Một số ứng dụng bảo mật an toàn thông tin kinh doanh

Một số ứng dụng bảo mật an toàn thông tin kinh doanh.

1) Cơ sở lý luận

1.1) Định nghĩa về thông tin:

  • Khái niệm thông tin

Bảo vệ an toàn thông tin dữ liệu là một chủ  đề  rộng, có  liên  quan  đến  nhiều  lĩnh  vực  và  trong  thực  tế có  thể  có  rất  nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Trong lịch sử tồn tại và phát triển của mình, con người thường xuyên cần đến thông tin. Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong những nhu cầu sống còn của con người và khái niệm “thông tin” đang trở thành khái niệm cơ bản, chung của nhiều khoa học. Để đưa ra được khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu?

Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng trong thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng.  “Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích, tổng hợp,…), phù hợp với mục đích của người sử dụng. Nói cách khác, thông tin  là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng” [Bài giảng Hệ thống thông tin quản lý, Bộ môn CNTT, Đại học Thương mại].

Theo Russell Ackoff, thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.

Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận được liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.

  • Vai trò của thông tin:

Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp trong nền kinh tế thị trường. Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng đó là sẽ mất đi cơ hội kinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh doanh sẽ trở nên thiếu tin cậy. Ngược lại, khi có đầy đủ thông tin doanh nghiệp sẽ có các quyết định kinh doanh kịp thời, hợp lý và ít rủi ro.

1.2, An toàn bảo mật thông tin

  • An toàn thông tin

Một hệ thống thông tin được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.

  • Bảo mật thông tin:

Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin.

+ Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng.

+  Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.

+ Tính sẵn sàng của thông tin là những người được cấp quyền sử dụng có thể truy xuất thông tin khi họ cần.

Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng tiêu chí trong một thời gian xác định.

1.3,Vai trò của an toàn bảo mật thông tin

Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại khả năng xử lý thông tin, nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu

Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu của người dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêm vào ngày càng nhiều, điều này làm cho các phần mềm không được kiểm tra kỹ trước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng bị lợi dụng. Thêm vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống  thông tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ dàng hơn.

Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu cầu của các cơ quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống đó hoạt động ổn định và tin cậy. An toàn và bảo mật thông tin là thiết yếu trong mọi cơ quan, tổ chức.An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.

1.4, Những yêu cầu về an toàn bảo mật thông tin

–   Tính bảo mật

Trong an toàn dữ liệu, bảo mật là yêu cầu đảm bảo cho dữ liệu của người sử dụng phải được bảo vệ, không bị mất mát vào những người không được phép. Nói khác đi là phải đảm bảo được ai là người được phép sử dụng ( và sử dụng được) các thông tin (theo sự phân loại mật của thông tin).

Thông tin đạt được tính bảo mật khi nó không bị truy nhập, sao chép hay sử dụng trái phép bởi một người không sử hữu. Trên thực tế, rất nhiều thông tin cá nhân của người sử dụng đều cần phải đạt được độ bảo mật cao chẳng hạn như mã số thẻ tín dụng, số thẻ bảo hiểm xã hội,….vì vậy đây có thể nói là yêu cầu quan trọng nhất đối với tính an toàn của hệ thống thông tin.

–   Tính toàn vẹn

Trong an toàn dữ liệu, tính toàn vẹn có nghĩa là dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu. Tính toàn vẹn đề cập đến khả năng đảm bảo cho các thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người không được phép trong quá trình truyền thông.

Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là người được phép thay đổi dữ liệu và ai là người không được phép thay đổi dữ liệu. Dữ liệu trên thực tế có thể vi phạm tính toàn vẹn khi một hệ thống không đạt được độ an toàn cần thiết. Chẳng hạn một hệ quản trị CSDL xây dựng kếm có thể gây mất mát dữ liệu trong trường hợp mất điện đột ngột. Các hành động phá hoại cũng có thể gây ra mất tính toàn vẹn của dữ liệu.

