Ngày nay, hầu hết thông tin của doanh nghiệp như chiến lược kinh doanh, khách hàng, nhà cung cấp, tài chính, lương nhân viên,… điều được lưu trữ trên hệ thống máy tính qua internet hay intranet. Vì vậy, nếu xảy ra rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của doanh nghiệp. Vì vậy an toàn và bảo mật thông tin là nhiệm vụ rất quan trọng và toàn diện, nhưng tựu trung lại gồm ba hướng chính sau:
- Bảo đảm an toàn thông tin tại máy chủ
- Bảo đảm an toàn cho phía máy trạm
- Bảo mật thông tin trên đường truyền
Đứng trước yêu cầu bảo mật thông tin, ngoài việc xây dựng các phương thức bảo mật thông tin thì người ta đã đưa ra các nguyên tắc bảo vệ dữ liệu như sau:
- Nguyên tắc hợp pháp trong lúc thu thập và xử lý dữ liệu.
- Nguyên tắc đúng đắn.
- Nguyên tắc phù hợp với mục đích.
- Nguyên tắc cân xứng.
- Nguyên tắc minh bạch.
- Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập cho người có liên quan.
- Nguyên tắc không phân biệt đối xử.
- Nguyên tắc an toàn.
- Nguyên tắc có trách nhiệm trước pháp luật.
- Nguyên tắc giám sát độc lập và hình phạt theo pháp luật.
- Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới.
Ở đây chúng ta sẽ tập trung xem xét các nhu cầu an ninh và đề ra các biện pháp an toàn cũng như vận hành các cơ chế để đạt được các mục tiêu đó. An toàn thông tin bao gồm các nội dung sau:
- Tính bí mật: tính riêng tư của thông tin
- Tính xác thực của thông tin: bao gồm xác thực đối tác (bài toán nhận danh), xác thực thông tin trao đổi.
- Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác trách nhiệm về thông tin mà mình đã gửi.
Nguy cơ và hiểm họa đối với hệ thống thông tin
Các hiểm họa đối với hệ thống có thể được phân loại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động.
- Hiểm họa vô tình: khi người dùng khởi động lại hệ thống ở chế độ đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công việc họ không chuyển hệ thống sang chế độ thông thường, từ đó vô tình để kẻ xấu lợi dụng.
- Hiểm họa cố ý: cố tình truy nhập hệ thống trái phép.
- Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệ thống, như nghe trộm các gói tin trên đường truyền.
- Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống.
Đối với mỗi hệ thống thông tin mối đe dọa và hậu quả tiềm ẩn là rất lớn, nó có thể xuất phát từ những nguyên nhân như sau:
- Từ phía người sử dụng: xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị
- Kiến trúc hệ thống thông tin không đủ mạnh để bảo vệ thông tin
- Chính sách bảo mật an toàn thông tin không chấp hành các tiêu chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống.
- Thông tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công cụ quản lý, kiểm tra và điều khiển hệ thống.
- Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học trong phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại ‘rệp’ điện tử theo ý đồ định trước, gọi là ‘bom điện tử’.
- Nguy hiểm nhất đối với mạng máy tính mở là tin tặc, từ phía tội phạm.
Phân loại tấn công phá hoại an toàn
Các hệ thống trên mạng có thể là đối tượng của nhiều kiểu tấn công:
- Tấn công giả mạo là một thực thể tấn công giả danh một thực thể khác. Tấn công giả mạo thường được kết hợp với các dạng tấn công khác như tấn công chuyển tiếp và tấn công sửa đổi thông báo.
- Tấn công chuyển tiếp xảy ra khi một thông báo, hoặc một phần thông báo được gửi nhiều lần, gây ra các tác động tiêu cực.
- Tấn công sửa đổi thông báo xảy ra khi nội dung của một thông báo bị sửa đổi nhưng không bị phát hiện.
- Tấn công từ chối dịch vụ là kiểu tấn công ngăn không cho những người dùng khác truy cập vào hệ thống, làm cho hệ thống bị quá tải và không thể hoạt động. DoS là tấn công “one-to-one” và DDoS (distributed denial of service) là sử dụng các Zombie host tấn công “many-to-one”. Hiện nay, các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) và DDoS được đánh giá là các nguy cơ lớn nhất đối với sự an toàn của các hệ thống thông tin, gây ra những thiệt hại lớn. Đặc biệt là chưa có giải pháp ngăn chặn hữu hiệu. Các hình thức tấn công này đều nhắm vào tính khả dụng của hệ thống.
- Tấn công từ bên trong hệ thống xảy ra khi người dùng hợp pháp cố tình hoặc vô ý can thiệp hệ thống trái phép. Còn tấn công từ bên ngoài là nghe trộm, thu chặn, giả mạo người dùng hợp pháp, vượt quyền hoặc lách qua các cơ chế kiểm soát truy nhập.
- Tấn công bị động là do thám, theo dõi đường truyền để: nhận được nội dung bản tin hoặc theo dõi luồng truyền tin.
- Tấn công chủ động là thay đổi luồng dữ liệu để giả mạo một người nào đó, lặp lại bản tin trước, thay đổi ban tin khi truyền, từ chối dịch vụ.
- Tấn công bằng mã nguy hiểm là dùng một đoạn mã không mong muốn được nhúng trong một chương trình nhằm thực hiện các truy cập trái phép vào hệ thống máy tính để thu thập các thông tin nhạy cảm, làm gián đoạn hoạt động hoặc gây hại cho hệ thống máy tính, bao gồm: virus, worm, trojan horses, spyware, adware, backdoor,…
Bảo mật thông tin là nhiệm vụ quan trọng của một doanh nghiệp để tránh những mối đe dọa tiềm tàng. Thông qua bài viết này, hy vọng các bạn sinh viên hiểu được những nguyên nhân dẫn đến rò rỉ thông tin, phân loại tấn công và phương hướng đảm bảo an toàn cho hệ thống thông tin của doanh nghiệp.
Bộ môn Ứng dụng phần mềm
Trường Cao đẳng FPT Polytechnic cơ sở Hà Nội