tek4

Chiến lược và quy trình bảo đảm an toàn thông tin

by - September. 26, 2021
Kiến thức
Học
Bảo mật
Công nghệ
<p style="text-align: justify;"><strong>Bảo đảm </strong><a href="https://tek4.vn/an-toan-thong-tin-la-gi/"><strong>an to&agrave;n th&ocirc;ng tin</strong></a> cho hệ thống kh&ocirc;ng phải l&agrave; một qu&aacute; tr&igrave;nh đơn giản. Nếu việc bảo vệ hệ thống th&ocirc;ng tin chỉ đơn giản l&agrave; việc c&agrave;i đặt l&ecirc;n một v&agrave;i thiết bị tường lửa v&agrave; phần mềm diệt virus th&igrave; sẽ dẫn đến việc rất nhiều vấn đề quan trọng sẽ bị bỏ s&oacute;t. Do đ&oacute;, để đảm bảo t&iacute;nh to&agrave;n diện ch&uacute;ng ta cần xem x&eacute;t ba kh&iacute;a cạnh quan trọng trong việc bảo đảm an to&agrave;n th&ocirc;ng tin bao gồm:</p> <ul> <li style="text-align: justify;">C&aacute;c ch&iacute;nh s&aacute;ch v&agrave; đặc tả: x&aacute;c định mục ti&ecirc;u của việc bảo đảm an to&agrave;n th&ocirc;ng tin.</li> <li style="text-align: justify;">Cơ chế v&agrave; thực thi: x&aacute;c định c&aacute;ch thức v&agrave; phương tiện để đảm bảo an to&agrave;n cho hệ thống</li> <li style="text-align: justify;">Đ&aacute;nh gi&aacute; v&agrave; kiểm chứng: X&aacute;c định xem c&aacute;c c&aacute;ch thức v&agrave; phương tiện đ&atilde; hoạt động đ&uacute;ng v&agrave; đ&aacute;p ứng đủ mục ti&ecirc;u hay chưa?</li> </ul> <h2><img class=" wp-image-4836 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/bảo-đảm-an-to&agrave;n-th&ocirc;ng-tin.jpg" alt="bảo đảm an to&agrave;n th&ocirc;ng tin" width="614" height="384" /></h2> <h2>Đặc tả v&agrave; ch&iacute;nh s&aacute;ch bảo đảm an to&agrave;n th&ocirc;ng tin</h2> <p style="text-align: justify;">Bước đầu ti&ecirc;n trong việc đưa ra c&aacute;c cơ chế v&agrave; dịch vụ bảo đảm an to&agrave;n th&ocirc;ng tin cho hệ thống l&agrave; ph&aacute;t triển một ch&iacute;nh s&aacute;ch an to&agrave;n. Ch&iacute;nh s&aacute;ch an to&agrave;n n&agrave;y c&oacute; thể được m&ocirc; tả theo nhiều c&aacute;ch kh&aacute;c nhau. Tuy nhi&ecirc;n, nh&igrave;n chung n&oacute; đều m&ocirc; tả một c&aacute;ch kh&ocirc;ng ch&iacute;nh thức về h&agrave;nh vi hoặc trạng th&aacute;i m&agrave; hệ thống mong muốn đạt được. C&aacute;c ch&iacute;nh s&aacute;ch n&agrave;y c&oacute; thể l&agrave; tham chiếu, c&aacute;c y&ecirc;u cầu chung về t&iacute;nh b&iacute; mật, t&iacute;nh to&agrave;n vẹn hoặc t&iacute;nh sẵn s&agrave;ng của hệ thống hoặc hữu &iacute;ch hơn th&igrave; l&agrave; một tuy&ecirc;n bố ch&iacute;nh thức về c&aacute;c quy tắc quy định nhằm điều chỉnh c&aacute;ch thức hoạt động của hệ thống hoặc tổ chức trong việc bảo vệ t&agrave;i nguy&ecirc;n hoặc th&ocirc;ng tin nhạy cảm. Khi x&acirc;y dựng ch&iacute;nh s&aacute;ch bảo mật, ch&uacute;ng ta cần xem x&eacute;t c&aacute;c yếu tố sau:</p> <ul> <li style="text-align: justify;">Gi&aacute; trị của t&agrave;i sản đang được bảo vệ</li> <li style="text-align: