An toàn thông tin là gì? Chúng ta đã nghe đến an toàn thông tin hàng trăm, hàng ngàn lần trên các phương tiện báo đài, các kênh tin tức, trên facebook,… Hàng ngày chúng ta nhận được các khuyến cáo về việc đảm bảo an toàn cho các hệ thống máy tính, điện thoại, tài khoản ngân hàng, với một loạt các cảnh báo về nguy cơ lộ mật khẩu, mất tiền, mã độc…. Vậy thực chất an toàn thông tin là gì? Và tại sao nó lại cực kỳ quan trọng đối với cuộc sống của chúng ta, không chỉ đối với các tổ chức mà còn đối với từng cá nhân, đối với tôi và tất nhiên với cả bạn nữa.
Thông tin là gì?
Trong suốt chiều dài lịch sử tồn tại và phát triển của mình, con người sử dụng thông tin như một công cụ trao đổi và truyền đạt kiến thức từ thế hệ này sang thế hệ khác, từ người này sang người khác. Trong kỷ nguyên bùng nổ thông tin hiện nay, thông tin đã và đang trở thành một trong những nhu cầu, phương tiện sản xuất sống còn của con người.
Thông tin (Information) là một khái niệm trừu tượng mô tả các yếu tố đem lại hiểu biết, nhận thức cho con người cũng như các sinh vật khác. Thông tin tồn tại khách quan, có thể được tạo ra, truyền đi, lưu trữ, chọn lọc. Thông tin cũng có thể bị sai lệch, méo mó do nhiều nguyên nhân khác nhau: bị xuyên tạc, cắt xén… Những yếu tố gây sự sai lệch thông tin gọi là các yếu tố nhiễu.
Thông tin hiện nay không tồn tại độc lập mà nó được hình thành, tồn tại và vận động bên trong một tập hợp các thiết bị kỹ thuật và phần mềm, liên hệ với nhau bằng các kênh truyền và nhận thông tin gọi là các hệ thống thông tin viễn thông, các hệ thống này liên kết chặt chẽ với nhau thành một thể thống nhất nhằm mục đích bảo đảm chu trình xử lý thông tin nhằm đưa ra một kết quả gì đó cho con người.
An toàn thông tin là gì?
An toàn thông tin là việc bảo vệ thông tin và các hệ thống thông tin tránh khỏi việc bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép. Hiểu một cách nôm na an toàn thông tin là quá trình phát hiện và ngăn chặn mọi hành vi sử dụng trái phép máy tính máy tính/ điện thoại hoặc thiết bị chứa thông tin. Nó liên quan đến quá trình bảo vệ chống lại những kẻ xâm phạm sử dụng tài nguyên máy tính cá nhân hoặc văn phòng của bạn với mục đích xấu hoặc vì lợi ích riêng bất hợp pháp, hoặc thậm chí do vô tình.
Theo định nghĩa của NIST:
An toàn thông tin là: việc bảo vệ tính toàn vẹn, tính bí mật và tính khả dụng của các hệ thống thông tin (bao gồm phần cứng, phần mềm, chương trình cơ sở, thông tin/dữ liệu và đường truyền).
Tính toàn vẹn, tính bí mật và tính khả dụng là 3 tính chất cơ sở cốt lõi của an toàn thông tin. Trong đó:
- Tính bí mật là tính chất đảm bảo thông tin chỉ cung cấp cho những người có thẩm quyền. Điều này bao gồm việc đảm bảo những người không có thẩm quyền sẽ không có khả năng tiếp cận với các dữ liệu cá nhân hoặc bí mật (tính bí mật) và người sở hữu dữ liệu riêng tư có toàn quyền lưu trữ, sử dụng, và cấp phép cho người khác được tiếp cận với dữ liệu đó (tính riêng tư hoặc liên quan đến vấn đề bản quyền). Dữ liệu hoặc hệ thống bị mất tính bí mật khi nó bị tiếp cận hoặc tiết lộ trái phép.
Nguyên nhân gây ra mất tính bí mật đối với thông tin có thể xảy ra do:– Các hành vi nghe lén, xem lén, đọc lén– Đánh cắp vật mang– Xâm nhập trái phép– Sự bất cẩn (nhầm lẫn, mất cảnh giác) của người có bí mật– Các hành vi gián điệp
- Tính toàn vẹn là tính chất đảm bảo thông tin không bị thay đổi một cách trái phép hoặc thay đổi không như ý muốn. Bảo vệ thông tin chống lại việc sửa đổi hoặc phá hủy trái phép hoặc vô ý, bao gồm cả việc đảm bảo tính xác thực và chống chối bỏ của thông tin. Mất tính toàn vẹn xảy ra khi thông tin bị sửa đổi hoặc phá hủy trái phép hoặc sai lệch do lỗi đường truyền. Điều này bao gồm việc đảm bảo dữ liệu không bị thay đổi và đảm bảo cả về nguồn gốc của thông tin. Tính toàn vẹn cũng bao gồm việc đảm bảo rằng một hệ thống thực hiện đúng và đầy đủ các chức năng được thiết kế mà không có sự cố ý hoặc vô tình thao túng trái phép hệ thống.
