Đánh giá an toàn hệ thống Công nghệ thông tin
Trong đó, một vấn đề có tính then chốt là đánh giá an toàn các phương tiện CNTT đã được tích hợp vào hệ thống. Vậy làm thế nào để nhận biết một hệ thống CNTT là an toàn? Có tồn tại cơ sở để đánh giá một hệ thống CNTT được xây dựng là an toàn hay không?
Thực tiễn trên thế giới chỉ ra rằng đây là vấn đề hoàn toàn không đơn giản, phải trải qua hàng thập kỷ, trên cơ sở nghiên cứu, kiểm nghiệm của nhiều nước, ngày nay người ta mới đi đến thống nhất một tiêu chí để đánh giá an toàn các loại hệ thống này - Đó là “Tiêu chí chung để đánh giá an toàn công nghệ thông tin” (Common Criteria for Information Technology Security Evalution), thường được gọi tắt là “Tiêu chí chung” và kí hiệu là CC. Tiêu chí chung được công bố lần đầu với tư cách là tiêu chuẩn quốc tế (ISO/IEC 15408) vào tháng 12/1999, qua nhiều lần hiệu chỉnh, bổ sung, phiên bản cuối cùng được công bố vào năm 2006 và ngày nay được nhiều nước lấy làm cơ sở để kiểm định và thiết kế hệ thống CNTT.
1. Vài nét về lịch sử hình thành CC
Việc nghiên cứu xây dựng tiêu chí đánh giá an toàn CNTT đã được bắt đầu khá sớm ở Mỹ. Năm 1973, Bộ Quốc phòng Mỹ đã cho công bố Sách hướng dẫn an toàn máy tính với mục tiêu hướng dẫn phương pháp luận, kỹ thuật, tiêu chuẩn phân tích, kiểm định các đặc tính an toàn của các hệ thống xử lý dữ liệu tự động. Trên cơ sở phát triển tiêu chí này, năm 1983 Bộ Quốc phòng Mỹ công bố Hệ tiêu chí an toàn CNTT, viết tắt là TCSEC (Trust Computer System Evaluation Criteria), còn gọi là Sách da cam. Trong TCSEC, các tiêu chí hiện thực hóa cơ chế bảo vệ nhưng chính sách và các yêu cầu cụ thể thì vẫn còn chưa rõ ràng. Dù vậy TCSEC vẫn là cơ sở cho tất cả các hệ tiêu chí an toàn trên thế giới sau này.
Năm 1991, trên cơ sở phát triển TCSEC, Cộng đồng châu Âu xây dựng và công bố hệ tiêu chí ITSEC (Information Technology Security Evaluation Criteria) với sự tham gia xây dựng của các nước Pháp, Anh, Đức và Hà Lan. ITSEC phân biệt các tiêu chí chức năng và tiêu chí đảm bảo, đặt trọng tâm vào các tiêu chí đảm bảo hơn và cách tiếp cận này được nhiều hệ tiêu chí khác sử dụng. ITSEC đặc biệt chú trọng vào tính đúng đắn trong thực thi các cơ chế an toàn, phân ra 7 mức đảm bảo theo thứ tự tăng dần về độ an toàn.
Năm 1992, với mục tiêu phát triển hệ tiêu chí cho cả khu vực phi quốc phòng, Mỹ đã công bố Tiêu chí liên bang về an toàn CNTT (viết tắt là FC - The Federal Criteria for Information Technology) làm tiêu chuẩn quốc gia. FC là sự cập nhật TCSEC nhưng lần đầu tiên trong tài liệu này đề cập đến khái niệm Hồ sơ bảo vệ PP (Protection Profile), một trong những khái niệm then chốt của FC và của Tiêu chí chung CC sau này.
Năm 1993, Canada công bố Hệ tiêu chí an toàn công nghệ thông tin (The Canadian Trusted Computer Product Evaluation Criteria - CTCPEC). Cũng giống như ITSEC, CTCPEC tách bạch các yêu cầu chức năng với các yêu cầu đảm bảo, nhưng các mức kiểm định được phân chi tiết hơn. Đồng thời CTCPEC đặc biệt chú trọng tương tác giữa các hệ thống con đảm bảo an toàn và phân chia độc lập các yêu cầu thành các mục để tạo ra tập các tiêu chí riêng đặc trưng cho công việc của các hệ thống con.