justify;">C&aacute;c lỗ hổng của hệ thống</li> <li style="text-align: justify;">C&aacute;c mối đe dọa tiềm năng v&agrave; khả năng bị tấn c&ocirc;ng</li> </ul> <h3>X&aacute;c định c&aacute;c th&ocirc;ng tin quan trọng</h3> <p style="text-align: justify;">Điều đầu ti&ecirc;n v&agrave; c&oacute; thể l&agrave; quan trọng nhất trong đảm bảo an to&agrave;n th&ocirc;ng tin l&agrave; x&aacute;c định được đ&acirc;u l&agrave; c&aacute;c t&agrave;i sản th&ocirc;ng tin quan trọng nhất cần bảo vệ. Th&ocirc;ng tin quan trọng cốt l&otilde;i thường chỉ chiếm một phần nhỏ trong to&agrave;n bộ th&ocirc;ng tin của tổ chức. Đ&oacute; l&agrave; những th&ocirc;ng tin cốt l&otilde;i ảnh hưởng đến mọi hoạt động kh&aacute;c của tổ chức. V&iacute; dụ với một c&ocirc;ng ty sản xuất thực phẩm th&igrave; b&iacute; quyết v&agrave; c&ocirc;ng thức chế biến l&agrave; yếu tố th&ocirc;ng tin b&iacute; mật then chốt, đối với một nh&agrave; cung cấp sản phẩm phần mềm th&igrave; đ&oacute; c&oacute; thể l&agrave; m&atilde; nguồn của chương tr&igrave;nh,... Đ&acirc;y l&agrave; những t&agrave;i sản m&agrave; cần được bảo vệ nhất v&agrave; sẽ g&acirc;y ra những thiệt hại lớn nhất nếu bị tấn c&ocirc;ng. V&agrave; do đ&oacute; cần l&agrave; những t&agrave;i sản cần được ưu ti&ecirc;n bảo vệ h&agrave;ng đầu. Tiếp đến c&oacute; những th&ocirc;ng tin cũng cần bảo mật ở mức thấp hơn chẳng hạn như dữ liệu kh&aacute;ch h&agrave;ng, bảng lương của nh&acirc;n vi&ecirc;n,...v&agrave; tiếp tục c&oacute; thể ph&acirc;n loại ra rất nhiều dạng th&ocirc;ng tin kh&aacute;c với c&aacute;c mức độ y&ecirc;u cầu ưu ti&ecirc;n về bảo mật kh&aacute;c nhau.</p> <p><img class=" wp-image-4837 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/x&aacute;c-định-th&ocirc;ng-tin-quan-trọng.png" alt="x&aacute;c định th&ocirc;ng tin quan trọng" width="558" height="267" /></p> <h3>Ph&acirc;n t&iacute;ch c&aacute;c <a href="https://tek4.vn/hiem-hoa-rui-ro-tan-cong-va-lo-hong/">hiểm họa</a></h3> <p style="text-align: justify;">Hiểm họa l&agrave; những yếu tố c&oacute; khả năng g&acirc;y hại cho t&iacute;nh an to&agrave;n của hệ thống. Từ danh s&aacute;ch c&aacute;c th&ocirc;ng tin quan trọng ở phần trước, ch&uacute;ng ta c&oacute; thể bắt đầu xem x&eacute;t những nguy cơ c&oacute; thể g&acirc;y hại với ch&uacute;ng v&agrave; nguồn gốc của c&aacute;c nguy cơ n&agrave;y.</p> <p style="text-align: justify;">Chẳng hạn, nếu ch&uacute;ng ta l&agrave; một nh&agrave; cung cấp dịch vụ lưu trữ đ&aacute;m m&acirc;y c&oacute; thu ph&iacute; tr&ecirc;n mạng, khi đ&oacute; m&atilde; nguồn chương tr&igrave;nh ph&iacute;a m&aacute;y chủ, dữ liệu của kh&aacute;ch h&agrave;ng l&agrave; c&aacute;c th&ocirc;ng tin quan trọng. V&agrave; ch&uacute;ng ta c&oacute; thể x&aacute;c định c&aacute;c hiểm họa bao gồm kẻ tấn c&ocirc;ng hoặc đối thủ cạnh tranh tiếp cận được m&atilde; nguồn m&aacute;y chủ của ch&uacute;ng ta v&agrave; do đ&oacute; c&oacute; thể