Nhu cầu phát triển và các tiêu chí đánh giá sản phẩm AT&BM

Một phần của tài liệu (LUẬN văn THẠC sĩ) phân tích tác động của chính sách KHCN đối với sự phát triển các sản phẩm an toàn và bảo mật cho hệ thống thông tin điện tử từ trong tiến trình hội nhập quốc tế (Trang 44)

1.2 .2Chi phí cho nội dung mang tính chất nghiệp vụ của các sản phẩm rất tốn kém

2.3 Nhu cầu phát triển và các tiêu chí đánh giá sản phẩm AT&BM

2.3.1 Những lợi ích thu được khi áp dụng sản phẩm AT&BM tin cậy vào HTTT trong nền kinh tế hội nhập ngày một sâu rộng HTTT trong nền kinh tế hội nhập ngày một sâu rộng

Xã hội hiện đại gắn liền với việc sử dụng rộng rãi CNTT: các máy tính phục vụ hệ thống ngân hàng, kiểm sốt các q trình trong các lị phản ứng hạt nhân, phân phối năng lượng, theo dõi giờ tàu chạy, điều khiển máy bay cho đến điều khiển các con tàu vũ trụ... Hiện nay, các hệ thống máy tính cũng đóng một vai trị rất quan trọng trong hệ thống phòng thủ và an ninh quốc gia. Tuy nhiên chính sự tự động hố ở mức cao mà xã hội hiện đại đang hướng tới lại làm nó phụ thuộc vào độ an toàn của CNTT được sử dụng. Hơn nữa, các HTTT luôn là đối tượng phá hoại của nhiều loại tội phạm trên phạm vi toàn cầu, nhất là trong các hoạt động thù địch. Đã có những tính tốn về tổn thất do mất cắp hay làm hư hại thông tin điện tử là nhiều trăm triệu đô la mỗi năm, nhưng thực tế còn lớn hơn nhiều. Điều này đã đặt ra cho người sử dụng một vấn đề mới là vấn đề AT&BM cho HTTT, trong đó các sản phẩm

AT&BM là thành phần đặc biệt không thể thiếu trong các Hệ thống này: - Các sản phẩm này góp phần xây dựng hạ tầng cơ sở HTTT của các tổ chức, cá nhân có khả năng ngăn chặn được sự thâm nhập trái phép.

- Thực hiện tốt vấn đề AT&BM sẽ nâng cao được độ tin cậy đối với các HTTT trong các tổ chức công quyền, nhất là các HTTT quốc gia, giúp các doanh nghiệp tối ưu đầu tư hố và giảm thiểu rủi ro.

- Hình thành hạ tầng cơ sở tin cậy để thúc đẩy thương mại điện tử phát triển, hội nhập với thế giới, nâng cao độ uy tín đối với chính sách quốc gia.

- Xu hướng mở rộng trao đổi với các nước có ngành cơng nghiệp AT&BM tiên tiến, tiến đến xuất khẩu các sản phẩm AT&BM sẽ thúc đẩy phát triển ngành công nghiệp AT&BM của nước ta đáp ứng được nhu cầu phát triển và hội nhập của đất nước.

Kinh nghiệm cho thấy vấn đề bảo đảm AT&BM cho HTTT không dễ được giải quyết triệt để. Các sản phẩm AT&BM của các nhà sản xuất khác nhau sẽ khác nhau cả về tính năng, phương pháp sử dụng và kết quả đạt được.

2.3.2 Tìm hiểu thực tế việc triển khai AT&BM tại một số cơ quan và doanh nghiệp trong năm vừa qua nghiệp trong năm vừa qua

2.3.2.1 Đối tượng khảo sát

Thông tin được thu thập tại:

- 05 đơn vị chuyên trách về CNTT (Trung tâm Tin học hoặc Trung tâm Công nghệ thông tin) của một số các cơ quan Bộ;

- 15 cơ quan nhà nước (thuộc các Sở, Ban, ngành...);

- 50 doanh nghiệp (trong đó có 10 doanh nghiệp hoạt động trong lĩnh vực tài chính, chứng khốn, ngân hàng; 10 trong CNTT và 30 doanh nghiệp trong lĩnh vực dịch vụ thương mại).

