ĐẶC ĐIỂM CỦA AN TOÀN THÔNG TIN

     

Hệ thống thông tin được tạo thành 3 phần chính: phần cứng, ứng dụng và liên kết với mục đích giúp cho câu hỏi phân các loại và áp dụng các chuẩn về bình an thông tin dễ dàng, thuận tiện nhất. Thông thường, giấy tờ thủ tục hoặc chính sách bảo mật này được tiến hành để nói với con fan (quản trị, người dùng, bạn vận hành) rằng làm gắng nào để sử dụng thành phầm mà vẫn đảm bảo an toàn thông tin mạng cho cá thể và cả tổ chức.

Bạn đang xem: đặc điểm của an toàn thông tin

An toàn thông tin là bảo đảm thông tin và khối hệ thống thông tin nói tầm thường khỏi các truy cập trái phép, sử dụng, làm lộ, làm cho hỏng, chỉnh sửa, ghi chép không được phép…

Khái niệm an toàn thông tin mạng (information security), an toàn máy tính (computer security), bảo vệ thông tin (information assurance) được sử dụng hoán đổi đến nhau. Những nghành nghề dịch vụ này liên quan nội cỗ với nhau, thường xuyên xuyên share những mục tiêu chính của việc đảm bảo các tinh tướng tính bí mật (confidentiality), toàn diện (integrity) cùng tính chuẩn bị (availability) của thông tin; mặc dù nhiên, lại sở hữu một số khác biệt giữa chúng. Sự khác biệt chính kia là cách tiếp cận vấn đề, phương thức thực hiện và phạm vi nhiệt tình của mỗi lĩnh vực. Bình yên thông tin suy xét khía cạnh túng thiếu mật, toàn vẹn, sẵn sàng của dữ liệu không nhiệt tình đến hình thức của dữ liệu: điện tử, bản in, hoặc các dạng khác. An ninh máy tính triệu tập vào việc bảo đảm tính sẵn sàng và hoạt động đúng mực của hệ thống máy tính mà không suy nghĩ thông tin được lưu giữ trữ, xử lý vị chúng. Đảm bảo thông tin triệu tập vào lý do đảm bảo an toàn rằng tin tức được bảo đảm và chính vì thế nó là tại sao để thực hiện bình yên thông tin.

Vì sao cần an toàn thông tin?

Từ bao gồm phủ, quân đội, những tập đoàn, dịch viện, cơ sở kinh doanh… đến bạn dùng đều phải sở hữu những thông tin kín riêng về khách hàng hàng, nhân viên, sản phẩm, nghiên cứu… hầu hết các thông tin đó bây chừ đều được thu thập, giải pháp xử lý và lưu trữ bởi thứ vi tính, trung trọng tâm dữ liệu. Tài liệu đó cũng có thể được chuyển hẳn qua mạng nhằm về trung trung tâm lưu trữ, đến những nhánh công ty con, hoặc gửi cho chính mình bè, bạn thân… Nếu tin tức đó lọt được vào tay đối thủ đối đầu thì cực kỳ nguy hiểm.

Vì thế, bảo đảm an toàn thông tin thay đổi một yêu thương cầu không thể không có trong mọi chuyển động nói tầm thường và vận động điện tử nói riêng. An toàn thông tin trong thời đại số là đặc trưng hơn bao giờ hết.

Các định nghĩa cơ bạn dạng về an toàn thông tin mạng

Tam giác CIA (Confidenttiality, integrity, availability) là có mang cơ bản, cơ bản của bình yên thông tin.

Có tương đối nhiều cuộc tranh cãi về việc không ngừng mở rộng tam giác này thành các yếu tố hơn. Những nguyên tắc như: tính trọng trách (Accountability) nhiều lúc được đề xuất thêm vào nguyên tắc cơ bản. Thực tế đã đã cho thấy rằng ví dụ như tính cần thiết chối cãi (Non – Repudiation) không thể màn trình diễn bởi tam giác trên, cùng với sự cách tân và phát triển của hệ thống máy tính như hiện tại nay, vấn đề pháp luật (Legality) cũng trở thành một yếu tố rất quan trọng.

