Professional Documents
Culture Documents
13 nguyên tắc đảm bảo an toàn thông tin abc
13 nguyên tắc đảm bảo an toàn thông tin abc
nghiên cứu và phát triển, song việc đưa ra được những kỹ thuật thiết kế và triển
khai an toàn nói chung là rất khó. Vì vậy, sẽ rất hữu ích nếu chúng ta có được
một bộ các nguyên tắc thiết kế được thống nhất rộng rãi nhằm hướng dẫn cho sự
phát triển của các cơ chế bảo vệ, đảm bảo an toàn thông tin cho hệ thống.
Những nguyên tắc đầu tiên về đảm bảo an toàn thông tin được đưa ra vào giữa
những năm 1970 bởi hai nhà khoa học máy tính Jerome Saltzer và Michael
Schroeder thuộc đại học MIT. Bài báo của Saltzer và Schroeder, có tựa đề là
Bảo vệ thông tin trong các hệ thống máy tính trình bày về các nguyên tắc thiết
kế nhằm đảm bảo an toàn thông tin cho hệ thống, đã được ca ngợi là một trong
những đóng góp quan trọng nhất trong lĩnh vực bảo mật. Các nguyên tắc này đã
được triển khai và phát triển sau nhiều năm và được nhiều tổ chức trong đó có
NSA tổng hợp thành bộ 13 nguyên tắc đảm bảo an toàn thông tin. Những
nguyên tắc này rất hữu ích trong thiết kế và vận hành hệ thống an toàn. Dưới
đây là bộ 13 nguyên tắc này:
Đảm-bảo-an-toàn-thông-tin-Đặc-quyền-tối-thiểu
Tất cả các ứng dụng, tập lệnh và tiến trình của một người dùng cụ thể trên hệ
điều hành nên được thực thi với các quyền cụ thể tương ứng với từng người
dùng. Chẳng hạn Microsoft Word nên chỉ chạy trong không gian của người
dùng thông thường trong khi một ứng dụng giám sát hệ thống cần truy cập vào
các tệp hệ thống nhạy cảm hơn và do đó phải chạy trong tài khoản người dùng
quản trị. Mấu chốt của vấn đề là một chương trình chỉ nên được thực thi với
mức độ an toàn cần thiết để chương trình đó thực hiện thành công nhiệm vụ của
mình. Trong nhiều trường hợp, mọi người rất khó xác định cách làm thế nào để
làm cho các chương trình chạy với các mức độ an toàn khác nhau và do đó họ
thường áp dụng cách dễ dàng hơn đó là để tất cả các chương trình cùng chạy với
tài khoản quản trị. Tuy nhiên, nếu kẻ tấn công có thể thỏa hiệp một chương trình
hoặc dịch vụ chạy trong tài khoản quản trị, thì chúng cũng có thể truy cập và
chiế quyền kiểm soát hệ thống để gây ra nhiều cách gây hại khác nhau đến hệ
thống.
Đảm-bảo-an-toàn-thông-tin-Phân-quyền-768x548
Nguyên tắc phân quyền được áp dụng trong bảo đảm an toàn cho môi trường vật
lý cũng như an toàn mạng và máy chủ. Khi được áp dụng, nguyên tắc này quy
định rằng đối với bất kỳ một nhiệm vụ nhất định nào, cũng cần có nhiều hơn
một cá nhân cần phải tham gia thực hiện. Nhiệm vụ sẽ được chia thành các
nhiệm vụ con khác nhau, và mỗi nhiệm vụ con này được hoàn thành bởi một cá
nhân riêng biệt. Bằng cách thực hiện một nhiệm vụ tổng thể theo cách này,
không một cá nhân nào có thể lạm dụng quyền của mình trên hệ thống để trục
lợi cho chính mình. Nguyên tắc này đã được thực hiện trong giới kinh doanh,
đặc biệt là các tổ chức tài chính, trong nhiều năm qua. Một ví dụ đơn giản là một
hệ thống trong đó một cá nhân được đưa ra các yêu cầu đặt hàng nhưng một
người khác được ủy quyền mua món hàng được yêu cầu đó.
Mặc dù nguyên tắc phân quyền cung cấp cho hệ thống độ an toàn cao, nhưng nó
cũng tồn tại nhiều nhược điểm. Nhược điểm nổi bật nhất của nó là nâng cao chi
phí cần thiết để hoàn thành nhiệm vụ. Chi phí này được thể hiện bằng cả thời
gian và tiền bạc. Khi một việc đáng ra chỉ cần một người có thể hoàn thành được
san sẽ cho nhiều người hơn có khả năng làm tăng chi phí thực hiện nó. Ngoài ra,
với nhiều hơn một cá nhân có liên quan, một sự chậm trễ nhất định có thể xảy ra
do nhiệm vụ đó sẽ phải tiến hành qua các bước khác nhau.
