Nhu cầu kiểm định, đánh giá an toàn thông tin
Công tác kiểm định, đánh giá chất lượng an toàn thông tin (ATTT) các sản phẩm và hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh, ... đã đưa ra các hệ thống tiêu chí đánh giá an toàn thông tin các hệ thống CNTT với nội dung ngày càng được hoàn chỉnh, như Sách Da cam (năm 1983) – Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); sách Đỏ (năm 1987) – Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991) – Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)....
Mục đích của việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật, hay nói cách khác là các tiêu chí, yêu cầu đã đặt ra cho sản phẩm hay không. Đó chính là những căn cứ giúp người dùng có cách nhìn khách quan, đúng đắn về chất lượng sản phẩm, dễ dàng so sánh để đưa ra quyết định lựa chọn và ứng dụng sản phẩm trong thực tế. Đối với những người nghiên cứu, phát triển sản phẩm, kết quả đánh giá sẽ là sự khẳng định chất lượng sản phẩm khi đưa ra thị trường, là một bằng chứng tạo niềm tin đối với người dùng, cũng như thể hiện sự tuân thủ các qui định trong việc lưu thông hàng hóa. Với cơ quan quản lý, kiểm định, đánh giá sản phẩm là công cụ để thực hiện chức năng quản lý của mình.
Các yếu tố ảnh hưởng tới công tác kiểm định sản phẩm ATTT
Xây dựng Hệ thống kiểm định, đánh giá chất lượng sản phẩm ATTT hết sức phức tạp, đòi hỏi phải có sự đầu tư lớn về cơ sở vật chất và nguồn nhân lực. Về cơ bản, các yếu tố chính ảnh hưởng đến hoạt động kiểm định, đánh giá sản phẩm ATTT được thể hiện trong sơ đồ dưới đây.
Trong sơ đồ có thể thấy, nhân tố chính trong hệ thống kiểm định, đánh giá sản phẩm là Cơ quan kiểm định sản phẩm ATTT.
Cơ quan kiểm định là thành phần trung tâm trong việc xây dựng, phối hợp và áp dụng các văn bản quy phạm pháp luật, các công nghệ, công cụ trong hoạt động kiểm định. Cơ cấu và tổ chức của bộ máy kiểm định cần được xây dựng để đáp ứng nhu cầu vận hành hiệu quả mô hình hệ thống kiểm định và cấp chứng nhận trong cả nước. Đội ngũ nhân lực của Cơ quan kiểm định cần được trang bị những kiến thức cơ bản về khoa học công nghệ, kiến thức nền tảng về CNTT, đặc biệt là kiến thức liên quan đến sản phẩm ATTT như nguyên lý chế tạo, vận hành, quản trị sản phẩm. Các cán bộ kiểm định cũng cần nắm vững các kiến thức chuyên môn về công tác kiểm định đánh giá sản phẩm ATTT như các tiêu chuẩn, tiêu chí, phương pháp luận đánh giá, các kỹ thuật, công nghệ và công cụ thực hiện việc kiểm định, đánh giá. Do đó, đội ngũ nhân lực phục vụ hoạt động kiểm định cần phải đáp ứng những yêu cầu về chuyên môn, luôn được đào tạo và bồi dưỡng bổ sung kiến thức thường xuyên.
Yếu tố thứ hai là các văn bản quy phạm pháp luật liên quan tới hoạt động kiểm định, đánh giá cùng các tiêu chuẩn, tiêu chí, qui trình kiểm định, phương pháp luận kiểm định. Đây là những cơ sở khoa học và pháp lý để triển khai công tác kiểm định.
Các tiêu chuẩn (quy chuẩn kỹ thuật) đánh giá sản phẩm ATTT có thể được xây dựng ở cấp quốc gia, cấp khu vực (giữa các quốc gia) hay mang tầm quốc tế. Xu hướng của nhiều nước trên thế giới là ban hành các tiêu chuẩn quốc gia dựa trên tiêu chuẩn quốc tế hoặc theo tiêu chuẩn của các nước có nền khoa học công nghệ phát triển như Mỹ, Nga, Anh.…
|
Trong lĩnh vực kiểm định, đánh giá sản phẩm ATTT, Tổ chức các quốc gia công nhận lẫn nhau (Common Criteria Recognition Arrangement - CCRA) thống nhất sử dụng Tiêu chí chung (CC – Common Criteria) cho hoạt động đánh giá sản phẩm ATTT. CCRA hiện có 17 thành viên chính thức (được phép hoạt động kiểm định, cấp chứng nhận sản phẩm ATTT), 9 thành viên (Certificate Consuming Members) đang trong quá trình gia nhập và nhiều quốc gia gián tiếp sử dụng tiêu chí chung (được công nhận là tiêu chuẩn quốc tế ISO/IEC 15408) cho hoạt động kiểm định của mình. |
Các nước như Anh, Nga và Trung Quốc đều đã xây dựng các tiêu chí, tiêu chuẩn, phương pháp luận, quy định riêng về quy trình kiểm định, đánh giá đối với sản phẩm ATTT.