Trong năm 1992 cùng sửa đổi năm 2002, chỉ dẫn của tổ chức triển khai OECD về bảo mật cho các hệ thống thông tin với mạng đã để xuất 9 nguyên lý cơ bản sau: tính nhấn thức (Awareness), tính nhiệm vụ (Responsibility), tính phản hồi (Response), đạo đức nghề nghiệp (Ethics), tính dân nhà (Democracy), review rủi ro (Risk Assessment), xây đắp bảo mật và thực thi, cai quản bảo mật, và review lại (Reassessment). Tiếp tục từ đó, năm 2004, tổ chức triển khai NIST đã chuyển ra những luật bảo mật thông tin, trong đó lời khuyên 33 nguyên tắc.

Năm 2002, Donn Parker đã khuyến cáo một quy mô tương con đường với tam giác CIA, được điện thoại tư vấn là 6 yếu tố cơ bản của thông tin. Các yếu tố đo là: kín đáo (confidentiality), tải (possession), toàn vẹn (integrity), đảm bảo (authenticity), sẵn sàng (availability) và app (utility).

*
*

Sau đây đang là từng chi tiết của tam giác CIA và một vài tính hóa học khác trong bình yên thông tin mạng.

1. Tính túng mật

Bí mật là thuật ngữ được thực hiện để kị lộ thông tin đến những đối tượng người sử dụng không được xác xắn hoặc để lọt vào các hệ thống khác. Ví dụ: một giao dịch tín dụng qua Internet, số thẻ tín dụng được giữ hộ từ người mua sắm và chọn lựa đến fan bán, cùng từ người cung cấp đến nhà cung cấp dịch vụ thẻ tín dụng. Khối hệ thống sẽ nỗ lực thực hiện tính túng mật bằng cách mã hóa số thẻ trong suốt quy trình truyền tin, số lượng giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log file, sao lưu giữ (backup), in hóa đơn…) với bằng vấn đề giới hạn truy cập những nơi mà nó được lưu lại. Nếu như một bên không được đúng đắn (ví dụ bạn dùng không có trong giao dịch, hacker…) mang số thẻ này bằng bất kỳ cách nào, thì tính kín đáo không còn nữa.

Tính bí mật rất cần thiết (nhưng không đủ) để trì sự riêng tư của bạn có thông tin được khối hệ thống lưu giữ.

2. Tính toàn vẹn

Trong bình yên thông tin, trọn vẹn có nghĩa rằng tài liệu không thể bị chỉnh sửa mà không bị phát hiện. Nó khác với tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó rất có thể được xem như là 1 trong trường hợp quan trọng đặc biệt của tính đồng bộ như được đọc trong hô hình truyền thống ACID (tính nguyên tử (atomicity), tính đồng điệu (consistency), tính tính bí quyết ly (isolation), tính lâu bền (durability) – là một tập các thuộc tính đảm bảo an toàn rằng cơ sở tài liệu đáng tin cậy) của giải pháp xử lý giao dịch. Tính toàn vẹn bị xâm phạm khi một thông điệp bị chỉnh sửa trong giao dịch. Hệ thống thông tin bình yên luôn cung ứng các thông điệp toàn diện và túng mật.

3. Tính sẵn sàng

Mọi khối hệ thống thông tin đều ship hàng mục đích riêng của chính nó và tin tức phải luôn luôn chuẩn bị khi bắt buộc thiết. Điều đó tất cả nghĩa rằng hệ thống đo lường và thống kê sử dụng để lưu trữ và cách xử trí thông tin, gồm một hệ thống điều khiển bảo mật sử dụng để bảo vệ nó, và kênh liên kết sử dụng để truy vấn nó nên luôn chuyển động chính xác. Khối hệ thống có tính chuẩn bị cao đào bới sự sẵn sàng ở phần nhiều thời điểm, tránh được những rủi ro khủng hoảng cả về phần cứng, ứng dụng như: sự nỗ lực mất điện, lỗi phần cứng, cập nhật, nâng cấp hệ thống… bảo vệ tính chuẩn bị cũng tức là tránh được tấn công khước từ dịch vụ.

