Uploaded by tranpthai

230103 CISSP Study Guide

advertisement
(ISC)2®
Chuyên gia Bảo mật
Hệ thống Thông tin được Chứng nhận
CISSP
Tài liệu Hướng dẫn Nghiên cứu
Phiên bản Thứ Chín
2|Page
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mục lục
G i ớ i t h i ệ u N h ó m d ị c h A S V ----------------------------------------------------------------------------------------------- 32
T h ô n g t i n X u ấ t b ả n ----------------------------------------------------------------------------------------------------------- 35
L ờ i C ả m ơ n -------------------------------------------------------------------------------------------------------------------------- 38
V ề c á c T á c g i ả -------------------------------------------------------------------------------------------------------------------- 40
V ề c á c B i ê n t ậ p v i ê n K ỹ t h u ậ t --------------------------------------------------------------------------------------- 41
L ờ i t ự a ---------------------------------------------------------------------------------------------------------------------------------- 43
G i ớ i t h i ệ u ----------------------------------------------------------------------------------------------------------------------------- 45
B à i K i ể m t r a Đ á n h g i á ------------------------------------------------------------------------------------------------------ 75
Chương 1
Q u ả n t r ị B ả o m ậ t T h ô n g q u a c á c N g u y ê n t ắ c v à C h í n h s á c h ---------- 99
Bảo mật 101
100
Hiểu và Áp dụng các Khái niệm Bảo mật
102
T í n h B ả o m ậ t -------------------------------------------------------------------------------------------------------------- 103
T í n h T o à n v ẹ n ------------------------------------------------------------------------------------------------------------ 104
T í n h S ẵ n s à n g ------------------------------------------------------------------------------------------------------------ 106
DAD, Bảo vệ quá mức, Tính xác thực, Không khước từ và các Dịch vụ AAA
-------------------------------------------------------------------------------------------------------------------------------------- 108
C á c C ơ c h ế B ả o v ệ ---------------------------------------------------------------------------------------------------- 114
Ranh giới Bảo mật
117
Đánh giá và Áp dụng các Nguyên tắc Quản trị Bảo mật
119
Q u ả n t r ị B ê n - t h ứ - b a ------------------------------------------------------------------------------------------------- 120
X e m x é t T à i l i ệ u -------------------------------------------------------------------------------------------------------- 121
Quản lý Chức năng Bảo mật
122
Sự liên kết Chức năng Bảo mật với Chiến lược, Mục đích, Sứ mệnh và Mục
t i ê u D o a n h n g h i ệ p ---------------------------------------------------------------------------------------------------- 123
C á c Q u y t r ì n h T ổ c h ứ c --------------------------------------------------------------------------------------------- 127
C á c V a i t r ò v à T r á c h n h i ệ m T ổ c h ứ c ------------------------------------------------------------------- 130
C á c K h u ô n k h ổ K i ể m s o á t B ả o m ậ t ---------------------------------------------------------------------- 132
T h ẩ m đ ị n h v à C h ă m s ó c t h í c h đ á n g --------------------------------------------------------------------- 134
3|Page
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Chính sách, Tiêu chuẩn, Thủ tục và Hướng dẫn Bảo mật
135
C á c C h í n h s á c h B ả o m ậ t ----------------------------------------------------------------------------------------- 135
C á c T i ê u c h u ẩ n , Đ ư ờ n g c ơ s ở v à H ư ớ n g d ẫ n B ả o m ậ t ------------------------------------ 136
C á c T h ủ t ụ c B ả o m ậ t ----------------------------------------------------------------------------------------------- 137
Mô hình hóa Mối đe dọa
138
X á c đ ị n h c á c M ố i đ e d ọ a ----------------------------------------------------------------------------------------- 140
X á c đ ị n h v à L ậ p s ơ đ ồ C á c c u ộ c t ấ n c ô n g T i ề m n ă n g ------------------------------------- 143
T h ự c h i ệ n P h â n t í c h S ự b i ế n đ ổ i -------------------------------------------------------------------------- 143
T h i ế t l ậ p đ ộ ư u t i ê n v à B i ệ n p h á p ứ n g p h ó ------------------------------------------------------- 145
Quản lý Rủi ro Chuỗi Cung ứng
147
Tóm tắt
149
Những điều thiết yếu cho Kỳ thi
151
Bài tập Viết
155
Câu hỏi Đánh giá
155
Chương 2
B ả o m ậ t N h â n v i ê n v à c á c K h á i n i ệ m Q u ả n l ý R ủ i r o --------------------- 163
Các Chính sách và Thủ tục Bảo mật Nhân viên
165
M ô t ả C ô n g v i ệ c v à T r á c h n h i ệ m -------------------------------------------------------------------------- 166
S à n g l ọ c Ứ n g v i ê n v à T u y ể n d ụ n g ------------------------------------------------------------------------ 167
O n b o a r d i n g : C á c T h ỏ a t h u ậ n v à C h í n h s á c h C ô n g v i ệ c ---------------------------------- 168
G i á m s á t N h â n v i ê n -------------------------------------------------------------------------------------------------- 170
C á c Q u y t r ì n h K ế t t h ú c , T h u y ê n c h u y ể n v à C h ấ m d ứ t [ c ô n g v i ệ c ] ------------- 172
Các Thỏa thuận và Biện pháp kiểm soát Nhà cung cấp, Nhà tư vấn và Nhà
t h ầ u ------------------------------------------------------------------------------------------------------------------------------ 176
T u â n t h ủ C á c Y ê u c ầ u C h í n h s á c h ------------------------------------------------------------------------ 178
C á c Y ê u c ầ u C h í n h s á c h Q u y ề n r i ê n g t ư ------------------------------------------------------------ 179
Hiểu và Áp dụng các Khái niệm Quản lý Rủi ro
181
C á c T h u ậ t n g ữ v à K h á i n i ệ m v ề R ủ i r o --------------------------------------------------------------- 182
Đ ị n h g i á T à i s ả n -------------------------------------------------------------------------------------------------------- 187
X á c đ ị n h c á c M ố i đ e d ọ a v à L ỗ h ổ n g ------------------------------------------------------------------- 188
4|Page
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Đ á n h g i á / P h â n t í c h R ủ i r o -------------------------------------------------------------------------------------- 190
C á c B i ệ n p h á p ứ n g p h ó v ớ i R ủ i r o ----------------------------------------------------------------------- 199
C h i p h í s o v ớ i L ợ i í c h c ủ a c á c B i ệ n p h á p k i ể m s o á t B ả o m ậ t ----------------------- 203
L ự a c h ọ n v à T r i ể n k h a i c á c B i ệ n p h á p đ ố i p h ó ------------------------------------------------- 208
C á c k i ể u B i ệ n p h á p k i ể m s o á t c ó t h ể Á p d ụ n g đ ư ợ c --------------------------------------- 211
Đ á n h g i á B i ệ n p h á p k i ể m s o á t B ả o m ậ t -------------------------------------------------------------- 215
G i á m s á t v à Đ o l ư ờ n g ---------------------------------------------------------------------------------------------- 215
B á o c á o R ủ i r o v à T à i l i ệ u -------------------------------------------------------------------------------------- 216
L i ê n t ụ c C ả i t i ế n ------------------------------------------------------------------------------------------------------- 217
C á c K h u ô n k h ổ R ủ i r o ---------------------------------------------------------------------------------------------- 219
Kỹ thuật Xã hội
223
C á c N g u y ê n t ắ c K ỹ t h u ậ t X ã h ộ i --------------------------------------------------------------------------- 225
K h a i t h á c T h ô n g t i n ------------------------------------------------------------------------------------------------- 228
T h ê m t r ư ớ c ----------------------------------------------------------------------------------------------------------------- 229
P h i s h i n g ----------------------------------------------------------------------------------------------------------------------- 230
S p e a r P h i s h i n g ----------------------------------------------------------------------------------------------------------- 231
W h a l i n g ----------------------------------------------------------------------------------------------------------------------- 233
S m i s h i n g ---------------------------------------------------------------------------------------------------------------------- 233
V i s h i n g ------------------------------------------------------------------------------------------------------------------------- 234
S p a m ---------------------------------------------------------------------------------------------------------------------------- 235
N h ì n l é n q u a v a i ( S h o u l d e r S u r f i n g ) -------------------------------------------------------------------- 236
L ừ a đ ả o H ó a đ ơ n ( I n v o i c e S c a m s ) ----------------------------------------------------------------------- 236
L ừ a b ị p ( H o a x ) ---------------------------------------------------------------------------------------------------------- 237
M ạ o d a n h v à G i ả m ạ o ---------------------------------------------------------------------------------------------- 238
T h e o đ u ô i v à H ậ u t h u ẫ n ( T a i l g a t i n g v à P i g g y b a c k i n g ) ----------------------------------- 239
L ụ c l ọ i Đ ồ p h ế t h ả i --------------------------------------------------------------------------------------------------- 240
G i a n l ậ n D a n h t í n h --------------------------------------------------------------------------------------------------- 241
T y p o S q u a t t i n g ---------------------------------------------------------------------------------------------------------- 243
C h i ế n d ị c h g â y Ả n h h ư ở n g ------------------------------------------------------------------------------------- 244
5|Page
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C u ộ c c h i ế n H ỗ n h ợ p ------------------------------------------------------------------------------------------------- 245
P h ư ơ n g t i ệ n t r u y ề n t h ô n g X ã h ộ i ------------------------------------------------------------------------- 246
Xác lập và Duy trì một Chương trình Nâng cao nhận thức, Giáo dục và Đào
tạo về Bảo mật
247
N â n g c a o n h ậ n t h ứ c ------------------------------------------------------------------------------------------------- 247
Đ à o t ạ o ------------------------------------------------------------------------------------------------------------------------ 248
G i á o d ụ c ---------------------------------------------------------------------------------------------------------------------- 249
C ả i t h i ệ n ---------------------------------------------------------------------------------------------------------------------- 249
Đ á n h g i á H i ệ u q u ả ---------------------------------------------------------------------------------------------------- 251
Tóm tắt
253
Những điều thiết yếu cho Kỳ thi
255
Bài tập Viết
264
Câu hỏi Đánh giá
264
Chương 3
H o ạ c h đ ị n h L i ê n t ụ c K i n h d o a n h ---------------------------------------------------------- 272
Hoạch định Liên tục Kinh doanh
273
Xác định Phạm vi và Hoạch định Dự án
275
Đánh giá Tổ chức
276
L ự a c h ọ n N h ó m B C P ------------------------------------------------------------------------------------------------- 277
C á c Y ê u c ầ u v ề T à i n g u y ê n ------------------------------------------------------------------------------------ 280
C á c Y ê u c ầ u Q u y đ ị n h v à P h á p l ý ------------------------------------------------------------------------- 283
Phân tích Tác động Kinh doanh
284
X á c đ ị n h c á c Ư u t i ê n ----------------------------------------------------------------------------------------------- 286
X á c đ ị n h R ủ i r o --------------------------------------------------------------------------------------------------------- 288
Đ á n h g i á K h ả n ă n g x ả y r a -------------------------------------------------------------------------------------- 290
P h â n t í c h t á c đ ộ n g --------------------------------------------------------------------------------------------------- 292
Ư u t i ê n N g u ồ n l ự c ---------------------------------------------------------------------------------------------------- 294
Hoạch định Liên tục
295
P h á t t r i ể n C h i ế n l ư ợ c ----------------------------------------------------------------------------------------------- 296
Phê duyệt và Triển khai Kế hoạch
6|Page
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
299
P h ê d u y ệ t K ế h o ạ c h ------------------------------------------------------------------------------------------------- 300
T r i ể n k h a i K ế h o ạ c h ------------------------------------------------------------------------------------------------- 300
Đ à o t ạ o v à G i á o d ụ c ------------------------------------------------------------------------------------------------ 300
L ậ p t à i l i ệ u v ề B C P --------------------------------------------------------------------------------------------------- 301
Tóm tắt
307
Những điều thiết yếu cho Kỳ thi
308
Bài tập Viết
309
Câu hỏi Đánh giá
309
Chương 4
L u ậ t l ệ , Q u y đ ị n h v à T u â n t h ủ -------------------------------------------------------------- 316
Các loại Luật
317
L u ậ t H ì n h s ự --------------------------------------------------------------------------------------------------------------- 318
L u ậ t D â n s ự ---------------------------------------------------------------------------------------------------------------- 320
L u ậ t H à n h c h í n h -------------------------------------------------------------------------------------------------------- 321
Các Luật
322
T ộ i p h ạ m M á y t í n h ---------------------------------------------------------------------------------------------------- 323
T à i s ả n S ở h ữ u t r í t u ệ ( I P ) ------------------------------------------------------------------------------------ 329
C ấ p p h é p --------------------------------------------------------------------------------------------------------------------- 339
N h ậ p k h ẩ u / X u ấ t k h ẩ u ---------------------------------------------------------------------------------------------- 340
C á c q u ố c g i a đ á n g l o n g ạ i -------------------------------------------------------------------------------------- 341
K i ể m s o á t X u ấ t k h ẩ u M ã h ó a --------------------------------------------------------------------------------- 342
Q u y ề n r i ê n g t ư ---------------------------------------------------------------------------------------------------------- 342
L u ậ t v ề Q u y ề n r i ê n g t ư c ủ a L i ê n m i n h C h â u  u ----------------------------------------------- 352
Các Luật lệ về Quyền riêng tư của Tiểu bang
356
Tuân thủ
357
Ký hợp đồng và Mua sắm
360
Tóm tắt
362
Những điều thiết yếu cho Kỳ thi
363
Bài tập Viết
365
Câu hỏi Đánh giá
366
7|Page
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Chương 5
B ả o v ệ S ự b ả o m ậ t c ủ a T à i s ả n ------------------------------------------------------------ 372
Xác định và Phân loại Thông tin và Tài sản
373
X á c đ ị n h D ữ l i ệ u N h ạ y c ả m ------------------------------------------------------------------------------------ 373
X á c đ ị n h P h â n l o ạ i D ữ l i ệ u ------------------------------------------------------------------------------------- 376
X á c đ ị n h P h â n l o ạ i T à i s ả n ------------------------------------------------------------------------------------- 381
H i ể u T r ạ n g t h á i D ữ l i ệ u ------------------------------------------------------------------------------------------ 381
X á c đ ị n h c á c Y ê u c ầ u T u â n t h ủ ---------------------------------------------------------------------------- 383
X á c đ ị n h c á c B i ệ n p h á p k i ể m s o á t B ả o m ậ t D ữ l i ệ u ---------------------------------------- 384
Xác lập Các Yêu cầu Xử lý Thông tin và Tài sản
387
B ả o t r ì D ữ l i ệ u ----------------------------------------------------------------------------------------------------------- 387
N g ă n n g ừ a M ấ t m á t D ữ l i ệ u ----------------------------------------------------------------------------------- 388
Đ á n h d ấ u D ữ l i ệ u v à T à i s ả n N h ạ y c ả m -------------------------------------------------------------- 390
X ử l ý T h ô n g t i n v à T à i s ả n N h ạ y c ả m ----------------------------------------------------------------- 392
G i ớ i h ạ n T h u t h ậ p D ữ l i ệ u -------------------------------------------------------------------------------------- 393
V ị t r í D ữ l i ệ u -------------------------------------------------------------------------------------------------------------- 394
L ư u t r ữ D ữ l i ệ u N h ạ y c ả m -------------------------------------------------------------------------------------- 394
P h á h ủ y D ữ l i ệ u --------------------------------------------------------------------------------------------------------- 395
Đ ả m b ả o L ư u g i ữ D ữ l i ệ u v à T à i s ả n T h í c h h ợ p ----------------------------------------------- 401
Các Phương pháp Bảo vệ Dữ liệu
403
Q u ả n l ý Q u y ề n K ỹ t h u ậ t s ố ( D i g i t a l R i g h t s M a n a g e m e n t ) ----------------------------- 403
T r u n g g i a n b ả o m ậ t T r u y c ậ p Đ á m m â y -------------------------------------------------------------- 405
S ử d ụ n g b i ệ t d a n h ( P s e u d o n y m i z a t i o n ) -------------------------------------------------------------- 406
S ử d ụ n g m ã t h ô n g b á o ( T o k e n i z a t i o n ) ---------------------------------------------------------------- 408
S ử d ụ n g ẩ n d a n h ( A n o n y m i z a t i o n ) ----------------------------------------------------------------------- 409
Hiểu về các Vai trò (đối với) Dữ liệu
411
C h ủ s ở h ữ u D ữ l i ệ u ( D a t a O w n e r ) ------------------------------------------------------------------------ 412
C h ủ s ở h ữ u T à i s ả n -------------------------------------------------------------------------------------------------- 413
C h ủ s ở h ữ u D o a n h n g h i ệ p / N h i ệ m v ụ ------------------------------------------------------------------- 414
B ộ X ử l ý D ữ l i ệ u v à N g ư ờ i K i ể m s o á t D ữ l i ệ u --------------------------------------------------- 415
8|Page
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
N g ư ờ i B ả o q u ả n D ữ l i ệ u ------------------------------------------------------------------------------------------ 417
Q u ả n t r ị v i ê n -------------------------------------------------------------------------------------------------------------- 417
N g ư ờ i d ù n g v à Đ ố i t ư ợ n g --------------------------------------------------------------------------------------- 417
Sử dụng các Đường cơ sở Bảo mật
418
S o s á n h V i ệ c Đ i ề u c h ỉ n h v à X á c l ậ p p h ạ m v i ---------------------------------------------------- 420
L ự a c h ọ n c á c T i ê u c h u ẩ n ---------------------------------------------------------------------------------------- 421
Tóm tắt
422
Những điều thiết yếu cho Kỳ thi
423
Bài tập Viết
427
Câu hỏi Đánh giá
427
Chương 6
M ậ t m ã h ọ c v à c á c T h u ậ t t o á n K h ó a Đ ố i x ứ n g --------------------------------- 433
Nền móng của Mật mã
434
M ụ c đ í c h c ủ a M ậ t m ã ----------------------------------------------------------------------------------------------- 435
C á c k h á i n i ệ m v ề M ậ t m ã ---------------------------------------------------------------------------------------- 438
T o á n h ọ c M ậ t m ã ------------------------------------------------------------------------------------------------------ 440
M ậ t m ã ------------------------------------------------------------------------------------------------------------------------- 448
Mật mã Hiện đại
459
K h ó a M ậ t m ã -------------------------------------------------------------------------------------------------------------- 459
C á c T h u ậ t t o á n K h ó a Đ ố i x ứ n g ----------------------------------------------------------------------------- 462
C á c T h u ậ t t o á n K h ó a B ấ t đ ố i x ứ n g ---------------------------------------------------------------------- 464
C á c T h u ậ t t o á n B ă m ------------------------------------------------------------------------------------------------- 468
Mật mã Đối xứng
469
C á c C h ế đ ộ H o ạ t đ ộ n g c ủ a M ậ t m ã ---------------------------------------------------------------------- 469
T i ê u c h u ẩ n M ã h ó a D ữ l i ệ u ------------------------------------------------------------------------------------ 472
B a l ầ n D E S ------------------------------------------------------------------------------------------------------------------ 473
T h u ậ t t o á n M ã h ó a D ữ l i ệ u Q u ố c t ế -------------------------------------------------------------------- 474
