Khái Niệm An Toàn Và Bảo Mật Thông Tin

Hệ thống tin tức được tạo thành 3 phần chính: phần cứng, ứng dụng và kết nối với mục đích giúp cho việc phân các loại và áp dụng các chuẩn về bình yên thông tin dễ dàng dàng, dễ dàng nhất. Thông thường, thủ tục hoặc chế độ bảo mật này được thực hiện để nói cùng với con tín đồ (quản trị, bạn dùng, tín đồ vận hành) rằng làm cụ nào nhằm sử dụng sản phẩm mà vẫn đảm bảo an toàn thông tin mạng cho cá thể và cả tổ chức.

Bạn đang xem: Khái niệm an toàn và bảo mật thông tin

An toàn thông tin là đảm bảo thông tin và hệ thống thông tin nói chung khỏi các truy vấn trái phép, sử dụng, có tác dụng lộ, làm hỏng, chỉnh sửa, ghi chép không được phép…

Khái niệm an toàn thông tin mạng (information security), bình an máy tính (computer security), bảo đảm an toàn thông tin (information assurance) được thực hiện hoán đổi cho nhau. Những nghành nghề này tương quan nội cỗ với nhau, hay xuyên share những mục đích chính của việc bảo đảm các điều tỉ mỷ tính kín (confidentiality), toàn vẹn (integrity) với tính sẵn sàng chuẩn bị (availability) của thông tin; mặc dù nhiên, lại sở hữu một số khác hoàn toàn giữa chúng. Sự khác biệt chính đó là giải pháp tiếp cận vấn đề, phương thức thực hiện với phạm vi quan tâm của mỗi lĩnh vực. An ninh thông tin xem xét khía cạnh túng mật, toàn vẹn, chuẩn bị sẵn sàng của dữ liệu không thân thiết đến hình thức của dữ liệu: điện tử, bản in, hoặc những dạng khác. Bình yên máy tính tập trung vào việc đảm bảo tính sẵn sàng và hoạt động đúng đắn của khối hệ thống máy tính mà lại không để ý đến thông tin được giữ trữ, xử lý bởi chúng. Đảm bảo thông tin tập trung vào lý do bảo đảm an toàn rằng thông tin được đảm bảo và chính vì vậy nó là tại sao để thực hiện bình yên thông tin.

Vì sao cần an toàn thông tin?

Từ thiết yếu phủ, quân đội, những tập đoàn, căn bệnh viện, các đại lý kinh doanh… đến tín đồ dùng đều sở hữu những thông tin kín riêng về khách hàng, nhân viên, sản phẩm, nghiên cứu… đa số các thông tin đó hiện giờ đều được thu thập, xử trí và tàng trữ bởi trang bị vi tính, trung tâm dữ liệu. Tài liệu đó cũng hoàn toàn có thể được chuyển hẳn sang mạng nhằm về trung trọng điểm lưu trữ, đến những nhánh công ty con, hoặc gửi cho bạn bè, fan thân… Nếu tin tức đó lọt được vào tay đối thủ cạnh tranh thì cực kỳ nguy hiểm.

Vì thế, bảo đảm an toàn thông tin biến một yêu thương cầu không thể thiếu trong mọi hoạt động nói phổ biến và vận động điện tử nói riêng. An toàn thông tin trong thời đại số là quan trọng đặc biệt hơn bao giờ hết.

Các có mang cơ bản về an toàn thông tin mạng

Tam giác CIA (Confidenttiality, integrity, availability) là quan niệm cơ bản, chủ đạo của bình an thông tin.

Có không ít cuộc bàn cãi về việc mở rộng tam giác này thành nhiều yếu tố hơn. Những nguyên lý như: tính trách nhiệm (Accountability) đôi lúc được khuyến nghị thêm vào nguyên lý cơ bản. Thực tế đã chỉ ra rằng ví như tính quan yếu chối bào chữa (Non – Repudiation) ko thể màn biểu diễn bởi tam giác trên, cùng với sự cải cách và phát triển của khối hệ thống máy tính như hiện tại nay, vấn đề pháp lý (Legality) cũng đổi thay một nhân tố rất quan liêu trọng.

