Các nguy cơ và rủi ro mất an toàn đối với hệ thống thông tin

Một phần của tài liệu Nghiên cứu giải pháp bảo mật và xác thực website (Trang 36)

1.3.1. Nguy cơ mất an toàn đối với hệ thống thông tin

Thông tin thường bị đe dọa lấy cắp, thay đổi hay bị xóa một cách vô tình hay cố ý. Các nguy cơ có khả năng gây ảnh hưởng đến toàn bộ hệ thống thường được thể hiện dưới dạng:

- Phá hoại thông tin (khai thác thông tin vì mục đích tình báo quốc gia, tình báo thương mại, vì mục đích của những phần tử tội phạm, của những nhân viên không trung thành...).

- Nghe lén hay đọc lén thông tin là một trong những phương thức truy xuất thông tin trái phép và được thể hiện dưới các hành vi như: Theo dõi các nguồn tin, nghe trộm các cuộc nói chuyện riêng và thu trộm các tín hiệu âm thanh của máy móc đang làm việc.

- Chặn bắt là cách lấy thông tin trái phép trên đường truyền như chặn bắt các trường điện, trường từ, trường điện từ, các tín hiệu điện…

- Tiết lộ thông tin là nguy cơ thông tin bị tiết lộ có chủ đích của người biết thông tin cho người khác như: Những người nắm giữ thông tin riêng hoặc thông tin mật tiết lộ thông tin, truyền trái phép vật mang tin dưới dạng vật chất…

- Lan truyền trái phép thông tin qua các trường và các tín hiệu điện xuất hiện ngẫu nhiên ở các thiết bị điện và thiết bị vô tuyến điện, vì các thiết bị đó quá cũ hoặc sản xuất kém chất lượng và vi phạm các nguyên tắc sử dụng.

- Những hỏng hóc do thiết bị, không thể sửa được trong quá trình làm việc của thu thập, xử lý, lưu giữ và truyền tin, những lỗi do vô ý của người dùng tin. Ảnh hưởng của thiên tai, sự cố về an toàn, ảnh hưởng của các loại nhiễu tự nhiên, nhiễu điện công nghiệp, nhiễu điện từ.

1.3.2. Đánh giá và xử lý các nguy cơ mất an toàn thông tin

Để bảo vệ thông tin có hiệu quả, cần ước lượng giá trị của nguy cơ đe dọa an toàn thông tin. Giá trị của một nguy cơ cụ thể đối với thành phần thông

tin xem xét đầu tiên trong mọi trường hợp có thể biểu thị dưới dạng tích của các thiệt hại tiềm ẩn do thực trạng nguy cơ về yếu tố thông tin đầu tiên với xác suất thực tế thể hiện nó.

Việc nhận giá trị định lượng tương đối chính xác và khách quan của các thành phần là phức tạp. Việc đánh giá gần đúng độ lớn của nguy cơ đe dọa an toàn thông tin có thể thực hiện được trong những điều kiện và giới hạn sau:

- Thứ nhất, có thể giả thiết thiệt hại lớn nhất do thông tin bị đánh cắp tương ứng với giá trị của thông tin đó.

- Thứ hai, trong trường hợp hoàn toàn không xác định được ý đồ của kẻ ác ý về khai thác thông tin thì sai số dự đoán là nhỏ nhất, rõ ràng là giá trị thông tin lớn bao nhiêu và nguy cơ đe dọa an toàn thông tin lớn nhiêu.

Từ những phân tích trên đây có thể thấy rằng, việc đánh giá một cách đầy đủ các nguy cơ về an toàn thông tin đối với nguồn tài nguyên thông tin của mỗi cơ quan, tổ chức là bước đi cần thiết để có thể xây dựng các chính sách, giải pháp bảo vệ thông tin một cách hữu hiệu.

1.3.3. Rủi ro và quản lý rủi ro trong an toàn thông tin

Rủi ro trong an toàn thông tin là những thiệt hại, mất mát, nguy hiểm hoặc các yếu tố liên quan đến nguy hiểm đến một hệ thống thông tin và gây ra những thiệt hại nhất định.

Phân biệt giữa nguy cơ và rủi ro. Nguy cơ là một tình huống hoặc một hành động, sự kiện có tiềm năng gây ra tổn hại đối với hệ thống thông tin. Rủi ro là những thiệt hại có khả năng xảy ra đối với hệ thống.

