Nghiên cứu các giải pháp đánh giá hệ thống an toàn thông tin Vũ Thu Uyên Trường Đại học Công nghệ Luận văn Thạc sĩ ngành: Công nghệ phần mềm; Mã số: 60.48.10 Người hướng dẫn: PGS.TS Nguyễn Hữu Ngự Năm bảo vệ: 2011 Abstract: Tổng quan về an toàn thông tin; Tiêu chuẩn chung – CC; Phương pháp luận cho đánh giá an toàn – CEM. Nghiên cứu được các tiêu chuẩn để đánh giá hệ thống an toàn theo chuẩn quốc tế là ISO 27001, CC, CEM. Đề xuất giải pháp để đánh giá các thành phần trong hệ thống, cụ thể là đánh giá các sản phẩm ATCNTT bằng cách sử dụng CC và CEM, từ đó có thể áp dụng vào các hệ thống thực tế. Đưa ra cách áp dụng CC và CEM đánh giá một sản phẩm cụ thể. Các giải pháp để đảm bảo an toàn cho hệ thống khác nằm ngoài những đánh giá dựa vào tiêu chuẩn ở trên là sử dụng công cụ sniffer để phát hiện điểm yếu của hệ thống. Keywords: An toàn thông tin; Hệ thống thông tin; Tin học; An toàn dữ liệu Content MỞ ĐẦU I. Lý do chọn đề tài 1. Nhu cầu ứng dụng công nghệ thông tin vào các lĩnh vực đời sống là rất rộng rãi. 2. Việc đảm bảo an toàn và an toàn thông tin là yêu cầu hàng đầu đối với các cơ quan, doanh nghiệp, … 3. Cần phải áp dụng các giải pháp an toàn an toàn thông tin, nhất là nắm được các điểm yếu của hệ thống an toàn thông tin Vì những lý do trên tôi chọn đề tài “Nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin” mong góp phần vào việc đề xuất ra một số biện pháp và giải pháp đánh giá hệ thống an toàn thông tin một cách phù hợp để tăng độ an toàn và an toàn thông tin trong hệ thống và các sản phẩm CNTT. II. Lịch sử vấn đề Vấn đề an toàn, an ninh thông tin không mới nhưng càng ngày càng trở nên quan trọng cùng với sự phát triển theo chiều rộng và chiều sâu của xã hội thông tin. Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ đến là xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các cuộc tấn công và xâm nhập bất hợp pháp. Cách tiếp cận như vậy không hoàn toàn đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một vài giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng quát và khoa học hơn. 2 Không thể đảm bảo an toàn 100% cho hệ thống thông tin, nhưng ta có thể giảm bớt các rủi ro không mong muốn dưới tác động từ mọi phía của các lĩnh vực hoạt động kinh tế xã hội. Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện pháp đối phó về ATTT, họ luôn luôn đi đến kết luận: những giải pháp công nghệ (kỹ thuật) đơn lẻ không thể cung cấp đủ sự an toàn. Những sản phẩm Anti-virus, Firewalls và các công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức. ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người. 1. Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ máy trạm. 2. Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với thông tin và sử dụng máy tính trong công việc của mình. Có lẽ không một vị lãnh đạo nào dám khẳng định nội bộ công ty là thực sự an toàn và tin cậy. Trong bối cảnh nền kinh tế thị trường như hiện nay, sự cạnh tranh diễn ra gay gắt thậm chí giữa các nhân viên trong nội bộ công ty: tranh dành khách hàng, mục đích thăng tiến hoặc các mục đích không lành mạnh khác. Ở một số tổ chức, lợi dụng sự lỏng lẻo trong quản lý về ATTT, nhân viên đã có những hành vi bất lương như lấy cắp thông tin mật, chiếm đoạt tài khoản khách hàng, ăn cắp tiền thông qua hệ thống tín dụng… Theo thống kê, khoảng 70% các rủi ro về ATTT là xuất phát từ nội bộ trong tổ chức. Một trong những câu hỏi luôn được đặt