2010/09/12

An ninh điện tử | Lượng giá về mối đe dọa và chu trình bảo mật

Lượng giá về mối đe dọa và chu trình bảo mật

Tóm Tắt

a.    Hãy liệt kê những mối đe dọa có thể ảnh hưởng tới an toàn thông tin.

b.    Hãy dự phóng trước những mối đe dọa đến an toàn thông tin và dự phòng sẵn những biện pháp cần thiết nhằm ngăn ngừa.

c.    Hãy đối phó thật nhạy bén với những sự cố bất ngờ và điều tra cặn kẽ những nguyên do.

d.    Khi đối phó với những sự cố liên quan đến an toàn thông tin, hãy nghĩ đến điều tệ nhất có thể xảy ra và lấy ngay những biện pháp thích hợp.

e.    Hãy có một cái nhìn toàn diện từ mọi góc độ về an ninh thông tin. Loại bỏ đi những điểm yếu kém nhất trong sách lược của bạn. Đừng vì sự thiếu thận trọng của mình mà gieo tổn hại đến cho những người đồng nghiệp hoặc những người liên lạc với bạn.

f.    Hãy trình bày những khám phá của bạn trên một sơ đồ. Điều này sẽ giúp cho bạn và những đồng nghiệp nắm bắt cục diện một cách nhanh chóng hơn. 

g.    Và hãy tập trung công sức vào những điểm yếu nhất trong sách lược an toàn thông tin mà bạn đã vạch ra.    
Để chọn lựa những biện pháp an ninh cần thiết, bạn nên nắm bắt rõ ràng những mối đe đọa bạn phải đương đầu. Việc này bao hàm những mối đe đọa đến sự an toàn của cá nhân bạn và các nhân viên, đến uy tín của bạn và của tổ chức, đến những thông tin do bạn truyền tải, và đến sự ổn định về mặt tài chánh của bạn và tổ chức của bạn. Tất cả những yếu tố trên đều có thể bị tổn hại bằng một hình thức này hay một hình thức khác qua sự thiếu an ninh điện tử. Vì mỗi người đều có một hoàn cảnh khác nhau, tác giả chỉ có thể nêu ra những thí dụ tổng quát nhằm nêu bật lên khái niệm chung về việc thiết kế một mô hình cho những mối đe đọa.  

Sơ đồ được vẽ từ trên xuống dưới. Ở tầng cao nhất, chúng ta sẽ định hình những gì chúng ta cần bảo vệ. Mối đe dọa ở đây là khả năng gây hại đến nó. Đi xuống một tầng thấp hơn, bạn có thể liệt kê những tình trạng thiếu an ninh có thể xảy ra, đặc biệt khi nó có khả năng đe đọa đến sự an toàn của tầng ở trên. Thí dụ đầu tiên phác thảo mối đe đọa xảy đến khi một ai đó tiếp cận được tài liệu trong máy của bạn.

Ở tầng cao nhất, bạn viết vào ô vuông mối đe đọa mà bạn cần phải phòng tránh. Trong trường hợp này, để tiếp cận tài liệu thì trước hết người đó cần phải vào được máy. Việc này có thể xảy ra qua hành vi trộm cắp máy, tịch thu máy, đột nhập vào máy bằng cách tấn công (hack) hoặc mua chuộc đồng nghiệp của bạn, vân vân.  Bạn có thể lựa chọn mô hình với số tầng mà bạn muốn, tùy theo đánh giá của bạn và điểm nào là cần thiết, điểm nào là hữu ích.


Bây giờ,  chúng ta làm việc từ dưới lên trên, điền vào những khung trống những mối đe đọa kèm theo một số biện pháp để loại trừ hay làm giảm thiểu mối đe đọa đó. Có những mối đe đọa không thể loại bỏ được (điển hình là khi cảnh sát có được giấy phép để xét nhà bạn) tuy nhiên bạn có thể tác động trên đa số các yếu tố trên. Làm việc từ duới lên trên cho đến khi bạn đến được tầng cao nhất.


   
Tại thời điểm này, bạn đã xác định được những hình thức đe dọa  để  chuẩn bị và sẵn sàng, cũng như có đủ khả năng ứng phó. Bạn có thể tạo lập và phát triển những phương pháp an toàn nhất định trong nội bộ tổ chức của bạn để hạn chế tối đa mức độ đe doạ. Bạn có thể nghiên cứu thêm những phương thức mà tài liệu này giới thiệu nhằm tìm  cách bảo vệ cho chính cá nhân bạn khỏi bị đột nhập thông tin (hack), và đồng thời phòng ngừa, hoặc hạn chế những chi phí mà bạn sẽ phải chi ra để khắc phục những thông tin bị đánh cắp.