Nhận dạng mối nguy là sự khởi đầu của tiến trình quản lý và kiểm soát nguy cơ. Nó là bước quan trọng nhất trong bất kỳ cuộc đánh giá nguy cơ nào. Chỉ khi nào một mối nguy được nhận dạng thì mới có thể có hành động để giảm nguy cơ gắn liền với nó và làm giảm rủi ro gặp phải. Các mối nguy không được nhận dạng có thể dẫn đến tổn hại cho hệ thống. Do đó, điều hết

sức quan trọng để bảo đảm rằng sự nhận dạng mối nguy là có tính hệ thống và toàn diện khi xác định được các khía cạnh đặc tính có liên quan của nó.

1.3.4. Quản trị và bảo mật hệ thống thông tin

Con người là trung tâm của tất cả các hệ thống, bởi vì tất cả các cơ chế, kỹ thuật được áp dụng để đảm bảo an toàn cho hệ thống đều do con người thiết kế và chế tạo ra. Yếu tố con người là vô cùng quan trọng trong mọi lĩnh vực và nó không thể thay thế được. Ở đây chúng ta đánh giá yếu tố con người trong vai trò là người quản trị hệ thống.

Nhiệm vụ của các chuyên viên quản trị và an ninh mạng là thiết kế, vận hành, duy trì và theo dõi sát sao các hệ thống mạng cho an toàn và bảo mật, nắm được các kỹ thuật xâm nhập và các biện pháp phòng chống tấn công của các hacker (tin tặc) cũng như khôi phục sau sự cố một cách hiệu quả.

Thành thạo việc thiết kế các hệ thống mạng an toàn, nâng cao tính bảo mật, nắm bắt được các kỹ thuật xâm nhập cũng như các biện pháp phòng chống tấn công hệ thống mạng có hiệu quả.

Yêu cầu chung về quản trị hệ thống thông tin: - Có kiến thức về an toàn bảo mật thông tin.

- Cẩn trọng và tiếp cận vấn đề một cách sáng tạo, đồng thời luôn chú ý các chi tiết, sự thay đổi bất thường của hệ thống.

- Có khả năng giải quyết vấn đề về an toàn bảo mật thông tin mạng, lập kế hoạch, chiến lược thực hiện các nhiệm vụ đó.

1.4. Giải pháp xây dựng một hệ thống bảo mật thông tin 1.4.1. Mục tiêu hệ thống 1.4.1. Mục tiêu hệ thống 1.4.1. Mục tiêu hệ thống

Như chúng ta đều biết, đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thông tin và dữ liệu đóng một vai trò hết sức quan trọng trong đời sống và có khi ảnh hướng tới sự tồn vong của họ. Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là trong bối cảnh hiện nay các hệ

thống thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được. Vì vập phải có giải pháp xây dựng một hệ thống bảo mật thỏa mã được 3 yêu cầu cơ bản (mô hình C - I - A):

- Đảm bảo tính bí mật của thông tin - Đảm bảo tính toàn vẹn của thông tin - Đảm bảo độ sẵn sàng của thông tin

Hình 1.9: Mô hình C - I - A

1.4.2. Xây dựng cơ chế và chính sách bảo mật

Khi xây dựng một hệ thống bảo mật thông tin thì hai khái niệm quan trọng luôn được đề cập đến đó là chính sách bảo mật và cơ chế bảo mật.

Chính sách bảo mật cho một hệ thống là một tập các quy định nhằm đảm bảo an toàn cho hệ thống. Chính sách bảo mật có thể được biểu diễn bằng ngôn ngữ tự nhiên hoặc là ngôn ngữ toán học.

Cơ chế bảo mật là hệ thống các phương pháp, các công cụ, thủ tục… dùng để thực thi các chính sách bảo mật. Cơ chế bảo mật thường là các biện pháp kỹ thuật. Tuy nhiên đôi khi cơ chế bảo mật chỉ là một thủ tục để khi thực hiện thì chính sách được bảo toàn. Khi xây dựng một hệ thống đảm bảo chính sách và cơ chế bảo mật phải thực hiện được các yêu cầu sau:

- Ngăn chặn được các nguy cơ vi phạm chính sách - Phát hiện được các hành vi vi phạm chính sách

- Khắc phục được hậu quả rủi ro khi có vi phạm xảy ra.

- Chính sách bảo mật phải phân chia được một cách rõ rang các trạng thái của hệ thống là an toàn và không an toàn.

- Cơ chế bảo mật có khả năng ngăn chặn hệ thống tiến vào trạng thái không an toàn và đảm bảo hệ thống luông ở trạng thái an toàn.

