Chương 3: MÔ HÌNH KIỂM TOÁN
3.2 Mô hình Kiểm toán an ninh trực tuyến
Để đưa ra các chính sách kiểm toán giảm thiểu rủi ro, doanh nghiệp phải xem xét công nghệ, hệ thống quản lý, các chức năng điều khiển hoặc tổng hợp nhiều yếu tố để nâng cao hiệu quả cho hệ thống và để giảm thiểu, ngăn cản, giới hạn các nguồn đe dọa cho hệ thống. Thống nhất các yêu cầu trên doanh nghiệp sẽ đưa ra các chính sách để đảm bảo an ninh cho hệ thống. Phần sau đây sẽ trình bài rỏ thêm về kiểm soát kỹ thuật (technical controls), kiểm soát quản lý (management controls) và kiểm soát chức năng (operational controls) để giảm thiểu rủi ro:
Kiểm soát kỹ thuật an ninh: được xây dựng để chống lại các mối đe dọa của hệ thống. Các điều khiển này là một vùng từ đơn giản đến phức tạp và thường liên quan đến kiến trúc hệ thống, kỹ thuật, và các gói bảo mật với sự kết hợp giữa phần cứng, phần mềm và firmware. Tất cả các biện pháp cần làm việc cùng nhau để bảo vệ dữ liệu nhạy cảm và quan trọng, thông tin và các chức năng hệ thống.
Kiểm soát an ninh`được nhóm lại thành các nhóm chính sau:
- Hỗ trợ (Support): là các điều khiển chung và cơ bản nhất của một hệ thống bảo mật hệ thống thông tin.
PHẠM CHÍ VỌNG 31
- Ngăn chặn (Prevent): kiểm soát, ngăn chặn các vi phạm an ninh.
- Phát hiện và phục hồi (Detect and Recovery): tập trung vào phát hiện và phục hồi trạng thái trước các thao tác vi phạm an ninh.
Hình 3.2 Mô hình kiểm toán an ninh [4]
Điều khiển kỹ thuật hỗ trợ (Supporting Technical Controls): là các tiến trình nền của hệ thống có liên quan đến việc hỗ trợ các tiến trình bảo mật bao gồm:
Xác định (Identification): cung cấp khả năng xác nhận người dùng, tiến trình khi truy cập hệ thống.
Quản lý mật mã hóa (Cryptographic Key Management ): các khóa được tạo và bảo vệ được dùng mã hóa dữ liệu. Quản lý mật mã hóa bao gồm tạo khóa, phân phối, lưu trữ và bảo trì.
Quản lý an ninh (Security Administration ): các đặc điểm an ninh của hệ thống thông tin phải được cấu hình để đáp ứng các nhu cầu về
PHẠM CHÍ VỌNG 32
cài đặt hoặc thay đổi trên hệ thống. Hệ thống an ninh có thể xây dựng trên an ninh của hệ điều hành hoặc trên ứng dụng.
Bảo vệ hệ thống (System Protections): bên dưới một hệ thống có nhiều chức năng an ninh đảm bảo độ an toàn của cho hệ thống.
Điều khiển kỹ thuật ngăn ngừa (Preventive Technical Controls): các điều khiển này nhằm ngăn chặn những vi phạm chính sách an ninh gồm:
Xác thực (Authentication): việc xác thực cung cấp phương tiện xác minh danh tính đối tượng đảm bảo đối tượng là hợp lệ khi truy cập hệ thống. Cơ chế xác thực bao gồm mật khẩu, số cá nhân, mã PIN, thẻ thông minh…
Cấp phép (Authorization): là việc cấp phép cho các quyền thao tác trên hệ thống như truy cập cở sở dữ liệu, tập tin… Việc cấp phép có thể được định nghĩa cho cá nhân, nhóm, phòng ban, người quản trị sẽ thiết kế một tập các chính sách, gom nhóm các chính sách và gán cho mỗi tài khoản. Các chính sách này phải được phân tích rất kỹ, kiểm tra định kỳ để bảo đảm an ninh hệ thống do các chính sách chồng chéo có thể dẫn đến một tài khoản có thể thực hiện được các quyền hạn không mong muốn.
Chính sách truy cập bắt buộc (Access Control Enforcement): đảm bảo tính toàn vẹn và bảo mật dữ liệu khi điều khiển truy cập. Khi đối tượng đã được cấp phép thực hiện các thao tác trên hệ thống thì cần có các chính sách cụ thể cho những thao tác đó. Tính hiệu quả của chính sách truy cập phụ thuộc vào tính đúng đắn việc lựa chọn chính sách và thực thi kiểm soát truy cập.
