Quá trình hình thành các Tiêu chuẩn An toàn thông tin
Nội dung của phần này bài báo đề cập tới các vấn đề khái quát về hai nhóm tiêu chuẩn ATTT là các tiêu chuẩn đánh giá và tiêu chuẩn đặc tả kỹ thuật. Tác giả cũng trình bày ba tiêu chuẩn đánh giá phổ biến nhất và tương đối cơ bản cho hoạt động đánh giá an toàn, đó là: Tiêu chí chung đánh giá an toàn công nghệ thông tin (Common Criteria - CC), Phương pháp luận đánh giá an toàn công nghệ thông tin (Common methodology for IT security evaluation - CEM) và Các yêu cầu an toàn đối với môđun mật mã (FIPS 140 - 2).
1. Khái quát
Các tiêu chuẩn đánh giá
Các tiêu chí đánh giá ATTT dưới góc độ công nghệ ra đời sớm hơn so với các tiêu chí về quản lý, cũng bởi vì thực tiễn luôn đi trước quản lý. Tiêu chí đầu tiên đánh giá ATTT là TCSEC. Sau TCSEC, trong thời gian 1985 - 1995, có khoảng 30 tiêu chuẩn và tài liệu hướng dẫn trong lĩnh vực an toàn máy tính, thường được gọi là Rainbow Series được công bố ở Mỹ. Bộ tài liệu này đề cập đến nhiều vấn đề của an toàn máy tính, đáng kể nhất trong số đó là Trusted Network Interpretation, với nội dung giải thích, minh họa TCSEC cho các cấu hình mạng và mô tả, đánh giá các dịch vụ an toàn các mạng máy tính. Trong tài liệu tiêu chuẩn này, cơ chế bảo vệ bằng mật mã lần đầu được trình bày, nhằm đảm bảo tính bí mật và tính toàn vẹn của thông tin. Điểm mới của tài liệu chuẩn này xét theo góc độ thời điểm là có cách tiếp cận hệ thống đối với vấn đề truy cập và sự hình thành các nguyên lý cấu trúc hệ thống.
Sau hơn 5 năm xuất hiện TCSEC, cuối những năm 80 chính phủ Mỹ cho công bố “Các tiêu chí Liên bang đánh giá an toàn công nghệ thông tin”. Đây là kết quả của nhiều nghiên cứu trong thập kỷ 80 và trên cơ sở phân tích kinh nghiệm sử dụng TCSEC. Khái niệm cốt lõi của tiêu chuẩn này là Hồ sơ bảo vệ (Proctection Profile), một trong những khái niệm quan trọng nhất trong hệ thống các tiêu chuẩn đánh giá. Đó là tài liệu tiêu chuẩn qui định các phương diện an toàn của sản phẩm CNTT dưới dạng các yêu cầu đối với tất cả các giai đoạn: thiết kế, hoàn chỉnh công nghệ, chế tạo và cấp chứng nhận.
Năm 1991, bốn nước gồm Pháp, Anh, Đức, Hà Lan cùng công bố “Tiêu chí hài hòa của các nước châu Âu”. Theo tiêu chuẩn này, tổ chức yêu cầu đánh giá và cấp chứng nhận cho sản phẩm CNTT cần tự xây dựng muc tiêu đánh giá, mô tả các mối đe dọa tiềm ẩn về ATTT và đề xuất các chức năng bảo vệ. Cơ quan cấp chứng nhận chỉ cần đánh giá mức độ đạt được mục tiêu thông qua các các chức năng đã đề ra. So với TCSEC và “Các tiêu chí liên bang” thì “Tiêu chí hài hòa của các nước châu Âu” có chức năng an toàn rộng hơn (gồm 10 hàm chức năng an toàn, so với 5 chức năng của TCSEC), đồng thời tiêu chuẩn này cũng đưa ra các mức an toàn khá chi tiết. Cùng thời gian này, chính phủ Canada cũng cho công bố “Tiêu chí đánh giá sản phẩm máy tính tin cậy của Canada” (Canadian Trusted Computer Product Evaluation Criteria).