Đối với các tiêu chuẩn, quy chuẩn kỹ thuật, tiêu chí, hay các tài liệu quy phạm pháp luật có thể phân ra làm hai nhóm chính. Nhóm thứ nhất là các chuẩn, tiêu chí đánh giá ATTT được Cơ quan đánh giá sử dụng để định hướng cho việc đánh giá, để thực hiện phân tích, phân loại sản phẩm. Đây là các tài liệu đóng vai trò phương pháp luận để đánh giá sản phẩm (CC, FIPS 140, ISO/IEC 15408,...). Nhóm thứ hai là các tiêu chuẩn, tiêu chí ATTT nói chung, các quy chuẩn kỹ thuật và các yêu cầu riêng biệt đối với từng loại và từng đối tượng sản phẩm ATTT. Đây là các tài liệu kỹ thuật được mô tả chi tiết để Cơ quan đánh giá thực hiện việc kiểm định, đánh giá chất lượng của sản phẩm và so sánh với các yêu cầu trong các tài liệu đó (các tiêu chuẩn mật mã, các tiêu chuẩn RFC, các quy chuẩn kỹ thuật,...). Dựa trên hai nhóm đó, Cơ quan đánh giá thực hiện việc kiểm định, đánh giá đối với một sản phẩm ATTT cụ thể.
Một trong các yếu tố quan trọng ảnh hưởng lớn tới thời gian đánh giá, chất lượng đánh giá là các công cụ được sử dụng hỗ trợ cho việc kiểm định, đánh giá.
Công tác kiểm định, đánh giá sẽ không thể thực hiện nếu không có hệ thống trang thiết bị, công cụ phục vụ việc kiểm định. Bên cạnh các phòng thử nghiệm (lab) với trang thiết bị hiện đại, phù hợp cho việc kiểm định từng loại sản phẩm, hoạt động kiểm định còn cần có các trang thiết bị thử nghiệm, thiết bị giả lập, thiết bị đo kiểm, các bộ công cụ thử nghiệm dưới dạng phần cứng và phần mềm.
Xây dựng chương trình hợp tác và chuyển giao công nghệ về kiểm định, đánh giá sản phẩm ATTT từ các nước phát triển là những bước không thể thiếu trong quá trình xây dựng hệ thống đánh giá sản phẩm của mỗi quốc gia để từng bước tiến tới hội nhập với khu vực và thế giới.
Trên cơ sở đó, có thể thấy muốn phát triển một cách hoàn thiện hệ thống kiểm định, đánh giá chất lượng sản phẩm ATTT thì việc phát triển đồng bộ các yếu tố nêu trên là nguyên tắc cần thiết. Chính các yếu tố này đóng góp một phần lớn vào việc thúc đẩy sự phát triển các sản phẩm, dịch vụ ATTT và tạo điều kiện cho các sản phẩm được ứng dụng rộng rãi với độ tin cậy cao.
Kết luận
Phát triển hệ thống kiểm định, cấp chứng nhận sản phẩm ATTT là một quá trình lâu dài, cần rất nhiều nguồn tài nguyên và nhân lực. Tùy theo từng giai đoạn phát triển mà các yếu tố chính trong mô hình kiểm định, đánh giá sản phẩm ATTT sẽ được quan tâm, đầu tư ở các mức độ khác nhau với lộ trình thống nhất. Tuy nhiên, quá trình đầu tư cho nguồn nhân lực làm công tác kiểm định, đánh giá sản phẩm ATTT cần phải được quan tâm thường xuyên, liên tục và thích đáng, bởi đây là yếu tố quyết định tới kết quả hoạt động đánh giá an toàn thông tin.
08:00 | 16/01/2018
15:00 | 03/02/2020
07:00 | 08/04/2024
Thiết bị truyền dữ liệu một chiều Datadiode có ý nghĩa quan trọng trong việc bảo đảm an toàn thông tin (ATTT) cho việc kết nối liên thông giữa các vùng mạng với nhau, đặc biệt giữa vùng mạng riêng, nội bộ với các vùng mạng bên ngoài kém an toàn hơn. Khi chủ trương xây dựng Chính phủ điện tử, Chính phủ số của Quân đội được quan tâm, đẩy mạnh phát triển. Việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng truyền số liệu quân sự (TSLQS) và mạng Internet, giữa các hệ thống thông tin quân sự và cơ sở dữ liệu (CSDL) quốc gia về dân cư, bảo hiểm y tế và các CSDL dùng chung khác yêu cầu phải kết nối. Bài báo sẽ trình bày giải pháp truyền dữ liệu một chiều Datadiode cho phép các ứng dụng giữa hai vùng mạng kết nối sử dụng giao thức Webservice/RestAPI.
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
08:00 | 25/01/2024
Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
