I. Tổng quan về an toàn bảo mật và xu hướng ảo hóa.
1. Tổng quan về an toàn bảo mật.
Theo báo cáo về bảo mật thông tin của Microsoft:
1.1.Các xu hướng xâm nhập thông tin
Số lượng hệ thống thông báo có lỗ hổng bảo mật khi khai thác thông tin qua HTML hoặc Javascrip vẫn rất nhiều trong nửa đầu năm 2012, phần lớn do các sự kiện Blacole.
Lỗ hổng này cũng bị khai thác bởi Blacole, các số liệu về lỗ hổng này không bao gồm số lần phát hiện Blacole.
1.3.Top 10 họ phần mềm gây độc hại
1.4.Các xu hướng mã độc tại Việt Nam
- Xu hướng nhiễm độc ở Việt Nam:
Hệ thống đo lường Q3/11 Q4/11 Q1/12 Q2/12 Chỉ số máy tính được làm sạch
tính trên 1000 lượt quét tại Việt Nam
16.3 16.5 17.0 18.1
Chỉ số trung bình trên thế giới 7.7 7.1 6.6 7.0 - Các hạng mục nguy cơ tại Việt Nam
Hạng mục phổ biến nhất tại Việt Nam là những phần mềm không mong muốn, có ảnh hướng tới 54% máy tính đã phát thiện trong Q2/2012, giảm so với 58.8% trong Q1/2012.
Hạng mục phố biến thứ nhì là mã độc cửa sau (trojans), có ảnh hướng tới 41,3% máy tính đã phát hiện trong Q2/2012, tăng so với 40.3% trong Q1/2012.
Hạng mục phổ biến thứ 3 là sâu/vi-rut máy tính (worms), có ảnh hưởng tới 30.1% máy tính đã phát hiện trong Q2/2012, tăng so với 28.2% trong Q1/2012. - Xếp loại các mối quy cơ trong Q2/2012
o Win32/Keygen (26.9% máy tính): Công cụ tạo ra mã sản phẩm cho nhiều phần mềm khác nhau.
o Win32/Ramnit (21.8% máy tính): Một họ mã độc nhiều thành phần, thường lây nhiễm vào các tập tin thực thi và các tập tin Microsoft Office và HTML. Win 32/Ramnit lây lan đến cả ổ đĩa di động và đánh cắp các thông tin nhạy cảm như thông tin về FTP đã lưu và thông tin lưu của trình duyệt. Nó cũng mở đường cho kẻ tấn công từ xa.
o Win32/PossibleHostsFileHijack (17.6% máy tính): Đây là dấu hiệu các tập tin HOSTS có thể đã bị nhiễm các thành phần độc hại và không mong muốn thay đổi, gây nên việc một số tên miền Internet hoặc trang web bị chuyển hướng hoặc từ chối cập nhật.
o Win32/CplLnk (16.1% máy tính): Các tập tin shortcut độc hại, được tạo nên với chủ đích để khai thác lỗ hổng đã được đề cập đến bởi Microsoft Security Bulletin MS 10-046.
Hệ thống đo lường 1Q12 2Q2 Số lượng trang web độc hại trong 1000 máy chủ
(Toàn cầu)
2.54 (1.6)
1.86 (1.8) Số lượng trang web chứa mã độc trong 1000 máy chủ
(Toàn cầu)
3.75 (3.9)
3.99 (4.4) Số lượng tải lướt
(Toàn cầu)
0.70 (0.7)
1.90 (0.9)
- Cách bảo mật thông tin hiệu quả/Khung bảo mật hiệu quả:
- Đánh giá rủi ro
- Tội phạm mạng: o MALWARE o HACKING o PHISHING o SPAM - Ai cũng có thể là nạn nhân mạng: o Người dân o Doanh nghiệp o Quốc gia.
- Mục tiêu của an ninh mạng:
o Người dân: Bảo vệ danh tính, thông tin và tài khoản cá nhân.
o Doanh nghiệp: bảo vệ các dữ liệu nhạy cảm, tài sản sở hữu trí tuệ và sự sẵn sàng của các hệ thống quan trọng.
o Quốc gia: Bảo vệ cơ sở hạ tầng quan trọng, an ninh công cộng, an ninh kinh tế và quốc phòng.
- Thúc đẩy an ninh mạng: Vai trò của chính phủ: o Chính sách:
Đánh giá các rủi ro của an ninh mạng quốc gia. Đưa ra chiến lược về an ninh quốc gia.
Tăng cường thực thi luật pháp về tội phạm mạng. o Hợp tác:
Xây dựng khả năng ứng phó sự cố. Hợp tác với khối tư nhân.
Tăng cường hợp tác quốc tế. o Công nghệ:
Khai thác giải pháp bảo mật mới nhất. Thiết lập cấu hình bảo mật cơ bản.
