Song song với việc “ Quy hoạch hệ thống Cơ sở dữ liệu và hạ tầng kỹ thuật Công nghệ thông tin tỉnh Khánh Hòa” phục vụ công tác quản lý Nhà nước, xây dựng nền tảng về công nghệ thông tin, cũng như phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáo dục, xã hội,. thì việc bảo về những thành quả đó là một điều không thể thiếu. An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn).
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng.
Tài liệu này được xây dựng nhằm nghiên cứu, phân tích các đặc thù an toàn thông tin trên cơ sở hạ tầng kỹ thuật CNTT đã quy hoạch. Từ đó xác định rõ các yêu cầu cụ thể về an ninh thông tin cần bảo đảm cho hệ thống. Nghiên cứu, phân tích các lỗ hổng bảo mật, khả năng "nghe trộm" và các hình thức tấn công vào các hệ thống cơ sở dữ liệu. Từ đó xác định và thống kê các nguy cơ cụ thể, mức độ nguy hại và giải pháp phòng, tránh trên môi trường mạng đa người dùng, trên Internet và tại các bộ phận quản trị, quản lý hệ thống, với các mức độ cụ thể cho: hệ thống, mạng và CSDL.
58 trang |
Chia sẻ: tuandn | Lượt xem: 2305 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống - Dự án quy hoạch cơ sở dữ liệu và hạ tầng công nghệ thông tin tỉnh Khánh Hòa, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA
--------------------------
DỰ ÁN
QUY HOẠCH CƠ SỞ DỮ LIỆU VÀ HẠ TẦNG CÔNG NGHỆ THÔNG TIN TỈNH KHÁNH HÒA
TÀI LIỆU
PHÂN TÍCH THIẾT KẾ
GIẢI PHÁP ĐẢM BẢO AN NINH THÔNG TIN HỆ THỐNG
(Mã số: KHCN-RD - 2004 – 018)
Đơn vị thực hiện : Công ty Phần mềm và Truyền thông VASC
Tổng công ty Bưu chính Viễn thông Việt nam
Địa chỉ : 99 Triệu Việt Vương – Hà Nội
Điện thoại : 84.4.9782235
HÀ NỘI – 2005
THUẬT NGỮ
Thuật ngữ
Diễn giải
Hệ thống thông tin
Máy tính, thiết bị mạng, hệ thống mạng, các ứng dụng triển khai trên mạng.
Máy chủ
Trong phạm vi của tài liệu , máy chủ ở đây được xem là các máy chủ thuộc mạng của Khánh Hòa.
Máy trạm
Các máy tính kết nối với mạng nội bộ của Trung tâm xử lý dữ liệu (kết nối trực tiếp hoặc kết nối từ xa).
Người sử dụng
Là cán bộ, công nhân, viên chức làm việc tại các đơn vị tham gia hệ thống, khách hàng, đối tác có sử dụng hoặc tham gia vào hệ thống máy tính, hệ thống mạng nội bộ, dịch vụ của Khánh Hòa.
Quản trị hệ thống
Là người chịu trách nhiệm duy trì hoạt động liên tục của hệ thống máy tính, hệ thống mạng nội bộ, dịch vụ của Khánh Hòa; là người đối phó, ngăn ngừa các hoạt động có tính chất phá hoại, làm gián đoạn hoạt động của các máy tính trong công việc quản lý nhà nước của Khánh Hòa. Người quản trị hệ thống cũng có thể xem như là một người sử dụng nếu đứng ở góc độ khai thác thông tin trên hệ thống.
Bộ phận quản trị hệ thống
Nhóm người quản trị hệ thống thực hiện các công việc của người quản trị. Mỗi bộ phận, có thể có bộ phận quản trị riêng chịu trách nhiệm cho hệ thống mạng nội bộ của mình. Bộ phận quản trị hệ thống của Trung tâm Tích hợp dữ liệu có trách nhiệm quản trị hệ thống cho hệ thống mạng dịch vụ của Khánh Hòa.
