3.Mô hình BIBA
Mục tiêu của mô hình BIBA là duy trì tính toàn vẹn của dữ liệu. Nguyên lý của mô hình này là:
No read down – No write up
- No read down: một chủ thể chỉ có thể đọc các dữ liệu có mức độ truy cập cao hơn hoặc bằng với mức độ truy cập của bản thân.
- No write up: một chủ thể chỉ có thể ghi các dữ liệu có mức độ truy cập thấp hơn hoặc bằng với mức độ truy cập của bản thân.
Mô hình này có nguyên lý ngược hẳn với mô hình Bell LaPadula. Các tổ chức, dịch vụ không muốn giữ bí mật thông tin, nhưng lại cần đảm bảo thông in có độ chính xác cao sẽ thích hợp với mô hình BIBA này. VD như các tổ chức tiếp nhận, xác thực, đánh mã và công bố CVE như Mitre, Vulmon, NVD,… Các tổ chức này sẽ tiếp nhận thông tin về các lỗ hổng bảo mật mới được phát hiện bởi các kỹ sư bảo mật, hacker mũ trắng, thợ săn tiền thưởng,… gửi về. Sau đó họ tiến hành xác minh. Cuối cùng sẽ đánh mã CVE cho các lỗ hổng bảo mật và công bố chúng công khai trên trang web của mình.
Các trang web công bố lỗ hổng bảo mật như này hầu như chẳng cần giữ bí mật thông tin gì, ngược lại họ còn muốn càng nhiều người biết đến càng tốt. Với trường hợp như này, chúng ta có thể lí giải hai nguyên tắc trên như sau:
- No read down: chúng ta chỉ có nhu cầu được biết các thông tin ở mức cao hơn, có độ chính xác đáng tin cậy hơn.
- No write up: để tránh việc những người không đủ quyền hạn tiến hành sửa đổi và làm sai lệch dữ liệu.
3.Mô hình Clark Wilson
Cuối cùng là mô hình Clark Wilson, mô hình này cũng nhắm đến việc duy trì tính toàn vẹn của dữ liệu. Trong mô hình này, dữ liệu được chia thành 2 loại:
- Có ràng buộc: chủ thể cần đáp ứng đủ điều kiện mới có thể truy cập.
- Không ràng buộc: mọi chủ thể có thể truy cập mà không cần điều kiện gì.
Ngoài ra, dữ liệu có ràng buộc không thể truy cập một cách trực tiếp, việc này phải thực hiện gián tiếp qua một chương trình/dịch vụ nào đó. Các chương trình/dịch vụ này gồm hai bộ phận:
- Quy trình chuyển đổi (Transformation Process): tiếp nhận yêu cầu truy cập dữ liệu có ràng buộc của chủ thể, chuyển đổi định danh chủ thể và định danh dữ liệu thành các mô tả quyền hạn. Sau đó chuyển thông tin này sang Quy trình xác thực toàn vẹn.
- Quy trình xác thực toàn vẹn (Integration Verification Process): thực hiện xác thực và trao quyền. Nếu quy trình này thực hiện thành công, chủ thể sẽ được chấp nhận truy cập tài liệu thông qua chương trình/dịch vụ xác định.
Qua bài viết này, chắc hẳn các bạn đã hiểu biết thêm về những nền tảng chống đỡ và bảo vệ cho cả hệ thống thông tin. Nội dung trong bài viết này khá gần và có chút liên quan tới bài viết của mình về Kiểm soát truy cập an toàn, các bạn có thể đọc thêm để hiểu sâu hơn nhé.
All rights reserved
Thực hiện Chỉ thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ về việc tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam, Bộ Thông tin và Truyền thông đã có công văn số 1552/BTTTT-CATTT ngày 28/4/2020 hướng dẫn các bộ, ngành, địa phương triển khai bảo đảm an toàn thông tin cho hệ thống thông tin theo mô hình 4 lớp gồm: Lực lượng tại chỗ. Tổ chức hoặc thuê doanh nghiệp giám sát, bảo vệ chuyên nghiệp. Tổ chức hoặc thuê doanh nghiệp độc lập kiểm tra, đánh giá định kỳ. Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.
Theo thống kê của Bộ Thông tin và Truyền thông đến tháng 6/2023, công tác triển khai đảm bảo an toàn thông tin theo mô hình 4 lớp của Bộ, ngành, địa phương trên cả nước hiện còn yếu:
Lớp 1: Nhân sự chuyên trách về an toàn thông tin còn mỏng. Mỗi Bộ, ngành, địa phương trung bình có 2 đến 4 nhân sự chuyên trách an toàn thông tin. Số lượng và trình độ của nhân sự chưa đáp ứng theo chuẩn kỹ năng về an toàn thông tin do Bộ Thông tin và Truyền thông quy định theo Chỉ thị số 18/CT-TTg ngày 13/10/2022 của Thủ tướng Chính phủ.
Lớp 2: Phạm vi giám sát còn hẹp, chỉ có 28,7% hệ thống thông tin được giám sát an toàn thông tin mạng. Quy mô giám sát kỹ thuật ở mức cơ bản, chủ yếu giám sát lớp mạng. Có 36,4% Bộ, ngành và 19% địa phương tự thực hiện giám sát, trong khi năng lực của đội ngũ giám sát, bảo vệ còn thiếu và yếu.
Lớp 3: Phạm vi kiểm tra, đánh giá an toàn thông tin định kỳ chưa thực hiện cho tất cả các hệ thống thông tin thuộc phạm vi quản lý. Chỉ có 35,3% hệ thống thông tin được kiểm tra, đánh giá an toàn thông tin định kỳ. Nội dung kiểm tra, đánh giá chủ yếu tập trung vào đánh giá lỗ hổng, bảo mật, chưa đánh giá mã nguồn ứng dụng.
