Tổng quan về an toàn thông tin

An toàn thông tin (ATTT) là việc "bảo vệ thông tin, hệ thống thông tin chống lại việc truy cập, sử dụng bất hợp pháp, tiết lộ, cản trở, sửa đổi, phá hoại nhằm đảm bảo: tính toàn vẹn, tính bí mật, tính sẵn sàng của thông tin".

Các khái niệm cơ bản

Không gian mạng (Cyber space): Là môi trường hình thành bởi các thành phần vật lý và phi vật lý, sử dụng máy tính và phổ điện từ để lưu trữ, sửa đổi và trao đổi dữ liệu thông qua mạng máy tính. Không gian mạng bao gồm:

• Tài nguyên vật lý (hạ tầng kỹ thuật, thiết bị)

• Hệ thống máy tính và phần mềm

• Mạng lưới kết nối

• Thiết bị truy nhập và đầu cuối người dùng

• Dữ liệu và các ứng dụng

Dữ liệu và thông tin:

• Dữ liệu (data) là các giá trị vật lý, ký tự, ký hiệu, âm thanh, hình ảnh được biểu thị dưới dạng thuận tiện cho việc truyền tải.

• Thông tin (Information) là dữ liệu đã được tổ chức, xử lý, biểu diễn thành dạng có nghĩa theo ngữ cảnh cụ thể.

An toàn thông tin: Bao gồm ba thành phần chính:

1. An toàn máy tính và dữ liệu (đảm bảo an toàn cho phần cứng, phần mềm và dữ liệu)

2. An ninh mạng (đảm bảo an toàn cho hệ thống mạng và thông tin truyền tải)

3. Quản lý an toàn thông tin (các biện pháp kỹ thuật và phi kỹ thuật để bảo vệ thông tin)

Chính sách ATTT: Là các nội quy, quy định của tổ chức nhằm đảm bảo các biện pháp ATTT được thực thi và tuân thủ, gồm ba thành phần:

• Chính sách an toàn ở mức vật lý

• Chính sách an toàn ở mức tổ chức

• Chính sách an toàn ở mức logic

Những nguy cơ mất an toàn thông tin

Nguy cơ mất ATTT là hành vi có thể xảy ra đối với tài sản thông tin, gây tổn thất hoặc làm hư hại. Các nhóm nguy cơ chính:

1. Lỗi người dùng hoặc hệ thống: Sự cố kỹ thuật, lỗi khai thác do vô tình hoặc cố ý

2. Vi phạm sở hữu trí tuệ: Gián điệp, bẻ khóa bản quyền số

3. Phần mềm độc hại: Virus, mã độc, sâu, tấn công từ chối dịch vụ

4. Phá hoại: Phá hủy hệ thống hoặc xóa thông tin

Quản lý an toàn thông tin

Khái niệm và nội dung cơ bản

Quản lý ATTT gồm các biện pháp kỹ thuật và phi kỹ thuật để bảo vệ thông tin và hệ thống thông tin, với các nội dung cơ bản:

1. Chính sách, chiến lược, kế hoạch triển khai ATTT
   
   

   • Xu thế phát triển ATTT

   • Phát triển công nghệ trong ATTT

   • Quy định pháp luật và chính sách ATTT

2. Triển khai các biện pháp bảo đảm ATTT
   
   

   • Phát hiện và phân loại các hành vi tấn công mạng

   • Phân loại tài sản thông tin

   • Các biện pháp đảm bảo ATTT cho dữ liệu, hệ thống, mạng

   • Theo dõi, giám sát hoạt động bảo đảm ATTT

3. Hợp chuẩn ATTT
   
   

   • Các yêu cầu về chuẩn hóa

   • Các tiêu chuẩn ATTT bắt buộc

   • Kiểm tra, đánh giá, hợp chuẩn ATTT

4. Phát triển và vận hành hệ thống quản lý ATTT
   
   

   • Phân tích, đánh giá rủi ro ATTT

   • Quản lý và xử lý rủi ro

   • Quản lý và phản ứng, xử lý sự cố ATTT

   • Phương án dự phòng và duy trì hoạt động liên tục

Quy trình quản lý ATTT theo mô hình PDCA

Tiêu chuẩn ISO/IEC 27001 áp dụng mô hình PDCA (Plan-Do-Check-Act) để triển khai hệ thống quản lý ATTT (ISMS):

P (Lập kế hoạch): Thiết lập ISMS - xây dựng chính sách, mục tiêu, quy trình quản lý rủi ro và nâng cao ATTT.

D (Thực hiện): Triển khai và điều hành ISMS - áp dụng các chính sách, biện pháp quản lý, quy trình đã đề ra.

