Nghiên cứu ảnh hưởng của điện toán đám mây lên chi phí và bảo mật thông tin trong doanh nghiệpp

ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG Đỗ Thị Việt Hồng NGHIÊN CỨU ẢNH HƯỞNG CỦA ĐIỆN TOÁN ĐÁM MÂY LÊN CHI PHÍ VÀ BẢO MẬT THÔNG TIN TRONG DOANH NGHIỆP LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên - 2013 ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG Đỗ Thị Việt Hồng NGHIÊN CỨU ẢNH HƯỞNG CỦA ĐIỆN TOÁN ĐÁM MÂY LÊN CHI PHÍ VÀ BẢO MẬT THÔNG TIN TRONG DOANH NGHIỆP Chuyên ngành: Khoa học máy tính Mã số: 60 48 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC TS Nguyễn Cường Thái Nguyên – 2013 i MỤC LỤC Trang phụ bìa Lời cam đoan Lời cảm ơn Mục lục i Danh mục ký hiệu, từ viết tắt iii Danh mục hình iv Danh mục bảng v MỤC LỤC I DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT I MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY CHƯƠNG 2.BẢO MẬT VÀ CHI PHÍ TRONG ĐIỆN TOÁN ĐÁM MÂY 15 3.3.4 Lựa chọn hệ thống kiểm soát bảo mật giải pháp bảo mật đám mây 60 PHỤ LỤC 69 DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT Tên viết tắt Tên khoa học Giải nghĩa ii Aplication API AWS CNTT/IT CPU ĐTĐM EC2 IaaS I/O PaaS PC SaaS SLA SOA SSL TLS XaaS XML VPN PSE S3 Programming Giao diện lập trình ứng dụng Interface Amazon Web Service Dịch vụ Web Amazon Information Technology Công nghệ thông tin Central Processing Unit Đơn vị xử lý trung tâm Cloud Computing Điện toán đám mây Amazon Elastic Compute Nền tảng tính toán đám mây Cloud Amazon Infrastructure as a Service Hạ tầng dịch vụ Input/Output Nhập/xuất Platform as a Service Nền tảng dịch vụ Personal Computer Máy tính cá nhân Software as a Service Phần mềm dịch vụ Service Level Agreement Thỏa thuận cấp dịch vụ Service Oriented Kiến trúc hướng dịch vụ Architecture Secure Sockers Layer Giao thức an ninh thông tin mạng Transport Layer Security Giao thức cung cấp DV bảo mật anything as a service Mọi thành phần dịch vụ eXtensible Markup Ngôn ngữ đánh dấu mở rộng Language Virtual Private Network Mạng riêng ảo Problem Solving Môi trường giải vấn đề Environment Simple Storage Services Dịch vụ lưu trữ liệu Amazon DANH MỤC CÁC HÌNH MỤC LỤC I DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT I MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY Hình 1.1 Mô hình tổng quan điện toán đám mây [1] .9 iii Hình 1.2 Mô hình dịch vụ điện toán đám mây Hình 1.3 Mô hình triển khai ĐTĐM 10 12 Hình 1.4 Mô hình kiến trúc tổng quát ĐTĐM 12 CHƯƠNG 2.BẢO MẬT VÀ CHI PHÍ TRONG ĐIỆN TOÁN ĐÁM MÂY 15 Hình 2.1 Mô hình tham chiếu ĐTĐM [4] .16 Hình 2.2 Framework quản lý rủi ro (NIST) 21 Bảng 2.1 Các nhóm kiểm soát bảo mật 24 Bảng 2.2 Ánh xạ nhóm kiểm soát kỹ thuật với giải pháp bảo vệ liệu 25 Hình 2.3 Quy trình lựa chọn kiểm soát bảo mật 25 Bảng 2.3 Các khuyến cáo kiểm soát kỹ thuật sở cho mức ảnh hưởng hệ thống thông tin [16] 27 Hình 2.4 Giải pháp mở rộng framework quản lý rủi ro 29 3.3.4 Lựa chọn hệ thống kiểm soát bảo mật giải pháp bảo mật đám mây 60 3.3.4.1 Lựa chọn hệ thống kiểm soát bảo mật .60 3.3.4.2 Lựa chọn giải pháp bảo mật đám mây .61 PHỤ LỤC 69 DANH MỤC CÁC BẢNG iv Bảng 2.1 Các nhóm kiểm soát bảo mật .Error: Reference source not found Bảng 2.2 Ánh xạ nhóm kiểm soát kỹ thuật với giải pháp bảo vệ liệu Error: Reference source not found Bảng 2.3 Các khuyến cáo kiểm soát kỹ thuật sở