Lớp 4: Hoạt động kết nối, chia sẻ dữ liệu giám sát với hệ thống giám sát quốc gia tại một số cơ quan, đơn vị còn chưa đầy đủ, dữ liệu chia sẻ chưa nhiều, còn xảy ra hiện tượng mất kết nối. Hiện chỉ có khoảng 28% cơ quan duy trì kết nối thường xuyên, ổn định.
Ngay sau khi có hướng dẫn của Bộ Thông tin và Truyền thông, Bộ Tài chính đã có văn bản số 5870/BTC-THTK ngày 18/5/2020 chỉ đạo các đơn vị thuộc Bộ triển khai bảo đảm an toàn thông tin cho hệ thống thông tin theo mô hình “4 lớp”. Đến nay, Bộ Tài chính đã đáp ứng phần lớn yêu cầu đảm bảo an toàn thông tin theo mô hình 4 lớp.
Theo đó, Bộ Tài chính đã phân công trách nhiệm cho Cục Tin học và Thống kê tài chính đảm nhiệm vai trò đơn vị chuyên trách an toàn an ninh mạng của Bộ Tài chính. Đơn vị chuyên trách công nghệ thông tin trực thuộc Tổng cục đảm nhiệm vai trò đơn vị chuyên trách an toàn an ninh mạng của Tổng cục.
Các đơn vị thuộc Bộ đã thuê dịch vụ giám sát an toàn thông tin an toàn an ninh mạng chuyên nghiệp 24/7 hoặc tự thực hiện giám sát nhằm phát hiện sớm và xử lý kịp thời các hiện tượng bất thường, mã độc, tấn công có chủ đích và các mối đe dọa, tấn công mạng khác trên hệ thống mạng diện rộng, mạng nội bộ, máy chủ, máy trạm, ứng dụng, cơ sở dữ liệu.
Các đơn vị thuộc Bộ đều đã thuê dịch vụ kiểm tra, đánh giá an toàn thông tin mạng định kỳ đối với các hệ thống thông tin thuộc phạm vi quản lý, bao gồm: Đánh giá bảo mật ứng dụng; Đánh giá lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống; Đánh giá phát hiện mã độc; Đánh giá lỗ hổng bảo mật các ứng dụng Mobile App; Đánh giá lổ hổng, điểm yếu liên quan đến chữ ký số.
Bộ Tài chính đã hoàn thành thiết lập kết nối, chia sẻ thông tin giữa hệ thống giám sát an toàn an ninh mạng Bộ Tài chính với Trung tâm giám sát an toàn không gian mạng quốc gia từ năm 2021. Thông tin chia sẻ bao gồm thông tin tiếp nhận từ các hệ thống giám sát của các đơn vị thuộc Bộ Tài chính.
Tuy nhiên, theo đánh giá chung của Bộ Thông tin và Truyền thông, nhân sự chuyên trách an toàn thông tin của Bộ Tài chính vẫn còn rất thiếu so với yêu cầu của công việc. Do đó, Bộ Tài chính cũng gặp nhiều khó khăn trong việc duy trì liên tục đảm bảo an toàn hệ thống thông tin theo mô hình 4 lớp.
N.T.Lam – Phòng ATTT
Chỉ thị 14 ngày 07/6/2019 về tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam đã đưa ra định hướng cho các Bộ, ngành, địa phương phải hoàn thành mô hình bảo đảm an toàn thông tin 4 lớp theo hướng dẫn của Bộ TT&TT trước ngày 30/9/2020.
Bảo đảm an toàn, an ninh mạng theo mô hình 4 lớp thống nhất từ Trung ương đến địa phương là một trong những chỉ đạo quan trọng về an toàn, an ninh mạng Việt Nam cho giai đoạn tiếp theo.
Mô hình bảo đảm an toàn thông tin chuyên nghiệp 4 lớp bao gồm: Lực lượng tại chỗ; Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp; Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ; Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.
Trong Chỉ thị 01 về định hướng phát triển ngành TT&TT năm 2020, Bộ TT&TT cũng chỉ rõ, an toàn, an ninh mạng là điều kiện tiên quyết để phát triển Chính phủ điện tử và chuyển đổi số, do đó phải đi trước một bước. Bộ cũng xác định một nhiệm vụ trọng tâm trong năm nay là thực thi nghiêm túc Chỉ thị 14 của Thủ tướng Chính phủ, đảm bảo 100% các cơ quan, tổ chức Việt Nam triển khai bảo vệ an toàn, an ninh mạng theo mô hình 4 lớp; 100% Bộ, ngành, địa phương triển khai các giải pháp điều hành, giám sát an toàn, an ninh mạng, phòng chống mã độc tập trung, kết nối chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia.
Trong Nghị quyết phiên họp Chính phủ trực tuyến với các địa phương và phiên họp thường kỳ tháng 6/2020, Chính phủ đã chỉ đạo các Bộ, ngành, địa phương phải hoàn thành mô hình bảo đảm an toàn thông tin 4 lớp theo hướng dẫn của Bộ TT&TT trước ngày 30/9/2020.