Năm 1993, các tổ chức chính phủ của 6 nước Bắc Mỹ và châu Âu gồm Canada, Mỹ, Anh, Đức, Hà Lan và Pháp cùng soạn thảo tiêu chuẩn “Tiêu chí chung đánh giá an toàn công nghệ thông tin” (Common Criteria for IT security Evaluation), thường gọi là Tiêu chí chung (Common Criteria - CC) trong khuôn khổ một dự án gọi là Dự án CC. Mục tiêu của Dự án CC là xây dựng một tiêu chuẩn mới trên cơ sở kết hợp và phát triển ba tiêu chuẩn “Tiêu chuẩn hài hòa của các nước Châu Âu”, “Tiêu chí đánh giá các hệ thống máy tính tin cậy” của Canada và “Tiêu chuẩn Liên bang an toàn công nghệ thông tin”. Phương án 1 của CC đã được ra đời vào năm 1996. Năm 1998, phương án 2 của CC ra đời với nhiều thay đổi quan trọng so với phương án đầu tiên. CC liên tục được xem xét và hoàn thiện, năm 1999, phương án CC 2.1 được ban hành trên cơ sở góp ý của nhóm công tác chuyên ngành thuộc tổ chức ISO. Sáu năm sau (năm 2005), phương án CC 3.0 ra đời trên cơ sở xem xét lại nhiều nội dung của các phương án trước đó và năm 2006 phương án CC 3.1 và được ban quản lý CC công bố như bản chính thức của CC.
Phương án 2.1 của CC đã được tổ chức ISO công bố năm 1999 thành tiêu chuẩn quốc tế ISO/IEC15408 - 1999: Tiêu chí đánh giá an toàn công nghệ thông tin. ISO/IEC 15408:1999 được hoàn thiện, phát triển và năm 2009 được công bố thành ba phần tương ứng với ba nội dung chính của CC là ISO/IEC 15408 - 1: 2009 - Tổng quát (các quan điểm, khái niệm và nguyên lý), ISO/IEC 15408 - 2: 2009 - Các yêu cầu chức năng về an toàn và ISO/IEC 15408 - 3:2009 - Các yêu cầu đảm bảo.
Tiêu chí chung CC cũng như ISO 15408 được coi là một “siêu tiêu chuẩn”, không chỉ vì phạm vi đồ sộ mà còn vì tính tổng quát và trừu tượng không dễ áp dụng của nó. Vì vậy, để tạo thuận lợi cho việc áp dụng CC, ISO đã ban hành một loạt tài liệu hướng dẫn như: Hướng dẫn xây dựng Hồ sơ bảo vệ và Xây dựng nhiệm vụ an toàn, Các thủ tục đăng ký hồ sơ bảo vệ và Phương pháp luận tổng quát đánh giá an toàn công nghệ thông tin (CEM).
Trong các phương tiện bảo đảm ATTT, mật mã có vai trò đặc biệt. Do đó các thuật toán và giao thức mật mã thường được công bố thành tiêu chuẩn riêng. Tuy nhiên, mật mã được tích hợp vào các sản phẩm ATTT như những môđun - được gọi là môđun mật mã (Cryptigraphic module). Các môđun này được thiết kế thành hai phần, phần thuật toán và phần giao diện. Vì thế chúng có vị trí đặc biệt trong cơ cấu an toàn thông tin và cần xây dựng các yêu cầu an toàn riêng dành cho các loại môđun này. Đáp ứng nhu cầu này, tháng 5/2001, Mỹ đã công bố tiêu chuẩn FIPS 140 - 2 “Yêu cầu an toàn đối với các môđun mật mã” (FIPS 140 - 2: Security Requirements for Cryptographic Modules).
Về thực chất, các tiêu chuẩn đánh giá chủ yếu mô tả các khái niệm và các phương diện quan trọng nhất của ATTT, chúng giữ vai trò đặc tả về tổ chức và cấu trúc, mô tả các yêu cầu an toàn..., do đó cần có các tài liệu chuẩn về xây dựng các hệ thống an toàn theo cấu trúc và các yêu cầu an toàn mà các tiêu chí đánh giá đề ra.