4. Tính xác thực

Trong chuyển động tính toán, kinh doanh qua mạng và an ninh thông tin, tính đúng đắn là vô cùng quan trọng để bảo đảm an toàn rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu (tài liệu năng lượng điện tử hoặc tài liệu cứng) số đông là thật (genuine). Nó cũng quan trọng đặc biệt cho việc xác thực rằng những bên liên quan biết họ là ai trong hệ thống.

5. Tính quan trọng chối cãi

Không thể chối cãi có nghĩa rằng một bên giao dịch thanh toán không thể khước từ việc bọn họ đã tiến hành giao dịch với những bên khác. Ví dụ: trong những khi giao dịch mua sắm và chọn lựa qua mạng, khi người sử dụng đã nhờ cất hộ số thẻ tín dụng cho bên bán, đã thanh toán thành công, thì bên phân phối không thể khước từ việc họ đã nhận được tiền, (trừ ngôi trường hợp khối hệ thống không bảo vệ tính bình yên thông tin trong giao dịch).

Các nguy cơ của an toàn thông tin

Nhìn từ ý kiến hacker, tất cả vô số cách để tấn công, mang cắp tin tức của một hệ thống. Lỗ hổng của ứng dụng, lỗ hổng dịch vụ trực tuyến (web, mail…), lỗ hổng hệ điều hành… vày thế, siêu khó để có thể tùy chỉnh và gia hạn bảo mật thông tin.

Xem thêm: Top 11 Ý Nghĩa Của Icon Trái Tim Màu Xanh Dương, Ý Nghĩa Màu Icon Trái Tim

Rất nhiều các khai quật thành công đông đảo bắt mối cung cấp từ bên phía trong tổ chức (công ty). Theo các thống kê của Computer Security Institute, thì khoảng 60%-80% các hành động sử dụng không đúng mạng máy tính, phần mềm bắt mối cung cấp từ bên phía trong các công ty. Bởi thế, đào tạo nhận thức an ninh mạng cho những thành viên của công ty, thậm chí cho những người quản trị là cực kỳ quan trọng.

1. Lỗi và sự vứt sót, cố tình bỏ qua

Nguy cơ này được xếp vào hàngnguy hiểm nhất. Khi lập trình, những cảnh báo với lỗi bởi vì trình biên dịch đưa ra thường bị bỏ lỡ và nó rất có thể dẫn tới những sự vấn đề không xứng đáng có, ví dụ như tràn cỗ đệm, tràn heap. Khi người tiêu dùng vô tình (hay cầm cố ý) sử dụng các đầu vào không phải chăng thì chương trình sẽ xử lý sai, hoặc dẫn tới việc bị khai thác, vỡ (crash). Chuyên môn lập trình đóng vài trò rất đặc trưng trong các ứng dụng. Và lập trình viên phải luôn luôn cập nhật thông tin, các lỗi bị khai thác, phương pháp phòng chống, sử dụng phương thức lập trình an toàn.

Một cách tốt nhất để phòng kiêng là sử dụng chính sách “lease privilege” (có tức là ít quyền lợi nhất bao gồm thể). Người tiêu dùng sẽ chỉ được xử lý, truy vấn đến một số trong những vùng thông tin nhất định.

Một chính sách khác độc nhất thiết yêu cầu có, kia là yêu cầu sao lưu tài liệu thường xuyên.

