Do xu h ng v các m i đe d a an ninh và các công ngh t n công, phòng th m nh m đòi h i m t chi n l c linh ho t, cho phép thích ng v i môi tr ng thay đ i, các th t c và chính sách rõ ràng, vi c s d ng các công ngh b o
m t thích h p, và c nh giác không ng ng.
M t đi u h u ích đó là b t đ u ch ng trình c i ti n b o m t b ng vi c xác đ nh hi n tr ng an ninh. Không th thi u đ i v i m t ch ng trình b o m t là các tài li u v chính sách và th t c, c ng nh công ngh h tr cho vi c th c
hi n.
Qu n tr an ninh
Qu n tr an ninh bao g m m t chi n l c an ninh thông tin, chính sách và các
đ ng l i ch đ o.
M t chi n l c an ninh thông tin đ t ra đ nh h ng cho t t c các ho t đ ng
an ninh thông tin.
M t chính sách an ninh thông tin là m t tài li u k ho ch m c cao cho an
ninh thông tin c a toàn b t ch c. Nó cung c p m t khuôn kh cho vi c ra
các quy t đ nh, nh m t k ho ch an ninh v t lý và qu n tr .
B i m t chính sách an ninh thông tin có quan đi m dài h n, nó nên tránh đ
c p đ n m t công ngh nh t đ nh, và bao hàm s phát tri n k ho ch ho t đ ng liên t c hi u qu .
ng l i ch đ o an ninh thông tin đ c xây d ng d a trên chính sách và chi n l c an ninh thông tin. ng l i ch đ o s ch rõ các quy t c cho m i
l nh v c liên quan đ n an ninh thông tin. Và do đ ng l i ch đ o ph i bao
hàm toàn di n trên ph m vi qu c gia, chúng ph i đ c phát tri n và đ a ra b i
chính ph , đ c th c hi n b i các t ch c.
Các tiêu chu n an ninh thông tin ph i đ c chuyên bi t hóa và c th do đó
chúng có th đ c áp d ng cho t t c các l nh v c an ninh thông tin. M t đi u
thu n l i cho m i qu c gia đ phát tri n các tiêu chu n sau khi phân tích các
tiêu chu n an ninh k thu t, v t lý và qu n tr thì chúng đ c s d ng r ng rãi trên toàn th gi i. Các tiêu chu n s đ c dành riêng cho môi tr ng ICT đang ph bi n.
H c ph n 6An toàn, an ninh thông tin và m ng l i 37
Chi n l c, chính sách và đ ng l i ch đ o an ninh thông tin c a m t qu c
gia s tuân th quy t c có liên quan. Ph m vi c a chúng s n m cho ranh gi i
c a các lu t l qu c t và qu c gia.
Ti n trình và s v n hành an ninh thông tin
M t khi các đ ng l i, chính sách và chi n l c an ninh thông tin đ c xây
d ng, các ti n trình và th t c v n hành an ninh thông tin c ng s c n đ c xác đ nh. B i k ph m t i t n công vào thông tin hay k h thông tin n i b , do đó qu n lý ngu n nhân l c là y u t quan tr ng nh t trong v n hành an
ninh thông tin. Do đó c n chú ý nh ng v n đ sau đây:
1.Ch ng trình giáo d c và đào t o v an ninh thông tin – Có nhi u ph ng pháp đ c i thi n m c đ an ninh thông tin c a m t t ch c tuy nhiên giáo d c và đào t o là nh ng ho t đ ng c b n. Các thành viên c a m t t ch c
ph i đánh giá đúng nhu c u đ i v i an ninh thông tin và đ t đ c các k n ng liên quan thông qua quá trình đào t o. Tuy nhiên, đi u quan tr ng là phát tri n nhi u các ch ng trình đ t i đa hóa s tham gia b i vì các
ch ng trình giáo d c, đào t o v an ninh thông tin đ c tiêu chu n hóa có
th không hi u qu .
2.T ng c ng các ho t đ ng xúc ti n thông qua r t nhi u s ki n – S tham
gia c a ng i lao đ ng có vai trò quan tr ng đ i v i vi c th c hi n thành
công đ ng l i ch đ o, chính sách và chi n l c an ninh thông tin. An ninh thông tin s đ c đ y m nh trong đ i ng ng i lao đ ng thông qua
các ho t đ ng hàng ngày.
