banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Ba mục tiêu chính của bảo mật (tam giác C.I.A)  XML
  [Article]   Ba mục tiêu chính của bảo mật (tam giác C.I.A) 23/06/2011 23:55:41 (+0700) | #1 | 241903
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]
Như chúng ta đều biết, đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thông tin/dữ liệu đóng một vai trò hết sức quan trọng trong đời sống và có khi ảnh hướng tới sự tồn vong của họ. Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là trong bối cảnh hiện nay các hệ thống thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được.

Mặt khác, tính chất, mức độ, và phạm vi của các cuộc tấn công vào hệ thống máy tính và mạng ngày càng gia tăng bởi chưa bao giờ việc tiếp cận với các kỹ thuật và sử dụng các công cụ “hacking” lại trở nên dễ dàng và đơn giản hơn thế. Và cuối cùng, xuất phát từ động cơ kiếm lợi hoặc chính trị mà các tổ chức tài chính và cơ quan chính phủ đang đang trở thành mục tiêu chính của các “hacker”.

Nhưng các bạn khoan vội nghĩ ngay tới các công nghệ hay cách thức để bảo mật cho hệ thống thông tin. Trước hết, bạn phải hiểu được những mục tiêu nào cần đạt được khi làm công tác bảo mật và đó là 3 mục tiêu sau:


Confidentiality

- Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính…) được cấp phép.

- Tính bí mật của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý (ví dụ, tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó…) và logic (ví dụ, truy cập thông tin đó từ xa qua môi trường mạng…) hoặc mã hóa thông tin trước khi truyền nó đi qua mạng. Sau đây là một số cách thức như vậy:

+ Yêu cầu đối tượng cung cấp credential (ví dụ, cặp username/password) để xác thực.
+ Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép.
+ Mã hóa thông tin sử dụng các thuật toán mạnh (như AES, DES…).

Integrity

- Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi (về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là đảm bảo thông tin không bị thay đổi (modify) là chưa chưa còn chuẩn xác).

- Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc của thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ một nguồn đáng tin cậy và ta gọi đó là tính “authenticity” của thông tin.

- Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:

+ Thay đổi giao diện trang chủ của một website (hay còn gọi là deface website).
+ Chặn đứng và thay đổi gói tin được gửi qua mạng.
+ Chỉnh sửa trái phép các file được lưu trữ trên máy tính.
+ Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị sai lệch.

Availability

- Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những người được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.

- Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế nào: Máy của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch làm bộ nhớ lưu trữ MAC address table của switch nhanh chóng bị đầy khiến switch không thể hoạt động bình thường được nữa. Đây cũng thuộc hình thức tấn công từ chối dịch vụ (DoS).

- Để tăng khả năng chống trọi với các cuộc tấn công cũng như duy trì độ sẵn sàng của hệ thống ta có thể áp dụng một số kỹ thuật như: Load Balancing, Clustering, Redudancy, Failover…

Như vậy, vấn đề bảo mật thông tin không chỉ gói gọn trong việc phòng chống lại các cuộc tấn công từ hacker hay ngăn chặn malware mà bạn còn cần quan tâm tới độ sẵn sàng, tính dễ sử dụng và khả năng mở rộng của hệ thống thông tin nữa… Hiểu rõ 3 mục tiêu của bảo mật ở trên là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toàn nhất có thể. Ba mục tiêu này còn được gọi là tam giác bảo mật C.I.A.




–manthang.
keep -security- in -mind-
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|