cho mức ảnh hưởng hệ thống thông tin [16] Error: Reference source not found MỞ ĐẦU Lý chọn đề tài Điện toán đám mây trở thành công nghệ nói đến nhiều thời gian gần nhận nhiều quan tâm từ giới truyền thông giới phân tích hội mà mang lại Đặc trưng điện toán đám mây khả cung cấp dịch vụ thông tin tài nguyên tính toán từ mạng Những ứng dụng chắn góp phần làm biến đổi lộ trình phát triển doanh nghiệp, cho phép họ đẩy mạnh giảm chi phí, tăng tính sử dụng, giảm quản trị hạ tầng chi phí Trong việc điều hành thành công doanh nghiệp, việc nắm bắt liệu xử lý nhanh nhạy yếu tố tiên quyết, mô hình điện toán đám mây trở thành mô hình thời thượng, đánh giá cao nhờ khả linh hoạt xử lý liệu Hiện có nhiều doanh nghiệp Việt Nam hầu hết đã, tiếp cận điện toán đám mây giải pháp hiệu an toàn Các chi phí lợi ích kinh tế việc thực dịch vụ điện toán đám mây khác tùy thuộc vào quy mô tổ chức, doanh nghiệp nguồn lực công nghệ thông tin có họ Trong số lợi ích thúc đẩy doanh nghiệp định sử dụng công nghệ này, lợi ích lớn tiết kiệm chi phí, thời gian, nguồn lực công nghệ thông tin quản lí Để hiểu rõ mô hình điện toán đám mây, ưu, nhược điểm, khả ứng dụng, tìm hiểu chuyên sâu ảnh huởng công nghệ lên chi phí bảo mật thông tin doanh nghiệp, em chọn nội dung “Nghiên cứu ảnh hưởng điện toán đám mây lên chi phí bảo mật thông tin doanh nghiệp” làm đề tài nghiên cứu luận văn cao học 2 Đối tượng phạm vi nghiên cứu Tìm hiểu nghiên cứu công nghệ điện toán đám mây, công ty cung cấp an ninh điện toán đám mây Nghiên cứu ảnh hưởng điện toán đám mây lên chi phí bảo mật thông tin doanh nghiệp: điện toán đám mây đời cung cấp dịch vụ giúp cho doanh nghiệp quản lý tốt, hiệu nguồn liệu công ty khách hàng Một mạnh điện toán đám mây tính linh động giảm bớt chi phí, xong bên cạnh thách thức, hạn chế điện toán đám mây nhiều mà đặc biệt vấn đề an ninh liệu, thông tin Vì hai vấn đề sau điện toán đám mây tập trung nghiên cứu: • Phương thức lợi ích bảo mật điện toán đám mây, xây dựng framework bảo mật thông tin ước tính chi phí; quan điểm chi phí người dùng nhà cung cấp dịch vụ • Ảnh hưởng chi phí bảo mật thông tin doanh nghiệp chuyển đổi sang công nghệ điện toán đám mây Hướng nghiên cứu đề tài - Khảo sát, tổng hợp sách, báo, tài liệu báo cáo khoa học công bố - Tìm hiểu lý thuyết tổng quan công nghệ điện toán đám mây với thuận lợi khó khăn - Nghiên cứu ảnh hưởng điện toán đám mây lên chi phí bảo mật thông tin doanh nghiệp Ý nghĩa khoa học thực tiễn đề tài Mục đích luận văn cho thấy lợi ích hạn chế liên quan đến chi phí, bảo mật tính sẵn có liệu để doanh nghiệp dùng điện toán đám mây cho thực thi quản lý hệ thống thông tin Cuối đưa khuyến cáo nhân tố ảnh hưởng tới chi phí bảo mật liệu mà doanh nghiệp cần lưu ý trình chuyển đổi ứng dụng điện toán đám mây Bố cục luận văn Luận văn gồm chương - Chương 1: Tổng quan điện toán đám mây, trình bày số khái niệm điện toán đám mây, đặc điểm chính, mô hình dịch vụ, mô hình triển khai - Chương 2: Bảo mật chi phí điện toán đám mây, trình bày bước xây dựng khung làm việc bảo mật thông tin ước tính chi phí điện toán đám mây Đưa lợi ích bảo mật điện toán đám mây, đánh giá quan điểm chi phí người dùng nhà cung cấp dịch vụ - Chương 3: Ảnh hưởng điện toán đám mây với doanh nghiệp, đưa ảnh hưởng chi phí bảo mật thông tin doanh nghiệp, xây dựng khung làm việc bảo mật