–   Tính sẵn sàng

Tuy dữ liệu phải được đảm bảo bí mật và toàn vẹn nhưng đối với người sử dụng, dữ liệu phải luôn trong trạng thái sẵn sàng. Các biện pháp bảo mật làm cho người sử dụng gặp khó khăn hay không thể thao tác được với dữ liệu đều không thể được chấp nhận. nói khác đi, các biện pháp đảm bảo an toàn dữ liệu phải đảm bảo được sự bảo mật và toàn vẹn của dữ liệu đồng thời cũng phải hạn chế tối đa những khó khăn gây ra cho người sử dụng thật sự. Dữ liệu và tài nguyên của hệ thống phải luôn ở trong tình trạng sẵn sàng phuc vụ bất cứ lúc nào đối với những người dùng có thẩm quyền sử dụng một cách thuận lợi.

–   Tính tin cậy

Yêu cầu về tính tin cậy liên quan đến khả năng đảm bảo rằng, ngoài những người có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị. Mặt khác, nó phải đảm bảo rằng thông tin mà người dùng nhận được là đúng với sự mong muốn của họ, chưa hề  bị mất mát hay bị  lọt vào tay những người không được phép.Việc đánh giá độ an toàn của một hệ thống thông tin phải xem xét đến tất cả những yếu tố trên. Nếu thiếu một trong số đó thì độ bảo mật của hệ thống là không hoàn thiện.

1.5, Một số biện pháp, công nghệ an toàn bảo mật thông tin khinh doanh

a, Công nghệ bảo mật đường truyền.

Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau:

+ Mã hoá sử dụng khoá riêng (Symmetric-key encryption)

+ Mã hoá sử dụng khoá công khai (Public-key encryptio

b, Công nghệ điện toán đám mây

Hình : Sơ đồ điện toán đám mây với các dịch vụ được cung cấp nằm bên trong “ đám mây”  được truy cập từ các máy tính ở bên ngoài

Hình : Sơ đồ điện toán đám mây với các dịch vụ được cung cấp nằm bên trong “ đám mây” được truy cập từ các máy tính ở bên ngoài

  • Khái niệm:

Từ “Đám mây” trong Điện toán đám mây thực chất chỉ là 1 phép ẩn dụ để mô tả Internet. Theo định nghĩa thì điện toán đám mây là biện pháp sử dụng dựa trên kết nối Internet, nơi mà những người dùng chia sẻ cùng một mạng máy chủ, phần mềm và dữ liệu.

Điện toán đám mây (Thuật ngữ tiếng Anh: Cloud Computing, hay còn biết đến với tên gọi “Điện toán máy chủ ảo”) là mô hình máy tính dựa trên nền tảng phát triển scủa Internet.

Điện toán đám mây là sự nâng cấp từ mô hình máy chủ mainframe sang mô hình cleint-server. Cụ thể, người dùng sẽ không còn phải có các kiến thức về chuyên mục để điều khiển các công nghệ, máy móc và cơ sở hạ tầng, mà các chuyên gia trong“đám mây” của các hãng cung cấp sẽ giúp thực hiện điều đó. Thuật ngữ “đám mây” ở đây là lối nói ẩn dụ chỉ mạng Internet (dựa vào cách được bố trí của nó trong sơ đồ mạng máy tính) và như một liên tưởng về độ phức tạp của các cơ sở hạ tầng chứa trong nó.

Ở mô hình điện toán này.

Mọi khả năng liên quan đến công nghệ thông tin đều được cung cấp dưới dạng các “dịch vụ”, cho phép người sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó “trong đám mây” mà không cần phải có các kiến thức, kinh nghiệm về công nghệ đó, cũng như không cần quan tâm đến các cơ sở hạ tầng phục vụ công nghệ đó.

Tài nguyên, dữ liệu, phần mềm và các thông tin liên quan đều được chứa trên cácserver (chính là các “đám mây”). Nói một cách đơn giản nhất “ứng dụng điện toán đám mây” chính là những ứng dụng trực tuyến trên Internet. Trình duyệt là nơi ứng dụng hiện hữu và vận hành còn dữ liệu được lưu trữ và xử lý ở máy chủ của nhà cung cấp ứng dụng đó.