Áp dụng tiêu chuẩn ngành và thực hiện tốt nhất. o Giáo dục:
Nâng cao nhận thức của công chúng về hiểm họa an ninh mạng. Xây dựng lực lượng có tay nghề cao về an ninh mạng.
Xây dựng khả năng về mạng của chính phủ.
2. Xu hướng ảo hóa ở Việt Nam và trên thế giới.
Ảo hóa là công nghệ được thiết kế để tạo ra tầng trung gian giữa hệ thống phần cứng máy tính và phần mềm chạy trên nó. Ý tưởng của công nghệ ảo hóa máy chủ là từ một máy vật lý đơn lẻ có thể tạo thành nhiều máy ảo độc lập. Mỗi một máy ảo đều có một thiết lập nguồn hệ thống riêng rẽ, hệ điều hành riêng và các ứng dụng riêng.
Ngày nay xu hướng ảo hóa máy chủ đã trở thành xu hướng chung của hầu hết các doanh nghiệp trên toàn thế giới. Những khó khăn trong thời kỳ khủng hoảng khiến cho các doanh nghiệp phải tìm mọi cách để giảm thiểu chi phí. Ảo hóa được coi là một công nghệ giúp các doanh nghiệp cắt giảm chi tiêu hiệu quả với khả năng tận dụng tối đa năng suất của các thiết bị phần cứng. Việc áp dụng công nghệ ảo hóa máy chủ nhằm tiết kiệm không gian sử dụng, nguồn điện và giải pháp tỏa nhiệt trong trung tâm dữ liệu. Ngoài ra việc giảm thời gian thiết lập máy chủ, kiểm tra phần mềm trước khi đưa vào hoạt động cũng là một trong những mục đích chính
khi ảo hóa máy chủ. Công nghệ mới này sẽ tạo ra những điều mới mẻ trong tư duy của các nhà quản lý công nghệ thông tin về tài nguyên máy tính. Khi việc quản lí các máy riêng lẻ trở nên dễ dàng hơn, trọng tâm của CNTT có thể chuyển từ công nghệ sang dịch vụ. Hiện nay, các “đại gia” trong giới công nghệ như Microsoft, Oracle, Sun… đều nhập cuộc chơi ảo hóa nhằm giành thị phần lớn trong lĩnh vực này với “gã khổng lồ” VMWare. Do đó, trên thị trường có rất nhiều sản phẩm để các doanh nghiệp có thể lựa chọn và ứng dụng.
Năm 2013: Ảo hóa sẽ trở thành xu thế chủ đạo trong các doanh nghiệp tại Việt Nam.
Thứ nhất, đó là những ưu tiên của CIO ( lãnh đạo CNTT) thay đổi theo hướng CNTT cần phải vận hành như một doanh nghiệp. Theo đó, vai trò của CIO ngày một tăng cao khi các doanh nghiệp đòi hỏi họ phải là những lãnh đạo CNTT tạo ra thay đổi quan trọng trên toàn tổ chức. Điều này đồng nghĩa với việc bộ phân CNTT có thể không còn là những trung tâm chỉ ngốn tiền ngân sách nữa, mà sẽ áp dụng quan điểm CNTT dựa trên dịch vụ, tạo ảnh hưởng tích cực lênhoạt động của một doanh nghiệp theo cách dùng chung các dịch vụ được chia sẻ.
Thứ hai, các doanh nghiệp có thể triển khai ngay trung tâm dữ liệu do phần mềm định nghĩa. Theo Vmware, trong kỷ nguyên mới của điện toán đám mây, các doanh nghiệp cần phải áp dụng một phương thức tiếp cận toàn diện, từ vạch kế hoạch, xây dựng đến vận hành hạ tầng của họ.Mặc dù ảo hóa giúp giảm chi phí CNTT đáng kể nhưng vẫn nâng cao được tính hiệu quả, thì các bộ phận kinh doanh ngày nay mong muốn có truy cập nhanh chóng tới các tài nguyên CNTT nhằm thúc đẩy thời gian triển khai dự án nhanh hơn, VMware tin rằng hướng tiếp cận tới trung tâm dữ liệu do phần mềm định nghĩa có thể cho phép các doanh nghiệp sẽ bỏ qua những vấn đề này và thay đổi cách thức cung cấp dịch vụ trung tâm dữ liệu.
Thứ ba, ảo hóa máy bàn giúp thúc đẩy tính di động, mở rộng văn phòng chi nhánh và chiến lược dịch chuyển hệ thống Windows. VMware dự đoán rằng năm 2013 sẽ chứng kiến điện toán trên một hoặc nhiều hệ thống máy khách trở thành chủ đạo, cùng với đó là một loạt các quy trình điện toán được thực thi trên đám mây. Với việc Windows XP chỉ được hỗ trợ đến cuối năm 2013, các doanh nghiệp sẽ cần có cách thức dễ dàng hơn để nâng cấp hệ điều hành của họ nhưng phải tối thiểu hóa sự cố gián đoạn đối với hoạt động kinh doanh.