2.3.2.2 Nội dung và phương pháp

Mục tiêu của phần việc này là tìm hiểu và đánh giá việc triển khai AT&BM tại các tổ chức trên trong năm 2008. Thông tin thu nhận được sẽ được phân tích, chỉ ra các nguyên nhân dẫn đến hiểm hoạ AT&BM. Trên cơ sở đó, dựa trên các ISO 2001/2002 hướng dẫn các đơn vị xây dựng các chính sách, biện pháp xử lý phù hợp để phòng tránh và giảm thiểu các tác động xấu khi xảy ra sự cố.

Ở thời điểm hiện tại mới chỉ hoàn thành phần việc thu thập và tổng hợp thông tin. Những kết quả này được dùng để làm rõ thêm các tác động của chính sách KH&CN đối với việc phát triển các sản phẩm AT&BM cho HTTT, đồng thời, có thể được dùng làm căn cứ để dự báo nhu cầu về sản phẩm AT&BM ở nước ta trong thời gian tới. Đó là các nội dung mà Luận văn này quan tâm nghiên cứu.

Các phương pháp thu thập thông tin đã được thực hiện trong tài liệu Luận văn gồm:

- Lấy thơng tin qua Bộ câu hỏi thăm dị (Bảng hỏi). Bộ câu hỏi này sẽ cho biết các chính sách về AT&BM được triển khai như thế nào. Phương pháp này có nhược điểm là thơng tin có mang tính chủ quan bởi phụ thuộc vào nhận thức của người trả lời. Chi tiết bảng hỏi tại Phụ lục.

- Lấy thông tin qua phỏng vấn. Đây là biện pháp hỗ trợ cho phương

pháp trên khi người trả lời chưa hiểu hết ý của câu hỏi hoặc kết quả có mâu thuẫn cần được làm rõ.

- Lấy thông tin qua khảo sát hiện trường. Căn cứ vào kết quả của 2

phương pháp trên để tiến hành khảo sát tại chỗ, ví dụ như tại Phịng Máy chủ, quan sát các bảng thông báo…

pháp này cho phép lấy được các thơng tin khách quan về tình trạng hiện tại của Hệ thống. Các thơng tin này có ưu điểm quan trọng là có tính khách quan cao, nhưng chỉ giới hạn trong việc tìm kiếm các sơ hở của các thiết bị trong Hệ thống và cấu trúc mạng.

2.3.2.3 Kết quả thu nhận

Kết quả thu thập thông tin đã được tổng hợp và so sánh với các thông tin của năm 2000 và năm 2003. Các tiêu chí trong Bảng hỏi năm 2008 được thiết kế dựa theo ISO 2001. So với các tiêu chí trong Bảng hỏi năm 2000 và năm 2003 thì năm 2008 đã có thêm rất nhiều chỉ tiêu mới.

Chi tiết kết quả được trình bày trong Phụ lục 2. Các ô đánh dấu X biểu thị chỉ tiêu này khơng có trong Bảng hỏi trước năm 2008.

2.3.2.4 Đánh giá kết quả

Bảng Tổng hợp cho thấy một số các ý chính sau:

- Nhận thức của các tổ chức về sử dụng Firewall để kiểm soát truy nhập mạng đã tăng rõ rệt. Năm 2000 con số này mới chiếm 10%, đến năm 2008 đã là 70%.

- Ý thức phát hiện tấn công trái phép cũng tăng đáng kể. Số tổ chức sử dụng IDS năm 2003 là 3%, sang năm 2008 là 35,7 %.