Theo đại diện Cục An toàn thông tin, Bộ TT&TT, việc triển khai mô hình 4 lớp đáp ứng yêu cầu hệ thống CNTT trước khi đưa vào vận hành đã được kiểm tra, đồng thời đảm bảo rằng có đội ngũ chuyên nghiệp để đánh giá thường xuyên các hệ thống. Cùng với đó, mô hình bảo vệ chuyên nghiệp 4 lớp còn đưa đến sự liên thông, kết nối dữ liệu nhằm chung tay đảm bảo an toàn thông tin cho hệ thống của các cơ quan, tổ chức nhà nước.
Cục An toàn thông tin đã triển khai xây dựng bộ tiêu chí và thực hiện đánh giá, chứng nhận các doanh nghiệp Việt Nam cung cấp dịch vụ SOC đảm bảo chất lượng, yêu cầu kỹ thuật. Điều này giúp cho các Bộ, ngành, địa phương và chủ quản hệ thống thông tin có định hướng trong việc thuê, mua dịch vụ giám sát, an ninh mạng chuyên nghiệp. Hiện đã có 8 doanh nghiệp Việt Nam được cấp chứng nhận cung cấp nền tảng dịch vụ SOC đáp ứng yêu cầu kết nối, chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia, gồm có: Viettel, VNPT, BKAV, FPT IS, CMC Cyber Security, CyRadar, VNCS Global và SAVIS.
Chỉ thị 14 ngày 07/6/2019 về tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam đã đưa ra định hướng cho các Bộ, ngành, địa phương phải hoàn thành mô hình bảo đảm an toàn thông tin 4 lớp theo hướng dẫn của Bộ TT&TT trước ngày 30/9/2020.
Bảo đảm an toàn, an ninh mạng theo mô hình 4 lớp thống nhất từ Trung ương đến địa phương là một trong những chỉ đạo quan trọng về an toàn, an ninh mạng Việt Nam cho giai đoạn tiếp theo.
Mô hình bảo đảm an toàn thông tin chuyên nghiệp 4 lớp bao gồm: Lực lượng tại chỗ; Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp; Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ; Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.
Trong Chỉ thị 01 về định hướng phát triển ngành TT&TT năm 2020, Bộ TT&TT cũng chỉ rõ, an toàn, an ninh mạng là điều kiện tiên quyết để phát triển Chính phủ điện tử và chuyển đổi số, do đó phải đi trước một bước. Bộ cũng xác định một nhiệm vụ trọng tâm trong năm nay là thực thi nghiêm túc Chỉ thị 14 của Thủ tướng Chính phủ, đảm bảo 100% các cơ quan, tổ chức Việt Nam triển khai bảo vệ an toàn, an ninh mạng theo mô hình 4 lớp; 100% Bộ, ngành, địa phương triển khai các giải pháp điều hành, giám sát an toàn, an ninh mạng, phòng chống mã độc tập trung, kết nối chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia.
Trong Nghị quyết phiên họp Chính phủ trực tuyến với các địa phương và phiên họp thường kỳ tháng 6/2020, Chính phủ đã chỉ đạo các Bộ, ngành, địa phương phải hoàn thành mô hình bảo đảm an toàn thông tin 4 lớp theo hướng dẫn của Bộ TT&TT trước ngày 30/9/2020.
Theo đại diện Cục An toàn thông tin, Bộ TT&TT, việc triển khai mô hình 4 lớp đáp ứng yêu cầu hệ thống CNTT trước khi đưa vào vận hành đã được kiểm tra, đồng thời đảm bảo rằng có đội ngũ chuyên nghiệp để đánh giá thường xuyên các hệ thống. Cùng với đó, mô hình bảo vệ chuyên nghiệp 4 lớp còn đưa đến sự liên thông, kết nối dữ liệu nhằm chung tay đảm bảo an toàn thông tin cho hệ thống của các cơ quan, tổ chức nhà nước.
Cục An toàn thông tin đã triển khai xây dựng bộ tiêu chí và thực hiện đánh giá, chứng nhận các doanh nghiệp Việt Nam cung cấp dịch vụ SOC đảm bảo chất lượng, yêu cầu kỹ thuật. Điều này giúp cho các Bộ, ngành, địa phương và chủ quản hệ thống thông tin có định hướng trong việc thuê, mua dịch vụ giám sát, an ninh mạng chuyên nghiệp. Hiện đã có 8 doanh nghiệp Việt Nam được cấp chứng nhận cung cấp nền tảng dịch vụ SOC đáp ứng yêu cầu kết nối, chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia, gồm có: Viettel, VNPT, BKAV, FPT IS, CMC Cyber Security, CyRadar, VNCS Global và SAVIS.
Đăng nhập/Đăng ký
Ranking
Cộng đồng
|
Kiến thức
11 tháng 05, 2022
Admin
07:00 11/05/2022
Mô hình an toàn thông tin và các thuật ngữ nên biết
Cùng tác giả
Không có dữ liệu
0
0
0
Admin
2995 người theo dõi
1283
184
Có liên quan
Không có dữ liệu
Chia sẻ kiến thức – Kết nối tương lai
Về chúng tôi
Về chúng tôi
Giới thiệu
Chính sách bảo mật
Điều khoản dịch vụ
Học miễn phí
Học miễn phí
Khóa học
Luyện tập
Cộng đồng
Cộng đồng
Kiến thức
Tin tức
Hỏi đáp
CÔNG TY CỔ PHẦN CÔNG NGHỆ GIÁO DỤC VÀ DỊCH VỤ BRONTOBYTE
The Manor Central Park, đường Nguyễn Xiển, phường Đại Kim, quận Hoàng Mai, TP. Hà Nội
THÔNG TIN LIÊN HỆ
[email protected]
©2024 TEK4.VN
Copyright © 2024
TEK4.VN
Về cơ bản, mỗi địa phương thường có nhiều hệ thống thông tin nằm phân tán tại các đơn vị khác nhau như các sở, quận, huyện … Nếu đầu tư hệ thống giám sát và bố trí nguồn lực để quản lý vận hành cho mỗi hệ thống này sẽ rất tốn kém và không hiệu quả do tính phân tán, không đồng bộ.
