(Luận văn thạc sĩ) nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.04 MB, 134 trang )
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
*********
VŨ THU UYÊN
NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG
AN TOÀN THÔNG TIN
LUẬN VĂN THẠC SĨ
Hà Nội – 2011
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
*********
VŨ THU UYÊN
NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG
AN TOÀN THƠNG TIN
Ngành: Cơng nghệ thơng tin
Chun ngành: Cơng Nghệ Phần Mềm
Mã số: 60.48.10
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PSG.TS Nguyễn Hữu Ngự
Hà Nội – 2011
1
MỤC LỤC
MỤC LỤC HÌNH ..........................................................................................................3
MỤC LỤC BẢNG..........................................................................................................5
DANH MỤC TÊN VIẾT TẮT......................................................................................6
MỞ ĐẦU .........................................................................................................................7
I. Lý do chọn đề tài ....................................................................................................7
II. Lịch sử vấn đề .......................................................................................................7
III. Mục đích, nhiệm vụ nghiên cứu ........................................................................8
IV. Phương pháp nghiên cứu....................................................................................8
CHƯƠNG 1: TỔNG QUAN .........................................................................................9
1.1. Tổng quan về hệ thống thông tin.......................................................................9
1.1.1. Khái niệm ......................................................................................................9
1.1.2. Các thành phần của hệ thống thông tin .........................................................9
1.1.3. Các điểm yếu trong hệ thống thông tin .........................................................9
1.2. Các vấn đề chung an tồn thơng tin ................................................................13
1.2.1. An tồn thơng tin là gì? ...............................................................................13
1.2.2. Các u cầu an tồn thơng tin .....................................................................13
1.2.3. Các phương pháp bảo vệ an tồn thơng tin .................................................14
1.2.4. Một số giải pháp khắc phục điểm yếu .........................................................14
1.3. Giới thiệu về các tiêu chuẩn đánh giá hệ thống an tồn thơng tin ...............16
1.3.1. Chuẩn an tồn thơng tin ...............................................................................16
1.3.2. Các tiêu chuẩn đánh giá an tồn thơng tin...................................................17
CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TỒN
THƠNG TIN ................................................................................................................26
2.1. Tiêu chuẩn chung Common Criteria - CC .....................................................26
2.1.1. Khái niệm và mơ hình chung của CC..........................................................26
2.1.2. Những yêu cầu chức năng an toàn SFR. .....................................................36
2.1.3. Những yêu cầu đảm bảo an toàn SAR ........................................................42
2.1.4. Những mức đảm bảo đánh giá (EALs)........................................................47
2.1.5. Nội dung chuẩn của PP................................................................................49
2.1.6. Lớp đảm bảo đánh giá Hồ sơ bảo vệ APE và yêu cầu của EAL4 ...............53
2
2.2. Phương pháp luận cho đánh giá an toàn - CEM ...........................................57
2.2.1. Mối quan hệ CEM và CC ............................................................................57
2.2.2. Sơ đồ tổng quát cho đánh giá ......................................................................58
2.2.3. CEM hướng dẫn đánh giá lớp đảm bảo APE ..............................................60
CHƯƠNG 3: ỨNG DỤNG GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TỒN
THƠNG TIN ................................................................................................................72
3.1. Áp dụng CC đánh giá thiết bị FIREWALL/VPN của NOKIA sử dụng giải
pháp CHECKPOINT VPN-1/FIREWALL-1 .......................................................72
3.1.1. Khái quát chung về FireWall/VPN Nokia ...................................................72
3.1.2. Áp dụng CC vào đánh giá thiết bị Firewall/VPN của Nokia ......................76
3.2. Đánh giá hệ thống an tồn thơng qua các điểm yếu ....................................124
KẾT LUẬN ................................................................................................................131
TÀI LIỆU THAM KHẢO.........................................................................................132
3
MỤC LỤC HÌNH
Hình 1. 1: Mơ hình PDCA áp dụng cho quá trình xử lý ISMS ......................................... 19
Hình 1. 2: Sơ đồ lịch sử phát triển của CC ........................................................................ 20
Hình 2. 1: Đặc tả đối tượng quanh CC ............................................................................... 27
Hình 2. 2: Mối quan hệ PP, ST và TOE ............................................................................. 29
Hình 2. 3:Sơ đồ mơi trường phát triển và sử dụng ............................................................. 31
Hình 2. 4: Phân tích để đưa ra mục tiêu an tồn................................................................. 32
Hình 2. 5: Mơ hình đưa ra mức đánh giá ........................................................................... 33
Hình 2. 6: Phân Lớp, Họ, Thành phần, Phần tử và Gói ..................................................... 34
Hình 2. 7: Những chủ thể, thao tác, đối tượng ................................................................... 35
Hình 2. 8: Mơ hình tổng qt của CC ................................................................................ 35
Hình 2. 9: Cách bố trí lớp chức năng ................................................................................. 36
Hình 2. 10: Phân cấp lớp kiểm tốn ................................................................................... 37
Hình 2. 11: Phân cấp lớp liên lạc........................................................................................ 37
Hình 2. 12: Phân cấp lớp bảo vệ dữ liệu ............................................................................ 38
Hình 2. 13: Phân cấp lớp hỗ trợ mật mã ............................................................................. 38
Hình 2. 14: Phân cấp lớp định danh và xác thực ................................................................ 39
Hình 2. 15: Phân cấp lớp quản lý an tồn ........................................................................... 39
Hình 2. 16: Phân cấp lớp riêng tư ....................................................................................... 40
Hình 2. 17: Phân cấp lớp chức năng an tồn ...................................................................... 40
Hình 2. 18: Phân cấp lớp sử dụng tài nguyên ..................................................................... 41
Hình 2. 19: Phân cấp lớp truy cập ...................................................................................... 41
Hình 2. 20: Phân cấp lớp tuyến/kênh tin ............................................................................ 41
Hình 2. 21: Cách bố trí lớp chức năng ............................................................................... 42
Hình 2. 22: Phân cấp lớp quản lý cấu hình ......................................................................... 43
Hình 2. 23: Phân cấp lớp đảm bảo vận hành ...................................................................... 43
Hình 2. 24: Phân cấp lớp đảm bảo phát triển ..................................................................... 44
Hình 2. 25: Phân cấp lớp đảm bảo tài liệu hướng dẫn ....................................................... 44
Hình 2. 26: Phân cấp lớp đảm bảo hỗ trợ vịng đời ............................................................ 45
Hình 2. 27: Phân cấp lớp đảm bảo kiểm định .................................................................... 45
Hình 2. 28: Phân cấp lớp đảm bảo đánh giá tổn thương .................................................... 46
Hình 2. 29: Phân cấp lớp đảm bảo đánh giá PP ................................................................. 46
Hình 2. 30: Phân cấp lớp đảm bảo đánh giá ST ................................................................. 47
4
Hình 2. 31: Những mức đánh giá ....................................................................................... 47
Hình 2. 32: Nội dung của PP .............................................................................................. 50
Hình 2. 33: Mơ hình phân tích lớp APE ............................................................................. 53
Hình 2. 34: So sánh lớp APE của CC 3.1 và CC 2.3.......................................................... 70
Hình 2. 35: Mối quan hệ giữa CC và CEM ........................................................................ 57
Hình 2. 36: Các nhiệm vụ đánh giá .................................................................................... 58
Hình 2. 37: Nội dung của báo cáo kỹ thuật ........................................................................ 59
5
MỤC LỤC BẢNG
Bảng 1: Những thành phần đảm bảo an toàn mức EAL4.................................................. 55
Bảng 2: Các yêu cầu chức năng an toàn TOE ................................................................... 87
Bảng 3: Các thành phần đảm bảo TOE ............................................................................. 99
Bảng 4: Các yêu cầu chức năng an tồn cho mơi trường IT ............................................. 99
Bảng 5: Sơ đồ các mục tiêu cơ sở ................................................................................... 107
Bảng 6: Sơ đồ các yêu cầu cơ sở TOE ............................................................................ 111
Bảng 7: Sơ đồ các yêu cầu cơ sở môi trường IT ............................................................. 113
Bảng 8: Sơ đồ các phụ thuộc CC Part 2 .......................................................................... 116
Bảng 9: Sơ đồ tóm tắt các đặc điểm kỹ thuật cơ sở TOE ................................................ 124