2. Lừa đảo và mang cắp thông tin

Tưởng tượng rằng gồm có đồng nghiệp vào công ty đi làm việc không phải để triển khai việc, mà để đưa cắp rất nhiều thông tin đặc biệt quan trọng của công ty. Chuyện này hoàn toàn rất có thể xảy ra, nhất là những công ty làm việc về quân sự, phòng ban nhà nước… Như sẽ thống kê làm việc trên (mục 2.1 a.), rất nhiều công ty bị lộ tin tức từ bên trong. Rất khó phát hiện nay kẻ tấn công từ mặt trong. Việc lấy cắp rất có thể được thực hiện dưới các hình thức: đem cắp văn phiên bản in hay lấy cắp tin tức số, cung cấp tin nội cỗ cho bên ngoài.

Cách tốt nhất để phòng tránh nguy cơ này là: phải gồm những chính sách bảo mật được thiết kế với tốt. Những cơ chế có thể giúp người thống trị bảo mật thông tin thu thập thông tin, tự đó khảo sát và đưa ra những tóm lại chính xác, nhanh chóng. Lúc đã gồm một chính sách tốt, bạn quản trị rất có thể sử dụng các kỹ thuật điều tra số (forensics) để truy lốt các hành vi tấn công.

Ví dụ như bề ngoài lấy cắp thông tin số, trường hợp một nhân viên truy cập vào khu vực đặt tài liệu bí mật của công ty, hệ thống sẽ đánh dấu được thời gian, IP, tài liệu bị lấy, sử dụng phần mềm gì để truy cập, ứng dụng bị cài đặt trái phép… tự đó, người quản trị sẽ chứng tỏ được ai đó đã làm vấn đề này.

3. Tin tặc (Tin tặc)

Có không ít cách hacker tiến công hệ thống. Từng kẻ tấn công đều có những thủ thuật, công cụ, kiến thức, hiểu biết về hệ thống. Và cũng đều có vô số những cuốn sách, diễn lũ đăng tải rất nhiều nội dung này.

Trước tiên, hacker tích lũy thông tin về hệ thống, các nhất có thể. Càng những thông tin, thì kĩ năng thành công của việc tấn công sẽ càng lớn. Những tin tức đó có thể là: tên ứng dụng, phiên bản ứng dụng, hệ điều hành, email quản trị… Bước tiếp theo là quét khối hệ thống để tìm lỗ hổng. Những lỗ hổng này rất có thể gây ra bởi vận dụng xử lý thông tin hoặc bởi hệ điều hành, hoặc bất kỳ thành phần nào tất cả liên quan. Từ bỏ đó, họ đã lợi dụng các lỗ hổng kiếm tìm được, hoặc sử dụng các tài khoản khoác định nhằm chiếm quyền truy cập vào ứng dụng. Khi đang thành công, hacker sẽ thiết đặt các phần mềm, mã độc để hoàn toàn có thể xâm nhập vào hệ thống trong những lần sau. Bước ở đầu cuối là xóa lốt tấn công.

Các trang mạng khét tiếng như: The World Street Jounals, The NewYork Times vừa qua đều chào làng rằng mình đã bị hacker tấn công.

Để phòng tránh nguy cơ này, các ứng dụng tương tác với những người dùng, dữ liệu cần được giấu đi phần đông thông tin quan trọng đặc biệt (nếu tất cả thể) như phiên bản, nhiều loại ứng dụng, các thành phần kèm theo… thực hiện các phần mềm phát hiện truy cập trái phép, rà soát khối hệ thống thường xuyên xem có phần mềm lạ không, cấu hình tường lửa hòa hợp lý, chế độ truy cập của từng nhóm người dùng, quản lý truy cập…

4. Lan truyền mã độc

Có tương đối nhiều loại mã độc có thể kể cho như: virus, sâu máy tính, Trojan horse, ngắn gọn xúc tích bomb… nguy hại do chúng tạo ra là hoàn toàn rõ ràng, và hết sức phong phú. Khi đang xâm nhập vào lắp thêm nạn nhân, mã độc gồm thể: mở cổng hậu (back door) để kẻ tấn công có thể truy cập và có tác dụng mọi câu hỏi trên vật dụng nạn nhân; khắc ghi thông tin sử dụng máy tính xách tay (thao tác bàn phím, áp dụng mạng, tin tức đăng nhập…). Đã có nhiều công ty bị thiết lập mã độc. Mới đây, Facebook cũng bị một nhóm tin tặc tấn công<2> do laptop của một trong những nhân viên bị download mã độc.