Cũng cần phải nói thêm về các con số của năm 2000 và 2003 ở trên, hầu như các doanh nghiệp trong nước không quan tâm đến vấn đề này, chỉ có HTTT lớn, quan trọng của một số cơ quan thuộc Chính phủ và các doanh nghiệp nước ngoài hoặc liên doanh với nước ngoài mới áp dụng Firewall và IDS do đã có nhận thức được về vấn đề AT&BM cho HTTT của mình.

- Virus là một trong những hiểm hoạ chiếm phần lớn đối với các HTTT nên nhận thức của các tổ chức về tác hại của Virus tăng lên rất nhanh. Năm 2000 có 40% số máy tính cá nhân cài đặt phần mềm diệt virus, năm 2003 là

70% và năm 2008 là 100%. Năm 2003 số tổ chức sử dụng phần mềm diệt virus cho Mail Server là 4% thì năm 2008 là 94,2%.

- Đối với phịng chống tấn cơng trên đường truyền cũng có kết quả tương tự. - Sử dụng kỹ thuật mật mã để xác thực người dùng là một kỹ thuật mạnh và

có kỹ thuật cao song nhận thức của các tổ chức về vấn đề này còn hạn chế. Điều này thể hiện ở việc sử dụng Tokens để xác thực: năm 2000 là 1% nhưng tới 2008 mới chỉ là 7,1 %. Những con số này cho thấy cần tăng cường nâng cao nhận thức người dùng sử dụng các kỹ thuật mạnh, có độ tin cậy cao để xác thực, đặc biệt là trong các giao dịch quan trọng. Hiện đa số vẫn dùng các kỹ thuật đơn giản như password mà kỹ thuật này lại dễ bị phá.

- Các tổ chức ngày một ý thức hơn đối với các thao tác đảm bảo AT&BM. Đây là một vấn đề quan trọng. Theo số liệu thì các thao tác này được thực hiện đã tăng dần qua các năm. Đây là các con số rất đáng mừng.

- Về áp dụng ISO 27001 thì chỉ có 19.34% có dự kiến triển khai tiêu chuẩn và 30,6% khơng biết có cần triển khai hay không.

- ...

Từ kết quả của việc so sánh các thơng tin có thể rút ra một số nhận xét sau:

 Nhận thức về tầm quan trọng của công tác AT&BM trong các cơ quan, tổ chức ngày một nâng cao.

 Quy mô và phạm vi ứng dụng các sản phẩm AT&BM liên tục tăng.

 Quy trình đảm bảo AT&BM ngày một chặt chẽ.

Các kỹ thuật có độ tin cậy cao vẫn chưa được sử dụng nhiều, tính chuyên nghiệp về vấn đề AT&BM chưa cao.

2.3.3 Các tiêu chí đánh giá sản phẩm AT&BM trên thế giới

nước quan tâm từ rất sớm. Ban đầu hoạt động đánh giá sản phẩm chủ yếu được áp dụng trong lĩnh vực an ninh quốc gia. Để thực hiện hoạt động đánh giá thì việc xây dựng Hệ thống tiêu chí (Criteria) đánh giá là một trong những khâu quan trọng nhất. Bên cạnh việc phát triển tiêu chí đánh giá và chuẩn hố thành các tiêu chuẩn (Standard) cũng cần phải hình thành một hệ thống các quy định về mặt luật pháp và hệ thống kiểm định/đánh giá. Nói chung q trình này được phát triển ở từng quốc gia, vào từng giai đoạn có sự khác nhau đáng kể.

Một số nghiên cứu về quá trình hình thành và phát triển các hệ tiêu chí đánh giá sản phẩm AT&BM trên thế giới:

Năm 1983 Bộ Quốc phòng Hoa Kỳ đã ban hành “Các tiêu chí đánh giá hệ thống máy tính tin cậy - TCSEC” hay vẫn được gọi là “Sách Da cam”.

Sau khi "Sách da cam" được ban hành thì các nước châu Âu cũng đề xuất ban hành "Tiêu chí Châu Âu về đánh giá An tồn CNTT - ITSEC". Tiêu chí này được bốn nước Anh, Pháp, Đức và Hà Lan xây dựng vào tháng 06/1991.