Mô hình tham khảo giám sát tập trung của tỉnh
Việc triển khai hệ thống giám sát tập trung cho phép đơn vị vận hành có thể nhìn được tổng thể các nguy cơ tấn công mạng đối với các hệ thống thông tin trên địa bàn, thậm chí đến từng máy tính cụ thể bên trong mỗi hệ thống. Việc này sẽ giảm thiểu đượcchi phí đầu tư và tận dụng và tập trung được nguồn nhân lực có trình độ cao tập trung tại các hệ thống trung tâm.
Do dó, mỗi tỉnh có thể triển khai một hệ thống giám sát tập trung để giám sát và bảo vệ các hệ thống thông tin trên địa bàn. Theo phương án này, log từ các hệ thống thông tin sẽ được gửi về và được quản lý tại hệ thống quản lý tập trung. Hệ thống quản lý tập trung thường đặt tại trung tâm dữ liệu của tỉnh và do Sở Thông tin và Truyền thông quản lý vận hành.
Các hệ thống thông tin trên địa bàn có hai loại hình triển khai phổ biến:
a) Hệ thống cung cấp dịch vụ trực tuyến và có người sử dụng. Hệ thống này có hệ thống máy chủ để cung cấp dịch vụ mà có mạng LAN của người sử dụng (Sở A).
Thông thường các hệ thống này đã được triển khai các hệ thống quan trắc cơ sở, có thể có hệ thống giám sát tập trung và có kết nối mạng Internet độc lập. Đối với trường hợp này, log của hệ thống quan trắc cơ sở sẽ được gửi về hệ thống giám sát tập trung theo một trong hai phương án sau:
– Trường hợp Sở A có kết nối mạng WAN về hệ thống giám sát tập trung thì log sẽ được ưu tiên gửi qua kết nối mạng này. Kết nối WAN cần ưu tiên sử dụng mạng truyền số liệu chuyên dùng (TSLCD).
– Trường hợp Sở A không có kết nối WAN thì log sẽ được gửi qua mạng Internet về hệ thống giám sát tập trung.
Để có phương án tối ưu trong việc gửi log về hệ thống giám sát tập trung, log cần được gửi tập trung về một hệ thống tại Sở A (sử dụng Syslog hoặc giải pháp tương đương) được lọc lấy thông tin cần thiết, nén và mã hóa trước khi gửi về hệ thống tập trung.
Trường hợp hệ thống của Sở A chưa có hệ thống quan trắc thì hệ thống này cần thiết lập tối thiểu cảm biến giám sát và hệ thống quản lý phần mềm phòng chống phần mềm độc hại tập trung và gửi log về hệ thống giám sát trung tâm. Cảm biến giám sát cần được thiết lập để có thể giám sát được cả hai kết nối mạng Internet và WAN.
b) Trường hợp hệ thống chỉ có mạng LAN của người sử dụng. Trường hợp này, hệ thống chỉ có máy tính của người sử dụng và có kết nối mạng Internet.
Kết nối mạng Internet có thể triển khai theo một trong hai phương án sau:
– Hệ thống có kết nối Internet độc lập và không có kết nổi WAN (Huyện C). Trường hợp này log của hệ thống quan trắc cơ sở (nếu có) hoặc từ cảm biển giám sát sẽ được gửi về hệ thống giám sát tập trung qua mạng Internet. Chú ý rằng, trường hợp hệ thống có kết nối WAN thì cần ưu tiên sử dụng kết nối này để gửi log về hệ thống giám sát tập trung.
– Hệ thống không có kết nối Internet trực tiếp mà kết nối qua mạng WAN (Huyện B). Trường hợp này, cảm biến giám sát không cần thiết phải triển khai tại Huyện B mà có thể triển khai cảm biến giám sát tập trung tại cổng ra Internet tập trung của các đơn vị. Trường hợp này yêu cầu hệ thống tại các đơn vị không cấu hình NAT trên các thiết bị mạng để cho phép tại điểm giám sát, cảm biến giám sát có thể thấy được địa chỉ IP thật của mỗi máy tính trong mạng. Việc cấu hình NAT sẽ được thực hiện tại thiết bị định tuyến biên của cổng kết nối Internet tập trung.
Các máy tính trong hệ thống thông tin của Huyện B cần cài đặt phần mềm phòng, chống phần mềm độc hại và được quản lý tập trung bởi một máy tính/máy chủ bên trong hệ thống và gửi log về hệ thống giám sát tập trung.
Các hệ thống thông tin trên địa bàn tỉnh A cần ưu tiên phương án sử dụng kết nối mạng Internet qua kết nối WAN qua cổng kết nối Internet tập trung để có thể triển khai biện pháp giám sát và bảo vệ tập trung nhằm giảm thiểu chi phí đầu tư và tăng hiệu quả giám sát và bảo vệ.
Mỗi hệ thống sử dụng giải pháp phòng, chóng phần mềm độc hại có chức năng quản lý tập trung và có thể kết nối, chia sẻ thông tin với hệ thống giám sát an toàn không gian mạng quốc gia.