Theo các tiêu chí trên chúng ta có thể nhận thấy có thể xảy ra các nguy cơ khi thiết kế hệ thống không đảm bảo được các tiêu chí đó là:

- Chính sách không liệt kê được tất cả trạng thái không an toàn của hệ thống. Hay nói cách khác là chính sách bảo mật không đủ an toàn nó không tạo ra được một hệ thống an toàn thật sự.

- Các cơ chế đưa ra không thực hiện được tất cả các yêu cầu của chính sách do các vấn đề kỹ thuật, thiết bị, chi phí…

1.4.3. Giải pháp xây dựng hệ thống

Mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính sách bảo mật đã và đang xảy ra trên hệ thống. Thực hiện cơ chế phát hiện nói chung rất phức tạp, chúng ta phải dựa vào nhiều yếu tố như: kỹ thuật, nguồn thông tin… Về cơ bản các cơ chế phát hiện xâm nhập chủ yếu dựa vào việc theo dõi và phân tích các thông tin nhật ký và dữ liệu đang lưu thông trên mạng để tìm ra các dấu hiệu của sự vi phạm. Các dấu hiệu vi phạm thường phải được nhận diện, tiên đoán trước và được xây dựng trong cơ sở dữ liệu của hệ thống.

Cơ chế sao lưu và phục hồi. Hoạt động của hệ thống thông tin của bất kỳ một tổ chức, doanh nghiệp nào cũng đều dựa trên cốt lõi xử lý dữ liệu và theo đó là quá trình sao lưu dữ liệu (backup). Hiển nhiên theo thời gian, lượng dữ liệu cần lưu trữ và xử lý ngày càng gia tăng, làm nảy sinh hai yêu cầu chính. Một là dữ liệu cần phải được quản lý, được lưu trữ theo suốt vòng đời của nó, và chỉ bị hoàn toàn xóa bỏ khi thật sự không còn giá trị sử dụng. Nói cách khác, tính sẵn sàng của dữ liệu cần phải được đảm bảo trong suốt vòng đời sử dụng. Khả năng phục hồi thông tin bị mất một cách nhanh chóng nhất với

mức độ thiệt hại thấp nhất. Hai yêu cầu trên dẫn đến sự áp dụng phương thức phổ biến trong các hệ thống thông tin.

Cơ chế bảo mật thông tin trên đường truyền tin. Sử dụng giải pháp bảo mật khi giao tiếp trên mạng như: mã hóa dữ liệu trên đường truyền (mã hóa File, mã hóa Form), thiết lập đường truyền riêng VPN….

Khả năng che giấu, toàn vẹn và xác thực thông tin:

- Thuật ngữ “che” dữ liệu (mã hóa): là cách thay đổi hình dạng dữ liệu gốc khiến người khác khó nhận ra.

- Thuật ngữ “Giấu” dữ liệu: cất dấu dữ liệu trong môi trường khác.

- Bảo đảm toàn vẹn và xác thực thông tin: cách dùng các kỹ thuật: mã hóa, hàm băm, giấu tin, ký số, thủy ký,…

Khả năng kiểm tra, kiểm soát lối vào ra của thông tin:

- Kiểm soát, ngăn chặn các thông tin vào và ra trong hệ thống máy tính. - Kiểm soát, cấp quyền sử dụng các thông tin trong máy tính.

- Ngăn ngừa, phòng chống virus sử dụng các ký thuật như: tường lửa, mạng riêng ảo, nhận dạng, xác thực, cấp quyền…

Có khả năng phát hiện và xử lý các lỗ hổng thông tin:

- Các lỗ hổng trong các thuật toán, hay giao thức mật mã, giấu tin - Các lỗ hổng trong giao thức mạng, hệ điều hành, trong các ứng dụng…

Kết luận chương 1

Chương 1 tìm hiểu và phân tích tổng quan về vấn đề bảo mật an toàn thông tin. Giới thiệu phân tích một cách khái quát các đặc trưng của một hệ thống bảo mật thông tin, các nguy cơ và các rủi ro từ đó phân tích, đề xuất phương án xây dựng một hệ thống bảo mật.

Chương tiếp theo của luận văn sẽ đi nghiên cứu thực trạng mất an ninh an toàn trên website, cách xác thực, bảo mật trong website các giải pháp đã và đang triển khai trên thế giới và Việt Nam.