B l o w f i s h ----------------------------------------------------------------------------------------------------------------------- 475
S k i p j a c k ----------------------------------------------------------------------------------------------------------------------- 475
M ậ t m ã R i v e s t ------------------------------------------------------------------------------------------------------------ 476
9|Page
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
T i ê u c h u ẩ n M ã h ó a N â n g c a o ( A E S ) --------------------------------------------------------------------- 477
C A S T ----------------------------------------------------------------------------------------------------------------------------- 477
S o s á n h c á c T h u ậ t t o á n M ã h ó a Đ ố i x ứ n g --------------------------------------------------------- 478
Q u ả n l ý K h ó a Đ ố i x ứ n g ------------------------------------------------------------------------------------------- 479
Vòng đời Mật mã
482
Tóm tắt
483
Những điều thiết yếu cho Kỳ thi
484
Bài tập Viết
487
Câu hỏi Đánh giá
487
Chương 7
P K I v à C á c Ứ n g d ụ n g M ã h ó a ---------------------------------------------------------------- 493
Mã hóa Bất đối xứng
494
C á c K h ó a C ô n g k h a i v à R i ê n g t ư -------------------------------------------------------------------------- 495
R S A ------------------------------------------------------------------------------------------------------------------------------- 496
E l G a m a l ----------------------------------------------------------------------------------------------------------------------- 499
Đ ư ờ n g c o n g E l l i p t i c -------------------------------------------------------------------------------------------------- 499
T r a o đ ổ i K h ó a D i f f i e - H e l l m a n -------------------------------------------------------------------------------- 500
M ậ t m ã L ư ợ n g t ử ------------------------------------------------------------------------------------------------------ 502
Các Hàm Băm
503
S H A ------------------------------------------------------------------------------------------------------------------------------- 505
M D 5 ------------------------------------------------------------------------------------------------------------------------------ 507
R I P E M D ------------------------------------------------------------------------------------------------------------------------ 507
S o s á n h Đ ộ d à i G i á t r ị T h u ậ t t o á n B ă m -------------------------------------------------------------- 508
Các Chữ ký Kỹ thuật số
509
H M A C ---------------------------------------------------------------------------------------------------------------------------- 511
T i ê u c h u ẩ n C h ữ k ý K ỹ t h u ậ t s ố ----------------------------------------------------------------------------- 512
Cơ sở hạ tầng Khóa Công khai
513
C á c C h ứ n g n h ậ n -------------------------------------------------------------------------------------------------------- 513
C á c C ơ q u a n c ấ p C h ứ n g n h ậ n -------------------------------------------------------------------------------- 514
V ò n g đ ờ i C h ứ n g n h ậ n ---------------------------------------------------------------------------------------------- 516
10 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Đ ị n h d ạ n g C h ứ n g n h ậ n -------------------------------------------------------------------------------------------- 521
Quản lý Khóa Bất đối xứng
522
Mã hóa Hỗn hợp
523
Mã hóa Được áp dụng
524
C á c T h i ế t b ị D i đ ộ n g ------------------------------------------------------------------------------------------------ 524
E m a i l ---------------------------------------------------------------------------------------------------------------------------- 525
C á c Ứ n g d ụ n g W e b --------------------------------------------------------------------------------------------------- 530
L ớ p C ổ n g B ả o m ậ t ( S S L ) ----------------------------------------------------------------------------------------- 530
B ả o m ậ t L ớ p T r u y ề n t ả i ( T L S ) ------------------------------------------------------------------------------- 531
T o r v à D a r k W e b ------------------------------------------------------------------------------------------------------- 533
S t e g a n o g r a p h y v à W a t e r m a r k i n g -------------------------------------------------------------------------- 533
K ế t n ố i m ạ n g -------------------------------------------------------------------------------------------------------------- 536
C á c Ứ n g d ụ n g M ớ i n ổ i --------------------------------------------------------------------------------------------- 538
Các cuộc tấn công Mã hóa
541
Tóm tắt
547
Những điều thiết yếu cho Kỳ thi
548
Bài tập Viết
551
Câu hỏi Đánh giá
551
Chương 8
C á c N g u y ê n t ắ c c ủ a c á c M ô h ì n h , T h i ế t k ế v à N ă n g l ự c B ả o m ậ t 557
Các Nguyên tắc Thiết kế Bảo mật
558
C á c Đ ố i t ư ợ n g v à C h ủ t h ể -------------------------------------------------------------------------------------- 559
C á c H ệ t h ố n g Đ ó n g v à H ệ t h ố n g M ở -------------------------------------------------------------------- 560
B ả o m ậ t M ặ c đ ị n h ( h o ặ c L o ạ i b ỏ l ỗ i B ả o m ậ t ) -------------------------------------------------- 563
T h ấ t b ạ i M ộ t c á c h a n t o à n ------------------------------------------------------------------------------------- 565
G i ữ c h o N ó Đ ơ n g i ả n ------------------------------------------------------------------------------------------------ 568
Z e r o T r u s t ------------------------------------------------------------------------------------------------------------------- 569
Q u y ề n r i ê n g t ư t h e o T h i ế t k ế -------------------------------------------------------------------------------- 571
T i n t ư ở n g n h ư n g p h ả i X á c m i n h --------------------------------------------------------------------------- 573
Các Kỹ thuật để Đảm bảo CIA
11 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
573
R à n g b u ộ c ------------------------------------------------------------------------------------------------------------------- 574
G i ớ i h ạ n ----------------------------------------------------------------------------------------------------------------------- 574
C ô l ậ p --------------------------------------------------------------------------------------------------------------------------- 575
K i ể m s o á t T r u y c ậ p -------------------------------------------------------------------------------------------------- 575
T i n c ậ y v à Đ ả m b ả o ------------------------------------------------------------------------------------------------- 576
Hiểu về những Khái niệm Cơ bản về các Mô hình Bảo mật
576
C ơ s ở Đ i ệ n t o á n Đ á n g t i n c ậ y ------------------------------------------------------------------------------- 578
M ô h ì n h M á y T r ạ n g t h á i ------------------------------------------------------------------------------------------ 580
M ô h ì n h L u ồ n g T h ô n g t i n ---------------------------------------------------------------------------------------- 581
M ô h ì n h K h ô n g c a n t h i ệ p ---------------------------------------------------------------------------------------- 581
M ô h ì n h T a k e - G r a n t ------------------------------------------------------------------------------------------------- 582
M a t r ậ n K i ể m s o á t T r u y c ậ p ----------------------------------------------------------------------------------- 584
M ô h ì n h B e l l - L a P a d u l a --------------------------------------------------------------------------------------------- 585
M ô h ì n h B i b a -------------------------------------------------------------------------------------------------------------- 588
M ô h ì n h C l a r k - W i l s o n ----------------------------------------------------------------------------------------------- 591
M ô h ì n h B r e w e r v à N a s h ----------------------------------------------------------------------------------------- 594
M ô h ì n h G o g u e n - M e s e g u e r ------------------------------------------------------------------------------------- 595
M ô h ì n h S u t h e r l a n d -------------------------------------------------------------------------------------------------- 595
M ô h ì n h G r a h a m - D e n n i n g --------------------------------------------------------------------------------------- 595
M ô h ì n h H a r r i s o n - R u z z o - U l l m a n ---------------------------------------------------------------------------- 596
Lựa chọn các Biện pháp Kiểm soát Dựa trên các yêu cầu Bảo mật Hệ thống
597
C á c T i ê u c h í C h u n g -------------------------------------------------------------------------------------------------- 598
C ấ p p h é p V ậ n h à n h -------------------------------------------------------------------------------------------------- 602
Hiểu được Năng lực Bảo mật của Hệ thống Thông tin
604
B ả o v ệ B ộ n h ớ ----------------------------------------------------------------------------------------------------------- 604
Ả o h ó a ------------------------------------------------------------------------------------------------------------------------- 606
M ô - đ u n N ề n t ả n g Đ á n g t i n c ậ y ----------------------------------------------------------------------------- 606
C á c G i a o d i ệ n ------------------------------------------------------------------------------------------------------------- 606
12 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
K h ả n ă n g C h ị u l ỗ i ----------------------------------------------------------------------------------------------------- 607
M ã h ó a / G i ả i m ã --------------------------------------------------------------------------------------------------------- 607
Tóm tắt
607
Những điều thiết yếu cho Kỳ thi
609
Bài tập Viết
613
Câu hỏi Đánh giá
613
Chương 9
C á c L ỗ h ổ n g , M ố i đ e d ọ a v à B i ệ n p h á p đ ố i p h ó B ả o m ậ t -------------- 620
Trách nhiệm được Chia sẻ
621
Đánh giá và Giảm nhẹ các Lỗ hổng Bảo mật của Kiến trúc, Thiết kế, và các
Thành phần Giải pháp Bảo mật
623
Các Hệ thống Dựa trên-Máy khách
649
M ã D i đ ộ n g ----------------------------------------------------------------------------------------------------------------- 650
B ộ đ ệ m C ụ c b ộ ---------------------------------------------------------------------------------------------------------- 653
Các Hệ thống Dựa-trên-Máy-chủ
654
C á c H ệ t h ố n g D ữ l i ệ u S o n g s o n g Q u y m ô - L ớ n -------------------------------------------------- 656
Đ i ệ n t o á n L ư ớ i ----------------------------------------------------------------------------------------------------------- 657
N g a n g - h à n g ---------------------------------------------------------------------------------------------------------------- 659
Các Hệ thống Kiểm soát Công nghiệp
659
Các Hệ thống Phân tán
662
Các Hệ thống Điện toán Hiệu suất Cao (HPC)
665
Internet Vạn vật
667
Điện toán Biên và Điện toán Sương mù
670
Các Thiết bị Nhúng và Mạng-Vật lý
672
Các Thiết bị Chuyên dụng
683
Vi dịch vụ
685
Cơ sở hạ tầng như Mã phần mềm
687
Các Hệ thống Ảo hóa
689
P h ầ n m ề m Ả o ------------------------------------------------------------------------------------------------------------- 693
M ạ n g đ ư ợ c Ả o h ó a ---------------------------------------------------------------------------------------------------- 694
13 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
M ọ i t h ứ Đ ư ợ c P h ầ n m ề m - X á c đ ị n h ----------------------------------------------------------------------- 695
Q u ả n l ý B ả o m ậ t Ả o h ó a ----------------------------------------------------------------------------------------- 699
Containerization
701
Kiến trúc Không máy chủ (Serverless)
703
Các thiết bị Di động
704
C á c T í n h n ă n g B ả o m ậ t T h i ế t b ị D i đ ộ n g ----------------------------------------------------------- 707
C á c C h í n h s á c h T r i ể n k h a i T h i ế t b ị D i đ ộ n g ------------------------------------------------------ 726
Các Cơ chế Bảo vệ Bảo mật Thiết yếu
735
C ô l ậ p T i ế n t r ì n h ------------------------------------------------------------------------------------------------------- 736
P h â n đ o ạ n P h ầ n c ứ n g ---------------------------------------------------------------------------------------------- 737
C h í n h s á c h B ả o m ậ t H ệ t h ố n g ------------------------------------------------------------------------------- 737
Các Khiếm khuyết và Vấn đề Kiến trúc Bảo mật Phổ biến
738
C á c K ê n h Ẩ n g i ấ u ------------------------------------------------------------------------------------------------------ 739
C á c c u ộ c t ấ n c ô n g d ự a t r ê n K h i ế m k h u y ế t T h i ế t k ế h o ặ c L ậ p t r ì n h ----------- 740
R o o t k i t s ----------------------------------------------------------------------------------------------------------------------- 742
C á c c u ộ c t ấ n c ô n g G i a t ă n g ----------------------------------------------------------------------------------- 743
Tóm tắt
745
Những điều thiết yếu cho Kỳ thi
746
Bài tập Viết
757
Câu hỏi Đánh giá
757
Chương 10
C á c Y ê u c ầ u B ả o m ậ t V ậ t l ý --------------------------------------------------------------- 765
Áp dụng các Nguyên tắc Bảo mật trong Thiết kế Địa điểm và Cơ sở vật chất
766
K ế h o ạ c h B ả o m ậ t C ơ s ở v ậ t c h ấ t ------------------------------------------------------------------------ 767
L ự a c h ọ n Đ ị a đ i ể m --------------------------------------------------------------------------------------------------- 768
T h i ế t k ế C ơ s ở v ậ t c h ấ t ------------------------------------------------------------------------------------------ 769
Triển khai các Biện pháp kiểm soát Bảo mật Địa điểm và Cơ sở vật chất
772
L ỗ i T h i ế t b ị ----------------------------------------------------------------------------------------------------------------- 774
T ủ N ố i c á p ------------------------------------------------------------------------------------------------------------------ 775
14 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
P h ò n g M á y c h ủ / T r u n g t â m D ữ l i ệ u ----------------------------------------------------------------------- 777
C á c H ệ t h ố n g P h á t h i ệ n X â m n h ậ p ----------------------------------------------------------------------- 781
C a m e r a ------------------------------------------------------------------------------------------------------------------------ 786
L ạ m d ụ n g T r u y c ậ p --------------------------------------------------------------------------------------------------- 788
C ơ s ở v ậ t c h ấ t L ư u t r ữ P h ư ơ n g t i ệ n -------------------------------------------------------------------- 788
L ư u t r ữ B ằ n g c h ứ n g ------------------------------------------------------------------------------------------------- 790
B ả o m ậ t K h u v ự c L à m v i ệ c v à K h u v ự c H ạ n c h ế ----------------------------------------------- 791
N h ữ n g C â n n h ắ c v ề T i ệ n í c h ---------------------------------------------------------------------------------- 793
N g ă n n g ừ a , P h á t h i ệ n v à C h ữ a C h á y ------------------------------------------------------------------- 801
Triển khai và Quản lý Bảo mật Vật lý
809
C á c B i ệ n p h á p k i ể m s o á t B ả o m ậ t V à n h đ a i ------------------------------------------------------ 810
C á c B i ệ n p h á p k i ể m s o á t B ả o m ậ t N ộ i b ộ ---------------------------------------------------------- 816
C á c C h ỉ s ố H i ệ u s u ấ t T h e n c h ố t v ề B ả o m ậ t V ậ t l ý ----------------------------------------- 819
Tóm tắt
821
Những điều thiết yếu cho Kỳ thi
822
Bài tập Viết
828
Câu hỏi Đánh giá
829
Chương 11
B ả o m ậ t K i ế n t r ú c v à c á c T h à n h p h ầ n M ạ n g --------------------------------- 836
Mô hình OSI
838
L ị c h s ử c ủ a M ô h ì n h O S I ----------------------------------------------------------------------------------------- 838
C h ứ c n ă n g O S I ----------------------------------------------------------------------------------------------------------- 839
Đ ó n g g ó i / M ở g ó i ( E n c a p s u l a t i o n / D e e n c a p s u l a t i o n ) ----------------------------------------- 840
C á c l ớ p O S I ---------------------------------------------------------------------------------------------------------------- 842
Mô hình TCP/IP
848
Phân tích Lưu lượng Mạng
849
Các Giao thức Lớp Ứng dụng Phổ biến
851
Các Giao thức Lớp Truyền tải
853
Hệ thống Tên Miền
855
N h i ễ m đ ộ c D N S ---------------------------------------------------------------------------------------------------------- 859
15 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
M á y c h ủ D N S G i ả m ạ o --------------------------------------------------------------------------------------------- 859
Đ o ạ t q u y ề n đ i ề u k h i ể n M i ề n ---------------------------------------------------------------------------------- 864
Kết nối mạng Giao thức Internet (IP)
866
I P v 4 s o v ớ i I P v 6 -------------------------------------------------------------------------------------------------------- 866
C á c l ớ p I P ------------------------------------------------------------------------------------------------------------------- 869
I C M P ----------------------------------------------------------------------------------------------------------------------------- 870
I G M P ----------------------------------------------------------------------------------------------------------------------------- 871
Những mối quan tâm về ARP
871
Bảo mật các Giao thức Truyền thông
873
Tác động của các Giao thức Đa lớp
875
C á c G i a o t h ứ c H ộ i t ụ ----------------------------------------------------------------------------------------------- 877
G i a o t h ứ c  m t h a n h t h o ạ i q u a I n t e r n t ( V o I P ) -------------------------------------------------- 878
K ế t n ố i m ạ n g d o P h ầ n - m ề m - X á c - đ ị n h ----------------------------------------------------------------- 880
Vi phân đoạn
882
Mạng không dây
883
B ả o m ậ t S S I D ------------------------------------------------------------------------------------------------------------- 885
C á c K ê n h K h ô n g d â y ------------------------------------------------------------------------------------------------ 886
T i ế n h à n h K h ả o s á t Đ ị a đ i ể m -------------------------------------------------------------------------------- 887
B ả o m ậ t K h ô n g d â y -------------------------------------------------------------------------------------------------- 888
Q u y ề n r i ê n g t ư T ư ơ n g đ ư ơ n g C ó d â y ( W E P ) ----------------------------------------------------- 889
T r u y c ậ p W i - F i Đ ư ợ c b ả o v ệ ( W P A ) --------------------------------------------------------------------- 889
T r u y c ậ p W i - F i Đ ư ợ c b ả o v ệ 2 ( W P A 2 ) --------------------------------------------------------------- 890
T r u y c ậ p W i - F i Đ ư ợ c b ả o v ệ 3 ( W P A 3 ) --------------------------------------------------------------- 891
8 0 2 . 1 X / E A P ----------------------------------------------------------------------------------------------------------------- 891
L E A P ----------------------------------------------------------------------------------------------------------------------------- 892
P E A P ----------------------------------------------------------------------------------------------------------------------------- 892
T h i ế t l ậ p W i - F i đ ư ợ c B ả o v ệ ( W P S ) --------------------------------------------------------------------- 892
B ộ l ọ c M A C K h ô n g d â y --------------------------------------------------------------------------------------------- 893
Q u ả n l ý Ă n g - t e n K h ô n g d â y ----------------------------------------------------------------------------------- 893
16 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
S ử d ụ n g c á c C a p t i v e P o r t a l ------------------------------------------------------------------------------------ 895
T h ủ t ụ c B ả o m ậ t K h ô n g d â y C h u n g ---------------------------------------------------------------------- 895
G i a o t i ế p K h ô n g d â y ------------------------------------------------------------------------------------------------- 896
C á c c u ộ c t ấ n c ô n g K h ô n g d â y ------------------------------------------------------------------------------- 901
Các Giao thức Giao tiếp khác
906
Mạng Di động
908
Mạng Phân phối Nội dung (CDNs)
909
Bảo mật các Thành phần Mạng
910
B ả o m ậ t H o ạ t đ ộ n g c ủ a P h ầ n c ứ n g ---------------------------------------------------------------------- 911
C á c T h i ế t b ị M ạ n g P h ổ b i ế n ----------------------------------------------------------------------------------- 912
K i ể m s o á t T r u y c ậ p M ạ n g --------------------------------------------------------------------------------------- 916