Hệ thống giám sát tập trung tại tỉnh cần kết nối chia sẻ dữ liệu với hệ thống giám sát an toàn không gian mạng quốc gia
3.Mô hình Bell LaPadula
Mục tiêu của mô hình Bell LaPadula là duy trì tính bí mật của dữ liệu. Nguyên lý của mô hình này là:
No read up – No write down
- No read up: một chủ thể chỉ có thể đọc các dữ liệu có mức độ truy cập thấp hơn hoặc bằng với mức độ truy cập của bản thân.
- No write down: một chủ thể chỉ có thể ghi các dữ liệu có mức độ truy cập cao hơn hoặc bằng với mức độ truy cập của bản thân.
Mô hình này được sử dụng trong các tổ chức có thông tin cần đảm bảo tính bí mật cao. VD như với môi trường quân đội, chúng ta có thể giải thích hai nguyên lý trên như sau:
- No read up: rõ ràng, chúng ta không được phép đọc các dữ liệu cao hơn cấp của bản thân. Một binh sĩ quèn làm sao được phép tiếp cận các thông tin tình báo, kế hoạch chiến tranh do các quân nhân cấp tướng quyết định được.
- No write down: điều này có thể lí giải là báo cáo. Chúng ta chỉ cần thiết báo cáo cho cấp trên và trao đổi cũng những người ngang cấp. Không cần thiết phải thông báo cho cấp dưới về tình hình và kế hoạch đang triển khai.
2.Tính bí mật
Tính bí mật thể hiện nỗ lực để đảm bảo dữ liệu được giữ bí mật hoặc riêng tư. Để thực hiện được điều này, quyền truy cập thông tin phải được kiểm soát để ngăn chặn việc chia sẻ dữ liệu trái phép – dù là cố ý hay vô tình. Một nội dung quan trọng của việc duy trì tính bí mật là đảm bảo những người không đủ quyền hạn sẽ không thể truy cập các thông tin trong hệ thống.
Ví dụ như trong một công ty về công nghệ gồm các nhân viên kỹ thuật, nhân viên khối tài chính, nhân viên khối lập trình,… Vậy thì nhân viên các bộ phận khác không thể được truy cập vào các danh sách thu chi của công ty, không thể xem các tệp tin báo cáo tài chính, dữ liệu lương của nhân viên,… mà vốn chỉ bộ phận tài chính kế toán được phép truy cập.
Tính bí mật có thể bị xâm phạm bằng nhiều cách. Kẻ tấn công có thể thực hiện Kỹ nghệ xã hội nhắm tới các nhân viên thuộc tổ chức, tấn công vào một ứng dụng hoặc cố gắng xâm nhập cơ sở dữ liệu của tổ chức,… Và hậu quả khi tính bí mật của dữ liệu bị xâm phạm thì quá rõ ràng rồi (GHTK bị hacker đánh cắp mã nguồn)
2.Tính sẵn dùng
Kể cả khi đảm bảo được tính bí mật và tính toàn vẹn thì dữ liệu vẫn có thể trở nên vô giá trị nếu tại thời điểm cần sử dụng thì lại không truy cập được. Tính sẵn dùng được duy trì bởi việc vận hành hệ thống ứng dụng, máy chủ, đường truyền mạng,… sao cho mọi thứ hoạt động bình thường, đảm bảo các cá nhân có quyền truy cập vào thông tin cụ thể phải có khả năng sử dụng thông tin đó khi họ cần và việc truy cập dữ liệu sẽ không mất nhiều thời gian.
Với những tổ chức, công ty, tập đoàn lớn thì tính sẵn dùng có mức độ quan trọng cực kỳ cao. Thử nghĩ mà xem, với những nền tảng mua sắm trực tuyến lớn như Amazon, Shopee, Tiki, Lazada thì chỉ cần vài phút hệ thống ngưng hoạt động, khách hàng không để đặt hàng thôi là họ đã lỗ hàng trăm triệu đồng rồi. Nếu hệ thống ngưng hoạt động vài giờ, vài ngày thì tổng thiệt hại khó mà đếm được.
Phương pháp tấn công thường thấy của các hacker là thực hiện cuộc tấn công DDoS làm nghẽn máy chủ, khiến những khách hàng bình thường không thể sử dụng dịch vụ.
Để phòng chống bị tấn công DDoS thì chúng ta có thể thường xuyên theo dõi tin tức về các lỗ hổng có thể kiến máy chủ bị DoS bởi chính nó, đây là phòng thủ từ phía trong. Kết hợp thêm với các biện pháp phòng thủ từ bên ngoài như: triển khai hệ thống cân bằng tải, sử dụng Cloudflare,…
Một số mô hình bảo mật
Với mục đích Đảm bảo công tác an toàn thông tin trong phát triển CPĐT, CQĐT và ĐTTM tuân thủ các quy định của pháp luật, đáp ứng các yêu cầu bảo đảm an toàn thông tin theo quy định và phù hợp với Khung CPĐT 2.0; Thống nhất, đồng bộ công tác, mô hình bảo đảm an toàn thông tin phục vụ phát triển CPĐT, CQĐT và ĐTTM tại các bộ, ngành, địa phương. Cục An toàn thông tin đã ban hành Hướng dẫn mô hình đảm bảo an toàn thông tin cấp bộ, tỉnh.
1. Mô hình bảo đảm an toàn thông tin cấp bộ, tỉnh
Mô hình đảm bảo an toàn thông tin tổng thể cấp bộ, tỉnh
Mô hình đảm an toàn thông tin tổng thể cấp bộ, tỉnh bao gồm các thành phần: (1) Hệ thống thông tin phục vụ phát triển CPĐT, CQĐT và ĐTTM cấp bộ, tỉnh; (2) Trung tâm điều hành an toàn, an ninh mạng; (3) Mô hình tổ chức “04 lớp” bảo đảm an toàn thông tin; (4) Mô hình tham chiếu về biện pháp quản lý an toàn thông tin; (5) Mô hình tham chiếu về giải pháp, công nghệ; (6) Mô hình tham chiếu Trung tâm điều hành an toàn, an ninh mạng.