3.B o đ m trách nhi m c a ng i đ ng đ u – Trong khi ng i lao đ ng có
th có nh n th c cao v an ninh thông tin và h có quy t tâm l n đ duy trì an ninh thông tin thì r t khó đ đ m b o an ninh thông tin mà không có s h tr t c p lãnh đ o cao nh t trong t ch c. C n ph i có đ c s ng h
t Ch t ch H i đ ng qu n tr (Chief Executive Officer) và Giám đ c Công
ngh thông tin (Chief Information Officer).
An ninh v m t công ngh
Có r t nhi u công ngh đã đ c phát tri n đ giúp các t ch c b o đ m cho
h th ng thông tin c a mình ch ng l i nh ng k xâm nh p. Nh ng công ngh
này giúp cho thông tin và các h th ng có th ch ng l i các cu c t n công, dò tìm các ho t đ ng nghi ng và b t th ng, đ ng th i đ i phó nh ng v n đ phát sinh đ c coi là an ninh hi u qu .
38 Nh ng ki n th c c b n v Công ngh thông tin và Truy n thông cho Lãnh đ o trong c quan Nhà n c Các h th ng an ninh ngày nay đ c thi t k và phát tri n d a trên mô hình
Phòng th theo chi u sâu DID (Defense In Depth) d n t i vi c qu n lý đ ng
b nh ng công ngh liên quan. Mô hình này khác v i mô hình phòng th
vành đai, ch có m t l p phòng th ch ng l i các hi m h a. Mô hình DID bao g m vi c ng n ng a, dò tìm và ch ng ch u l i, v i các m i hi m h a đ c
gi m b t theo m i pha (Hình 5).
Hình 5. Mô hình phòng th theo chi u sâu DID
Ngu n: Defense Science Board, Protecting the Homeland: Defensive Information
Operations 2000 Summer Study Volume II (Washington, D.C.: Defense Science Board, 2001), 5, http://www.acq.osd.mil/dsb/reports/dio.pdf
Công ngh ng n ng a (Prevention Technology)
Các công ngh ng n ng a b o v ch ng l i nh ng k t n công và các m i
hi m h a v l u tr hay c p đ h th ng. Nh ng công ngh này bao g m: 1.M t mã (Cryptography): C ng đ c xem là mã hóa, m t mã là m t quá
trình d ch thông tin t đ nh d ng g c (d i hình th c v n b n – plaintext)
thành đ nh d ng đ c mã hóa, khó hi u (đ c g i là v n b n m t mã – ciphertext). Gi i mã đ c hi u là quá trình tác đ ng vào ciphertext và d ch ng c nó tr l i thành plaintext. M t mã đ c s d ng đ b o v r t nhi u ng d ng. Thông tin v m t mã và các công ngh liên quan (IPSec, SSH, SSL, VPN, OTP, …) có th tìm th y nhi u h n t i các trang web sau:
Ch ng ch u l i
T ng b o v và ch ng suy gi m Dò tìm Ng n ng a
Phòng th đ ng/Linh ho t
H c ph n 6An toàn, an ninh thông tin và m ng l i 39
• IETF RFC (http://www.ietf.org/rfc.html)
• RSA Laboratories’ Frequently Asked Questions About Today’s Cryptography (http:// www.rsa.com/rsalabs/node.asp?id=2152)
2.M t kh u s d ng 1 l n (One-time passwords - OTP): Nh tên g i, OPT ch
có th s d ng đ c m t l n. M t kh u t nh có th d b truy nh p h n thông
qua các k thu t đánh c p m t kh u (password loss), đánh h i m t kh u
(password sniffing), b khóa m t kh u b ng thu t toán “vét c n” (brute-force password cracks) và các hình th c t ng t . Hi m h a này có th đ c gi m đi r t nhi u nh vi c thay đ i m t kh u m t cách liên t c, nh đ c th c
hi n v i OTP. Vì lý do này, OTP đ c s d ng đ đ m b o cho các giao
dch tài chính đi n t nh d ch v ngân hàng tr c tuy n (online banking).