T ư ờ n g l ử a ------------------------------------------------------------------------------------------------------------------- 918
B ả o m ậ t Đ ầ u c u ố i ----------------------------------------------------------------------------------------------------- 927
K é o c á p , S ơ đ ồ c ấ u t r ú c l i ê n k ế t v à C ô n g n g h ệ P h ư ơ n g t i ệ n T r u y ề n d ẫ n - 932
P h ư ơ n g t i ệ n T r u y ề n t ả i ------------------------------------------------------------------------------------------- 932
C ấ u t r ú c l i ê n k ế t M ạ n g -------------------------------------------------------------------------------------------- 938
E t h e r n e t ---------------------------------------------------------------------------------------------------------------------- 942
N h ữ n g C ô n g n g h ệ - P h ụ --------------------------------------------------------------------------------------------- 942
Tóm tắt
947
Những điều thiết yếu cho Kỳ thi
948
Bài tập Viết
955
Câu hỏi Đánh giá
955
Chương 12
B ả o m ậ t G i a o t i ế p v à c á c c u ộ c T ấ n c ô n g M ạ n g ---------------------------- 962
Các Cơ chế Bảo mật Giao thức
963
C á c G i a o t h ứ c X á c t h ự c ------------------------------------------------------------------------------------------- 964
B ả o m ậ t C ổ n g ------------------------------------------------------------------------------------------------------------ 967
C h ấ t l ư ợ n g D ị c h v ụ ( Q o S ) -------------------------------------------------------------------------------------- 968
Bảo mật Giao tiếp Âm thanh
969
M ạ n g Đ i ệ n t h o ạ i C h u y ể n m ạ c h C ô n g c ộ n g ( P S T N ) ------------------------------------------- 969
17 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
 m t h a n h t h o ạ i q u a G i a o t h ứ c I n t e r n e t ( V o I P ) ------------------------------------------------ 970
V i s h i n g v à P h r e a k i n g ----------------------------------------------------------------------------------------------- 972
G i a n l ậ n v à L ạ m d ụ n g P A B X ----------------------------------------------------------------------------------- 973
Quản lý Bảo mật Truy cập Từ xa
976
K ỹ t h u ậ t T r u y c ậ p T ừ x a v à L à m v i ệ c T ừ x a ----------------------------------------------------- 976
B ả o m ậ t K ế t n ố i T ừ x a -------------------------------------------------------------------------------------------- 978
L ậ p k ế h o ạ c h m ộ t C h í n h s á c h B ả o m ậ t T r u y c ậ p T ừ x a --------------------------------- 979
Cộng tác Đa phương tiện
980
H ộ i h ọ p T ừ x a ------------------------------------------------------------------------------------------------------------ 981
N h ắ n t i n T ứ c t h ờ i v à T r ò c h u y ệ n -------------------------------------------------------------------------- 982
Cân bằng tải
982
I P Ả o v à T ả i B ề n b ỉ -------------------------------------------------------------------------------------------------- 984
A c t i v e - A c t i v e s o v ớ i A c t i v e - P a s s i v e --------------------------------------------------------------------- 984
Quản lý Bảo mật Email
985
M ụ c t i ê u c ủ a B ả o m ậ t E m a i l ---------------------------------------------------------------------------------- 986
T ì m h i ể u v ề c á c V ấ n đ ề B ả o m ậ t E m a i l -------------------------------------------------------------- 988
C á c G i ả i p h á p B ả o m ậ t E m a i l --------------------------------------------------------------------------------- 989
Mạng Riêng Ảo
994
Đ ư ờ n g h ầ m ----------------------------------------------------------------------------------------------------------------- 995
V P N H o ạ t đ ộ n g N h ư t h ế n à o ---------------------------------------------------------------------------------- 996
L u ô n l u ô n - B ậ t ----------------------------------------------------------------------------------------------------------- 1000
Đ ư ờ n g h ầ m P h â n t á c h s o v ớ i T o à n b ộ Đ ư ờ n g h ầ m ----------------------------------------- 1000
C á c G i a o t h ứ c V P N P h ổ b i ế n --------------------------------------------------------------------------------- 1001
Chuyển mạch và các mạng LAN Ảo
1004
Dịch Địa chỉ Mạng
1011
C á c Đ ị a c h ỉ I P R i ê n g t ư ------------------------------------------------------------------------------------------ 1014
N A T T r ạ n g t h á i ( ------------------------------------------------------------------------------------------------------ 1016
S t a t e f u l N A T ) ------------------------------------------------------------------------------------------------------------ 1016
Đ á n h Đ ị a c h ỉ I P R i ê n g t ư T ự đ ộ n g ---------------------------------------------------------------------- 1016
18 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Kết nối với Bên-thứ-ba
1017
Các Công nghệ Chuyển mạch
1019
C h u y ể n m ạ c h K ê n h ( C i r c u i t S w i t c h i n g ) -------------------------------------------------------------- 1020
C h u y ể n m ạ c h G ó i ( P a c k e t S w i t c h i n g ) ----------------------------------------------------------------- 1021
M ạ c h Ả o ---------------------------------------------------------------------------------------------------------------------- 1022
Các Công nghệ WAN
1022
Những Đặc tính Kiểm soát Truy cập
1026
T í n h m i n h b ạ c h --------------------------------------------------------------------------------------------------------- 1026
C á c C ơ c h ế Q u ả n l ý T r u y ề n t ả i ---------------------------------------------------------------------------- 1027
Ngăn chặn hoặc Giảm thiểu các cuộc Tấn công Mạng
1027
N g h e l é n --------------------------------------------------------------------------------------------------------------------- 1028
C á c c u ộ c T ấ n c ô n g S ử a đ ổ i ----------------------------------------------------------------------------------- 1028
Tóm tắt
1029
Những điều thiết yếu cho Kỳ thi
1031
Bài tập Viết
1035
Câu hỏi Đánh giá
1036
Chương 13
Q u ả n l ý D a n h t í n h v à X á c t h ự c -------------------------------------------------------- 1042
Kiểm soát Truy cập vào Tài sản
1044
K i ể m s o á t T r u y c ậ p V ậ t l ý v à L u ậ n l ý ---------------------------------------------------------------- 1046
B ộ b a C I A v à c á c B i ệ n p h á p k i ể m s o á t T r u y c ậ p --------------------------------------------- 1047
Quản lý Danh tính và Xác thực
1047
S o s á n h C h ủ t h ể v à Đ ố i t ư ợ n g ----------------------------------------------------------------------------- 1049
Đ ă n g k ý , C h ứ n g m i n h v à X á c l ậ p D a n h t í n h ----------------------------------------------------- 1050
C ấ p p h é p v à T r á c h n h i ệ m G i ả i t r ì n h ------------------------------------------------------------------- 1052
T ổ n g q u a n v ề C á c y ế u t ố X á c t h ự c --------------------------------------------------------------------- 1055
Đ i ề u g ì đ ó m à B ạ n B i ế t ------------------------------------------------------------------------------------------ 1057
N h ữ n g g ì B ạ n đ a n g C ó -------------------------------------------------------------------------------------------- 1062
N h ữ n g g ì B ạ n đ a n g L à -------------------------------------------------------------------------------------------- 1064
X á c t h ự c Đ a y ế u t ố ( M F A ) ------------------------------------------------------------------------------------- 1069
19 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
X á c t h ự c H a i - Y ế u t ố v ớ i c á c Ứ n g d ụ n g X á c t h ự c -------------------------------------------- 1070
X á c t h ự c K h ô n g M ậ t k h ẩ u -------------------------------------------------------------------------------------- 1072
X á c t h ự c T h i ế t b ị ----------------------------------------------------------------------------------------------------- 1073
X á c t h ự c D ị c h v ụ ------------------------------------------------------------------------------------------------------ 1074
X á c t h ự c L ẫ n n h a u --------------------------------------------------------------------------------------------------- 1076
Triển khai Quản lý Danh tính
1076
Đ ă n g n h ậ p M ộ t l ầ n ( S S O ) -------------------------------------------------------------------------------------- 1077
S S O v à D a n h t í n h Đ ư ợ c l i ê n k ế t -------------------------------------------------------------------------- 1078
L i ê n t ổ c h ứ c D ự a - t r ê n - Đ á m - m â y ( C l o u d - B a s e d F e d e r a t i o n ) ------------------------ 1079
L i ê n t ổ c h ứ c T ạ i - C h ỗ ---------------------------------------------------------------------------------------------- 1080
L i ê n t ổ c h ứ c L a i ------------------------------------------------------------------------------------------------------- 1080
J u s t - i n - T i m e ( K ị p - t h ờ i ) ------------------------------------------------------------------------------------------ 1080
C á c H ệ t h ố n g Q u ả n l ý T h ô n g t i n đ ă n g n h ậ p ---------------------------------------------------- 1081
C á c Ứ n g d ụ n g Q u ả n l ý T h ô n g t i n đ ă n g n h ậ p --------------------------------------------------- 1083
T r u y c ậ p t h e o T ậ p l ệ n h ------------------------------------------------------------------------------------------ 1083
Q u ả n l ý P h i ê n ( t r u y c ậ p ) --------------------------------------------------------------------------------------- 1083
Quản lý Vòng đời Cung cấp Danh tính và Quyền truy cập
1085
C ấ p p h é p v à O n b o a r d i n g ---------------------------------------------------------------------------------------- 1085
H ủ y c ấ p p h é p v à K ế t t h ú c ( O f f b o a r d i n g ) ---------------------------------------------------------- 1088
X á c đ ị n h V a i t r ò M ớ i ----------------------------------------------------------------------------------------------- 1089
D u y t r ì T à i k h o ả n ----------------------------------------------------------------------------------------------------- 1089
X e m x é t Q u y ề n t r u y c ậ p T à i k h o ả n --------------------------------------------------------------------- 1090
Tóm tắt
1092
Những điều thiết yếu cho Kỳ thi
1093
Bài tập Viết
1096
Câu hỏi Đánh giá
1096
Chương 14
K i ể m s o á t v à G i á m s á t T r u y c ậ p ------------------------------------------------------ 1101
So sánh các Mô hình Kiểm soát Truy cập
1102
S o s á n h P e r m i s s i o n , R i g h t s v à P r i v i l e g e s --------------------------------------------------------- 1102
20 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
H i ể u v ề c á c C ơ c h ế C ấ p p h é p ------------------------------------------------------------------------------- 1103
X á c đ ị n h C á c y ê u c ầ u đ ố i v ớ i C h í n h s á c h B ả o m ậ t ----------------------------------------- 1106
G i ớ i t h i ệ u c á c M ô h ì n h K i ể m s o á t T r u y c ậ p ------------------------------------------------------ 1107
K i ể m s o á t T r u y c ậ p T ù y ý -------------------------------------------------------------------------------------- 1109
K i ể m s o á t T r u y c ậ p K h ô n g t ù y ý -------------------------------------------------------------------------- 1110
Triển khai các Hệ thống Xác thực
1122
T r i ể n k h a i S S O t r ê n I n t e r n e t -------------------------------------------------------------------------------- 1122
T r i ể n k h a i S S O t r ê n M ạ n g N ộ i b ộ ------------------------------------------------------------------------ 1129
Hiểu về Các cuộc tấn công Kiểm soát Truy cập
1136
C á c T h à n h p h ầ n R ủ i r o ------------------------------------------------------------------------------------------- 1137
C á c C u ộ c t ấ n c ô n g K i ể m s o á t T r u y c ậ p P h ổ b i ế n -------------------------------------------- 1137
N h ữ n g P h ư ơ n g p h á p B ả o v ệ C ố t l õ i -------------------------------------------------------------------- 1159
Tóm tắt
1162
Những điều thiết yếu cho Kỳ thi
1163
Bài tập Viết
1167
Câu hỏi Đánh giá
1168
Chương 15
Đ á n h g i á v à K i ể m n g h i ệ m B ả o m ậ t -------------------------------------------------- 1173
Xây dựng một Chương trình Đánh giá và Ki ểm tra Bảo mật
1175
K i ể m t r a B ả o m ậ t ----------------------------------------------------------------------------------------------------- 1176
Đ á n h g i á B ả o m ậ t ---------------------------------------------------------------------------------------------------- 1177
K i ể m t o á n B ả o m ậ t -------------------------------------------------------------------------------------------------- 1179
Thực hiện Đánh giá Lỗ hổng
1185
M ô t ả c á c L ỗ h ổ n g --------------------------------------------------------------------------------------------------- 1185
Q u é t c á c L ỗ h ổ n g ----------------------------------------------------------------------------------------------------- 1186
K i ể m t r a X â m n h ậ p -------------------------------------------------------------------------------------------------- 1201
K i ể m t r a T u â n t h ủ --------------------------------------------------------------------------------------------------- 1205
Kiểm nghiệm Phần mềm Của bạn
1205
Đ á n h g i á v à K i ể m n g h i ệ m M ã p h ầ n m ề m ----------------------------------------------------------- 1206
K i ể m t r a G i a o d i ệ n -------------------------------------------------------------------------------------------------- 1213
21 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
K i ể m n g h i ệ m T r ư ờ n g h ợ p S ử d ụ n g s a i --------------------------------------------------------------- 1214
P h â n t í c h P h ạ m v i K i ể m n g h i ệ m --------------------------------------------------------------------------- 1214
G i á m s á t T r a n g W e b ------------------------------------------------------------------------------------------------ 1215
Triển khai các Quy trình Quản lý Bảo mật
1216
X e m x é t N h ậ t k ý ------------------------------------------------------------------------------------------------------- 1216
Q u ả n l ý T à i k h o ả n --------------------------------------------------------------------------------------------------- 1217
K h ô i p h ụ c s a u T h ả m h ọ a v à L i ê n t ụ c K i n h d o a n h ------------------------------------------- 1219
Đ à o t ạ o v à N â n g c a o n h ậ n t h ứ c -------------------------------------------------------------------------- 1219
C á c C h ỉ s ố H i ệ u s u ấ t v à R ủ i r o T h e n c h ố t -------------------------------------------------------- 1220
Tóm tắt
1221
Những điều thiết yếu cho Kỳ thi
1222
Bài tập Viết
1224
Câu hỏi Đánh giá
1224
Chương 16
Q u ả n l ý V ậ n h à n h B ả o m ậ t ---------------------------------------------------------------- 1229
Áp dụng các Khái niệm Vận hành Bảo mật Cơ bản
1231
C ầ n đ ư ợ c B i ế t v à Đ ặ c q u y ề n T ố i t h i ể u -------------------------------------------------------------- 1232
P h â n t á c h N h i ệ m v ụ ( S o D ) v à T r á c h n h i ệ m ------------------------------------------------------ 1234
K i ể m s o á t H a i - N g ư ờ i ----------------------------------------------------------------------------------------------- 1235
L u â n c h u y ể n C ô n g v i ệ c ------------------------------------------------------------------------------------------ 1236
K ỳ n g h ỉ B ắ t b u ộ c ------------------------------------------------------------------------------------------------------ 1236
Q u ả n l ý T à i k h o ả n Đ ặ c q u y ề n ------------------------------------------------------------------------------- 1237
T h ỏ a t h u ậ n M ứ c D ị c h v ụ ( S L A s ) -------------------------------------------------------------------------- 1240
Giải quyết vấn đề An toàn và Bảo mật Nhân sự
1240
C ư ỡ n g é p -------------------------------------------------------------------------------------------------------------------- 1241
Đ i d u l ị c h ------------------------------------------------------------------------------------------------------------------- 1242
Q u ả n l ý T ì n h h u ố n g k h ẩ n c ấ p ------------------------------------------------------------------------------- 1243
Đ à o t ạ o v à N â n g c a o n h ậ n t h ứ c -------------------------------------------------------------------------- 1244
Cung cấp Tài nguyên một cách An toàn
1244
Q u y ề n s ở h ữ u T h ô n g t i n v à T à i s ả n -------------------------------------------------------------------- 1244
22 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Q u ả n l ý T à i s ả n -------------------------------------------------------------------------------------------------------- 1245
Áp dụng Bảo vệ Tài nguyên
1247
Q u ả n l ý P h ư ơ n g t i ệ n ----------------------------------------------------------------------------------------------- 1248
C á c K ỹ t h u ậ t B ả o v ệ P h ư ơ n g t i ệ n ------------------------------------------------------------------------ 1248
Các dịch vụ được Quản lý trên Đám mây
1252
T r á c h n h i ệ m đ ư ợ c C h i a s ẻ v ớ i c á c M ô h ì n h D ị c h v ụ Đ á m m â y -------------------- 1253
K h ả n ă n g m ở r ộ n g v à T í n h l i n h h o ạ t ------------------------------------------------------------------ 1256
Thực hiện Quản lý Cấu hình (CM)
1257
C u n g c ấ p -------------------------------------------------------------------------------------------------------------------- 1257
L ậ p đ ư ờ n g c ơ s ở ------------------------------------------------------------------------------------------------------ 1258
S ử d ụ n g c á c H ì n h ả n h đ ể L ậ p đ ư ờ n g c ơ s ở ------------------------------------------------------ 1258
T ự đ ộ n g h ó a -------------------------------------------------------------------------------------------------------------- 1260
Vệc Quản lý Thay đổi
1261
Q u ả n l ý T h a y đ ổ i ----------------------------------------------------------------------------------------------------- 1263
Đ á n h p h i ê n b ả n -------------------------------------------------------------------------------------------------------- 1265
T à i l i ệ u C ấ u h ì n h ----------------------------------------------------------------------------------------------------- 1266
Quản lý Vá lỗi và Giảm thiểu Lỗ hổng
1266
C á c H ệ t h ố n g c ầ n Q u ả n l ý ------------------------------------------------------------------------------------- 1266
Q u ả n l ý B ả n v á --------------------------------------------------------------------------------------------------------- 1267
Q u ả n l ý L ỗ h ổ n g ------------------------------------------------------------------------------------------------------- 1270
Q u é t L ỗ h ổ n g ------------------------------------------------------------------------------------------------------------ 1270
C á c L ỗ h ổ n g v à B i ể u l ộ P h ổ b i ế n ------------------------------------------------------------------------- 1272
Tóm tắt
1272
Những điều thiết yếu cho Kỳ thi
1273
Bài tập Viết
1276
Câu hỏi Đánh giá
1277
Chương 17
N g ă n c h ặ n v à Ứ n g p h ó v ớ i c á c S ự c ố --------------------------------------------- 1282
Tiến hành Quản lý Sự cố
1283
X á c đ ị n h m ộ t S ự c ố ------------------------------------------------------------------------------------------------- 1283
23 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C á c b ư ớ c Q u ả n l ý S ự c ố ----------------------------------------------------------------------------------------- 1285
Triển khai các Biện pháp Phát hiện và Ngăn ngừa
1293
C á c B i ệ n p h á p N g ă n n g ừ a C ơ b ả n ----------------------------------------------------------------------- 1294
H i ể u v ề c á c c u ộ c T ấ n c ô n g ----------------------------------------------------------------------------------- 1296
C á c H ệ t h ố n g P h á t h i ệ n v à N g ă n c h ặ n X â m n h ậ p ------------------------------------------- 1309
C á c B i ệ n p h á p N g ă n n g ừ a C ụ t h ể ------------------------------------------------------------------------ 1321
Ghi nhật ký và Giám sát
1331
C á c K ỹ t h u ậ t G h i n h ậ t k ý --------------------------------------------------------------------------------------- 1331
V a i t r ò c ủ a G i á m s á t ----------------------------------------------------------------------------------------------- 1336
C á c K ỹ t h u ậ t G i á m s á t -------------------------------------------------------------------------------------------- 1340
Q u ả n l ý N h ậ t k ý ------------------------------------------------------------------------------------------------------- 1346
G i á m s á t L ố i r a --------------------------------------------------------------------------------------------------------- 1347
Ứng phó Sự cố Tự động
1349
H i ể u v ề S O A R ------------------------------------------------------------------------------------------------------------ 1349
M á y h ọ c v à c á c C ô n g c ụ A I ----------------------------------------------------------------------------------- 1351