Thứ tư, ảo hóa trở thành xu thế chủ đạo trong doanh nghiệp vừa và nhỏ (DNVVN)
Ảo hóa sẽ trở thành xu thế chủ đạo trong các DNVVN tại Việt Nam khi mà các doanh nghiệp ngày càng chú trọng vào việc mở rộng lợi ích của ảo hóa nhằm nâng
cao độ sẵn sàng của CNTT cũng như năng lực sao lưu/khôi phục. Ảo hóa thực sự là bước đi cần thiết đầu tiên - nhưng không có nghĩa đó là cuối cùng.
Trong thực tế, nó mới là sự khởi đầu - của một nền tảng mới, một cách nghĩ mới, và những cơ hội mới đối với DNVVN. Nhờ tận dụng lợi thế của các dịch vụ điện toán đám mây, DNVVN sẽ không phải lo lắng gì về cách thức xây dựng và duy trì hạ tầng CNTT để trang bị cho nhân viên cách truy cập tới dữ liệu và ứng dụng doanh nghiệp một cách bảo mật.
II. Nghiên cứu tiêu chuẩn bảo mật trong điện toán đám mây
Các ngành công nghiệp công nghệ viễn thông và thông tin đang tìm kiếm các giải pháp an ninh toàn diện hiệu quả chi phí. Một mạng lưới an toàn cần được bảo vệ chống lại các cuộc tấn công độc hại và vô ý và cần phải có tính sẵn sàng cao, thời gian phản ứng thích hợp, độ tin cậy, tính toàn vẹn, khả năng mở rộng, và cung cấp thông tin thanh toán chính xác. Khả năng bảo mật trong các sản phẩm là rất quan trọng đối với an ninh mạng tổng thể (bao gồm cả các ứng dụng và dịch vụ). Tuy nhiên, nhiều sản phẩm được kết hợp để cung cấp giải pháp tổng thể, khả năng tương tác, hoặc thiếu đó, sẽ xác định sự thành công của giải pháp. An toàn không chỉ là một chủ đề quan tâm cho mỗi sản phẩm hoặc dịch vụ, nhưng phải được phát triển một cách thúc đẩy sự đan xen của khả năng bảo mật trong các giải pháp bảo mật tổng thể từ đầu đến cuối. Để đạt được một giải pháp như vậy trong một môi trường nhiều nhà cung cấp, an ninh mạng nên được thiết kế xung quanh một kiến trúc an ninh tiêu chuẩn.
ITU-T khuyến nghị X.805
Kiến trúc bảo mật cho các hệ thống cung cấp thông tin
Kiến trúc bảo mật được tạo ra để giải quyết các thách thức an ninh toàn cầu của các nhà cung cấp dịch vụ, các doanh nghiệp và người tiêu dùng và được áp dụng cho không dây, quang học và hữu tuyến, mạng dữ liệu và hội tụ. Kiến trúc bảo mật này giải quyết vấn đề bảo mật cho việc quản lý, kiểm soát, và sử dụng cơ sở hạ tầng mạng lưới, dịch vụ và ứng dụng. Kiến trúc an ninh cung cấp một cách toàn diện, từ trên xuống dưới, từ đầu đến cuối quan điểm toàn diện về an ninh mạng và có thể được áp dụng cho các thành phần mạng, dịch vụ và các ứng dụng để phát hiện, dự đoán, và các lỗ hổng bảo mật thích hợp. Kiến trúc bảo mật phân chia hợp lý một tập hợp các an ninh mạng đầu cuối - liên quan đến các thành phần kiến trúc riêng biệt. Sự tách này cho phép một cách tiếp cận có hệ thống để bảo mật đầu cuối có thể được sử dụng để lập kế hoạch các giải pháp bảo mật mới cũng như để đánh giá sự an toàn của các mạng hiện có
- Ba câu hỏi thiết yếu trong kiến trúc an ninh:
o Loại bảo vệ cần thiết là gì và chống lại các mối đe dọa là gì?
o Các loại khác nhau của thiết bị mạng và các nhóm cơ sở cần được bảo vệ là gì?
o Các loại khác nhau của hoạt động mạng mà cần phải được bảo vệ là gì? Những câu hỏi này sẽ được giải quyết bởi ba thành phần kiến trúc : kích thước an ninh, lớp bảo mật và mức độ an ninh.
Các nguyên tắc được mô tả bởi các kiến trúc bảo mật có thể được áp dụng cho một loạt các mạng lưới độc lập với công nghệ của mạng hoặc vị trí trong ngăn xếp giao thức
Các điều khoản sau đây mô tả chi tiết các yếu tố kiến trúc và chức năng với các mối đe dọa bảo mật lớn.
