Nhu cầu kiểm định, đánh giá an toàn thông tin
Công tác kiểm định, đánh giá chất lượng an toàn thông tin (ATTT) các sản phẩm và hệ thống CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh, ... đã đưa ra các hệ thống tiêu chí đánh giá an toàn thông tin các hệ thống CNTT với nội dung ngày càng được hoàn chỉnh, như Sách Da cam (năm 1983) – Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria); sách Đỏ (năm 1987) – Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991) – Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security Evaluation Criteria - ITSEC)....
Mục đích của việc kiểm định, đánh giá chất lượng sản phẩm là kiểm tra, đánh giá sản phẩm đó có đạt được các yêu cầu về chất lượng theo các tiêu chuẩn, quy chuẩn kỹ thuật, hay nói cách khác là các tiêu chí, yêu cầu đã đặt ra cho sản phẩm hay không. Đó chính là những căn cứ giúp người dùng có cách nhìn khách quan, đúng đắn về chất lượng sản phẩm, dễ dàng so sánh để đưa ra quyết định lựa chọn và ứng dụng sản phẩm trong thực tế. Đối với những người nghiên cứu, phát triển sản phẩm, kết quả đánh giá sẽ là sự khẳng định chất lượng sản phẩm khi đưa ra thị trường, là một bằng chứng tạo niềm tin đối với người dùng, cũng như thể hiện sự tuân thủ các qui định trong việc lưu thông hàng hóa. Với cơ quan quản lý, kiểm định, đánh giá sản phẩm là công cụ để thực hiện chức năng quản lý của mình.
Các yếu tố ảnh hưởng tới công tác kiểm định sản phẩm ATTT
Xây dựng Hệ thống kiểm định, đánh giá chất lượng sản phẩm ATTT hết sức phức tạp, đòi hỏi phải có sự đầu tư lớn về cơ sở vật chất và nguồn nhân lực. Về cơ bản, các yếu tố chính ảnh hưởng đến hoạt động kiểm định, đánh giá sản phẩm ATTT được thể hiện trong sơ đồ dưới đây.
Trong sơ đồ có thể thấy, nhân tố chính trong hệ thống kiểm định, đánh giá sản phẩm là Cơ quan kiểm định sản phẩm ATTT.
Cơ quan kiểm định là thành phần trung tâm trong việc xây dựng, phối hợp và áp dụng các văn bản quy phạm pháp luật, các công nghệ, công cụ trong hoạt động kiểm định. Cơ cấu và tổ chức của bộ máy kiểm định cần được xây dựng để đáp ứng nhu cầu vận hành hiệu quả mô hình hệ thống kiểm định và cấp chứng nhận trong cả nước. Đội ngũ nhân lực của Cơ quan kiểm định cần được trang bị những kiến thức cơ bản về khoa học công nghệ, kiến thức nền tảng về CNTT, đặc biệt là kiến thức liên quan đến sản phẩm ATTT như nguyên lý chế tạo, vận hành, quản trị sản phẩm. Các cán bộ kiểm định cũng cần nắm vững các kiến thức chuyên môn về công tác kiểm định đánh giá sản phẩm ATTT như các tiêu chuẩn, tiêu chí, phương pháp luận đánh giá, các kỹ thuật, công nghệ và công cụ thực hiện việc kiểm định, đánh giá. Do đó, đội ngũ nhân lực phục vụ hoạt động kiểm định cần phải đáp ứng những yêu cầu về chuyên môn, luôn được đào tạo và bồi dưỡng bổ sung kiến thức thường xuyên.
Yếu tố thứ hai là các văn bản quy phạm pháp luật liên quan tới hoạt động kiểm định, đánh giá cùng các tiêu chuẩn, tiêu chí, qui trình kiểm định, phương pháp luận kiểm định. Đây là những cơ sở khoa học và pháp lý để triển khai công tác kiểm định.
Các tiêu chuẩn (quy chuẩn kỹ thuật) đánh giá sản phẩm ATTT có thể được xây dựng ở cấp quốc gia, cấp khu vực (giữa các quốc gia) hay mang tầm quốc tế. Xu hướng của nhiều nước trên thế giới là ban hành các tiêu chuẩn quốc gia dựa trên tiêu chuẩn quốc tế hoặc theo tiêu chuẩn của các nước có nền khoa học công nghệ phát triển như Mỹ, Nga, Anh.…
|
Trong lĩnh vực kiểm định, đánh giá sản phẩm ATTT, Tổ chức các quốc gia công nhận lẫn nhau (Common Criteria Recognition Arrangement - CCRA) thống nhất sử dụng Tiêu chí chung (CC – Common Criteria) cho hoạt động đánh giá sản phẩm ATTT. CCRA hiện có 17 thành viên chính thức (được phép hoạt động kiểm định, cấp chứng nhận sản phẩm ATTT), 9 thành viên (Certificate Consuming Members) đang trong quá trình gia nhập và nhiều quốc gia gián tiếp sử dụng tiêu chí chung (được công nhận là tiêu chuẩn quốc tế ISO/IEC 15408) cho hoạt động kiểm định của mình. |
Các nước như Anh, Nga và Trung Quốc đều đã xây dựng các tiêu chí, tiêu chuẩn, phương pháp luận, quy định riêng về quy trình kiểm định, đánh giá đối với sản phẩm ATTT.