Nguyên nhân gây ra mất tính toàn vẹn của thông tin có thể xảy ra do:
–Lỗi đường truyền–Lỗi phát sinh khi lưu trữ–Tấn công sửa đổi, phá hủy - Tính khả dụng đảm bảo khả năng truy cập thông tin, tính năng của hệ thống thông tin mỗi khi người dùng hợp lệ có nhu cầu.
Nguyên nhân gây ra mất tính khả dụng của hệ thống thông tin có thể do:
–Tấn công DoS, DDoS
–Cấu hình sai
–Tính toàn vẹn bị phá vỡ
–Hỏng hóc,
–Mất điện, thiên tai, hỏa hoạn
3 tính chất bí mật, toàn vẹn và khả dụng của thông tin được gọi là tam giác CIA (Confidentiality – Integrity – Availability) và là 3 tính chất cốt lõi quan trọng nhất của an toàn thông tin. Mọi vấn đề liên quan đến việc đảm bảo an toàn thông tin đều xoay quanh việc đảm bảo 3 tính chất này của thông tin.
An ninh thông tin
Mặc dù thuật ngữ tiếng Anh chúng ta chỉ có 1 từ duy nhất là: “Information Security”, tuy nhiên tại Việt Nam trong các văn bản pháp luật bên cạnh khái niệm an toàn thông tin, chúng ta có thêm một khái niệm an ninh thông tin. An ninh thông tin là việc bảo đảm thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân [72/2013/NĐ-CP]. Hay nói một cách ngắn gọn thì an toàn thông tin quan tâm đến khía cạnh bảo vệ đối tượng là thông tin, nhắm đến các tính chất của thông tin thì an ninh thông tin lại quan tâm đến khía cạnh tác động của thông tin lên các đối tượng hoặc chủ thể tiếp nhận thông tin. Tuy nhiên, đây là cách phân biệt chỉ có ở Việt Nam. Đối với thế giới nói chung, chỉ có một thuật ngữ duy nhất là Information Security, và về mặt bản chất thì khi thông tin bị sửa đổi, bị vi phạm thì hẳn nhiên sẽ ảnh hưởng trực tiếp hoặc gián tiếp đến an ninh xã hội và quyền lợi của các đối tượng, cá nhân khác.
Những vấn đề khó khăn đối với an toàn thông tin là gì?
An toàn thông tin là một lĩnh vực thú vị và cũng rất phức tạp.
Các yêu cầu về việc đảm bảo an toàn thông tin giường như rất đơn giản, và chủ yếu xoay quanh việc đảm bảo tính bí mật, toàn vẹn, xác thực và khả dụng của thông tin. Tuy nhiên các cơ chế được sử dụng để đảm bảo các yêu cầu này có thể khá phức tạp, và để hiểu được chúng đòi hỏi khá nhiều kiến thức liên quan của các lĩnh vực chuyên ngành khác như mạng máy tính, lập trình, hay thậm chí kinh tế học,…
Khi phát triển một cơ chế hoặc thuật toán bảo mật cụ thể, người ta phải luôn xem xét tất cả các khả năng xảy ra các cuộc tấn công tiềm năng vào các tính năng bảo mật đó. Tuy nhiên, để xem xét được hết các khả năng tấn công có thể là điều rất khó khăn, nếu không muốn nói là bất khả thi, bởi trong nhiều trường hợp, các cuộc tấn công thành được thiết kế bằng cách xem xét vấn đề theo một cách hoàn toàn khác, hoặc khai thác một điểm yếu bất ngờ trong cơ chế an toàn của hệ thống và những điểm yếu này thường chưa được biết đến. Do đó, việc xây dựng một cơ chế hoặc giải pháp an toàn hoàn hảo là một điều bất khả thi.
Cũng do vấn đề trên mà, hiệu quả của các thủ tục hoặc giải pháp an toàn thông tin về mặt trực giác là rất khó có thể nhận biết hoặc đánh giá được. Thông thường khi không có sự cố, chúng ta sẽ không nhận ra giá trị cần thiết của các giải pháp này, và chỉ khi một số khía cạnh khác nhau đe dọa đến hệ thống, chúng ta mới thấy được ý nghĩa của các cơ chế an toàn này. Và vì vậy, hầu hết các giải pháp an toàn thông tin thường được đánh giá trực giác nhiều hơn là dựa trên các số liệu thống kê chính xác.