T h ô n g t i n t ì n h b á o v ề M ố i đ e d ọ a ----------------------------------------------------------------------- 1352
G i a o đ i ể m c ủ a S O A R , M á y h ọ c , A I v à N g u ồ n c u n g c ấ p M ố i đ e d ọ a ------------ 1357
Tóm tắt
1358
Những điều thiết yếu cho Kỳ thi
1359
Bài tập Viết
1364
Câu hỏi Đánh giá
1364
Chương 18
H o ạ c h đ ị n h K h ô i p h ụ c s a u T h ả m h ọ a ---------------------------------------------- 1370
Bản chất của Thảm họa
1372
T h ả m h ọ a T ự n h i ê n ------------------------------------------------------------------------------------------------- 1372
T h ả m h ọ a d o C o n n g ư ờ i - G â y r a --------------------------------------------------------------------------- 1380
Hiểu về Khả năng phục hồi, Tính sẵn sàng Cao, và Khả năng chịu Lỗi của Hệ
thống
1389
B ả o v ệ Ổ đ ĩ a c ứ n g --------------------------------------------------------------------------------------------------- 1391
B ả o v ệ M á y c h ủ -------------------------------------------------------------------------------------------------------- 1393
24 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
B ả o v ệ N g u ồ n C ấ p đ i ệ n ------------------------------------------------------------------------------------------ 1395
K h ô i p h ụ c Đ á n g t i n c ậ y ------------------------------------------------------------------------------------------ 1396
C h ấ t l ư ợ n g D ị c h v ụ -------------------------------------------------------------------------------------------------- 1398
Chiến lược Khôi phục
1398
C á c Ư u t i ê n Đ ơ n v ị K i n h d o a n h v à C h ứ c n ă n g ------------------------------------------------- 1399
Q u ả n l ý K h ủ n g h o ả n g --------------------------------------------------------------------------------------------- 1401
T r u y ề n t h ô n g t r o n g T ì n h h u ố n g k h ẩ n c ấ p --------------------------------------------------------- 1402
K h ô i p h ụ c N h ó m l à m v i ệ c -------------------------------------------------------------------------------------- 1403
C á c Đ ị a đ i ể m X ử l ý T h a y t h ế -------------------------------------------------------------------------------- 1403
K h ô i p h ụ c C ơ s ở d ữ l i ệ u ----------------------------------------------------------------------------------------- 1410
Phát triển Kế hoạch Khôi phục
1413
Ứ n g p h ó v ớ i T ì n h h u ố n g k h ẩ n c ấ p ---------------------------------------------------------------------- 1414
C o n n g ư ờ i v à T r u y ề n t h ô n g ---------------------------------------------------------------------------------- 1415
Đ á n h g i á --------------------------------------------------------------------------------------------------------------------- 1417
S a o l ư u v à L ư u t r ữ N g o ạ i b i ê n ----------------------------------------------------------------------------- 1417
T h ỏ a t h u ậ n K ý q u ỹ P h ầ n m ề m ------------------------------------------------------------------------------ 1423
T i ệ n í c h ---------------------------------------------------------------------------------------------------------------------- 1424
H ậ u c ầ n v à C u n g ứ n g --------------------------------------------------------------------------------------------- 1424
K h ô i p h ụ c v à P h ụ c h ồ i -------------------------------------------------------------------------------------------- 1424
Đ à o t ạ o , N â n g c a o n h ậ n t h ứ c v à L ậ p t h à n h t à i l i ệ u -------------------------------------- 1426
Kiểm nghiệm và Duy trì
1427
K i ể m n g h i ệ m Đ ọ c q u a [ k ế h o ạ c h ] ----------------------------------------------------------------------- 1427
D i ễ n - t ậ p C ó c ấ u t r ú c ----------------------------------------------------------------------------------------------- 1428
K i ể m n g h i ệ m M ô p h ỏ n g ------------------------------------------------------------------------------------------ 1428
K i ể m n g h i ệ m S o n g s o n g ----------------------------------------------------------------------------------------- 1429
K i ể m n g h i ệ m G i á n - đ o ạ n - T o à n - b ộ ------------------------------------------------------------------------ 1429
B à i h ọ c K i n h n g h i ệ m ----------------------------------------------------------------------------------------------- 1429
D u y t r ì ------------------------------------------------------------------------------------------------------------------------ 1431
Tóm tắt
1431
25 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Những điều thiết yếu cho Kỳ thi
1432
Bài tập Viết
1434
Câu hỏi Đánh giá
1434
Chương 19
Đ i ề u t r a v à Đ ạ o đ ứ c ---------------------------------------------------------------------------- 1440
Điều tra
1441
C á c L o ạ i Đ i ề u t r a ----------------------------------------------------------------------------------------------------- 1441
B ằ n g c h ứ n g ---------------------------------------------------------------------------------------------------------------- 1445
Q u y t r ì n h Đ i ề u t r a --------------------------------------------------------------------------------------------------- 1455
Các Loại Tội phạm Máy tính Chủ yếu
1462
C á c c u ộ c T ấ n c ô n g Q u â n s ự v à T ì n h b á o ---------------------------------------------------------- 1464
C á c c u ộ c T ấ n c ô n g D o a n h n g h i ệ p ----------------------------------------------------------------------- 1465
C á c c u ộ c T ấ n c ô n g T à i c h í n h -------------------------------------------------------------------------------- 1466
C á c c u ộ c T ấ n c ô n g K h ủ n g b ố -------------------------------------------------------------------------------- 1467
C á c c u ộ c T ấ n c ô n g T r ả t h ù ----------------------------------------------------------------------------------- 1467
C á c c u ộ c T ấ n c ô n g G i ậ t g â n --------------------------------------------------------------------------------- 1470
H a c k t i v i s t s ----------------------------------------------------------------------------------------------------------------- 1470
Đạo đức
1471
Q u y t ắ c Đ ạ o đ ứ c c ủ a T ổ c h ứ c ------------------------------------------------------------------------------ 1471
Q u y t ắ c Đ ạ o đ ứ c ( I S C ) 2 ----------------------------------------------------------------------------------------- 1473
Đ ạ o đ ứ c v à I n t e r n e t ----------------------------------------------------------------------------------------------- 1475
Tóm tắt
1477
Những điều thiết yếu cho Kỳ thi
1478
Bài tập Viết
1480
Câu hỏi Đánh giá
1480
Chương 20
B ả o m ậ t P h á t t r i ể n P h ầ n m ề m ---------------------------------------------------------- 1485
Giới thiệu về Kiểm soát Phát triển Hệ thống
1487
P h á t t r i ể n P h ầ n m ề m ---------------------------------------------------------------------------------------------- 1487
V ò n g đ ờ i P h á t t r i ể n H ệ t h ố n g ------------------------------------------------------------------------------- 1500
C á c M ô h ì n h V ò n g đ ờ i --------------------------------------------------------------------------------------------- 1505
26 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
B i ể u đ ồ G a n t t v à P E R T ------------------------------------------------------------------------------------------- 1518
Q u ả n l ý T h a y đ ổ i v à Q u ả n l ý C ấ u h ì n h -------------------------------------------------------------- 1519
P h ư ơ n g p h á p t i ế p c ậ n D e v O p s ----------------------------------------------------------------------------- 1522
C á c G i a o d i ệ n L ậ p t r ì n h Ứ n g d ụ n g ( A p p l i c a t i o n P r o g r a m m i n g I n t e r f a c e ) 1524
K i ể m t r a P h ầ n m ề m ------------------------------------------------------------------------------------------------- 1525
K h o l ư u t r ữ M ã n g u ồ n --------------------------------------------------------------------------------------------- 1528
C á c T h ỏ a t h u ậ n M ứ c - D ị c h - v ụ -------------------------------------------------------------------------------- 1530
M u a l ạ i P h ầ n m ề m B ê n - t h ứ - b a ----------------------------------------------------------------------------- 1530
Xác lập Cơ sở dữ liệu và Kho Dữ liệu
1532
K i ế n t r ú c H ệ t h ố n g Q u ả n l ý C ơ s ở d ữ l i ệ u -------------------------------------------------------- 1532
G i a o d ị c h C ơ s ở d ữ l i ệ u ------------------------------------------------------------------------------------------ 1538
B ả o m ậ t đ ố i v ớ i C ơ s ở d ữ l i ệ u Đ a c ấ p --------------------------------------------------------------- 1540
K ế t n ố i C ơ s ở d ữ l i ệ u M ở ( O p e n D a t a b a s e C o n n e c t i v i t y ) ------------------------------ 1546
N o S Q L ------------------------------------------------------------------------------------------------------------------------- 1547
Các mối đe dọa với Lưu trữ
1548
Hiểu về các Hệ thống Dựa trên-Kiến thức
1549
C á c H ệ t h ố n g C h u y ê n g i a -------------------------------------------------------------------------------------- 1550
M á y H ọ c ---------------------------------------------------------------------------------------------------------------------- 1551
M ạ n g T h ầ n k i n h ( N e u r a l ) --------------------------------------------------------------------------------------- 1552
Tóm tắt
1553
Những điều thiết yếu cho Kỳ thi
1554
Bài tập Viết
1556
Câu hỏi Đánh giá
1556
Chương 21
M ã p h ầ n m ề m Đ ộ c h ạ i v à c á c c u ộ c T ấ n c ô n g Ứ n g d ụ n g ------------ 1561
Phần mềm độc hại (Malware)
1562
N g u ồ n c ủ a M ã p h ầ n m ề m Đ ộ c h ạ i ----------------------------------------------------------------------- 1563
V i - r ú t --------------------------------------------------------------------------------------------------------------------------- 1564
B o m L o g i c ------------------------------------------------------------------------------------------------------------------ 1571
N g ự a T r o j a n -------------------------------------------------------------------------------------------------------------- 1571
27 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
S â u m á y t í n h ( W o r m ) ---------------------------------------------------------------------------------------------- 1573
R a n s o m w a r e -------------------------------------------------------------------------------------------------------------- 1578
T ậ p l ệ n h Đ ộ c h ạ i ------------------------------------------------------------------------------------------------------ 1580
T ấ n c ô n g Z e r o - D a y -------------------------------------------------------------------------------------------------- 1581
Ngăn chặn Malware
1581
N h ữ n g N ề n t ả n g D ễ b ị t ổ n t h ư ơ n g v ớ i M a l w a r e ---------------------------------------------- 1582
P h ầ n m ề m C h ố n g P h ầ n m ề m đ ộ c h ạ i ------------------------------------------------------------------ 1582
G i á m s á t T í n h t o à n v ẹ n ------------------------------------------------------------------------------------------ 1584
B ả o v ệ t r ư ớ c M ố i đ e d ọ a đ ư ợ c T ă n g c ư ờ n g ------------------------------------------------------ 1585
Các cuộc Tấn công Ứng dụng
1586
T r à n B ộ n h ớ đ ệ m ----------------------------------------------------------------------------------------------------- 1586
T h ờ i g i a n K i ể m t r a đ ế n T h ờ i g i a n S ử d ụ n g ------------------------------------------------------- 1587
C ổ n g h ậ u -------------------------------------------------------------------------------------------------------------------- 1588
L e o t h a n g Đ ặ c q u y ề n v à R o o t k i t s ------------------------------------------------------------------------ 1589
Các Lỗ hổng Chèn lệnh (Injection)
1590
T ấ n c ô n g C h è n S Q L ( S Q L I n j e c t i o n ) ------------------------------------------------------------------- 1590
T ấ n c ô n g C h è n M ã ( C o d e I n j e c t i o n ) ------------------------------------------------------------------- 1596
T ấ n c ô n g C h è n L ệ n h ( C o m m a n d I n j e c t i o n ) ------------------------------------------------------- 1596
Khai thác Các Lỗ hổng Cấp phép
1598
T h a m c h i ế u Đ ố i t ư ợ n g T r ự c t i ế p K h ô n g b ả o m ậ t -------------------------------------------- 1598
D u y ệ t q u a T h ư m ụ c ------------------------------------------------------------------------------------------------- 1599
B a o g ồ m T ậ p t i n ( F i l e I n c l u s i o n ) ------------------------------------------------------------------------- 1601
Khai thác Các Lỗ hổng Ứng dụng Web
1602
T ậ p l ệ n h k ị c h b ả n c h é o - t r a n g ( C r o s s - S i t e S c r i p t i n g - X S S ) ------------------------- 1603
G i ả m ạ o Y ê u c ầ u ------------------------------------------------------------------------------------------------------ 1607
C h i ế m đ o ạ t P h i ê n ----------------------------------------------------------------------------------------------------- 1609
Các Biện pháp kiểm soát Bảo mật Ứng dụng
1609
X á c t h ự c Đ ầ u v à o ----------------------------------------------------------------------------------------------------- 1609
T ư ờ n g l ử a Ứ n g d ụ n g W e b -------------------------------------------------------------------------------------- 1612
28 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
B ả o m ậ t C ơ s ở d ữ l i ệ u -------------------------------------------------------------------------------------------- 1614
B ả o m ậ t M ã n g u ồ n --------------------------------------------------------------------------------------------------- 1615
Thực tế Viết mã phần mềm An toàn
1619
C á c B ì n h l u ậ n v ề M ã N g u ồ n ---------------------------------------------------------------------------------- 1619
X ử l ý L ỗ i --------------------------------------------------------------------------------------------------------------------- 1620
T h ô n g t i n đ ă n g n h ậ p đ ư ợ c M ã - h ó a - C ứ n g ( H a r d - C o d e d ) -------------------------------- 1622
Q u ả n l ý B ộ n h ớ --------------------------------------------------------------------------------------------------------- 1623
Tóm tắt
1624
Những điều thiết yếu cho Kỳ thi
1625
Bài tập Viết
1626
Câu hỏi Đánh giá
1626
Phụ lục A
Đ á p á n c ủ a C â u h ỏ i Đ á n h g i á -------------------------------------------------------------- 1632
Chương 1
Quản trị Bảo mật Thông qua các Nguyên tắc và Chính sách
1632
Chương 2
Bảo mật Nhân viên và các Khái ni ệm Quản lý Rủi ro
1637
Chương 3
Hoạch định Liên tục Kinh doanh
1645
Chương 4
Luật lệ, Quy định và Tuân thủ
1649
Chương 5
Bảo vệ Sự bảo mật của Tài sản
1652
Chương 6
Các Thuật toán Mã hóa và Khóa Đối xứng
1657
Chương 7
PKI và Ứng dụng Mã hóa
1660
Chương 8
mật
Các Nguyên tắc đối với các Mô hình, Thiết kế và Năng lực Bảo
1663
Chương 9
Các Lỗ hổng, Mối đe dọa và Biện pháp đối phó Bảo mật
1668
Chương 10
Các Yêu cầu Bảo mật Vật lý
1678
Chương 11
Bảo mật Kiến trúc và các Thành phần Mạng
1683
Chương 12
Bảo mật Truyền thông và các cuộc Tấn công Mạng
1691
Chương 13
Quản lý Danh tính và Xác thực
1696
Chương 14
Kiểm soát và Giám sát Truy cập
1700
Chương 15
Đánh giá và Kiểm nghiệm Bảo mật
1705
Chương 16
Quản lý Vận hành Bảo mật
1707
29 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Chương 17
Ngăn chặn và Ứng phó với các Sự cố
1712
Chương 18
Hoạch định Khôi phục sau Thảm họa
1716
Chương 19
Điều tra và Đạo đức
1720
Chương 20
Bảo mật Phát triển Phần mềm
1723
Chương 21
Mã phần mềm Độc hại và các cuộc Tấn công Ứng dụng
1727
Phụ lục B
Đ á p á n c h o B à i t ậ p V i ế t ------------------------------------------------------------------------ 1731
Chương 1
Quản trị Bảo mật Thông qua các Nguyên tắc và Chính sách
1731
Chương 2
Bảo mật Nhân viên và các Khái ni ệm Quản lý Rủi ro
1732
Chương 3
Hoạch định Liên tục Kinh doanh
1733
Chương 4
Luật lệ, Quy định và Tuân thủ
1734
Chương 5
Bảo vệ Sự bảo mật của Tài sản
1735
Chương 6
Các Thuật toán Mã hóa và Khóa Đối xứng
1736
Chương 7
PKI và Ứng dụng Mã hóa
1737
Chương 8
mật
Các Nguyên tắc đối với các Mô hình, Thiết kế và Năng lực Bảo
1737
Chương 9
Các Lỗ hổng, Mối đe dọa và Biện pháp đối phó Bảo mật
1738
Chương 10
Các Yêu cầu Bảo mật Vật lý
1741
Chương 11
Bảo mật Kiến trúc và các Thành phần Mạng
1743
Chương 12
Bảo mật Truyền thông và các cuộc Tấn công Mạng
1744
Chương 13
Quản lý Danh tính và Xác thực
1746
Chương 14
Kiểm soát và Giám sát Truy cập
1747
Chương 15
Đánh giá và Kiểm nghiệm Bảo mật
1748
Chương 16
Quản lý Vận hành Bảo mật
1749
Chương 17
Ngăn chặn và Ứng phó với các Sự cố
1750
Chương 18
Hoạch định Khôi phục sau Thảm họa
1751
Chương 19
Điều tra và Đạo đức
1752
Chương 20
Bảo mật Phát triển Phần mềm
1753
Chương 21
Mã phần mềm Độc hại và các cuộc Tấn công Ứng dụng
1753
C h ú g i ả i t h u ậ t n g ữ C I S S P --------------------------------------------------------------------------------------------- 1758
30 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C I S S P 8 D o m a i n s C h e a t S h e e t ------------------------------------------------------------------------------------ 1833
Lĩnh vực 1: Bảo mật và Quản lý Rủi ro
1833
Lĩnh vực 2: Bảo mật Tài sản
1834
Lĩnh vực 3: Công nghệ và Kiến trúc Bảo mật
1835
Lĩnh vực 4: Bảo mật Mạng và Truyền thông
1836
Lĩnh vực 5: Quản lý Danh tính và Truy cập (IAM)
1837
Lĩnh vực 6: Đánh giá và Kiểm tra Bảo mật
1838
Lĩnh vực 7: Vận hành Bảo mật
1839
Lĩnh vực 8: Bảo mật Phát triển Phần mềm
1840
31 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
G i ớ i t h i ệ u Nh óm d ịc h A S V
Nhóm dịch Bảo mật và Quản trị Mạng hiện tại đang bao gồm một số thành viên
hiện đang công tác trong lĩnh vực CNTT như sau:
Đỗ Thượng Điền (Hà Nội)
✓
Công việc hiện tại: Quản trị Hệ thống,
✓
Đơn vị: Công ty CP CNTT New Vision,
✓
Điểm mạnh:
o
Quản lý hệ thống máy chủ Linux, Windows,
o
Triển khai và quản lý hệ thống SQLServer, MariaDB, Postgres,
Haproxy, Nginx và Elasticsearc h,
o
Giám sát các hệ thống Zabbix, Prometheus, ELK.
Nguyễn Văn Thắng (Hà Nội)
✓
Công việc hiện tại: Kỹ sư hệ thống,
✓
Đơn vị: Công ty 3C JSC,
✓
Điểm mạnh:
o
Triển khai các Dự án Tích hợp hệ thống,
o
Triển khai các hệ thống máy chủ Linux, lưu trữ, sao lưu và ảo hóa
VMWare.
Mai Thanh Việt (Hà Nội)
✓
Công việc hiện tại: Cán bộ kỹ thuật Phòng Dự án,
✓
Đơn vị: Công ty TNHH Điện tử Tin học EI,
✓
Điểm mạnh:
o
Cẩn thận và chu đáo trong công việc.
o
Các dự án lưu trữ lớn trên nền tảng IBM.
Phan Văn Sáng (Hà Nội)
✓
Công việc hiện tại: Tổng Giám đốc,
✓
Đơn vị: Công ty ITSUPRO,
✓
Điểm mạnh:
o
Tư vấn triển khai hệ thống mạng,
o
Dịch vụ IT Outsourcing cho doanh nghi ệp,
32 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
o
Hỗ trợ sự cố người dùng đầu cuối.
Hoàng Thành Đạt
✓
Công việc hiện tại:
✓
Đơn vị: Công ty Cổ phần Công nghệ cao LiOA,
Nguyễn Sơn Tùng (Tp. Hồ Chí Minh)
✓
Công việc hiện tại: Quản lý Phòng Tư vấn giải pháp,
✓
Đơn vị: Digital Work Network,
✓
Điểm mạnh:
o
Thiết kế và tư vấn các giải pháp Cisco Meraki và SD-WAN.
Nguyễn Thành Đông (Tp. Hồ Chí Minh)
✓
Công việc hiện tại: Team Leader,
✓
Đơn vị: Công ty TNHH Chứng khoán Yuanta Việt Nam,
✓
Điểm mạnh:
o
Chuyên môn chính về phần mềm (có thể lập trình, thiết kế DB);
o
Khả năng nắm bắt nhanh về nghiệp vụ hệ thống (như : core chứng
khoán (BOSC, AFE, TTL, FW), core finance);
o
Chịu khó học hỏi, có kiến thức cơ bản về hệ thống (Network,
Firewall, AD, SAN, VMWare, v.v…).
Phạm Hoàng Minh (Tp. Hồ Chí Minh)
✓
Công việc hiện tại: IT Manager,
✓
Đơn vị: Công ty SOFACOMPANY VIETNAM,
✓
Điểm mạnh:
o
Triển khai, vận hành, quản lý hạ tầng CNTT
o
Quản lý các nhà cung cấp dịch vụ CNTT
o
Biên soạn và xuất bản các chính sách CNTT
o
Quản lý nguồn ngân sách CNTT,
Trần Sơn Hải (Tp. Hồ Chí Minh)
✓
Công việc hiện tại: IT Manager,
✓
Đơn vị: Công ty Discovery Loft,
✓
Điểm mạnh:
33 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
o
Quản lý Dự án CNTT,
o
IT Help Desk.
Nguyễn Thế Hùng (Tp. Hồ Chí Minh)
✓
Công việc hiện tại: Giám đốc CNTT,
✓
Đơn vị: Công ty Luật Frasers,
✓
Điểm mạnh:
o
Quản trị doanh nghiệp;
o
Định hướng và Đào tạo;
o
Quản trị và thiết lập định hướng chiến lược kinh doanh với BSC,
OKRs và KPI;
o
Quản lý Dự án với OKRs.
34 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
T h ôn g t in X u ấ t b ả n
Bản quyền 2021© của John Wiley & Son, Inc. Tất cả các quyền được bảo lưu.
Được xuất bản bởi John Wiley & Son, Inc., Hoboken, New Jersey.
Được xuất bản đồng thời tại Canada và Vương quốc Anh.
ISBN: 978-1-119-78623-8
ISBN: 978-1-119-78633-7 (ebook)
ISBN: 978-1-119-78624-5 (ebook).
Không một phần nào của ấn phẩm này có thể được sao chép, lưu trữ trong hệ
thống truy xuất hoặc được truyền tải dưới bất kỳ hình thức nào hoặc bằng bất
kỳ phương tiện nào, dù là điện tử, cơ khí, photocopy, ghi âm, quét hoặc bằng
cách khác, trừ khi được cho phép theo Mục 107 hoặc 108 của Đạo luật Bản quyền
Hoa Kỳ năm 1976 mà không được sự cho phép trước bằng văn bản của Nhà xuất
bản hoặc ủy quyền thông qua việc thanh toán phí cho mỗi-bản-sao thích hợp cho
Trung tâm Cấp phép Bản quyền, 222 Rosewood Drive, Danvers, MA 01923, (978)
750-8400, fax (978) 646 -8600.