6
DANH MỤC TÊN VIẾT TẮT
CC
Common Criteria
CEM
Common Methodology for Information Security Evaluation
EAL
Evaluation Assurance Level
ETR
Evaluation Technical Report
IPS
Intrusion Prevention System
IT
Information Technology
LDAP
Lightweight Directory Access Protocol
OR
Observation Report
PP
Protection Profile
SF
Security Function
SFP
Security Function Policy
SIC
Secure Internal Communication
SOF
Strength of Function
ST
Security Target
TOE
Target of Evaluation
TSC
TSF Scope of Control
TSF
TOE Security Functions
TSFI
TSF Interface
TSP
TOE Security Policy
URL
Universal Resource Locator
VPN
Virtual Personal Network
7
MỞ ĐẦU
I. Lý do chọn đề tài
1. Nhu cầu ứng dụng công nghệ thông tin vào các lĩnh vực đời sống là rất rộng rãi.
2. Việc đảm bảo an toàn và an tồn thơng tin là u cầu hàng đầu đối với các cơ
quan, doanh nghiệp, …
3. Cần phải áp dụng các giải pháp an tồn an tồn thơng tin, nhất là nắm được các
điểm yếu của hệ thống an tồn thơng tin
Vì những lý do trên tơi chọn đề tài “Nghiên cứu giải pháp đánh giá hệ thống
an toàn thơng tin” mong góp phần vào việc đề xuất ra một số biện pháp và giải pháp
đánh giá hệ thống an tồn thơng tin một cách phù hợp để tăng độ an tồn và an tồn
thơng tin trong hệ thống và các sản phẩm CNTT.
II. Lịch sử vấn đề
Vấn đề an tồn, an ninh thơng tin khơng mới nhưng càng ngày càng trở nên
quan trọng cùng với sự phát triển theo chiều rộng và chiều sâu của xã hội thông tin.
Khi nói đến an tồn thơng tin (ATTT), điều đầu tiên người ta thường nghĩ đến là xây
dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các cuộc tấn công
và xâm nhập bất hợp pháp. Cách tiếp cận như vậy khơng hồn tồn đúng vì bản chất
ATTT không đơn thuần chỉ là sử dụng một số cơng cụ hoặc một vài giải pháp nào đó
mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng qt và khoa học
hơn.
Khơng thể đảm bảo an tồn 100% cho hệ thống thơng tin, nhưng ta có thể giảm
bớt các rủi ro khơng mong muốn dưới tác động từ mọi phía của các lĩnh vực hoạt động
kinh tế xã hội. Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ
những biện pháp đối phó về ATTT, họ ln luôn đi đến kết luận: những giải pháp
công nghệ (kỹ thuật) đơn lẻ không thể cung cấp đủ sự an tồn. Những sản phẩm Antivirus, Firewalls và các cơng cụ khác khơng thể cung cấp sự an tồn cần thiết cho hầu
hết các tổ chức. ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố
con người.
1. Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm
phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và
những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ máy
trạm.
2. Yếu tố con người: Là những người sử dụng máy tính, những người làm
việc với thơng tin và sử dụng máy tính trong cơng việc của mình.
Có lẽ không một vị lãnh đạo nào dám khẳng định nội bộ cơng ty là thực sự an tồn
và tin cậy. Trong bối cảnh nền kinh tế thị trường như hiện nay, sự cạnh tranh diễn ra
8
gay gắt thậm chí giữa các nhân viên trong nội bộ cơng ty: tranh dành khách hàng, mục
đích thăng tiến hoặc các mục đích khơng lành mạnh khác. Ở một số tổ chức, lợi dụng
sự lỏng lẻo trong quản lý về ATTT, nhân viên đã có những hành vi bất lương như lấy
cắp thông tin mật, chiếm đoạt tài khoản khách hàng, ăn cắp tiền thơng qua hệ thống tín
dụng… Theo thống kê, khoảng 70% các rủi ro về ATTT là xuất phát từ nội bộ trong tổ
chức. Một trong những câu hỏi luôn được đặt ra trước các nhà lãnh đạo và các nhà
quản trị thông tin là: “Hệ thống thơng tin của tổ chức an tồn đến mức độ nào?” Câu
hỏi này là mối quan tâm lớn nhất và cũng là vấn đề nhạy cảm nhất trong các khâu quản
lý hệ thống thông tin.
Trả lời câu hỏi này thật khơng đơn giản nhưng khơng phải là khơng có câu trả lời.
Để giải đáp vấn đề trên, chủ yếu dựa vào hai phương pháp đánh giá ATTT như sau:
+ Phương pháp đánh giá theo chất lượng ATTT của hệ thống bằng cách cho
điểm.Ví dụ: hệ thống đạt 60/100 điểm hoặc 60%
+ Phương pháp đánh giá theo số lượng thiết bị - cơng nghệ an tồn.
Trong thực tế, phương pháp đánh giá theo chất lượng là phương pháp duy nhất để
đánh giá mức độ an toàn của các tài nguyên trong hệ thống thông tin. ở Việt Nam, việc
đánh giá ATTT theo chất lượng là hoàn toàn mới. Người ta dễ ngộ nhận việc trang bị
một công cụ ATTT như (Firewall, Anti-virus…) là đảm bảo được ATTT cho hệ thống.
Chất lượng ATTT phải được đánh giá trên toàn bộ các yếu tố đảm bảo tính an tồn cho
hệ thống từ tổ chức, con người, an ninh vật lý, quản lý tài nguyên … đến việc sử dụng
các công cụ kỹ thuật. Nói cách khác, chất lượng ATTT được đánh giá trên cơ sở thực
thi các chính sách về ATTT trong hệ thống. Vì thế, Phương pháp đánh giá chất lượng
hệ thống ATTT là dựa trên các Tiêu chuẩn đánh giá về hệ thống ATTT đã được chuẩn
hóa, cơng bố và cơng nhận trên tồn thế giới.
III. Mục đích, nhiệm vụ nghiên cứu
Trong khuôn khổ của đề tài, tác giả tập trung vào nghiên cứu các vấn đề sau:
-
Nghiên cứu về an tồn an tồn thơng tin, mật mã
-
Nghiên cứu các nguy cơ mất an tồn thơng tin trên mạng
-
Nghiên cứu hệ thống tiêu chuẩn đánh giá hệ thống an toàn thông tin, cụ thể ở
đây là 2 tiêu chuẩn Common Criteria – CC và CEM.
