4.1 TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ AN TOÀN THÔNG TINTRONG THƯƠNG MẠI ĐIỆN TỬ THƯƠNG MẠI ĐIỆN TỬ
4.1.1. Những khái niệm cơ bản về ATTT
4.1.1.a. Không gian mạng (Cyber space)
Không gian mạng là môi trường hình thành bởi các thành phần vật lý và phi vật lý, có đặc điểm là sử dụng máy tính và phổ điện từ để lưu trữ, sửa và trao đổi dữ liệu sử dụng các mạng máy tính.
Không gian mạng là một không gian ảo có tính động, kết hợp các thành thần điện tử và phổ điện tử nhằm mục đích tạo lập, lưu giữ, xử lý, sửa đổi, trao đổi, chia sẻ sử dụng thông tin và tài nguyên vật lý.
Không gian mạng bao gồm:
- Tài nguyên vật lý (hạ tầng kỹ thuật, các thiết bị vật lý); - Các hệ thống máy tính và phần mềm;
- Mạng lưới kết nối;
- Các thiết bị truy nhập, thiết bị đầu cuối người dùng; - Dữ liệu và các ứng dụng.
4.1.1.b. Hạ tầng không gian mạng (Cyber infrastructure)
Hạ tầng không gian mạng bao gồm thông tin điện tử, các dịch vụ và hệ thống truyền dữ liệu, thông tin lưu trữ trên các hệ thống và dịch vụ này. Thông tin, các dịch vụ và hệ thống truyền dữ liệu bao gồm toàn bộ phần cứng, phần mềm xử lý, lưu trữ và truyền thông tin hoặc kết hợp toàn bộ các yếu tố này. Xử lý bao gồm việc tạo, truy cập, sửa đổi và xóa thông tin; Lưu trữ bao gồm lưu trữ bằng giấy, từ tính, điện tử và toàn bộ các phương tiện lưu trữ khác; Truyền dữ liệu bao gồm chia sẻ và phân phối thông tin. Hệ thống mạng: Internet và các dịch vụ mạng (dịch vụ bảo mật) là bộ phận của hạ tầng không gian mạng.
4.1.1.c. Dữ liệu và thông tin
- Dữ liệu (data) là các giá trị của đại lượng vật lý, ký tự, ký hiệu âm thanh, hình ảnh được biểu thị dưới dạng thuận tiện cho việc truyền tải dữ liệu.
- Thông tin (Information) là dữ liệu đã được tổ chức, xử lý, biểu diễn, kết hợp, chuyển đổi thành dạng có nghĩa theo ngữ cảnh cụ thể.
Dữ liệu là nguyên liệu thô của thông tin, là tổ chức thấp hơn thông tin. Có hai điều kiện để dữ liệu trở thành thông tin bao gồm: (1) Dữ liệu được hiểu và được giải thích; (2) Dữ liệu có ích.
4.1.1.d. An toàn thông tin (Information securtity)
Như đã đề cập tại chương 1, định nghĩa phổ biến nhất trên thế giới về ATTT là dẫn theo luật An ninh thông tin Liên bang cuả Mỹ, theo đó ATTT là “bảo vệ thông tin, hệ thống thông tin chống lại việc truy cập, sử dụng bất hợp pháp, tiết lộ, cản trở, sửa đổi, phá hoại nhằm đảm bảo: tính toàn vẹn, tính bí mật, tính sẵn sàng của thông tin”.
113 (Computer & data security), An ninh mạng (Network security) và Quản lý an toàn thông tin
(Management of information security). Ba thành phần trên của ATTT có quan hệ mật thiết và giao thoa với nhau, trong đó phần chung của cả ba thành phần trên là Chính sách an toàn thông tin (Policy).
Hình 4. 1 Các thành phần chính của An toàn thông tin26
An toàn máy tính và dữ liệu là việc đảm bảo an toàn cho hệ thống phần cứng, phần mềm và dữ liệu trên máy tính; đảm bảo cho máy tính có thể vận hành an toàn, đáp ứng các yêu cầu của người sử dụng.
An ninh mạng là việc đảm bảo an toàn cho hệ thống mạng và các thông tin truyền tải trên mạng, chống lại các dạng tấn công, xâm nhập trái phép.
Quản lý an toàn thông tin là mọi biện pháp kỹ thuật và phi kỹ thuật của một tổ chức để bảo vệ thông tin và HTTT chống lại các hành vi tấn công, đảm bảo tuân thủ các tiêu chuẩn ATTT và các quy định Pháp luật về ATTT.
4.1.1.e. Chính sách ATTT
Chính sách ATTT là các nội quy, quy định của cơ quan, tổ chức, nhằm đảm bảo các biện pháp đảm bảo ATTT được thực thi và tuân thủ. Chính sách ATTTgồm ba thành phần chính:
- Chính sách an toàn ở mức vật lý (Physical security policy);
- Chính sách an toàn ở mức tổ chức (Organizational security policy); - Chính sách an toàn ở mức logic (Logical security policy).