Một vấn đề tiếp theo đó là khi đã thiết kế được các cơ chế an toàn khác nhau, thì điều tiếp theo cần giải quyết đó là việc sử dụng chúng ở đâu, và vị trí nào trong hệ thống. Điều này xem xét trên cả khía cạnh về vị trí vật lý (ví dụ: tại các điểm khác nhau trong mạng) hoặc theo khía cạnh logic (ví dụ: ở lớp nào của kiến trúc TCP / IP). Việc này không dễ dàng, mỗi vị trí có một số ưu nhược điểm riêng và việc chọn giải pháp bảo vệ cho từng vị trí không phải là việc đơn giản, nhất là với các hệ thống mạng hỗn tạp, có cấu trúc phức tạp.
Các cơ chế bảo mật thường liên quan đến nhiều hơn một thuật toán hoặc giao thức cụ thể. Và chúng cũng yêu cầu những người tham gia sở hữu một số thông tin bí mật (ví dụ: khóa mã hóa), điều này đặt ra câu hỏi về việc tạo, phân phối và bảo vệ thông tin bí mật đó. Một số giao thức truyền thông có thể làm phức tạp các yêu cầu về cơ chế an toàn. Ví dụ: nếu một cơ chế an toàn để hoạt động đúng cần các yêu cầu về giới hạn thời gian truyền nhận, thì bất kỳ một giao thức nào có độ trễ không thể đoán trước được đều có thể khiến giới hạn thời gian của cơ chế an toàn trở nên vô nghĩa.
An toàn thông tin về cơ bản là cuộc chiến trí tuệ giữa kẻ tấn công cố gắng tìm ra lỗ hổng và nhà thiết kế hoặc quản trị viên cố gắng đóng các lỗ hổng này lại. Tuy nhiên đây là cuộc chiến không cân sức, khi kẻ tấn công có ưu thế tuyệt đối khi chúng chỉ cần tìm được một điểm yếu duy nhất trong hệ thống là có thể tấn công được trong khi người thiết kế phải tìm và loại bỏ tất cả các điểm yếu để đạt được mức độ an toàn hoàn hảo. Điều này vô cùng khó khăn. Chưa kể đến, do các lợi ích thu được do tấn công, số lượng các kẻ tấn công luôn khá đông đảo và nguy hiểm hơn nhiều so với những người thiết kế và bảo vệ hệ thống. Một cuộc chiến không cân sức tuyệt đối giữa kẻ tấn công và lực lượng bảo vệ.
Có một xu hướng tự nhiên từ phía người dùng và người quản lý hệ thống đó là họ thường nhận thấy rất ít lợi ích từ việc đầu tư các giải pháp an toàn cho đến khi xảy ra các lỗi bảo mật. Vấn đề nhận thức về tầm quan trọng của an toàn thông tin vẫn còn cách quá xa so với hậu quả có thể xảy ra của nó. Điều này là một lẽ tất yếu của tâm lý, khi các rủi ro thường khá xa vời và không thực sự hiển hiện trước mắt, trong khi chi phí đầu tư thì vẫn chảy ra hàng ngày. Điều này sẽ gây ra tâm lý cân nhắc với người sử dụng khi họ chưa thực sự thấy lợi ích của an toàn thông tin là gì.
Việc đảm bảo an toàn thông tin đòi hỏi phải theo dõi thường xuyên, thậm chí liên tục, và điều này rất khó trong môi trường quá tải, cũng như đòi hỏi các yêu cầu ngắn hạn như hiện nay.
Các giải pháp an toàn thông tin vẫn thường được tích hợp vào một hệ thống có sẵn sau khi thiết kế hoàn tất thay vì bắt đầu từ một phần không thể thiếu trong quá trình thiết kế. Điều này dẫn đến sự không đồng bộ và thiếu tính tổng thể của các giải pháp an toàn thông tin, và điều này tạo ra nhiều nguy cơ lớn đối với hệ thống.
Nhiều người dùng và thậm chí các quản trị viên coi các giải pháp an toàn mạnh là một trở ngại cho hệ thống hoạt động hiệu quả và làm giảm tính thân thiện với người dùng. Do đó, các giải pháp an toàn thông tin thường có mức độ ưu tiên thấp hơn.
Trong bài viết này, chúng ta đã tìm hiểu về an toàn thông tin là gì, một số thách thức đối với việc đảm bảo an toàn thông tin. Trong các bài viết sau, chúng ta sẽ tiếp tục tìm hiểu về các cơ chế, cách thức đảm bảo an toàn thông tin cho hệ thống. Đây là một chủ đề khó với nhiều khía cạnh do đó, không tránh khỏi những thiếu sót. Rất mong nhận được sự đóng góp của độc giả để chuỗi bài viết Cơ sở an toàn thông tin được hoàn thiện hơn.
XEM THÊM: 13 nguyên tắc đảm bảo an toàn thông tin