Tên truy nhập
Tên hoặc định danh mà người sử dụng để đăng nhập vào mạng hoặc các ứng dụng.
Mật khẩu truy nhập
Là mã số bí mật của người sử dụng được cung cấp kèm với tên truy nhập. Mã số này có thể thay đổi bởi chính người sử dụng hoặc người quản trị.
Sao lưu dữ liệu
Biện pháp lưu trữ thêm một hoặc nhiều bản sao của dữ liệu trên hệ thống để có thể sử dụng lại trong các trường hợp cần thiết hoặc có sự cố.
Tài nguyên mạng
File dữ liệu, thư mục, ổ đĩa, máy in được cài đặt, thiết lập tại máy chủ hoặc 1 máy tính nào đó trên mạng.
MỤC LỤC
MỞ ĐẦU
Song song với việc “ Quy hoạch hệ thống Cơ sở dữ liệu và hạ tầng kỹ thuật Công nghệ thông tin tỉnh Khánh Hòa” phục vụ công tác quản lý Nhà nước, xây dựng nền tảng về công nghệ thông tin, cũng như phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáo dục, xã hội,... thì việc bảo về những thành quả đó là một điều không thể thiếu. An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)...
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng.
Tài liệu này được xây dựng nhằm nghiên cứu, phân tích các đặc thù an toàn thông tin trên cơ sở hạ tầng kỹ thuật CNTT đã quy hoạch. Từ đó xác định rõ các yêu cầu cụ thể về an ninh thông tin cần bảo đảm cho hệ thống. Nghiên cứu, phân tích các lỗ hổng bảo mật, khả năng "nghe trộm" và các hình thức tấn công vào các hệ thống cơ sở dữ liệu. Từ đó xác định và thống kê các nguy cơ cụ thể, mức độ nguy hại và giải pháp phòng, tránh trên môi trường mạng đa người dùng, trên Internet và tại các bộ phận quản trị, quản lý hệ thống, với các mức độ cụ thể cho: hệ thống, mạng và CSDL.
SƠ LƯỢC TÌNH HÌNH ĐẢM BẢO AN TOÀN THÔNG TIN TRÊN THẾ GIỚI VÀ VIỆT NAM
Thế giới đã, đang và ngày càng được hưởng lợi từ các thành quả ứng dụng CNTT và viễn thông đem lại, thế nhưng chúng ta cũng mất không ít công sức và tiền bạc để bảo vệ các thành quả đó. An ninh, bảo mật mạng máy tính, vì vậy đã là một chủ đề thời sự và đương nhiên cũng trở thành một thị trường nóng.
AN NINH BẢO MẬT MẠNG NHÌN TỪ THẾ GIỚI
Hãng dịch vụ tư vấn Deloitte trong báo cáo An ninh mạng toàn cầu 2004 của mình cho biết, có tới 83% doanh nghiệp được khảo sát bị hacker tấn công trong năm 2003, gấp hơn hai lần số vụ tấn công năm 2002. Theo CheckPoint, thiệt hại do virus và sâu máy tính năm 2003 trên thế giới lên tới 12,5 tỷ USD. Ông Kevin Lim- Giám đốc Check Point khu vực Nam Á nhận định:"Giờ đây hacker không chỉ dùng mạng để tấn công máy tính hay mạng nữa. Hacker có thể dùng các chương trình virus tấn công thông qua giao thức http hay smtp. Thậm chí họ gửi cho bạn một bức thư trong đó có gài virus để mở một cổng mới và tấn công thông qua đó. Vì vậy công nghệ bảo mật an ninh đang được phát triển theo xu hướng ngăn chặn truy cập trái phép vào mạng máy tính và có thể nhận dạng các ứng dụng không mong muốn".
Theo Meta Group, chi phí cho an ninh mạng máy tính hiện nay chiếm từ 3 đến 4% tổng chi phí cho CNTT trên toàn cầu. Đến 2006, tỷ trọng sẽ đạt từ 6-8%. Riêng đối với thị trường châu Á TBD mức chi cho an ninh mạng từ nay đến 2008 sẽ tăng bình quân 22%/năm, gấp đôi tỷ lệ của thế giới. Những nguy cơ an ninh mạng máy tính trước đây tính bằng tuần bằng ngày thì nay được tính theo phút, và không bao lâu sau sẽ là giây.
