Một hệ thống thông tin an toàn phải đảm bảo được 3 yêu cầu sau:
• Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị
hàng đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản.
Để đảm bảo được tính bảo mật thì việc cấp quyền truy nhập phải được tiến hành hết sức cẩn thận, chỉ cho phép những cá nhân có nhu cầu chính đáng mới được phép truy nhập, hạn chế tối thiểu số người được phép truy nhập, xác minh chính xác đối tượng được phép truy nhập bằng các công cụ xác thực tiên tiến tin cậy…
• Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực. Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
Để đảm bảo tính toàn vẹn thì không có cách nào khác là ngăn chặn mọi sự truy nhập trái phép vào hệ thống, thêm vào đó là xây dựng các hệ thống sao lưu dự phòng đề phòng trường hợp hệ thống bị đánh sập.
Hình 1.11 . Mục tiêu CIA
• Tính sẵn sàng (availabillity): đảm bảo cho thông tin luôn ở trạng thái sẵn sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm
Data Integrity Data Availability Data Confidentiality
bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị.
Thông tin mất tính sẵn sàng khi hệ thống là nạn nhân của tấn công từ chối dịch vụ (denial of service- DoS), đây là một kĩ thuật tấn công đơn giản khai thác các điểm yếu của các giao thức truyền tin trong chồng giao thức ICP/IP nhằm làm quá tải khả năng phục vụ của hệ thống dẫn đến hậu quả là hệ thống bị treo.
Để đối phó với kiểu tấn công này cần phải có các công cụ ngăn chặn, phát hiện và lọc các gói tin….
Mục tiêu của bảo mật thông tin là đảm bảo được 3 yêu cầu trên, trong kĩ thuật bảo mật gọi là mục tiêu CIA. Để đạt được mục tiêu CIA không chỉ đơn giản là thực hiện một vài biện pháp phòng chống, triển khai một vài thiết bị hay phần mềm cho hệ thống mà bảo mật là một Chu trình liên tục theo thời gian.