-
Đề xuất biện pháp và giải pháp đánh giá hệ thống an tồn thơng tin
-
Triển khai thử nghiệm đánh giá một số thành phần trong hệ thống thực tế.
IV. Phương pháp nghiên cứu
1. Phương pháp nghiên cứu tài liệu
2. Xây dựng chương trình demo
9
CHƯƠNG 1: TỔNG QUAN
1.1. Tổng quan về hệ thống thông tin
1.1.1. Khái niệm
Hệ thống thông tin (Information System - IS) là một tập hợp và kết hợp của các
phần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu
thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ
các mục tiêu của tổ chức.
Các tổ chức có thể sử dụng các hệ thống thơng tin với nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thơng hiểu nội
bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.
Với bên ngồi, hệ thống thơng tin giúp nắm bắt được nhiều thông tin về khách hàng
hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
1.1.2. Các thành phần của hệ thống thông tin
Hệ thống thông tin thông thường được cấu thành bởi 5 thành phần chính là:
Các phần cứng
Phần mềm
Các hệ thống mạng
Dữ liệu
Con người trong hệ
thống thông tin.
Sau khi đã biết được các thành phần trong một hệ thống thơng tin, thì việc đánh
giá hệ thống thơng tin này sẽ giúp chúng ta quản trị và kiểm sốt được hệ thống của
mình thơng qua việc nắm bắt các điểm yếu của hệ thống để từ đó khắc phục chúng.
1.1.3. Các điểm yếu trong hệ thống thông tin
1.1.3.1. Điểm yếu về công nghệ
Điểm yếu về công nghệ bao gồm các điểm yếu về: giao thức, hệ điều hành,
trang thiết bị mạng và cấu hình.
a. Điểm yếu trong giao thức
Để kết nối các hệ thống có nguồn gốc khác nhau thì những hệ thống này phải là
hệ thống mở. Ví dụ như một client chạy hệ điều hành Windows muốn kết nối tới
server chạy hệ điều hành Unix thì Windows và Unix phải có chung một kiến trúc hoạt
động. Điều đó có nghĩa là các giao thức hoạt động của Windows – Unix phải được
chuẩn hóa; mà chuẩn hóa đồng nghĩa với việc phải công bố rộng rãi các đặc tả kỹ
10
thuật. Mặt trái của việc công bố và áp dụng rộng rãi các tiêu chuẩn đó là các hacker có
thể nghiên cứu và tìm ra các nhược điểm có trong các giao thức từ đó triệt để khai thác
chúng để phá hoại hệ thống.
Trong hệ thống các giao thức được sử dụng thì giao thức TCP/IP là một điểm
yếu điển hình vì nó được thiết kế như một chuẩn mở để giúp cho việc trao đổi thông
tin dễ dàng hơn. Điều đó làm cho TCP/IP được sử dụng rộng rãi nhưng cũng dễ trở
thành đích nhắm của các Hacker vì hầu hết mọi người đều thân thuộc với cách thức
làm việc của TCP/IP. Hai giao thức mà Cisco thích lựa chọn trong họ giao thức
TCP/IP nhưng vốn cố hữu không được an tồn là SMTP (TCP) và SNMP (UDP). Điển
hình của kỹ thuật tấn công vào hai giao thức này là IP spoofing, man-in-the-middle và
session replay. Ngồi ra cịn những giao thức khác cũng tồn tại điểm yếu có thể bị lợi
dụng như: giao thức LDAP, giao thức DHCP, giao thức Telnet, giao thức ICMP và đặc
biệt là giao thức DNS đã và đang là đích nhắm tấn cơng của rất nhiều tin tặc, để lại
những hậu quả nặng nề cho hoạt động chung của Internet.
b. Điểm yếu trong hệ điều hành
Hệ điều hành là phần mềm cơ bản của các máy tính, tuy nhiên chúng cịn tồn tại
những vấn đề tiềm ẩn mà thơng qua đó Hacker có thể lợi dụng để khai thác và tấn
công hệ thống. Hiện nay có khá nhiều dạng hệ điều hành nhưng đa số thị phần chỉ
thuộc về một vài hãng nổi tiếng và trong số đó những hệ điều hành (HĐH) chạy trên
máy chủ có ảnh hưởng quan trọng đến an ninh mạng như: Unix, Linux, Windows. Hầu
hết máy PC đều cài đặt các phiên bản Windows nên nhiều Hacker sẽ hướng đích nhắm
tấn cơng vào sản phẩm này của hãng Microsoft. Do đó, tác hại của các cuộc tấn cơng
vào HĐH này có khả năng nhân rộng và nhanh hơn vào các cuộc tấn công vào các
HĐH khác.
c. Điểm yếu trong các trang thiết bị hạ tầng mạng
Hầu hết các thiết bị mạng như server, client, switch, router, … đều có điểm yếu
trong an tồn. Hacker có thể lợi dụng những điểm yếu này để thực hiện tấn công vào
hệ thống như tấn công ARP, tấn công theo kiểu man-in-the-middle, … Nếu có một
chính sách tốt cho việc cấu hình và lắp đặt cho các thiết bị mạng sẽ làm giảm đi rất
nhiều sự ảnh hưởng của điểm yếu này. Ví dụ như với Cisco – một hãng cung cấp thiết
bị mạng hàng đầu thế giới. Trong cuộc kiểm tra nội bộ, Cisco đã phát hiện được những
thiết bị định tuyến của họ chạy HĐH liên mạng IOS (Internet Operating System) có
thể bị tấn cơng kiểu từ chối dịch vụ. Bằng việc khai thác kẽ hở trên, hacker có thể gửi
những gói tin trực tiếp tới một thiết bị của Cisco và đánh lừa bộ định tuyến, khiến cho
thiết bị này ngừng kiểm soát các kênh dữ liệu và buộc phải khởi động lại.
d. Điểm yếu khi cấu hình
Đây là lỗi do nhà quản trị tạo ra. Các lỗi này do sự thiếu sót trong việc cấu hình:
khơng an tồn tài khoản khách hàng, hệ thống tài khoản với password dễ dàng đoán
11
biết, khơng an tồn các cấu hình mặc định trên thiết bị hay lỗi trong việc cấu hình thiết
bị.
Tài khoản người dùng khơng an tồn
Mỗi user account cần có username và password cho mục đích an tồn. Các
username và password này thường được truyền đi ở dạng clear text trên mạng. Do đó,
cần có chính sách an tồn user account như mã hóa, xác thực …
Tài khoản hệ thống đặt mật khẩu dễ đoán
Một điểm yếu trong lỗi cấu hình khác là an tồn account với password dễ dàng
bị đánh cắp. Để ngăn chặn tình trạng đó, người quản trị cần có chính sách để khơng
cho phép một password có hiệu lực mãi mãi mà password này phải có một thời hạn kết
thúc.
Dịch vụ Internet bị lỗi cấu hình
Một vài cơng ty đã sử dụng địa chỉ thật trên mạng Internet để đánh địa chỉ cho
host và server. Điều này tạo nên điểm yếu mà các hacker sẽ dễ dàng khai thác thông
tin.