AN NINH BẢO MẬT TẠI VIỆT NAM
Bấy lâu nay, dư luận không còn xôn xao với những chuyện các nhóm hacker trong và ngoài nước thi nhau tấn công các trang web báo điện tử, trang thông tin các tổ chức, doanh nghiệp... Nhưng liệu rằng dưới mặt hồ bình yên đó có hiện hữu những đợt sóng ngầm? Xin khẳng định là có, và điều đáng nói hơn là những cơn sóng ngầm trên lĩnh vực an ninh mạng máy tính ở nước ta đang diễn ra muôn hình vạn trạng.
Một ví dụ rất nhỏ là việc hàng giờ, hàng ngày, virus phá hoại dữ liệu, hệ thống mạng máy tính của các doanh nghiệp, tổ chức trên khắp phạm vi toàn quốc. Thiệt hại không nhỏ về hạ tầng là một chuyện, đình trệ công việc lại là chuyện lớn hơn khi đã có rất nhiều công việc hàng ngày của chúng ta phụ thuộc vào máy tính và mạng máy tính. Chỉ có điều là virus, hacker cứ tấn công, còn các doanh nghiệp cứ khắc phục, coi như một sự bình thường, mà ít ai để ý đến các vấn đề phòng chống hiệu quả. Ông Vũ Bảo Thạch- phó giám đốc công ty phần mềm Misoft cho biết: "Đã từng xảy ra những sự cố CNTT thế nhưng thông thường các cơ quan đều không nhìn nhận đúng về thiệt hại của nó. Chúng ta đang thiếu những thống kê về thiệt hại do hacker, do sự cố, và sự mất an toàn hệ thống thông tin, đã gây thiệt hại về kinh tế, về cơ hội giao dịch kinh doanh, năng suất lao động trong các tổ chức của chính chúng ta. Thiếu các con số thống kê này thị trường CNTT sẽ không có cơ khai thác hay chúng ta đang không biết phải cần bao nhiêu tiền của và cần như thế nào?".
Đối với phần đa các doanh nghiệp, tổ chức, đầu tư cho CNTT vẫn đang nặng về phần cứng, không nhiều cho phần mềm, rất ít cho đào tạo, và không đáng kể cho những chuyện đại loại như duy trì, bảo hành hệ thống, phát triển nhân lực cũng như đầu tư cho an ninh, bảo mật mạng máy tính.
Tuy nhiên, rất đáng mừng, nhiều doanh nghiệp, tổ chức lớn vốn đã ứng dụng nhiều và phụ thuộc lớn vào CNTT như Tài chính, Ngân hàng, Viễn thông... đã có sự đầu tư đáng kể cho vấn để an ninh, bảo mật mạng máy tính. Và bản thân sự đầu tư ngày càng tăng cho an ninh, bảo mật mạng máy tính như vậy, ở một khía cạnh nào đó có thể xem là bước tiến mới trong ứng dụng CNTT ở nước ta. TS Đỗ Cao Bảo- Giám đốc công ty Hệ thống thông tin FPT cho biết: "Tôi muốn nhấn mạnh rằng khách hàng cần phải quan tâm nhiều hơn, nếu không muốn bị thiệt hại cho cả hệ thống, cho khách hàng. Hiện số lượng công ty cung cấp giải pháp bảo mật tổng thể và tốt chưa nhiều nên nhân dịp này chúng tôi muốn tập trung giới thiệu các giải pháp bảo mật của mình".
AN NINH BẢO MẬT MẠNG
Trong thực tế, nhận thức của các tổ chức, doanh nghiệp chính là vấn đề cần phải giải quyết trước khi đề cập tới bất kỳ một giải pháp, công nghệ an ninh, bảo mật mạng máy tính nào. Điều này đặc biệt đúng đối với các doanh nghiệp vừa và nhỏ. Họ đang là mục tiêu tấn công chủ yếu của hacker hiện nay. Và thường thì doanh nghiệp nhỏ, lỗ hổng bảo mật lớn.