TCSEC và ITSEC có ảnh hưởng thực sự tới các tiêu chuẩn và các phương pháp đánh giá độ AT&BM cho các sản phẩm AT&BM sau này. Cũng cần nói thêm rằng, ITSEC ra đời sau TCSEC nên ITSEC có sự kế thừa và liên quan tới TCSEC.

Năm 1992 Uỷ Ban kỹ thuật quốc gia Nga cũng đã ban hành các tài liệu hướng dẫn về các vấn đề bảo vệ chống lại các thâm nhập trái phép các hệ thống thông tin.

Việc các nước sử dụng các hệ thống tiêu chí khác nhau để đánh giá các sản phẩm AT&BM đã dẫn đến một số khó khăn đáng kể. Ví dụ, một sản phẩm được đánh giá ở các quốc gia khác nhau có thể sẽ cho các kết quả khơng thống nhất và các kết quả này khó có thể được thừa nhận rộng rãi.

Tháng 06/1993 với mục đích khắc phục những khác biệt về quan niệm và kỹ thuật giữa các tiêu chí đánh giá trên cũng như nhằm tạo ra một tiêu chuẩn quốc tế chung, một Dự án xây dựng tiêu chí chung để đánh giá độ an toàn của các sản phẩm AT&BM đã được thành lập. Đến năm 1996 thì "Tiêu chí chung về AT&BM" hay còn gọi là CC (Common Criteria) đã ra đời Phiên bản đầu tiên (phiên bản 1.0) dựa trên sự tổng hợp, tinh lọc và kinh nghiệm áp dụng các tiêu chí trước đó.

Năm 1999 CC đã phát triển lên thành phiên bản 2.1 và chính thức trở thành Tiêu chuẩn quốc tế ISO/IEC 15408:1999. Hiện nay CC đã phát triển với phiên bản 3.1 và ISO đã tiếp tục ban hành lại bộ tiêu chuẩn này thành ISO 15408:2005. CC 3.1 được khuyến cáo sử dụng để đánh giá các sản phẩm AT&BM từ đầu năm 2007.

2.3.4 Tiêu chí chung về AT&BM

Theo CC, việc đánh giá các sản phẩm AT&BM dựa trên 7 mức an toàn cơ bản (gọi là "Mức bảo đảm đánh giá"). Trong quá trình đánh giá, một sản phẩm AT&BM được đánh giá ở mức càng cao thì càng nhiều chỉ tiêu sẽ được xem xét và q trình đánh giá càng tin cậy.

Có ba nhóm đối tượng chính quan tâm đến CC là:

- Những người liên quan đến việc thực hiện kiểm định/đánh giá (đánh giá viên, cơ quan giám sát đánh giá, cơ quan cấp chứng nhận);

- Những người phát triển sản phẩm (nhà sản xuất);

- Những khách hàng đang tìm kiếm sản phẩm phù hợp với mục đích của họ (người tiêu dùng).

Có hai khái niệm quan trọng trong CC:

- "Hồ sơ bảo vệ": các nội dung an toàn cho một chủng loại sản phẩm

- "Thiết kế bảo vệ": nội dung an toàn cho một sản phẩm AT&BM cụ thể

"Hồ sơ bảo vệ" chính là những yêu cầu đặt hàng do người tiêu dùng đưa ra. Dựa vào CC, người tiêu dùng có thể mơ tả cơng dụng của chủng loại sản phẩm, đặc trưng mơi trường vận hành nó, cũng như nhiệm vụ bảo vệ cần được thiết lập nhưng không hề quan tâm tới phương pháp và phương tiện để đạt được chúng. "Hồ sơ bảo vệ" là điểm xuất phát cho nhà sản xuất trong quá trình tạo nên sản phẩm.

