bỏ qua một bước quan trọng, đó là kiểm tra dữ liệu đầu vào. Tất cả dữ liệu do người dùng nhập vào trước khi xử lý phải được kiểm tra tính hợp lệ. Trong ví dụ trên nếu hệ thống có bước kiểm tra dữ liệu người dùng nhập vào không được phép chứa các ký tự đặc biệt như ‘ hay ’ hay khoảng trắng thì hacker đã không thể đăng nhập vào hệ thống. Các lập trình viên có thể thực hiện việc kiểm tra rất dễ dàng bằng cách thêm vài dòng lệnh trước khi thực 10 [...]... lượng dữ liệu; o Dữ liệu không được phép hoặc không nhất quán • Kiểm tra định kỳ tính hợp lệ và toàn vẹn nội dung các trường và các lỗi: file dữ liệu; • Xem xét khả năng các bản tài liệu (hardcopy) nhập liệu bị thay đổi không hợp lệ; 20 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin • Các quy trình xử lý các lỗi kiểm tra dữ liệu; • Các quy trình kiểm tra tính hợp lý của dữ liệu đầu... khảo đến các tài liệu khác như các quy định và quy trình chi tiết cho một hệ thống nào đó hoặc các quy tắc an toàn dành cho những đối tượng sử dụng hệ thống Tài liệu quy định an toàn thông tin cần được phổ biến rộng rãi đến mọi đối tượng của tổ chức Ví dụ: biện pháp quản lý 12.2.1 - Kiểm tra dữ liệu đầu vào có nội dung hướng dẫn kiểm tra các dữ liệu đầu vào của ứng dụng, cụ thể là: Mô tả: Dữ liệu đầu vào... thứ ba - Phân loại và kiểm soát tài sản a Trách nhiệm giải trình các tài sản Mục tiêu : Duy trì bảo vệ thích hợp các tài sản của tổ chức Tài sản: Thông tin; thiết bị; phần mềm; dịch vụ Toàn bộ tài sản chính nên được giải trình và có người quản lý được bổ nhiệm Thường xuyên kiểm kê, kiểm soát đảm bảo an ninh cho tài sản b Phân loại thông tin Mục tiêu : Đảm bảo tài sản thông tin có mức bảo vệ thích... ninh” và “An ninh thông tin” Các thuật ngữ “an ninh” và “an ninh thông tin” được sử dụng trong tiêu chuẩn TCVN 7562:2005 xuất phát từ các từ security và information security trong tiêu chuẩn ISO/IEC 17799:2000 Thực tế ở đây cần phải hiểu Security và information security nghĩa là “An toàn” và “An toàn thông tin” sẽ mang ý nghĩa bao quát hơn, rộng hơn đúng theo định nghĩa mà tiêu chuẩn đặt ra “An... và kiểm soát tài sản Việc phân loại và kiểm soát tài sản được trình bày trong điều 5 của TCVN 7562 Phần này đã đề cập đến các quy tắc trong giải trình tài sản và phân loại thông tin Tuy nhiên đối với các tài sản/thông tin cần quản lý thông tin về đối tượng sử dụng tài sản/thông tin, ở đây có thể hiểu là một quy trình nghiệp vụ, một tập hợp các hành động, một ứng dụng và một tập hợp dữ liệu Việc xác... do Ban kỹ thuật tiêu chuẩn TCVN/TC 154 “Quá trình, các yếu tố dữ liệu và tài liệu trong thương mại, công nghiệp và hành chính” biên soạn, Tổng cục Đo lường chất lượng đề nghị, Bộ Khoa học và Công nghệ ban hành năm 2005 Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 17799:2000 có tên “Code of practice for information security management”và hoàn toàn tương đương với tiêu chuẩn quốc... tra để chắc chắn dữ liệu này là đúng đắn và chính xác Hướng dẫn hiện thực: Quá trình kiểm tra phải áp dụng cho các dữ liệu đầu vào của các giao dịch, thông tin người dùng và các bảng tham số Lưu ý các hướng dẫn sau: • Kiểm tra dữ liệu biên hoặc giới hạn giá trị của các trường, chú ý các o Giá trị nằm ngoài giới hạn (out-of-range); o Các ký tự không hợp lệ trong trường dữ liệu; o Dữ liệu thiếu hoặc không... tự xây dựng tài liệu CSAN phù hợp với hoạt động thực tiễn trong đó bao gồm các nội dung: Định nghĩa về an ninh thông tin (ANTT), đối tượng, phạm vi, tầm quan trọng Mục đích quản lý, hỗ trợ các mục tiêu và nguyên tắc về ANTT Giải thích các chính sách, nguyên tắc, tiêu chuẩn, yêu cầu đặc biệt của tổ chức quy định Xác định trách nhiệm cho việc quản lý và báo cáo Danh mục các tài liệu có thể... quốc gia Mỹ, Úc, Singapore, Chuẩn ISO 17799 • Tập lý tưởng: 17799:2005 • Hướng dẫn lựa chọn-hiện thực-kiểm tra: 27001:2005 Hình 15 - tài liệu mô tả tập lý tưởng của chuẩn ISO 17799 18 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin Hình 16 – tài liệu mô tả cách thức chọn lựa và thực hiện tập thực tế Ví dụ: biện pháp quản lý 5.1.1 - Quy định an toàn thông tin có nội dung hướng dẫn... ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và sau này đổi tên thành tiêu chuẩn ISO/IEC 27002 để áp dụng cùng với các tiêu chuẩn ISO/IEC 27001 (information security management system) và ISO/IEC 27004 (Information security management metrics) thành bộ tiêu chuẩn ISO 27000 (tên tiêu chuẩn ISO/IEC 17799 được giữ lại thêm một thời gian là để cho thấy sự liên hệ với các tiêu chuẩn . Do đó đề tài tập trung chính vào đối tượng là các cơ quan nhà nước. Trên cơ sở này nhóm đề tài đã thu thập, biên dịch nghiên cứu tiêu chuẩn ISO 17799:2005 và sử dụng đây như là tài liệu gốc. thực-kiểm tra: 27001:2005 Hình 15 - tài liệu mô tả tập lý tưởng của chuẩn ISO 17799 18 Xây dựng quy chuẩn kỹ thuật về các quy tắc quản lý an toàn thông tin Hình 16 – tài liệu mô tả cách thức chọn lựa. các tham khảo đến các tài liệu khác như các quy định và quy trình chi tiết cho một hệ thống nào đó hoặc các quy tắc an toàn dành cho những đối tượng sử dụng hệ thống Tài liệu quy định an toàn