Sử dụng giao thức NAT hoặc PAT có thể giải quyết các vấn đề trên. Sử dụng
địa chỉ riêng cho phép đánh địa chỉ host và server mà không cần dùng địa chỉ thật trên
mạng, trong khi địa chỉ thật thì được border Router định tuyến ra mạng Internet. Thế
nhưng đây chưa phải là biện pháp tối ưu. Port trên interface kết nối ra Internet phải ở
trạng thái mở cho phép user vào mạng internet và ngược lại. Đó là lỗ hổng trên
Firewall mà hacker có thể tấn cơng vào.
Thiết lập cấu hình mặc định trong các sản phẩm
Nhiều sản phẩm phần cứng được cung cấp mà khơng có password hoặc là
password sẵn có giúp cho nhà quản trị dễ dàng cấu hình thiết bị, ví dụ như một số thiết
bị chỉ cần cắm vào là hoạt động. Điều này sẽ giúp cho các hacker dễ dàng tấn cơng.
Do đó, ta cần phải thiết lập một chính sách cấu hình an tồn trên mỗi thiết bị trước khi
thiết bị được lắp đặt vào hệ thống mạng.
Cấu hình trang thiết bị mạng bị lỗi
Lỗi cấu hình thiết bị là một lỗ hổng có thể khai thác để tấn cơng mạng như:
password yếu, khơng có chính sách an tồn hoặc khơng an tồn user account, … đều là
lỗi cấu hình thiết bị.
Phần cứng và những giao thức chạy trên thiết bị cũng tạo ra lỗ hổng an tồn
trong mạng. Nếu ta khơng có chính sách an tồn cho phần cứng và những giao thức
này thì hacker sẽ lợi dụng để tấn công mạng.
Hơn nữa, nếu sử dụng SNMP được mặc định thiết lập thì thơng tin có thể bị
đánh cắp một cách dễ dàng và nhanh chóng. Do đó, để tăng tính an tồn, ta cần phải
làm mất hiệu lực của SNMP hoặc là thay đổi mặc định thiết lập SNMP có sẵn.
12
1.1.3.2. Chính sách yếu
Khi thiết kế một hệ thống mạng nào, bước đầu tiên cần nghĩ đến đó là chính
sách đảm bảo an tồn cho hệ thống mạng đó. Chính sách này khơng chỉ cho các trang
thiết bị mà cịn là chính sách áp dụng đối với tồn bộ những người sử dụng trong hệ
thống mạng. Nếu như chính sách an tồn yếu kém thì rất có cơ hội cho hacker tấn cơng
khai thác hệ thống mạng.
Điểm yếu trong chính sách bao gồm: Thiếu khi thiết đặt chính sách an toàn, sự
cạnh tranh trong tổ chức, sự lỏng lẻo của người quản trị an tồn thơng tin, khơng có kế
hoạch khi muốn thiết lập và áp dụng chính sách cũng như kế hoạch phục hổi sau thảm
họa, …
1.1.3.3. Điểm yếu từ người sử dụng
Người sử dụng, dù vơ tình hay cố ý cũng có thể gây ra sự cố cục bộ hoặc toàn
diện trong mạng với hậu quả là xâm hại đến dữ liệu của mình hoặc của người khác.
Sau đây là một số những kẽ hở lớn nhất do người sử dụng tạo nên mà một người đánh
giá an tồn cần biết đến để có thể có các biện pháp đánh giá và hạn chế tương ứng.
a. Thư điện tử không rõ nguồn gốc
Ngay khi người sử dụng bất cẩn mở một thư điện tử không rõ nguồn gốc, hoặc
các file đính kèm (kể các file ảnh, âm nhạc và file nén), hoặc các đường liên kết địa
chỉ trên mạng Internet có trong thư điện tử thì nguy cơ tai họa đã nhân lên gấp bội. Đó
là vì các hacker có thể gài sẵn các chương trình tấn cơng hoặc đánh lừa ngay trong
những bộ phận nói trên.
Ngày nay, thư điện tử là phương tiện tin học được sử dụng nhiều nhất bởi
những người không chuyên làm tin học, do vậy cũng là cách đơn giản để phát tán, lây
nhiễm virus và khủng bố bằng các phần mềm. Theo báo chí, chỉ riêng trong khoảng
năm 2007 – 2008 những vụ tấn công nổi tiếng như sâu Conficker, Sobig, Sasser, Blast,
NetSky, … đã làm thiệt hại hàng chục tỷ đô la Mỹ. Có thể kể ra hàng trăm trường hợp
dẫn đến những mối đe dọa như vậy, trong đó, đặc biệt là hàng tỷ thư rác tung ra mỗi
ngày trên Internet.
b. Thông tin cá nhân bị lộ
Việc đánh mất hoặc để lộ mật khẩu, tên đăng nhập hệ thống, số điện thoại, địa
chỉ mạng của mình hoặc người khác (đối tác, bạn bè, …) đều tạo nên những kẽ hở rất
dễ bị kẻ xấu lợi dụng. Những thông tin như thế thường nằm ngay trong máy tính, thư
điện tử, file văn bản, sổ địa chỉ, sơ đồ mạng, … thậm chí trong cuốn lịch để bàn hoặc
sổ tay, ví tiền, túi sách của nhiều người sử dụng vô ý.
Nếu máy tính của người sử dụng có nối mạng thì hacker cũng có thể tự tìm ra
nhiều thơng tin cá nhân chứ không chờ đợi sự vô ý của họ. Hacker thường sử dụng các
13
công cụ phần mềm chuyên dụng như bộ quét (scanner), bộ dị (sniffer) và bộ phân tích
(analyzer), … để làm việc đó. Những phần mềm này có rất nhiều trên mạng Internet và
phần lớn là miễn phí, cho nên hacker có thể dễ dàng tải nạp về dùng.
c. Kết nối mạng sai quy cách
Đôi khi người sử dụng do sơ ý hoặc khơng nắm vững quy trình thao tác trên
mạng, nên đã kết nối đến những địa chỉ có vẻ bình thường nhưng thực chất là các bẫy
nguy hiểm gài sẵn trên Internet, như vậy khơng khác gì tự dẫn thân nộp mạng cho
hacker. Một trong những thủ đoạn quen thuộc của họ là sử dụng các virus, trojan xâm
nhập qua các trình gửi thư điện tử (Ví dụ: Outlook Express) hoặc các trình duyệt Web
để rình thời cơ tấn cơng, …
1.2. Các vấn đề chung an tồn thơng tin
1.2.1. An tồn thơng tin là gì?
An tồn nghĩa là thơng tin được bảo vệ, các hệ thống và những dịch vụ có khả
năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác
động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau
là khơng an tồn: Các thơng tin dữ liệu trong hệ thống bị người khơng được quyền truy
nhập tìm cách lấy và sử dụng (thơng tin bị rị rỉ). Các thơng tin trong hệ thống bị thay
thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)...
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ
có thể cung cấp các thơng tin có giá trị thực sự khi các chức năng của hệ thống đảm
bảo hoạt động đúng đắn. Mục tiêu của an tồn trong cơng nghệ thơng tin là đưa ra một
số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc
giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát
triển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an tồn nào
đó. Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá độ
an tồn thơng tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách
giảm tối thiểu rủi ro. Các đánh giá cần hài hồ với đặc tính, cấu trúc hệ thống và quá
trình kiểm tra chất lượng.