Cùng thời gian này, một số quốc gia khác cũng xây dựng hệ tiêu chí an toàn như Nhật bản với hệ tiêu chí JCSEC - FR (Japanese Computer Security Evaluation Criteria -Functionality Requirements) (tháng 8/1992); Khu vực Nam Thái Bình Dương xây dựng hệ tiêu chí hoàn toàn dựa trên dựa trên ITSEC.
Như vậy, sau gần hai thập kỷ, từ tài liệu sơ khai đầu tiên ra đời năm 1973 tại Mỹ, việc xây dựng tiêu chí an toàn CNTT đã đạt được bước tiến dài, nhiều hệ tiêu chí đã được xây dựng. Điều đáng nói là do tính kế thừa, các tiêu chí này chứa những đặc trưng cơ bản chung nhau, đồng thời lại có những đóng góp có tính phát triển. Giữa chúng cũng có những khác biệt nhất định về quan niệm cũng như kỹ thuật. Trong bối cảnh như vậy thì việc hợp nhất các hệ tiêu chí thành hệ tiêu chí chung tạo thuận lợi cho người dùng trên toàn thế giới và giảm được những chi phí không cần thiết là vấn đề có ý nghĩa lớn. Bởi vậy, năm 1990 tổ chức Tiêu chuẩn hóa quốc tế ISO với sự hỗ trợ của các nước Mỹ, Canada, Anh, Pháp, Đức đã tiến hành công việc nói trên. Đến năm 1996, phiên bản CC đầu tiên v 1.0 được công bố, sau đó tháng 12/1999, phiên bản CC thứ hai v 2.1 được chính thức công bố thành Tiêu chuẩn quốc tế ISO /IEC 15408. Các phiên bản hoàn thiện tiếp theo được thực hiện trong giai đoạn 2004 - 2006. Phiên bản CC cuối cùng v.3.1 được công bố vào tháng 12/2006 và ngày nay được đại đa số các nước sử dụng làm cơ sở để đánh giá và thiết kế an toàn hệ thống CNTT.
2. Bố cục, những khái niệm và cấu trúc cơ bản của CC
Tiêu chí chung CC (ISO/IEC 15408) được bố cục thành ba phần:
Phần I: “Phần mở đầu”, giới thiệu các quan điểm và nguyên tắc chung đánh giá tính an toàn của sản phẩm CNTT cũng như mô hình đánh giá tổng quát; giới thiệu các cấu trúc cơ bản như Đối tượng đánh giá (TOE), Hồ sơ bảo vệ (PP), Mục tiêu an toàn (ST) nhằm mục đích biểu diễn các mục tiêu an toàn, lựa chọn và xác định các yêu cầu này từ góc độ lợi ích của ba đối tượng cơ bản sử dụng CC là người tiêu dùng sản phẩm, nhà phát triển sản phẩm, và nhà kiểm định (đánh giá).
Phần II: “Các yêu cầu chức năng về an toàn”, giới thiệu một cách tổng thể và hệ thống danh mục các yêu cầu chức năng an toàn và xem xét khả năng chi tiết hóa chúng cũng như khả năng mở rộng chúng theo một qui tắc nhất định.
Phần III: “Các yêu cầu đảm bảo an toàn” giới thiệu hệ thống danh mục các yêu cầu đảm bảo an toàn, những yêu cầu này xác định các biện pháp phải được chấp nhận trên tất cả các giai đoạn chu kỳ sống của sản phẩm CNTT để đảm bảo rằng chúng đáp ứng các yêu cầu chức năng đã được xác định. Phần này cũng đã đưa vào thang bảng đánh giá độ an toàn thông qua khái niệm mức đảm bảo, các mức này cho phép với mức tăng dần về tính đầy đủ và chặt chẽ để tiến hành đánh giá mức độ an toàn sản phẩm CNTT.