Mỗi bộ, tỉnh thiết lập một Trung tâm điều hành an toàn, an ninh mạng và thực hiện kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia phục vụ hoạt động hỗ trợ giám sát, phòng chống tấn công mạng và điều phối ứng cứu sự cố an toàn thông tin.
– Thành phần bảo đảm an toàn thông tin: Việc bảo đảm an toàn thông tin phục vụ phát triển CPĐT phải thống nhất, đồng bộ các hệ thống thành phần trong mô hình. Các hệ thống thành phần cần bảo đảm an toàn thông tin phục vụ CPĐT cấp bộ, tỉnh và ĐTTM cấp tỉnh bao gồm nhưng không giới hạn các thành phần sau:
(1) Cổng Thông tin điện tử;
(2) Cổng Dịch vụ công/Hệ thống thông tin một cửa điện tử;
(3) Hệ thống Quản lý văn bản và điều hành;
(4) Hệ thống thông tin báo cáo;
(5) Nền tảng chia sẻ, tích hợp dùng chung (LGSP);
(6) Các hệ thống cơ sở dữ liệu phục vụ phát triển CPĐT, CQĐT và ĐTTM;
(7) Các hệ thống thông tin khác phục vụ phát triển CPĐT, CQĐT và ĐTTM;
(8) Trung tâm điều hành an toàn, an ninh mạng (SOC).
– Mô hình tổ chức “04 lớp” bảo đảm an toàn thông tin:Công tác bảo đảm an toàn thông tin nói chung và công tác bảo đảm an toàn thông tin trong CPĐT, CQĐT và ĐTTM phải được thực hiện một cách tổng thể, đồng bộ theo chỉ đạo của Thủ tướng Chính phủ tại Chỉ thị số 14/CT-TTg ngày 06/7/2019. Theo đó, cơ quan, tổ chức triển khai bảo đảm an toàn thông tin cho hệ thống thông tin thuộc phạm vi quản lý theo mô “4 lớp”: (1) Lực lượng tại chỗ, (2) Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp, (3) Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ, (4) Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.
– Mô hình tham chiếu về biện pháp quản lý an toàn thông tin: Các yêu cầu cụ thể được xác định dựa vào cấp độ của hệ thống thông tin tương ứng cần bảo vệ và được chia ra làm 05 nhóm: (1) Chính sách an toàn thông tin, (2) Tổ chức bảo đảm an toàn thông tin, (3) Bảo đảm nguồn nhân lực, (4) Quản lý thiết kế, xây dựng hệ thống, (5) Quản lý vận hành an toàn hệ thống thông tin
Mô hình các yêu cầu về quản lý an toàn thông tin
– Mô hình tham chiếu biện pháp kỹ thuật bảo đảm an toàn thông tin: Các yêu cầu cụ thể được xác định dựa vào cấp độ của hệ thống thông tin tương ứng cần bảo vệ và được chia làm 04 nhóm: (1) An toàn hạ tầng mạng, (2) An toàn máy chủ, (3) An toàn ứng dụng, (4) An toàn dữ liệu.
Mô hình yêu cầu về kỹ thuật đảm bảo an toàn thông tin
– Mô hình tham chiếu về giải pháp, công nghệ: Mô hình tham chiếu này đưa ra thành phần giải pháp, công nghệ và sản phẩm được sử dụng nhằm bảo đảm an toàn thông tin cho các hệ thống thông tin phục vụ phát triển CPĐT, CQĐT và ĐTTM.
Các sản phẩm cụ thể được phân chia làm 08 nhóm, bao gồm: (1) Sản phẩm an toàn cho thiết bị đầu cuối; (2) Sản phẩm an toàn lớp mạng; (3) Sản phẩm an toàn lớp ứng dụng; (4) Sản phẩm bảo vệ dữ liệu; (5) Nhóm giải pháp định hướng phát triển theo hình thức cung cấp dịch vụ; (6) Sản phẩm trình duyệt; (7) Sản phẩm nền tảng tích hợp, chia sẻ dữ liệu (NGSP); (8) Sản phẩm nền tảng điện toán đám mây phục vụ chính phủ điện tử.
Mô hình tham chiếu về giải pháp và công nghệ
– Mô hình tham chiếu Trung tâm điều hành an toàn, an ninh mạng:
Mô hình Trung tâm điều hành an toàn, an ninh mạng SOC
Công nghệ là các phương án, giải pháp kỹ thuật được sử dụng để bảo đảm việc giám sát an toàn thông tin đáp ứng các yêu cầu về kỹ thuật và tính hiệu quả.
Quy trình là những quy định trong quy chế, chính sách bảo đảm an toàn thông tin của cơ quan, tổ chức được xây dựng để phục vụ việc quản lý, vận hành hệ thống an toàn.
