Đảm bảo an toàn thông tin là một vấn đề phức tạp do đó, mặc dù có nhiều

nghiên cứu và phát triển, song việc đưa ra được những kỹ thuật thiết kế và triển
khai an toàn nói chung là rất khó. Vì vậy, sẽ rất hữu ích nếu chúng ta có được
một bộ các nguyên tắc thiết kế được thống nhất rộng rãi nhằm hướng dẫn cho sự
phát triển của các cơ chế bảo vệ, đảm bảo an toàn thông tin cho hệ thống.

Những nguyên tắc đầu tiên về đảm bảo an toàn thông tin được đưa ra vào giữa
những năm 1970 bởi hai nhà khoa học máy tính Jerome Saltzer và Michael
Schroeder thuộc đại học MIT. Bài báo của Saltzer và Schroeder, có tựa đề là
Bảo vệ thông tin trong các hệ thống máy tính trình bày về các nguyên tắc thiết
kế nhằm đảm bảo an toàn thông tin cho hệ thống, đã được ca ngợi là một trong
những đóng góp quan trọng nhất trong lĩnh vực bảo mật. Các nguyên tắc này đã
được triển khai và phát triển sau nhiều năm và được nhiều tổ chức trong đó có
NSA tổng hợp thành bộ 13 nguyên tắc đảm bảo an toàn thông tin. Những
nguyên tắc này rất hữu ích trong thiết kế và vận hành hệ thống an toàn. Dưới
đây là bộ 13 nguyên tắc này:

Nguyên tắc đặc quyền tối thiểu

Một trong những nguyên tắc cơ bản nhất trong an toàn thông tin là nguyên tắc
đặc quyền tối thiểu. Nguyên tắc này có thể áp dụng cho cả việc bảo vệ môi
trường vật lý cũng như bảo đảm an toàn cho các hệ thống mạng và máy chủ.
Nguyên tắc đặc quyền tối thiểu quy định rằng một chủ thể (có thể là người dùng,
ứng dụng hoặc tiến trình) chỉ nên có các quyền và đặc quyền cần thiết để thực
hiện nhiệm vụ của mình mà không nên được cấp các quyền bổ sung không cần
thiết. Việc hạn chế các đặc quyền của đối tượng giới hạn mức độ tổn hại có thể
gây ra đối với hệ thống. Người dùng có thể có quyền truy cập vào các tệp trên
máy trạm của họ và một số tệp nhất định trên máy chủ, nhưng không có quyền
truy cập vào dữ liệu quan trọng được lưu trữ trong cơ sở dữ liệu. Quy tắc này
giúp một tổ chức bảo vệ các tài nguyên nhạy cảm nhất của mình và giúp đảm
bảo rằng bất kỳ ai đang tương tác với các tài nguyên này đều có lý do hợp lệ để
làm như vậy.

Đảm-bảo-an-toàn-thông-tin-Đặc-quyền-tối-thiểu
Tất cả các ứng dụng, tập lệnh và tiến trình của một người dùng cụ thể trên hệ
điều hành nên được thực thi với các quyền cụ thể tương ứng với từng người
dùng. Chẳng hạn Microsoft Word nên chỉ chạy trong không gian của người
dùng thông thường trong khi một ứng dụng giám sát hệ thống cần truy cập vào
các tệp hệ thống nhạy cảm hơn và do đó phải chạy trong tài khoản người dùng
quản trị. Mấu chốt của vấn đề là một chương trình chỉ nên được thực thi với
mức độ an toàn cần thiết để chương trình đó thực hiện thành công nhiệm vụ của
mình. Trong nhiều trường hợp, mọi người rất khó xác định cách làm thế nào để
làm cho các chương trình chạy với các mức độ an toàn khác nhau và do đó họ
thường áp dụng cách dễ dàng hơn đó là để tất cả các chương trình cùng chạy với
tài khoản quản trị. Tuy nhiên, nếu kẻ tấn công có thể thỏa hiệp một chương trình
hoặc dịch vụ chạy trong tài khoản quản trị, thì chúng cũng có thể truy cập và
chiế quyền kiểm soát hệ thống để gây ra nhiều cách gây hại khác nhau đến hệ
thống.

