Các mục tiêu của an tòan thông tin

Để trở thành một chuyên gia bảo mật Comptia SECURITY+ thì điều trước tiên chúng ta
cần nắm vững c ác thành phần nề n tảng trong mô hình bảo mật thông tin, bao gồ m các cơ
chế xác thực người dùng, phương pháp kiềm sóat truy c ập và mục tiêu của an tòan thông
tin. Tro ng bài thi thực tế của mình, tôi gặp c ác câu hỏi thuộc chủ đề này trong câu 1 đến
câu 10. Điều này chứng tỏ các khái niệm cơ bản c ủa an tò an thông tin rất quan trọng
trong ki thi c hứng chỉ quốc tế Comptia SECURITY+.


CÁC MỤC TIÊU CỦA AN TÒAN THÔNG TIN LÀ GÌ : ĐÓ CHÍNH LÀ C.I.A


C.I.A là 3 mục tiêu cơ bản nhất của c ác tiến trình bảo mật, đ ây cũng là những đặc trưng
thường được hỏi trong kỳ thi chứng c hỉ quốc tế Comptia Security+ vì vậy các bạn cần
nắm vững 3 khái niệm này và ý nghĩa của từng ký tự tro ng tam giác bảo mật trên.
-C: là Confidentiality nghĩa là tính riêng tư. Một trong những mục tiêu quan trọng nhất
của bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu. Điều này có nghĩa là dữ liệu
hay thông tin của người nào thì c hỉ người đó được biết và những người khác không được
quyền can thiệp vào . Tro ng thực tế, chúng ta thường thấy khi phát lương ngo ài bì thư hay
đề chữ Confidentiality nhằm khô ng cho c ác nhân viên biết mức lương của nhau để tránh
sự đố kỵ, so sánh giữa họ. Hoặc trong những khu vực riêng của một cơ quan hay tổ chức
nhằm ngăn chặn người lạ xâm nhập với bảng c ấm ―khô ng phận sự miễn vào ‖ c ũng là một
hình thức bảo vệ tính riêng tư. Đối với dữ liệu truyề n để bảo vệ tính riêng tư
(confidentiality) thì chúng thường được mã hóa hay sử dụng c ác giao thức truyền thông
an tòan như SSH.
-I: là Integrity nghĩa là tính tòan vẹ n. Mục tiêu thứ 2 trong bảo mật thô ng tin là bảo vệ
tính tòan vẹ n cho dữ liệu. Nhằm bảo đ ảm khi dữ liệu truyền đi không bị thay đổi bởi một
tác nhân khác, ví dụ khi một email quan trọng được gởi đi thì thường được áp dụng các
thuật tóan bảo vệ tính tòan vẹ n như message digest (sẽ tham khảo trong chương 6) ngăn
ngừa bị một tác nhân thứ 3 thay đổi bằng c ách chặn bắt thông điệp trên.
-A: là Availability nghĩa là tính khả dụng, sẳn sàng đáp ứng nhu cầu người dùng. Cần đặc
biệt lưu ý khi các c âu hỏi của Security+ khi hỏi rằng chữ A có phải tượng trưng c ho
Accountant hay không. Vì nếu không nắm rõ ý nghĩa c ủa 3 mục tiêu này các bạn sẽ dễ bị
đánh lừa bởi yếu tố thứ 3 Availability, nghĩa là dữ liệu cần phải luôn luôn đáp ứng được
nhu c ầu của người dùng ví dụ như dịc h vụ email của doanh nghiệp phải luôn luôn có khả
năng phục vụ nhu c ầu gởi và nhận email, nếu do sự cố nào đó mà quá trình trao đổi thông
tin qua email khô ng diễn ra được thì hệ thống bảo mật của c húng ta đã bị gãy đổ do mục
tiêu A không đáp ứng được.

Non-repudiation : đây là một trong những mục tiêu thứ cấp c ủa 3 mục tiêu chính CIA
trong quá trình bảo mật thông tin. No n-repudation là tính không thể c hối bỏ, nhằm bảo
đảm và xác nhận nguồ n gốc của thô ng điệp. Nếu như c ác bạn hay do wnload c ác chương
trình trên mạng thì sẽ thấy nhà c ung c ấp hay kèm theo một chuỗi số hàm băm MD5 hay
SHA dùng để xác nhận có phải bạn đ ã do wnload đúng chương trình trên từ nhà cung câp
này hay không. V ì nếu như một c hương trình khác được c ác attacker/hacker đưa lên thì
chắc chắn có sự thay đổi về nội dung và khi đó giá trị MD5/SHA đã bị thay đổi, khác với
giá trị mà nhà c ung c ấp đưa ra. Cò n ngược lại, nếu giá trị MD5/SHA giống như giá trị
gốc thì chương trình trên đúng là của nhà cung cấp này và khi nó gây ra các tác hại nào
đó thì họ khô ng được quyền chối bỏ trách nhiệm bằng c ách nói rằng chương trình đó
khô ng phải do họ viết. Tro ng khóa học SCNP (một hệ thống bảo mật c ao cấp hơn so với
Comptia Security+) có hướng dẫn phương pháp tạo giá trị hàm băm vơi thuật tóan
MD5/SHA.

CÁC NHÂN TỐ BẢO MẬT THÔNG TIN


Vậy để đạt được 3 mục tiêu CIA chúng ta cần phải thực hiện những điều gì? Đó chính là
4 nhân tố bảo mật thông tin sau đây:
- Authentication: (Xác thực) là một quá trình xác nhận đặc điểm nhận biết của người
dùng qua đó quyết định quyền truy nhập cơ sở dữ liệu và khả năng thực hiện các giao
dịch c ủa người đó. Việc xác thực thường thô ng qua tên truy nhập và mật khẩu hay c ác
phương pháp phức tạp hơn như chứn g thực số. Ví dụ khi bạn đăng nhập một hệ thống
máy tính thì tiến trình xác thực diễn ra khi bạn nhập vào tài khỏ an bao gồm usernam và
password trên màn hình lo gon.
-Authorization : (Ủy quyền) là tiến trình kiểm tra quyền hạn của người dùng sau khi
đăng nhập hệ thố ng. Ví dụ một người dùng sau khi đăng nhập hệ thống c ần phải trải qua
tiến trình Authorization, sau đó người dùng này được phép truy cập vào máy chủ hay dữ
liệu nào thì tùy thuộc vào quyền hạn mà anh ta có được do tiến trình
-Access control : là quá trình kiểm sóat truy cập có chức năng gán quyền cho người dùng
hay xác nhận quyền hạn của người dùng. Khi các bạn tạo một tập tin thư mục và chia sẽ
nó cho các nhân viên khác thì c húng ta thường gán c ác quyền như được phép đọc, ghi
Quá trình này được gọi là kiểm sóat truy c ập (Access control)
-Auditing hay Accounting: (kiểm tóan) đây là quá trình ghi nhật ký hệ thống để lưu giữ
lại các hành động diễn ra đối với các đối tượng hay dữ liệu. Thô ng thường c húng ta
thường hay ghi log file các lần user đăng nhập thành công hay thất bại hệ thống c ủa
mình, hoặc sau khi đ ăng nhập anh ta có những thao tác gì, quá trình này được gọi là
Auditing hay Accounting .