4.3.3.b. Các kỹ thuật mã hóa
Mã hóa đối xứng
Hệ thống mã hóa đối xứng(Symmetric cryptosystem)là hệ thống mã hóa sử dụng một khóa bí mật chia sẻ (Sharedsecret-key) cho cả hai q trình mã hóa và giải mã.
Quy trình mã hóa đối xứng được miêu tả như sau:
- Dùng giải thuật ngẫu nhiên mã hóa và khóa để mã hóa dữ liệu gửi đi.
- Bằng cách nào đó, khóa bí mật chia sẻ của người gửi sẽ được gửi đến cho người nhận, có thể là giao trước hoặc sau khi mã hóa dữ liệu.
- Khi người nhận nhận được dữ liệu, họ sẽ dùng khóa bí mật chia sẻ này để giải mã dữ liệu để có được dữ liệu chuẩn.
Tuy nhiên vấn đề bảo mật nằm ở chỗ, làm thế nào để chuyển khóa bí mậtchia sẻcho người nhận một cách an tồn. Nếu khóa này bị lộ thì bất kì ai sử dụng giải thuật phía trên đều có thể giải mã được dữ liệu, tính bảo mật dữ liệu sẽ khơng đảm bảo.
Mã hóa bất đối xứng
Hệ thống mã hóa bất đối xứng (Asymmetric cryptosystem) sử dụng một khóa cơng khai (Public key) và một khóa bí mật (Private key) cho q trình mã hóa và giải mã. Hệ thống
mã hóa bất đối xứng cịn được gọi là hệ thống mã hóa khóa cơng khai (Public-key
cryptosystem).Thuật tốn mã hóa bất đối xứng phổ biến là RSA.
Mã hóa trên điện tốn đám mây
Các nhà cung cấp dịch vụ điện toán đám mây đã cố gắng bảo đảm an toàn của dịch vụ điện tốn đám mây ít nhất bằng hoặc hơn mức độ an tồn của việc khơng sử dụng điện tốn đám mây. Một số mơ hình an tồn và thuật tốn mã hóa cơ bản trên điện tốn đám mây đã được xuất bản gần đây gồm:
- Mơ hình ba lớp bảo vệ dữ liệu: Lớp xác thực người dùng; Lớp bảo đảm mã hóa dữ liệu, tồn vẹn dữ liệu và bảo vệ tính riêng tư người dùng; Lớp phục hồi dữ liệu theo tốc độ giải mã.
123 - Mơ hình bảo vệ dữ liệu sử dụng VPN cloud.
Mã hóa cho thiết bị di động thơng minh
Nhu cầu đảm bảo an toàn cho các thiết bị di động càng trở nên bức thiết. Các thiết bị này là mục tiêu chung của tin tặc và tội phạm mạng. Nhiều nhà sản xuất thiết bị di động đã cài thêm mật khẩu để lưu và trao đổi dữ liệu, thậm chí mã hóa tồn bộ thẻ nhớ, chỉ cho phép người dùng có khóa mã (mật khẩu, vân tay, giọng nói, sinh trắc học..) xem được nội dung thơng tin.
Mã hóa cho Internet vạn vật
Theo BI Intelligence, dự tính cuối năm 2019 sẽ có khoảng 27 tỉ thiết bị kết nối Internet
vạn vật (Internet of Thing / IoT) và đến năm 2025, con số này lên tới 64 tỉ thiết bị. Tất cả các
mạng IoT hiện tại và mạng IoT mới đều phải đối mặt với nguy cơ đe dọa mạng rất cao, vì thế cơng nghệ chuỗi khối (blockchain) được sử dụng trong bảo mật IoT.
Nền tảng blockchain có thể bảo mật các thiết bị kết nối bằng cách sử dụng chữ ký điện tử để nhận diện và xác thực các thiết bị này. Sau đó các thiết bị sẽ đóng vai trị là những đối tượng tham gia được ủy quyền trong mạng blockchain. Mỗi thiết bị được xác thực tham gia mạng IoT bảo mật dựa trên blockchain sẽ được coi là một thực thể tham gia, giống như trong mạng blockchain thông thường. Tất cả thông tin liên lạc giữa những người tham gia đã được xác minh (thiết bị IoT) sẽ được bảo mật bằng mật mã và lưu trữ trong nhật ký chống giả mạo.
4.3.4. Đảm bảo an tồn hệ thống thơng tin TMĐT
4.3.4.a. Tổng quan về an toàn HTTT TMĐT
HTTT TMĐT là một nhóm các thành phần có tương tác với nhau trong các giao dịch TMĐT. Cũng giống bất kỳ như HTTT nào, các thành phần cơ bản của HTTT TMĐT bao gồm: phần cứng, phần mềm, cơ sở dữ liệu, thủ tục, con người.