thông tin ước tính chi phí, từ đưa đánh giá khuyến cáo cho doanh nghiệp chuyển đổi sang công nghệ điện toán đám mây CHƯƠNG TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM MÂY 1.1 Giới thiệu điện toán đám mây 1.1.1 Khái niệm điện toán đám mây Đối với doanh nghiệp, việc quản lý tốt hiệu liệu riêng công ty liệu khách hàng toán ưu tiên hàng đầu Để quản lý nguồn liệu đó, doanh nghiệp phải đầu tư, tính toán nhiều loại chi phí như: chi phí cho phần cứng, phần mềm, mạng, quản trị viên, bảo trì, sửa chữa,…Ngoài công ty phải tính toán khả mở rộng, nâng cấp thiết bị, kiểm soát việc bảo mật liệu tính sẵn sàng cao liệu, từ toán điển vậy, có nơi tin cậy giúp doanh nghiệp quản lý tốt nguồn liệu đó, doanh nghiệp không quan tâm đến sở hạ tầng công nghệ mà tập trung vào công việc kinh doanh, điều mang lại hiệu lợi nhuận kinh tế ngày cao cho doanh nghiệp Điện toán đám mây (ĐTĐM) trở thành dịch vụ mở phổ biến lĩnh vực công nghệ thông tin Các sở kỹ thuật ĐTĐM bao gồm kiến trúc hướng dịch vụ (SOA) công nghệ ảo hóa phần cứng phần mềm Mục tiêu ĐTĐM để chia sẻ tài nguyên người sử dụng dịch vụ đám mây nhà cung cấp ĐTĐM Đã có nhiều định nghĩa khác ĐTĐM sau vài khái niệm: Theo Rajkumar Buyya, ĐTĐM loại hệ thống phân bổ xử lý song song gồm máy tính ảo kết nối với cung cấp động cho người dùng nhiều tài nguyên đồng dựa thỏa thuận dịch vụ nhà cung cấp người sử dụng [7] Theo định nghĩa Viện nghiên cứu tiêu chuẩn công nghệ quốc gia Hoa Kỳ (NIST), "Điện toán đám mây mô hình điện toán cho phép truy cập qua mạng để lựa chọn sử dụng tài nguyên tính toán (ví dụ: mạng, máy chủ, lưu trữ, ứng dụng dịch vụ) theo nhu cầu cách thuận tiện nhanh chóng; đồng thời cho phép kết thúc sử dụng dịch vụ, giải phóng tài nguyên dễ 70 tiên lựa chọn để điều khiển truy cập từ xa (AC-17) đặt tên AC-17(1) (2)(3) Phần tài liệu tham khảo: gồm luật liên quan, hướng dẫn, tiêu chuẩn… Phần phân bổ ưu tiên cung cấp danh sách ưu tiên thực kiểm soát sở, ví dụ kiểm soát đánh dấu P1 thực Việc phân bổ cung cấp phân bổ ban đầu kiểm soát nâng cao kiểm soát cho hệ thống với mức độ ảnh hưởng thấp, trung bình cao Ký hiệu ưu tiên Thứ tự Priority Code (P1) FIRST Hoạt động Thực kiểm soát P1 Priority Code (P2) NEXT Thực kiểm soát bảo mật P2 sau thực kiểm soát P1 Priority Code (P3) LAST Thực kiểm soát bảo mật P3 sau thực kiểm soát P1 P2 Unspec Priority Code NONE (P0) Kiểm soát bảo mật không lựa chọn Phụ lục A1: Các kiểm soát sở hạn chế AC-17 REMOTE ACCESS (NIST 2009b) Kiểm soát: - Các tài liệu cho phép thực thi phương pháp truy cập từ xa (Remote) tới hệ thống thông tin; - Hướng dẫn thực cho phương pháp; - Giám sát truy cập từ xa trái phép vào hệ thống thông tin; - Cho phép truy cập từ xa vào hệ thống thông tin trước kết nối thực thi yêu cầu - Thực thi yêu cầu cho kết nối từ xa với hệ thống thông tin 71 Hướng dẫn bổ sung Kiểm soát cần ủy quyền trước cho phép truy cập từ xa vào hệ thống thông tin mà định định dạng cụ thể cho ủy quyền Truy cập từ xa vào hệ thống thông tin người dùng (hoặc danh nghĩa người sử dụng) giao tiếp thông qua mạng bên (ví dụ Internet) Ví dụ phương pháp truy cập từ xa bao gồm dialup, băng thông rộng, không dây (AC-18 để truy cập không dây) Một mạng riêng ảo cung cấp đầy đủ kiểm soát bảo mật thích hợp coi mạng nội Các kiểm soát truy cập từ xa áp dụng cho hệ thống thông tin khác so với máy chủ web