Đánh giá mức độ an toàn mạng tin học: Lý luận và thực tiễn
Đại học Quốc gia TP. HCM
Bên cạnh những ích lợi là đã làm thay đổi hẳn cách sống, cách làm việc và tư duy của con người, công nghệ thông tin (CNTT) ngày nay cũng mang lại những thách thức mới, những mối quan tâm mới, hình thái tội phạm mới chưa từng có trong quá khứ. Đó là các tội phạm của thế giới số với qui mô, tính phức tạp và mức độ thiệt hại ngày càng tăng. Ngày nay với một mạng tin học, người ta phải quan tâm nhiều hơn về tính an ninh, mức độ an toàn, khả năng bảo mật và tính sẵn sàng của hệ thống. Sự ngưng trệ của hệ thống thông tin giờ đây có thể gây ra những thiệt hại vật chất không kém gì các thiên tai nghiêm trọng.
Thông tin là tài sản, thuộc quyền sở hữu của tổ chức hay cá nhân, giống như các tài sản hữu hình hay vô hình quan trọng khác. Thông tin có thể tồn tại dưới nhiều dạng, nó có thể được in hoặc được viết ra trên giấy, được lưu trữ trên băng đĩa, được gửi nhận qua đường bưu điện hoặc dùng các phương tiện điện tử, lưu trữ dưới dạng phim ảnh hoặc được trao đổi qua các cuộc nói chuyện, đàm thọai… Tài sản thông tin có giá trị đối với một tổ chức, một cá nhân và vì thế nó cần được bảo vệ một cách thích hợp. Hiện nay và trong tương lai, bảo vệ hệ thống thông tin sẽ trở thành một trong các mối quan tâm hàng đầu của các tổ chức.
Nói về bảo vệ thông tin, chúng ta thường đứng trước những câu hỏi như: Làm sao đánh giá được mức độ an toàn của một hệ thống thông tin đang vận hành? Làm sao thiết kế một hệ thống thông tin mới cùng với các chính sách vận hành để có được một mức độ an toàn mong muốn? Làm sao đào tạo được chuyên viên có khả năng thực hiện các công việc trên?
Trong phạm vi bài viết này, chúng tôi muốn đề cập tới vấn đề đánh giá an toàn thông tin về lý luận cũng như triển khai thực tế đã được thực hiện bởi Phòng Nghiên cứu an ninh thông tin – ISeLAB thuộc Khu Công nghệ phần mềm Đại học quốc gia Tp HCM trong năm qua.
Để đánh giá mức độ an toàn của một mạng tin học hiện hữu hoặc còn trong giai đoạn thiết kế cần phải dựa trên chuẩn mực nào? Trả lời cho câu hỏi này có thể xuất phát từ tiêu chuẩn về an toàn thông tin ISO 17799.
ISO 17799 là gì?
ISO 17799 ra đời vào năm 2000 dựa trên một chuẩn về an toàn thông tin của Anh là BS 7799-1:1999. Phiên bản hiện tại phát hành vào năm 2005 gọi là ISO/IEC 17799: 2005, sau đó được đổi thành ISO/IEC 27002: 2005 vào năm 2007. Nó có tựa đề là Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực tế cho việc quản lý an ninh thông tin (Information technology - Security techniques - Code of practice for information security management).
Chuẩn ISO 17799 đưa ra các hướng dẫn và nguyên lý tổng quát cho việc khởi tạo, vận dụng, duy trì và nâng cao sự quản lý an ninh thông tin trong một tổ chức. Mục đích của chuẩn là cung cấp các hướng dẫn tổng quan nhằm đạt được các mục tiêu thông thường trong việc quản lý an ninh thông tin.
Các mục tiêu kiểm soát và các nội dung kiểm soát của chuẩn có thể được vận dụng để thỏa mãn các yêu cầu về mức độ an ninh thông tin sau khi đánh giá rủi ro của một doanh nghiệp. Chuẩn có thể được dùng như hướng dẫn thực tế cho việc phát triển tiêu chuẩn an ninh của tổ chức và các ứng dụng quản lý an ninh một cách hiệu quả, cũng như xây dựng sự tin cậy (trust) trong các hoạt động giữa các tổ chức.