Các yêu cầu cấp phép đối với Nhà xuất bản phải được gửi tới Phòng Cấp phép,
John Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, (201) 7 48-6011,
fax
(201)
748-6008
hoặc
trực
tuyến
tại
trang
web
http://www.wiley.com/go/permissions .
Giới hạn về Trách nhiệm pháp lý/Tuyên bố từ chối Bảo hành: Trong khi nhà xuất
bản và tác giả đã cố gắng hết sức để chuẩn bị cuốn sách này, họ không tuyên
bố hoặc bảo đảm về tính chính xác hoặc đầy đủ của nội dung của ấn phẩm này
và đặc biệt từ chối bất kỳ lời bảo đảm ngụ ý nào về khả năng bán được hoặc
phù hợp cho một mục đích cụ thể. Không có sự bảo đảm nào có thể được tạo ra
hoặc mở rộng bởi các đại diện bán hàng hoặc các tài liệu bán hàng bằng văn
bản. Lời khuyên và những chiến lược trong tài liệu này có thể không phù hợp
với tình huống của bạn. Bạn nên tham khảo ý kiến của một chuyên gia nếu thích
hợp. Nhà xuất bản và tác giả đều không chịu trách nhiệm về bất kỳ tổn thất lợi
35 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nhuận hoặc bất kỳ thiệt hại thương mại nào khác, bao gồm nhưng không giới
hạn ở các thiệt hại đặc biệt, ngẫu nhiên, do hậu quả hoặc các thiệt hại khác.
Để biết thêm thông tin chung về các sản phẩm và dịch vụ khác của chúng tôi
hoặc để được hỗ trợ kỹ thuật, vui lòng liên hệ với Bộ phận Chăm sóc Khách hàng
của chúng tôi tại Hoa Kỳ theo số điện thoại (877) 762-2974, hoặc từ bên ngoài
Hoa Kỳ theo số (317) 572-3993 hoặc fax (317) 572-4002.
Wiley cũng xuất bản sách của mình dưới nhiều định dạng điện tử. Một số nội
dung xuất hiện trong bản in có thể không có sẵn ở định dạng điện tử. Để biết
thêm thông tin về các sản phẩm của Wiley, vui lòng truy cập trang web của
chúng tôi tại địa chỉ www.wiley.com.
Số Kiểm soát của Thư viện Quốc hội: 2021935479
NHÃN HIỆU: WILEY và biểu tượng Wiley là nhãn hiệu hoặc nhãn hiệu đã được
đăng ký của John Wiley & Sons, Inc., và/hoặc các chi nhánh của nó, ở Hoa Kỳ
và các quốc gia khác, và không được sử dụng nếu không có sự cho phép bằng
văn bản. (ISC)2 và CISSP là nhãn hiệu hoặc nhãn hiệu đã được đăng ký của
(ISC)2, Inc. Tất cả các nhãn hiệu khác là tài sản của chủ sở hữu tương ứng. John
Wiley & Sons, Inc. không liên kết với bất kỳ sản phẩm hoặc nhà cung cấp nào
được đề cập trong cuốn sách này.
(Các) Ảnh bìa: © Jeremy Woodhouse/G etty Images, Inc.
Thiết kế bìa: Wiley.
36 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Gửi tới Dewitt Latimer, người cố vấn, người bạn và đồng nghiệp của tôi. Tôi thực
sự rất nhớ bạn.
— Mike Chapple
Gửi đến Cathy, cách nhìn của bạn về thế giới và cuộc sống thường làm tôi ngạc
nhiên, thách thức tôi và khiến tôi càng yêu bạn nhiều hơn.
— James Michael Stewart
Gửi đến Nimfa, cảm ơn vì đã chia sẻ cuộc sống của bạn với tôi trong 29 năm qua
và vì đã để tôi chia sẻ cuộc sống của tôi với bạn.
— Darril Gibson
37 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
L ờ i C ả m ơn
Chúng tôi muốn bày tỏ lòng biết ơn đến Wiley vì đã tiếp tục hỗ trợ cho dự án
này. Đặc biệt xin cảm ơn biên tập viên phát triển, Kelly Talbot, và các biên tập
viên kỹ thuật, Jerry Rayome, Chri Crayton, và Aaron Kraus, những người đã thực
hiện những kỳ công đáng kinh ngạc trong việc hướng dẫn chúng tôi cải thiện ấn
phẩm này. Đồng thời, xin trân trọng cảm ơn đại lý của chúng tôi, Carole Jelen,
vì đã tiếp tục hỗ trợ để hoàn thành dự án này.
Mike, James và Darril.
Xin gửi lời cảm ơn đặc biệt đến rất nhiều những bạn bè và đồng nghiệp của tôi
trong cộng đồng an ninh mạng, những người đã cung cấp cho tôi nhiều giờ trò
chuyện và tranh luận thú vị về các vấn đề bảo mật đã truyền cảm hứng và cung
cấp rất nhiều thông tin cho nội dung trong ấn phẩm này.
Tôi muốn cảm ơn nhóm tại Wiley, những người đã cung cấp sự hỗ trợ vô giá
trong suốt quá trình phát triển quyển sách. Tôi cũng rất biết ơn người đại diện
văn học của tôi, Carole Jelen của Waterside Productions. Đ ồng tác giả của tôi,
James Michael Stewart và Darril Gibson, là nh ững cộng tác viên tuyệt vời và tôi
muốn cảm ơn cả hai vì những đóng góp chu đáo của họ cho các chương của tôi.
Tôi cũng muốn cảm ơn rất nhiều người đã tham gia vào quá trình s ản xuất quyển
sách này mà tôi chưa bao giờ có cơ hội gặp gỡ: đội đồ họa, nhân viên sản xuất
và tất cả những người đã tham gia đưa quyển sách này vào xuất bản.
Mike Chapple
Xin trân trọng cảm ơn Mike Chapple và Darril Gibson vì nh ững đóng góp liên tục
cho dự án này. Đồng thời xin cảm ơn những sinh viên khóa CISSP của tôi, những
người đã bổ sung những hiểu biết sâu sắc và ý kiến đóng góp để cải thiện bộ
tài liệu đào tạo của tôi và cuối cùng là ấn phẩm này. Dành cho người vợ yêu quý
của tôi, Cathy: Việc cùng nhau xây dựng cuộc sống và gia định còn tuyệt vời
hơn những gì tôi đã có thể tưởng tượng. Gửi đến Slayde và Remi: Các con đang
lớn rất nhanh và học tập với một tốc độ vượt trội, và các con tiếp tục làm bố
thích thú và ấn tượng mỗi ngày. Cả hai con đều đang phát triển thành những cá
nhân tuyệt vời. Gửi đến mẹ tôi, Johnnie: Thật tuyệt vời khi có mẹ ở gần. Dành
cho Mark: Dù thời gian đã trôi qua hay chúng ta ít khi gặp nhau, tôi vẫn luôn là
38 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
bạn của bạn. Và cuối cùng, như mọi khi, với Elvis: Bạn đã đi trước nỗi ám ảnh
thịt xông khói hiện tại với món bánh mì kẹp bơ đậu phộng/chuối/thịt xông khói,
tôi nghĩ đó là bằng chứng bạn đã du hành xuyên thời gian!
James Michael Steward
Thật tuyệt vời khi được làm việc với những người tài năng như James Michael
Stewart và Mike Chapple. Xin cảm ơn cả hai bạn vì tất cả những công việc và nỗ
lực hợp tác của các bạn trong dự án này. Các biên tập viên kỹ thuật, Jerry
Rayome, Chris Crayton và Aaron Kraus, đã cung cấp cho chúng tôi một số phản
hồi nổi bật, và quyển sách này trở nên ấn tượng hơn nhờ những nỗ lực của họ.
Cảm ơn nhóm tại Wiley (bao gồm quản lý dự án, biên tập viên và nghệ sĩ đồ
họa) vì tất cả công việc mà các bạn đã thực hiện đã giúp chúng tôi xuất bản
được ấn phẩm này. Cuối cùng, xin cảm ơn vợ tôi, Nimfa, vì đã chịu đựng sự kỳ
quặc của tôi khi tôi thực hiện quyển sách này.
Darril Gibson
39 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Về các Tác giả
Mike Chapple, Tiến sĩ, CISSP, Security+, CySA, PenTest+, CISA, CISM, CCSP ,
CIPP/US, là một giáo sư giảng dạy về CNTT tại Đại học Notre Dame. Trước đây,
ông là giám đốc thông tin của Brand Institute và là nhà nghiên c ứu bảo mật
thông tin của Cơ quan An ninh Quốc gia và Không quân Hoa K ỳ. Các lĩnh vực
chuyên môn chính của ông bao gồm phát hiện xâm nhập mạng và kiểm soát truy
cập.
Mike
là
cộng
tác
viên
thường
xuyên
cho
trang
SearchSecurity
c ủa
TechTarget và là tác giả của hơn 25 cuốn sách, bao gồm cuốn sách đồng hành
với hướng dẫn ôn tập này: CISSP Official (ISC)2 Practice Test (tạm dịch: Bài
kiểm tra thực hành CISSP Official (ISC)2), CompTIA CySA+ Study Guide: Exam
SY0-601 (tạm dịch CompTIA CySA+ Hướng dẫn nghiên cứu: Kỳ thi SY0-601),
CompTIA Security+ Study Guide: Exam SY0-601 (tạm dịch CompTIA Security+
Hướng dẫn nghiên cứu: Kỳ thi SY0-601) và Cyberwarfare: Information Operation
in a Connected World (tạm dịch Chiến tranh mạng: Hoạt động thông tin trong
một thế giới được kết nối). Mike cung cấp các nhóm nghiên cứu cho các chứng
nhận CISSP, SSCP, Security+ và CSA+ trên trang web c ủa anh ấy tại địa chỉ
www.certmike.com.
James Michael Stewart, CISSP, CEH, CHFI, ECSA, CND, ECIH, CySA+, PenTest+,
CASP+, Security+, Network+, A+, CISM và CFR, đã vi ết và đào tạo hơn 25 năm,
với trọng tâm hiện tại là bảo mật. Ông đã giảng dạy các khóa đào tạo về CISSP
từ năm 2002, chưa kể các khóa học khác về bảo mật Internet và kiểm tra đạo
đức tin tặc (ethical hacking)/xâm nhập. Ông là tác giả và là người đóng góp cho
hơn 75 cuốn sách về chứng nhận bảo mật, các chủ đề của Microsoft và quản trị
mạng, bao gồm CompTIA Security+ Review Guide: Exam SY0-601 (tạm dịch
CompTIA Security+ Hướng dẫn Đánh giá: Kỳ thi SY0-601). Thông tin thêm về
Michael
có
thể
được
tìm
thấy
tại
trang
web
của
ông
tại
địa
chỉ
www.impactonline.com.
Darril Gibson, CISSP, Security+, CASP, là Giám đ ốc điều hành của YCDA (viết tắt
của You Can Do Anything), và ông đã là tác giả hoặc đồng tác giả của hơn 40
cuốn sách. Darril thường xuyên viết, tư vấn và giảng dạy về nhiều chủ đề kỹ
thuật và bảo mật và có một số chứng nhận. Ông thường xuyên đăng các bài viết
trên blog tại blog.getcertifiedgetahead.com về các chủ đề chứng nhận và sử
40 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
dụng trang web đó để giúp mọi người nắm bắt được những thay đổi trong các
kỳ thi chứng nhận. Ông thích lắng nghe từ độc giả, đặc biệt là khi họ đã vượt
qua kỳ thi sau khi sử dụng một trong những cuốn sách của ông ấy, và bạn có
thể liên hệ với ông qua trang blog.
V ề c á c B iê n t ậ p v iê n K ỹ t h u ậ t
Jerry Rayome, BS/MS Computer Science, CISSP, đã đư ợc tuyển dụng làm thành
viên của Chương trình An ninh Mạng (Cyber Security Program) tại Phòng thí
nghiệm Quốc gia Lawrence Livermore trong hơn 20 năm, cung c ấp các dịch vụ
an ninh mạng bao gồm phát triển phần mềm, kiểm tra xâm nhập, ứng phó sự cố,
triển khai tường lửa/quản trị, kiểm toán tường lửa, triển khai/giám sát honeynet,
điều tra pháp y mạng, triển khai/đánh giá kiểm soát NIST 800-53, đánh giá rủi
ro đám mây và kiểm toán bảo mật đám mây.
Chris Crayton là nhà tư vấn kỹ thuật, nhà đào tạo, tác giả và biên tập viên kỹ
thuật hàng đầu trong ngành. Ông đã t ừng làm việc với tư cách là giảng viên
công nghệ máy tính và mạng, giám đốc bảo mật thông tin, quản trị viên mạng,
kỹ sư mạng và chuyên gia về máy tính cá nhân (PC). Chris là tác giả của một số
sách in và sách trực tuyến về sửa chữa máy tính cá nhân, CompTIA A+, CompTIA
Security+ và Microsoft Windows. Ông cũng đã t ừng là biên tập viên kỹ thuật và
người đóng góp nội dung cho rất nhiều đầu sách kỹ thuật cho một số công ty
xuất bản hàng đầu. Ông có nhiều chứng nhận trong ngành, bao gồm CISSP,
MCSE, CompTIA S+, N+, A+, và nhi ều chứng nhận khác. Ông cũng đã được công
nhận với nhiều giải thưởng về chuyên môn và giảng dạy, và đã từng là giám
khảo chung kết cuộc thi SkillsUSA ở cấp tiểu bang (Hoa Kỳ).
Aaron Kraus, CISSP, CCSP, là một chuyên gia bảo mật thông tin, người hướng
dẫn và tác giả đã làm việc trong rất nhiều ngành và trên phạm vi toàn cầu. Ông
đã dành hơn 15 năm với tư cách là nhà tư vấn hoặc nhà quản lý rủi ro bảo mật
trong các vai trò cùng với chính phủ, dịch vụ tài chính và các công ty khởi nghiệp
công nghệ, bao gồm gần đây nhất là trong lĩnh vực bảo hiểm rủi ro mạng và đã
dành 13 năm giảng dạy, viết tài liệu và phát triển các khóa học bảo mật tại
Learning Tree International, nơi ông cũng là ch ủ nhiệm chương trình giảng dạy
41 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
về an ninh mạng. Kinh nghiệm viết lách và biên tập của ông bao gồm sách tham
khảo chính thức (ISC)2, các kỳ thi thực hành và hướng dẫn học tập cho cả CISSP
lẫn CCSP.
42 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Lời tựa
Chào mừng bạn đến với tác phẩm (ISC)2® CISSP® Certified Information Systems
Security Professional Official Study Guide, 9 th Edition (tạm dịch (ISC)2® CISSP®
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – Hướng dẫn Nghiên
cứu, Phiên bản thứ 9).
Dữ liệu từ Nghiên cứu Lực lượng lao động An ninh mạng 2020 (Cybersecurity
Workforce Study) cho thấy rằng có 47% nhà tuyển dụng yêu cầu nhân viên bảo
mật của họ phải có chứng nhận an ninh mạng trung lập của nhà cung cấp và
chứng nhận Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận (CISSP)
chính là chứng nhận phổ biến nhất.
Theo nghiên cứu, các nhà tuyển dụng đánh giá rất cao các chuyên gia an ninh
mạng được chứng nhận về một số phẩm chất, từ việc tăng cường sự tự tin trong
các chiến lược và thực tiễn đến việc giao tiếp và thể hiện sự tự tin và năng lực
đó với khách hàng. Những lợi ích khác của chứng nhận được người sử dụng lao
động trích dẫn bao gồm việc làm giảm tác động của vi phạm bảo mật, biết rằng
công nghệ và các thực tiễn tốt nhất được cập nhật và nâng cao danh tiếng của
tổ chức trong phạm vi ngành cụ thể.
Ngoài việc tạo ra niềm tin từ phía người sử dụng lao động và tổ chức của họ,
các chuyên gia bảo mật có chứng nhận về an ninh mạng có thể tăng mức lương
trung bình của họ lên 27%. Chưa bao giờ có thời điểm nào tốt hơn bây giờ để
sử dụng những kỹ năng công nghệ thông tin của bạn để giúp bảo vệ cơ sở hạ
tầng, thông tin, hệ thống và quy trình của tổ chức bạn cũng như để cải thiện và
phát triển trong hành trình chuyên nghi ệp của bạn.
Chứng nhận CISSP là tiêu chuẩn vàng cho sự thành thạo trong lĩnh vực an ninh
mạng, chứng minh cho nhà tuyển dụng thấy rằng bạn có những kiến thức và kỹ
năng vững vàng trong nhiều lĩnh vực an ninh mạng và khả năng xây dựng và
quản lý gần như tất cả các khía cạnh của hoạt động bảo mật của một tổ chức.
Nó cũng báo hiệu những cam kết của bạn đối với sự phát triển nghề nghiệp liên
tục khi bạn tiếp tục theo sát những thay đổi của ngành và luôn trau dồi những
kỹ năng của mình.
43 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hướng dẫn nghiên cứu này sẽ hướng dẫn bạn lần lượt đi qua 8 lĩnh vực chủ đề
mà kỳ thi CISSP sẽ kiểm tra kiến thức của bạn. Từng bước một, nó sẽ bao gồm
các nguyên tắc cơ bản liên quan đến mỗi chủ đề và dần dần xây dựng theo hướng
tập trung hơn vào các lĩnh vực học tập để chuẩn bị cho bạn, dựa trên nội dung
đã được đề cập trong (ISC)2 CISSP Common Body of Knowledge ( tạm dịch Khối
Cơ sở Kiến thức Chung CISSP (ISC)2 - CBK).
Khi bạn chuẩn bị tham gia kỳ thi CISSP, hướng dẫn này sẽ giúp bạn xây dựng
một hiểu biết vững chắc về những khái niệm thiết kế, triển khai và quản lý các
chương trình an ninh mạng tốt nhất trong ngành, cũng như tính trung thực về
đạo đức cần có của những người nắm giữ chứng nhận CISSP.
Tôi hy vọng rằng bạn sẽ thấy Hướng dẫn Nghiên cứu Chính thức về Chuyên gia
Bảo mật Hệ thống Thông tin được Chứng nhận (ISC)2® CISSP® Phiên bản thứ 9
sẽ hữu ích trong hành trình bảo mật không gian mạng, chuẩn bị cho kỳ thi và
tiếp tục phát triển nghề nghiệp của bạn.
Trân trọng,
Clar Rosso
CEO, (ISC)2
44 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Giới thiệu
Hướng dẫn Nghiên cứu Chính thức về Chuyên gia Bảo mật Hệ thống Thông tin
được Chứng nhận (ISC)2® CISSP® Phiên bản thứ 9 cung cấp cho bạn một nền
tảng vững chắc cho kỳ thi Chuyên gia Bảo mật Hệ thống Thông tin được Chứng
nhận (CISSP). Bằng cách đặt mua quyển sách này, bạn đã chứng minh sự sẵn
sàng để học tập và một mong muốn để phát triển các kỹ năng mà bạn cần để
đạt được chứng nhận này. Phần giới thiệu này cung cấp cho bạn một cái nhìn
tổng quan cơ bản về ấn phẩm này cũng như về kỳ thi CISSP.
Quyển sách này được thiết kế dành cho những độc giả và sinh viên, những người
muốn nghiên cứu về kỳ thi chứng nhận CISSP. Nếu mục tiêu của bạn là trở thành
một chuyên gia bảo mật được chứng nhận thì chứng nhận CISSP và hướng dẫn
nghiên cứu này là dành cho bạn. Mục đích của quyển sách này là để chuẩn bị
một cách đầy đủ cho ban để vượt qua kỳ thi CISSP.
Trước khi bạn đào sâu thêm vào những kiến thức trong quyển sách này, bạn cần
phải tự mình hoàn thành m ột số nhiệm vụ. Bạn phải có một hiểu biết chung về
CNTT và bảo mật. Bạn nên có 5 năm kinh nghiệm công việc được trả lương toànthời-gian cần thiết (hoặc 4 năm, nếu bạn có bằng cấp đại học) trong hai hoặc
nhiều hơn trong số tám lĩnh vực được đề cập bởi kỳ thi CISSP. Nếu bạn được
công nhận đủ điều kiện để tham gia kỳ thi CISSP theo (ISC)2 thì điều đó có nghĩa
bạn đã được chuẩn bị đầy đủ để sử dụng quyển sách này để nghiên cứu cho kỳ
thi. Để biết thêm thông tin về (ISC)2, hãy đọc phần tiếp theo.