Trong quá trình phát triển của thương mại cho thấy, vấn đề an tồn ln được đặt ra, đặc biệt là khi các giao dịch thực hiện trên mạng (khơng có sự xuất hiện vật lý) của các chủ thể tham gia giao dịch. Khi trao đổi thông tin với nhau, Vd: người mua hàng đăng nhập các thông tin cá nhân và thơng tin tài chính của mình và gửi đến máy chủ web thương mại của một doanh nghiệp để mua hàng tin tưởng rằng thơng tin của họ được giữ bí mật, khơng bị nghe trộm và sửa đổi bởi bên thứ ba (hoặc người nào đó) khơng tham gia giao dịch với người mua hàng.
An toàn với ý nghĩa rất rộng như an toàn vật lý, an toàn kỹ thuật, an ninh quốc phịng, an tồn tính mạng sức khỏe, vệ sinh an tồn… và được đảm bảo bằng các chính sách an tồn như chính sách an ninh quốc gia, hệ thống các tiêu chuẩn kĩ thuật, điều kiện môi trường cho phép… cùng với các rào cản kĩ thuật, biên giới quốc gia, hàng rào, đội ngũ bảo vệ, các thiết bị an ninh (chuông báo động, camera…). Tuy nhiên, an tồn trong TMĐT có phạm vi nghiên cứu hẹp hơn: an toàn hệ thống TMĐT mà chủ yếu là an tồn trao đổi thơng tin.
4.3.4.b. Phân chia cấp độ an tồn hệ thống thơng tin TMĐT
Như đã đề cập, bộ tiêu chuẩn FIPS Pulication 1999 của Mỹ được sử dụng phổ biến trên thế giới để phân chia cấp độ an tồn thơng tin. Căn cứ vào ba thuộc tính (gồm bí mật, tồn vẹn, khả dụng) của thơng tin và ba mức độ ảnh hưởng (gồm thấp, trung bình, cao), FIPS Pulication 1999 của Mỹ đưa ra hai mươi bảy cấp độ an tồn thơng tin.
124 Tại Việt Nam, Luật An tồn thơng tin mạng phân chia thành năm cấp độ an tồn thơng tin tương ứng với mức độ tổn hại khi hệ thống thông tin bị phá hủy, bao gồm:
- Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng khơng làm tổn hại tới lợi ích cơng cộng, trật tự, an tồn xã hội, quốc phòng, an ninh quốc gia;
- Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích cơng cộng nhưng khơng làm tổn hại tới trật tự, an tồn xã hội, quốc phịng, an ninh quốc gia;
- Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích cơng cộng và trật tự, an tồn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;
- Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích cơng cộng và trật tự, an tồn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;
- Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.
4.3.4.c. Các biện pháp đảm bảo ATTT hệ thống thông tin TMĐT
Biện pháp quản lý bao gồm:
- Ban hành các chính sách, qui định trong thiết kế, xây dựng hệ thống quản lý, vận hành khai thác hệ thống, bảo dưỡng, nâng cấp hệ thống thông tin.
- Quy định cho việc bảo vệ vật lý và kiểm soát vật lý
- Ban hành quy trình, thủ tục xử lý cơng việc, bao gồm cả quản trị nhân sự
- Quy định về nâng cao nhận thức của người dùng, huấn luyện bồi dưỡng cập nhật kiến thức cho nhân viên nội bộ doanh nghiệp…
Biện pháp kỹ thuật bao gồm:
- Áp dụng các tiêu chuẩn kỹ thuật ATTT
- Kiểm sốt đăng nhập, quy trình xác thực người dùng - Áp dụng công cụ bảo vệ cho thiết bị và mơi trường vật lý
- Áp dụng quy trình kỹ thuật trong: lập và sửa đổi cấu hình hệ thống, sửa đổi hệ thống nhất quán, lưu trữ và sao lưu dự phịng, hủy bỏ dữ liệu an tồn, hủy bỏ trang thiết bị phần cứng, kiểm soát nhật ký, bản ghi, đánh giá rủi ro, rà quét điểm yếu hệ thống.
- Giám sát hệ thống, phát hiện và phản ứng xử lý sự cố, khôi phục.