ra trước các nhà lãnh đạo và các nhà quản trị thông tin là: “Hệ thống thông tin của tổ chức an toàn đến mức độ nào?” Câu hỏi này là mối quan tâm lớn nhất và cũng là vấn đề nhạy cảm nhất trong các khâu quản lý hệ thống thông tin. Trả lời câu hỏi này thật không đơn giản nhưng không phải là không có câu trả lời. Để giải đáp vấn đề trên, chủ yếu dựa vào hai phương pháp đánh giá ATTT như sau: + Phương pháp đánh giá theo chất lượng ATTT của hệ thống bằng cách cho điểm.Ví dụ: hệ thống đạt 60/100 điểm hoặc 60% + Phương pháp đánh giá theo số lượng thiết bị - công nghệ an toàn. Trong thực tế, phương pháp đánh giá theo chất lượng là phương pháp duy nhất để đánh giá mức độ an toàn của các tài nguyên trong hệ thống thông tin. ở Việt Nam, việc đánh giá ATTT theo chất lượng là hoàn toàn mới. Người ta dễ ngộ nhận việc trang bị một công cụ ATTT như (Firewall, Anti-virus…) là đảm bảo được ATTT cho hệ thống. Chất lượng ATTT phải được đánh giá trên toàn bộ các yếu tố đảm bảo tính an toàn cho hệ thống từ tổ chức, con người, an ninh vật lý, quản lý tài nguyên … đến việc sử dụng các công cụ kỹ thuật. Nói cách khác, chất lượng ATTT được đánh giá trên cơ sở thực thi các chính sách về ATTT trong hệ thống. Vì thế, Phương pháp đánh giá chất lượng hệ thống ATTT là dựa trên các Tiêu chuẩn đánh giá về hệ thống ATTT đã được chuẩn hóa, công bố và công nhận trên toàn thế giới. III. Mục đích, nhiệm vụ nghiên cứu Trong khuôn khổ của đề tài, tác giả tập trung vào nghiên cứu các vấn đề sau: - Nghiên cứu về an toàn an toàn thông tin, mật mã - Nghiên cứu các nguy cơ mất an toàn thông tin trên mạng - Nghiên cứu hệ thống tiêu chuẩn đánh giá hệ thống an toàn thông tin, cụ thể ở đây là 2 tiêu chuẩn Common Criteria – CC và CEM. - Đề xuất biện pháp và giải pháp đánh giá hệ thống an toàn thông tin - Triển khai thử nghiệm đánh giá một số thành phần trong hệ thống thực tế. IV. Phương pháp nghiên cứu 1. Phương pháp nghiên cứu tài liệu 3 2. Xây dựng chương trình demo References Tiếng Việt 1. PGS.TS Trịnh Nhật Tiến (2008), An toàn và an toàn thông tin, Nhà xuất bản Quốc gia. Tiếng Anh 2. Debra S. Herrmann (2003), Using the Common Criteria for IT Security Evaluation Auerbach Publications. 3. PTR Prentice-Hall (1994), Computer Communications Security : Principles, Standard Protocols and Techniques. 4. Andrew Hay, Peter Giannoulis, Keli Hay (2009), Nokia Firewall, VPN, and IPSO Configuration Guide. 5. Common Criteria for Information Technology Security Evaluation (2006), Part 1: Introduction and general model, Version 3.1 Revision 1. 6. Common Criteria for Information Technology Security Evaluation (2007), Part 2: Security functional components, Version 3.1 Revision 1. 7. Common Criteria for Information Technology Security Evaluation (2007), Part 3: Security assurance components, Version 3.1 Revision 2. 8. William Stallings (1998), Cryptography anh Network Security: Principles and Practice, Second Edition, Prentice Hall, Upper Saddle River, New Jersey 07458. Một số website 9. http://www.commoncriteriaportal.org 10. http:/www.niap-ccevs.org 11. http://www.checkpoint.com/nokia . an toàn thông tin, mật mã - Nghiên cứu các nguy cơ mất an toàn thông tin trên mạng - Nghiên cứu hệ thống tiêu chuẩn đánh giá hệ thống an toàn thông tin, . một số biện pháp và giải pháp đánh giá hệ thống an toàn thông tin một cách phù hợp để tăng độ an toàn và an toàn thông tin trong hệ thống và các sản phẩm