Các tiêu chuẩn đặc tả kỹ thuật
Các tiêu chuẩn đặc tả kỹ thuật chủ yếu được nhóm chuyên đề về công nghệ Internet (Internet Engineeng Task Force - IETF) và các bộ phận của nhóm này soạn thảo. Đối tượng xây dựng các tiêu chuẩn đặc tả kỹ thuật của IETF là vấn đề an toàn trên các tầng mạng. Một số lượng đáng kể tài liệu chuẩn đã được IETF xây dựng và công bố được sử dụng rộng rãi, nhất là IPsec, TLS và GSS- API.
IPsec cung cấp các giao thức quản lý truy cập, xác thực, bảo mật, đảm bảo tính toàn vẹn và bảo vệ từng phần chống lại các tấn công, các giao thức quản lý khóa mật mã.
TLS (Transport layer Security) là giao thức mật mã chuẩn lần đầu tiên được công bố năm 1999, nhằm đảm bảo liên lạc an toàn trên internet và được cập nhật vào RFC 5246 (năm 2008) và RFC 6176 (năm 2011). TLS có cấu trúc hai mức, mức 1 là giao thức truyền dữ liệu, mức hai là giao thức thiết lập liên lạc cho phép các bên liên lạc xác thực lẫn nhau và lựa chọn thuật toán cũng như khóa mật mã.
Mục tiêu của GSS- API (The generic Security Services Application Program Interface) - giao diện ứng dụng chương trình tổng quát dịch vụ ATTT - là bảo vệ liên lạc giữa các thành phần của hệ thống được thiết kế theo cấu trúc client/server.
Trong số các tiêu chuẩn đặc tả kỹ thuật, quan trọng nhất cần kể đến các tài liệu X800 - The security architecture for open systems interconnections (Kiến trúc an toàn cho các kết nối hệ thống mở), X.500 - The Directory: Overview of concepts, models and servicers và X509 - The Directory: public- key and Attributute Certificate Frameworks. Tài liệu chuẩn này cung cấp các yếu tố cơ sở hạ tầng về ATTT. Chẳng hạn X509 là tài liệu chuẩn quan trọng nhất và sử dụng rộng rãi nhất hiện nay trong việc xây dựng cơ sở hạ tầng khóa công khai tại nhiều quốc gia.
Dưới đây sẽ giới thiệu vắn tắt ba tiêu chuẩn đánh giá phổ biến nhất hiện nay. Đó là Tiêu chí chung (CC), Phương pháp luận tổng quát đánh giá an toàn công nghệ thông tin (CEM) và FIPS 140 - 2 “Các yêu cầu an toàn đối với các môđun mật mã”.
2. Tiêu chí chung đánh giá an toàn thông tin - CC (tương ứng với ISO/IEC 15408)
Đặc điểm cơ bản của Tiêu chí chung là tính bao quát về nhiều khía cạnh của ATTT. Đối tượng đánh giá theo CC là sản phẩm và hệ thống thông tin (có thể đã ở dạng thành phẩm hoặc đang được thiết kế) được ký hiệu là TOE (Target of Evaluation). Mỗi TOE được xem xét trong một bối cảnh xác định được gọi là môi trường an toàn, bao gồm tất cả những vấn đề có liên quan đến an toàn. Môi trường an toàn theo CC gồm các yếu tố sau: môi trường pháp lý, môi trường hành chính (chính sách an toàn), môi trường vật lý (các biện pháp bảo vệ, nhân sự với yêu cầu về tri thức, năng lực, kinh nghiệm; các qui định về khai thác...); môi trường kỹ thuật (những tài nguyên mà TOE được sử dụng để bảo vệ).
