[Article] Tam giác bảo mật S.F.U |
24/06/2011 00:07:41 (+0700) | #1 | 241906 |
|
manthang
Journalist
|
0 |
|
|
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
|
|
Như trong bài này,
/hvaonline/posts/list/39329.html (Ba mục tiêu chính của bảo mật (tam giác C.I.A))
đã đề cập đến ba mục tiêu chính cần đạt được trong công tác bảo mật cho một hệ thống thông tin và ba mục tiêu này tạo thành bộ ba (hay tam giác) bảo mật C.I.A. Còn ở bài này sẽ giới thiệu một tam giác bảo mật (security triangle) khác mà trong đó 3 thành tố của nó có mối liên hệ và ảnh hưởng tới nhau.
gpj.elgnairt-ufs/60/1102/moc.sserpdrow.selif.gnahtnam//:ptth
Hình trên cho biết 3 đặc tính cơ bản của một hệ thống thông tin và đó cũng là 3 yếu tố (tương ứng với 3 góc) của tam giác bảo mật S.F.U (hoặc S.F.E) mà sẽ được đề cập trong bài này đó là:
+ Functionality: chức năng (mặt định lượng)
+ Security: tính bảo mật
+ Usability (hoặc Ease of Use): tính tiện dụng
Ở bên trong tam giác S.F.U này có một quả bóng nhỏ. Khi quả bóng này có thiên hướng di chuyển về một góc nào đó của tam giác thì có nghĩa rằng yếu tố tương ứng với góc đó được chú trọng, tăng cường và đồng thời 2 yếu tố còn lại sẽ bị coi nhẹ, suy giảm. Cụ thể:
- Nếu nâng cao độ bảo mật cho hệ thống (quả bóng di chuyển về góc Security) cũng đồng nghĩa với việc người dùng phải chịu nhiều rằng buộc, trải qua nhiều bước kiểm tra an ninh khi muốn tiếp cận và sử dụng hệ thống (tức, tính Usability bị giảm đi) và số lượng các chức năng của hệ thống sẽ được giữ ở mức tối thiểu nhất có thể vì rõ ràng, càng nhiều chức năng thì hệ thống đó tiềm ẩn thêm những lỗ hổng có thể bị khai thác (tức, tính Functionality bị giảm đi).
- Nếu bổ sung thêm nhiều chức năng cho hệ thống (quả bóng di chuyển về góc Functionality) cũng đồng nghĩa việc hệ thống đó có thể chứa đựng nhiều lỗ hổng không lường trước được, các mối đe dọa và rủi ro tăng lên (tức, tính Security giảm đi) và rõ ràng, càng nhiều chức năng thì độ phức tạp khi sử dụng hệ thống tăng lên (tức, tính Usability giảm đi).
- Cuối cùng, nếu muốn việc sử dụng hệ thống trở nên đơn giản, thuận tiện hơn (quả bóng di chuyển về góc Usability) thì buộc lòng ta phải giảm tinh giản, làm gọn các chức năng trong hệ thống (tức, tính Functionality giảm đi) và nới lỏng các biện pháp an ninh (tức, tính Security giảm đi).
Ví dụ sau sẽ minh hoạ thêm cho sự tác động qua lại giữa 3 yếu tố trong tam giác S.F.U:
Bạn có một hệ thống E-commerce nhằm quảng bá cho các sản phẩm, dịch vụ của bạn và đồng thời cho phép khách hàng đặt hàng, thanh toán trực tuyến. Rõ ràng, khi giao dịch qua mạng Internet thế này thì yếu tố bảo mật phải được đặt lên hàng đầu nhằm tránh rủi ro, thiệt hại cho khách hàng và chính bạn khi xảy ra các sự cố an ninh như hệ thống bị tấn công khiến dữ liệu khách hàng, bí mật kinh doanh bị đánh cắp, thông tin giao dịch bị lộ, hay toàn bộ hệ thống bị tê liệt…
Trước nguy cơ đó, để phòng chống với các mối đe dọa thì tất nhiên bạn sẽ đầu tư xây dựng và triển khai một loạt các cơ chế bảo vệ như:
- Xác thực đa yếu tố (multi-factor) với smart card, mã PIN kết hợp với mật khẩu mạnh.
- Mã hóa cho các phiên giao dịch với SSL Certificate.
- Kiểm soát truy cập, giám sát, cảnh báo, phản ứng sử dụng firewall,VPN, proxy, IDS/IPS, Anti-Virus,…
- Các chính sách bảo mật nghiêm ngặt.
v.v...
Nhiêu đó thôi cũng đủ làm cho hệ thống tuy có an toàn hơn nhưng lại trở nên phức tạp hơn và gây bất tiện cho những người dùng với kiến thức bảo mật ít ỏi nhưng luôn mong mỏi được thoải mái, dễ dàng trong việc sử dụng dịch vụ, chức năng của hệ thống, đôi khi còn làm cho bản thân những người quản trị bảo mật cho hệ thống đó khó khăn trong việc điều hành, duy trì.
Ngoài tình huống trên, bạn có thể tự tìm hiểu thêm nhiều ví dụ khác minh họa cho ý nghĩa của tam giác bảo mật S.F.U.
Suy cho cùng, một giải pháp bảo mật tối ưu thì cần cân đối hài hòa giữa cả 3 yếu tố Security, Functionality và Usability. Khi đó, quả bóng kia sẽ ở chính giữa của tam giác S.F.U.
–manthang. |
|
keep -security- in -mind- |
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|