công cộng hệ thống thiết kế đặc biệt để truy cập công cộng Các hạn chế thực thi truy cập liên kết với kết nối từ xa thực kiểm soát AC-3 Các kiểm soát liên quan: AC-3, AC-18, IA-2, IA-3, IA-8, MA-4 Nâng cao kiểm soát - Tổ chức sử dụng chế tự động để tạo điều kiện thuận lợi cho việc giám sát kiểm soát phương pháp truy cập từ xa * Hướng dẫn bổ sung nâng cao: Tự động giám sát phiên truy cập từ xa cho phép tổ chức kiểm tra hoạt động người dùng loạt thành phần hệ thống thông tin (ví dụ: máy chủ, máy trạm, máy tính xách tay) để đảm bảo phù hợp với sách truy cập từ xa - Tổ chức sử dụng mật mã để bảo vệ bảo mật tính toàn vẹn phiên truy cập từ xa * Hướng dẫn bổ sung nâng cao : chế mã hóa lựa chọn dựa việc phân loại bảo mật thông tin Các kiểm soát liên quan: SC-8, SC-9, SC-13 - Các hệ thống thông tin định tuyến tất truy cập từ xa thông qua số điểm kiểm soát truy cập * Hướng dẫn bổ sung nâng cao: kiểm soát liên quan: SC-7 72 - Tổ chức cho phép thực lệnh đặc quyền quyền truy cập vào thông tin bảo mật có liên quan thông qua truy cập từ xa cho yêu cầu vận hành tài liệu liên quan với việc truy cập kế hoạch bảo mật cho hệ thống thông tin * Hướng dẫn bổ sung nâng cao: kiểm soát: AC-6 - Tổ chức giám sát kết nối trái phép từ xa tới hệ thống thông tin - Tổ chức đảm bảo người dùng bảo vệ thông tin chế truy cập từ xa - Tổ chức đảm bảo phiên truy cập từ xa (Nhiệm vụ: tổ chức xác định danh sách chức bảo mật bảo mật thông tin liên quan, biện pháp bảo mật bổ sung * Hướng dẫn bổ sung nâng cao: Các biện pháp bảo mật bổ sung thường vượt phần lớn tiêu chuẩn phiên mã hóa lớp (ví dụ: Mạng riêng ảo (VPN) ngăn chặn chế độ kích hoạt) Các kiểm soát liên quan: SC-8, SC-9 - Tổ chức vô hiệu hóa ( tổ chức giao thức mạng xác định tổ chức hệ thống thông tin cho thấy không đảm bảo) ngoại trừ yếu tố nhận dạng đáp ứng yêu cầu hoạt động cụ thể * Hướng dẫn bổ sung nâng cao: Các tổ chức đưa định bảo mật liên quan giao thức kết nối mạng định bảo mật đánh giá đơn vị khác Kết nối mạng Bluetooth peer-to-peer ví dụ giao thức mạng an toàn Tài liệu tham khảo: Các ấn NIST: Special Publications 800-46, 800-77, 800-113, 800-114 Phân bổ ưu tiên P1 LOW AC-17 MOD AC-17 (1) (2) HIGH AC-17 (1) (2) (3) (4) (5) (7) (8) (3) (4) (5) (7) (8) 73 AC-20 USE OF EXTERNAL INFORMATION SYSTEMS (NIST 2009b) Kiểm soát: Tổ chức thiết lập điều khoản điều kiện phù hợp với mối quan hệ tin cậy thành lập với tổ chức khác khía cạnh: sở hữu, điều hành trì hệ thống thông tin bên ngoài, điều cho phép cá nhân có quyền: - Truy cập hệ thống thông tin từ hệ thống bên ngoài; - Xử lý, lưu trữ truyền tải thông tin tổ chức kiểm soát cách sử dụng hệ thống thông tin bên Hướng dẫn bổ sung Các hệ thống thông tin bên hệ thống thành phần hệ thống nằm thiết lập tổ chức tổ chức thường giám sát trực tiếp thẩm quyền kiểm soát bảo mật yêu cầu đánh giá tính hiệu kiểm soát bảo mật Hệ thống bao gồm: - Hệ thống thông tin thuộc sở hữu cá nhân: máy tính, điện thoại di động… - Các thiết bị thông tin điện toán thuộc sở hữu riêng trung tâm thương mại nơi công cộng: khách sạn, trung tâm hội nghị, sân bay… - Hệ thống thông tin thuộc sở hữu kiểm soát tổ chức phủ - Hệ thống thông tin không thuộc sở hữu, điều hành hay kiểm soát phủ Đối với số hệ thống bên đặc biệt hệ thống điều hành quan liên bang khác mối quan hệ tin cậy thiết lập tổ chức tổ chức ban đầu