Vấn đề là các doanh nghiệp vừa và nhỏ không chỉ thiếu tài chính và nhân lực cho an toàn, an ninh mạng, mà quan trọng không kém, là sự nhận thức phiến diện an ninh mạng chỉ đơn thuần là việc chống virus máy tính. Ngay tại Mỹ, cũng có tới 35% doanh nghiệp nhỏ không sử dụng bức tường lửa. Ian Loh - Giám đốc EMC Nam Á cho biết:" Mọi người sử dụng rất nhiều tiền để bảo vệ tiền mặt nhưng vẫn chưa đủ để bảo vệ các trung tâm dữ liệu nơi mà các luồng giao dịch phi tiền mặt đổ đến. Các bạn sẽ thấy mọi người giao dịch sử dụng thẻ thông minh hay séc, đó thực sự là dữ liệu nhị phân của hai con số 1 và 0. Thông tin hiện nay thực sự là tiền bạc ai cũng biết điều đó, nhưng ngày mai tiền bạc là thông tin, không còn tiền mặt như các giao dịch thông thường".
Một điều rõ ràng là nguy cơ đối đầu với các mối nguy hiểm trên Internet ngày một gia tăng. Bản thân, các hình thức tấn công trên Internet ngày một đa dạng, tinh vi và phức tạp. Giải pháp đưa ra là sự cần thiết phải có một chiến lược giảm thiểu nguy cơ tấn công của virus và sâu máy tính.
Thứ hai là một kiến trúc an ninh có khả năng cô lập những lỗi đã biết và chưa biết của hệ thống. Và cuối cùng cách tiếp cận với vấn đề an ninh giờ đây đã phải thay đổi nhiều so với trước kia. Một hệ thống phòng thủ hiện đại phải nhiều tầng nhiều lớp, chủ động, tự động. TS Đỗ Cao Bảo- Giám đốc công ty Hệ thống thông tin FPT cho biết: "Chúng tôi rất tâm đắc với triết lý bảo mật: Thứ nhất, bảo mật phải nhiều tầng, nhiều lớp, chứ một lớp không đủ. Thứ 2, bảo mật sử dụng nhiều công nghệ. Với công nghệ của một hãng nếu hacker biết thì hoàn toàn có thể phá được. Chính vì vậy ta phải dùng nhiều công nghệ khác để bảo vệ hệ thống. Thứ 3, bảo mật phải là một quá trình liên tục".
Tại triển lãm ICT Finance 2004 mới đây, nhiều hãng đã mang tới không chỉ các sản phẩm, công nghệ mới mà cả những giải pháp tổng thể về an ninh, bảo mật mạng máy tính. Đáng chú ý là hệ thống phòng chống thông minh của Checkpoint.
Thông thường, các bức tường lửa chỉ nhắm tới việc chống các cuộc tấn công ở tầng dưới trong mô hình 7 lớp, còn hệ thống phòng chống thông minh Smart Defence của Checkpoint đưa thêm công nghệ chống các cuộc tấn công lợi dụng các lỗ hổng bảo mật ở tầng ứng dụng. Kevin Lim- Giám đốc Check Point khu vực Nam Á cho rằng: "Để các giải pháp an ninh có thể ngăn chặn những cuộc tấn công thông minh, bạn không chỉ phải ngăn chặn các cuộc tấn công ở lớp mạng mà còn phải xác định được những lỗ hổng của ứng dụng. Một khi có khả năng nhận dạng được như vậy, bạn sẽ có khả năng ngăn chặn sâu tấn công hoặc một số ứng dụng đang sử dụng một số cổng trái phép của hệ thống". Vũ Bảo Thạch- phó giám đốc Công ty phần mềm Misoft: "Một ví dụ đơn giản, nếu chúng ta có máy chủ Web, chúng ta bắt buộc phải mở một số cổng để cho người dùng đi vào đấy và hoàn toàn hacker có thể dùng chính các cổng đó để tấn công hạ gục server đó. Thế thì làm sao chúng ta phân biệt được đâu là gói tin của hacker?. Giải pháp chúng tôi đưa ra smart defense của checkpoint đáp ứng được yêu cầu đó. Chúng tôi lọc qua những đoạn mã tấn công độc hại, gửi tới các sever, loại trừ nó ra trước khi nó đến được Web sever. Còn những giao thông bình thường, gói tin bình thường sẽ đến được Web sever một cách toàn vẹn và đầy đủ".