sao ch&eacute;p lại to&agrave;n bộ dịch vụ, thực hiện dịch ngược để lấy được c&aacute;c kh&oacute;a hợp ph&aacute;p, trường hợp n&agrave;y sẽ dẫn đến thiệt hại rất lớn về t&agrave;i ch&iacute;nh. Hoặc hiểm họa ở đ&acirc;y c&oacute; thể l&agrave; c&aacute;c tấn c&ocirc;ng <a href="https://tek4.vn/cac-cong-cu-tan-cong-tu-choi-dich-vu-dos-mien-phi-tot-nhat/">DDoS</a> do đối thủ cạnh tranh hoặc hacker g&acirc;y ra g&acirc;y gi&aacute;n đoạn hoạt động của hệ thống.</p> <p style="text-align: justify;">Việc ph&acirc;n t&iacute;ch hiểm họa sẽ được lặp đi lặp lại với từng th&ocirc;ng tin được x&aacute;c định l&agrave; quan trọng trong hệ thống.</p> <p><img class=" wp-image-4838 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/x&aacute;c-định-c&aacute;c-hiểm-họa.jpg" alt="x&aacute;c định c&aacute;c hiểm họa" width="638" height="386" /></p> <h3>Ph&acirc;n t&iacute;ch lỗ hổng</h3> <p style="text-align: justify;">Như ở b&agrave;i trước ch&uacute;ng ta đ&atilde; biết, để hiểm họa thực sự g&acirc;y hại đến hệ thống th&igrave; hệ thống đ&oacute; phải c&oacute; lỗ hổng. <a href="https://tek4.vn/5-bug-noi-tieng-nhat-trong-lap-trinh/">Lỗ hổng</a> l&agrave; những điểm yếu c&oacute; thể được sử dụng để g&acirc;y hại l&ecirc;n hệ thống. Để ph&acirc;n t&iacute;ch v&agrave; t&igrave;m ra c&aacute;c lỗ hổng tồn tại trong hệ thống, ch&uacute;ng ta cần xem x&eacute;t một c&aacute;ch kỹ lưỡng c&aacute;c tương t&aacute;c c&oacute; thể xảy ra đối với c&aacute;c t&agrave;i sản th&ocirc;ng tin n&agrave;y, v&agrave; dự đo&aacute;n c&aacute;c khả năng c&oacute; thể lợi dụng để g&acirc;y hại.</p> <p style="text-align: justify;">Chẳng hạn, với trường hợp c&ocirc;ng ty phần mềm ở tr&ecirc;n, ch&uacute;ng ta c&oacute; thể thấy rằng kiểm so&aacute;t an to&agrave;n của ch&uacute;ng ta đối với c&aacute;c m&atilde; nguồn quan trọng l&agrave; kh&ocirc;ng chặt chẽ, v&agrave; do đ&oacute; n&oacute; c&oacute; thể bị truy cập, sao ch&eacute;p, x&oacute;a hay chỉnh sửa m&agrave; kh&ocirc;ng cần sự cấp quyền n&agrave;o ngo&agrave;i việc cần phải truy cập v&agrave;o hệ điều h&agrave;nh hay mạng chia sẻ. Điều n&agrave;y c&oacute; thể khiến cho n&oacute; c&oacute; thể bị tấn c&ocirc;ng v&agrave; sao ch&eacute;p, l&agrave;m x&aacute;o trộn hoặc x&oacute;a bỏ ho&agrave;n to&agrave;n c&aacute;c m&atilde; nguồn. Xem x&eacute;t một c&aacute;ch kỹ lưỡng hơn ch&uacute;ng ta cũng c&oacute; thể thấy hệ thống của ch&uacute;ng ta kh&ocirc;ng c&oacute; c&aacute;c ch&iacute;nh s&aacute;ch quy định về c&aacute;ch thức xử l&yacute;, lưu trữ, hoặc sao lưu m&atilde; nguồn. Kết hợp tất cả những vấn đề n&agrave;y ta thấy hệ thống của ch&uacute;ng ta chứa rất nhiều lỗ hổng tiềm năng dẫn đến sự mất an to&agrave;n nghi&ecirc;m trọng tr&ecirc;n hệ thống của ch&uacute;ng ta.