mà điều kiện điều khoản rõ ràng yêu cầu Kiểm soát không áp dụng cho việc sử dụng hệ thống thông tin bên để truy cập vào giao diện công cộng hệ thống thông tin tổ chức Tổ chức thiết lập điều khoản điều kiện cho việc sử dụng 74 hệ thống thông tin bên phù hợp với sách quy trình bảo mật tổ chức - Các loại ứng dụng truy cập vào hệ thống thông tin thuộc tổ chức từ hệ thống bên - Việc phân loại bảo mật cao thông tin xử lý, lưu trữ truyền hệ thống thông tin bên Kiểm soát định nghĩa quyền truy cập thực thi AC-3, quy định yêu cầu hành vi thực thi PL-4 quy định thiết lập phiên thực thi AC-17 Kiểm soát liên quan: AC-3, AC-17, PL-4 Nâng cao kiểm soát Tổ chức cho phép cá nhân phép sử dụng hệ thống thông tin bên để truy cập vào hệ thống thông tin, xử lý, lưu trữ truyền thông tin kiểm soát thuộc tổ chức tổ chức: - Có thể xác minh việc thực yêu cầu kiểm soát an ninh hệ thống bên theo quy định sách bảo mật thông tin tổ chức kế hoạch bảo mật; - Chấp thuận kết nối hệ thống thông tin thỏa thuận với đơn vị tổ chức lưu trữ hệ thống thông tin bên Hướng dẫn bổ sung nâng cao: Giới hạn việc sử dụng phương tiện lưu trữ kiểm soát định nghĩa tổ chức hệ thống bên cấm hoàn toàn việc sử dụng thiết bị hạn chế cách thiết bị sử dụng đưa điều kiện để sử dụng thiết bị Tài liệu tham khảo FIPS Publication 199 Phân bổ ưu tiên P1 LOW AC-20 MOD AC-20 (1) (2) HIGH AC-20(1)(2) IA-2 IDENTIFICATION AND AUTHENTICATION 75 (ORGANIZATIONAL USERS) (NIST 2009b) Kiểm soát Hệ thống thông tin nhận dạng xác thực tính người sử dụng thuộc tổ chức (hoặc xử lý hoạt động thay mặt cho họ) Hướng dẫn bổ sung Người sử dụng thuộc tổ chức bao gồm nhân viên, cá nhân mà tổ chức cho họ có tình trạng tương tự nhân viên công ty, ví dụ nhà thầu, nhà nghiên cứu khách mời, cá nhân đến từ nước đồng minh Người sử dụng nhận dạng xác thực cho tất truy cập truy cập nhận dạng dẫn chứng từ tài liệu cách rõ ràng AC-14 Sự xác định tính cá nhân tài khoản nhóm cần phải xem xét giải trình chi tiết hoạt động Chứng thực người dùng thực thông qua việc sử dụng mật khẩu, thẻ, thẻ, sinh trắc học chứng thức đa hệ hay kết hợp Việc truy cập vào hệ thống định nghĩa giống cục mạng Truy cập cục truy cập vào hệ thống thông tin tổ chức người dùng (hoặc danh nghĩa người dùng) thông qua kết nối mạng Truy cập từ xa truy cập thông qua mạng bên (Internet) Các mạng nội bao gồm mạng cục bộ, mạng diện rộng, mạng riêng ảo thuộc kiểm soát tổ chức Việc nhận dạng xác thực yêu cầu để truy cập vào hệ thống thông tin mô tả thêm IA-8 Ngoài việc xác định chứng thực người dùng mức độ hệ thống (lúc đăng nhập), cần thiết chế sử dụng mức độ ứng dụng để cung cấp thêm thông tin bảo mật cho tổ chức Các kiểm soát liên quan:AC-14, AC-17, AC-18, IA-4, IA5 76 Nâng cao kiểm soát - Hệ thống thông tin sử dụng chứng thực đa hệ số cho việc truy cập mạng vào tài khoản ưu tiên - Hệ thống thông tin sử dụng chứng thực đa hệ số cho việc truy cập mạng vào tài khoản không ưu tiên - Các hệ thống thông tin sử dụng chứng thực đa hệ số cho truy cập cục vào tài khoản đặc quyền - Các hệ thống thông tin sử dụng chứng thực đa hệ số cho truy cập cục vào tài khoản không ưu tiên - Tổ chức: • Cho phép việc sử dụng chứng thực nhóm sử dụng kết hợp với chứng thực riêng/duy nhất; • Yêu cầu cá nhân chứng thực riêng trước sử dụng nhóm chứng thực - Hệ thống thông tin sử dụng chứng thực đa hệ số