Mục tiêu an toàn cho TOE được xây dựng trên cơ sở các giả thiết về an toàn, các mục tiêu này nhằm đảm bảo chống lại các mối đe dọa và thực hiện đầy đủ các chính sách về an toàn. Tùy vào mối quan hệ trực tiếp với TOE hoặc môi trường, các mục tiêu an toàn được chia thành hai nhóm: nhóm thứ nhất là mục tiêu cho môi trường đạt được bằng các phương tiện phi kỹ thuật. Nhóm thứ hai mang tính kỹ thuật và để đạt được chúng, CC đưa ra một hệ thống các Yêu cầu an toàn (Security Requirements). Các yêu cầu an toàn được chia theo cấu trúc phân cấp thành lớp (class), họ (family), thành phần (component) và phần tử (element).
Phần lớn nội dung của CC là các yêu cầu về an toàn. Các yêu cầu này được chia làm hai loại là: Yêu cầu chức năng (Security functional Requirements) và Yêu cầu đảm bảo (Security Asurance Requirements). Yêu cầu chức năng liên quan đến phương diện “bảo vệ chủ động” (active defence), chúng được gán cho các chức năng an toàn và cơ chế thực thi các chức năng đó. Yêu cầu bảo đảm là các yêu cầu liên quan đến “bảo vệ thụ động” (passive defence), được gán cho công nghệ và quá trình chế tạo, khai thác.
Ngoài khái niệm yêu cầu an toàn, CC được xây dựng trên ba khái niệm cơ bản sau: hồ sơ bảo vệ (Protection Profile - PP) là một bộ các yêu cầu an toàn đối với một lớp sản phẩm xác định; mục tiêu an toàn (Security Target - ST) là tập hợp các yêu cầu đối với một thiết kế cụ thể mà việc thực hiện các yêu cầu đó cho phép giải quyết bài toán an toàn đặt ra và mức đánh giá (Evaluation Asurance Level - EAL).
CC đưa ra bảy mức đánh giá đảm bảo an toàn (Evaluation Asurance Level –EAL) theo thứ tự tự tăng dần. Mức 1 (EAL- 1) là thấp nhất, ở mức này, các mối đe dọa an toàn không được coi là nghiêm trọng và đạt được với chi phí tối thiểu thông qua việc phân tích các đặc tả chức năng, giao diện, tài liệu khai thác kết hợp với phép kiểm tra độc lập. Mức 7 (EAL- 7) là mức cao nhất áp dụng cho những đối tượng đánh giá được sử dụng trong những trường hợp có rủi ro cao hoặc là những nơi mà giá trị của tài nguyên thông tin đòi hỏi chi phí lớn.
3. Phương pháp luận đánh giá an toàn thông tin - CEM (tương ứng với ISO/IEC 18045)
CEM đưa ra mô hình đánh giá và những hoạt động cơ bản cần tiến hành khi đánh giá độ an toàn của sản phẩm hoặc hệ thống thông tin sử dụng các tiêu chí và bằng chứng được xác định trong CC.
Theo mô hình của CEM, có bốn tổ chức tham gia vào quá trình đánh giá: người đặt hàng, nhà chế tạo TOE, người đánh giá và cơ quan đánh giá. Người đặt hàng khởi động việc đánh giá và chịu trách nhiệm cung cấp bằng chứng đánh giá (ví dụ như tài liệu thiết kế), nhà chế tạo có nhiệm vụ đệ trình các dữ liệu phục vụ đánh giá và bằng chứng đánh giá do người đặt hàng ủy nhiệm.
CEM chia quá trình đánh giá thành ba bài toán: bài toán đầu vào, bài toán đánh giá và bài toán đầu ra. Bài toán đầu vào là người đánh giá làm quen với hồ sơ bảo vệ và xử lý các bằng chứng đánh giá do người đặt hàng cung cấp; Bài toán đánh giá gồm các nội dung: đánh giá mục tiêu an toàn, quản lý cấu hình của TOE, tài liệu cho người sử dụng về TOE, tài liệu thiết kế, tài liệu hướng dẫn, các bài kiểm tra đánh giá, phân tích các điểm yếu. Việc đánh giá các điểm yếu được tiến hành trong CEM theo các tiêu chí định tính và định lượng. Do đó, CEM cung cấp một loạt các phương tiện định lượng thông qua các bảng đánh điểm đánh giá điểm yếu.