Trong năm 1992 cùng sửa đổi năm 2002, chỉ dẫn của tổ chức OECD về bảo mật cho các hệ thống thông tin và mạng đã để xuất 9 nguyên tắc cơ phiên bản sau: tính thừa nhận thức (Awareness), tính trách nhiệm (Responsibility), tính bình luận (Response), đạo đức (Ethics), tính dân chủ (Democracy), review rủi ro (Risk Assessment), kiến tạo bảo mật với thực thi, quản lý bảo mật, và reviews lại (Reassessment). Tiếp diễn từ đó, năm 2004, tổ chức NIST đã gửi ra những luật bảo mật thông tin, vào đó khuyến nghị 33 nguyên tắc.

Năm 2002, Donn Parker đã đề xuất một mô hình tương đường với tam giác CIA, được hotline là 6 yếu tố cơ bản của thông tin. Các nhân tố đo là: kín (confidentiality), mua (possession), toàn vẹn (integrity), chính xác (authenticity), chuẩn bị sẵn sàng (availability) và app (utility).

*

Sau đây đã là từng chi tiết của tam giác CIA và một trong những tính chất khác trong bình an thông tin mạng.

1. Tính túng mật

Bí mật là thuật ngữ được thực hiện để kiêng lộ tin tức đến những đối tượng người sử dụng không được xác thực hoặc nhằm lọt vào các hệ thống khác. Ví dụ: một giao dịch thanh toán tín dụng qua Internet, số thẻ tín dụng thanh toán được gởi từ người mua sắm và chọn lựa đến fan bán, với từ người bán đến nhà cung ứng dịch vụ thẻ tín dụng. Khối hệ thống sẽ cố gắng thực hiện tại tính túng mật bằng cách mã hóa số thẻ vào suốt quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log file, sao giữ (backup), in hóa đơn…) với bằng bài toán giới hạn truy cập những chỗ mà nó được lưu giữ lại. Nếu một mặt không được xác thực (ví dụ fan dùng không tồn tại trong giao dịch, hacker…) rước số thẻ này bằng bất cứ cách nào, thì tính kín đáo không còn nữa.

Tính kín rất cần thiết (nhưng chưa đủ) để trì sự riêng tứ của fan có tin tức được hệ thống lưu giữ.

2. Tính toàn vẹn

Trong an ninh thông tin, toàn diện có nghĩa rằng tài liệu không thể bị sửa đổi mà không trở nên phát hiện. Nó khác với tính toàn vẹn trong tham chiếu của đại lý dữ liệu, tuy vậy nó hoàn toàn có thể được xem như là một trong những trường hợp quan trọng đặc biệt của tính đồng hóa như được gọi trong hô hình cổ điển ACID (tính nguyên tử (atomicity), tính đồng bộ (consistency), tính tính phương pháp ly (isolation), tính bền lâu (durability) – là một tập các thuộc tính đảm bảo an toàn rằng cơ sở dữ liệu đáng tin cậy) của cách xử trí giao dịch. Tính trọn vẹn bị xâm phạm khi 1 thông điệp bị chỉnh sửa trong giao dịch. Hệ thống thông tin an ninh luôn hỗ trợ các thông điệp trọn vẹn và túng mật.

3. Tính sẵn sàng

Mọi hệ thống thông tin đều giao hàng mục đích riêng của chính nó và thông tin phải luôn luôn luôn chuẩn bị khi nên thiết. Điều đó gồm nghĩa rằng hệ thống tính toán sử dụng để tàng trữ và giải pháp xử lý thông tin, bao gồm một hệ thống điều khiển bảo mật thông tin sử dụng để bảo đảm nó, với kênh kết nối sử dụng để truy cập nó đề nghị luôn hoạt động chính xác. Hệ thống có tính sẵn sàng chuẩn bị cao hướng đến sự chuẩn bị ở đầy đủ thời điểm, tránh được những rủi ro khủng hoảng cả về phần cứng, phần mềm như: sự nắm mất điện, hư phần cứng, cập nhật, tăng cấp hệ thống… đảm bảo an toàn tính sẵn sàng cũng có nghĩa là tránh được tấn công không đồng ý dịch vụ.

