Chính vì sự thuận tiện và hiệu quả này, giao dịch web phải đối mặt với rất nhiều rủi ro. Những vấn đề liên quan đến an toàn web bao gồm: định danh, xác thực, tin cậy, bí mật, chống chối bỏ, trao quyền....
Hiện tại, an toàn web được xem là một trọng tâm trong lĩnh vực an toàn thông tin của nhiều quốc gia và được nhiều tổ chức hoạt động trong lĩnh vực an toàn thông tin trên thế giới quan tâm. Nhiều hướng tiếp cận được đưa ra để giải quyết bài toán an toàn web. Về tổng quan, để giải quyết bài toán an toàn web, chúng ta cần nghiên cứu và giải quyết đồng bộ các vấn đề sau:
- Xây dựng chuẩn an toàn web: Các chuẩn về an toàn web đã được nghiên cứu, xây dựng và triển khai hiệu quả tại nhiều nước, cụ thể là các chuẩn về an toàn web do các tổ chức như W3C, OASIS, hãng IBM, Microsoft... đưa ra.
- Xây dựng và áp dụng các chính sách an toàn áp dụng theo khu vực, nước, tổ chức, mạng, máy chủ web,... nhằm đảm bảo an toàn về mặt hệ thống.
- Sử dụng công nghệ xây dựng ứng dụng web tiên tiến.
- Tăng cường sự hỗ trợ của mật mã để đáp ứng các yêu cầu liên quan đến an toàn ứng dụng web như: khóa, phân phối khóa, thuật toán mã hóa, khóa công khai....
Các chuẩn về an toàn web
Phần này giới thiệu một số chuẩn về an toàn web do hai tổ chức OASIS (Organization for the Advancement of Structured Information Standards) và W3C (The World Wide Web Consortium) đưa ra, cho phép chúng ta tận dụng được các mô hình an toàn đã được chứng minh và công nhận, đồng thời tạo thuận lợi cho việc tích hợp các sản phẩm xác thực và bảo mật web khác nhau.
Tổ chức W3C hướng tới việc phát triển cơ sở hạ tầng, cụ thể bằng việc đưa ra các chuẩn về chữ ký số, mã hóa và quản lý khóa như: XML Signature Syntax and Processing, XML Encryption Syntax and Processing, XML Key Management Specification (XKMS),…
Tổ chức OASIS hướng tới các ứng dụng bằng việc đưa ra các chuẩn về xác thực, trao quyền và an toàn dịch vụ web như: Security Assertion Markup Language (SAML), eXtensible Access Control Markup Language (XACML), Service Provisioning Markup Language (SPML), Web Services Security,…
Hai tổ chức W3C và OASIS có các mục đích khác nhau trong việc nghiên cứu, xây dựng và phát triển các chuẩn về an toàn web nhưng chúng có quan hệ mật thiết với nhau. Hình sau đây mô tả mối quan hệ giữa các chuẩn về an toàn web của 2 tổ chức này.
XML Signature Syntax and Processing: Là chuẩn do 2 tổ chức W3C và IETF phối hợp đưa ra, được sử dụng trong xác thực, toàn vẹn dữ liệu (chống làm giả) và chống chối bỏ. Cho phép biểu diễn chữ ký số và các thủ tục tính toán, kiểm tra chữ ký số theo cú pháp XML.
XML- Encryption Syntax and Processing: Là chuẩn của W3C, được sử dụng trong bảo mật dữ liệu. Cho phép biểu diễn tài liệu được mã hóa và các thủ tục mã hóa/giải mã chúng theo cú pháp XML.
XML Key Management Specification (XMKS): Là chuẩn của W3C, cho phép biểu diễn và quản lý (phân phối và đăng ký) khóa công khai cho các thực thể theo cú pháp XML, thích hợp với các chuẩn XML Signatures và XML Encryption. Chuẩn này bao gồm 2 phần, dịch vụ thông tin khóa XML (XML Key Information Service Specification, viết tắt là X-KISS) và dịch vụ đăng ký khóa XML (XML Key Registration Service Specification viết tắt là X-KRSS).
Security Assertion Markup Language (SAML): Là chuẩn của OASIS, cho phép biểu diễn và trao đổi dữ liệu xác thực và trao quyền giữa các thực thể theo cú pháp XML.
eXtensible Access Control Markup Language (XACML): Là chuẩn của OASIS, cho phép biểu diễn các chính sách trao quyền và quyền (xác định ai, cái gì, khi nào và truy nhập như thế nào) theo cú pháp XML.
eXtensible rights Markup Language (XrML): Là chuẩn của OASIS, gồm có 5 phần với mục đích kiểm soát việc sử dụng nội dung thông qua giấy phép (licence). Chuẩn định nghĩa một framework dựa trên XML cho phép biểu diễn các quyền, định nghĩa và quy tắc.