Nguyên tắc phân quyền

Nguyên tắc phân quyền là cơ chế sử dụng để cấp quyền truy cập tài nguyên hệ
thống dựa trên nhiều yếu tố khác nhau của đối tượng. Nguyên tắc phân quyền
nên được xây dựng sao cho nó sử dụng nhiều hơn một phần thông tin của đối
tượng để đưa ra các quyết định truy cập. Một ví dụ điển hình của nguyên tắc này
là xác thực người dùng đa nhân tố, yêu cầu sử dụng nhiều kỹ thuật, như mật
khẩu và thẻ thông minh, để cấp quyền cho người dùng. Thuật ngữ này hiện cũng
được áp dụng cho bất kỳ kỹ thuật nào trong đó một chương trình được chia
thành các phần được giới hạn trong các đặc quyền cụ thể được yêu cầu để thực
hiện một tác vụ cụ thể nào đó. Điều này được sử dụng để giảm thiểu thiệt hại
tiềm tàng của một cuộc tấn công vào hệ thống.

Đảm-bảo-an-toàn-thông-tin-Phân-quyền-768x548

Nguyên tắc phân quyền được áp dụng trong bảo đảm an toàn cho môi trường vật
lý cũng như an toàn mạng và máy chủ. Khi được áp dụng, nguyên tắc này quy
định rằng đối với bất kỳ một nhiệm vụ nhất định nào, cũng cần có nhiều hơn
một cá nhân cần phải tham gia thực hiện. Nhiệm vụ sẽ được chia thành các
nhiệm vụ con khác nhau, và mỗi nhiệm vụ con này được hoàn thành bởi một cá
nhân riêng biệt. Bằng cách thực hiện một nhiệm vụ tổng thể theo cách này,
không một cá nhân nào có thể lạm dụng quyền của mình trên hệ thống để trục
lợi cho chính mình. Nguyên tắc này đã được thực hiện trong giới kinh doanh,
đặc biệt là các tổ chức tài chính, trong nhiều năm qua. Một ví dụ đơn giản là một
hệ thống trong đó một cá nhân được đưa ra các yêu cầu đặt hàng nhưng một
người khác được ủy quyền mua món hàng được yêu cầu đó.

Mặc dù nguyên tắc phân quyền cung cấp cho hệ thống độ an toàn cao, nhưng nó
cũng tồn tại nhiều nhược điểm. Nhược điểm nổi bật nhất của nó là nâng cao chi
phí cần thiết để hoàn thành nhiệm vụ. Chi phí này được thể hiện bằng cả thời
gian và tiền bạc. Khi một việc đáng ra chỉ cần một người có thể hoàn thành được
san sẽ cho nhiều người hơn có khả năng làm tăng chi phí thực hiện nó. Ngoài ra,
với nhiều hơn một cá nhân có liên quan, một sự chậm trễ nhất định có thể xảy ra
do nhiệm vụ đó sẽ phải tiến hành qua các bước khác nhau.

Nguyên tắc hợp lý đầy đủ

Không có hệ thống nào có thể an toàn tuyệt đối. Việc thiết lập một hệ bảo vệ
tuyệt đối không chọc thủng được là một điều không tưởng vì rằng với đầy đủ
điều kiện và phương tiện thì kẻ tấn công có thể vượt qua được mọi biện pháp
bảo vệ. Ví dụ đơn giản nhất là các phương tiện bảo vệ bằng mật mã trong phần
lớn các trường hợp không bảo đảm độ bền vững tuyệt đối, mà chúng chỉ bảo
đảm sự bí mật của thông tin trong điều kiện bị tấn công mã thám liên tục bằng
các máy tính hiện đại, trong một khoảng thời gian phù hợp với yêu cầu bảo vệ
mà thôi. Thêm vào đó, mỗi biện pháp đảm bảo an toàn thông tin cho hệ thống
đều có chi phí tương đối đắt, sử dụng công suất đáng kể của hệ thống và các tài
nguyên đi kèm, đồng thời có thể gây thêm sự bất tiện và rắc rối cho người dùng.