C (Kiểm tra): Giám sát và soát xét ISMS - đánh giá hiệu quả thực hiện dựa trên mục tiêu đã đặt ra.

A (Hành động): Duy trì và cải tiến ISMS - thực hiện các biện pháp khắc phục, phòng ngừa để liên tục hoàn thiện hệ thống.

Hệ thống quản lý ATTT nhận các yêu cầu và kỳ vọng về ATTT từ các bên liên quan, sau đó tiến hành các quy trình và hành động cần thiết để đáp ứng các yêu cầu an toàn thông tin đã đặt ra.

Phân loại các hành vi tấn công mạng

1. Các hành vi xâm phạm tính bí mật, tính toàn vẹn

Nhóm này liên quan trực tiếp đến ba thuộc tính cơ bản của thông tin và hệ thống thông tin:

• Truy nhập bất hợp pháp

• Đánh cắp dữ liệu

• Nghe lén thông tin

• Làm sai lệch dữ liệu

• Làm sai lệch hoạt động của hệ thống thông tin

2. Các hành vi lạm dụng máy tính và Internet

Nhóm này bao gồm:

• Lừa đảo tài chính trên mạng (yêu cầu đặt cọc cho hàng hóa không có thật, nhận tiền không giao hàng)

• Giả mạo trên mạng (tạo tài liệu giả, sửa đổi ảnh số, tạo website giả để bẫy người dùng)

• Đánh cắp định danh (thông tin cá nhân, số căn cước, tài khoản ngân hàng)

• Lạm dụng thiết bị, công cụ phần mềm đặc biệt để tấn công

• Lừa gạt trên mạng (dùng email, tin nhắn, website giả để dụ dỗ người dùng tiết lộ thông tin)

• Chuyển tiền bất hợp pháp trên mạng

3. Các hành vi liên quan đến nội dung thông tin

Nhóm này bao gồm:

• Quảng cáo, buôn bán trái phép các sản phẩm

• Phát tán thông tin độc hại, phản cảm

• Kích động bạo lực, phân biệt chủng tộc, xúc phạm tôn giáo

• Phát tán thông tin thất thiệt, thiếu chính xác

• Phát tán thư điện tử rác, tin nhắn rác

• Xúi giục các hành vi phạm tội, cung cấp thông tin hướng dẫn tấn công mạng

4. Các hành vi xâm phạm bản quyền số, sở hữu trí tuệ và nhãn hiệu

Đây là vấn đề thách thức lớn khi thương mại điện tử phát triển, bao gồm:

• Xâm phạm bản quyền số và sở hữu trí tuệ:

  • Phát tán các sản phẩm số, tệp tin, phần mềm lên mạng trái phép

  • Phá hủy khóa bảo vệ bản quyền số

• Xâm phạm nhãn hiệu:

  • Giả mạo nhãn hiệu để đánh lạc hướng điều tra

  • Giả mạo nhãn hiệu để tiêu thụ hàng giả

  • Giả mạo thương hiệu của tổ chức uy tín để lừa gạt người tiêu dùng

  • Sử dụng nhãn hiệu trùng hoặc tương tự gây nhầm lẫn

  • Chiếm đoạt thương hiệu gắn với tên miền

Việc phân loại các hành vi tấn công mạng giúp các doanh nghiệp thương mại điện tử nhận diện rủi ro để có biện pháp phòng ngừa, ứng phó kịp thời, bảo vệ thông tin và hệ thống của mình cũng như bảo vệ khách hàng.

Nguyên tắc bảo vệ thông tin

Bảo vệ thông tin là đảm bảo ba thuộc tính cơ bản của thông tin:

1. Tính bí mật: Hạn chế quyền truy nhập và công bố thông tin, bảo vệ quyền thông tin cá nhân và quyền sở hữu thông tin.
   
   

2. Tính toàn vẹn: Bảo vệ thông tin khỏi sự sửa đổi hoặc phá hủy không hợp lệ, đảm bảo chống chối bỏ và tính xác thực.
   
   

3. Tính sẵn sàng: Đảm bảo thông tin được truy nhập và sử dụng kịp thời, tin cậy.
   
   

Phân loại cấp độ thông tin và biện pháp an ninh

Theo tiêu chuẩn FIPS Publication 1999, thông tin được phân loại dựa trên ba thuộc tính cơ bản (bí mật, toàn vẹn, sẵn sàng) và ba mức độ ảnh hưởng (thấp, trung bình, cao), tạo ra 27 cấp độ an toàn thông tin:

SC (Security categorization) = {(Tính bí mật, tác động), (Tính toàn vẹn, tác động), (Tính sẵn sàng, tác động)}

Quy trình phân loại thông tin thực hiện qua bốn bước:

1. Xác định loại thông tin và lĩnh vực dịch vụ

2. Lựa chọn mức độ ảnh hưởng cho mỗi thuộc tính

3. Rà soát mức độ ảnh hưởng dựa trên điều kiện tổ chức và môi trường

4. Phân loại cấp độ ATTT và gán cho mỗi loại thông tin

Tại Việt Nam, Luật An toàn thông tin mạng phân chia hệ thống thông tin thành 5 cấp độ tương ứng với mức độ tổn hại khi bị phá hủy (từ cấp 1 đến cấp 5, với mức độ ảnh hưởng tăng dần từ quyền lợi cá nhân đến an ninh quốc gia).