4.4. MỘT SỐ VẤN ĐỀ VỀ TIÊU CHUẨN AN TỒN THƠNG TIN VÀ ĐÁNH GIÁ, KIỂM ĐỊNH AN TỒN THƠNG TIN KIỂM ĐỊNH AN TỒN THƠNG TIN
4.4.1. Tổng quan về tiêu chuẩn ATTT và đánh giá, kiểm định ATTT
Nội dung quan trọng của quản lý ATTT là hợp chuẩn, nghĩa là chuẩn hóa các biện pháp, quy trình nhằm đảm bảo ATTT. Cụ thể hơn là việc thiết kế, cài đặt, vận hành chophần cứng, phần mềm, các thành phần, các hệ thống, các ứng dụng CNTT và TT…trong tổ chức cần phải tuân theo những yêu cầu bắt buộc được đặt ra trong các tiêu chuẩn ATTT của quốc gia và quốc tế.
125 mật và các điểm yếu khiến cho tin tặc có thể khai thác, tấn cơng. Các biện pháp đảm bảo ATTT thường khó đảm bảo được 100% là an tồn, vì thế cần phải đánh giá mức độ tin cậy, sự phù hợp của các biện pháp đảm bảo ATTT đã áp dụng và mức độ an toàn của các sản phẩm và ứng dụng. Để đánh giá, cần có các tiêu chuẩn (hay tiêu chí) đánh giá. Hệ thống tiêu chuẩn ATTT được đưa ra nhằm hỗ trợ đánh giá, bảo vệ ATTT một cách hiệu quả, áp dụng các quy tắc thực hành tốt nhất có thể được.
4.4.2. Một số tiêu chuẩn ATTT điển hình
4.4.2.a. Tiêu chuẩn ATTT điển hình quốc tế
Bộ tiêu chuẩn về hệ thống quản lý ATTT (ISO/IEC 27000scung cấp mơ hình phục vụ cho việc thiết lập và vận hành một hệ thống quản lý ATTT (ISMS). Việc triển khai áp dụng ISMS theo các nguyên tắc của bộ tiêu chuẩn quốc tế ISO/IEC 27000 được biết đến là một trong các biện pháp phịng ngừa sự cố ATTT hữu hiệu. Có thể nói rằng, ISMS là một phần của hệ thống quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, sốt xét, duy trì và cải tiến đảm bảo an tồn thơng tin của tổ chức.
ISMS hỗ trợ các tổ chức thuộc mọi loại hình, mọi quy mơ để triển khai và vận hành một hệ thống quản lý ATTT. Thông qua sử dụng ISMS, các tổ chức có thể xây dựng và triển khai một bộ khung cho việc quản lý an tồn các tài sản thơng tin của họ, bao gồm các thơng tin tài chính, sở hữu trí tuệ, chi tiết về nhân sự, hoặc các thơng tin cần có độ tin cậy cung cấp bởi khách hàng hay bên thứ ba.
Bộ tiêu chuẩn ISMS bao gồm các nội dung chínhnhư sau:
- Các tiêu chuẩn mô tả tổng quan và từ vựng vựng cho hệ thống quản lý ATTT:
ISO/IEC 27000.
- Các tiêu chuẩn xác định các yêu cầu bao gồm: ISO/ IEC 27001: CNTT - Các kỹ
thuật an toàn - Hệ thống quản lý ATTT - Các yêu cầu; ISO/IEC 27006: CNTT - Các kỹ
thuật an toàn - Các yêu cầu đối với các tổ chức đánh giá và cấp chứng nhận hệ thống quản lý ATTT.
- Các tiêu chuẩn hướng dẫn chung bao gồm: ISO/IEC 27002: CNTT - Các kỹ thuật an
toàn -Quy tắc thực hành quản lý ATTT; ISO/IEC 27003: CNTT - Các kỹ thuật an toàn -
Hướng dẫn triển khai hệ thống quản lý ATTT; ISO/IEC 27004: CNTT - Các kỹ thuật an
toàn - Quản lý ATTT - Đo lường đánh giá; ISO/IEC 27005: CNTT - Các kỹ thuật an toàn - Quản lý rủi ro ATTT; ISO/IEC 27007: CNTT - Các kỹ thuật an toàn - Hướng dẫn đánh giá hệ thống quản lý ATTT; ISO/IEC 27008: CNTT - Các kỹ thuật an toàn - Hướng dẫn đánh giá các biện pháp kiểm soát hệ thống ISMS.
- Các tiêu chuẩn mô tả hướng dẫn các ngành cụ thể: ISO/IEC 27010: CNTT - Các kỹ thuật an tồn - Quản lý ATTT cho truyền thơng; ISO/IEC 27011: CNTT- Các kỹ thuật an toàn - Hướng dẫn ATTT cho các doanh nghiệp viễn thông dựa trên ISO/IEC 27002.ISO/IEC 27015: CNTT - Các kỹ thuật an toàn - Hướng dẫn ATTT cho các dịch vụ tài chính; ISO 27799: Thơng tin sức khỏe- Quản lý ATTT trong lĩnh vực y tế khi áp dụng
ISO/IEC 27002.