4.1.1.g. Tin tặc, tội phạm mạng
Tin tặc (Hacker) là kẻ sử dụng máy tính, phương tiện CNTT và TT để truy cập trái
phép chiến đoạt thông tin cho mục đích vụ lợi cá nhân, gây mất ATTT (cho thông tin và hệ thống thông tin).
Tội phạm mạng (Cyber crime)là hoạt động tội phạm được thực hiện bằng cách sử
dụng máy tính và Internet, thường là vì động cơ tài chính. Tội phạm mạng bao gồm: đánh cắp danh tính, gian lận và lừa đảo qua mạng và các hoạt động khác. Tội phạm mạng khác với các loại hình xấu độc khác trên không gian mạng có động cơ chính trị, quân sự hoặc gián điệp.
4.1.1.h. Tấn công mạng (Cyber offensive)
Tấn công mạng là hành động nhằm gây gián đoạn, từ chối hoặc hủy diệt máy tính và /
26 Michael E. Whitman, Herbert J. Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012. Cengage Learning, 2012.
114 hoặc mạng máy tính, thông tin lưu trữ trên máy tính và/hoặc mạng máy tính.
4.1.2. Những nguy cơ mất ATTT
Nguy cơ mất ATTT là một hành vi có thể xảy ra đối với một tài sản thông tin. Nguy cơ có thể là hành vi của một hoặc nhiều chủ thể (người, vật) có khả năng xảy ra, gây tổn thất hoặc làm hư hại đến một tài sản thông tin khiến chúng không thể sử dụng được nữa.
Xác định nguy cơ là bước quan trọng đầu tiên nhằm đưa ra các chính sách, biện pháp bảo vệ. Những nguy cơ mất ATTT được thống kê trong bảng 4.1 dưới đây.
Bảng 4. 1 Những nguy cơ mất ATTT27
Loại nguy cơ Ví dụ điển hình
Lỗi người dùng hoặc lỗi hệ thống
Sự cố, lỗi khai thác của kỹ thuật viên; lỗi kỹ thuật của hệ thống. Hành vi gây ra có thể là vô tình (do thiếu hiểu biết, thiếu cẩn thận) hoặc cố ý (cố tình lọt thông tin, không áp dụng các biện pháp bảo vệ...) của người dùng hợp pháp Vi phạm sở
hữu trí tuệ
Gián điệp, bẻ khóa bản quyền số. Sở hữu trí tuế có thể gồm: bí mật thương mại, bản quyền, phát minh / sáng chế, nhãn hiệu...
Phần mềm Virus, mã độc, sâu, từ chối dịch vụ Phá hoại Phá hủy hệ thống hoặc xóa thông tin
4.1.3. Quản lý ATTT
4.1.3.a. Khái niệm
Quản lý ATTT là mọi biện pháp kỹ thuật và phi kỹ thuật của một tổ chức để bảo vệ thông tin và HTTT chống lại các hành vi tấn công, đảm bảo tuân thủ các tiêu chuẩn ATTT và các quy định pháp luật về ATTT.
4.1.3.b. Các nội dung cơ bản quản lý ATTT
Quản lý ATTT bao gồm các nội dung cơ bản sau:
- Chính sách, chiến lược, kế hoạch triển khai ATTT tại tổ chức, gồm: xu thế phát triển ATTT; Phát triển của công nghệ trong ATTT; Những quy định pháp luật và chính sách ATTT.
- Triển khai các biện pháp bảo đảm ATTT, gồm: Phát hiện và phân loại các hành vi tấn công mạng; Phân loại tài sản thông tin; Các biện pháp đảm bảo ATTT cho dữ liệu, hệ thống, mạng và môi trường vận hành; Theo dõi, giám sát hoạt động bảo đảm ATTT.
- Hợp chuẩn ATTT, gồm: Các yêu cầu về chuẩn hóa; Các tiêu chuẩn ATTT bắt buộc áp dụng trong thiết kế, cài đặt, vận hành, đánh giá ATTT (cho phần cứng, phần mềm, các thành phần, hệ thống, các ứng dụng...); Hệ thống các tiêu chuẩn ATTT; Kiểm tra, đánh giá, hợp chuẩn ATTT.
- Phát triển và vận hành hệ thống quản lý ATTT, gồm: Phân tích, đánh giá rủi ro ATTT; Quản lý và xử lý rủi ro; Xây dựng và triển khai hệ thống quản lý ATTT; Quản lý và phản ứng, xử lý sự cố ATTT; Khắc phục sự cố và khôi phục hệ thống ATTT; Điều tra theo