</p> <p><img class=" wp-image-4696 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/lỗ-hổng.jpg" alt="lỗ hổng" width="624" height="416" /></p> <h3>&nbsp;Đ&aacute;nh gi&aacute; rủi ro</h3> <p style="text-align: justify;">Mỗi hệ thống đều c&oacute; v&ocirc; số c&aacute;c lỗ hổng v&agrave; nguy cơ đi k&egrave;m, tuy nhi&ecirc;n kh&ocirc;ng phải bao giờ ch&uacute;ng ta cũng đủ nguồn lực để xem x&eacute;t v&agrave; giải quyết giảm thiểu to&agrave;n bộ những vấn đề n&agrave;y. Do đ&oacute;, đ&acirc;y l&agrave; l&uacute;c ch&uacute;ng ta cần xem x&eacute;t v&agrave; đ&aacute;nh gi&aacute; lại rủi ro, cũng như xem x&eacute;t lại những <a href="https://tek4.vn/13-nguyen-tac-dam-bao-an-toan-thong-tin/">nguy&ecirc;n tắc đảm bảo an to&agrave;n th&ocirc;ng tin</a> ở b&agrave;i trước. Ch&uacute;ng ta cần đảm bảo:</p> <p style="text-align: justify;"><strong>C&acirc;n bằng giữa t&iacute;nh an to&agrave;n v&agrave; sự dễ sử dụng:</strong> Hầu như tất cả c&aacute;c biện ph&aacute;p bảo đảm an to&agrave;n th&ocirc;ng tin đều g&acirc;y ra một số vấn đề đối với t&iacute;nh dễ sử dụng cho người d&ugrave;ng. Chẳng hạn, cơ chế kiểm so&aacute;t truy cập y&ecirc;u cầu người d&ugrave;ng nhớ mật khẩu hoặc thực hiện một số phương thức h&agrave;nh động kh&aacute;c, điều n&agrave;y g&acirc;y trở ngại v&agrave; mất thời gian trong nhiều trường hợp. Tường lửa v&agrave; c&aacute;c biện ph&aacute;p an to&agrave;n mạng kh&aacute;c c&oacute; thể l&agrave;m giảm lưu lượng mạng hoặc tăng thời gian phản hồi của ứng dụng. Phần mềm antivirus c&oacute; thể l&agrave;m giảm sức mạnh xử l&yacute; của hệ thống thậm ch&iacute; c&oacute; khả năng g&acirc;y ra c&aacute;c sự cố hoặc trục trặc trong hệ thống do kh&ocirc;ng tương th&iacute;ch với hệ điều h&agrave;nh.</p> <p style="text-align: justify;"><strong>C&acirc;n bằng giữa chi ph&iacute; đảm bảo an to&agrave;n th&ocirc;ng tin với gi&aacute; trị th&ocirc;ng tin:</strong> Ngo&agrave;i yếu tố dễ sử dụng với người d&ugrave;ng th&igrave; chi ph&iacute; triển khai v&agrave; v&agrave; duy tr&igrave; c&aacute;c giải ph&aacute;p bảo mật cũng l&agrave; yếu tố cần được xem x&eacute;t tới. Tất cả c&aacute;c chi ph&iacute; n&agrave;y phải được c&acirc;n bằng hoặc &iacute;t hơn với thiệt hại khi xảy ra sự cố an to&agrave;n v&agrave; chi ph&iacute; cho c&aacute;c giải ph&aacute;p, khắc phục, phục hồi hệ thống khi kh&ocirc;ng &aacute;p dụng giải ph&aacute;p đ&oacute;. Đ&oacute; kh&ocirc;ng chỉ gi&aacute; trị của t&agrave;i sản được bảo vệ v&agrave; c&aacute;c thiệt hại khi sự cố thực tế xảy ra, m&agrave; c&ograve;n l&agrave; những khả năng thiệt hại, rủi ro, kh&aacute;c c&oacute; thể xảy ra với x&aacute;c suất nhất định.