Đảm-bảo-an-toàn-thông-tin

Do đó, mục tiêu của các giải pháp đảm bảo an toàn thông tin là đưa rủi ro về
mức chấp nhận được. Tức là phải lựa chọn đúng mức độ bảo vệ cần thiết, mà
trong đó các chi phí, rủi ro và phạm vi các thiệt hại có thể là chấp nhận được
(bài toán phân tích rủi ro). Chi phí cho việc bảo vệ hệ thống cần không lớn hơn
giá trị của hệ thống.
Việc thiết kế các biện pháp bảo mật bao gồm phần cứng và phần mềm nên đơn
giản và tiết kiệm nhất có thể. Thiết kế đơn giản giúp cho dễ dàng kiểm tra và xác
minh các tiêu chí và mức độ an toàn một cách kỹ lưỡng. Với một hệ thống có
thiết kế phức tạp, kẻ tấn công có nhiều khả năng phát hiện ra những điểm yếu để
khai thác trong hệ thống bởi với các nhiều mắt xích trong hệ thống thì khả năng
xuất hiện các mắt xích yếu càng nhiều. Các cơ chế đơn giản có xu hướng có ít lỗ
hổng để khai thác hơn và ít yêu cầu phải bảo trì hơn. Hơn nữa, vì các vấn đề
quản lý cấu hình được đơn giản hóa, do đó việc cập nhật hoặc thay thế trở thành
một quy trình ít yêu cầu chuyên sâu phức tạp hơn.

Trong thực tế, đây có lẽ là một trong những nguyên tắc khó thực hiện nhất. Bởi
các nhu cầu về các tính năng mới trong cả phần cứng lẫn phần mềm, làm phức
tạp hóa các nhiệm vụ thiết kế an toàn cho hệ thống. Tuy nhiên, chúng ta tốt nhất
nên ghi nhớ nguyên tắc này trong quá trình thiết kế hệ thống để cố gắng loại bỏ
sự phức tạp không cần thiết.

Nguyên tắc mặc định an toàn

Ngày nay, Internet không còn là một môi trường thân thiện, khi các hệ thống
luôn luôn phải đứng trước các nguy cơ bị tấn công và chiếm quyền điều khiển.
Điều này dẫn tới một cách tiếp cận khác về an toàn cho hệ thống. Nguyên tắc
mặc định từ chối là cách tiếp cận trong đó theo mặc định sẽ từ chối mọi truy cập
đến hệ thống và chỉ cấp quyền truy cập khi có sự cho phép rõ ràng.

Đảm-bảo-an-toàn-thông-tin-mặc-định-từ-chối

Thông thường, một loạt các quy tắc sẽ được sử dụng để xác định xem có nên
cho phép truy cập vào hệ thống hay không (tường lửa hoặc các thiết bị phát hiện
xâm nhập hoạt động theo cơ chế này). Trong hầu hết mọi tình huống, để đảm
bảo an toàn cho hệ thống chúng ta thường cấu hình các giải pháp sao cho nó từ
chối mọi truy cập đến nó, trừ khi có một yêu cầu hoặc quy tắc chính đáng cho
phép truy cập. Nói cách khác, nếu không có quy tắc nào cho phép truy cập, thì
không nên cấp quyền truy cập. Việc ngầm từ chối áp dụng cho các tình huống
liên quan đến cả gán quyền và phân quyền truy cập.
Ngược lại với nguyên tắc mặc định từ chối là cho phép mọi truy cập trừ khi một
quy tắc cụ thể cấm nó xảy ra. Một ví dụ điển hình về hai cách tiếp cận này là
trong các chương trình giám sát ngăn chặn truy cập vào các trang web nhất định.
Một cách tiếp cận là cung cấp danh sách các trang web cụ thể mà người dùng
không được phép truy cập (thường gọi là phương pháp blacklist), nó duy trì một
danh sách đen các trang web được coi là độc hại và không cho phép người dùng
truy cập các trang này, trong khi mặc định cho truy cập mọi trang khác không
nằm trong blacklist. Cách tiếp cận ngược lại (cách tiếp cận ngầm từ chối) sẽ
chặn tất cả truy cập vào các trang web không được xác định cụ thể là được ủy
quyền (nằm trong white list hay danh sách trắng). Tùy thuộc vào ứng dụng cụ
thể, ta có thể lựa chọn một trong hai cách tiếp cận này. Phương pháp bạn chọn
phụ thuộc vào mục tiêu và chính sách an toàn của tổ chức.

