3.2 .7Xây dựng các mức và vành đai bảo vệ an toàn mạng
3.3 Các giải pháp bảo đảm an tồn thơng tin, dữ liệu
3.3.1 Các biện pháp tổ chức quản lý
Nhiệm vụ của quản lý an tồn thơng tin, dữ liệu là quản lý được các đặc tính bí mật, tồn vẹn và sẵn sàng của các hệ thống thông tin phục vụ các hoạt động của một tổ chức.
Để tăng cường đảm bảo an tồn thơng tin trên Internet, quản lý an tồn thông tin cần thực hiện nghiêm túc các yêu cầu sau đây:
1) Nghiêm chỉnh chấp hành pháp luật về bưu chính, viễn thơng và Internet, Luật công nghệ thông tin, Luật giao dịch điện tử; có trách nhiệm đảm bảo an ninh thơng tin trong hoạt động Internet; thực hiện các yêu cầu về
đảm bảo an ninh thông tin của Bộ TT&TT, Bộ Công an và các cơ quan nhà nước có thẩm quyền theo quy định của pháp luật.
2) Rà soát, kiểm tra, đánh giá các hệ thống thiết bị phục vụ việc lưu trữ, cung cấp và truyền tải thông tin; đánh giá hiện trạng các hệ thống bảo vệ và các biện pháp đảm bảo an ninh thơng tin.
3) Xây dựng quy trình và quy chế đảm bảo an ninh thông tin cho các hệ thống thơng tin, tham khảo các chuẩn quản lý an tồn TCVN 7562, ISO 27001. Đảm bảo khả năng truy vết và khơi phục thơng tin trong trường hợp có sự cố.
4) Thường xuyên phối hợp với cơ quan hữu quan và các tổ chức cung cấp dịch vụ an toàn mạng cập nhật các biện pháp đảm bảo an ninh thông tin mới nhất.
5) Tăng cường kiểm tra, giám sát chặt chẽ các trang thiết bị thuộc quyền quản lý và phải có các biện pháp đảm bảo an ninh thông tin.
3.3.2 Các biện pháp đảm bảo tính xác thực, sẵn sàng và bảo mật
3.3.2.1 Đảm bảo tính xác thực
Đó là việc kiểm tra tính xác thực một thực thể trong giao tiếp. Là hoạt động liên quan đến kiểm tra tính đúng đắn một thực thể giao tiếp trên mạng. Một thực thể là một người, một chương trình máy tính hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo đảm an tồn. Một hệ thống bình thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mơ hình chính như: Những thơng tin biết trước, những thơng tin đã có và những thơng tin xác định tính duy nhất.
Với cơ chế kiểm tra dựa vào mơ hình những thơng tin biết trước, đối tượng cần kiểm tra cần phải cung cấp những thơng tin mà chúng biết, ví dụ
như password, hoặc mã thông số cá nhân PIN (Personal Information Number). Với cơ chế kiểm tra dựa vào mơ hình những thơng tin đã có, đối tượng kiểm tra cần phải thể hiện những thơng tin mà chúng sở hữu, ví dụ như private key hoặc số thẻ tín dụng.
Với cơ chế kiểm tra dựa vào mơ hình những thơng tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thơng tin để định danh tính duy nhất của mình ví dụ như thơng qua giọng nói hoặc fingeprint.
3.3.2.2 Đảm bảo tính sẵn sàng của thơng tin
Tính khả dụng là đặc tính mà thơng tin trên mạng được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu, khi cần thiết bất cứ khi nào, trong hồn cảnh nào. Tính khả dụng nói chung dùng tỷ lệ giữa thời gian hệ thống được sử dụng bình thường với thời gian suốt quá trình hoạt động để đánh giá.
Tính khả dụng cần đáp ứng những yêu cầu sau: Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc nghẽn…), khống chế chọn đường (cho phép chọn đường nhánh, mạch tối ưu, tin cậy), giám sát tung tích (tất cả các sự kiện phát sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng).
3.3.2.3 Đảm bảo tính bảo mật
Tính chất bảo mật là đặc tính tin tức khơng bị tiết lộ cho các thực thể hay q trình khơng được uỷ quyền biết hoặc khơng để cho các đối tượng đó lợi dụng, thơng tin chỉ được phép cho thực thể được uỷ quyền sử dụng. Kỹ thuật bảo mật thường dùng bao gồm: Phòng ngừa dò la thu thập (làm cho đối thủ khơng thể dị la thu thập được thơng tin), phòng ngừa bức xạ (phòng ngừa những tin tức bị bức xạ ra ngoài bằng nhiều đường khác nhau, tăng cường bảo mật thơng tin (sử dụng khố mật mã, dùng phép tính mã hố), bảo mật vật lý (lợi dụng các phương pháp vật lý để đảm bảo tin tức không bị tiết lộ).
3.3.2.4 Đảm bảo tính tồn vẹn
Tính tồn vẹn là đặc tính khi tin tức trên mạng khi chưa được uỷ quyền thì khơng thể tiến hành biến đổi được, tức là thông tin trên mạng khi đang lưu giữ hoặc trong quá trình truyền dẫn đảm bảo khơng bị xố bỏ, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hợac cố ý và những sự phá hoại hoặc mất mát khác. Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn tin tức trên mạng gôm: sự cố thiết bị, sai mã, bị tác động của con người, virus máy tính…