(ISC)² cũng cho phép giảm bớt 1 năm từ yêu cầu kinh nghiệm 5 năm nếu bạn đã
đạt được một trong các chứng nhận được phê duyệt từ lộ trình tiên quyết (ISC)².
Chúng bao gồm các chứng nhận như Chuyên gia Ủy quyền được Chứng nhận
(Certified Authorization Professional - CAP), Nhà quản lý Bảo mật Thông tin được
Chứng nhận (Certified Information Security Manager - CISM), Kiểm toán viên Hệ
thống Thông tin được Chứng nhận (CISA), Chuyên gia về Liên mạng được Chứng
nhận của Cisco (Cisco Certified Internetwork Expert - CCIE), Bảo mật Liên kết
Mạng được Chứng nhận của Cisco (Cisco Certified Network Associate Security CCNA Security), Người thực hành Bảo mật Nâng cao CompTIA (CompTIA Advanced
Security Practitionier - CASP), CompTIA Security+, Chuyên gia phân tích An ninh
45 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
mạng CompTIA (CompTIA Cybersecurity Analyst - CySA+) và nhiều chứng nhận
Chứng
nhận
Bảo
đảm
Thông
tin
Toàn
cầu
(Global
Information
Assurance
Certification - GIAC). Để có được mọt danh sách đầy đủ các chứng nhận đủ điều
kiện,
vui
lòng
truy
cập
trang
www.isc2.org/Certifications/CISSP/Prequisite -
Pathway.
Bạn chỉ có thể sử dụng một trong số biện pháp giảm bớt yêu cầu
về kinh nghiệm, hoặc là bằng cấp đại học hoặc một chứng nhận,
không phải là cả hai.
Nếu bạn chỉ mới bắt đầu hành trình để đạt được chứng nhận CISSP và chưa có
kinh nghiệm làm việc thì ấn phẩm của chúng tôi vẫn có thể là một công cụ hữu
ích trong việc chuẩn bị cho kỳ thi của bạn. Tuy nhiên, bạn có thể thấy rằng một
số chủ đề đã đề cập đến những giả định kiến thức mà bạn không có. Đối với
những chủ đề đó, bạn có thể cần thực hiện một số nghiên cứu bổ sung bằng
cách sử dụng các tài liệu khác, sau đó quay lại quyển sách này để tiếp tục tìm
hiểu về các chủ đề CISSP.
(ISC)2
Kỳ thi CISSP được kiểm soát bởi Hiệp hội Chứng nhận Bảo mật Hệ thống Thông
tin Quốc tế (International Information Systems Security Certification Consortium
– (ISC)2). (ISC)2 là một tổ chức phi lợi nhuận toàn cầu. Tổ chức này có 4 sứ
mệnh lớn:
▪
Duy trì Khối Cơ sở Kiến thức Chung (Common Body of Knowledge – CBK)
cho lĩnh vực bảo mật hệ thống thông tin.
▪
Cung cấp chứng nhận cho các chuyên gia và người hành nghề bảo mật
hệ thống thông tin.
▪
Tiến hành đào tạo chứng nhận và tổ chức các kỳ thi cấp chứng nhận.
▪
Giám sát việc công nhận liên tục các ứng viên chứng nhận đủ điều kiện
thông qua các khóa giáo d ục liên tục.
(ISC)2 được điều hành bởi một hội đồng quản trị được bầu chọn từ đội ngữ những
người hành nghề đã được chứng nhận của mình.
46 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
(ISC)2 hỗ trợ và cung cấp một loạt các chứng nhận, bao gồm CISSP, CISSPISSAP, CISSP-ISSMP, CISSP-ISSEP, SSCP, CAP, CSSLP, HCISPP và CCSP. Các
chứng nhận này được thiết kế để xác thực kiến thức và kỹ năng của các chuyên
gia bảo mật CNTT trong tất cả các ngành nghề. Bạn có thể biết thêm thông tin
về (ISC)2 và các chứng nhận của tổ chức này từ trang web của họ tại địa chỉ
https://www.isc2.org.
Chứng nhận CISSP dành cho các chuyên gia bảo mật chịu trách nhiệm cho việc
thiết kế và duy trì cơ sở hạ tầng bảo mật trong phạm vi một tổ chức.
Các Lĩnh vực Chủ đề
Chứng nhận CISSP bao hàm những nội dung từ 8 lĩnh vực chủ đề. Những lĩnh
vực này bao gồm dưới đây:
▪
Lĩnh vực 1: Quản lý Rủi ro và Bảo mật
▪
Lĩnh vực 2: Bảo mật Tài sản
▪
Lĩnh vực 3: Công nghệ và Kiến trúc Bảo mật
▪
Lĩnh vực 4: Bảo mật Mạng và Truyền thông
▪
Lĩnh vực 5: Kiểm soát truy cập và Danh tính (IAM)
▪
Lĩnh vực 6: Đánh giá và Kiểm tra Bảo mật
▪
Lĩnh vực 7: Vận hành Bảo mật
▪
Lĩnh vực 8: Bảo mật việc Phát triển Phần mềm.
Tám lĩnh vực này cung cấp một cái nhìn tổng quan độc-lập-với-nhà-cung-cấp về
một khuôn khổ bảo mật phổ quát. Khuôn khổ này là cơ sở cho một cuộc thảo
luận về thực tiễn bảo mật có thể được hỗ trợ bởi tất cả các kiểu tổ chức trên
toàn cầu.
Trước khi chứng nhận
(ISC)2 đã xác định các yêu cầu chứng nhận mà bạn phải đáp ứng để trở thành
một CISSP. Đầu tiên, bạn phải là một chuyên gia bảo mật đang hành nghề với ít
nhất 5 năm kinh nghiệm công việc được trả lương toàn thời gian hoặc 4 năm
kinh nghiệm và bằng cấp về CNTT (IT) hoặc HTTT (IS) gần đây hoặc một chứng
nhận bảo mật được chấp thuận (hãy tham khảo trang web https://www.isc2.org
để biết thêm chi tiết). Kinh nghiệm chuyên môn được định nghĩa là công việc
47 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
bảo mật được thực hiện để được hưởng lương hoặc hoa hồng trong phạm vi hai
hoặc nhiều hơn trong 8 lĩnh vực của CBK.
Thứ hai, bạn phải đồng ý tuân thủ một quy tắc đạo đức nghề nghiệp chính thức.
Quy tắc Đạo đức Nghề nghiệp CISSP là một bộ các chỉ thị mà (ISC)2 muốn tất cả
các ứng viên CISSP phải tuân thủ để duy trì tính chuyên nghiệp trong lĩnh vực
bảo mật hệ thống thông tin. Bạn có thể tìm thấy quy tắc đạo đức nghề nghiệp
này
trong
phần
Thông
tin
trên
trang
web
của
(ISC)2
tại
địa
chỉ
https://www.isc2.org.
(ISC)2 cũng cung cấp một chương trình đầu vào được gọi là Liên kết của (ISC)²
(Associate of (ISC)2). Chương trình này cho phép một ai đó không có hoặc không
đủ kinh nghiệm để đạt điều kiện là CISSP vẫn được tham gia kỳ thi CISSP và bổ
sung kinh nghiệm sau đó. Các cộng sự được cấp thêm 6 năm để bổ sung được 5
năm kinh nghiệm bảo mật. Chỉ sau khi cung cấp được bằng chứng về kinh nghiệm
đó, thường là bằng xác thực và bản tóm tắt, cá nhân đó mới có thể được cấp
chứng nhận CISSP.
Tổng quan về Kỳ thi CISSP
Kỳ thi CISSP tập trung vào bảo mật từ góc nhìn ở độ cao 30.000 foot, nó đề cập
nhiều đến lý thuyết và khái niệm hơn là triển khai và thủ tục. Nó rất rộng nhưng
không quá sâu. Để hoàn thành thành công kỳ thi này, bạn cần phải quen thuộc
với mọi lĩnh vực nhưng không nhất thiết phải là một chuyên gia của từng lĩnh
vực.
Kỳ thi CISSP có dạng thích ứng mà (ISC)2 gọi là CISSP-CAT (Kiểm tra Thích ứng
trên Máy tính – Computerized Adaptive Testing). Để biết thêm chi tiết đầy đủ về
phiên
bản
trình
bày
kỳ
thi
mới
này,
vui
lòng
xem
tham
khảo
tại
https://www.isc2.org/certifications/CISSP/CISSP -CAT.
Kỳ thi CISSP-CAT sẽ có tối thiểu 100 câu hỏi và tối đa là 150. Không phải tất cả
các mục bạn được trình bày đều được tính vào điểm số hoặc trạng thái đạt kỳ
thi của bạn. Các mục không được chấm điểm này được gọi là những câu hỏi kiểm
tra trước (pretest questions), theo (ISC)², trong khi các m ục được chấm điểm
được gọi là các mục hoạt động (operational items). Những câu hỏi sẽ không được
48 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
dán nhãn trong kỳ thi về việc chúng có được cho điểm (nghĩa là các mục hoạt
động) hay không được chấm điểm (tức là những câu hỏi kiểm tra trước). Các thí
sinh tham dự kỳ thi sẽ nhận được 25 mục không được chấm điểm trong bài kiểm
tra của họ, bất kể họ đạt được thứ hạng vượt qua ở câu hỏi 100 hay xem toàn
bộ 150 câu hỏi.
CISSP-CAT sẽ cấp cho bạn tối đa 3 giờ để làm bài kiểm tra. Nếu bạn hết thời
gian trước khi đạt được đủ điểm số để vượt qua kỳ thi, bạn sẽ tự động bị trượt.
CISSP-CAT không cho phép bạn quay lại câu hỏi trước đó để thay đổi câu trả lời
của mình. Lựa chọn câu trả lời của bạn là cuối cùng khi bạn để lại câu hỏi bằng
cách gửi lựa chọn đáp án của bạn.
CISSP-CAT không có một số điểm đã được công bố hoặc ấn định để đạt được kết
quả vượt qua kỳ thi. Thay vào đó, bạn phải chứng minh khả năng trả lời vượt
trên thanh (ISC)2 để vượt qua, còn được gọi là tiêu chuẩn vượt qua (vốn không
được tiết lộ), trong 75 mục hoạt động cuối cùng (tức là câu hỏi 100).
Nếu máy tính xác đ ịnh rằng bạn có ít hơn 5% cơ hội đạt được tiêu chuẩn vượt
qua và bạn đã nhìn thấy 75 hạng mục hoạt động (sẽ ở câu hỏi 100), bài kiểm
tra của bạn sẽ tự động kết thúc với kết quả thất bại. Nếu máy tính xác định rằng
bạn có hơn 95% cơ hội đạt được hoặc duy trì tiêu chuẩn vượt qua khi bạn đã
nhìn thấy 75 hạng mục hoạt động (sẽ ở câu hỏi 100), bài kiểm tra của bạn sẽ tự
động kết thúc với điểm đạt. Nếu cả hai cực này đều không được đáp ứng thì bạn
sẽ nhìn thấy một câu hỏi khác và trạng thái của bạn sẽ được đánh giá lại sau
khi câu hỏi này được trả lời. Bạn không được đảm bảo sẽ thấy bất kỳ câu hỏi
nào nhiều hơn mức cần thiết để hệ thống chấm điểm máy tính xác định với độ
tin cậy 95% khả năng đạt hay không đạt tiêu chuẩn vượt qua. Nếu bạn không
đạt được tiêu chuẩn vượt qua sau khi đã gửi đáp án cho câu hỏi thứ 150 thì bạn
đã trượt. Nếu bạn hết thời gian, bạn đã trượt.
Nếu bạn không vượt qua kỳ thi CISSP trong nỗ lực đầu tiên, bạn sẽ được phép
làm lại kỳ thi CISSP với các điều kiện sau:
▪
Bạn có thể tham dự kỳ thi CISSP tối đa bốn lần cho mỗi kỳ 12 tháng.
▪
Bạn phải đợi 30 ngày sau lần thi đầu tiên trước khi cố gắng lần thứ hai.
49 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Bạn phải đợi thêm 60 ngày sau lần thi thứ hai trước khi cố gắng lần thứ
ba.
▪
Bạn phải đợi thêm 90 ngày nữa sau lần thi thứ ba hoặc những cố gắng
tiếp theo trước khi thử lại.
Chính sách thi lại được cập nhật vào tháng 10 năm 2020, và bạn có thể đọc
chính sách chính thức tại đây: www.isc2.org/Exams/After -Your-Exam.
Bạn sẽ cần phải thanh toán đầy đủ cho mỗi lần kiểm tra bổ sung.
Không thể làm bài kiểm tra bằng tiếng Anh trên-giấy hoặc CBT (kiểm-tra-trênmáy-tính) phiên bản 250 câu hỏi phẳng trước đây của kỳ thi. CISSP hiện chỉ có
ở định dạng CBT CISSP-CAT bằng tiếng Anh thông qua trung tâm khảo thí Pearson
VUE được ủy quyền của (ISC)2 tại các thị trường được ủy quyền.
Vào đầu năm 2021, (ISC)2, thông qua Pearson Vue, đã th ực hiện
thí điểm kiểm tra trình độ tiến sĩ trực tuyến cho CISSP. Kết quả
của thí điểm này sẽ được đánh giá vào Quý 3 năm 2021 và quy ết
định về cách thức tiến hành sẽ được (ISC)2 đưa ra, dựa trên những
kết quả đó vào thời điểm đó. Hãy theo dõi blog (ISC)2 để biết
thông tin cập nhật về các dịch vụ thi CISSP từ xa được giám sát
trực tuyến.
Bài thi CISSP sẵn có cho các ngôn ngữ tiếng Anh, Pháp, Đức, Bồ Đào Nha (Brazil),
Tây Ban Nha (Hiện đại), Nhật, tiếng Trung Giản thể và tiếng Hàn. Các phiên bản
không-phải-tiếng-Anh của CISSP vẫn được thực hiện bằng cách sử dụng kỳ thi
205 câu hỏi tuyến tính, dạng-cố-định và phẳng (có lẽ là dạng bài thi trên giấy?).
Để biết thêm chi tiết và những thông tin cập nhật nhất về kỳ thi CISSP trực tiếp
từ
(ISC)2,
vui
lòng
truy
cập
trang
web
của
(ISC)2
tại
địa
chỉ
https://www.isc2.org/Certification/CISSP và tải về Hướng dẫn Sau cùng và Đề
cương về Kỳ thi CISSP (hiện đang được định vị tại phần “2: Đăng ký và Chuẩn
bị cho kỳ thi). Bạn cũng có thể tìm thấy những thông tin hữu ích trên blog của
(ISC)2 tại blog.isc2.org/isc2_blog. Ví dụ, có một bài báo rất hay đã được đăng
50 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
vào
Tháng
Mười
năm
2020
có
tiêu đề
“Tại
sao
Kỳ
thi CISSP
Thay
đổi?”
(blog.isc2.org/isc2_blog/2020/10/why-does-cissp-exam-change.html).
Kiểu Câu hỏi của Kỳ thi CISSP
Hầu hết các câu hỏi trong kỳ thi CISSPlà những câu hỏi có 4-đáp-án, những câu
hỏi trắc nghiệm với một đáp án đúng duy nhất. Một số câu hỏi khá dễ hiểu,
chẳng hạn như yêu cầu bạn lựa chọn một định nghĩa. Một số câu hỏi khác thì lại
rắc rối hơn một chút, yêu cầu bạn chọn khái niệm hoặc thực tiễn tốt nhất thích
hợp. Và một số câu hỏi đặt ra cho bạn một kịch bản hay tình huống và yêu cầu
bạn lựa chọn đáp án tốt nhất.
Bạn phải lựa chọn một đáp án chính xác hoặc tốt nhất và đánh dấu nó. Trong
một số trường hợp, đáp án chính xác sẽ hiển nhiên đối với bạn. Trong những
trường hợp khác, một số đáp án sẽ trông có vẻ như là đáp án chính xác. Hãy
xem xét các lựa chọn đáp án chung, cụ thể, phổ quát, tập hợp cha và tập hợp
con. Trong những trường hợp khác nữa, không có đáp án nào trông có vẻ là
chính xác. Khi đó, bạn sẽ cần chọn được đáp án ít sai nhất.
Một số câu hỏi trắc nghiệm có thể yêu cầu bạn chọn nhiều hơn một câu trả lời,
nếu vậy, những điều này sẽ nêu rõ những gì cần thiết để đưa ra một đáp án đầy
đủ.
Ngoài định dạng câu hỏi trắc nghiệm tiêu chuẩn, kỳ thi có thể bao gồm một số
định dạng câu hỏi nâng cao mà (ISC)2 gọi là câu hỏi đổi mới nâng cao (advanced
innovation questions). Chúng bao gồm câu hỏi kéo-và-thả và câu hỏi dạng
hotspot. Những kiểu câu hỏi này yêu cầu bạn đặt các chủ đề hoặc khái niệm theo
thứ tự hoạt động, theo thứ tự ưu tiên hoặc liên quan đến việc định vị phù hợp
cho giải pháp cần thiết. Cụ thể, câu hỏi kéo-và-thả yêu cầu người dự thi di
chuyển nhãn hoặc biểu tượng để đánh dấu các mục trên một hình ảnh. Các câu
hỏi hotspot yêu cầu người dự thi xác định vị trí trên hình ảnh bằng một điểm
đánh dấu hình chữ thập. Những khái niệm về câu hỏi này rất dễ thực hiện và dễ
hiểu, nhưng hãy cẩn thận về độ chính xác của bạn khi thả hoặc đánh dấu.
51 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Lời khuyên về việc Thực hiện Kỳ thi
Kỳ thi CISSP cấu thành từ hai yếu tố then chốt. Trước tiên, bạn cần phải nắm
được nội dung từ 8 lĩnh vực. Sau đó, bạn phải có các kỹ năng làm-bài-thi tốt.
Bạn có tối đa 3 giờ để đạt được tiêu chuẩn vượt qua với khả năng phải đọc đến
150 câu hỏi. Do đó, bạn sẽ có trung bình chỉ hơn 1 phút cho mỗi câu hỏi, vì vậy
điều quan trọng là bạn phải làm bài một cách nhanh chóng, không vội vàng
nhưng cũng không lãng phí thời gian.
Việc bỏ qua câu hỏi không còn được cho phép trong kỳ thi CISSP, và bạn cũng
không được phép nhảy lung tung (hàm ý di chuyển một cách mất trật tự giữa
các câu hỏi), vì vậy dù bằng cách này hay cách khác, bạn bắt buộc phải đưa ra
đáp án tốt nhất cho từng câu hỏi. Chúng tôi khuyên bạn nên cố gắng loại bỏ
càng nhiều tùy chọn đáp án càng tốt trước khi đưa ra phỏng đoán. Sau đó, bạn
có thể đưa ra các phỏng đoán đã được học từ một nhóm các tùy chọn đã được
giảm bớt để gia tăng cơ hội trả lời đúng một câu hỏi.
Hãy lưu ý rằng (ISC)2 không tiết lộ liệu có tín dụng một phần có được cấp cho
các câu hỏi có nhiều phần hay không nếu bạn chỉ nhận được một số yếu tố chính
xác (hàm ý là (ISC)2 liệu có tính điểm cho các tùy chọn đúng trong một câu hỏi
có nhiều đáp án đúng hay không, trong trường hợp bạn đã không lựa chọn đủ
hết các đáp án đúng). Vì vậy, hãy chú ý đến các câu hỏi có các hộp kiểm và hãy
nhớ chọn nhiều mục cần thiết để giải quyết câu hỏi một cách chính xác.
Bạn sẽ được cung cấp một giẻ khô để lau bảng và một bút dạ để ghi lại những
suy nghĩ và ghi chú. Nhưng không có gì đư ợc viết trên bảng đó sẽ được sử dụng
để làm thay đổi điểm số của bạn. Bảng đó phải được trả lại cho giám thị phòng
thi trước khi bạn rời khỏi địa điểm thi.
Để tối đa hóa việc thực hiện bài thi của bạn, dưới đây là một số hướng dẫn
chung:
▪
Đọc từng câu hỏi, sau đó đọc các tùy chọn trả lời, và tiếp theo là đọc lại
câu hỏi.
▪
Loại bỏ các đáp án sai trước khi lựa chọn được đáp án đúng.
▪
Xem xét để tìm kiếm phủ định kép.
▪
Hãy chắc chắn bạn hiểu được câu hỏi đang hỏi về điều gì.