Nguyên tắc toàn diện

Nguyên tắc toàn diện quy ước mọi quyền truy cập phải được kiểm tra đối thông
qua cơ chế kiểm soát truy cập. Các hệ thống không nên dựa vào các quyết định
truy cập được lấy từ bộ đệm. Trong một hệ thống được thiết kế để hoạt động
liên tục, nguyên tắc này yêu cầu rằng, nếu các quyết định truy cập được ghi nhớ
để sử dụng trong tương lai, thì cần cân nhắc cẩn thận về cách thay đổi quyền
được truyền vào các vùng nhớ địa phương tương ứng. Các hệ thống quản lý tệp
là một ví dụ điển hình về một hệ thống tuân thủ nguyên tắc này. Tuy nhiên,
thông thường, một khi người dùng đã mở tệp, sẽ không có kiểm tra nào được
thực hiện để xem các quyền có bị thay đổi hay không. Trừ khi người dùng tắt và
mở lại tệp đó. Để thực hiện đầy đủ nguyên tắc toàn diện, mỗi khi người dùng
đọc một trường hoặc bản ghi trong tệp hoặc một mục dữ liệu trong cơ sở dữ liệu,
hệ thống phải tiếp tục thực hiện việc kiểm soát truy cập. Tuy nhiên cách tiếp cận
sử dụng nhiều tài nguyên này hiếm khi được sử dụng.

Đảm-bảo-an-toàn-thông-tin_2 (1)

Nguyên tắc phổ biến tối thiểu

Nguyên tắc phổ biến tối thiểu nói rằng các cơ chế được sử dụng để kiểm soát
truy cập tài nguyên, hoặc đảm bảo an toàn thông tin cho hệ thống nên được cô
lập và càng hạn chế chia sẻ càng tốt. Việc chia sẻ có thể gây ra sự chồng lấn
tiềm ẩn giữa các kênh dẫn đến các lỗi an toàn. Ví dụ: nếu có một mô-đun cho
phép nhân viên kiểm tra thông tin bảng lương của họ, thì nên sử dụng một mô-
đun riêng khác để thay đổi thông tin trong bảng này, nếu không người dùng có
quyền truy cập và có thể leo thang đặc quyền hoặc thay đổi quyền truy cập cao
hơn.

Đảm-bảo-an-toàn-thông-tin-SandBox

Mặc dù việc chia sẻ và tái sử dụng là tốt theo một số khía cạnh, nhưng xét về
khía cạnh bảo mật nó là một trong những vấn đề có thể dẫn tới các lỗ hổng gây
mất an toàn cho hệ thống. Sandboxing là một giải pháp được xây dựng dựa trên
nguyên tắc này, nó là một phương tiện để tách hoạt động của một ứng dụng khỏi
phần còn lại của hệ điều hành. Các máy ảo thực hiện cùng một nhiệm vụ giữa
các hệ điều hành trên một phần cứng duy nhất. Khởi tạo các thư viện chia sẻ,
trong đó khởi tạo riêng biệt các lớp cục bộ cho từng ứng dụng. Điểm cốt lõi của
nguyên tắc này là yêu cầu cung cấp một phương tiện cách ly giữa các tiến trình
để thông tin không thể lưu chuyển giữa những người dùng riêng biệt trừ khi hệ
thống được thiết kế đặc biệt để làm như vậy.