Không thể phủ nhận (Nonrepudiation): khi dữ liệu được nhận từ bên gửi hệ thống đảm bảo rằng người gửi không thể phủ nhận trách nhiệm của mình về dữ liệu đã gửi và ngược lại. Các công nghệ thường dùng là chữ ký số, khóa riêng.
Giao tiếp được bảo vệ (Protected Communications): liên lạc phải được bảo đảm an ninh. Kiểm soát an ninh phải đảm bảo tính toàn vẹn, tính sẵn sàng, và tính bảo mật của thông tin nhạy cảm trên đường vận chuyển. Các phương pháp thường được dùng để bảo vệ dữ liệu là VPN, IPSEC, mã hóa…
PHẠM CHÍ VỌNG 33
Giao dịch riêng (Transaction Privacy): khi các giao dịch diễn ra, hệ thống cần phải đảm bảo tính riêng tư, bảo mật thông tin cho giao dịch này
Kiểm soát kỹ thuật phát hiện và phục hồi (Detection and Recovery Technical Controls): cảnh báo các hành vi vi phạm chính sách an ninh, các thao tác vi phạm không được phép, phát hiện xâm nhập, đối tượng không được xác thực.
Cố gắng thực hiện phục hồi lại thao tác, dữ liệu các thao tác vi phạm chính sách an ninh. Cần thiết lập các biện pháp khác kết hợp như dự phòng, sao lưu dữ liệu. Phát hiện và phục hồi bao gồm:
Kiểm toán (Audit): kiểm toán là giám sát hệ thống, các hoạt động bất thường, các thao tác vi phạm chính sách an ninh. Hầu như tất cả các hoạt động của hệ thống đều được kiểm toán và theo dõi nó đảm bảo các chính sách đề ra được thực thi. Các sự kiện được ghi lại sẽ là thông tin quan trọng cho các báo cáo và kiểm tra hệ thống. Người kiểm toán viên có thể nhận thấy tất cả các vấn đề an ninh từ các báo cáo kiểm toán, phát hiện và truy vết các thông tin vi phạm chính sách.
Phát hiện xâm nhập và ngăn chặn (Intrusion Detection and Containment): hệ thống sẽ ngăn chặn các xâm nhập do các lổ hổng bảo mật hoặc các hacker tấn công. Hệ thống sẽ có những hành động đáp trả lại các hành động này bằng cách ngắt kết nối, cảnh báo sự nguy hiểm cho người quản trị.
Bằng chứng của sự toàn vẹn (Proof of Wholeness): là việc kiểm soát tính toàn vẹn hệ thống, nó không ngăn chặn các hành vi vi phạm chính sách an ninh mà chỉ phát hiện các xâm nhập và chỉ ra loại hình vi phạm.
Trạng thái phục hồi an toàn (Restore Secure State): khi dịch vụ này được bậc lên hệ thống cho ta phục hồi lại trạng thái đã được đánh dấu trước đó.
Phát hiện và loại bỏ virus(Virus Detection and Eradication): phần mềm chống virus được cài đặt trên hệ thống sẽ phát hiện, xóa bỏ virus đảm bảo hệ thống được bảo vệ.
Mô hình kiểm soát an ninh trên là tiêu biểu cho việc kiểm toán hệ thống, nó đưa ra công việc cần thiết cho hoạt động kiểm toán bên trong hệ thống thông tin bao gồm các hoạt động máy con, máy chủ, các thao tác của người sử dụng. Quá trình kiểm toán được tiến hành từ khi hệ thống vận hành thông qua các chính sách hệ thống sẽ ghi lại, cảnh báo, tạo các thống kê cho người kiểm toán.
PHẠM CHÍ VỌNG 34
Trong phạm vi của luận văn này chúng tôi chỉ tập chung vào hai tầng của mô hình kiểm toán là ngăn chặn (Prevent), phát hiện và phục hồi (Detect and Recovery) cụ thể là:
o Tạo hệ thống trực tuyến thử nghiệm là hệ thống quản lý điểm của trường đại học Võ Trường Toản theo mô hình NIST.
o Xây dựng chính sách kiểm toán an ninh hệ thống thông tin.
o Kiểm toán hệ thống, tạo các thống kê vi phạm dựa vào thông tin dữ liệu nhật ký mà hệ thống ghi nhận bao gồm nhật ký máy chủ, Liferay, hệ thống phát hiện tấn công Snort.
PHẠM CHÍ VỌNG 35