1.2.2. Các u cầu an tồn thơng tin
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an
tồn thơng tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính
sách và phương pháp đề phịng cần thiết. Mục đích cuối cùng của an tồn là bảo vệ các
thơng tin và tài nguyên theo các yêu cầu sau:
-
Đảm bảo tính tin cậy (Confidentiality): Thông tin không thể bị truy nhập trái
phép bởi những người khơng có thẩm quyền.
14
-
Đảm bảo tính ngun vẹn(Integrity): Thơng tin khơng thể bị sửa đổi, bị làm
giả bởi những người khơng có thẩm quyền.
-
Đảm bảo tính sẵn sàng(Availability): Thơng tin ln sẵn sàng để đáp ứng sử
dụng cho người có thẩm quyền.
-
Đảm bảo tính khơng thể từ chối (Non-repudiation): Thơng tin được cam kết
về mặt pháp luật của người cung cấp.
1.2.3. Các phương pháp bảo vệ an tồn thơng tin
Được quy tụ vào 3 nhóm:
-
Bảo vệ an tồn thơng tin bằng các biện pháp hành chính.
-
Bảo vệ an tồn thơng tin bằng các biện pháp kỹ thuật (phần cứng).
-
Bảo vệ an tồn thơng tin bằng các biện pháp thuật tốn (phần mềm).
Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Nội dung chính
cần nghiên cứu sẽ là:
-
An tồn Dữ liệu (Data Security).
-
An toàn Cơ sở dữ liệu (CSDL) (Database Security).
-
An toàn Hệ điều hành (Operation system Security).
-
An toàn mạng máy tính (Network Security).
1.2.4. Một số giải pháp khắc phục điểm yếu
1.2.4.1. Đảm bảo an ninh cơ sở hạ tầng mạng
Cơ sở hạ tầng mạng là rất quan trọng và không thể thiếu trong bất kỳ hệ thống
nào hiện nay. Các thành phần của cơ sở hạ tầng mạng bao gồm nhiều thành phần như:
Router, Switch, Firewall, … Do đó, việc cấu hình các thành phần và thiết bị này rất dễ
gây ra lỗ hổng để các hacker tấn cơng.
Đảm bảo an ninh, an tồn mạng sẽ bao gồm các giải pháp:
Bộ định tuyến Router
-
Kiểm tra các dịch vụ trên Router
-
Kiểm tra cấu hình trên Router
Bộ chuyển mạch Switch
-
Kiểm tra cấu hình cơ bản trên Switch
-
Một số cấu hình nâng cao trên Switch
Thiết bị IDS/IPS
-
Kiểm tra sơ đồ kết nối
-
Giới hạn truy cập bằng ACL
15
-
Kiểm tra giao thức truy cập để đảm bảo an ninh
-
Cấu hình chế độ hoạt động
-
Kiểm tra phiên bản HĐH, signature, virus
-
Bật chức năng phát hiện/chống tấn cơng thăm dị
-
Bật chức năng phát hiện/chống tấn công Dos
Thiết bị tường lửa (Firewall)
-
Quản lý cấu hình.
-
Tắt bỏ dịch vụ thừa.
-
Đảm bảo truy cập.
-
Quản lý truy cập và ngăn chặn tấn công.
-
Ghi nhận lại các log để kiểm tra.
1.2.4.2. An ninh mật khẩu
Mật khẩu thường là một xâu, chuỗi hoặc một loạt các ký tự mà dịch vụ Internet,
phần mềm, hệ thống máy tính yêu cầu người sử dụng nhập vào trước khi có thể tiếp
tục truy cập vào hệ thống hoặc trước khi có thể tiếp tục sử dụng một số tính năng nhất
định. Do vậy, mật khẩu có mặt ở khắp các lĩnh vực và ứng dụng, nên vấn đề an ninh
mật khẩu là một yếu tố rất quan trọng, nếu bị lộ mật khẩu thì kẻ xấu có thể lợi dụng và
thực thi ý đồ xấu.
Đảm bảo an ninh mật khẩu bao gồm các giải pháp sau:
-
Kiểm tra cách đặt mật khẩu của người dùng (Password Guessing).
-
Cách quản lý mật khẩu trên HĐH, phương pháp hash mật khẩu (Password
Cracking).
-
Kiểm sốt các phương pháp crack mật khẩu để từ đó có cách đề phịng hữu
hiệu.
1.2.4.3. An ninh cho các máy chủ
Tùy thuộc vào mơi trường và tính chất làm việc mà mỗi một hệ thống có thể
bao gồm một hay nhiều máy chủ với các chức năng riêng biệt: máy chủ quản lý miền
(Domain Controller), máy chủ DNS, máy chủ Mail, Web, máy chủ lưu trữ CSDL, …
Do vậy, mỗi máy chủ đều đóng một vai trị nhất định trong toàn bộ hệ thống. Việc
đánh giá an ninh máy chủ có ý nghĩa rất quan trọng trong việc góp phần đảm bảo an
ninh tổng thể cho toàn hệ thống.
Đảm bảo an ninh cho máy chủ bằng các giải pháp sau:
-
Kiểm tra cập nhật bản vá lỗ hổng cho hệ điều hành và các ứng dụng.
-
Cấu hình phân quyền các tài khoản và thư mục ứng dụng trên máy chủ.
16
-
An ninh vật lý cho các máy chủ.
1.2.4.4. An ninh ứng dụng Web
Thực tế ngày nay, các hoạt động giao dịch trực tuyến, thương mại điện tử, ngân
hàng điện tử, tài chính ngân hàng, thị trường chứng khốn, … là rất phổ biến và là một
trong các chiến lược phát triển của các cơ quan, doanh nghiệp. Do đó, các vấn đề xoay
quanh hệ thống Website là rất quan trọng. Việc đảm bảo an ninh cho các ứng dụng
Web là yếu tố mà rất nhiều doanh nghiệp quan tâm khi mà có rất nhiều lỗ hổng và
nguy cơ tấn cơng liên quan đến Website.
Các biện pháp đảm bảo an toàn cho Website như sau:
-
Kiểm tra, đánh giá độ bảo mật an tồn thơng tin trước nguy cơ tấn cơng dạng
Cross Site Scripting,
-
Kiểm tra, đánh giá độ bảo mật an toàn thông tin trước nguy cơ tấn công dạng
XPath Injection, SQL-injection, PHP-injection, HTML code injection
-
Kiểm tra, đánh giá độ bảo mật an tồn thơng tin trước nguy cơ tấn cơng dạng
HTTP Response Splitting, File Inclusion, Backdoors /Debug Options.
-
Kiểm tra, đánh giá độ bảo mật an tồn thơng tin trước nguy cơ tấn công dạng
Cookie Poisoning, Directory Traversal.
1.3. Giới thiệu về các tiêu chuẩn đánh giá hệ thống an tồn thơng tin
1.3.1. Chuẩn an tồn thơng tin
Viện tiêu chuẩn của Anh đã công bố một danh sách gồm 10 điều kiện cần để
kiểm tra việc triển khai các biện pháp an ninh cơ bản của một hệ thống như sau:
1. Chính sách an ninh (Security Policy): Cung cấp các nguyên tắc, chỉ dẫn
khuyến nghị để cải thiện an ninh thông tin.
2. Tổ chức an ninh (Security Organization): Đề cập đến cơ cấu tổ chức quản
lý an ninh thông tin.