</p> <p><img class=" wp-image-4839 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/đ&aacute;nh-gi&aacute;-rủi-ro.jpg" alt="đ&aacute;nh gi&aacute; rủi ro" width="656" height="328" /></p> <p style="text-align: justify;">Việc đ&aacute;nh gi&aacute; <a href="https://tek4.vn/hiem-hoa-rui-ro-tan-cong-va-lo-hong/">rủi ro</a> sẽ gi&uacute;p ch&uacute;ng ta quyết định n&ecirc;n &aacute;p dụng giải ph&aacute;p bảo đảm an to&agrave;n th&ocirc;ng tin như thế n&agrave;o v&agrave; nhắm đến đối tượng n&agrave;o cần ưu ti&ecirc;n. Rủi ro chỉ xảy ra khi một hiểm họa t&aacute;c động l&ecirc;n một lỗ hổng hoặc điểm yếu ph&ugrave; hợp tron hệ thống. Quay lại với v&iacute; dụ về m&atilde; nguồn phần mềm của ch&uacute;ng ta, ch&uacute;ng ta đ&atilde; x&aacute;c định rằng ch&uacute;ng ta c&oacute; một hiểm họa đối với m&atilde; nguồn ứng dụng đ&oacute; l&agrave; bị tiếp cận tr&aacute;i ph&eacute;p. Tuy nhi&ecirc;n điều n&agrave;y chỉ g&acirc;y ra rủi ro khi c&oacute; một lỗ hổng trong việc kiểm so&aacute;t truy cập yếu. Điều n&agrave;y dẫn đến rủi ro l&agrave; ch&uacute;ng ta sẽ bị thiệt hại khi kẻ gian đ&aacute;nh cắp được dữ liệu.</p> <p style="text-align: justify;">Tuy nhi&ecirc;n, trong trường hợp th&ocirc;ng tin của ch&uacute;ng ta l&agrave; kh&ocirc;ng quan trọng, chẳng hạn nếu sản phẩm ch&uacute;ng ta đang khai th&aacute;c l&agrave; sản phẩm m&atilde; nguồn mờ miễn ph&iacute; th&igrave; d&ugrave; c&oacute; lỗ hổng v&agrave; c&oacute; hiểm họa th&igrave; r&otilde; r&agrave;ng rủi ro (hay ch&iacute;nh x&aacute;c hơn l&agrave; thiệt hại g&acirc;y ra do rủi ro l&agrave; bằng kh&ocirc;ng). Do đ&oacute;, để đ&aacute;nh gi&aacute; rủi ro ch&uacute;ng ta phải:</p> <ul> <li>Đ&aacute;nh gi&aacute; c&aacute;c t&aacute;c động của việc mất an to&agrave;n th&ocirc;ng tin của từng t&agrave;i sản đối với tổ chức.</li> <li style="text-align: justify;">Đ&aacute;nh gi&aacute; khả năng rủi ro c&oacute; thể xảy ra tr&ecirc;n thực tế, c&aacute;c điểm yếu v&agrave; c&aacute;c t&aacute;c động li&ecirc;n quan tới c&aacute;c t&agrave;i sản n&agrave;y, c&aacute;c phương ph&aacute;p kiểm so&aacute;t được thực hiện gần đ&acirc;y.</li> <li style="text-align: justify;">Ước lượng mức độ rủi ro.</li> <li style="text-align: justify;">X&aacute;c định r&otilde; c&aacute;c rủi ro c&oacute; thể chấp nhận được hoặc y&ecirc;u cầu xử l&yacute; theo c&aacute;c ti&ecirc;u ch&iacute; chấp nhận rủi ro đ&atilde; thiết lập.</li> </ul> <h2>C&aacute;c cơ chế, giải ph&aacute;p thực thi bảo đảm an to&agrave;n th&ocirc;ng tin</h2> <p style="text-align: justify;">Sau khi ch&uacute;ng ta đ&atilde; ph&aacute;t hiện ra những rủi ro c&oacute; thể xảy ra đối với c&aacute;c th&ocirc;ng tin quan trọng, ch&uacute;ng ta c&oacute; thể đưa ra c&aacute;c biện ph&aacute;p để giảm thiểu ch&uacute;ng.</p> <p style="text-align: justify;">Như đ&atilde; n&oacute;i ở tr&ecirc;n rủi ro chỉ xảy ra khi c&oacute; sự kết hợp ph&ugrave; hợp giữa hiểm họa v&agrave; lỗ hổng. Do đ&oacute; điều ch&uacute;ng ta cần l&agrave;m để giảm thiếu rủi ro đ&oacute; l&agrave; giảm thiểu hiểm họa hoặc loại bỏ c&aacute;c lỗ hổng.