Bảo vệ quyền riêng tư và thông tin cá nhân

Thông tin cá nhân là bất kỳ thông tin nào có thể dùng để liên hệ hoặc phân biệt một cá nhân, như tên, số định danh, dữ liệu vị trí, mã định danh trực tuyến hoặc các yếu tố nhận dạng khác.

Việc bảo vệ quyền riêng tư được đảm bảo thông qua các nguyên tắc cơ bản:

• Công bằng và minh bạch

• Giới hạn mục đích thu thập

• Tính tương xứng của thông tin

• Tính toàn vẹn của thông tin

• Lưu trữ thông tin hợp lý

• Bảo mật thông tin

• Tôn trọng quyền cá nhân

• Trách nhiệm giải trình

Tại Việt Nam, Luật An toàn thông tin mạng quy định nguyên tắc bảo vệ thông tin cá nhân, trong đó cá nhân tự bảo vệ thông tin của mình, tổ chức xử lý thông tin có trách nhiệm đảm bảo an toàn và công khai biện pháp bảo vệ.

Mã hóa đảm bảo ATTT

Mã hóa là phương pháp chuyển đổi thông tin từ dạng có thể đọc thành dạng không thể hiểu được, chỉ người có khóa giải mã mới có thể đọc được. Các kỹ thuật mã hóa phổ biến:

1. Mã hóa đối xứng: Sử dụng một khóa bí mật chia sẻ cho cả quá trình mã hóa và giải mã.
   
   

2. Mã hóa bất đối xứng: Sử dụng cặp khóa công khai và khóa bí mật, như thuật toán RSA.
   
   

3. Mã hóa trên điện toán đám mây: Sử dụng các mô hình bảo vệ dữ liệu đa lớp, bảo mật dựa trên Encryption Proxy, hoặc bảo vệ dữ liệu qua VPN cloud.
   
   

4. Mã hóa cho thiết bị di động: Sử dụng mật khẩu, vân tay, giọng nói hoặc sinh trắc học khác.
   
   

5. Mã hóa cho Internet vạn vật (IoT): Sử dụng công nghệ blockchain để bảo mật các thiết bị kết nối.
   
   

Đảm bảo an toàn hệ thống thông tin TMĐT

Hệ thống thông tin TMĐT bao gồm phần cứng, phần mềm, cơ sở dữ liệu, thủ tục và con người. Để đảm bảo an toàn, cần áp dụng:

Biện pháp quản lý:

• Ban hành chính sách, quy định trong thiết kế, xây dựng và vận hành hệ thống

• Quy định bảo vệ và kiểm soát vật lý

• Ban hành quy trình, thủ tục xử lý công việc

• Nâng cao nhận thức người dùng và đào tạo nhân viên

Biện pháp kỹ thuật:

• Áp dụng tiêu chuẩn kỹ thuật ATTT

• Kiểm soát đăng nhập và xác thực người dùng

• Áp dụng công cụ bảo vệ thiết bị và môi trường vật lý

• Triển khai quy trình kỹ thuật (cấu hình, sao lưu, hủy dữ liệu an toàn)

• Giám sát hệ thống, phát hiện và xử lý sự cố

Các biện pháp này giúp doanh nghiệp thương mại điện tử xây dựng hệ thống an toàn, bảo vệ dữ liệu khách hàng và duy trì hoạt động kinh doanh ổn định trong môi trường số.

Tổng quan

Hợp chuẩn là phần quan trọng trong quản lý an toàn thông tin (ATTT), nhằm chuẩn hóa các biện pháp và quy trình bảo đảm ATTT. Việc thiết kế, cài đặt và vận hành các thành phần CNTT cần tuân thủ các tiêu chuẩn ATTT quốc gia và quốc tế.

Các sản phẩm và ứng dụng CNTT thường tồn tại lỗ hổng bảo mật và điểm yếu, nên cần đánh giá mức độ tin cậy và sự phù hợp của các biện pháp đảm bảo ATTT đã áp dụng. Để thực hiện đánh giá, cần có hệ thống tiêu chuẩn ATTT làm cơ sở.