Quan điểm và các nguyên tắc đánh giá tính an toàn của sản phẩm CNTT trong CC được thông qua một loạt các khái niệm và cấu trúc mà việc hiểu sâu sắc chúng là tiền đề để sử dụng hiệu quả CC. Các khái niệm cốt lõi nhất phản ánh được. những quan điểm và phương pháp của CC gồm: Đối tượng đánh giá, mục tiêu an toàn, yêu cầu an toàn, các mức kiểm định và các cấu trúc “Hồ sơ bảo vệ”, cấu trúc “lớp - họ - thành phần”, sẽ được xem xét sau đây:
Đối tượng đánh giá (TOE - Evaluation object) là sản phẩm CNTT đưa ra đánh giá. CC qui định sản phẩm là tập hợp các phương tiện CNTT thực hiện các chức năng nhất định, được sử dụng trực tiếp hoặc tích hợp vào hệ thống. Như vậy, sản phẩm theo CC được hiểu là đơn lẻ hoặc là hệ thống, vì hệ thống là sự khai thác sản phẩm trong các điều kiện cụ thể. CC đòi hỏi đối tượng đánh giá phải được xem xét trong môi trường an toàn cụ thể bao gồm môi trường pháp lý (các qui định, các văn bản hướng dẫn liên quan tới TOE); môi trường hành chính, quản trị (các điều khoản của chính sách an toàn, các chương trình an toàn có liên quan đến đối tượng); môi trường vật lý và các biện pháp bảo vệ vật lý; môi trường kỹ thuật (mục đích sử dụng của TOE và các lĩnh vực sử dụng, các tài nguyên cần bảo vệ bằng các phương tiện của TOE). Khi mô tả môi trường của đối tượng, vấn đề quan trọng là mô tả các nguy cơ mất an toàn, gồm cả những nguy cơ hiện thực và các nguy cơ giả định.
Mục tiêu an toàn (ST- Security target) là tập hợp các yêu cầu an toàn và những đặc tả dùng làm cơ sở để đánh giá tính an toàn của sản phẩm. Mục tiêu an toàn được xây dựng sau khi phân tích môi trường an toàn, tức là phân tích các yếu tố đảm bảo cho an toàn như các mối nguy cơ đe dọa an toàn, các quy định và chính sách an toàn của tổ chức, kinh nghiệm, kỹ năng và kiến thức. Mục tiêu an toàn bao gồm mục tiêu an toàn cho đối tượng và mục tiêu an toàn cho môi trường. Mục tiêu an toàn cho đối tượng phải có khả năng đối chiếu được với các mối đe dọa an toàn mà có thể đối phó bằng các phương tiện kỹ thuật của đối tượng đánh giá hoặc bằng chính sách an toàn của tổ chức. Mục tiêu an toàn cho môi trường cần đối chiếu được với các mối đe dọa mà các phương tiện kỹ thuật của đối tượng và chính sách an toàn không hoàn toàn có khả năng chống đỡ.
Yêu cầu an toàn là kết quả biến đổi mục tiêu an toàn thành các yêu cầu cụ thể. Các yêu cầu an toàn cũng được xác định riêng cho đối tượng và cho môi trường. CC phân biệt hai loại yêu cầu an toàn: các yêu cầu chức năng và yêu cầu đảm bảo. Yêu cầu chức năng được đặt ra cho những chức năng của sản phẩm, có nhiệm vụ duy trì an toàn CNTT và quyết định sự vận hành an toàn mong muốn của các đối tượng. Ví dụ về yêu cầu chức năng là yêu cầu đối với định danh, xác thực, kiểm toán an toàn và không chối bỏ nguồn gốc. Các yêu cầu đảm bảo lại quy định đối với công nghệ và quá trình thiết kế, chế tạo, khai thác sản phẩm, xác định mức an toàn tối thiểu phù hợp với mục tiêu an toàn đã công bố. Trong đó, mức an toàn của chức năng được chọn theo: tối thiểu, trung bình và cao. Mỗi chức năng đòi hỏi thỏa mãn một mức tối thiểu an toàn tương ứng. Ví dụ, yêu cầu đảm bảo là các đòi hỏi về tính chặt chẽ của quá trình thiết kế hay xác định những điểm yếu tiềm năng trong sản phẩm và phân tích ảnh hưởng của nó đến độ an toàn của sản phẩm. Nếu các yêu cầu chức năng được đặt ra cho các chức năng của sản phẩm thì yêu cầu đảm bảo lại đặt ra cho hoạt động của nhà thiết kế.
Hồ sơ bảo vệ (Protected Profile - PP) là tài liệu mẫu để xây dựng mục tiêu an toàn ST. Nó giúp nhà phát triển xây dựng hồ sơ cụ thể cho đối tượng cần được đánh giá, giúp người tiêu dùng định hướng vào một nhóm các yêu cầu an toàn và giúp nhà kiểm định dựa vào đó để đánh giá sản phẩm. Nếu mục tiêu an toàn ST được xây dựng cho một đối tượng cụ thể thì PP lại được xây dựng chung cho một loại đối tượng nào đó. PP mô tả các yêu cầu chung cho các TOE, bởi vậy nó thường do một nhóm người tiêu dùng hoặc một nhóm nhà phát triển sản phẩm viết.