4. Tính xác thực

Trong hoạt động tính toán, marketing qua mạng và bình an thông tin, tính chuẩn xác là vô cùng quan trọng để bảo vệ rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu (tài liệu năng lượng điện tử hoặc tài liệu cứng) phần lớn là thật (genuine). Nó cũng đặc biệt quan trọng cho việc xác nhận rằng các bên tương quan biết họ là ai trong hệ thống.

5. Tính tất yêu chối cãi

Không thể chối biện hộ có nghĩa rằng một bên giao dịch thanh toán không thể khước từ việc họ đã triển khai giao dịch với các bên khác. Ví dụ: trong lúc giao dịch mua hàng qua mạng, khi quý khách đã gửi số thẻ tín dụng cho bên bán, đã giao dịch thành công, thì bên buôn bán không thể lắc đầu việc họ đã nhận được tiền, (trừ trường hợp hệ thống không bảo đảm an toàn tính bình yên thông tin trong giao dịch).

Các nguy cơ của bình yên thông tin

Nhìn từ quan điểm hacker, tất cả vô số phương pháp để tấn công, lấy cắp thông tin của một hệ thống. Lỗ hổng của ứng dụng, lỗ hổng thương mại & dịch vụ trực tuyến (web, mail…), lỗ hổng hệ điều hành… vị thế, siêu khó để có thể tùy chỉnh thiết lập và duy trì bảo mật thông tin.

Xem thêm: Mua Tương Hàn Quốc Ở Đâu Tại Tphcm? Mua Tương Ớt Hàn Quốc Gochujang Ở Đâu Tại Tphcm

Rất các các khai thác thành công số đông bắt nguồn từ bên phía trong tổ chức (công ty). Theo phần đa thống kê của Computer Security Institute, thì khoảng tầm 60%-80% các hành vi sử dụng sai mạng máy tính, ứng dụng bắt mối cung cấp từ bên phía trong các công ty. Vì thế, huấn luyện và giảng dạy nhận thức an toàn mạng cho những thành viên của công ty, thậm chí cho những người quản trị là khôn xiết quan trọng.

1. Lỗi cùng sự bỏ sót, cố tình bỏ qua

Nguy cơ này được xếp vào hàng nguy hiểm nhất. Khi lập trình, các cảnh báo và lỗi vị trình biên dịch chỉ dẫn thường bị bỏ lỡ và nó có thể dẫn đến những sự việc không xứng đáng có, ví dụ như tràn bộ đệm, tràn heap. Khi người tiêu dùng vô tình (hay cụ ý) sử dụng những đầu vào không hợp lý thì công tác sẽ cách xử lý sai, hoặc dẫn tới việc bị khai thác, đổ vỡ (crash). Nghệ thuật lập trình đóng vài trò rất đặc biệt quan trọng trong phần đông ứng dụng. Và lập trình viên phải luôn luôn update thông tin, các lỗi bị khai thác, phương pháp phòng chống, sử dụng phương thức lập trình sẵn an toàn.

Một cách rất tốt để phòng né là sử dụng chính sách “lease privilege” (có tức thị ít quyền lợi và nghĩa vụ nhất có thể). Người dùng sẽ chỉ được xử lý, truy cập đến một số trong những vùng tin tức nhất định.

Một cơ chế khác tuyệt nhất thiết nên có, đó là phải sao lưu tài liệu thường xuyên.