Bạn còn có thể đánh giá mức độ các đe dọa như trong biểu đồ trên. Ví dụ, để đánh giá mức độ nguy hiểm khi máy điện toán của bạn  đột nhập (tức một kẻ nào đó đã có được khả năng xâm nhập điện tử vào hệ thống máy điện toán của bạn), thì hãy dựa vào biểu đồ dưới đây.

Bạn có thể tự mình tiếp tục mở rộng mô hình trong biểu đồ bằng cách cộng thêm các chi phí hay các hạn chế về thời gian xảy ra trong mỗi ô vuông trong mô hình nhánh này. Mỗi ô ở trên sẽ có giá trị bằng tổng số các ô bên dưới chính nó. Phương pháp này có thể giúp bạn trong việc chuẩn bị một ngân sách giành cho việc phòng chống các đe doạ về an ninh cho máy điện toán của bạn.


Lúc đầu, bạn có thể sẽ gặp nhiều khó khăn để nhận dạng và liệt kê các nguy cơ và đe dọa mà bạn thực sự phải đối phó, đặc biệt trong lãnh vực điện tử. Tuy vậy, kiến thức về lãnh vực này sẽ có được qua việc tự tìm hiểu, cụ thể là trong lãnh vực an ninh điện tử. Mong rằng sau khi tra cứu qua tài liệu này, bạn có thêm kiến thức về một số yếu tố kỹ thuật liên quan đến an ninh mạng. Lời khuyên là bạn cần xem xét lại các công việc của bạn có tính nhậy cảm gì để qua đó đánh giá các mối nguy cơ đe dọa tiềm tàng. Tuy rằng thực hiện việc này có thể được xem như là quyết định một việc gì quan trọng mà thông thường không phải ai cũng dễ dàng làm được, nhưng nếu thực hiện được một cách có bài bản thì sẽ giúp bạn rất nhiều trong việc nhận dạng, liệt kê và xử lý các yếu tố bất an khi vận hành máy điện toán của mình, và đồng thời phòng chống được những sai sót vô tình, nhưng hậu qủa thì có thể nghiêm trọng.

Phòng chống

Không như các mối đe dọa mà chúng ta thường gặp phải trong cuộc sống thật ngoài đời, các mối đe dọa trên thế giới ảo nhiều khi rất khó phân biệt. Vì vậy cũng khó phòng chống. Xu hướng thông thường là chỉ đối phó hay phản ứng một cách thụ động đối với những cuộc tấn công điện tử, chứ ít ai chủ động phòng chống, tuy thế hình thức chủ động phòng chống lại thường hiệu quả hơn nhiều (Vì phòng bệnh hơn chữa bệnh). Chúng ta cần thiết lập hệ thống tường lửa trước khi bị đột nhập,  và cần cài đặt bộ chống virus trước khi bị mất tài tiệu thông tin do bị nhiễm virus. Để đối phó một cách đúng đắn với các cuộc tấn công qua mạng, người ta cần phải cẩn trọng tối đa. Các mô hình hay hình thức tấn công cần được xem xét và giả định ngay từ đầu. Cần xem xét và am hiểu cả những trường hợp xấu nhất ngay từ ban đầu và có các nỗ lực phòng chống trước khi các sự xâm nhập của kẻ lạ chưa thực sự xảy ra. Ngày nay tốc độ cao của máy điện toán và mạng Internet cũng có thể đồng nghĩa với việc các hàng rào bảo mật bị xâm nhập hay phá vỡ chỉ trong những khoảng khắc rất nhỏ. Microsoft cho rằng có tới 70% ngưòi sử dụng Windows không cài đặt các bộ chống virus hay chống phần mềm gián điệp. Nguyên nhân không phải là vấn đề chi phí – có khá nhiều các phần mềm chống virus hay chống phần mềm gián điệp và tường lửa miễn phí – mà vấn đề là do sự chủ quan của người xử dụng máy diện toán. Đừng chờ tới ngày mai để cập nhật hệ điều hành hay đừng chờ tới khi có báo bị virus lây nhiễm rồi mới cập nhật phần mềm chống virus. Đừng chờ tới khi máy điện toán của mình bị nhà cầm quyền tịch thu, hay bị phá hoại rồi mới cho chạy các công cụ hữu ích để xóa hay lưu trữ dữ liệu. Hãy chủ động là tốt hơn cả!

