Nhu cầu kiểm định, đánh giá an toàn thông tin
Công tác kiểm định, đánh giá chất lượng an toàn thông tin (ATTT) các sản phẩm và hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh, ... đã đưa ra các hệ thống tiêu chí đánh giá an toàn thông tin các hệ thống CNTT với nội dung ngày càng được hoàn chỉnh, như Sách Da cam (năm 1983) – Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); sách Đỏ (năm 1987) – Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991) – Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)....
Mục đích của việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật, hay nói cách khác là các tiêu chí, yêu cầu đã đặt ra cho sản phẩm hay không. Đó chính là những căn cứ giúp người dùng có cách nhìn khách quan, đúng đắn về chất lượng sản phẩm, dễ dàng so sánh để đưa ra quyết định lựa chọn và ứng dụng sản phẩm trong thực tế. Đối với những người nghiên cứu, phát triển sản phẩm, kết quả đánh giá sẽ là sự khẳng định chất lượng sản phẩm khi đưa ra thị trường, là một bằng chứng tạo niềm tin đối với người dùng, cũng như thể hiện sự tuân thủ các qui định trong việc lưu thông hàng hóa. Với cơ quan quản lý, kiểm định, đánh giá sản phẩm là công cụ để thực hiện chức năng quản lý của mình.
Các yếu tố ảnh hưởng tới công tác kiểm định sản phẩm ATTT
Xây dựng Hệ thống kiểm định, đánh giá chất lượng sản phẩm ATTT hết sức phức tạp, đòi hỏi phải có sự đầu tư lớn về cơ sở vật chất và nguồn nhân lực. Về cơ bản, các yếu tố chính ảnh hưởng đến hoạt động kiểm định, đánh giá sản phẩm ATTT được thể hiện trong sơ đồ dưới đây.
Trong sơ đồ có thể thấy, nhân tố chính trong hệ thống kiểm định, đánh giá sản phẩm là Cơ quan kiểm định sản phẩm ATTT.
Cơ quan kiểm định là thành phần trung tâm trong việc xây dựng, phối hợp và áp dụng các văn bản quy phạm pháp luật, các công nghệ, công cụ trong hoạt động kiểm định. Cơ cấu và tổ chức của bộ máy kiểm định cần được xây dựng để đáp ứng nhu cầu vận hành hiệu quả mô hình hệ thống kiểm định và cấp chứng nhận trong cả nước. Đội ngũ nhân lực của Cơ quan kiểm định cần được trang bị những kiến thức cơ bản về khoa học công nghệ, kiến thức nền tảng về CNTT, đặc biệt là kiến thức liên quan đến sản phẩm ATTT như nguyên lý chế tạo, vận hành, quản trị sản phẩm. Các cán bộ kiểm định cũng cần nắm vững các kiến thức chuyên môn về công tác kiểm định đánh giá sản phẩm ATTT như các tiêu chuẩn, tiêu chí, phương pháp luận đánh giá, các kỹ thuật, công nghệ và công cụ thực hiện việc kiểm định, đánh giá. Do đó, đội ngũ nhân lực phục vụ hoạt động kiểm định cần phải đáp ứng những yêu cầu về chuyên môn, luôn được đào tạo và bồi dưỡng bổ sung kiến thức thường xuyên.
Yếu tố thứ hai là các văn bản quy phạm pháp luật liên quan tới hoạt động kiểm định, đánh giá cùng các tiêu chuẩn, tiêu chí, qui trình kiểm định, phương pháp luận kiểm định. Đây là những cơ sở khoa học và pháp lý để triển khai công tác kiểm định.
Các tiêu chuẩn (quy chuẩn kỹ thuật) đánh giá sản phẩm ATTT có thể được xây dựng ở cấp quốc gia, cấp khu vực (giữa các quốc gia) hay mang tầm quốc tế. Xu hướng của nhiều nước trên thế giới là ban hành các tiêu chuẩn quốc gia dựa trên tiêu chuẩn quốc tế hoặc theo tiêu chuẩn của các nước có nền khoa học công nghệ phát triển như Mỹ, Nga, Anh.…
Trong lĩnh vực kiểm định, đánh giá sản phẩm ATTT, Tổ chức các quốc gia công nhận lẫn nhau (Common Criteria Recognition Arrangement - CCRA) thống nhất sử dụng Tiêu chí chung (CC – Common Criteria) cho hoạt động đánh giá sản phẩm ATTT. CCRA hiện có 17 thành viên chính thức (được phép hoạt động kiểm định, cấp chứng nhận sản phẩm ATTT), 9 thành viên (Certificate Consuming Members) đang trong quá trình gia nhập và nhiều quốc gia gián tiếp sử dụng tiêu chí chung (được công nhận là tiêu chuẩn quốc tế ISO/IEC 15408) cho hoạt động kiểm định của mình. |
Các nước như Anh, Nga và Trung Quốc đều đã xây dựng các tiêu chí, tiêu chuẩn, phương pháp luận, quy định riêng về quy trình kiểm định, đánh giá đối với sản phẩm ATTT.