Đáng chú ý tại ICT Finance 2004, là sự hiện diện của các công ty Việt Nam trên một thị trường hết sức mới mẻ này. Misoft là đại diện chính thức của các hãng phần mềm bảo mật như Checkpoint, trong khi FPT không chỉ hiện diện với tư cách là đại lý phân phối các thiết bị, công nghệ an ninh, bảo mật mà còn là một nhà cung cấp các giải pháp tổng thể trong lĩnh vực này. Vũ Ngọc Tú- chuyên viên an ninh mạng FIS cho biết: "Ngoài việc các thiết bị phát hiện đột nhập đến hoạt động một cách thủ công tức là người quản trị phải tự động tìm cách để ngăn chặn thì chúng tôi có các thiết bị tự động phát hiện tấn công sẽ ngăn chặn lập tức cuộc tấn công đó. Hệ thống ngoài khả năng phát hiện ra cuộc tấn công bằng cách thông báo nó còn ngăn chặn được các cuộc tấn công trực tiếp vào hệ thống. Hệ thống sẽ ngừng kết nối khi nhận thấy có người đang tấn công. Không những thế hệ thống sẽ tự động ngăn chặn trực tiếp các cuộc tấn công mà không cần bất cứ sự can thiệp của người quản lý hệ thống".
FPT còn mang đến triển lãm một điểm lý thú khác, đó là cách tiếp cận phổ biến trên thế giới, nhưng rất mới ở nước ta: cung cấp dịch vụ an ninh, bảo mật hệ thống thông tin. Nghĩa là ngoài các chủng loại thiết bị phần cứng, phần mềm, giải pháp tổng thể, FPT còn sẽ cung cấp dịch vụ tư vấn, dịch vụ an ninh, bảo mật cho các hệ thống máy tính các doanh nghiệp, tổ chức. Đây cũng có thể xem là một bước đi tạo ưu thế cạnh tranh của FPT trong một thị trường đang lên này. TS Đỗ Cao Bảo- Giám đốc công ty hệ thống thông tin FPT nói :" Quan trọng nhất trong bảo mật là chúng tôi muốn đưa đến một thông điệp bảo mật không phải là một thiết bị cũng không thuần tuý là một giải pháp. Nó là sự kết hợp giữa thiết bị, giải pháp và dịch vụ. Lý do rất đơn giản vì hôm nay, chúng ta bảo mật hệ thống thông tin tốt, thì hacker lại tìm những thủ thuật mới công nghệ, phương cách tấn công mới. Như vậy, bảo mật phải nghĩ ra những quy trình mới, những luật mới để bảo mật. Vì vậy, bảo mật là dịch vụ được quá trình lặp không ngừng và dịch vụ nhiều khi còn tốn kém hơn thiết bị đầu tư ban đầu".
An ninh, bảo mật mạng máy tính đã trở thành một phần không thể thiếu trong các hệ thống CNTT các tổ chức doanh nghiệp. Vấn đề là thời gian qua, chúng ta đã quan tâm tới vấn đề này đến đâu và tương lai, chúng ta đã có kế hoạch, chiến lược như thế nào của các tổ chức, doanh nghiệp nhằm đảm bảo cho các hệ thống thông tin vận hành một cách trơn tru, phát huy tối đa các ứng dụng CNTT- truyền thông.