Con người là việc tổ chức nhân sự cán bộ chuyên trách, chuyên gia và các đội ngũ khác (nếu có) để vận hành quản lý hệ thống SOC và các thành phần liên quan
2. Việc thực thi bảo đảm an toàn thông tin cho hệ thống thông tin phục vụ phát triển CPĐT gồm các nội dung sau
– Xây dựng Hồ sơ đề xuất cấp độ và triển khai phương án bảo đảm an toàn thông tin theo cấp độ
– Triển khai Trung tâm điều hành an toàn, an ninh mạng
– Kiểm tra, đánh giá an toàn thông tin
– Xây dựng phương án ứng cứu sự cố an toàn thông tin mạng
– Phòng, chống phần mềm độc hại
Tìm hiểu về mô hình đảm bảo An toàn thông tin 4 lớp dành cho bộ, ngành, địa phương
CyStack Editor
Chính phủ mới đây đã yêu cầu các bộ, ngành, địa phương hoàn thành mô hình bảo đảm an toàn thông tin 4 lớp theo hướng dẫn của Bộ TT&TT trước ngày 30/9/2020.
Bảo đảm an toàn, an ninh mạng theo mô hình 4 lớp thống nhất từ Trung ương đến địa phương là một trong những chỉ đạo quan trọng về an toàn, an ninh mạng Việt Nam cho giai đoạn tiếp theo. Đây là định hướng được Thủ tướng Chính phủ đưa ra cho các bộ, ngành, địa phương tại Chỉ thị 14 ngày 07/6/2019 về tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam.
Mô hình bảo đảm an toàn thông tin chuyên nghiệp 4 lớp bao gồm:
- Lực lượng tại chỗ;
- Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp;
- Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ;
- Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.
An ninh mạng đi trước, chuyển đổi số theo sau
Trong Chỉ thị 01 về định hướng phát triển ngành TT&TT năm 2020, Bộ TT&TT cũng chỉ rõ, an toàn, an ninh mạng là điều kiện tiên quyết để phát triển Chính phủ điện tử và chuyển đổi số do đó phải đi trước một bước. Bộ cũng xác định một nhiệm vụ trọng tâm trong năm nay là thực thi nghiêm túc Chỉ thị 14 của Thủ tướng Chính phủ, đảm bảo 100% các cơ quan, tổ chức Việt Nam triển khai bảo vệ an toàn, an ninh mạng theo mô hình 4 lớp; 100% bộ, ngành, địa phương triển khai các giải pháp điều hành, giám sát an toàn, an ninh mạng, phòng chống mã độc tập trung, kết nối chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia.
Tham khảo: Dịch vụ đánh giá An ninh mạng chuyên nghiệp Pentest Audit
Gần đây nhất, trong Nghị quyết phiên họp Chính phủ trực tuyến với các địa phương và phiên họp thường kỳ tháng 6/2020, Chính phủ đã chỉ đạo các bộ, ngành, địa phương phải hoàn thành mô hình bảo đảm an toàn thông tin 4 lớp theo hướng dẫn của Bộ TT&TT trước ngày 30/9/2020.
Theo đại diện Cục An toàn thông tin, Bộ TT&TT, việc triển khai mô hình 4 lớp đáp ứng yêu cầu hệ thống CNTT trước khi đưa vào vận hành đã được kiểm tra, đồng thời đảm bảo rằng có đội ngũ chuyên nghiệp để đánh giá thường xuyên các hệ thống. Cùng với đó, mô hình bảo vệ chuyên nghiệp 4 lớp còn đưa đến sự liên thông, kết nối dữ liệu nhằm có được sự chung tay đảm bảo an toàn thông tin cho hệ thống của các cơ quan, tổ chức nhà nước.
Thời gian qua, Cục An toàn thông tin đã tiến hành một số hoạt động, trong đó có việc tham mưu để cụ thể hóa những nội dung trong Chỉ thị 14 bằng việc xây dựng các văn bản hướng dẫn công tác giám sát an toàn, an ninh mạng trong cơ quan nhà nước. Đồng thời, đưa ra các tiêu chí, những hướng dẫn kết nối và chia sẻ thông tin đối với Trung tâm Giám sát an toàn không gian mạng quốc gia.
Bên cạnh đó, một việc quan trọng đã được Cục An toàn thông tin triển khai là xây dựng bộ tiêu chí và thực hiện đánh giá, chứng nhận các doanh nghiệp Việt Nam cung cấp dịch vụ SOC đảm bảo chất lượng, yêu cầu kỹ thuật. Điều này giúp cho các bộ, ngành, địa phương và chủ quản hệ thống thông tin có định hướng trong việc thuê, mua dịch vụ giám sát, an ninh mạng chuyên nghiệp,
Đến nay, đã có 8 doanh nghiệp Việt Nam được cấp chứng nhận cung cấp nền tảng dịch vụ SOC đáp ứng yêu cầu kết nối, chia sẻ thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia gồm có Viettel, VNPT, BKAV, FPT IS, CMC Cyber Security, CyRadar, VNCS Global và SAVIS.
Chia sẻ với ICTnews, Cục trưởng Cục An toàn thông tin Nguyễn Thành Phúc cho biết, Cục đang tích cực thúc đẩy triển khai Trung tâm SOC tại tất cả các bộ, ngành, địa phương. “Trung tâm SOC là nhân tố quan trọng nhất trong đảm bảo an toàn, an ninh mạng theo mô hình 4 lớp, giúp các bộ, ngành, địa phương đảm bảo hoàn thành 2 lớp gồm: Giám sát bảo vệ chuyên nghiệp và Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia”, ông Phúc nhấn mạnh.
Đại diện Cục An toàn thông tin cũng cho hay, quá trình xây dựng mạng lưới kỹ thuật giám sát an toàn, an ninh mạng đã được bắt đầu bằng việc hình thành năng lực kỹ thuật cho Trung tâm giám sát an toàn không gian mạng quốc gia (NCSC) để đáp ứng được yêu cầu kết nối. Cùng với đó, tính đến đầu tháng 7/2020, hơn 10 bộ, ngành và 34 tỉnh, thành phố đã và đang triển khai Trung tâm SOC.
