b) An toàn mạng máy tính là gì?
4.1.2 Các đặc điểm của an toàn mạng máy tính
89 An toàn nghĩa là thông tin đƣợc bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ thống bị ngƣời không đƣợc quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)...
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đƣa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng cácyêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản lý an toàn và sự rủi ro đƣợc gắn chặt với quản lý chất lƣợng.
Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lƣợng.
Các yêu cầu an toàn bảo mật thông tin:
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đƣa ra các chính sách và phƣơng pháp đề phòng cần thiết. Mục đích cuối cùng của an toàn bảo mật là bảo vệ các thông tin và tài nguyên theo các yêu cầu sau:
- Đảm bảo tính tin cậy(Confidentiality): Thông tin không thể bị truy nhập trái phép bởi những ngƣời không có thẩm quyền.
- Đảm bảo tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi những ngƣời không có thẩm quyền.
- Đảm bảo tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sử dụng cho ngƣời có thẩm quyền.
- Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin đƣợc cam kết về mặt pháp luật của ngƣời cung cấp.
Viện tiêu chuẩn của Anh đã công bố một danh sách gồm 10 điều kiện cần để kiểm tra việc triển khai các biện pháp an ninh cơ bản của một hệ thống nhƣ sau:
- Tài liệu về chính sách an ninh thông tin.
- Việc phân bổ các trách nhiệm về an ninh hệ thống.
- Các chƣơng trình giáo dục và huấn luyện về sự an ninh thông tin. - Các báo cáo về các biến cố liên quan đến an ninh thông tin. - Các biện pháp kiểm soát Virus.
- Tiến trình liên tục lập kế hoạch về kinh doanh.
90 - Việc bảo vệ các hồ sơ về tổ chức.
- Việc tuân thủ pháp luật về bảo vệ dữ liệu.
- Việc tuân thủ chính sách về an ninh hệ thống của tổ chức.