Hình :Dữ liệu trên đám mây

  • Hình: Dữ liệu trên đám mây

    – Các kiểu hình thành đám mây

Có ba kiểu hình thành đám mây: riêng tư (theo giả thuyết), công cộng và lai.

– Các đám mây công cộng.

Có sẵn cho công chúng hoặc một nhóm ngành nghề lớn và do một tổ chức bán các dịch vụ đám mây sở hữu và cung cấp. Một đám mây công cộng là cái mà người ta hình dung là đám mây theo nghĩa thông thường; đó là các tài nguyên được cung cấp động trên Internet bằng cách sử dụng các ứng dụng web từ một nhà cung cấp bên thứ ba bên ngoài cung cấp các tài nguyên chia sẻ và gửi hóa đơn tính cước trên cơ sở tính toán việc sử dụng.

– Các đám mây riêng tư.

Tồn tại bên trong tường lửa của công ty bạn và do tổ chức của bạn quản lý. Chúng là các dịch vụ đám mây do bạn tạo ra và kiểm soát trong doanh nghiệp của mình. Các đám mây riêng tư cũng cung cấp nhiều lợi ích tương tự như các đám mây công cộng – sự khác biệt chủ yếu là tổ chức của bạn chịu trách nhiệm thiết lập và duy trì đám mây đó.

– Các đám mây lai.

Là một sự kết hợp của đám mây công cộng và riêng tư khi sử dụng các dịch vụ có trong cả hai vùng công cộng và riêng tư. Các trách nhiệm quản lý được phân chia giữa các nhà cung cấp dịch vụ đám mây công cộng và chính doanh nghiệp. Khi sử dụng một đám mây lai, các tổ chức có thể xác định các mục tiêu và các yêu cầu của các dịch vụ được tạo ra và có được chúng dựa vào sự lựa chọn thích hợp nhất.

Công nghệ (CIO) sẽ là các ứng dụng doanh nghiệp ảo hóa và điện toán đám mây để giúp công ty họ bớt lo lắng về quản lý cơ sở hạ tầng thông tin, tập trung vào việc chèo lái quá trình phát triển của công ty hơn. Cũng theo đánh giá, tính đến năm 2012, 80% doanh nghiệp trong danh sách 1.000 công ty hàng đầu (theo đánh giá của tạp chí Fortune – Mỹ) sẽ sử dụng ít nhất một vài loại hình dịch vụ đám mây và khoảng 20% doanh nghiệp sẽ không còn sở hữu các tài sản hoặc hạ tầng công nghệ thông tin.

c, Tường lửa:

Tường lửa (Firewall) là một máy tính hay một thành phần của mạng nằm giữa người dùng và thế giới bên ngoài nhằm bảo vệ mạng bên trong tránh khỏi sự tấn công từ bên ngoài. Khi được cấu hình để hoạt động, firewall ngăn cản những cuộc truy cập bất hợp pháp từ bên ngoài vào mạng nội bộ, ngăn chặn những người sử dụng bên trong các mạng trước những nguy hiểm tiềm tàng từ những mạng bên ngoài và từ các cổng (port).

Ở đây chúng ta đề cập đến 3 công nghệ firewall, đó là:

Packet filtering firewall

Packet filtering firewall được cấu hình để cho phép hay ngăn cấm quá trình truy cập của các port hay địa chỉ IP cụ thể nào đó. Có hai cách giải quyết khi thiết lập hoạt động của Packet filtering firewall, đó là “allow by default” và “deny by default”.“Allow by default” cho phép tất cả các traffic đi qua loại trừ những traffic đặc biệt đã bị ngăn cấm. “Deny by defaul” ngăn chặn tất cả các traffic đi qua trừ những traffic rõ ràng đã được cho phép.