2. Security Dimensions - Kích thước an ninh.
Một khía cạnh an ninh là một tập hợp các biện pháp an ninh được thiết kế để giải quyết một khía cạnh đặc biệt của an ninh mạng. Khuyến nghị này xác định tám bộ như vậy mà bảo vệ chống lại tất cả các mối đe dọa bảo mật lớn. Các kích thước không giới hạn vào mạng, nhưng mở rộng cho các ứng dụng và thông tin người dùng cuối là tốt. Ngoài ra, kích thước an ninh áp dụng đối với các nhà cung cấp dịch vụ, doanh nghiệp cung cấp dịch vụ an ninh cho khách hàng của họ. Kích thước an ninh là:
- Access Control ( Điều khiển truy cập). - Availability ( Tính sẵn sàng).
- Authentication ( Tính xác thực). - Confidentiality ( Tính bí mật). - Data integrity ( Tính toàn vẹn).
- Non-repudiation ( Không chối bỏ). - Privacy ( Sự riêng tư).
Thiết kế phù hợp và triển khai bảo mật hỗ trợ thực hiện chính sách bảo mật được xác định cho một mạng cụ thể nào đó và tạo điền kiện cho quy tắc quản lý an ninh.
2.1.Access control security dimension
Kích thước an ninh kiểm soát truy cập bảo vệ chống sử dụng trái phép tài nguyên mạng. Kiểm soát truy cập đảm bảo rằng nhân viên hoặc các thiết bị chỉ có thẩm quyền được phép truy cập vào các thành phần mạng, thông tin được lưu trữ, trao đổi thông tin, dịch vụ và ứng dụng. Ngoài ra, vai trò - Based Access Control (Điều khiển truy cập - RBAC) cung cấp cấp độ truy cập khác nhau để đảm bảo rằng các cá nhân và các thiết bị chỉ có thể được truy cập, và thực hiện các hoạt động, các yếu tố mạng, thông tin được lưu trữ, và các dòng thông tin mà họ được cho phép.
2.2.Authentication security dimension
Kích thước bảo mật xác thực phục vụ để xác nhận danh tính của các đơn vị truyền thông. Đảm bảo xác thực tính hợp lệ của các tuyên bố danh tính của các đối tượng tham gia trong giao tiếp (ví dụ, người, thiết bị, dịch vụ hoặc ứng dụng và cung cấp đảm bảo rằng một thực thể không cố gắng một giả mạo hoặc phát lại trái phép thông tin liên lạc trước.
2.3.Non-repudiation security dimension
Kích thước an ninh không thoái thác cung cấp phương tiện để ngăn chặn một cá nhân hay thực thể từ chối khi thực hiện một hành động cụ thể liên quan đến dữ liệu bằng cách chứng minh có sẵn của các hành động liên quan đến mạng ( chẳng hạn như bằng chứng về nghĩa vụ, ý định, hoặc cam kết, bằng chứng về nguồn gốc dữ liệu, trình bày cho một bên thứ ba và được sử dụng để chứng minh rằng một số loại sự kiện hay hành động đã diễn ra). Nó đảm bảo sự sẵn có bằng chứng cho thấy có thể được trình bày cho một bên thứ ba và được sử dụng để chứng minh rằng một số loại sự kiện hay hành động đã diễn ra.
2.4.Data confidentiality security dimension
Dữ liệu không gian an ninh bảo mật bảo vệ dữ liệu không bị tiết lộ trái phép. Bảo mật dữ liệu đảm bảo rằng nội dung dữ liệu không thể được hiểu bởi các tổ chức trái phép. Mã hóa, danh sách kiểm soát truy cập và quyền truy cập tập tin là những phương pháp thường được sử dụng để cung cấp bảo mật dữ liệu
2.5.Communication security dimension
Kích thước an ninh thông tin liên lạc đảm bảo thông tin chảy duy nhất giữa các điểm kết thúc được ủy quyền ( thông tin không được chuyển hướng hoặc chặn khi nó chảy giữa các điểm kết thúc).
2.6.Data integrity security dimension
Sự toàn vẹn dữ liệu đảm bảo tính đúng đắn, chính xác của dữ liệu. Dữ liệu được bảo vệ chống lại sửa đổi trái phép, xóa, sáng tạo, và nhân rộng và cung cấp một dấu hiệu cho thấy các hoạt động trái phép.
2.7.Availability security dimension
Tính sẵn sàng đảm bảo rằng không có từ chối truy cập được phép yếu tố mạng, thông tin được lưu trữ, trao đổi thông tin, dịch vụ và các ứng dụng do các sự kiện ảnh hưởng đến mạng. Các giải pháp khắc phục thảm họa có trong thể loại này.