Ứng Phó

Nếu máy điện toán, mật khẩu hay hệ thống tin học của bạn bị xâm nhập, bạn phải giả định trường hợp xấu nhất và thực hiện mọi biện pháp cần thiết. Nếu phát hiện được một virus trong máy, cần ngưng việc kết nối với Internet ngay. Thực hiện việc truy quét virus cho toàn bộ hệ thống máy điện toán của mình và  loại trừ những virus phát hiện được. Chỉ kết nối lại vào mạng Internet khi việc các phần mềm chống virus báo cho biết không còn đưa ra các cảnh báo là máy điện toán của bạn bị virus xâm nhập và việc đầu tiên cần làm làm cập nhật các loại virus mới trong phần mềm chống virus cũng như trong hệ điều hành của Windows, đồng thời tìm hiểu xem những virus mà máy tìm được xem chúng có tác dụng thế nào. Bạn có thể tìm được những thông tin chi tiết về các hậu quả mà những virus này gây ra cho máy cũng như cách loại bỏ chúng một cách triệt để khỏi máy điện toán của mình. Dưới đây là những hướng dẫn trong một số ví dụ cụ thể khi máy điện toán gặp hiện tượng trục trặc và các khuyến cáo nhằm giải quyết.

Chú ý: Các công cụ và phương pháp dưới đây đều có thể được thực hiện bằng cách sử dụng bộ công cụ Digital Security toolkit, có thể được đặt từ Front Line hay tải từ trang: http://security.ngoinabox.org



Mô hình “vòng tròn an ninh” – an ninh toàn diện
   
Mức  độ an ninh của một hệ thống thông tin nhất định thường là mức độ an ninh ở điểm yếu nhất của toàn bộ hệ thống. Tương tự như khi mua một cánh cửa thép dày cho văn phòng của mình mà không biết cánh cửa này có bao nhiêu chìa khóa và các chìa khóa ở đâu thì sẽ chẳng có ý nghĩa gì. Nếu phải dự một phiên tòa để biện hộ cho thân chủ là nạn nhân của sự vi phạm nhân quyền thì ta có thể sẽ không thành công nếu không nắm giữ đầy đủ các chứng liệu chính xác. Bạn cần luôn luôn đánh giá xem xét tổng quan toàn bộ mức độ an ninh mạng của mình và sẵn sàng xác nhận cũng như đối phó với các điểm yếu trong hệ thống. Việc này cũng áp dụng cho an ninh điện tử. Chi phí để mua và cài đặt một bộ tường lửa đắt đỏ không bảo vệ được hệ thống bị phá hoại vật lý hay lấy cắp tài liệu. Triển khai hệ thống thực hiện việc mã hóa thư điện tử sẽ không có ảnh hưởng tới các chiến lược thông tin trong công việc mà bạn làm nếu các thành viên khác không thực hiện sự ngăn ngừa như bạn đã làm. Do vậy chúng ta cần tiếp cận vấn đề an ninh hệ thống trên phương diện cùng thực hiện ở diện tổng quát, tức là trên một vòng tròn toàn diện. Mỗi cấu thành (component) của hệ thống có tác dụng hỗ tương lẫn nhau và những điểm yếu cần phải được giành nhiều công sức và nguồn lực nhất. Hãy cùng xem xét một quy trình xây dựng một văn phòng có hệ thống điện tử có an ninh.

Bạn có thể tưởng tượng nếu một khâu trong các vòng tròn trên bị mất tác dụng thì toàn bộ hệ thống sẽ sụp đổ như thế nào. Tất nhiên thực tế sẽ phức tạp hơn một chút: Hệ thống báo động và két sắt thường phải có những mã số đặc biệt để mở, kích hoạt hay vô hiệu hóa. Bất cứ ai biết những mã số này đều có thể là nguyên nhân làm lộ và gây ra tình trạng mất an ninh một cách giây chuyền cho toàn bộ hệ thống. Yếu tố “nhân viên đáng tin cậy”đôi khi cũng là nguyên nhân gây mất an ninh cho hệ thống.

An ninh ở mức độ thấp tuy thế vẫn còn hơn là không có an ninh. Đừng quá lo lắng với những trường hợp ví dụ về an ninh phức tạp được đưa ra trong chương này. Tuy vậy cần cẩn trọng đặc biệt để có thể đạt hơn mức mà mình nghĩ là đủ trong khi vận hành hệ thống điện toán. Tìm hiểu học hỏi thêm về những công nghệ mà mình sử dụng cũng như các luật lệ liên quan tại nước mà mình đang cư trú. Nên có mật mã, mã số dài hơn là các mã ngắn, nên sử dụng mã hóa hơn là không. Nhưng cũng không nên dựa quá nhiều vào các hình thức an ninh điện tử mà không nhận thức được hết mọi sự phức tạp và khó khăn trước.


No comments:

Post a Comment