3. Phân loại và kiểm tra tài sản (Asset Classification and Control): Thực
hiện việc kiểm kê tài sản thông tin, đánh giá rủi ro để bảo vệ thơng tin một cách có
hiệu quả.
4. An ninh về nhân sự (Personnel Security): Mô tả trách nhiệm của nhân
viên, vai trò của các cá nhân trong an ninh thơng tin, nhằm giảm thiểu các sai sót do
lỗi của con người, do ăn cắp hoặc lạm dụng tài sản công.
5. An ninh về môi trường và mức vật lý (Physical and Environmental
Security): Định nghĩa, xác định mức độ an tồn về mơi trường, vị trí lắp đặt hệ thống
giám sát, phòng chống cháy nổ, giảm thiểu thiên tai cho các thiết bị và tài sản thông
tin.
17
6. Quản lý tác nghiệp và thông tin liên lạc (Communications and
Operations Management): Xác định và quản trị các quá trình thơng tin, tạo điều kiện
cho hệ thống quản lý an ninh thơng tin hoạt động có hiệu quả.
7. Điều khiển truy nhập (Access Control): Các khuyến nghị nhằm đảm bảo
truy nhập thơng tin có kiểm sốt, ghi nhận (logging) quá trình truy nhập vào hệ thống.
8. Phát triển hệ thống và bảo dưỡng (Systems Development and
Maintenance): Đảm bảo các dự án, chương trình CNTT được xây dựng, thiết lập,
triển khai một cách an tồn thơng qua q trình kiểm tra mã nguồn, kiểm sốt dữ liệu
chương trình và sử dụng các giải thuật mã hóa.
9. Quản trị tính liên tục trong kinh doanh (Business Continuity
Management): Các khuyến nghị cho vấn đề phát triển và duy trì họat động kinh
doanh qua các kế hoạch sao lưu dự phịng và khơi phục dữ liệu (backup and disaster
recovery plan)
10. Điều kiện tuân thủ (Compliance): Các vấn đề liên quan đến pháp lý, các
cam kết tuân thủ các quy định của chính phủ, nhà nước..
1.3.2. Các tiêu chuẩn đánh giá an tồn thơng tin
Trước tiên chúng ta tìm hiểu qua một số các tiêu chuẩn đánh giá an tồn thơng
tin thơng dụng đang được áp dụng rộng rãi hiện nay.
1.3.2.1. Quản lý an ninh thông tin (Information Security Management) theo
tiêu chuẩn ISO 27001.
Theo định nghĩa, an ninh thông tin (Information Security) nhằm đảm bảo ba
thuộc tính (triad) được viết tắt từ 3 chữ CIA đó là: Tính bí mật (Confidentiality), Tính
tồn vẹn (Integrity) và Tính sẵn sàng (Availability).
Nhu cầu thiết lập một chính sách an ninh thông tin dựa trên nền tảng một hệ
thống quản lý an ninh thông tin ISMS (Information Security Management System)
chuẩn hóa là vơ cùng cần thiết, tiêu chuẩn ISO 27001 đã được chuẩn bị nhằm cung cấp
một mô hình để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến Hệ
thống quản lý an tồn thơng tin (ISMS). Việc chấp nhận ISMS phải là quyết định
mang tính chiến lược của một tổ chức. Việc thiết kế và thực hiện ISMS của tổ chức
chịu ảnh hưởng bởi các cần thiết và các mục tiêu, các u cầu an tồn, các q trình
18
tuyển dụng, qui mô và cấu trúc của tổ chức. Các yếu tố này cùng với các hệ thống hỗ
trợ của chúng có thể xảy ra thay đổi theo thời gian. Do đó việc thực hiện ISMS sẽ
được tuỳ biến phù hợp với nhu cầu của tổ chức. Ví dụ, một tình huống đơn giản yêu
cầu một giải pháp ISMS đơn giản.
Tiêu chuẩn này sử dụng cách tiếp cận theo quá trình để thiết lập, thực hiện, vận
hành, theo dõi, xem xét, duy trì và cải tiến ISMS của một tổ chức.
Tổ chức cần nhận biết và quản lý nhiều hoạt động nhằm thực hiện chức năng
một cách hiệu quả. Bất kỳ hoạt động nào sử dụng các nguồn lực và được quản lý nhằm
biến các đầu vào thành các đầu ra được coi như một q trình. Thơng thường các đầu
ra của một quá trình hình thành đầu vào trực tiếp cho quá trình tiếp theo.
Việc áp dụng một hệ thống các quá trình của một tổ chức, đồng thời với việc
nhận biết và tương tác giữa các quá trình đó, và việc quản lý chúng được xem như một
cách tiếp cận theo quá trình.
Tiếp cận theo quá trình của việc quản lý an tồn và an tồn thơng tin thể hiện
trong tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh tầm quan trọng
của việc:
a) Thấu hiểu được nhu cầu và các yêu cầu về quản lý an tồn thơng tin của tổ chức
và sự cần thiết thiết lập chính sách và các mục tiêu an tồn thơng tin;
b) Các kiểm sốt thực hiện và vận hành để quản lý các rủi ro an tồn thơng tin của
tổ chức trong bối cảnh toàn bộ các rủi ro kinh doanh của tổ chức;
c) Theo dõi và xem xét tính thực hiện và hiệu lực của ISMS
d) Cải tiến liên tục trên cơ sở đo lường mục tiêu.
Tiêu chuẩn này tn theo mơ hình "Plan-Do-Check-Act" (PDCA), mơ hình này
được áp dụng cho cấu trúc của mọi quá trình ISMS. Hình 1.1 thể hiện cách tiếp nhận
u cầu an tồn thông tin, và mong đợi của các bên liên quan và thơng qua các hành
động, q trình cần thiết nhằm tạo ra các kết quả an tồn thơng tin đáp ứng các u cầu
và mong đợi đó.
VÍ DỤ 1:
Một u cầu có thể là sự vi phạm an tồn và an tồn thơng tin sẽ khơng là
ngun nhân gây thiệt hại nghiêm trọng về tài chính và/hoặc gây nên tình trạng rắc rối
của tổ chức.
VÍ DỤ 2:
Trong trường hợp một sự cố nghiêm trọng xảy ra - ví dụ như hoạt động phá
hoại trang kinh doanh điện tử của tổ chức – cần có những người được đào tạo thoả
đáng về các thủ tục thích hợp nhằm giảm thiểu tác động.
19
Plan (thiết lập ISMS): lập chính sách, mục tiêu, các quá trình và thủ tục của
ISMS phù hợp với việc quản lý rủi ro và cải tiến an toàn an tồn thơng tin nhằm đạt
được kết quả tn theo các chính sách và mục tiêu của tổ chức.
Do (Thực hiện và điều hành ISMS): Thực hiện và vận hành chính sách, các
kiểm sốt, các q trình và thủ tục của ISMS.
Check (Theo dõi và xem xét ISMS): Đánh giá và khi thích hợp, đo lường thực
hiện q trình so với chính sách, mục tiêu và kinh nghiệm triển khai áp dụng ISMS,
báo cáo kết quả để lãnh đạo xem xét.
Act (Duy trì và cải tiến ISMS) Thực hiện các hành động khắc phục phòng
ngừa dựa trên kết quả đánh giá nội bộ ISMS và xem xét của lãnh đạo cũng như các
thông tin liên quan để thực hiện cải tiến liên tục hệ thống ISMS.