</p> <p style="text-align: justify;">Tuy nhi&ecirc;n, để giảm thiểu hiểm họa l&agrave; một vấn đề hết sức kh&oacute; khăn, đặc biệt l&agrave; ch&uacute;ng ta vẫn cần đảm bảo cho hệ thống hoạt động đ&uacute;ng chức năng của n&oacute;. Một c&aacute;ch đơn giản nhất để loại bỏ hiểm họa đ&oacute; l&agrave; tắt to&agrave;n bộ m&aacute;y, ngắt hết kết nối, n&eacute;m hệ thống v&agrave;o một chiếc k&eacute;t sắt d&agrave;y v&agrave; n&eacute;m xuống một khu vực bọc th&eacute;p, rải đầy chất độc ở đ&aacute;y đại dương. D&ugrave; vậy, r&otilde; r&agrave;ng trong trường hợp n&agrave;y, hệ thống sẽ kh&ocirc;ng thể phục vụ c&aacute;c chức năng của n&oacute; được nữa. Do đ&oacute; việc giảm thiểu c&aacute;c hiểm họa thực sự kh&ocirc;ng phải l&agrave; một bước đi tốt. Thay v&agrave;o đ&oacute;, ch&uacute;ng ta c&oacute; thể đưa ra c&aacute;c biện ph&aacute;p nhằm giảm thiểu rủi ro th&ocirc;ng qua giảm thiểu c&aacute;c lỗ hổng v&agrave; điểm yếu của hệ thống. Trong trường hợp của v&iacute; dụ m&atilde; nguồn của ch&uacute;ng ta ở tr&ecirc;n, nếu ch&uacute;ng ta thiết lập c&aacute;c biện ph&aacute;p mạnh mẽ hơn trong việc kiểm so&aacute;t truy cập tới m&atilde; nguồn v&agrave; đưa ra c&aacute;c ch&iacute;nh s&aacute;ch quy định việc xử l&yacute; m&atilde; nguồn th&igrave; ch&uacute;ng ta sẽ loại bỏ được phần lớn lỗ hổng do thiếu kiểm so&aacute;t truy cập.</p> <p style="text-align: justify;">C&oacute; rất nhiều biện ph&aacute;p đảm bảo an to&agrave;n th&ocirc;ng tin tuy nhi&ecirc;n ch&uacute;ng ta c&oacute; thể chia ch&uacute;ng th&agrave;nh 4 nh&oacute;m ch&iacute;nh:</p> <h3>Ph&ograve;ng thủ</h3> <p style="text-align: justify;">Hệ thống th&ocirc;ng tin đạt trạng th&aacute;i an to&agrave;n l&yacute; tưởng khi ch&uacute;ng ta đảm bảo được rằng kh&ocirc;ng tồn tại một tấn c&ocirc;ng n&agrave;o xảy ra th&agrave;nh c&ocirc;ng tr&ecirc;n hệ thống. Điều n&agrave;y kh&ocirc;ng thực tế trong mọi trường hợp, tuy nhi&ecirc;n ch&uacute;ng ta c&oacute; thể &aacute;p dụng c&aacute; biện ph&aacute;p để loại bỏ c&aacute;c rủi ro trong hệ thống một c&aacute;ch hợp l&yacute; nhất c&oacute; thể. V&iacute; dụ, nếu ch&uacute;ng ta &aacute;p dụng c&aacute;c phương ph&aacute;p m&atilde; h&oacute;a với c&aacute;c thuật to&aacute;n an to&agrave;n cho qu&aacute; tr&igrave;nh truyền dẫn dữ liệu v&agrave; sử dụng c&aacute;c biện ph&aacute;p để ngăn chặn truy cập tr&aacute;i ph&eacute;p v&agrave;o c&aacute;c kh&oacute;a m&atilde; h&oacute;a tr&ecirc;n hệ thống, th&igrave; ch&uacute;ng ta c&oacute; thể đảm bảo rằng c&aacute;c cuộc tấn c&ocirc;ng v&agrave;o t&iacute;nh b&iacute; mật của dữ liệu tr&ecirc;n đường truyền sẽ bị ngăn chặn.</p> <p><img class=" wp-image-4840 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/ph&ograve;ng-thủ.jpg" alt="ph&ograve;ng thủ" width="639" height="324" /></p> <h3>Ph&aacute;t hiện</h3> <p style="text-align: justify;">Trong đa số c&aacute;c trường hợp, bảo vệ tuyệt đối l&agrave; việc l&agrave;m kh&ocirc;ng khả thi. Do đ&oacute;, vẫn tồn tại c&aacute;c khả năng xảy ra tấn c&ocirc;ng trong hệ thống. Tuy nhi&ecirc;n trong trường hợp n&agrave;y ch&uacute;ng