52 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hãy quản lý thời gian của bạn. Bạn có thể giải lao giữa bài thi của bạn nhưng
việc này sẽ làm tiêu tốn thời gian làm bài của bạn. Bạn có thể cân nhắc việc
mang theo đồ ăn nhẹ và nước uống, tuy nhiên những thứ này sẽ được cất giữ ở
khu vực cách xa nơi làm bài thi, và vi ệc này cũng sẽ làm bạn lãng phí thời gian
làm bài vốn đã bị giới hạn. Hãy nhớ mang theo bất kỳ loại thuốc men nào hoặc
vật dụng cần thiết khác, nhưng hãy để tất cả những thứ điện tử lại ở nhà hoặc
trong xe hơi của bạn. Bạn nên tránh đeo bất cứ thứ gì trên cổ tay, bao gồm
đồng hồ, máy theo dõi thể dục và đồ trang sức. Bạn không được phép mang theo
bất kỳ hình thức tai nghe hoặc nút tai chống ồn nào, mặc dù bạn có thể sử dụng
nút tai bằng xốp. Chúng tôi cũng khuyên bạn nên mặc quần áo thoải mái và
mang theo áo khoác nhẹ (một số địa điểm thi sẽ hơi lạnh).
Bạn có thể sẽ muốn xem lại các tài liệu Từ viết tắt Chứng nhận (ISC)2 và Chú
giải thuật ngữ tại đây:
▪
www.isc2.org/-/media/Files/Certification-Acronym-Glossary.ashx
▪
www.isc2.org/Certification/CISSP/CISSP -Student-Glossary.
Cuối cùng, các chính sách thi cử của (ISC)2 có thể sẽ thay đổi. Hãy chắc chắn
bạn đã kiểm tra isc2.org để biết các chính sách hiện hành trước khi bạn đăng ký
và tham gia kỳ thi.
Mách nước Chuẩn bị cho Nghiên cứu và cho Kỳ thi
Chúng tôi khuyên bạn nên lập kế hoạch trước 1 tháng hoặc hơn để học tập hàng
đêm cho kỳ thi CISSP. Dưới đây là một số đề xuất để tối đa thời gian học tập
của bạn, bạn có thể điều chỉnh chúng nếu cần thiết, dựa trên thói quen học tập
của bạn:
▪
Dành ra 1 hoặc 2 buổi tối để đọc từng chương của quyển sách này, và xem
qua tài liệu ôn tập của nó.
▪
Trả lời tất cả những câu hỏi đánh giá và làm bài thi thực hành được cung
cấp trong quyển sách này và/hoặc trên công cụ kiểm tra trực tuyến. Hãy
đảm bảo bạn đã nghiên cứu từng câu hỏi mà bạn đã trả lời sai để tìm hiểu
về những gì mà bạn chưa biết.
▪
Hoàn thành bài thực hành viết từ mỗi chương.
▪
Đọc và tìm hiểu Kiến thức thiết yếu về Kỳ thi.
53 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Xem lại Đề cương của Kỳ thi (ISC)2 tại trang web isc2.org.
▪
Sử dụng các flashcard đi kèm theo các công cụ học tập để củng cố sự hiểu
biết của bạn về các khái niệm.
Chúng tôi khuyên bạn nên dành ½ thời gian học tập của bạn để
đọc và xem xét các khái niệm và ½ còn lại để thực hành kỳ thi.
Các sinh viên đã báo cáo rằng khi họ càng dành nhiều thời gian
cho các kỳ thi thực hành, họ càng lưu giữ lại các chủ đề kiểm tra
tốt hơn. Ngoài các bài kiểm tra thực hành cùng với Hướng dẫn
Nghiên cứu này, Sybex cũng xuất bản (ISC)² Các Bài kiểm tra Thực
hành Chính thức về Chuyên gia Bảo mật Hệ thống Thông tin được
Chứng nhận CISSP, Phiên bản thứ 3 (ISBN: 978-1-119-47592-7).
Nó chứa 100 câu hỏi thực hành trở lên cho mỗi miền và bốn bài
kiểm tra thực hành có quy mô đầy đủ bổ sung. Cũng giống như
Hướng dẫn Nghiên cứu này, nó cũng đi kèm với một phiên bản trực
tuyến của các câu hỏi.
Hoàn thành Quá trình Chứng nhận
Khi bạn được thông báo rằng bạn đã vượt qua kỳ thi chứng nhận CISSP thành
công, sẽ chỉ còn một bước sau cùng trước khi bạn thực sự nhận được chứng nhận
CISSP. Bước sau cùng này còn được gọi là xác thực (endorsement). Về cơ bản,
việc này liên quan đến việc có một ai đó đang là CISSP hoặc đang giữ chứng
nhận nào đó khác của (ISC)2, đang ở trạng thái tốt và quen thuộc vói lịch sử
công việc của bạn để thay mặt bạn đệ trình một biểu mẫu xác thực. Khi bạn đã
vượt qua kỳ thi CISSP, bạn sẽ nhận được một email cùng với các hướng dẫn. Tuy
nhiên,
bạn
có
thể
xem
lại
quá
trình
đăng
ký
xác
thực
tại
www.isc2.org/Endorsement.
Nếu bạn đã đăng ký thi CISSP thì bạn phải hoàn thành quá trình xác thực trong
vòng chín tháng sau kỳ thi của mình. Nếu bạn đã đăng ký chương trình Cộng sự
của (ISC)2 (Associate of (ISC)2), thì bạn sẽ có sáu năm tính từ dữ liệu kỳ thi
của mình để hoàn thành quá trình xác thực. Sau khi (ISC)2 chấp nhận sự xác
54 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thực của bạn, quá trình chứng nhận sẽ hoàn tất và bạn sẽ được gửi một gói
thông tin chào mừng.
Khi bạn đã đạt được chứng nhận CISSP của mình, giờ đây bạn phải cố gắng để
duy trì chứng nhận. Bạn sẽ cần kiếm được 120 tín chỉ Giáo dục Nghề nghiệp
Thường xuyên (Continuing Professional Education - CPE) trước ngày kỷ niệm năm
thứ ba kể từ khi đạt được chứng nhận CISSP của mình. Để biết chi tiết về việc
thu nhập và báo cáo CPE, hãy vui lòng tham khảo Sổ tay Giáo dục Nghề nghiệp
Thường
xuyên
(CPE)
(ISC)2
(tại
địa
/media/ISC2/Certifications/CPE/CPE ---Handbook.ashx)
chỉ
và
www.isc2.org/-
trang
Cơ
hội
CPE
(www.isc2.org/Membership/CPE-Opportunities). Bạn cũng sẽ phải thanh toán
khoản phí duy trì hàng năm (annual membership fee - AMF) sau khi đạt được
chứng nhận của mình và vào mỗi dịp kỷ niệm hàng năm. Để biết chi tiết về AMF,
vui lòng xem Sổ tay CPE (ISC)2 và www.isc2.org/Policies-Procedures/MemberPolicies.
Các Thành phần của Sổ tay hướng dẫn Nghiên cứu này
Mỗi chương trong ấn phẩm này đều bao gồm các thành phần chung để giúp bạn
hướng trọng tâm quá trình nghiên cứu của mình và để kiểm tra kiến thúc của
bạn. Dưới đây là những mô tả về các thành phần này:
Kịch bản trong Thế-giới-Thực
Khi bạn đi qua từng chương, bạn sẽ tìm
thấy những mô tả về các tình huống điển
hình và hợp lý tại nơi làm việc, trong đó,
một
sự
hiểu
biết
về
các
chiến
lược
và
phương pháp tiếp cận bảo mật liên quan
đến nội dung của chương có thể đóng một
vai trò trong việc khắc phục các vấn đề
hoặc trong việc chống chọi những khó khăn
tiềm ẩn. Điều này giúp độc giả có cơ hội để
xem
xét
cách
thức
mà
các
chính
sách,
hướng dẫn hoặc thực tiễn bảo mật cụ thể
nên hoặc có thể được áp dụng vào nơi làm
việc như thế nào.
55 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mẹo và Lưu ý
Trong toàn bộ từng chương, bạn sẽ tìm thấy
các mệnh đề đã được chèn vào mà bạn nên
chú ý đến. Các mục này thường được tập
trung vào các chi tiết liên quan đến phần
của chương hoặc tài liệu quan trọng có liên
quan.
Tóm tắt
Phần tóm tắt là một đánh giá ngắn gọn về
chương để tóm tắt lại những gì đã được đề
cập.
Yếu tố thiết yếu cho Kỳ thi
Các Yếu tố thiết cho kỳ thi nêu bật các chủ
đề có thể xuất hiện trong kỳ thi dưới một
số hình thức. Mặc dù rõ ràng là chúng ta
không biết một cách chính xác rằng nội
dung nào sẽ được đưa vào một bài thi cụ
thể nhưng phần này củng cố những khái
niệm quan trọng đóng vai trò là chìa khóa
để
hiểu
các
khái
niệm
và
chủ
đề
của
chương. Kiến thức Thiết yếu cho Kỳ thi là
kiến thức tối thiểu bạn muốn giữ lại từ một
chương.
Bài viết Thực hành
Mỗi chương bao gồm các bài thực hành viết
tổng hợp các khái niệm và chủ đề khác nhau
xuất hiện trong chương. Những bài thực
hành này nêu lên những câu hỏi được thiết
kế để giúp bạn tập hợp các phần khác nhau
mà bạn đã gặp riêng trong chương và tổng
hợp chúng lại để đề xuất hoặc mô tả các
chiến lược hoặc giải pháp bảo mật tiềm
năng. Chúng tôi đặc biệt khuyến khích bạn
viết ra đáp án của mình trước khi xem các
giải pháp được đề xuất của chúng tôi trong
Phụ lục B.
56 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Câu hỏi Ôn tập Chương
Mỗi chương sẽ bao gồm các câu hỏi thực
hành đã được thiết kế để đo lường kiến
thức của bạn về các ý tưởng then chốt đã
được thảo luận trong chương. Sau khi bạn
hoàn thành mỗi chương, hãy trả lời các câu
hỏi, nếu một số câu trả lời của bạn không
chính xác thì đó là dấu hiệu cho thấy bạn
cần dành thêm thời gian để nghiên cứu các
chủ đề tương ứng. Đáp án cho các câu hỏi
thực hành có thể được tìm thấy trong Phụ
lục A.
Môi trường Học tập Tương tác Trực tuyến và Ngân hàng Kiểm tra
Việc nghiên cứu nội dung trong (ISC) 2 CISSP: Hướng dẫn Nghiên cứu Chính thức
về Chuyên gia Bảo mật Hệ thống Thông tin Được chứng nhận, Phiên bản thứ 9,
là một phần quan trọng để chuẩn bị cho kỳ thi lấy chứng nhận Chuyên gia Bảo
mật Hệ thống Thông tin đư ợc Chứng nhận (CISSP), tuy nhiên, chúng tôi cung
cấp thêm các công cụ bổ sung để giúp bạn chuẩn bị. Ngân hàng Kiểm tra trực
tuyến sẽ giúp bạn tìm hiểu các dạng câu hỏi sẽ xuất hiện trong kỳ thi lấy chứng
nhận.
Các bài kiểm tra mẫu trong Ngân hàng Kiểm tra bao gồm tất cả các câu hỏi trong
từng chương cũng như các câu h ỏi từ bài kiểm tra Đánh giá trong phần Giới
thiệu này. Ngoài ra, có bốn kỳ thi thực hành bổ sung mà bạn có thể sử dụng để
đánh giá sự hiểu biết của mình và xác định các lĩnh vực có thể cần nghiên cứu
thêm. Bốn bài thi thực hành bổ sung này bao gồm 125 câu hỏi cho mỗi bài, và
mỗi đề bao phủ một phạm vi rộng của các chủ đề trong lĩnh vực theo một tỷ lệ
phần trăm tương tự như kỳ thi thật. Chúng có thể được sử dụng như mô phỏng
kỳ thi thực tế để đánh giá sự chuẩn bị của bạn.
Flashcards trong Ngân hàng Kiểm tra sẽ nâng cao giới hạn của những gì bạn nên
biết cho kỳ thi lấy chứng nhận. Các câu hỏi được cung cấp dưới định dạng kỹ
thuật số. Mỗi flashcard có một câu hỏi và một đáp án đúng.
57 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bảng chú giải thuật ngữ trực tuyến là một danh sách có thể tìm kiếm được bao
gồm những thuật ngữ chính đã được giới thiệu trong hướng dẫn kỳ thi này mà
bạn nên biết đối với kỳ thi chứng nhận CISSP.
Điều mới cho phiên bản thứ 9: Đánh giá (bằng) Âm thanh (Audio Review). Tác
giả Mike Chapple đọc Điều thiết yếu của Kỳ thi cho từng chương, cung cấp cho
bạn 2 giờ 50 phút ôn tập bằng âm thanh mới để có thêm một cách để củng cố
kiến thức của bạn trong quá trình chuẩn bị của bạn. Chúng tôi khuyên bạn nên
sử dụng các bài đánh giá bằng âm thanh này sau khi bạn đã đọc từng chương.
Bạn có thể nghe chúng trên đường đi làm, tại phòng tập thể dục hoặc bất cứ nơi
nào bạn đọc sách nói!
Để bắt đầu sử dụng những điều này để ôn tập cho kỳ thi, hãy truy cập
www.wiley.com/go/sybextestprep, đăng ký sách của bạn để được nhận mã PIN
duy
nhất
của
bạn,
sau
đó,
khi
bạn
đã
có
mã
PIN,
hãy
quay
lại
www.wiley.com/go/sybextestprep và đăng ký một tài khoản mới hoặc bổ sung
thêm cuốn sách này vào tài khoản hiện có.
Các Mục tiêu của Hướng dẫn Nghiên cứu Kỳ thi
Bảng dưới đây cung cấp mức độ theo tỷ lệ phần trăm mà theo đó, từng phần
được trình bày trong bài kiểm tra thực tế.
Lĩnh vực
% trong kỳ thi
Lĩnh vực 1: Bảo mật và Quản lý Rủi ro
15%
Lĩnh vực 2: Bảo mật Tài sản
10%
Lĩnh vực 3: Công nghệ và Kiến trúc Bảo mật
13%
Lĩnh vực 4: Bảo mật Mạng và Truyền thông
13%
Lĩnh vực 5: Quản lý Danh tính và Truy cập (IAM)
13%
Lĩnh vực 6: Đánh giá và Kiểm nghiệm Bảo mật
12%
Lĩnh vực 7: Vận hành Bảo mật
13%
Lĩnh vực 8: Bảo mật việc Phát triển Phần mềm
11%
Tổng
100%
58 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bản sửa đổi gần đây nhất của các lĩnh vực chủ đề sẽ được phản
ánh trong các kỳ thi bắt đầu kể từ ngày 1 tháng 5 năm 2021. Đ ể
có được cái nhìn đầy đủ về phạm vi chủ đề được đề cập trong kỳ
thi CISSP từ tám nhóm lĩnh vực, hãy truy cập trang web (ISC)2 tại
isc2.org để tải xuống bản sao Đề cương Kỳ thi Chứng nhận. Tài
liệu này bao gồm một đề cương đầy đủ về kỳ thi cũng như các
thông tin liên quan khác về chứng nhận.
Bản đồ Mục tiêu
Ấn phẩm này được thiết kế để đề cập đến mỗi một trong số 8 lĩnh vực Cơ sở
Kiến thức Chung CISSP với mức độ chuyên sâu đủ để cung cấp cho bạn một hiểu
biết rõ ràng về tài liệu. Phần chính của quyển sách này bao gồm 21 chương.
Dưới đây là một Đề cương Kỳ thi CISSP hoàn chỉnh ánh xạ từng mực tiêu với vị
trí của nó trong các chương của quyển sách này.
Chúng tôi đã bổ sung thêm việc đánh số các mục chủ đề cấp-độgạch-đầu-dòng (nghĩa là các mục tiêu phụ hoặc các ví dụ mục tiêu
phụ) từ Đề cương của Kỳ thi.