Hình 1. 1: Mơ hình PDCA áp dụng cho q trình xử lý ISMS
Tương thích với các hệ thống quản lý khác
Tiêu chuẩn này có mối liên kết với ISO 9001:2000 và ISO 14001:2004 nhằm
hỗ trợ việc thực hiện và vận hành thống nhất và tích hợp với các tiêu chuẩn quản lý
liên quan. Một hệ thống quản lý được thiết kế phù hợp có thể đáp ứng các yêu cầu của
tất cả các tiêu chuẩn.
Tiêu chuẩn này được thiết kế cho phép một tổ chức liên kết hoặc tích hợp ISMS
với các yêu cầu hệ thống quản lý liên quan.
1.3.2.2. Hệ thống tiêu chuẩn chung Common Criteria (CC)
a. Tóm tắt lịch sử phát triển CC
Ta có thể tóm tắt lịch sử hình thành tiêu chuẩn CC như sau:
20
CC là tên viết tắt của cụm từ Tiếng Anh “Common Criteria for Information
Technology Sercurity Evaluation” được hiểu như là “Tiêu chí chung cho đánh giá an
tồn Cơng nghệ thơng tin”. Đây là một hệ thống tài liệu tiêu chuẩn đặc tả và đưa ra
chuẩn chung bao gồm các khái niệm, thuật ngữ, phạm vi, khuôn mẫu, yêu cầu cũng
như quan hệ giữa chúng, phục vụ cho công tác đánh giá sự phù hợp các sản phẩm an
tồn Cơng nghệ thơng tin.
CC được hình thành và phát triển qua một thời kỳ khá dài dựa trên sự công
nhận lẫn nhau về tiêu chuẩn của một số quốc gia phát triển về CNTT. Vào tháng 12
năm 1999, CC chính thức trở thành tiêu chuẩn quốc tế ISO/IEC 15408. CC được chia
làm ba phần riêng biệt nhưng thống nhất với nhau về mặt nội dung.
- CC Phần 1: Giới thiệu chung và mơ hình tổng quan: Đưa ra những định nghĩa
và thuật ngữ làm cơ sở cho những phần sau. Định nghĩa và mô tả một số khái niệm
trọng tâm xuyêt suốt trong cả ba phần CC.
- CC Phần 2: Các yêu cầu chức năng an toàn: Đặc tả một tập các u cầu chức
năng an tồn làm khn mẫu xây dựng các tài liệu khác như Hồ sơ bảo vệ (PP), Chỉ
tiêu an tồn (ST),…Có thể xem đây như là một bộ “từ điển” chứa các yêu cầu chức
năng an toàn được phân lớp về nhiều lĩnh vực. Dựa vào bộ “từ điển” này, tác giả
PP/ST có thể lựa chọn để “nhặt” ra các yêu cầu chức năng an toàn phù hợp hoặc phối
hợp giữa chúng để tạo nên PP/ST của họ.
- CC Phần 3: Các yêu cầu đảm bảo an toàn: Phần này đặc tả một tập các yêu
cầu đảm bảo an toàn giúp xây dựng các tài liệu cũng như hướng dẫn cho cơng tác đánh
giá. Ngồi việc cung cấp các u cầu đảm bảo an tồn thì ở cuối Phần 3 đưa ra các tập
hợp yêu cầu đảm bảo được tổ chức theo một cách đặc biệt gọi là các Mức đảm bảo
đánh giá (EAL – Evaluation Assurance Level). CC mô tả tất cả 7 mức đảm bảo đánh
giá mà sản phẩm sau khi đánh giá có thể đạt được.
Lịch sử hình thành tiêu chuẩn CC được mơ ta qua sơ đồ sau:
Hình 1. 2: Sơ đồ lịch sử phát triển của CC
21
Việc ra đời của máy tính điện tử đã đưa đến sự ứng dụng nó ở khắp mọi nơi.
Tuy nhiên, khi nó được đưa vào sử dụng ở các cơ quan trọng yếu thì người ta đã đặt ra
vấn đề là mức độ tin tưởng của các máy tính này ở mức độ nào? Hoa Kỳ là một trong
những quốc gia đặt ra vấn đề cần phải đánh giá độ an tồn của hệ thống máy tính đầu
tiên. Từ năm 1983, Bộ Quốc phòng Hoa Kỳ (DoD) đã soạn thảo Tiêu chí kiểm định
cho hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation
Criteria) hay vẫn được gọi với các tên thân thiện hơn là “Sách Da cam”. Tiêu chí này
được xây dựng nhằm đưa ra các yêu cầu để bảo đảm về phần cứng, phần mềm và các
đảm bảo đặc biệt khác của hệ thống máy tính cũng như đưa ra phương pháp luận
tương ứng để phân tích mức độ hỗ trợ của chính sách an tồn trong các hệ thống máy
tính dùng cho Bộ Quốc phòng Hoa Kỳ.
Sau khi “Sách Da cam” được ban hành thì các nước Châu Âu đã soạn
thảo Tiêu chí kiểm định An tồn Cơng nghệ thơng tin (ITSEC - Information
Technology Security Evaluation Criteria). Tiêu chí này được bốn nước Anh, Pháp,
Đức và Hà Lan xây dựng vào tháng 6 năm 1991. Mức độ an toàn của một hệ thống
đánh giá theo tiêu chí này được chia làm 3 mức: cơ sở, trung bình và cao. An tồn cơ
sở nếu phương tiện bảo vệ có khả năng chống lại các tấn cơng ngẫu nhiên đơn lẻ. An
tồn trung bình nếu các phương tiện bảo vệ có khả năng chống lại các tội phạm có tài
nguyên và khả năng hạn chế. An toàn ở mức cao nếu các phương tiện bảo vệ có khả
năng vượt trội hơn các tội phạm có trình độ nghiệp vụ cao.
TCSEC của Hoa Kỳ và ITSEC của Châu Âu có ảnh hưởng thực sự tới các tiêu
chuẩn về an toàn và các phương pháp đánh giá an toàn cho các sản phẩm BM&ATTT
sau này. ITSEC được xây dựng trên cơ sở TCSEC nên nó khơng phải là tài liệu độc
lập mà có sự liên quan mật thiết với “Sách Da cam”.
Năm 1992, Ủy ban Kỹ thuật Quốc gia Nga, trực thuộc Phủ tổng thống Liên
bang Nga đã ban hành các tài liệu hướng dẫn về các vấn đề bảo vệ chống lại các truy
cập trái phép thông tin. Nội dung của tài liệu đề xuất hai nhóm tiêu chí an tồn: Các
chỉ số về mức bảo vệ an tồn cho các phương tiện kỹ thuật tính tốn chống lại các truy
cập trái phép và Các tiêu chí bảo vệ các hệ thống tự động hóa xử lý dữ liệu. Nhóm thứ
nhất cho phép đánh giá mức độ bảo vệ do người dùng đặt ra một cách đơn lẻ và nhóm
thứ hai tính đến các hệ thống đầy đủ các chức năng xử lý dữ liệu. Việc xây dựng các
tài liệu hướng dẫn của Ủy ban Kỹ thuật Quốc gia Nga bước đầu đã tạo ra các tiêu
chuẩn nội địa trong lĩnh vực an tồn thơng tin cho Liên bang Nga. Tài liệu này cũng
chịu ảnh hưởng của “Sách Da cam”. Nhược điểm của các tài liệu tiêu chuẩn này là
khơng có các u cầu về chống hiểm họa đối với khả năng làm việc, khơng có sự định
hướng chống xâm nhập trái phép và khơng có các yêu cầu về mức bảo đảm thực thi
chính sách an toàn. Tuy nhiên, tài liệu này cũng đã lấp được chỗ trống về mặt luật
pháp trong lĩnh vực tiêu chuẩn cho an tồn thơng tin ở Liên bang Nga vào giai đoạn
đó.