truy cập tài khoản ưu tiên mà yếu tố cung cấp thiết bị riêng biệt từ hệ thống thông tin truy cập - Hệ thống thông tin sử dụng chứng thực đa hệ số truy cập tới tài khoản không ưu tiên mà yếu tố cung cấp thiết bị riêng biệt từ hệ thống thông tin truy cập - Hệ thống thông tin sử dụng để truy cập tới tài khoản ưu tiên - Hệ thống thông tin sử dụng để truy cập tới tài khoản không ưu tiên Tài liệu tham khảo HSPD 12; OMB Memorandum 04-04; FIPS Publication 201; NIST Special Publications 800-63, 800-73, 800-76, 800-78 Phân bổ ưu tiên P1 LOW IA-2(1) MOD IA-2 (1)(2) HIGH IA-2 (1)(2)(3) (3) (8) (4)(8)(9) 77 Phụ lục A2: Các kiểm soát tùy chọn hạn chế AC-3 ACCESS ENFORCEMENT (NIST 2009b) Kiểm soát Hệ thống thông tin thực thi quyền chấp thuận cho truy cập (logic) tới hệ thống phù hợp với sách ứng dụng Hướng dẫn bổ sung Các sách kiểm soát truy cập (ví dụ: sách dựa nhận dạng, dựa vai trò hay sách dựa thuộc tính) chế thực thi truy cập (ví dụ: danh sách kiểm soát truy cập, mật mã) sử dụng tổ chức để kiểm soát truy cập người dùng xử lý hoạt động thay mặt cho người dùng đối tượng hệ thống thông tin (các thiết bị, tập tin, quy trình, chương trình) Ngoài việc thực thi truy cập ủy quyền theo cấp hệ thống, chế thực thi truy cập sử dụng cấp ứng dụng cần thiết để tăng cường bảo mật thông tin cho tổ chức Các kiểm soát liên quan: AC-2, AC-4, AC-5, AC-6, AC-16, AC-17, AC-19, AC-20, AC-21, AC-22, AU-9, CM-5, CM-6, MA-3, MA-4, MA-5, SA-7, SC13, SI-9 Nâng cao kiểm soát - Hệ thống thông tin thực thi chế ủy quyền kép dựa quy trình sách mang tính tổ chức * Hướng dẫn bổ sung nâng cao: chế ủy quyền kép yêu cầu hai hình thức để thực Tổ chức không sử dụng chế ủy quyền kép cần phản hồi để đảm bảo an toàn cho khu vực công cộng lĩnh vực môi trường - Hệ thống thông tin thực thi trên: 78 • Thông tin kiểm soát truy cập(ví dụ: thuộc tính) sử dụng quy tắc sách (ví dụ: ví trí, quốc tịch, tuổi, dự án…) • Các mối quan hệ bắt buộc thông tin kiểm soát truy cập với truy cập cho phép * Hướng dẫn bổ sung nâng cao: Các sách kiểm soát truy cập không tùy ý triển khai tổ chức bao gồm kiểm soát truy cập dựa thuộc tính hay kiểm soát truy cập bắt buộc… - Hệ thống thông tin thực thi sách kiểm soát truy cập tùy ý: • Cho phép người dùng xác định chia sẻ kiểm soát cá nhân có tên, nhóm cá nhân hai • Hạn chế tuyên truyền quyền truy cập • Có quyền truy cập vào thông tin chi tiết người dùng - Hệ thống ngăn chặn quyền truy cập vào thông tin liên quan đến bảo mật định nghĩa tổ chức ngoại trừ trạng thái an toàn hệ thống hoạt động * Hướng dẫn bổ sung nâng cao:Mọi thông tin liên quan tới bảo mật hệ thống thông tin ảnh hưởng đến hoạt động chức bảo mật, nghĩa ảnh hưởng đến việc thực thi sách bảo mật hệ thống trì cô lập liệu code Để đảm bảo bảo mật cho thông tin cần có quy định việc lọc thông tin cho thiết bị router, firewalls, quản lý thông tin mã hóa, thông số cấu hình quan trọng dịch vụ bảo mật hay danh sách kiểm soát truy cập - Tổ chức mã hóa lưu trữ off-line vị trí an toàn * Hướng dẫn bổ sung nâng cao: Việc sử dụng mã hóa tổ chức làm giảm khả thông tin bị tiết lộ trái phép Loại bỏ khả lưu trữ on-line để lưu trữ off-line loại bỏ truy cập trái phép thông qua mạng Kiểm soát liên quan: MP-4 Phân bổ ưu tiên 79 P1 LOW AC-3 MOD AC-3 HIGH AC-3 AC-4 INFORMATION FLOW ENFORCEMENT (NIST 2009b) Kiểm soát Hệ thống thông tin thực