PP có cấu trúc gồm 6 phần: Giới thiệu PP, định nghĩa vấn đề an toàn và đưa ra các mối đe dọa phải đối mặt, Mục tiêu an toàn, định nghĩa các thành phần mở rộng tức là các thành phần chưa có trong các phần 2 và 3 của CC; các yêu cầu an toàn cho TOE, cho môi trường TOE.
Cấu trúc “lớp - họ - thành phần”
Các yêu cầu an toàn được xác định trong Tiêu chí chung là sự thể hiện cụ thể tính an toàn của sản phẩm CNTT. Để phân mức an toàn của TOE trong CC, các yêu cầu an toàn được phân cấp nhờ sử dụng cấu trúc “lớp - họ - thành phần”, trong đó cả hai dạng yêu cầu đều được cấu trúc giống nhau.
Lớp được sử dụng để chia nhóm chung nhất các yêu cầu về an toàn, các thành phần của nhóm có định hướng chung nhưng có thể khác nhau về mục tiêu an toàn. Lớp được chia thành hai loại: lớp chức năng và lớp đảm bảo. Lớp chức năng được mô tả trong Phần II của CC gồm 6 phần; Lớp đảm bảo được mô tả trong phần 3 của CC gồm 7 phần.
Họ là phần tử của lớp, là nhóm các yêu cầu an toàn có cùng mục tiêu an toàn nào đó nhưng khác nhau về tầm quan trọng và tính chặt chẽ.
Thành phần là tập hợp nhỏ nhất các yêu cầu an toàn. Các thành phần an toàn thuộc họ có thể được sắp xếp theo thứ tự tăng dần để biểu thị tầm quan trọng và tính chặt chẽ có cùng mục tiêu, họ cũng có thể tổ chức dưới dạng tập hợp có thứ tự từng phần. Ví dụ FIA_UAU.5 là thành phần biểu thị các điều kiện để xác thực lại người dùng.
Các mức kiểm định (EAL - Evaluation Assurance Level)
Cấu trúc “lớp - họ - thành phần” tổ chức các yêu cầu an toàn theo các nhóm cùng thực hiện một mục tiêu nào đó. Để xác định mức đảm bảo an toàn của đối tượng, Tiêu chí chung đề xuất cấu trúc kiểm định gồm 7 mức với ký hiệu và các tên gọi tương ứng EAL1, EAL2, EAL3, EAL4, EAL5, EAL6, EAL7 xếp theo thứ tự tăng dần mức độ đảm bảo an toàn. Mức đảm bảo an toàn cao hơn kế thừa mức thấp hơn gần nhất nhưng có yêu cầu cao hơn về thành phần an toàn. EAL7 là mức kiểm định an toàn cao nhất, ở mức này các yêu cầu an toàn được tập trung cao nhất và chặt chẽ nhất.
3. Phạm vi và đối tượng áp dụng của CC
Nhờ tính khái quát cao, Tiêu chí chung CC có khả năng ứng dụng rộng rãi cho nhiều đối tượng khác nhau, trong đó ba đối tượng chính là người tiêu dùng (người sử dụng sản phẩm CNTT), người phát triển sản phẩm (gọi tắt là người phát triển) và người đánh giá (hay người kiểm định).
Đối với người tiêu dùng, CC hỗ trợ về phương pháp lựa chọn yêu cầu an toàn đáp ứng nhu cầu sử dụng của họ. Kết quả đánh giá sản phẩm cho phép người tiêu dùng quyết định có nên sử dụng sản phẩm hay không. Nhờ tính phân cấp các yêu cầu an toàn trong CC người tiêu dùng có thể so sánh các sản phẩm khác nhau và từ đó có thể lựa chọn cho mình sản phẩm phù hợp.
Đối với người thiết kế, CC hỗ trợ trong việc chuẩn bị đánh giá sản phẩm của mình, cũng như trong việc thiết lập các yêu cầu an toàn mà sản phẩm dự kiến thiết kế cần đáp ứng. CC có thể sử dụng để xác định trách nhiệm và nhiệm vụ trong việc chuẩn bị các hồ sơ trình cơ quan đánh giá và cấp chứng nhận sản phẩm.
Đối với người đánh giá, CC chứa các tiêu chí mà họ có thể sử dụng khi kết luận sự phù hợp của đối tượng đánh giá với các yêu cầu an toàn mà người thiết kế công bố. Trong CC mô tả các hoạt động cơ bản mà người đánh giá phải tiến hành.