“Chúng tôi tin rằng mục tiêu 100% bộ, ngành, địa phương có Trung tâm điều hành, giám sát an toàn, an ninh mạng sẽ sớm được hoàn thành. Hiện tại, trong hơn 80 đầu mối, đã có trên 30 đầu mối triển khai xong và tốc độ tăng trưởng đang rất nhanh”, đại diện Cục An toàn thông tin chia sẻ thêm.
Một số mô hình an toàn thông tin
Con ngựa thành Troy – Chắc hẳn hầu hết những người đang đọc bài viết này của mình đều đã nghe về câu chuyện này rồi. Đó là câu chuyện trong Thần thoại Hy Lạp, kể về cuộc chiến tại thành Troy. Cuộc chiến đã diễn ra trong hơn 10 năm, nhưng phe tiến công vẫn không thể đánh chiếm được thành Troy. Dù tấn công bao nhiêu lần đi nữa thì bức tường thành Troy vẫn vững vàng đứng đó, ngăn chặn mọi cố gắng xâm nhập của phía tiến công.
Cuộc chiến chỉ kết thúc khi Odysseus đưa ra mưu kế để lừa nhân dân thành Troy kéo một con ngựa gỗ khổng lồ – thứ mà chứa Odysseus và các binh sĩ ở bên trong, vào toà thành kiên cố của mình. Để rồi khi màn đêm buông xuống thì thành Troy “không thể công phá” đã bị đánh chiếm từ ngay bên trong.
Điều mình ấn tượng nhất trong câu chuyện này là sự vững chãi của bức tường thành Troy. Nhờ bức tường thành này mà nhân dân thành Troy đã được bảo vệ trước cuộc đại chiến trong những hơn 10 năm. Giống như một căn nhà cần được làm tốt phần móng mới có thể xây lên cao, khi có một nền tảng được xây vững chãi thì hệ thống bảo vệ mới có thể phát huy tác dụng trước các cuộc tấn công từ bên ngoài.
Đó là ý nghĩa chính của nội dung chúng ta sẽ cùng tìm hiểu hôm nay.
Mô hình bảo mật là gì?
Mô hình bảo mật xác định cụ thể các khía cạnh thiết yếu của bảo mật và mối quan hệ của chúng với hiệu suất của hệ điều hành. Không một tổ chức nào có thể bảo vệ các dữ liệu nhạy cảm của mình một cách hiệu quả nếu không có một mô hình bảo mật tốt. Chúng ta có thể nói rằng mục đích chính của các mô hình bảo mật là cung cấp mức độ hiểu biết cần thiết để thực hiện thành công và hiệu quả các yêu cầu bảo vệ.
Các mô hình bảo mật thông tin là những thủ tục được sử dụng để xác nhận các chính sách bảo mật, mô hình sẽ cung cấp một tập hợp các chỉ thị chính xác mà máy tính có thể tuân theo để thực hiện các quy trình, thủ tục và khái niệm bảo mật quan trọng có trong một chương trình bảo mật.
Các mô hình bảo mật tập trung vào việc đảm bảo cho ba yếu tố chính trong bảo mật dữ liệu. Ba yếu tố đó chính là tam giác CIA.
Tam giác CIA
CIA là viết tắt của Central Intelligence Agency….
CIA là ba từ viết tắt, đại diện cho ba yếu tố quan trọng khi bảo vệ cho dữ liệu, đó là:
- Tính bí mật (Confidentiality)
- Tính toàn vẹn (Integrity)
- Tính sẵn dùng (Availability)
Ba yếu tố trên được đưa ra nhằm ngăn chặn ba mối nguy lớn khi dữ liệu là mục tiêu bị tấn công. Ba mối nguy này được gọi là tam giác 3D:
- Tiết lộ (Disclosure)
- Phá huỷ, sửa đổi (Destruction)
- Ngăn chặn truy cập (Denial)
2.Tính toàn vẹn
Tính toàn vẹn được thể hiện qua việc đảm bảo dữ liệu được lưu trữ là đáng tin cậy và không bị làm giả hay sửa đổi trái phép. Điều này chỉ được duy trì khi dữ liệu xác thực, chính xác và đáng tin cậy.
Lấy ví dụ với hệ thống quản lý đào tạo của một trường đại học, trong hệ thống này có lưu trữ đầy đủ thông tin về sinh viên (đã tốt nghiệp và đang theo học), thời khoá biểu của mỗi sinh viên cùng với điểm số của họ. Nếu vì bất cứ lý do nào, kể cả do nhân viên nhập sai dữ liệu hay hệ thống đã tải thiếu một dòng điểm của sinh viên X do lỗi kỹ thuật,… thì lúc này tính toàn vẹn của dữ liệu đã bị xâm phạm (40 giáo viên sửa điểm cho học sinh).
Việc bảo đảm tính toàn vẹn dữ liệu không hề dễ dàng. Bởi dữ liệu có thể bị ảnh hưởng do một sự cố bất ngờ nào đó. Để giảm các khả năng bị ảnh hưởng tính toàn vẹn thì có thể sử dụng một số biện pháp như băm dữ liệu, sao lưu,… kết hợp mới một mô hình bảo mật thích hợp.
Keywords searched by users: mô hình an toàn thông tin
Categories: Sưu tầm 100 Mô Hình An Toàn Thông Tin
See more here: kientrucannam.vn
See more: https://kientrucannam.vn/vn/