Đảm-bảo-an-toàn-thông-tin
Do đó, mục tiêu của các giải pháp đảm bảo an toàn thông tin là đưa rủi ro về
mức chấp nhận được. Tức là phải lựa chọn đúng mức độ bảo vệ cần thiết, mà
trong đó các chi phí, rủi ro và phạm vi các thiệt hại có thể là chấp nhận được
(bài toán phân tích rủi ro). Chi phí cho việc bảo vệ hệ thống cần không lớn hơn
giá trị của hệ thống.
Việc thiết kế các biện pháp bảo mật bao gồm phần cứng và phần mềm nên đơn
giản và tiết kiệm nhất có thể. Thiết kế đơn giản giúp cho dễ dàng kiểm tra và xác
minh các tiêu chí và mức độ an toàn một cách kỹ lưỡng. Với một hệ thống có
thiết kế phức tạp, kẻ tấn công có nhiều khả năng phát hiện ra những điểm yếu để
khai thác trong hệ thống bởi với các nhiều mắt xích trong hệ thống thì khả năng
xuất hiện các mắt xích yếu càng nhiều. Các cơ chế đơn giản có xu hướng có ít lỗ
hổng để khai thác hơn và ít yêu cầu phải bảo trì hơn. Hơn nữa, vì các vấn đề
quản lý cấu hình được đơn giản hóa, do đó việc cập nhật hoặc thay thế trở thành
một quy trình ít yêu cầu chuyên sâu phức tạp hơn.
Trong thực tế, đây có lẽ là một trong những nguyên tắc khó thực hiện nhất. Bởi
các nhu cầu về các tính năng mới trong cả phần cứng lẫn phần mềm, làm phức
tạp hóa các nhiệm vụ thiết kế an toàn cho hệ thống. Tuy nhiên, chúng ta tốt nhất
nên ghi nhớ nguyên tắc này trong quá trình thiết kế hệ thống để cố gắng loại bỏ
sự phức tạp không cần thiết.
Đảm-bảo-an-toàn-thông-tin-mặc-định-từ-chối
Thông thường, một loạt các quy tắc sẽ được sử dụng để xác định xem có nên
cho phép truy cập vào hệ thống hay không (tường lửa hoặc các thiết bị phát hiện
xâm nhập hoạt động theo cơ chế này). Trong hầu hết mọi tình huống, để đảm
bảo an toàn cho hệ thống chúng ta thường cấu hình các giải pháp sao cho nó từ
chối mọi truy cập đến nó, trừ khi có một yêu cầu hoặc quy tắc chính đáng cho
phép truy cập. Nói cách khác, nếu không có quy tắc nào cho phép truy cập, thì
không nên cấp quyền truy cập. Việc ngầm từ chối áp dụng cho các tình huống
liên quan đến cả gán quyền và phân quyền truy cập.
Ngược lại với nguyên tắc mặc định từ chối là cho phép mọi truy cập trừ khi một
quy tắc cụ thể cấm nó xảy ra. Một ví dụ điển hình về hai cách tiếp cận này là
trong các chương trình giám sát ngăn chặn truy cập vào các trang web nhất định.
Một cách tiếp cận là cung cấp danh sách các trang web cụ thể mà người dùng
không được phép truy cập (thường gọi là phương pháp blacklist), nó duy trì một
danh sách đen các trang web được coi là độc hại và không cho phép người dùng
truy cập các trang này, trong khi mặc định cho truy cập mọi trang khác không
nằm trong blacklist. Cách tiếp cận ngược lại (cách tiếp cận ngầm từ chối) sẽ
chặn tất cả truy cập vào các trang web không được xác định cụ thể là được ủy
quyền (nằm trong white list hay danh sách trắng). Tùy thuộc vào ứng dụng cụ
thể, ta có thể lựa chọn một trong hai cách tiếp cận này. Phương pháp bạn chọn
phụ thuộc vào mục tiêu và chính sách an toàn của tổ chức.