Nói chung, CEM cung cấp phương pháp luận cho tất cả các vấn đề xuất hiện trong quá trình đánh giá nên đây là tiêu chuẩn không thể thiếu cho các tổ chức đánh giá an toàn CNTT theo tiêu chuẩn CC.
4. Tiêu chuẩn môđun mật mã an toàn - FIPS 140 - 2
Đối với môđun mật mã, hàng loạt các mục tiêu an toàn ở mức cao được đặt ra. Ví dụ, đảm bảo an toàn cho các hàm an toàn trong các môđun mật mã nhằm bảo vệ thông tin chỉ được tiếp cận hạn chế, bảo vệ môđun chống lại việc sử dụng và khai thác trái phép; ngăn ngừa việc khai thác trái phép các thành phần của môđun, các khóa mật mã và các dữ liệu có ý nghĩa quan trọng; ngăn ngừa việc sửa đổi bất hợp pháp và phát hiện các thuật toán mật mã; quy định việc thay thế, cài đặt khóa mật mã, các dữ liệu quan trọng và nhiều mục tiêu khác.
Do đó, tiêu chuẩn FIPS 140 - 2 đã đặt ra các yêu cầu an toàn liên quan đến cả giai đoạn thiết kế và giai đoạn triển khai. Các yêu cầu đó được chia thành 11 nhóm bao gồm: đặc tả môđun mật mã; các yêu cầu đối với các cổng và giao diện môđun; vai trò, dịch vụ và xác thực; mô hình otomat hữu hạn; an toàn vật lý cho môi trường khai thác; quản lý khóa mật mã; tương thích điện từ trường; tự kiểm tra; đảm bảo thiết kế; chống các loại tấn công.
FIPS140- 2 có bốn mức bảo vệ môđun mật mã (so với bảy mức của CC): Mức 1 là yếu nhất, áp dụng một bộ tối thiểu các yêu cầu an toàn. Ví dụ, môđun mã hóa trong máy tính cá nhân hoàn toàn thỏa mãn bộ yêu cầu này. Mức 2 đòi hỏi xác thực các nhân, sử dụng hệ điều hành được cấp chứng nhận phù hợp với hồ sơ bảo vệ trên cơ sở của CC, với mức đánh giá tin cậy không thấp hơn mức 2 của CC. Mức 3 đòi hỏi thêm các yêu cầu sau: tách các cổng và giao diện nhập - xuất khóa mật mã và các dữ liệu quan trọng đối với an toàn; xác thực nhân sự; có phương tiện phát hiện và phản ứng với các cuộc đột nhập; sử dụng hệ điều hành được cấp chứng nhận phù hợp với các hồ sơ bảo vệ nhất định với mức đảm bảo không thấp hơn mức 3 của CC. Mức 4 là mức cao nhất, đòi hỏi một tập hợp đầy đủ các biện pháp bảo vệ vật lý, bao gồm cả các biện pháp chống đỡ các cuộc tấn công được trang bị bởi các điều kiện bên ngoài; hệ điều hành phải phù hợp với mức đánh giá không thấp hơn mức 4 của CC.
5. Kết luận
Như vậy, bên cạnh việc giới thiệu về các tiêu chuẩn ATTT hiện nay trên thế giới, bài viết đã phân tích một số tiêu chuẩn quản lý và đánh giá an toàn CNTT, chủ yếu mô tả khái niệm và ý tưởng chính của những tiêu chuẩn này. Mỗi tiêu chuẩn được đề cập đến đều là những tài liệu có dung lượng lớn (có thể hàng ngàn trang, như CC) với nội dung phức tạp, nên cần có sự đầu tư nghiên cứu của các cơ quan, tổ chức về ATTT. Tại Việt Nam, công tác xây dựng tiêu chuẩn, quy chuẩn trong lĩnh vực ATTT mới ở giai đoạn ban đầu nên việc xây dựng quy hoạch tổng thể và kế hoạch biên soạn, ban hành các tiêu chuẩn, quy chuẩn ATTT phù hợp với nhu cầu phát triển của thực tiễn là rất cần thiết.