Cài mã độc vào thiết bị tính có thể qua nhiều con đường: lỗ hổng ứng dụng (điển ngoài ra adobe Flash, không ít lỗ hổng 0-days được phát hiện, tốt Java Runtime Environment thời gian vừa mới đây cũng tiếp tục đưa ra bạn dạng vá bảo mật); hệ thống đã biết thành hacker điều khiển; sử dụng ứng dụng crack, không có giấy phép sử dụng;

Cách rất tốt để tránh nguy hại này là luôn cập nhật phần mềm cách xử trí dữ liệu, hệ điều hành quản lý và phần mềm an toàn mạng, diệt virus.

5. Tấn công phủ nhận dịch vụ

Nếu một tin tặc không thể chiếm quyền truy vấn vào một hệ thống, họ đã tìm phương pháp tấn công phủ nhận dịch vụ (làm khối hệ thống không thể giao hàng người dùng được trong một khoảng chừng thời gian, bằng phương pháp truy cập đến khối hệ thống liên tục, con số lớn, bao gồm tổ chức). Gồm 2 hình dạng tấn công phủ nhận dịch vụ:

DoS (Denny of Service – tấn công lắc đầu dịch vụ): tấn công này có thể xảy ra đối với cả ứng dụng trực đường và áp dụng offline. Với ứng dụng trực tuyến, tin tặc sử dụng các công cụ tiến công (tấn công Syn floods, Fin floods, Smurfs, Fraggles) bên trên một máy tính để tiến công vào hệ thống, khiến cho nó không thể cách xử lý được yêu thương cầu, hoặc làm cho nghẽn băng thông khiến cho người dùng khác nặng nề mà truy cập được. Với ứng dụng offline, hacker tạo nên những tài liệu cực lớn, hoặc những dữ liệu xấu (làm cho quá trình xử lý của ứng dụng bị dừng trệ, treo)DDoS (Distributed Denny of Service – tấn công từ chối dịch vụ phân tán): một hiệ tượng cao cung cấp của DoS, các nguồn tiến công được điều khiển bởi một (một vài) vps của tin tặc (gọi là vps điều khiển), cùng tấn công vào hệ thống. Loại tiến công này cạnh tranh phát hiển thị hơn mang đến các khối hệ thống phát hiện tại tự động, giúp tin tặc ẩn mình xuất sắc hơn.

Để chống lại nguy hại này, hệ thống cần phải có nhiều vps phục vụ, hệ thống phân tải, cơ chế phát hiện tấn công DoS hiệu quả.

Xem thêm: Quá Trình Xử Lý Thông Tin Gồm Mấy Hoạt Động Cơ Bản? Quy Trình Xử Lý Thông Tin

6. Tấn công Social engineering

Thuật ngữ này khá phổ biến trong technology thông tin và bình an thông tin. Đây là một trong những kỹ thuật khai thác nhằm vào nhược điểm con người. Con người trực tiếp cai quản phần mềm, hệ thống. Bởi vì đó, họ nuốm được phần đa thông tin đặc trưng nhất.

Kỹ thuật này ngày càng hữu ích và tất cả độ đúng đắn tương đối cao. Điển hình cho vẻ ngoài này là hacker nổi tiếng: Kevin Mitnick. Trong một lần, anh chỉ việc vài thông tin đặc biệt quan trọng của tổng thống Mỹ, đã call điện mang đến thư cam kết của ông và lấy được cục bộ thông tin về thẻ tín dụng thanh toán của tổng thống!