Đảm-bảo-an-toàn-thông-tin_2 (1)
Đảm-bảo-an-toàn-thông-tin-SandBox
Mặc dù việc chia sẻ và tái sử dụng là tốt theo một số khía cạnh, nhưng xét về
khía cạnh bảo mật nó là một trong những vấn đề có thể dẫn tới các lỗ hổng gây
mất an toàn cho hệ thống. Sandboxing là một giải pháp được xây dựng dựa trên
nguyên tắc này, nó là một phương tiện để tách hoạt động của một ứng dụng khỏi
phần còn lại của hệ điều hành. Các máy ảo thực hiện cùng một nhiệm vụ giữa
các hệ điều hành trên một phần cứng duy nhất. Khởi tạo các thư viện chia sẻ,
trong đó khởi tạo riêng biệt các lớp cục bộ cho từng ứng dụng. Điểm cốt lõi của
nguyên tắc này là yêu cầu cung cấp một phương tiện cách ly giữa các tiến trình
để thông tin không thể lưu chuyển giữa những người dùng riêng biệt trừ khi hệ
thống được thiết kế đặc biệt để làm như vậy.
Đảm-bảo-an-toàn-thông-tin_3
Các cơ chế bảo vệ phải dễ hiểu và đơn giản trong sử dụng. Việc áp dụng các
thiết bị bảo vệ không được bắt buộc người dùng phải biết hoặc học thêm các
ngôn ngữ lập trình đặc biệt hoặc buộc phải thực hiện các thao tác khó khăn, rắc
rối.
Nguyên tắc này thường bị bỏ qua khi thiết kế các giải pháp an toàn cho hệ
thống, bởi các chuyên gia bảo mật thường chỉ tập trung vào các vấn đề kỹ thuật
và cách họ nhìn thấy các mối đe dọa với hệ thống đó. Họ tập trung vào mối đe
dọa, đó là trách nhiệm nghề nghiệp của họ. Tuy nhiên, vì quá tập trung đến vấn
đề này, họ thường bỏ qua việc xem xét đến cảm nhận của người dùng. Các
chuyên gia bảo mật, đặc biệt là những người thiết kế hệ thống, không chỉ nên
biết về khái niệm này mà còn cần chú ý đặc biệt đến cảm nhận của người dùng
khi họ áp dụng các biện pháp an toàn trong công việc thực tế của họ, nhằm đưa
việc áp dụng các biện pháp an toàn không chỉ liên quan đến vấn đề an toàn
chung cho hệ thống của tổ chức mà còn vì lợi ích của chính từng người dùng.
Đảm-bảo-an-toàn-thông-tin_4
Nguyên tắc đóng gói trong đảm bảo an toàn thông tin
Đóng gói có thể được xem như một hình thức cô lập cụ thể dựa trên che dấu các
chức năng cụ thể. Nguyên tắc này được thực hiện bằng cách đóng gói một tập
hợp các thủ tục và đối tượng dữ liệu trong một miền của chính nó để cấu trúc
bên trong của đối tượng dữ liệu chỉ có thể truy cập được đối với các thủ tục hoặc
hàm con của hệ thống được bảo vệ và các thủ tục chỉ có thể được gọi tại các
điểm được chỉ định.
Đảm-bảo-an-toàn-thông-tin_5-768x401
Ví dụ, nhiều giao thức mạng và ứng dụng đều sử dụng các chức năng mã hóa.
Vì vậy thay vì thiết kế các chức năng mã hóa trong mỗi giao thức hoặc ứng
dụng, ta nên phát triển một mô-đun mật mã chung an toàn hơn có thể được gọi
bởi nhiều giao thức và ứng dụng khác nhau và tập trung vào vấn đề thiết kế an
toàn và triển khai một mô-đun mật mã duy nhất, bao gồm các cơ chế để bảo vệ
mô-đun khỏi sự giả mạo. Khi đó, nếu muốn thay thế các thuật toán mật mã trong
các sản phẩm điều duy nhất chúng ta cần làm đó là thay thế module mật mã này.
Đối với việc sử dụng kiến trúc mô-đun, các giải pháp an toàn sẽ có tính mềm
dẻo và có thể dễ dàng chuyển đổi hoặc nâng cấp các tính năng mới mà không
yêu cầu thiết kế lại toàn bộ hệ thống.
Một ngân hàng không chỉ bảo vệ số tiền mà nó lưu trữ bằng cách sử dụng một
nhà kho duy nhất. Nó còn có một hoặc nhiều nhân viên bảo vệ là người bảo vệ
đầu tiên để theo dõi các hoạt động đáng ngờ và bảo đảm an toàn khi ngân hàng
đóng cửa. Tiếp đó có thể là các hệ thống camera giám sát theo dõi các hoạt động
khác nhau diễn ra trong ngân hàng. Kho chứa tiền thường được đặt ở trung tâm,
và do đó có các lớp bảo vệ nghiêm ngặt trước khi có thể đến được kho tiền. Các
cơ chế kiểm soát truy cập, đảm bảo rằng những người vào kho phải được ủy
quyền trước. Và các hệ thống, bao gồm các công tắc thủ công, được kết nối trực
tiếp với đồn cảnh sát trong trường hợp một tên cướp ngân hàng được xác định là
xâm nhập thành công vào bất kỳ một trong các lớp bảo vệ này.