2. Lừa đảo và chiếm đoạt tài sản và rước cắp thông tin

Tưởng tượng rằng có những đồng nghiệp trong công ty đi làm việc không phải để triển khai việc, mà để mang cắp phần nhiều thông tin quan trọng của công ty. Chuyện này trả toàn có thể xảy ra, nhất là những công ty làm việc về quân sự, cơ quan nhà nước… Như sẽ thống kê ở trên (mục 2.1 a.), không hề ít công ty bị lộ tin tức từ bên trong. Rất nặng nề phát hiện tại kẻ tấn công từ bên trong. Việc lấy cắp có thể được tiến hành dưới các hình thức: mang cắp văn phiên bản in hay mang cắp thông tin số, cung cấp thông tin nội bộ cho mặt ngoài.

Cách cực tốt để chống tránh nguy hại này là: phải có những cơ chế bảo mật có thiết kế tốt. Những chế độ có thể góp người cai quản bảo mật thông tin thu thập thông tin, tự đó điều tra và giới thiệu những kết luận chính xác, nhanh chóng. Khi đã tất cả một chế độ tốt, bạn quản trị hoàn toàn có thể sử dụng những kỹ thuật điều tra số (forensics) để truy dấu các hành vi tấn công.

Ví dụ như hiệ tượng lấy cắp tin tức số, trường hợp một nhân viên truy cập vào quanh vùng đặt tài liệu kín đáo của công ty, hệ thống sẽ ghi lại được thời gian, IP, tư liệu bị lấy, sử dụng ứng dụng gì để truy cập, phần mềm bị thiết đặt trái phép… tự đó, người quản trị sẽ chứng minh được ai đó đã làm bài toán này.

3. Tin tặc (Tin tặc)

Có rất nhiều cách hacker tấn công hệ thống. Mỗi kẻ tấn công đều phải sở hữu những thủ thuật, công cụ, con kiến thức, gọi biết về hệ thống. Và cũng đều có vô số các cuốn sách, diễn bầy đăng tải hầu hết nội dung này.

Trước tiên, hacker thu thập thông tin về hệ thống, các nhất có thể. Càng các thông tin, thì kĩ năng thành công của việc tiến công sẽ càng lớn. Những tin tức đó hoàn toàn có thể là: thương hiệu ứng dụng, phiên bạn dạng ứng dụng, hệ điều hành, e-mail quản trị… Bước tiếp theo là quét khối hệ thống để search lỗ hổng. Những lỗ hổng này hoàn toàn có thể gây ra bởi vận dụng xử lý tin tức hoặc do hệ điều hành, hoặc ngẫu nhiên thành phần nào gồm liên quan. Tự đó, họ đã lợi dụng các lỗ hổng kiếm tìm được, hoặc sử dụng những tài khoản khoác định nhằm chiếm quyền truy vấn vào ứng dụng. Khi đang thành công, tin tặc sẽ thiết lập các phần mềm, mã độc để có thể xâm nhập vào hệ thống trong các lần sau. Bước sau cuối là xóa vết tấn công.

Các trang mạng khét tiếng như: The World Street Jounals, The NewYork Times mới đây đều công bố rằng mình đã bị hacker tấn công.

Để phòng tránh nguy cơ tiềm ẩn này, các ứng dụng tương tác với người dùng, dữ liệu cần được giấu đi phần đa thông tin đặc trưng (nếu bao gồm thể) như phiên bản, các loại ứng dụng, các thành phần kèm theo… sử dụng các ứng dụng phát hiện truy vấn trái phép, rà soát soát khối hệ thống thường xuyên coi có phần mềm lạ không, cấu hình tường lửa vừa lòng lý, chính sách truy cập của từng nhóm tín đồ dùng, thống trị truy cập…