ta c&oacute; thể &aacute;p dụng c&aacute;c cơ chế ph&aacute;t hiện để ph&aacute;t hiện ra c&aacute;c cuộc tấn c&ocirc;ng l&ecirc;n hệ thống. C&aacute;c cơ chế ph&aacute;t hiện c&oacute; chức năng ph&aacute;t hiện ra c&aacute;c vi phạm đến ch&iacute;nh s&aacute;ch an to&agrave;n của hệ thống. V&iacute; dụ, c&aacute;c hệ thống ph&aacute;t hiện x&acirc;m nhập hay tường lửa được thiết kế để ph&aacute;t hiện sự xuất hiện của c&aacute;c tấn c&ocirc;ng v&agrave; truy cập tr&aacute;i ph&eacute;p l&ecirc;n hệ thống. Hoặc c&aacute;c hệ thống antivirus c&oacute; thể ph&aacute;t hiện ra c&aacute;c m&atilde; độc khi n&oacute; xuất hiện tr&ecirc;n hệ thống.</p> <p><img class="size-full wp-image-4841 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/ph&aacute;t-hiện.jpg" alt="ph&aacute;t hiện" width="630" height="330" /></p> <h3>Phản ứng</h3> <p>Nếu c&aacute;c cơ chế bảo mật ph&aacute;t hiện một cuộc tấn c&ocirc;ng đang diễn ra, chẳng hạn như tấn c&ocirc;ng từ chối dịch vụ, hệ thống c&oacute; thể c&oacute; khả năng đ&aacute;p ứng theo c&aacute;ch ngăn chặn cuộc tấn c&ocirc;ng v&agrave; ngăn chặn thiệt hại th&ecirc;m. Trong trường hợp. n&agrave;y ta c&oacute; c&aacute;c giải ph&aacute;p phản ứng.</p> <h3>Phục hồi</h3> <p>Một v&iacute; dụ về phục hồi l&agrave; việc sử dụng c&aacute;c hệ thống sao lưu, khi t&iacute;nh to&agrave;n vẹn dữ liệu bị x&acirc;m phạm, một bản sao ch&iacute;nh x&aacute;c của dữ liệu c&oacute; thể được phục hồi v&agrave; sử dụng.</p> <p><img class=" wp-image-4842 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/phục-hồi.jpg" alt="phục hồi" width="658" height="411" /></p> <h2>Đ&aacute;nh gi&aacute; v&agrave; kiểm định</h2> <p style="text-align: justify;">Khi đ&atilde; triển khai c&aacute;c giải ph&aacute;p an to&agrave;n, những người sử dụng giải ph&aacute;p như: người quản l&yacute; hệ thống, c&aacute;c nh&agrave; cung cấp, kh&aacute;ch h&agrave;ng v&agrave; người d&ugrave;ng cuối lu&ocirc;n mong muốn c&aacute;c giải ph&aacute;p được sử dụng hoạt động đ&uacute;ng như thiết kế. C&oacute; nghĩa l&agrave; cần đảm bảo hạ tầng bảo mật của hệ thống đ&aacute;p ứng được c&aacute;c y&ecirc;u cầu v&agrave; c&aacute;c ch&iacute;nh s&aacute;ch an to&agrave;n đ&atilde; đề ra.</p> <p style="text-align: justify;">Trong trường hợp n&agrave;y ch&uacute;ng ta cần c&oacute; c&aacute;c quy tr&igrave;nh v&agrave; giải ph&aacute;p đ&aacute;nh gi&aacute; v&agrave; kiểm định lại hệ thống. Việc đ&aacute;nh gi&aacute; sẽ x&aacute;c định v&agrave; đ&aacute;nh gi&aacute; lại mức độ tin cậy của c&aacute;c giải ph&aacute;p an to&agrave;n được &aacute;p dụng, bao gồm cả về mặt kỹ thuật sử dụng v&agrave; qu&aacute; tr&igrave;nh vận h&agrave;nh triển khai hệ thống. Việc đ&aacute;nh gi&aacute; an to&agrave;n hệ thống th&ocirc;ng tin trả lời cho c&aacute;c c&acirc;u hỏi: Thiết kế của hệ thống bảo mật c&oacute; đ&aacute;p ứng c&aacute;c y&ecirc;u cầu đặt ra hay kh&ocirc;ng? Việc triển khai c&agrave;i đặt hệ thống c&oacute; đ&aacute;p ứng được c&aacute;c th&ocirc;ng số kỹ thuật ph&ugrave; hợp hay kh&ocirc;ng? Lưu &yacute; rằng, việc đ&aacute;nh gi&aacute; chỉ x&aacute;c định được mức độ tin cậy của giải ph&aacute;p chứ kh&ocirc;ng phải l&agrave; bằng chứng ch&iacute;nh thức cho thấy giải ph&aacute;p được thiết kế hoặc triển khai l&agrave; an to&agrave;n.