3.T ng l a (Firewalls): T ng l a qu n lý m t s lu ng giao d ch gi a các
m ng máy tính có các m c đ tin c y khác nhau nh gi a m ng Internet – khu v c không có đ tin c y, và m t m ng n i b – khu v c có đ tin c y cao h n. M t khu v c v i m c đ tin c y trung bình, đ c đ t v trí gi a m ng
Internet và m t m ng n i b tin c y thì th ng đ c hi u nh m t “m ng vành đai” (perimeter network) hay vùng phi quân s (demilitarized zone). 4.Công c phân tích kh n ng b t n công (Vulnerability analysis tool): Do s
gia t ng v s l ng các ph ng th c t n công c ng nh kh n ng b t n
công trong nh ng ng d ng thông th ng, c n đánh giá th ng xuyên v kh n ng b t n công c a h th ng. Trong an ninh máy tính, m t kh n ng
b t n công là m t đi m y u cho phép k t n công xâm ph m h th ng. Các
kh n ng b t n công có th là k t qu t nh ng m t kh u y u, l i ph n
m m, virus máy tính, m t đo n mã nhi m đ c, chèn l nh SQL (SQL
Injection) hay ph n m m đ c h i. Các công c phân tích kh n ng b t n
công cung c p các d ch v phân tích. Tuy nhiên, nh ng công c này cung c p mi n phí b i c ng đ ng Internet có th b l i d ng b i k xâm nh p.
bi t thêm thông tin, có th xem t i:
• INSECURE Security Tool (http://sectools.org)
• FrSIRT Vulnerability Archive (http://www.frsirt.com/english) • Secunia Vulnerability Archive (http://secunia.com)
• SecurityFocus Vulnerability Archive (http://www.securityfocus.com/bid) Các công c phân tích kh n ng t n công m ng l i có th s d ng đ phân
tích kh n ng t n công các ngu n tài nguyên m ng nh b đ nh tuy n (router), t ng l a (firewall) và máy ch (server).
40 Nh ng ki n th c c b n v Công ngh thông tin và Truy n thông cho Lãnh đ o trong c quan Nhà n c M t công c phân tích kh n ng b t n công máy ch s phân tích nh ng kh n ng nh m t kh u y u, cách th c c u hình y u và l i thi t l p quy n cho phép đ i v i t p tin trong h th ng n i b . Công c phân tích kh n ng b t n
công máy ch v t ng đ i cho chúng ta nhi u k t qu chính xác h n công c
phân tích kh n ng b t n công m ng l i b i vì công c này phân tích nhi u nguy c b t n công h n trong h th ng n i b .
Công c phân tích kh n ng b t n công Web s phân tích nh ng kh n ng t n
công c a các d ch v Web nh XSS và SQL Injection. bi t thêm thông tin, có th xem tài li u Open Web Application Security Project t i đ a ch :
http://www.owasp.org/index.php/Top_10_2007.
Công ngh dò tìm (Detection Technology)
Công ngh dò tìm đ c s d ng đ phát hi n và l n theo s xâm nh p và nh ng tr ng thái không bình th ng trong m ng l i hay trong các h th ng
quan tr ng. Công ngh dò tìm bao g m:
1.Ph n m m ch ng virus (Antivirus): Ph n m m ch ng virus là m t ch ng
trình máy tính dùng đ nh n di n, lo i tr hay làm vô hi u mã đ c, bao
g m sâu máy tính (worm), t n công l a đ o (phishing), rootkit, Trojan và ph n m m đ c h i khác (malware).13
2. H th ng dò tìm xâm nh p (Intrusion detection system - IDS): M t h
th ng IDS s thu th p và phân tích thông tin t r t nhi u khu v c trong m t
máy tính hay m t m ng l i đ nh n di n các l h ng an ninh có th x y
ra. Ch c n ng dò tìm xâm nh p bao g m phân tích nh ng mô hình ho t đ ng b t th ng và kh n ng phát hi n ra các mô hình t n công.