Chương 2

GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC TRONG WEBSITE 2.1. Giới thiệu quá trình phát triển và hoạt động của website

Năm 1989, Tim Berners-Lee đã đề xuất để tạo ra một dư án siêu văn bản toàn cầu, mà sau này được gọi là World Wide Web. Trong suốt 1991 đến 1993, World Wide Web đã ra đời. Các trang văn bản chỉ có thể được xem bằng cách sử dụng một trình duyệt dòng với chế độ đơn giản. Năm 1993, Marc Andreessen và Eric Bina, tạo ra trình duyệt Mosaic. W3C đã được tạo ra trong tháng 10 năm 1994.Trong những năm 1996 đến 1999, cuộc chiến trình duyệt giữa Microsoft và Netscape đã dẫn đến những sáng tạo tích cực và giúp cho việc thiết kế website phát triển với tốc độ nhanh chóng. Năm 1996, Microsoft phát hành trình duyệt đầu tiên tranh của mình, đã được hoàn tất với các tính năng và các thẻ riêng của nó. Nó cũng là trình duyệt đầu tiên hỗ trợ các phong cách trang, đánh dấu HTML cho bảng ban đầu được dành để hiển thị dữ liệu dạng bảng.

CSS đã được giới thiệu vào tháng 12 năm 1996 bởi W3C để hỗ trợ trình bày và bố trí. Năm 1996 Flash (ban đầu được gọi là FutureSplash) đã được phát triển. Vào thời điểm đó, nó là một công cụ bố trí rất đơn giản, cơ bản và một dòng thời gian, nhưng nó cho phép các nhà thiết kế website vượt qua điểm của HTML vào thời điểm đó.

Từ một trình duyệt, người dùng gõ vào địa chỉ của một trang web, trình duyệt sẽ thực hiện một kết nối tới máy chủ tên miền để chuyển đổi tên miền ra địa chỉ IP tương ứng. Sau đó, trình duyệt sẽ gửi tiếp một kết nối tới máy chủ của website có địa chỉ IP này qua cổng 80. Dựa trên giao thức HTTP, trình duyệt sẽ gửi yêu cầu GET đến máy chủ. Khi đó máy chủ sẽ xử lý các yêu cầu của người dùng, rồi gửi trả kết quả về cho phía client.

Hình 2.1: Mô hình hoạt động của Website

2.2. Nguy cơ mất an toàn trên website

Trong xã hội hiện đại, việc sử dụng internet đã trở thành thói quen cũng như yêu cầu không thể thiếu đối với mọi người từ doanh nghiệp, các cơ quan nhà nước, các tổ chức quốc tế… Đặc biệt sự phát triển cũng như nhu cầu sử dụng website ngày càng tăng và mang lại những lợi ích to lớn về kinh tế, giải trí… Tuy nhiên nếu không lường trước và đánh giá được các nguy cơ mất an ninh an toàn trên website thì thiệt hại cũng vô cùng lớn và hậu quả có thể là rất nghiêm trọng đặc biệt như trong lĩnh vực an ninh, quốc phòng, ngân hàng…

Tấn công phổ biến nhất của hacker hiện nay hướng tới các website, cơ sở dữ liệu nhằm lợi dụng các loại lỗ hổng bảo mật để cài phần mềm gián điệp, điều khiển từ xa, xâm nhập, nhằm phá hoại, lấy cắp thông tin với mục đích chính trị và kinh tế, làm ảnh hưởng tới các tổ chức doanh nghiệp.

Hiện nay, các vụ tấn công hệ thống mạng công nghệ thông tin (CNTT) của các cơ quan nhà nước, doanh nghiệp, tổ chức tín dụng... nhằm mục đích chính trị, kinh tế đang ngày càng gia tăng. Những trang web bị tấn công thường thuê host dùng chung, chạy trên hệ thống cũ, không được cập nhật những bản vá lỗi cần thiết, có nhiều lỗi thông thường, dễ bị tấn công bằng các phương pháp và công cụ phổ biến, như nmap để rà, thu footprint thông tin của hệ điều hành và dịch vụ....

Một số tổ chức, doanh nghiệp tuy có triển khai các giải pháp an toàn và bảo mật, song lại thiếu sự đồng bộ giữa hạ tầng, giải pháp phần mềm và giải pháp quản trị. Sự thay đổi liên tục của nhiều kiểu tấn công mạng từ khắp thế giới, cộng thêm tính phức tạp và lỗ hổng trong hạ tầng mạng đã khiến nền tảng web trở nên dễ bị tổn thương trước những tấn công.

Một phần của tài liệu Nghiên cứu giải pháp bảo mật và xác thực website (Trang 36)

Tải bản đầy đủ (PDF)

(87 trang)