</p> <p style="text-align: justify;">Kiểm định l&agrave; qu&aacute; tr&igrave;nh kiểm tra, đ&aacute;nh gi&aacute; hệ thống dựa tr&ecirc;n c&aacute;c ti&ecirc;u ch&iacute; nhất định. Việc kiểm định li&ecirc;n quan đến c&aacute;c thử nghiệm hoặc c&aacute;c kỹ thuật ph&acirc;n t&iacute;ch h&igrave;nh thức thậm ch&iacute; cả to&aacute;n học. Mục ti&ecirc;u trung t&acirc;m của việc kiểm định l&agrave; ph&aacute;t triển c&aacute;c ti&ecirc;u ch&iacute; đ&aacute;nh gi&aacute; c&oacute; thể &aacute;p dụng cho bất kỳ hệ thống bảo mật n&agrave;o (bao gồm c&aacute;c dịch vụ v&agrave; cơ chế bảo mật) v&agrave; được hỗ trợ rộng r&atilde;i để so s&aacute;nh sản phẩm.</p> <p><img class=" wp-image-4708 aligncenter" style="display: block; margin-left: auto; margin-right: auto;" src="https://tek4.vn/wp-content/uploads/2019/09/đ&aacute;nh-gi&aacute;-kiểm-định.jpg" alt="đ&aacute;nh gi&aacute; kiểm định" width="668" height="445" /></p> <p style="text-align: justify;">Việc bảo đảm an to&agrave;n th&ocirc;ng tin ở đ&acirc;y rất giống với c&aacute;c quy tr&igrave;nh về <a href="https://en.wikipedia.org/wiki/Risk_management">quản trị rủi ro</a> n&oacute;i chung. Về bản chất, qu&aacute; tr&igrave;nh n&agrave;y diễn ra tương tự như việc quản l&yacute; rủi ro. Đầu ti&ecirc;n ch&uacute;ng ta cần x&aacute;c định những th&ocirc;ng tin ch&uacute;ng ta cần bảo vệ, ph&acirc;n t&iacute;ch c&aacute;c hiểm họa v&agrave; c&aacute;c lỗ hổng c&oacute; thể ảnh hưởng đến n&oacute;, v&agrave; ph&aacute;t triển c&aacute;c phương ph&aacute;p giảm thiểu t&aacute;c động đối với những hiểm họa v&agrave; c&aacute;c lỗ hổng, sau đ&oacute; sẽ li&ecirc;n tục đ&aacute;nh gi&aacute; v&agrave; cập nhật n&oacute;.</p> <p style="text-align: justify;">Qu&aacute; tr&igrave;nh n&agrave;y sẽ diễn ra lặp đi lặp lại, tại mỗi thời điểm dựa tr&ecirc;n kiến thức v&agrave; kinh nghiệm đ&atilde; c&oacute; từ c&aacute;c giai đoạn trước ch&uacute;ng ta sẽ c&oacute; thể điều chỉnh c&aacute;c giải ph&aacute;p &aacute;p dụng để c&oacute; một mức độ an to&agrave;n cao hơn. Ngo&agrave;i ra, khi c&oacute; sự thay đổi m&ocirc;i trường v&agrave; yếu tố mới ph&aacute;t sinh, ch&uacute;ng ta cũng cần phải xem x&eacute;t lại qu&aacute; tr&igrave;nh n&agrave;y. Qu&aacute; tr&igrave;nh c&oacute; thể kết th&uacute;c khi rủi ro đạt đến mức chấp nhận được. Điều n&agrave;y sẽ phụ thuộc v&agrave; mục ti&ecirc;u v&agrave; t&iacute;nh chất của từng hệ thống. tr&igrave;nh n&agrave;y tương đối đơn giản, nhưng n&oacute; rất hiệu quả tr&ecirc;n thực tế.</p>