Nguyên tắc đơn giản trong sử dụng

Người dùng đóng một vai trò quan trọng trong hoạt động của một hệ thống và
nếu các biện pháp an toàn gây ra các trở ngại cho công việc của người dùng, thì
hậu quả tự nhiên đó là người dùng sẽ tìm cách bỏ qua các cơ chế an toàn này.
Mặc dù họ có thể hiểu rằng điều này có thể dẫn đến một số vấn đề về bảo mật
nghiêm trọng, nhưng nhận thức về việc nó có thể dẫn đến giảm hiệu suất trong
công việc sẽ gây ra áp lực để họ bỏ qua nó.

Đảm-bảo-an-toàn-thông-tin_3

Các cơ chế bảo vệ phải dễ hiểu và đơn giản trong sử dụng. Việc áp dụng các
thiết bị bảo vệ không được bắt buộc người dùng phải biết hoặc học thêm các
ngôn ngữ lập trình đặc biệt hoặc buộc phải thực hiện các thao tác khó khăn, rắc
rối.
Nguyên tắc này thường bị bỏ qua khi thiết kế các giải pháp an toàn cho hệ
thống, bởi các chuyên gia bảo mật thường chỉ tập trung vào các vấn đề kỹ thuật
và cách họ nhìn thấy các mối đe dọa với hệ thống đó. Họ tập trung vào mối đe
dọa, đó là trách nhiệm nghề nghiệp của họ. Tuy nhiên, vì quá tập trung đến vấn
đề này, họ thường bỏ qua việc xem xét đến cảm nhận của người dùng. Các
chuyên gia bảo mật, đặc biệt là những người thiết kế hệ thống, không chỉ nên
biết về khái niệm này mà còn cần chú ý đặc biệt đến cảm nhận của người dùng
khi họ áp dụng các biện pháp an toàn trong công việc thực tế của họ, nhằm đưa
việc áp dụng các biện pháp an toàn không chỉ liên quan đến vấn đề an toàn
chung cho hệ thống của tổ chức mà còn vì lợi ích của chính từng người dùng.

Nguyên tắc cách ly trong đảm bảo an toàn thông tin

Nguyên tắc cách ly yêu cầu các hệ thống truy cập công cộng nên được cách ly
khỏi các tài nguyên quan trọng (dữ liệu, tiến trình, v.v.) để ngăn chặn các nguy
cơ bị rò rỉ hoặc giả mạo. Trong trường hợp độ nhạy hoặc mức độ quan trọng của
thông tin cao, các tổ chức có thể muốn giới hạn số lượng hệ thống mà dữ liệu
được lưu trữ và cách ly chúng, về cả mặt vật lý hoặc logic. Cách ly vật lý có thể
bao gồm đảm bảo rằng không có kết nối vật lý nào tồn tại giữa thông tin truy
cập công cộng và các thông tin nhạy cảm của tổ chức. Khi thực hiện các giải
pháp cách ly logic, các lớp dịch vụ và cơ chế an toàn nên được thiết lập giữa các
liên kết giữa hệ thống công cộng và hệ thống chứa các tài nguyên quan trọng.
Các tiến trình và tệp tin của mỗi người dùng cá nhân nên được cách ly với nhau
trừ khi có một yêu cầu khác. Tất cả các hệ điều hành hiện đại đều cung cấp các
phương tiện để cách ly như vậy, cho phép người dùng cá nhân có không gian xử
lý, không gian bộ nhớ và không gian tệp tin riêng biệt, với các biện pháp bảo vệ
để ngăn chặn truy cập trái phép.