Đối với các tiêu chuẩn, quy chuẩn kỹ thuật, tiêu chí, hay các tài liệu quy phạm pháp luật có thể phân ra làm hai nhóm chính. Nhóm thứ nhất là các chuẩn, tiêu chí đánh giá ATTT được Cơ quan đánh giá sử dụng để định hướng cho việc đánh giá, để thực hiện phân tích, phân loại sản phẩm. Đây là các tài liệu đóng vai trò phương pháp luận để đánh giá sản phẩm (CC, FIPS 140, ISO/IEC 15408,...). Nhóm thứ hai là các tiêu chuẩn, tiêu chí ATTT nói chung, các quy chuẩn kỹ thuật và các yêu cầu riêng biệt đối với từng loại và từng đối tượng sản phẩm ATTT. Đây là các tài liệu kỹ thuật được mô tả chi tiết để Cơ quan đánh giá thực hiện việc kiểm định, đánh giá chất lượng của sản phẩm và so sánh với các yêu cầu trong các tài liệu đó (các tiêu chuẩn mật mã, các tiêu chuẩn RFC, các quy chuẩn kỹ thuật,...). Dựa trên hai nhóm đó, Cơ quan đánh giá thực hiện việc kiểm định, đánh giá đối với một sản phẩm ATTT cụ thể.
Một trong các yếu tố quan trọng ảnh hưởng lớn tới thời gian đánh giá, chất lượng đánh giá là các công cụ được sử dụng hỗ trợ cho việc kiểm định, đánh giá.
Công tác kiểm định, đánh giá sẽ không thể thực hiện nếu không có hệ thống trang thiết bị, công cụ phục vụ việc kiểm định. Bên cạnh các phòng thử nghiệm (lab) với trang thiết bị hiện đại, phù hợp cho việc kiểm định từng loại sản phẩm, hoạt động kiểm định còn cần có các trang thiết bị thử nghiệm, thiết bị giả lập, thiết bị đo kiểm, các bộ công cụ thử nghiệm dưới dạng phần cứng và phần mềm.
Xây dựng chương trình hợp tác và chuyển giao công nghệ về kiểm định, đánh giá sản phẩm ATTT từ các nước phát triển là những bước không thể thiếu trong quá trình xây dựng hệ thống đánh giá sản phẩm của mỗi quốc gia để từng bước tiến tới hội nhập với khu vực và thế giới.
Trên cơ sở đó, có thể thấy muốn phát triển một cách hoàn thiện hệ thống kiểm định, đánh giá chất lượng sản phẩm ATTT thì việc phát triển đồng bộ các yếu tố nêu trên là nguyên tắc cần thiết. Chính các yếu tố này đóng góp một phần lớn vào việc thúc đẩy sự phát triển các sản phẩm, dịch vụ ATTT và tạo điều kiện cho các sản phẩm được ứng dụng rộng rãi với độ tin cậy cao.
Kết luận
Phát triển hệ thống kiểm định, cấp chứng nhận sản phẩm ATTT là một quá trình lâu dài, cần rất nhiều nguồn tài nguyên và nhân lực. Tùy theo từng giai đoạn phát triển mà các yếu tố chính trong mô hình kiểm định, đánh giá sản phẩm ATTT sẽ được quan tâm, đầu tư ở các mức độ khác nhau với lộ trình thống nhất. Tuy nhiên, quá trình đầu tư cho nguồn nhân lực làm công tác kiểm định, đánh giá sản phẩm ATTT cần phải được quan tâm thường xuyên, liên tục và thích đáng, bởi đây là yếu tố quyết định tới kết quả hoạt động đánh giá an toàn thông tin.
08:00 | 16/01/2018
15:00 | 03/02/2020
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
13:00 | 18/09/2023
Một trong những tham luận thu hút sự quan tâm lớn của giới bảo mật tại Hội nghị bảo mật hàng đầu thế giới Black Hat USA 2023 là tấn công TSSHOCK của nhóm nghiên cứu mật mã đến từ công ty Verichains (Việt Nam). Đáng lưu ý, tấn công này cho phép một node ác ý có thể đánh cắp on-chain tài sản mã hoá giá trị hàng triệu đến hàng tỉ USD trên các dịch vụ này.
10:00 | 10/07/2023
Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