Theo quan điểm của nhà sản xuất, các “Hồ sơ bảo vệ” cần phải được cụ thể đến mức tối đa nhưng không được mâu thuẫn với cấu trúc của HTTT và công nghệ tạo các sản phẩm AT&BM.

Trên cơ sở phân tích “Hồ sơ bảo vệ” của người tiêu dùng, nhà sản xuất sẽ xác định các yêu cầu mà sản phẩm cần thoả mãn, đề xuất các công nghệ dưới dạng “Thiết kế bảo vệ” để sản xuất ra sản phẩm có khả năng chống trả thành cơng các hiểm hoạ và thoả mãn các yêu cầu đặt ra. "Thiết kế bảo vệ" bao gồm các đặc tả về các phương tiện bảo vệ, mô tả khả năng của các phương tiện thực thi bảo vệ trong sản phẩm này và lập luận sự tương ứng của sản phẩm với các nhiệm vụ bảo vệ lấy từ "Hồ sơ bảo vệ".

Trong quá trình thiết kế và chế tạo sản phẩm AT&BM, nhà sản xuất cũng cần sử dụng CC. Ngồi ra, CC cịn là phương tiện để nhà sản xuất so sánh, đánh giá và chuẩn hoá các sản phẩm của mình thoả mãn các yêu cầu của người tiêu dùng.

"Thiết kế bảo vệ" - được nhà sản xuất căn cứ để sản xuất sản phẩm, mặt khác là một hệ thống chuẩn trong quá trình kiểm định/đánh giá.

Kiểm định/đánh giá và chứng nhận sự phù hợp của sản phẩm là nội dung rất quan trọng của CC.

sản phẩm mà không quan tâm nhiều đến việc sản xuất chúng và áp dụng chúng như thế nào bởi vì họ chịu trách nhiệm về mức AT&BM của sản phẩm đã được kiểm định.

Quá trình kiểm định/đánh giá bao gồm ba giai đoạn:

- Phân tích “Hồ sơ bảo vệ” về tính đầy đủ, tính khơng mâu thuẫn, tính thực thi và khả năng sử dụng của nó.

- Phân tích “Thiết kế bảo vệ” về sự tương ứng của nó đối với các yêu cầu của "Hồ sơ bảo vệ", cũng như tính đầy đủ, khơng mâu thuẫn, tính thực thi và khả năng sử dụng của nó như các mẫu khi phân tích sản phẩm. - Phân tích sản phẩm về sự tương ứng với "Thiết kế bảo vệ".

Kết quả kiểm định/đánh giá là kết luận sản phẩm được phân tích có tương ứng với “Thiết kế bảo vệ” đề ra hay không.

Kết luận bao gồm một số báo cáo được chi tiết theo các "Mức bảo đảm đánh giá" khác nhau và ý kiến của đánh giá viên sản phẩm dựa vào các tiêu chí kiểm định/đánh giá là CC. Các báo cáo này có thể được sử dụng cho nhà sản xuất cũng như cho người tiêu dùng. Nhờ kết quả kiểm định/đánh giá, nhà sản xuất sẽ nhận được các đánh giá khách quan về các sản phẩm của mình.

Các sản phẩm qua được giai đoạn kiểm định/đánh giá sẽ được chứng nhận sự phù hợp bởi cơ quan chức năng.

Áp dụng quá trình kiểm định/đánh giá và chứng nhận dẫn tới việc nâng cao chất lượng công việc của nhà sản xuất trong quá trình thiết kế và sản xuất sản phẩm. Thực tế cho thấy, các sản phẩm đã được chứng nhận thì xác suất xuất hiện lỗi và khiếm khuyết bảo vệ thực sự nhỏ hơn so với các sản phẩm

Một phần của tài liệu (LUẬN văn THẠC sĩ) phân tích tác động của chính sách KHCN đối với sự phát triển các sản phẩm an toàn và bảo mật cho hệ thống thông tin điện tử từ trong tiến trình hội nhập quốc tế (Trang 44)

Tải bản đầy đủ (PDF)

(144 trang)