Đảm-bảo-an-toàn-thông-tin_4

Nguyên tắc đóng gói trong đảm bảo an toàn thông tin
Đóng gói có thể được xem như một hình thức cô lập cụ thể dựa trên che dấu các
chức năng cụ thể. Nguyên tắc này được thực hiện bằng cách đóng gói một tập
hợp các thủ tục và đối tượng dữ liệu trong một miền của chính nó để cấu trúc
bên trong của đối tượng dữ liệu chỉ có thể truy cập được đối với các thủ tục hoặc
hàm con của hệ thống được bảo vệ và các thủ tục chỉ có thể được gọi tại các
điểm được chỉ định.

Nguyên tắc mềm dẻo hệ thống

Thông thường các giải pháp an toàn được thiết lập trong các điều kiện có độ bất
định khá lớn. Do đó, các giải pháp này cần liên tục được điều chỉnh và bổ sung
thay thế. Do vậy để có thể điều chỉnh được mức độ bảo vệ cho hệ thống, các giải
pháp phải có sự mềm dẻo nhất định. Điều này đặc biệt quan trọng khi hệ hệ
thống cần làm việc liên tục mà không cho phép sự gián đoạn bất thường. Trong
những tình huống như vậy, tính mềm dẻo hệ thống sẽ giúp cho việc nâng cấp hệ
thống dễ dàng mà không phải thay thế mới toàn bộ máy móc thiết bị của hệ
thống. Tính chất này được thực hiện thông qua việc module hóa các thành phần
trong giải pháp, tức là chia nhỏ giải pháp an toàn thành các module độc lập và
dễ dàng thay thế hoặc điều chỉnh khi cần thiết mà không làm ảnh hưởng đến
hoạt động của các module khác.

Đảm-bảo-an-toàn-thông-tin_5-768x401

Ví dụ, nhiều giao thức mạng và ứng dụng đều sử dụng các chức năng mã hóa.
Vì vậy thay vì thiết kế các chức năng mã hóa trong mỗi giao thức hoặc ứng
dụng, ta nên phát triển một mô-đun mật mã chung an toàn hơn có thể được gọi
bởi nhiều giao thức và ứng dụng khác nhau và tập trung vào vấn đề thiết kế an
toàn và triển khai một mô-đun mật mã duy nhất, bao gồm các cơ chế để bảo vệ
mô-đun khỏi sự giả mạo. Khi đó, nếu muốn thay thế các thuật toán mật mã trong
các sản phẩm điều duy nhất chúng ta cần làm đó là thay thế module mật mã này.
Đối với việc sử dụng kiến trúc mô-đun, các giải pháp an toàn sẽ có tính mềm
dẻo và có thể dễ dàng chuyển đổi hoặc nâng cấp các tính năng mới mà không
yêu cầu thiết kế lại toàn bộ hệ thống.

Nguyên tắc phòng thủ chiều sâu

Phòng thủ theo chiều sâu là nguyên tắc được đặc trưng bởi việc sử dụng nhiều
cơ chế phòng thủ khác nhau theo nhiều lớp. Khi một lỗ hổng bị khai thác ở các
lớp phía trước, các cơ chế bảo vệ khác ở các lớp phía sau vẫn tồn tại và do đó hệ
thống trở lên mạnh và khó bị tấn công hơn. Có thể bạn đã xem vài bộ phim về
chiến tranh cổ đại, các thành trì được bảo vệ bởi một vùng đất có chứa bẫy như
chông hoặc các dụng cụ ngăn cản kỵ binh, tiếp theo đó là một kênh dẫn nước, và
cuối cùng là một bức tường cao.

Một ngân hàng không chỉ bảo vệ số tiền mà nó lưu trữ bằng cách sử dụng một
nhà kho duy nhất. Nó còn có một hoặc nhiều nhân viên bảo vệ là người bảo vệ
đầu tiên để theo dõi các hoạt động đáng ngờ và bảo đảm an toàn khi ngân hàng
đóng cửa. Tiếp đó có thể là các hệ thống camera giám sát theo dõi các hoạt động
khác nhau diễn ra trong ngân hàng. Kho chứa tiền thường được đặt ở trung tâm,
và do đó có các lớp bảo vệ nghiêm ngặt trước khi có thể đến được kho tiền. Các
cơ chế kiểm soát truy cập, đảm bảo rằng những người vào kho phải được ủy
quyền trước. Và các hệ thống, bao gồm các công tắc thủ công, được kết nối trực
tiếp với đồn cảnh sát trong trường hợp một tên cướp ngân hàng được xác định là
xâm nhập thành công vào bất kỳ một trong các lớp bảo vệ này.