Tiêu chuẩn ATTT điển hình

Tiêu chuẩn quốc tế

Bộ tiêu chuẩn ISO/IEC 27000 cung cấp mô hình cho việc thiết lập và vận hành hệ thống quản lý ATTT (ISMS). Triển khai ISMS theo các nguyên tắc của bộ tiêu chuẩn này được xem là biện pháp phòng ngừa sự cố ATTT hiệu quả. ISMS là một phần của hệ thống quản lý trong tổ chức, giúp thiết lập, áp dụng, thực hiện, theo dõi, soát xét và cải tiến việc đảm bảo ATTT.

Bộ tiêu chuẩn ISMS gồm các nội dung chính:

• Tiêu chuẩn mô tả tổng quan và từ vựng: ISO/IEC 27000

• Tiêu chuẩn xác định yêu cầu: ISO/IEC 27001, ISO/IEC 27006

• Tiêu chuẩn hướng dẫn chung: ISO/IEC 27002 đến ISO/IEC 27008

• Tiêu chuẩn hướng dẫn các ngành cụ thể: ISO/IEC 27010, 27011, 27015 và ISO 27799

Tiêu chuẩn ATTT của Việt Nam

Trước năm 2005, ATTT chưa được quan tâm nhiều tại Việt Nam. Từ năm 2007, với Nghị định số 64-2007/NĐ-CP, nhiều tiêu chuẩn quốc gia về ATTT được ban hành, hầu hết được dịch từ bản gốc ISO/IEC. Các tiêu chuẩn ATTT của Việt Nam được chia thành hai nhóm:

1. Nhóm tiêu chuẩn cho hệ thống thông tin: Gồm 16 tiêu chuẩn như TCVN ISO/IEC 27001:2009, TCVN ISO/IEC 27002:2011, TCVN 10295:2014, và các tiêu chuẩn khác liên quan đến quản lý ATTT, an toàn mạng, quản lý rủi ro và chống chối bỏ.
   
   

2. Nhóm tiêu chuẩn cho sản phẩm ATTT: Gồm 3 tiêu chuẩn TCVN 8709 về các tiêu chí đánh giá an toàn CNTT.
   
   

Đánh giá, kiểm định ATTT

Đánh giá ATTT là việc đo lường mức độ đảm bảo ATTT cho các hệ thống, sản phẩm và ứng dụng CNTT. Đánh giá có thể là định tính (kiểm tra sự thỏa mãn các yêu cầu) hoặc định lượng (xác định mức độ thỏa mãn qua các giá trị cụ thể).

Kiểm định ATTT là quá trình xác nhận hợp chuẩn thông qua đánh giá ATTT, xác định mức độ tin cậy của các biện pháp đã áp dụng.

Những yêu cầu đối với đánh giá ATTT bao gồm:

• Xác định yêu cầu ATTT đặc trưng cho sản phẩm/hệ thống

• Xác định nội dung, công cụ và phương pháp đánh giá

• Sắp xếp kết quả đánh giá vào các tiêu chí chung

Tình hình ATTT ở Việt Nam

Năm 2019, Bộ TT&TT lần đầu tiên công bố Xếp hạng ATTT mạng của các cơ quan, tổ chức nhà nước năm 2018. Kết quả đánh giá xếp hạng được chia làm 5 mức, từ mức A (tốt) đến mức E (chưa quan tâm).

Một số nhận định về tình hình triển khai ATTT ở Việt Nam:

• Các cơ quan xếp hạng cao đều có đơn vị chuyên trách về ATTT

• Hầu hết các cơ quan chưa có doanh nghiệp giám sát, bảo vệ chuyên nghiệp

• Chỉ có 35,7% cơ quan có quy trình ứng phó sự cố

• 56,2% cơ quan không chi kinh phí cho ATTT

• 30% cơ quan cho rằng lãnh đạo chưa quan tâm đến ATTT

Trong báo cáo xếp hạng an toàn, an ninh mạng toàn cầu GCI 2018 của ITU, Việt Nam xếp thứ 50/175 quốc gia, tăng 61 hạng so với năm 2017, xếp thứ 11 trong khu vực châu Á Thái Bình Dương và thứ 5 trong khu vực Đông Nam Á.

Việc tuân thủ các tiêu chuẩn ATTT và thực hiện đánh giá, kiểm định thường xuyên là yếu tố quan trọng giúp các tổ chức, doanh nghiệp thương mại điện tử nhận diện và khắc phục kịp thời các điểm yếu trong hệ thống, từ đó nâng cao hiệu quả bảo vệ thông tin trong môi trường số.