4. Lan truyền mã độc

Có không hề ít loại mã độc hoàn toàn có thể kể đến như: virus, sâu máy tính, Trojan horse, lô ghích bomb… nguy cơ tiềm ẩn do chúng gây ra là trọn vẹn rõ ràng, và vô cùng phong phú. Khi đã xâm nhập vào thiết bị nạn nhân, mã độc bao gồm thể: mở cổng hậu (back door) nhằm kẻ tấn công có thể truy cập và có tác dụng mọi câu hỏi trên sản phẩm công nghệ nạn nhân; lưu lại thông tin sử dụng máy tính xách tay (thao tác bàn phím, sử dụng mạng, thông tin đăng nhập…). Đã có khá nhiều công ty bị thiết đặt mã độc. New đây, Facebook cũng bị một nhóm hacker tấn công<2> do máy vi tính của một trong những nhân viên bị cài đặt mã độc.

Cài mã độc vào thứ tính rất có thể qua nhiều con đường: lỗ hổng phần mềm (điển bên cạnh đó adobe Flash, không ít lỗ hổng 0-days được phát hiện, giỏi Java Runtime Environment thời gian gần đây cũng liên tục đưa ra bản vá bảo mật); hệ thống đã bị hacker điều khiển; sử dụng phần mềm crack, không tồn tại giấy phép sử dụng;

Cách tốt nhất có thể để tránh nguy cơ tiềm ẩn này là luôn cập nhật phần mềm xử lý dữ liệu, hệ điều hành và phần mềm an toàn mạng, diệt virus.

5. Tấn công không đồng ý dịch vụ

Nếu một tin tặc không thể cướp quyền truy vấn vào một hệ thống, họ đang tìm giải pháp tấn công khước từ dịch vụ (làm hệ thống không thể ship hàng người cần sử dụng được vào một khoảng chừng thời gian, bằng phương pháp truy cập đến khối hệ thống liên tục, con số lớn, tất cả tổ chức). Tất cả 2 mẫu mã tấn công từ chối dịch vụ:

DoS (Denny of Service – tấn công không đồng ý dịch vụ): tấn công này hoàn toàn có thể xảy ra đối với cả ứng dụng trực tuyến và ứng dụng offline. Với áp dụng trực tuyến, tin tặc sử dụng các công cụ tấn công (tấn công Syn floods, Fin floods, Smurfs, Fraggles) bên trên một máy vi tính để tấn công vào hệ thống, khiến cho nó không thể xử lý được yêu cầu, hoặc có tác dụng nghẽn băng thông khiến người sử dụng khác cực nhọc mà truy vấn được. Với ứng dụng offline, hacker tạo nên những dữ liệu cực lớn, hoặc những dữ liệu xấu (làm cho quy trình xử lý của áp dụng bị dừng trệ, treo)DDoS (Distributed Denny of Service – tấn công phủ nhận dịch vụ phân tán): một hiệ tượng cao cấp của DoS, các nguồn tiến công được điều khiển và tinh chỉnh bởi một (một vài) vps của hacker (gọi là hệ thống điều khiển), cùng tấn công vào hệ thống. Loại tiến công này cực nhọc phát hiện ra hơn cho các khối hệ thống phát hiện tại tự động, giúp tin tặc ẩn mình xuất sắc hơn.

Để kháng lại nguy hại này, hệ thống cần có nhiều server phục vụ, server phân tải, chính sách phát hiện tấn công DoS hiệu quả.

6. Tấn công Social engineering

Thuật ngữ này khá thông dụng trong technology thông tin và bình an thông tin. Đây là 1 trong những kỹ thuật khai thác nhằm vào nhược điểm con người. Con tín đồ trực tiếp cai quản phần mềm, hệ thống. Vị đó, họ thế được số đông thông tin đặc biệt nhất.

Kỹ thuật này ngày càng bổ ích và tất cả độ đúng chuẩn tương đối cao. Điển hình cho hình thức này là hacker nổi tiếng: Kevin Mitnick. Vào một lần, anh chỉ cần vài thông tin đặc trưng của tổng thống Mỹ, đã call điện mang lại thư ký kết của ông với lấy được toàn bộ thông tin về thẻ tín dụng thanh toán của tổng thống!