4.4.2.b. Tiêu chuẩn ATTT của Việt Nam
126 chuẩn, quy chuẩn kỹ thuật trong lĩnh vực ATTT ngoài tiêu chuẩn TCVN 7326-1:2003. Kể từ năm 2007 với sự ra đời của Nghị định số 64-2007/NĐ-CP về Ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước đã đặt ra yêu cầu xây dựng và hoàn thiện hệ thống tiêu chuẩn ATTT nhằm đáp ứng nhu cầu thực tiễn. Tới nay, có thêm nhiều tiêu chuẩn quốc gia về ATTT được ban hành, hầu hết các tiêu chuẩn quốc gia được xây dựng theo cách dịch sang tiếng Việt, chấp nhận nguyên vẹn bản gốc ISO/IEC. Các tiêu chuẩn ATTT tiêu biểu tại Việt Nam được phân chia thành hai nhóm, nhóm tiêu chuẩn cho hệ thống thơng tin và nhóm tiêu chuẩn cho sản phẩm ATTT.
Nhóm tiêu chuẩn cho hệ thống thơng tin
Các tiêu chuẩn đã ban hành, gồm mười sáu tiêu chuẩn:
1) TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin – Các yêu cầu
2) TCVN ISO/IEC 27002:2011 Công nghệ thông tin-Các kỹ thuật an toàn- Quy tắc thực hành Quản lý an tồn thơng tin
3) TCVN 8709-1:2011 ISO/IEC 15408-1:2009 Công nghệ thông tin- Các kỹ thuật an tồn- Các tiêu chí đánh giá an tồn CNTT- Phần 1: Giới thiệu và mơ hình tổng quát
4) TCVN 8709-2:2011 ISO/IEC 15408-2:2008 Công nghệ thông tin- Các kỹ thuật an tồn- Các tiêu chí đánh giá an tồn CNTT- Phần 2: Các thành phần chức năng an toàn
5) TCVN 8709-3:2011 ISO/IEC 15408-3:2008 Công nghệ thông tin- Các kỹ thuật an tồn- Các tiêu chí đánh giá an tồn CNTT- Phần 3: Các thành phần đảm bảo an tồn
6) TCVN 10295:2014 ISO/IEC 27005:2011 Cơng nghệ thơng tin-Các kỹ thuật an toàn- Quản lý rủi ro an tồn thơng tin
7) TCVN 10541:2014 ISO/IEC 27003:2010 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin
8) TCVN 10543:2014 ISO/IEC 27010:2012 Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an tồn trao đổi thơng tin liên tổ chức, liên ngành
9) TCVN 9801-3:2014 ISO/IEC 27033-3:2010 Công nghệ thơng tin - Kỹ thuật an tồn - An toàn mạng - Phần 3: Các kịch bản kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm sốt
10) TCVN 9801-2:2015 Cơng nghệ thơng tin - Các kỹ thuật an tồn - An toàn mạng - Phần 2: Hướng dẫn thiết kế và triển khai an tồn mạng
11) TCVN 11238:2015 Cơng nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Tổng quan và từ vựng
12) TCVN 11239:2015 Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý sự cố an tồn thơng tin
13) TCVN 11386:2016 Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an tồn cơng nghệ thơng tin
14) TCVN 11393-1:2016 ISO/IEC 13888-1:2009 Cơng nghệ thơng tin - Các kỹ thuật an tồn - Chống chối bỏ - Phần 1: Tổng quan
15) TCVN 11393-2:2016 ISO/IEC 13888-2:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 2: Các cơ chế sử dụng kỹ thuật đối xứng
127 16) TCVN 11393-3:2016 ISO/IEC 13888-3:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 3: Các cơ chế sử dụng kỹ thuật bất đối xứng
Nhóm tiêu chuẩn cho sản phẩm ATTT
Các tiêu chuẩn đã ban hành, gồm ba tiêu chuẩn:
1) TCVN 8709-1:2011 ISO/IEC 15408-1:2009 Công nghệ thông tin- Các kỹ thuật an tồn- Các tiêu chí đánh giá an tồn CNTT- Phần 1: Giới thiệu và mơ hình tổng qt
2) TCVN 8709-2:2011 ISO/IEC 15408-2:2008 Công nghệ thông tin- Các kỹ thuật an