Ngoài ra, CC còn là tài liệu tra cứu cho nhưng ai quan tâm đến vấn đề an toàn CNTT cũng như những người chịu trách nhiệm về trạng thái kỹ thuật của thiết bị CNTT, những cán bộ của các cơ quan an ninh chịu trách nhiệm soạn thảo và giám sát chính sánh an toàn, những cơ quan đánh giá có trách nhiệm hướng dẫn và đánh giá trong lĩnh vực an toàn CNTT.
Mặc dù độ an toàn của sản phẩm CNTT trong một chừng mực đáng kể phụ thuộc vào các biện pháp tổ chức - hành chính như: quản lý nhân sự, bảo vệ vật lý, kiểm tra thực hiện qui định; các thủ tục cấp chứng nhận các sản phẩm CNTT cũng như các vấn đề về tổ chức áp dụng CC, song những vấn đề này không thuộc phạm vi áp dụng của CC. Trong Tiêu chí chung không xem xét trực tiếp các khía cạnh an toàn đặc thù mang tính bảo vệ vật lý như kiểm tra bức xạ điện từ mặc dù một số quan điểm của CC có liên quan đến lĩnh vực này. CC cũng không xem xét chất lượng các thuật toán mật mã, bởi vậy nếu xuất hiện vấn đề đánh giá chất lượng các thuật toán mật mã được tích hợp trong đối tượng đánh giá thì phải xem xét trước vấn đề đánh giá độc lập theo những tiêu chí khác dành cho chúng.
4. Việc áp dụng CC ở Việt Nam
Việc ứng dụng rộng rãi và nhanh chóng CNTT ở nước ta đã đưa bài toán đảm bảo an toàn cho các hệ thống CNTT lên vị trí quan trọng tầm quốc gia, trong đó, việc xây dựng tiêu chuẩn an toàn đóng vai trò then chốt. Vấn đề này cũng được đề cập tới trong nhiều văn bản quản lý của Nhà nước.
Việc xây dựng tiêu chuẩn an toàn thông tin là nhiệm vụ cấp bách của những năm trước mắt và xây dựng Tiêu chuẩn tương thích với tiêu chuẩn quốc tế trong đó có ISO/IEC 15408 là con đường hợp lý. Hơn nữa, CC là tài liệu có tính khái quát và trừu tượng cao, lại không dễ áp dụng vào thực tế nên việc hiểu rõ các nội dung của nó đòi hỏi phải tiến hành những nghiên cứu nhất định. Trên tinh thần đó, Ban Cơ yếu Chính phủ đã tiến hành nghiên cứu về Tiêu chuẩn này trong những năm 2007 - 2009, kết quả nghiên cứu có thể làm căn cứ đề xuất Tiêu chuẩn Việt Nam về đánh giá an toàn CNTT dựa trên ISO/IEC 15408.
Chất lượng đánh giá an toàn sản phẩm CNTT dựa trên CC phụ thuộc vào nhiều yếu tố, trong đó là trình độ và kỹ năng của đội ngũ cán bộ kiểm định và cơ sở vật chất phục vụ hoạt động này như hệ thống phòng thử nghiệm có ý nghĩa quan trọng. Để đẩy mạnh hoạt động đánh giá an toàn hệ thống CNTT, nhiệm vụ trước mắt chúng ta cần thực hiện là:
- Hoàn thiện cơ sở pháp lý bao gồm công bố các tiêu chuẩn Việt nam về đánh giá chất lượng, tiêu chuẩn quản lý an toàn, phương pháp đánh giá và các qui định về hoạt động đánh giá và cấp chứng nhận trong lĩnh vực an toàn thông tin.
- Xây dựng và đào tạo đội ngũ cán bộ trong lĩnh vực kiểm định sản phẩm an toàn thông tin, tăng cường hợp tác quốc tế góp phần đào tạo nguồn nhân lực và tiếp thu tri thức, kinh nghiệm của thế giới trong lĩnh vực này.
- Nghiên cứu tham gia Thỏa thuận thừa nhận lẫn nhau các kết quả đánh giá sản phẩm an toàn CNTT (The International Mutual Recognition Arrangement - MRA). Việc tham gia MRA là cần thiết và tạo ra nhiều thuận lợi, một phần đáp ứng yêu cầu an toàn trước mắt, mặt khác có thể tránh được những phi tốn liên quan đến việc đánh giá lại các sản phẩm đã được đánh giá bởi các đối tác tin cậy khác .