Service Provisioning Markup Language (SPML): Là chuẩn của OASIS, cho phép biểu diễn và trao đổi thông tin người dùng, thông tin về tài nguyên và yêu cầu cung cấp dịch vụ theo cú pháp XML.
WS-Security: Là chuẩn của OASIS, cung cấp cơ chế cho phép trao đổi các thông báo SOAP an toàn ở mức end-to-end, bằng cách sử dụng các chuẩn XML Signature Syntax and Processing để đảm bảo tính toàn vẹn và xác thực, XML Encryption Syntax and Processing để đảm bảo tính bí mật cho các thông báo SOAP. Chuẩn cũng đưa ra một số kiểu thẻ bài an toàn (Kerberos ticket, X509 certificate, SAML assertions), đồng thời cung cấp cơ chế cho phép gắn kết các thẻ bài an toàn với thông báo SOAP.
Mục đích chính của các chuẩn là cung cấp các mô hình an toàn, đưa ra cách thức giao tiếp an toàn giữa các hệ thống trong môi trường web. Nói cách khác, chúng cung cấp các khung giao tiếp an toàn trong môi trường web.
Việc áp dụng các chuẩn này tùy thuộc vào mục đích và yêu cầu sử dụng, không phụ thuộc vào công nghệ, hạ tầng khóa công khai, thuật toán mã hóa và ký. Bởi vậy, có thể nghiên cứu, áp dụng và phát triển các chính sách an toàn cụ thể phù hợp với yêu cầu của quốc gia, của tổ chức mình đặt ra, đồng thời phát triển và ứng dụng mật mã của riêng mình.
Hiện tại, việc áp dụng các chuẩn về an toàn web của tổ chức W3C và OASIS đă phổ biến ở nhiều nước và tổ chức trên thế giới, trong đó có cả Việt Nam.
Kết luận
Việc giải quyết bài toán an toàn web là một trong các vấn đề được nhiều nước và nhiều hãng bảo mật nổi tiếng trên thế giới quan tâm và đầu tư. Một trong các hướng tiếp cận để giải quyết bài toán an toàn web là áp dụng các chuẩn an toàn web do hai tổ chức W3C và OASIS đưa ra. Chuẩn cung cấp cho chúng ta các mô hình và cách thức giao tiếp an toàn giữa các hệ thống trong môi trường web. Việc áp dụng các chuẩn an toàn web cũng là một trong các mục tiêu quan trọng, nhằm tăng cường khả năng chuẩn hóa và tích hợp các sản phẩm thương mại an toàn web.
03:52 | 24/06/2016
Trong lĩnh vực công nghệ thông tin, nhu cầu sử dụng các cơ chế mật mã để bảo vệ thông tin liên tục gia tăng. Tính an toàn và tin cậy của các cơ chế như vậy phụ thuộc trực tiếp vào các môđun mật mã, trong đó các cơ chế này được thực thi. Trước yêu cầu này, Tiêu chuẩn Quốc gia Việt Nam TCVN 11295:2016 ISO/IEC 19790:2012 “Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn cho môđun mật mã” đã được công bố theo đề nghị của Ban Cơ yếu Chính phủ. Tiêu chuẩn này đã bước đầu đáp ứng cho công tác tiêu chuẩn, kiểm định, đánh giá trong lĩnh vực mật mã. Bài viết dưới đây sẽ phân tích một số vấn đề liên quan đến việc triển khai tiêu chuẩn mới này.
01:00 | 05/03/2015
Tùy thuộc vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có các phương thức tiếp cận khác nhau để xây dựng Hệ thống quản lý An toàn thông tin (ATTT) phù hợp. Hệ thống quản lý ATTT theo tiêu chuẩn quốc tế - ISO 27001: 2013 đề cập khá đầy đủ các yêu cầu đảm bảo ATTT của một tổ chức.
04:00 | 06/06/2014
CC-IS là các yêu cầu chứng nhận cần tuân thủ bắt buộc đối với các sản phẩm an toàn thông tin cho thị trường mua sắm cho cơ quan chính phủ của Trung Quốc. Các sản phẩm an toàn thông tin không thuộc lĩnh vực mua sắm cho cơ quan chính phủ thì áp dụng tự nguyện. Cơ quan chỉ định chứng nhận Trung Quốc ban hành danh mục sản phẩm phải thực hiện chứng nhận CC-IS bao gồm 08 mục sản phẩm và được mở rộng thành 13 loại sản phẩm cụ thể.
05:00 | 31/03/2011
Các thiết bị mật mã điện tử trong quá trình triển khai sử dụng có thể gặp những hỏng hóc nhất định. Việc nghiên cứu, phân tích nguyên nhân sinh ra lỗi, đánh giá tỷ lệ lỗi để xử lý hạn chế lỗi cần dựa trên các cơ sở lý thuyết về mạch điện tử, bán dẫn, cơ khí, độ tin cậy....