Giống như các chuẩn ISO về quản lý khác, một tổ chức có thể thiết lập cấu trúc cũng như vận hành cơ quan mình theo hướng dẫn của chuẩn ISO 17799 và được một tổ chức độc lập có thẩm quyền đánh giá và cấp chứng nhận. Có thể nói, nếu một tổ chức được xác nhận một cách nghiêm túc là đã tuân theo chuẩn ISO 17799 thì hệ thống thông tin của tổ chức này được coi là an toàn. Nhưng nếu một tổ chức không tuân theo chuẩn ISO 17799 thì chưa thể đi đến kết luận hệ thống của cơ quan này là không an toàn. Tuy nhiên, nếu một tổ chức có mức độ hợp chuẩn ISO 17799 thấp thì hầu như chắc chắn hệ thống thông tin của nó là không an toàn.
Với những nhận thức trên, công việc tiếp theo là tìm cách đánh giá mức độ hợp chuẩn ISO 17799 của một hệ thống thông tin trong một tổ chức xác định. Đây thực sự không phải là một công việc mới mẻ với thế giới vì họ đã có các công cụ để thực hiện công việc này. Tuy nhiên, cái đáng để ý ở đây là ISO 17799 là một bộ qui định bằng tiếng Anh kỹ thuật khó hiểu, khó kiểm tra tính phù hợp hay không cho một qui định nào đó của chuẩn. Vì vậy xây dựng một công cụ đánh giá tính “hợp chuẩn ISO 17799” bằng tiếng Việt là một công việc cần thiết cho phép triển khai thực tế tại Việt Nam.
Một công cụ đánh giá tính phù hợp ISO 17799 của nước ngoài hay trong nước xây dựng đều bao gồm 2 thành phần chính là:
A/ Thành phần thu thập các thông tin từ hệ thống mạng tin học của tổ chức.
B/ Thành phần đánh giá mức độ hợp chuẩn theo các qui định của ISO 17799 dựa trên các thông tin nhận được từ A.
Thành phần A thường bao gồm một số thành phần nhỏ như:
- Lấy thông tin qua bộ câu hỏi thăm dò (questionaire). Bộ câu hỏi thăm dò sẽ cho biết các chính sách về an toàn thông tin được triển khai như thế nào dưới con mắt của nhiều người ở nhiều vị trí khác nhau. Nhược điểm chính của phương pháp này là thông tin có mang tính chủ quan và phụ thuộc vào vị trí công tác của người trả lời câu hỏi.
- Lấy thông tin qua phỏng vấn. Đây là biện pháp hỗ trợ cho bộ câu hỏi thăm dò, khi mà người trả lời không hiểu hết ý của câu hỏi trong bộ câu hỏi thăm dò, hoặc kết quả có mâu thuẫn cần được làm rõ. Phỏng vấn cũng cho phép đánh giá tính trung thực kết quả của câu hỏi thăm dò.
- Lấy thông tin qua khảo sát hiện trường. Căn cứ vào kết quả trả lời qua phiếu thăm dò, việc khảo sát tại chỗ như quan sát các bảng thông báo, khảo sát phòng máy chủ… là cần thiết để đánh giá chính xác hơn thông tin của các câu trả lời.
- Lấy thông tin bằng cách sử dụng các công cụ “quét” mạng, cho phép lấy được các thông tin khách quan về tình trạng hiện tại, về an ninh thông tin của các máy chủ, máy trạm và thiết bị mạng. Thông tin có được qua quét mạng có ưu điểm quan trọng là có tính khách quan cao, nhưng chỉ giới hạn trong việc tìm kiếm các sơ hở trên các máy chủ, máy trạm, thiết bị định tuyến… cũng như các bất hợp lý (nếu có) của cấu trúc mạng. Khảo sát qua quét mạng nói chung không cho phép thấy được các chính sách về an toàn thông tin của tổ chức. Khi sử dụng cả công cụ chuyên nghiệp của hãng Foundstone và các phần mềm mã nguồn mở cho mục tiêu này cho thấy: thiết bị Foundstone FS 1000 là một giải pháp hoàn chỉnh, plug-and-play cho việc nhanh chóng đánh giá lỗ hổng và các hoạt động quản lý rủi ro. Thiết bị có thể vận hành hoàn toàn trong vài phút và có thể tùy biến khá mềm dẻo. Kết quả đưa ra sau quá trình quét bao gồm:
a) Sơ đồ toàn diện toàn bộ hệ thống mạng, bao gồm cả các điểm truy cập (access point) của mạng không dây.