22
Dựa vào rất nhiều nghiên cứu về lĩnh vực an tồn thơng tin trong những năm 80
và đầu những năm 90 cũng như dựa vào kinh nghiệm áp dụng “Sách Da cam”, Hoa Kỳ
đã ban hành bộ Tiêu chuẩn xử lý thông tin Liên bang (FIPS – Federal Information
Proccessing Standard) trong đó có Tiêu chi Liên bang về an tồn công nghệ thông
tin (FCITS – Federal Criteria for Information Technology Security). Đối tượng cơ bản
sử dụng tiêu chí này là các sản phẩm CNTT và các hệ thống xử lý thông tin. Một khái
niệm mới và quan trọng đã được dùng là “Hồ sơ bảo vệ” (Protection Profiles). Hồ sơ
bảo vệ là một dạng tài liệu chuẩn quy định tất cả các mặt an toàn của một sản phẩm
CNTT dưới dạng các yêu cầu về thiết kế, công nghệ thiết kế và phận tích đánh giá.
Thơng thường một Hồ sơ bảo vệ mô tả một vài sản phẩm CNTT gần giống nhau về
cấu trúc và cơng dụng. Tiêu chí này đánh dấu sự xuất hiện của một thế hệ mới các tài
liệu hướng dẫn trong lĩnh vực an tồn thơng tin.
Tháng giêng, năm 1982, Canada đã cho ban hành Tiêu chí Canada cho việc
đánh giá độ tin cậy của hệ thống máy tính (CTCPEC - Canadian Trusted Computer
Product Evaluation Criteria). Tiêu chí này đề xuất một thang đo chung để đánh giá tính
an tồn của các hệ thống máy tính, cho phép so sánh các hệ thống xử lý thông tin mật
về mức độ đảm bảo an toàn. Tạo cơ sở cho việc sử dụng an toàn các hệ thống máy tính
nhằm hướng dẫn cách xác định các thành phần chức năng của phương tiện bảo vệ khi
thiết kế các hệ thống. Tiêu chí cũng đề xuất cách tiếp cận thống nhất các phương tiện
chuẩn để mô tả các đặc tính của hệ thống máy tính.
Từ tháng 6 năm 1993, với mục đích khắc phục những khác biệt về quan niệm
và kỹ thuật của các tiêu chí đánh giá mức độ an toàn cho các sản phẩm CNTT, nhằm
tạo ra một tiêu chuẩn quốc tế, một dự án xây dựng tiêu chí chung để đánh giá độ an
tồn của các sản phẩm CNTT đã được thành lập. Tiêu chí chung để đánh giá các sản
phẩm an toàn CNTT (Common Criteria for Information Technology Security
Evaluation) thường được gọi tắt là “Tiêu chí chung” (CC) đã ra đời dựa trên các tiêu
chí trước đó của Hoa Kỳ, Canada và Châu Âu. CC đã chính thức trở thành tiêu chuẩn
quốc tế ISO/IEC 15408:1999 vào năm 1999. Qua quá trình phát triển, rất nhiều phiên
bản của CC đã ra đời để khắc phục dần những điểm khơng thích hợp trong cơng tác
đánh giá cũng như tương thích với tình hình phát triển của cơng nghệ thông tin. Hiện
tại, CC phiên bản 3.1 được coi là phiên bản dùng để đánh giá chính thức các sản phẩm
an toàn CNTT.
b. Các phiên bản của CC
Năm 1996 phiên bản 1.0 CC đầu tiên ra đời, còn dự án đã có trước đó.
08/1999 phiên bản CC 2.1 xuất bản
01/2004 phiên bản CC 2.2 xuất bản
08/2004 phiên bản CC 2.3 xuất bản
23
03/2005 phiên bản CC 3.0 xuất bản
12/2006 phiên bản CC 3.1 xuất bản
Như vậy, chỉ trong vòng 10 năm phát triển CC đã đưa ra rất nhiều phiên bản
của mình, thể hiện được sự phát triển nhanh chóng của ngành đánh giá. Hiện nay,
phiên bản mới nhất là CC 3.1, nhưng chưa được sử dụng rộng rãi, chúng ta thường
dùng phiên bản 2.3 vì thói quen cũng như độ chín muồi của nó. Nhưng các tổ chức
chuẩn chung đang hướng chúng ta dùng CC 3.1 với nhiều lần chỉnh sửa và bổ sung.
Hiện nay có rất nhiều tài liệu hướng dẫn cách sử dụng CC từ phiên bản 2.3 lên 3.1.
1.3.2.3. Phương pháp luận cho đánh giá an toàn (CEM)
a. Tổng quát về CEM
CEM viết tắt của cụm từ tiếng anh (Common Methodology for Information
Security Evaluation) là tài liệu bao gồm hệ thống các nguyên tắc, các thủ tục, các tiến
trình cơ bản để có thể tiến hành đánh giá một SPATCNTT. CEM là tài liệu hướng dẫn
Tiêu chuẩn chung CC đánh giá sự phù hợp về an tồn mà chỉ dùng Tiêu chí và các
chứng cứ để đánh giá. CEM giúp giảm hành vi đánh giá thừa, giảm chi phí đánh giá,
cho ra kết quả đánh giá duy nhất khi đánh giá độc lập một sản phẩm ở những nơi khác
nhau.
Phiên bản đầu tiên của CEM ra đời năm 1999 phiên bản CEM 1.0, tiếp đến
CEM 2.2 năm 2004 và CEM 2.3 tháng 8/2005. Hiện nay đã có CEM 3. 1.
CEM 2.3 được viết phục vụ nhằm vào việc hướng dẫn đánh giá Tiêu chí chung
CC 2.3. Nó được viết bởi Ban Quản Lý Thi Hành Tiêu chí Chung viết tắt CEMEB.
Hiện nay nó mới được viết để hướng dẫn đánh giá EAL1 đến EAL4, các mức cao hơn
đang được CEMEB tiến hành viết. Nếu đánh giá qua mức cao thì nó đã qua ở mức
thấp hơn. CEM ln thoả mãn bốn tính chất lớn: Tính vơ tư, Tính khách quan, Tính
lặp lại tái tạo, Tính mạnh của những kết quả.
b. Các phép toán trên thành phần
Các thành phần đảm bảo và chức năng của CEM có thể được dùng chính xác
như đã định nghĩa trong CC hoặc có thể được dùng qua các phép tốn mở rộng của
CEM để thỏa mãn một mục tiêu an toàn. Các phép tốn đó là:
Iteration: Phép lặp cho phép một thành phần được sử dụng nhiều hơn một lần
với các phép toán khác nhau.
Assignment: Phép gán cho phép đặc tả các tham số.
Selection: Phép lựa chọn cho phép đặc tả một hoặc nhiều mục từ một danh
sách.
Renewal: Phép cải tiến cho phép thêm các chi tiết.