Đảm-bảo-an-toàn-thông-tin-theo-chiều-sâu-768x274

Khi đó, dù một cơ chế phòng thủ có thể không hiệu quả 100 phần trăm, thì các
lớp bảo vệ phía sau sẽ bổ sung và tiếp tục bảo vệ hệ thống phía trong. Không có
hệ thống nào là an toàn 100 phần trăm và không có gì là hoàn hảo cả, vì vậy một
cơ chế bảo vệ cụ thể không bao giờ là đủ. Mỗi hệ thống đều cần có nhiều lớp
bảo mật khác nhau. Các lớp này có thể sử dụng nhiều phương pháp khác nhau,
chẳng hạn như bộ định tuyến, tường lửa, IDS, các giải pháp mã hóa, các phần
mềm xác thực, các phương pháp bảo vệ vật lý và kiểm soát lưu lượng... Các lớp
cần phối hợp với nhau một cách phù hợp để không cản trở xung đột lẫn nhau.

Ví dụ, các bước mà kẻ xâm nhập có thể phải thực hiện để truy cập vào dữ liệu
quan trọng được lưu trữ trong cơ sở dữ liệu của công ty. Kẻ xâm nhập trước tiên
phải xâm nhập vào tường lửa và sử dụng các gói tin và phương thức sao cho
IDS không thể xác định và phát hiện được. Tiếp theo đó hắn phải phá vỡ cơ chế
lọc gói trên bộ định tuyến, và sau đó có thể phải xâm nhập qua một tường lửa
khác được sử dụng để tách một mạng nội bộ khỏi mạng bên ngoài. Tiếp theo
hắn phải phá vỡ các cơ chế điều khiển truy cập trên cơ sở dữ liệu, điều đó có
nghĩa là phải thực hiện một tấn công từ điển hoặc tấn công vét cạn để có thể xác
thực với phần mềm cơ sở dữ liệu. Khi kẻ xâm nhập đã đi xa đến mức này, hắn
vẫn có việc cần phải làm đó là định vị dữ liệu trong cơ sở dữ liệu. Điều này có
thể trở nên rất phức tạp khi sử dụng danh sách kiểm soát truy cập nhằm quy định
phân quyền những người thực sự có thể xem hoặc sửa đổi dữ liệu. Đó là một
khối lượng công việc khổng lồ.

Nguyên tắc tường minh trong đảm bảo an toàn thông tin
Nguyên tắc tường minh đảm bảo rằng một chương trình hoặc giao diện người
dùng phải luôn phản hồi một cách thân thiện, dễ sử dụng và rõ ràng nhất cho
người dùng. Ví dụ: cơ chế ủy quyền phải đủ minh bạch với người dùng sao cho
người dùng có một cái nhìn trực quan tốt nhất về sự liên hệ giữa các mục tiêu an
toàn với các cơ chế an toàn được sử dụng.

Nguyên tắc mở trong đảm bảo an toàn thông tin

Nguyên tắc mở cho rằng việc bảo vệ một đối tượng không nên dựa vào sự bí
mật của chính cơ chế bảo vệ. Nguyên tắc này đã được chứng minh từ lâu trong
mật mã học với tên gọi Nguyên tắc Kerckhoffs, trong đó việc giữ bí mật thuật
toán mật mã cuối cùng luôn dẫn tới thất bại và sự an toàn thực sự chỉ nên phụ
thuộc vào tính bí mật và độ phức tạp của khóa. Nguyên tắc này không loại trừ
việc sử dụng các cơ chế bí mật, mà chỉ nêu rằng, việc giữ bí mật các cơ chế là
không đủ để bảo đảm an toàn thông tin cho hệ thống. Bản chất của nguyên tắc
này là ở chỗ, sự bảo vệ không được chỉ dựa vào tính bí mật của các cơ chế và
thuật toán. Dù có biết thuật toán làm việc của hệ thống bảo vệ thì cũng không
thể qua mặt được nó (thậm chí cả tác giả của hệ thống bảo vệ cũng không thể).