Đảm-bảo-an-toàn-thông-tin-theo-chiều-sâu-768x274
Khi đó, dù một cơ chế phòng thủ có thể không hiệu quả 100 phần trăm, thì các
lớp bảo vệ phía sau sẽ bổ sung và tiếp tục bảo vệ hệ thống phía trong. Không có
hệ thống nào là an toàn 100 phần trăm và không có gì là hoàn hảo cả, vì vậy một
cơ chế bảo vệ cụ thể không bao giờ là đủ. Mỗi hệ thống đều cần có nhiều lớp
bảo mật khác nhau. Các lớp này có thể sử dụng nhiều phương pháp khác nhau,
chẳng hạn như bộ định tuyến, tường lửa, IDS, các giải pháp mã hóa, các phần
mềm xác thực, các phương pháp bảo vệ vật lý và kiểm soát lưu lượng... Các lớp
cần phối hợp với nhau một cách phù hợp để không cản trở xung đột lẫn nhau.
Ví dụ, các bước mà kẻ xâm nhập có thể phải thực hiện để truy cập vào dữ liệu
quan trọng được lưu trữ trong cơ sở dữ liệu của công ty. Kẻ xâm nhập trước tiên
phải xâm nhập vào tường lửa và sử dụng các gói tin và phương thức sao cho
IDS không thể xác định và phát hiện được. Tiếp theo đó hắn phải phá vỡ cơ chế
lọc gói trên bộ định tuyến, và sau đó có thể phải xâm nhập qua một tường lửa
khác được sử dụng để tách một mạng nội bộ khỏi mạng bên ngoài. Tiếp theo
hắn phải phá vỡ các cơ chế điều khiển truy cập trên cơ sở dữ liệu, điều đó có
nghĩa là phải thực hiện một tấn công từ điển hoặc tấn công vét cạn để có thể xác
thực với phần mềm cơ sở dữ liệu. Khi kẻ xâm nhập đã đi xa đến mức này, hắn
vẫn có việc cần phải làm đó là định vị dữ liệu trong cơ sở dữ liệu. Điều này có
thể trở nên rất phức tạp khi sử dụng danh sách kiểm soát truy cập nhằm quy định
phân quyền những người thực sự có thể xem hoặc sửa đổi dữ liệu. Đó là một
khối lượng công việc khổng lồ.
Nguyên tắc tường minh trong đảm bảo an toàn thông tin
Nguyên tắc tường minh đảm bảo rằng một chương trình hoặc giao diện người
dùng phải luôn phản hồi một cách thân thiện, dễ sử dụng và rõ ràng nhất cho
người dùng. Ví dụ: cơ chế ủy quyền phải đủ minh bạch với người dùng sao cho
người dùng có một cái nhìn trực quan tốt nhất về sự liên hệ giữa các mục tiêu an
toàn với các cơ chế an toàn được sử dụng.
Đảm-bảo-an-toàn-thông-tin_6
Khi xây dựng giải pháp đảm bảo an toàn thông tin cho hệ thống cần phải tính tới
tất cả các vị trí xung yếu, các vị trí dễ tổn thương của hệ thống, và cả đặc trưng,
các đối tượng tiềm năng, các hướng của các tấn công vào hệ thống từ phía
những kẻ phá hoại (đặc biệt kẻ ác ý có trình độ chuyên môn cao), các con đường
xâm nhập vào các hệ thống phân tán và các kênh tiếp cận trái phép tới thông tin.
Hệ thống bảo vệ phải được thiết lập không chỉ tính tới tất cả các kênh xâm nhập
đã biết, mà còn cả khả năng xuất hiện các kênh xuất hiện nguy cơ an toàn hoàn
toàn mới.
Phần lớn các thiết bị bảo vệ kỹ thuật và vật lý cần có sự trợ giúp thường xuyên
của các biện pháp tổ chức (hành chính) để thực hiện có hiệu quả các chức năng
của chúng (ví như sự thay đổi kịp thời, bảo quản chặt chẽ và ứng dụng linh hoạt
các tên, mật khẩu, các khoá mã, sự phân quyền v.v…). Sự gián đoạn (hoặc
ngừng tạm thời) trong hoạt động của các thiết bị bảo vệ có thể bị kẻ ác ý lợi
dụng để đưa vào các chương trình đặc biệt, các thiết bị cài bẫy và các phương
tiện khác để qua mặt hệ thống bảo vệ khi hệ thống làm việc trở lại.