Đối với các tiêu chuẩn, quy chuẩn kỹ thuật, tiêu chí, hay các tài liệu quy phạm pháp luật có thể phân ra làm hai nhóm chính. Nhóm thứ nhất là các chuẩn, tiêu chí đánh giá ATTT được Cơ quan đánh giá sử dụng để định hướng cho việc đánh giá, để thực hiện phân tích, phân loại sản phẩm. Đây là các tài liệu đóng vai trò phương pháp luận để đánh giá sản phẩm (CC, FIPS 140, ISO/IEC 15408,...). Nhóm thứ hai là các tiêu chuẩn, tiêu chí ATTT nói chung, các quy chuẩn kỹ thuật và các yêu cầu riêng biệt đối với từng loại và từng đối tượng sản phẩm ATTT. Đây là các tài liệu kỹ thuật được mô tả chi tiết để Cơ quan đánh giá thực hiện việc kiểm định, đánh giá chất lượng của sản phẩm và so sánh với các yêu cầu trong các tài liệu đó (các tiêu chuẩn mật mã, các tiêu chuẩn RFC, các quy chuẩn kỹ thuật,...). Dựa trên hai nhóm đó, Cơ quan đánh giá thực hiện việc kiểm định, đánh giá đối với một sản phẩm ATTT cụ thể.
Một trong các yếu tố quan trọng ảnh hưởng lớn tới thời gian đánh giá, chất lượng đánh giá là các công cụ được sử dụng hỗ trợ cho việc kiểm định, đánh giá.
Công tác kiểm định, đánh giá sẽ không thể thực hiện nếu không có hệ thống trang thiết bị, công cụ phục vụ việc kiểm định. Bên cạnh các phòng thử nghiệm (lab) với trang thiết bị hiện đại, phù hợp cho việc kiểm định từng loại sản phẩm, hoạt động kiểm định còn cần có các trang thiết bị thử nghiệm, thiết bị giả lập, thiết bị đo kiểm, các bộ công cụ thử nghiệm dưới dạng phần cứng và phần mềm.
Xây dựng chương trình hợp tác và chuyển giao công nghệ về kiểm định, đánh giá sản phẩm ATTT từ các nước phát triển là những bước không thể thiếu trong quá trình xây dựng hệ thống đánh giá sản phẩm của mỗi quốc gia để từng bước tiến tới hội nhập với khu vực và thế giới.
Trên cơ sở đó, có thể thấy muốn phát triển một cách hoàn thiện hệ thống kiểm định, đánh giá chất lượng sản phẩm ATTT thì việc phát triển đồng bộ các yếu tố nêu trên là nguyên tắc cần thiết. Chính các yếu tố này đóng góp một phần lớn vào việc thúc đẩy sự phát triển các sản phẩm, dịch vụ ATTT và tạo điều kiện cho các sản phẩm được ứng dụng rộng rãi với độ tin cậy cao.
Kết luận
Phát triển hệ thống kiểm định, cấp chứng nhận sản phẩm ATTT là một quá trình lâu dài, cần rất nhiều nguồn tài nguyên và nhân lực. Tùy theo từng giai đoạn phát triển mà các yếu tố chính trong mô hình kiểm định, đánh giá sản phẩm ATTT sẽ được quan tâm, đầu tư ở các mức độ khác nhau với lộ trình thống nhất. Tuy nhiên, quá trình đầu tư cho nguồn nhân lực làm công tác kiểm định, đánh giá sản phẩm ATTT cần phải được quan tâm thường xuyên, liên tục và thích đáng, bởi đây là yếu tố quyết định tới kết quả hoạt động đánh giá an toàn thông tin.
08:00 | 16/01/2018
15:00 | 03/02/2020
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024