thi quyền phép để kiểm soát luồng thông tin hệ thống hệ thống kết nối với đảm bảo phù hợp với sách áp dụng Hướng dẫn bổ sung Việc kiểm soát luồng thông tin quy định vị trí mà thông tin phép lưu thông hệ thống hệ thống phân biệt rõ ràng cho truy cập đến thông tin Kiểm soát luồng thông tin dựa đặc điểm thông tin đường dẫn (ví dụ thiết bị kiểm soát luồng thông tin: proxy, gateway, firewall, router…) Cơ chế thực AC-4 cấu hình để thực thi quyền xác định kiểm soát khác Các kiểm soát liên quan: AC-17, AC-19, AC-21, CM-7, SA-8, SC-2, SC-5, SC-7 Nâng cao kiểm soát - Hệ thống thông tin thực thi kiểm soát luồng thông tin cách sử dụng thuộc tính bảo mật rõ ràng đối tượng thông tin, nguồn đích làm sở cho định kiểm soát luồng * Hướng dẫn bổ sung nâng cao: Luồng thông tin thực chế so sánh thuộc tính bảo mật tất đối tượng thông tin (nội dung cấu trúc liệu), đối tượng nguồn, đích đáp ứng cách thích hợp gặp phải sách không rõ ràng 80 - Hệ thống thông tin thực thi kiểm soát luồng thông tin cách sử dụng vùng xử lý bảo vệ sở cho định kiểm soát dòng chảy - Hệ thống thông tin thực thi tính kiểm soát luồng thông tin dựa sách cho phép không cho phép các luồng thông tin thay đổi điều kiện hay xem xét hoạt động - Hệ thống thông tin ngăn chặn mã hóa liệu cách bỏ qua chế kiểm tra nội dung Phân bổ ưu tiên P1 LOW Not Selected MOD AC-4 HIGH AC-4 AC-16 SECURITY ATTRIBUTES (NIST 2009b) Kiểm soát Hệ thống thông tin hỗ trợ trì ràng buộc với thông tin lưu trữ, xử lý truyền tải Hướng dẫn bổ sung Các thuộc tính bảo mật trừu tượng, đại diện cho thuộc tính bản, đặc tính thực thể liên quan đến việc bảo vệ thông tin Những thuộc tính thường gắn liền với cấu trúc liệu nội (như ghi, đêm, file) hệ thống thông tin sử dụng phép thực sách kiểm soát truy cập kiểm soát luồng thông tin, phản ánh hướng dẫn xử lý phân phối hỗ trợ khía cạnh khác lĩnh vực bảo mật thông tin Thuật ngữ “nhãn bảo mật” thường sử dụng để kết hợp thuộc tính bảo mật với đối tượng thông tin cụ thể phần cấu trúc liệu cho đối tượng Kiểm soát liên quan: AC-3, AC-4, SC-16, MP-3 Nâng cao kiểm soát 81 - Các hệ thống thông tin tự động cấu hình lại thuộc tính bảo mật phù hợp với sách bảo mật xác định thông tin tạo kết hợp - Hệ thống thông tin cho phép tổ chức có thẩm quyền thay đổi thuộc tính bảo mật - Hệ thống thông tin trì gắn kết thuộc tính bảo mật thông tin với đảm bảo đầy đủ liên kết thuộc tính - thông tin sử dụng sở cho hoạt động sách tự động * Hướng dẫn bổ sung nâng cao: Ví dụ hoạt động sách tự động bao gồm định kiểm soát truy cập tự động định giải phóng không giải phóng thông tin - Các hệ thống thông tin cho phép người dùng có thẩm quyền để kết hợp thuộc tính bảo mật thông tin * Hướng dẫn bổ sung nâng cao: hỗ trợ cung cấp hệ thống thông tin khác từ thúc đẩy người dùng để lựa chọn thuộc tính bảo mật liên kết với đối tượng thông tin cụ thể, đảm bảo kết hợp thuộc tính lựa chọn hợp lệ Phân bổ ưu tiên P0 LOW Not Selected MOD Not Selected HIGH Not Selected AU-9 PROTECTION OF AUDIT INFORMATION (NIST 2009b) Kiểm soát Hệ thống thông tin bảo vệ thông tin kiểm tra công cụ kiểm tra từ truy nhập trái phép, sửa đổi xóa Hướng dẫn bổ sung 82 Thông tin kiểm tra bao gồm tất thông tin cần thiết để hoạt động thông tin thực thành công (ví dụ: ghi kiểm tra, thiết lập kiểm tra).Kiểm soát liên quan: AC-3, AC-6 Nâng cao kiểm soát - Hệ thống