Packet filtering firewall có những mặt lợi nhưng cũng có nhiều mặt hạn chế.Cái lợi đầu tiên của nó là tốc độ xử lý.Khi các gói tin đi qua, chỉ có phần header là được kiểm tra và các quy tắc kiểm tra cũng rất đơn giản nên tốc độ xử lý là rất cao.Ngoài ra, Packet filtering firewall cũng rất dễ dàng sử dụng. Việc thiết lập cấu hình cho nó là tương đối dễ dàng và việc đóng hay mở các port cũng được thực hiện một cách nhanh chóng. Một ưu điểm của Packet filtering firewall là nó có tính trong suốt đối với các thiết bị mạng.

Packet filtering firewall chỉ kiểm tra phần header chứ không kiểm tra nội dung của gói tin. Đây chính là ngòi nổ cho sự phá hoại từ bên trong, khi mà các gói tin có header hợp pháp đã được firewall cho đi qua một cách dễ dàng.

Application layer Gateways

Đây còn được gọi là Apllication filtering. Nó có nhiều tính năng nổi trội hơn so với Packet filtering firewall. Application layer Gateways kiểm tra toàn bộ gói tin và việc lọc bỏ gói tin được dựa trên các quy luật đặc trưng, rành mạch hơn.

 

Hình : Application Layer Gateway

Hình : Application Layer Gateway

Ở đây, router kết nối ra Internet (hay còn gọi là exterior router-router ngoại vi) sẽ đưa tất cả các traffic nhận vào đến application gateway. Các router bên trong (interior router) sẽ chỉ nhận các gói tin được chuyển tủ application gateway. Như vậy là application gateway có khả năng kiểm soát việc phân phối của các dịch vụ mạng đi ra hay đi vào hệ thống mạng. Khi đó chỉ những user nào được cho phép mới có thể kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới có thể thiết lập kết nối với host bên trong.

Application layer Gateways sử dụng các quy tắc phức tạp hơn Packet filtering để xác định tính hợp lệ của các gói tin muốn đi qua nó, do đó tăng tính an toàn cho hệ thống. Tuy nhiên chính điều này lại tạo ra sự hạn chế của công nghệ này. Tất cả các gói tin đi qua nó đều bị tháo rời ra, dựa trên các quy luật phức tạp để kiểm tra toàn bộ gói tin nhằm xác định tính xác thực của gói tin, do đó tốc độ xử lý là thấp hơn nhiều so với Packet filtering.

Stateful inspection

Đây là công nghệ kết hợp giữa 2 công nghệ nói trên. Nó tìm cách khắc phục những nhược điểm còn lại của Packet filtering và Application layer Gateways. Stateful inspection cung cấp sư nhận biết ở lớp ứng dụng cho firewall nhưng lại không phải tháo rời gói tin. Như vậy Stateful inspection hoạt động nhanh hơn Application layer Gateways và có khả năng bảo mật cao hơn Packet filtering.

Một số mô hình mạng được triển khai bằng firewall
Hình: Mô hình triển khai firewall

Hình: Mô hình triển khai firewall

Thông thường các firewall được đặt tại vị trí đường biên, giữa mạng bên trong và thế giới bên ngoài.Tại vị trí này, firewall có thể kiểm soát các traffic từ bên trong đi ra cũng như từ bên ngoài đi vào.

 

Hình 13: Mô hình triển khai kết hợp firewall nhiều tầng

Hình 13: Mô hình triển khai kết hợp firewall nhiều tầng

Để tăng độ an toàn cho hệ thống, chúng ta có thể tăng tính chất bảo vệ của firewall bằng cách sử dụng mô hình firewall nhiều tầng để chúng bổ xung và phối kết hợp với nhau. Bằng cách này chúng ta vừa tăng tính bảo mật cho mạng vừa hạn chế được các yếu điểm của firewall. Thông qua việc cấu hình firewall phù hợp với từng dạng firewall sử dụng và tính chất các dịch vụ mà firewall đó bảo vệ mà ta có một hệ thống có chất lương tốt hơn. Những phần quan trọng và mang tính chất quyết định thì nên đặt ở phía trong của hệ thống vì khi đó muốn truy cập vào các phần này phải đi qua nhiều lớp firewall, như thế độ an toàn sẽ tăng lên.