b) Khám phá chi tiết các lỗ hổng và cấu hình sai của hệ điều hành, thiết bị mạng và mạng không dây, ứng dụng web… Đưa ra các khuyến cáo khắc phục sơ hở.
c) Tập trung vào các lỗ hổng với độ ưu tiên cao nhất, dựa trên các tài sản quan trọng, các yêu cầu và chính sách kinh doanh.
Thành phần B là khâu xử lý các số liệu thu thập được từ thành phần A và đưa ra một đánh giá về tính hợp chuẩn ISO 17799 cho một mạng hiện tại. Công tác đánh giá này thường được thực hiện bởi một phần mềm có khả năng rà soát các yêu cầu của ISO 17799 và cho điểm theo từng yêu cầu. Một đánh giá toàn diện cuối cùng sẽ được đưa ra dựa trên các điểm của các thành phần. Để phục vụ khâu xử lý số liệu đã thu nhận, chúng tôi đã xây dựng một phần mềm, đặt tên là Checklist ISO 17799, để phục vụ đánh giá thành phần B. Phần mềm được trang bị một tool câu hỏi khảo sát cho phép bản thân nhân viên của tổ chức tự nhập các câu trả lời hoặc nhóm kiểm định nhập dữ liệu đã thu thập được qua câu hỏi khảo sát hoặc phỏng vấn. Sau khi dữ liệu được nhập xong, phần mềm sẽ tính toán và cho ra tính hợp chuẩn ISO 17799 dưới dạng %.
Với các công cụ được nghiên cứu chuyển giao hoặc tự phát triển, chúng tôi đã đề ra qui trình khảo sát đánh giá tính hợp chuẩn của một tổ chức. Qui trình bao gồm các bước căn bản sau:
1. Khảo sát thực tế nắm nhu cầu và các đặc trưng riêng của tổ chức. Nắm bắt hình thái tổ chức mạng tin học.
2. Khảo sát lấy thông tin qua hệ thống câu hỏi thăm dò và phỏng vấn.
3. Khảo sát lấy thông tin bằng các công cụ quét mạng chuyên nghiệp hoặc mã nguồn mở.
4. Xây dựng báo cáo và khuyến cáo.
Toàn bộ các công cụ và qui trình trên đã được chúng tôi thử nghiệm để đánh giá mức độ an toàn của hệ thống thông tin theo chuẩn ISO 17799 cho khoảng 5 doanh nghiệp, trường học khác nhau. Sau đây là một số kinh nghiệm mà chúng tôi đã rút ra từ thực tế:
- Khó tìm đúng được đối tượng trả lời câu hỏi kiểm tra vì:
+ Hiện trạng tại Việt Nam, một số phạm vi về an toàn thông tin chưa có cá nhân chuyên trách chịu trách nhiệm quản lý hay vận hành;
+ Đa số các nhân viên phụ trách về quản trị mạng hoặc IT của công ty phụ trách luôn đặt vấn đề an toàn thông tin.
- Cấp quản lý không có chuyên môn hoặc không hiểu được tầm quan trọng của an toàn thông tin bởi:
- Do chưa có bộ phận chuyên trách về an ninh thông tin nên hầu như cấp quản lý chưa có hình dung và quản lý tốt vấn đề an ninh thông tin;
- Người dùng, đơn vị chưa có nhận thức chính xác về an toàn thông tin;
- Không cho khảo sát ở những nơi cần khảo sát vì chưa có được sự tin tưởng giữa tổ chức và đơn vị khảo sát.
Thông tin trả lời từ bảng câu hỏi khảo sát của ISO 17799 thường không chính xác bằng thông tin khảo sát thực tế (phỏng vấn trực tiếp hoặc tham quan trực tiếp) do tính khách quan khi trả lời của đối tượng tham gia khảo sát.