3.H th ng ng n ng a xâm nh p (Intrusion prevention system - IPS): Vi c ng n ng a xâm nh p là c g ng phát hi n ra nh ng đe d a ti m n ng và đ i
phó l i v i chúng tr c khi b s d ng trong các cu c t n công. M t h
th ng IPS s giám sát l u l ng m ng l i và đ a ra các ho t đ ng ngay
l p t c ch ng l i các m i đe d a ti m n ng theo m t t p các quy t c đ c
thi t l p b i nhà qu n tr m ng. Ví d , h th ng IPS có th khóa l u l ng
t m t đ a ch IP nghi ng .14
13 Wikipedia, “Antivirus software,” Wikimedia Foundation, Inc., http://en.wikipedia.org/wiki/Antivirus_software.
14
SearchSecurity.com, “Intrusion prevention,” TechTarget,
H c ph n 6An toàn, an ninh thông tin và m ng l i 41
Công ngh tích h p (Integration Technology)
Công ngh tích h p th c hi n vi c tích h p nh ng ch c n ng quan tr ng đ i
v i an ninh thông tin c a các tài s n c t lõi nh d đoán, dò tìm và l n theo
d u v t xâm nh p. Công ngh tích h p bao g m:
1.Qu n tr an ninh t ch c (Enterprise security management - ESM): M t h
th ng ESM th c hi n qu n lý, ki m soát và đi u hành gi i pháp an ninh thông tin nh m t h th ng IDS và IPS d a trên m t chính sách nh t quán. Nó đ c s d ng đ t o ra các gi i pháp khác cho nh ng đi m y u b ng
cách s d ng nh ng l i th c a m i gi i pháp an ninh thông tin và t i đa
hóa hi u qu an ninh thông tin theo m t chính sách nh t quán.
2.G n đây, các h th ng ESM có th qu n lý nh ng công ngh an ninh hi n
có m t cách t ng h p do s thi u h t ngu n nhân l c v n hành các công ngh an ninh, s gia t ng các cu c t n công c p cao h n nh s h i t các ph ng th c t n công, và s n i lên c a các công c t n công khó có th
phát hi n. V i ESM, hi u qu c a công tác qu n lý đ c nâng lên và các bi n pháp đ i phó ch đ ng c ng đ c thi t l p.
3.Qu n tr r i ro t ch c (Enterprise risk management - ERM): ERM là m t
h th ng giúp d báo t t c nh ng r i ro liên quan t i t ch c, bao g m các
ph m vi bên ngoài c a an ninh thông tin và các bi n pháp c u hình m t
cách t đ ng. Vi c s d ng ERM đ b o v thông tin đòi h i ph i xác đ nh
đ c nh ng m c tiêu chính xác v thi t k và qu n lý r i ro cho s phát
tri n c a h th ng. H u h t các t ch c xây d ng và t i u các h th ng
ERM c a mình thông qua các đ n v t v n an ninh thông tin chuyên nghi p thay vì t mình th c hi n công vi c đó.
42 Nh ng ki n th c c b n v Công ngh thông tin và Truy n thông cho Lãnh đ o trong c quan Nhà n c
Câu h i suy ngh
1.Các m i hi m h a an ninh thông tin trong t ch c c a b n có kh n ng
b t n công là gì? T i sao?
2.Nh ng gi i pháp công ngh an ninh thông tin nào đ c th c hi n
trong t ch c c a b n?
3.T ch c c a b n có m t chính sách, chi n l c và đ ng l i ch đ o
an ninh thông tin hay không? N u có, làm th nào đ nh ng y u t đó t ng x ng v i các m i đe d a mà t ch c c a b n có kh n ng b t n
công? N u không, b ng cách nào b n khuy n ngh v chính sách,
chi n l c và đ ng l i ch đ oan ninh thông tin đ i v i t ch c c a
b n?
T ki m tra
1.T i sao vi c th c hi n phân tích xu h ng m i đe d a an ninh thông
tin l i quan tr ng?
2.T i sao qu n tr ngu n nhân l c l i là y u t quan tr ng nh t trong các
ho t đ ng an ninh thông tin? Nh ng ho t đ ng ch ch t trong qu n tr
ngu n nhân l c đ i v i an ninh thông tin là gì?
3.Hãy gi i thích mô hình phòng th theo chi u sâu Defense-in-Depth