thông tin tạo ghi kiểm tra phần cứng thiết bị truyền thông cho phép ghi - Hệ thống thông tin lưu ghi kiểm tra hệ thống phương tiện khác với hệ thống kiểm tra - Các hệ thống thông tin sử dụng chế mã hóa để bảo vệ tính toàn vẹn thông tin kiểm tra công cụ kiểm tra * Hướng dẫn bổ sung nâng cao: Một ví dụ chế mã hóa để bảo vệ tính toàn vẹn việc tính toán ứng dụng mã hóa hàm băm cách sử dụng mật mã không đối xứng, bảo vệ bí mật khóa sử dụng để tạo bảng băm sử dụng khóa công khai để xác minh thông tin hàm băm Phân bổ ưu tiên P1 LOW AU-9 MOD AU-9 HIGH AU-9 SC-4 INFORMATION IN SHARED RESOURCES (NIST 2009b) Kiểm soát Hệ thống thông tin ngăn chặn việc truyền thông tin trái phép thông qua tài nguyên hệ thống chia sẻ Hướng dẫn bổ sung Mục đích kiểm soát để ngăn chặn thông tin bao gồm dạng thông tin mã hóa, tạo hành động người sử dụng trước người sử dụng có quyền truy cập vào hệ thống chia sẻ tài nguyên Kiểm soát thông tin tài nguyên chia sẻ gọi đối tượng tái sử dụng 83 Nâng cao kiểm soát - Hệ thống thông tin không chia sẻ nguồn tài nguyên sử dụng giao tiếp với hệ thống hoạt động mức bảo mật khác * Hướng dẫn bổ sung nâng cao: Việc chia sẻ tài nguyên bao gồm chia sẻ nhớ, card mạng, hàng đợi đầu ra/đầu vào Phân bổ nâng cao P1 LOW Not Selected SC-12 CRYPTOGRAPHIC MOD SC-4 KEY HIGH SC-4 ESTABLISHMENT AND MANAGEMENT (NIST 2009b) Kiểm soát Tổ chức thiết lập quản lý khóa mã hóa cho yêu cầu sử dụng mã hóa hệ thống thông tin Hướng dẫn bổ sung Việc thiết lập quản lý khóa thực cách sử dụng thủ tục hướng dẫn chế tự động có hỗ trợ thủ tục hướng dẫn Ngoài việc chế mã hóa hoạt động hiệu quả, mã khóa đảm bảo thông tin sẵn có trường hợp người sử dụng bị mật mã Nâng cao kiểm soát - Tổ chức trì sẵn có thông tin người bị mật mã - Tổ chức tạo, kiểm soát phân phối khóa đối xứng cách sử dụng quy trình công nghệ chủ chốt - Tổ chức tạo, kiểm soát phân phối khóa đối xứng bất đối xứng cách sử dụng quy trình công nghệ chủ chốt chấp thuận Tài liệu tham khảo NIST Special Publications 800-56, 800-57 84 Phân bổ ưu tiên P1 LOW SC-12 MOD SC-12 HIGH SC-12(1) SC-13 USE OF CRYPTOGRAPHY (NIST 2009b) Kiểm soát Hệ thống thông tin thực yêu cầu mã hóa cách sử dụng môđun mã hoá theo quy định luật pháp, sách hướng dẫn Nâng cao kiểm soát - Tổ chức sử dụng (ở mức tối thiểu) FIPS xác nhận mật mã để bảo vệ thông tin không phân loại - Tổ chức sử dụng mật mã phê chuẩn NSA để bảo vệ thông tin phân loại - Tổ chức sử dụng (ở mức tối thiểu) mã hóa chấp thuận FIPS để bảo vệ thông tin thông tin tách từ cá nhân chưa có chấp thuận truy cập cần thiết Tài liệu tham khảo FIPS Publication 140-2; Web: CSRC.NIST.GOV/CRYPTVAL, WWW.CNSS.GOV Phân bổ sở ưu tiên P1 LOW SC-13 MOD SC-13 HIGH SC-13 ... 2: Bảo mật chi phí điện toán đám mây, trình bày bước xây dựng khung làm việc bảo mật thông tin ước tính chi phí điện toán đám mây Đưa lợi ích bảo mật điện toán đám mây, đánh giá quan điểm chi phí. .. THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG Đỗ Thị Việt Hồng NGHIÊN CỨU ẢNH HƯỞNG CỦA ĐIỆN TOÁN ĐÁM MÂY LÊN CHI PHÍ VÀ BẢO MẬT THÔNG TIN TRONG DOANH NGHIỆP Chuyên ngành: Khoa học... cung cấp an ninh điện toán đám mây Nghiên cứu ảnh hưởng điện toán đám mây lên chi phí bảo mật thông tin doanh nghiệp: điện toán đám mây đời cung cấp dịch vụ giúp cho doanh nghiệp quản lý tốt, hiệu

Định dạng
Số trang	90
Dung lượng	1,21 MB