Đảm-bảo-an-toàn-thông-tin_6

Một số nguyên tắc đảm bảo an toàn thông tin khác

Ngoài các nguyên tắc trên, trong một số tài liệu thiết kế hệ thống an toàn khác
còn nêu ra một số nguyên tắc khác như:

Nguyên tắc tính hệ thống

Nguyên tắc hệ thống nói rằng: cần phải xem xét tất cả các yếu tố, các điều kiện
và các nhân tố có quan hệ, có tương tác với nhau và các biến đổi theo thời gian
của hệ thống.

Khi xây dựng giải pháp đảm bảo an toàn thông tin cho hệ thống cần phải tính tới
tất cả các vị trí xung yếu, các vị trí dễ tổn thương của hệ thống, và cả đặc trưng,
các đối tượng tiềm năng, các hướng của các tấn công vào hệ thống từ phía
những kẻ phá hoại (đặc biệt kẻ ác ý có trình độ chuyên môn cao), các con đường
xâm nhập vào các hệ thống phân tán và các kênh tiếp cận trái phép tới thông tin.
Hệ thống bảo vệ phải được thiết lập không chỉ tính tới tất cả các kênh xâm nhập
đã biết, mà còn cả khả năng xuất hiện các kênh xuất hiện nguy cơ an toàn hoàn
toàn mới.

Nguyên tắc đảm bảo an toàn thông tin tổng thể

Trong tay các chuyên gia an toàn máy tính có rất nhiều biện pháp, phương pháp
và thiết bị bảo vệ hệ thống máy tính. Các thiết bị tính toán hiện đại, các hệ điều
hành, các thiết bị chương trình ứng dụng và chỉ dẫn đều có cài đặt các yếu tố
bảo vệ khác nhau. Sử dụng tổng thể đồng bộ các yếu tố này yêu cầu sự tương
thích đồng bộ của các thiết bị khác loại khi xây dựng hệ thống toàn diện để bịt
kín tất cả các kênh xâm nhập của các hiểm họa và không chứa các vị trí xung
yếu ở nơi tiếp giáp của các thành tố của hệ thống.

Nguyên tắc đảm bảo an toàn thông tin liên tục

An toàn thông tin không phải là giải pháp một vài lần và thậm chí đó không phải
là tập hợp cụ thể của các biện pháp đã thực hiện và các thiết bị đã cài đặt, mà đó
là một quá trình liên tục hướng tới mục tiêu, yêu cầu phải đưa ra các giải pháp
phù hợp ở tất cả các giai đoạn của chu kỳ sống của hệ thống (bắt đầu ngay từ lúc
thiết kế chứ không phải chỉ trong khi khai thác hệ thống). Thiết kế hệ thống bảo
vệ phải được tiến hành song song với thiết lập chính hệ thống được bảo vệ.

Phần lớn các thiết bị bảo vệ kỹ thuật và vật lý cần có sự trợ giúp thường xuyên
của các biện pháp tổ chức (hành chính) để thực hiện có hiệu quả các chức năng
của chúng (ví như sự thay đổi kịp thời, bảo quản chặt chẽ và ứng dụng linh hoạt
các tên, mật khẩu, các khoá mã, sự phân quyền v.v…). Sự gián đoạn (hoặc
ngừng tạm thời) trong hoạt động của các thiết bị bảo vệ có thể bị kẻ ác ý lợi
dụng để đưa vào các chương trình đặc biệt, các thiết bị cài bẫy và các phương
tiện khác để qua mặt hệ thống bảo vệ khi hệ thống làm việc trở lại.