NGHIÊN CỨU, PHÂN TÍCH CÁC ĐẶC THÙ AN TOÀN THÔNG TIN
CÁC TIÊU CHUẨN ĐÁNH GIÁ MỨC ĐỘ AN TOÀN THÔNG TIN CỦA MỘT HỆ THỐNG
Để đánh giá mức độ an toàn thông tin tuân theo các điều kiện sau:
Hệ thống an toàn là hệ thống trước tiên phải có các tài liệu về chính sách an toàn thông tin.
Sau khi đã xây dựng và đưa ra được các chính sách an toàn thông tin, việc tiếp theo là phân bổ các trách nhiệm về an ninh hệ thống.
Các chương trình giáo dục và huấn luyện về an ninh thông tin.
Các báo cáo về các biến cố liên quan đến an ninh thông tin.
Các biện pháp kiểm soát Virus.
Kiểm soát việc sao chép các thông tin thuộc sở hữu hệ thống.
Việc bảo vệ các hồ sơ của tổ chức.
Việc tuân thủ pháp luật về bảo vệ dữ liệu.
Việc tuân thủ chính sách về an ninh hệ thống của toàn bộ các đơn vị, thành phần tham gia vào hệ thống.
NHU CẦU BẢO VỆ THÔNG TIN
Nguyên nhân mất an toàn thông tin:
Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong sản xuất kinh doanh, đã trở thành đối tượng cho nhiều người tấn công với các mục đích khác nhau. Đôi khi, cũng chỉ đơn giản là để thử tài hoặc đùa bỡn với người khác.
Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các phương tiện thông tin đại chúng ngày càng nhắc nhiều đến Internet với những khả năng truy nhập thông tin dường như đến vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm an ninh và an toàn dữ liệu cho các máy tính được kết nối vào mạng Internet.
Những vụ tấn công nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của tất cả các công ty lớn như AT&T, IBM, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, nhà băng... Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa, những con số này chỉ là phần nổi của tảng băng chìm. Một phần rất lớn các vụ tấn công không được thông báo, vì nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biết những cuộc tấn công nhằm vào hệ thống của họ.
Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác. Những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoán tên người sử dụng-mật khẩu (UserID-password) hoặc sử dụng một số lỗi của các chương trình và hệ điều hành (Security hole) làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa (Telnet hoặc Rlogin).
Nhu cầu bảo vệ thông tin trên Internet có thể chia thành ba loại gồm: Bảo vệ dữ liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo vệ danh tiếng của cơ quan:
Bảo vệ dữ liệu
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách và phương pháp đề phòng cần thiết. Mục đích cuối cùng của an toàn bảo mật là bảo vệ các thông tin và tài nguyên theo các yêu cầu sau:
Tính tin cậy: Những thông tin có giá trị về kinh tế, quân sự, chính sách vv... cần được giữ kín. Thông tin không thể bị truy nhập trái phép bởi những người không có thẩm quyền.
Tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả bởi những người không có thẩm quyền.
Tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền khi có yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết
Tính không thể từ chối: Thông tin được cam kết về mặt pháp luật của người cung cấp.
Trong các yêu cầu này, thông thường yêu cầu về bảo mật được coi là yêu cầu số 1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin này không được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng rất quan trọng. không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó.
Bảo vệ các tài nguyên sử dụng trên mạng
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình như chạy các chương trình dò mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác vv...
Bảo vệ danh tiếng cơ quan
Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các công ty lớn và các cơ quan quan trọng trong bộ máy nhà nước. Trong trường hợp người quản trị hệ thống chỉ được biết đến sau khi chính hệ thống của mình được dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài.
MỘT SỐ ĐẶC ĐIỂM KHÔNG AN TOÀN VÀ TÌNH HÌNH THỰC TẾ CỦA CÁC HỆ THỐNG THÔNG TIN
Một số đặc điểm không an toàn
Trước đây, Viện SANS và Trung tâm Phòng Vệ Hạ Tầng Quốc Gia (NIPC – National Infrastructure Protection Center) xuất bản một tài liệu tổng kết về mười yếu điểm nghiêm trọng nhất của an toàn Internet. Hàng nghìn tổ chức đã sử dụng danh sách đó để ưu tiên giải quyết