Lĩnh vực
Mục tiêu
Chương
Lĩnh vực 1: Bảo mật và Quản lý Rủi ro
1.1
Hiểu, tuân thủ và khuyến khích đạo đức nghề nghiệp
19
1.1.1
Quy tắc Đạo đức Nghề nghiệp (ISC)2
19
1.1.2
Quy tắc đạo đức nghề nghiệp của tổ chức
19
1.2
Hiểu và áp dụng các khái niệm bảo mật
1
1.2.1
Tính bảo mật, toàn vẹn và sẵn sàng, tính xác thực và không
1
khước từ
1.3
Đánh giá và áp dụng các nguyên tắc quản trị bảo mật
1
1.3.1
Liên kết chức năng bảo mật với các chiến lược, mục đích, sứ
1
mệnh và mục tiêu của doanh nghiệp
59 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
1.3.2
Các quy trình tổ chức (ví dụ, mua lại, thoái vốn, hội đồng
1
quản trị)
1.3.3
Những vai trò và trách nhiệm trong tổ chức
1
1.3.4
Các khuôn khổ kiểm soát bảo mật
1
1.3.5
Chăm sóc cẩn trọng/thẩm định
1
1.4
Xác định các yêu cầu tuân thủ và các yêu cầu khác
4
1.4.1
Các yêu cầu hợp đồng, pháp lý, tiêu chu ẩn ngành và quy
4
định
1.4.2
Các yêu cầu về quyền riêng tư
4
1.5
Hiểu được các vấn đề về pháp lý và quy định có liên quan
4
đến bảo mật thông tin trong một bối cảnh toàn diện
1.5.1
Tội phạm mạng và vi phạm dữ liệu
4
1.5.2
Các yêu cầu cấp phép và tài sản sở hữu trí tuệ (IP)
4
1.5.3
Các biện pháp kiểm soát nhập khẩu/xuất khẩu
4
1.5.4
Luồng dữ liệu xuyên biên giới
4
1.5.5
Quyền riêng tư
4
1.6
Hiểu được các yêu cầu đối với các kiểu điều tra (ví dụ, quản
19
lý hành chính, hình sự, dân sự, quy định, tiêu chuẩn ngành)
1.7
Phát triển, lập thành văn bản và triển khai chính sách, các
1
tiêu chuẩn, thủ tục và hướng dẫn bảo mật
1.8
Xác định, phân tích, và ưu tiên các yêu c ầu Liên tục Kinh
3
doanh (BC)
1.8.1
Phân tích Tác động Kinh doanh (BIA)
3
1.8.2
Phát triển và lập thành văn bản về phạm vi và kế hoạch
3
1.9
Đóng góp và thực thi các chính sách và th ủ tục bảo mật nhân
2
sự
1.9.1
Sàng lọc ứng viên và tuyển dụng
2
1.9.2
Các thỏa thuận và chính sách lao động
2
1.9.3
Các quy trình đón nhân viên mới, chuyển giao và kết thúc
2
1.9.4
Các thỏa thuận và kiểm soát nhà cung c ấp, tư vấn, nhà thầu
2
60 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
1.9.5
Các yêu cầu tuân thủ chính sách
2
1.9.6
Các yêu cầu về chính sách quyền riêng tư
2
1.10
Hiểu và áp dụng các khái niệm bảo mật
2
1.10.1
Xác định các mối đe dọa và lỗ hổng
2
1.10.2
Đánh giá/phân tích rủi ro
2
1.10.3
Ứng phó rủi ro
2
1.10.4
Lựa chọn và triển khai biện pháp ứng phó
2
1.10.5
Các kiểu biện pháp kiểm soát phù hợp (ví dụ, ngăn chặn,
2
phát hiện, khắc phục)
1.10.6
Đánh giá biện pháp kiểm soát (bảo mật và quyền riêng tư)
2
1.10.7
Giám sát và đo lường
2
1.10.8
Báo cáo
2
1.10.9
Tiên tục cải tiến (ví dụ, mô hình hóa độ trưởng thành rủi ro)
2
1.10.10
Các khuôn khổ rủi ro
2
1.11
Hiểu và áp dụng các khái niệm và phương pháp mô hình hóa
1
mối đe dọa
1.12
Áp dụng các khái niệm Quản lý Rủi ro Chuỗi Cung ứng (SCRM)
1
1.12.1
Những rủi ro tương ứng với phần cứng, phần mềm và dịch vụ
1
1.12.2
Đánh giá và giám sát bên-thứ-ba
1
1.12.3
Các yêu cầu bảo mật tối thiểu
1
1.12.4
Các yêu cầu mức dịch vụ
1
1.13
Thiết lập và duy trì một chương trình nhận thức, giáo dục và
2
đào tạo về bảo mật
1.13.1
Các phương pháp và kỹ thuật để trình bày nh ận thức và đào
2
tạo (ví dụ, kỹ thuật xã hội, phishing, ngư ời ủng hộ bảo mật,
trò chơi hóa)
1.13.2
Xem xét nội dung định kỳ
2
1.13.3
Đánh giá tính hiệu quả của chương trình
2
Lĩnh vực 2 Bảo mật Tài sản
2.1
Xác định và phân loại thông tin và tài sản
5
61 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
2.1.1
Phân loại dữ liệu
5
2.1.2
Phân loại tài sản
5
2.2
Xác lập các yêu cầu xử lý thông tin và tài sản
5
2.3
Cung cấp tài nguyên một cách bảo mật
16
2.3.1
Quyền sở hữu thông tin và tài s ản
16
2.3.2
Kiểm kê tài sản (ví dụ, hữu hình, vô hình)
16
2.3.3
Quản lý tài sản
16
2.4
Quản lý vòng đời dữ liệu
5
2.4.1
Vai trò dữ liệu (ví dụ, chủ sở hữu, người kiểm soát, người
5
bảo quản, người xử lý, người dùng/chủ thể)
2.4.2
Thu thập dữ liệu
5
2.4.3
Định vị trí dữ liệu
5
2.4.4
Bảo trì dữ liệu
5
2.4.5
Lưu giữ dữ liệu
5
2.4.6
Cảm ứng từ dư dữ liệu
5
2.4.7
Phá hủy dữ liệu
5
2.5
Đảm bảo lưu giữ tài sản thích hợp (ví dụ, Kết-thúc-Vòng-đời
5
(EOL), Kết-thúc-Hỗ-trợ (EOS))
2.6
Xác định các biện pháp kiểm soát dữ liệu và các yêu cầu tuân
5
thủ
2.6.1
Trạng thái dữ liệu (ví dụ, đang sử dụng, đang truyền tải,
5
đang lưu trữ)
2.6.2
Định phạm vi và điều chỉnh
5
2.6.3
Lựa chọn các tiêu chuẩn
5
2.6.4
Các phương pháp bảo vệ dữ liệu (ví dụ, Quản lý Quyền Kỹ
5
thuật số (Digital Rights Management – DRM), Ngăn ngừa Mất
Dữ liệu (Data Lost Prevention – DLP), Trung gian Bảo mật
Truy cập Đám mây (Cloud Access Security Broker – CASB))
Lĩnh vực 3: Công nghệ và Kiến trúc Bảo mật
62 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
3.1
Nghiên cứu, triển khai và quản lý các quy trình công nghệ
1,
bằng cách sử dụng các nguyên tắc thiết kế bảo mật
16
3.1.1
Mô hình hóa mối đe dọa
1
3.1.2
Đặc quyền Ít nhất
16
3.1.3
Phòng thủ Chiều sâu
1
3.1.4
Bảo mật mặc định
8
3.1.5
Thất bại một cách bảo mật
8
3.1.6
Phân tách nhiệm vụ (Seperation of Duties – SoD)
16
3.1.7
Giữ cho nó đơn giản
8
3.1.9
Zero Trust
8
3.1.9
Quyền riêng tư theo thiết kế
8
3.1.10
Tin tưởng nhưng phải xác minh
8
3.1.11
Trách nhiệm được chia sẻ
9
3.2
Hiểu được những khái niệm nền tảng về các mô hình bảo mật
8
8,
91
(ví dụ, Biba, Star Model, Bell-LaPadula)
3.3
Lựa chọn các biện pháp kiểm soát dựa trên các yêu c ầu bảo
8
mật hệ thống
3.4
Hiểu được năng lực bảo mật của Hệ thống Thông tin (ví dụ
8
bảo vệ bộ nhớ, Mô-đun Nền tảng Đáng tin cậy (Trusted
Platform Module – TPM), mã hóa/giải mã)
3.5
Đánh giá và giảm thiểu các lỗ hổng của kiến trúc, thiết kế
7, 9, 16,
và các thành phần giải pháp bảo mật
20
3.5.1
Các hệ thống dựa-trên-máy-khách
9
3.5.2
Các hệ thống dựa-trên-máy-chủ
9
3.5.3
Các hệ thống cơ sở dữ liệu
20
3.5.4
Các hệ thống mật mã
7
3.5.5
Các Hệ thống Kiểm soát Công nghiệp (Industrial Control
9
Systems – ICS)
63 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
3.5.6
Các hệ thống dựa-trên-đám-mây (ví dụ, Phần mềm như một
16
Dịch vụ - SaaS, Cơ sở hạ tầng như một Dịch vụ - IaaS, Nền
tảng như một Dịch vụ - PaaS)
3.5.7
Các hệ thống phân tán
9
3.5.8
Internet vạn vật (IoT)
9
3.5.9
Vi dịch vụ
9
3.5.10
Đóng gói (Containerization)
9
3.5.11
Không máy chủ (Serverless)
9
3.5.12
Các hệ thống nhúng
9
3.5.13
các hệ thống Tính toán Hiệu-suất-Cao (High-Performance
9
Computing – HPC)
3.5.14
Các hệ thống điện toán biên
9
3.5.15
Các hệ thống được ảo hóa
9
3.6
Lựa chọn và xác định các giải pháp mật mã
6, 7
3.6.1
Vòng đời mật mã (ví dụ, khóa, lựa chọn thuật toán)
6, 7
3.6.2
Các phương pháp m ật mã (ví dụ, đối xứng, bất đối xứng,
6, 7
đường cong elliptic, lư ợng tử)
3.6.3
Cơ sở hạ tầng Khóa Công khai (PKI)
7
3.6.4
Thực tiễn quản lý khóa
7
3.6.5
Chữ ký và chứng thư kỹ thuật số
7
3.6.6
Không-khước-từ
6, 7
3.6.7
Tính toàn vẹn (ví dụ, băm)
6, 7
3.7
Hiểu được các phương pháp tấn công phân tích mật mã
7, 14, 21
3.7.1
Brute force
7
3.7.2
Chỉ văn bản mật mã
7
3.7.3
Văn bản rõ đã biết
7
3.7.4
Phân tích tần suất
7
3.7.5
Văn bản rõ đã chọn
7
3.7.6
Triển khai các cuộc tấn công
7
64 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
3.7.7
Kênh-cạnh-bên (side-channel)
7
3.7.8
Chèn lỗi
7
3.7.9
Thời lượng
7
3.7.10
Người-trung-gian (MITM)
7
3.7.11
Vượt qua băm
14
3.7.12
Khai thác Kerberos
14
3.7.13
Ransomware
21
3.8
Áp dụng các nguyên tắc bảo mật vào thiết kế địa điểm và cơ
10
sở vật chất
3.9
Thiết kế các biện pháp kiểm soát địa điểm và cơ sở vật chất
10
3.9.1
Tủ cáp/cơ sở phân phối trung gian
10
3.9.2
Phòng máy chủ/trung tâm dữ liệu
10
3.9.3
Cơ sở vật chất lưu trữ phương tiện
10
3.9.4
Lưu trữ bằng chứng
10
3.9.5
Bảo mật các khu vực làm việc và khu vực bị hạn chế
10
3.9.6
Tiện ích và Hệ thống Sưởi, Thông gió và Điều hòa không khí
10
(HVAC)
3.9.7
Các vấn đề về môi trường
10
3.9.8
Phát hiện, ngăn chặn và phòng cháy
10
3.9.10
Nguồn điện (ví dụ, dự trữ, dự phòng)
10
Lĩnh vực 4: Bảo mật Mạng và Truyền thông
4.1
Đánh giá và triển khai các nguyên tắc thiết kế bảo mật trong
11, 12
kiến trúc mạng
4.1.1
Các
mô
hình
Interconnection
Kết
–
nối
OSI)
Hệ
và
thống
Giao
thức
Mở
(Open
Kiểm
soát
System
11
Truyền
tài/Giao thức Internet (TCP/IP)
4.1.2
Kết nối mạng Giao thức Internet (IP) (ví dụ, Giao thức
11, 12
Internet Bảo mật – IPSec, Giao thức Internet (IP) v4/6)
4.1.3
Các giao thức bảo mật
11
4.1.4
Ảnh hưởng của các giao thức đa lớp
11
65 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
4.1.5
Các giao thức hội tụ (ví dụ, Kênh Quang Qua Ethernet – FcoE,
11
Giao diện Hệ thống Máy tính Nhỏ Internet – Internet Small
Computer Systems Interface – iSCSI, Thoại qua Giao thức
Internet – VoIP)
4.1.6
Vi-phân-đoạn (micro-segmentation) (ví dụ, Mạng được Phần
11
mềm Định nghĩa – Software Defined Networks/SDN, Mạng Khu
vực Cục bộ Ảo có Khả năng mở rộng – Virtual eXtensible
Local Area Network/VXLAN, Đóng gói, Mạng Diện Rộng được
Phần
mềm
Định
nghĩa
–
Software-Defined
Wide
Area
Network/SD-WAN)
4.1.7
Mạng không dây (ví dụ, LiFi, Wi-Fi, Zigbee, vệ tinh)
11
4.1.8
Mạng di động (ví dụ, 4G, 5G)
11
4.1.9
Mạng Phân phối Nội dung (Content Distribution Networks –
11
CDN)
4.2
Bảo mật các thành phần của mạng
11
4.2.1
Hoạt động của phần cứng (ví dụ, nguồn dự phòng, bảo hành,
11
hỗ trợ)
4.2.2
Truyền tải phương tiện
4.2.3
Các
thiết
bị
Kiểm
soát
11
Truy
cập
Mạng
(Network
Access
11
Control – NAC)
4.2.4
Bảo mật điểm đầu cuối
11
4.3
Triển khai các kênh giao tiếp bảo mật theo thiết kế
12
4.3.1
Âm thanh
12
4.3.2
Cộng tác đa phương tiện
12
4.3.3
Truy cập từ xa
12
4.3.4
Giao tiếp dữ liệu
12
4.3.5
Mạng được ảo hóa
12
4.3.6
Kết nối bên-thứ-ba
12
Lĩnh vực 5: Quản lý Danh tính và Truy cập (IAM)
5.1
Kiểm soát quyền truy cập vật lý và luận lý vào tài sản
13
5.1.1
Thông tin
13
66 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
5.1.2
Các hệ thống
13
5.1.3
Các thiết bị
13
5.1.4
Cơ sở vật chất
13
5.1.5
Ứng dụng
13
5.2
Quản lý danh tính và xác thực của con người, thiết bị và dịch
13
vụ
5.2.1
Triển khai Quản lý Danh tính (IM)
13
5.2.2
Xác thực một/đa-yếu-tố (MFA)
13
5.2.3
Trách nhiệm giải trình
13
5.2.4
Quản lý phiên
13
5.2.5
Đăng ký, chứng minh và xác lập danh tính
13
5.2.6
Quản
lý
Danh
tính
được
Liên
kết
(Federated
Identity
13
Management – FIM)
5.2.7
Hệ thống quản lý thông tin đăng nhập
13
5.2.8
Đăng nhập Một lần (Single Sing On – SSO)
13
5.2.9
Đúng Thời hạn (Just-In-Time – JIT)
13
5.3
Danh tính được liên kết với một dịch vụ bên-thứ-ba
13
5.3.1
Tại chỗ
13
5.3.2
Trên đám mây
13
5.3.3
Lai
13
5.4
Triển khai và quản lý các cơ chế cấp phép
14
5.4.1
Kiểm soát Dựa trên Vai trò (Role Based Access Control -
14
RBAC)
5.4.2
Kiểm soát dựa trên quy tắc (rule-based access control)
14
5.4.3
Kiểm soát Truy cập Bắt buộc (Mandatory Access Control -
14
MAC)
5.4.4
Kiểm soát Truy cập Tùy ý (Discretionary Access Control –
14
DAC)
5.4.5
Kiểm soát Truy cập Dựa trên Thuộc tính (Attribute Based
14
Access Control – ABAC)
67 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
5.4.6
Kiểm soát truy cập dựa trên rủi ro
14
5.5
Quản lý danh tính và vòng đời cung cấp quyền truy cập
13, 14
5.5.1
Xem xét tài khoản truy cập (ví dụ, người dùng, hệ thống,
13
dịch vụ)
5.5.2
Cấp quyền và hủy cấp quyền (ví dụ, chào đón người mới/kết
13
thúc và chuyển công tác)
5.5.3
Định nghĩa vai trò (ví dụ, nhân sự được chỉ định cho vai trò
13
mới)
5.5.4
Leo thang đặc quyền (ví dụ, các tài khoản dịch vụ được quản
14
lý, sử dụng sudo, tối thiểu việc sử dụng của nó)
5.6
Triển khai hệ thống xác thực
14
5.6.1
Kết nối OpenID (OIDC)/Xác thực Mở (Open Authorization –
14
Oauth)
5.6.2
Ngôn ngữ Đánh dấu Chứng nhận Bảo mật (Security Assertion
14
Markup Language – SAML)
5.6.3
Kerberos
5.6.4
Dịch
vụ
14
Người
Authentication
dùng
Dial-In
Quay-số
User
Xác
Service
thực
–
Từ
xa
(Remote
RADIUS)/Hệ
14
thống
Kiểm soát Truy cập Bộ Kiểm soát Truy cập Thiết bị đầu cuối
+ (Terminal Access Controller Access Control System Plus –
TACACS+)
Lĩnh vực 6: Đánh giá và Kiểm tra Bảo mật
6.1
Thiết kế và xác minh các chiến lược đánh giá, kiểm nghiệm
15
và kiểm toán
6.1.1
Nội bộ
15
6.1.2
Bên ngoài
15
6.1.3
Bên-thứ-ba
15
6.2
Tiến hành kiểm tra biện pháp kiểm soát bảo mật
15
6.2.1
Đánh giá lỗ hổng
15
6.2.2
Kiểm nghiệm xâm nhập
15
6.2.3
Xem xét nhật ký
15
68 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
6.2.4
Giao dịch nhân tạo
15
6.2.5
Đánh giá và kiểm tra mã phần mềm
15
6.2.6
Kiểm tra các trường hợp sử dụng sai
15
6.2.7
Phân tích phạm vi kiểm tra
15
6.2.8
Kiểm tra giao diện
15
6.2.9
Mô phỏng cuộc tấn công vi phạm
15
6.2.10
Kiểm tra tuân thủ
15
6.3
Thu thập dữ liệu quy trình bảo mật (ví dụ, kỹ thuật và hành
15, 18
chính)
6.3.1
Quản lý tài khoản
15
6.3.2
Xem xét và phê đuyệt của cấp quản lý
15
6.3.3
Các chỉ số rủi ro và hiệu suất then chốt
15
6.3.4
Dữ liệu xác minh quá trình sao lưu
15
6.3.5
Đào tạo và nâng cao nhận thức
15, 18
6.3.6
Khôi phục sau Thảm họa (DR) và Liên tục Kinh doanh (BC)
18, 3
6.4
Phân tích kết quả đầu ra của kiểm nghiệm và tạo ra báo cáo
15
6.4.1
Khắc phục
15
6.4.2
Quản lý ngoại lệ
15
6.4.3
Tiết lộ đạo đức
15
6.5
Tiến hành hoặc tạo điều kiện kiểm toán bảo mật
15
6.5.1
Nội bộ
15
6.5.2
Bên ngoài
15
6.5.3
Bên-thứ-ba
15
Lĩnh vực 7: Vận hành Bảo mật
7.1
Hiểu và tuân thủ các cuộc điều tra
19
7.1.1
Thu thập và xử lý chứng cứ
19
7.1.2
Báo cáo và tài liệu
19
7.1.3
Các kỹ thuật điều tra
19
69 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
7.1.4
Các công cụ, chiến thuật và thủ tục điều tra pháp y kỹ thuật
19
số
7.1.5
Các hiện vật (ví dụ, máy tính, mạng, các thiết bị di động
19
7.2
Tiến hành ghi nhật ký và giám sát các họat động
17, 21
7.2.1
Phát hiện và ngăn chặn xâm nhập
17
7.2.2
Quản lý Sự kiện và Thông tin Bảo mật (SIEM)
17
7.2.3
Liên tục giám sát
17
7.2.4
Giám sát lối ra vào
17
7.2.5
Quản lý nhật ký
17
7.2.6
Thông tin tình báo về môi đe dọa (ví dụ, nguồn của mối đe
17
dọa, săn lùng mối đe dọa)
7.2.7
Phân tích Hành vi Người dùng và Thực thể (User and Entity
21
Behavior Analysis - UEBA)
7.3
Thực hiện Quản lý Cấu hình (CM) (ví dụ, cung cấp, lập đường
16
cơ sở, tự động hóa)
7.4
Áp dụng các khải niệm vận hành bảo mật nền tảng
16
7.4.1
Cần-được-biết/đặc quyền ít nhất
16
7.4.2
Phân tách Nhiệm vụ (SoD) và trách nhiệm
16
7.4.3
Quản lý tài khoản đặc quyền
16
7.4.4
Luân chuyển công việc
16
7.4.5
Các Thỏa thuận Mức Dịch vụ (SLA)
16
7.5
Áp dụng việc bảo vệ nguồn lực
16
7.5.1
Quản lý phương tiện
16
7.5.2
Các kỹ thuật bảo vệ phương tiện
16
7.6
Tiến hành quản lý sự cố
17
7.6.1
Phát hiện
17
7.6.2
Ứng phó
17
7.6.3
Giảm nhẹ
17
7.6.4
Báo cáo
17
70 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
7.6.5
Khôi phục
17
7.6.6
Khắc phục (sửa chữa)
17
7.6.6
Bài học kinh nghiệm
17
7.7
Vận hành và duy trì các biện pháp phát hiện và ngăn chặn
11, 17
7.7.1
Tường lửa
11
7.7.2
Hệ thống Phát hiện Xâm nhập (IDS) và Hệ thống Ngăn ch ặn
17
Xâm nhập (IPS)
7.7.3
Danh sách trắng/danh sách đen
17
7.7.4
Các dịch vụ bảo mật được cung cấp bởi bên-thứ-ba
17
7.7.5
Sandboxing
17
7.7.6
Honeypots/Honeynets
17
7.7.7
Chống-phần-mềm-độc-hại
17
7.7.8
Các công cụ dựa trên máy học và Trí tuệ Nhân tạo (AI)
17
7.8
Triển khai và hỗ trợ việc quản lý vá lỗi và lỗ hổng
16
7.9
Hiểu và tham gia vào các quy trình qu ản lý thay đổi
16
7.10
Triển khai các chiến lược khôi phục
18
7.10.1
Các chiến lược lưu trữ dự phòng
18
7.10.2
Các chiến lược địa điểm khôi phục
18
7.10.3
Các địa điểm đa nhiệm
18
7.10.4
Khả năng phục hồi của hệ thống, Tính sẵn sàng Cao (HA),
18
Chất lượng dịch vụ (QoS) và khả năng chịu lỗi
7.11
Triển khai các quy trình Khôi phục sau Thảm họa (DR)
18
7.11.1
Ứng phó
18
7.11.2
Nhân sự
18
7.11.3
Truyền thông
18
7.11.4
Đánh giá
18
7.11.5
Phục hồi
18
7.11.6
Đào tạo và nâng cao nhận thức
18
7.11.7
Bài học kinh nghiệm
18
71 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
7.12
Kiểm tra các Kế hoạch Khôi phục sau Thảm họa (DRP)
18
7.12.1
Đọc-qua/kiểm nghiệm trên bàn (tabletop)
18
7.12.2
Diễn tập
18
7.12.3
Mô phỏng
18
7.12.4
Song song
18
7.12.5
Gián đoạn hoàn toàn
18
7.13
Tham gia vào hoạch định và kiểm tra Liên tục Kinh doanh
3
(BC)
7.14
Triển khai và quản lý bảo mật vật lý
10
7.14.1
Các biện pháp kiểm soát bảo mật chu vi
10
7.14.2
Các biện pháp kiểm soát bảo mật nội bộ
10
7.15
Giải quyết các mối quan tâm về an toàn và bảo mật nhân sự
16
7.15.1
Di chuyển
16
7.15.2
Đào tạo và nâng cao nhận thức về bảo mật
16
7.15.3
Quản lý tình huống khẩn cấp
16
7.15.4
Ép buộc
16
Lĩnh vực 8: Bảo mật Phát triển Phần mềm
8.1
Hiểu và tích hợp bảo mật vào Vòng Đời Phát triển Phần mềm
20
(SDLC)
8.1.1
Các phương pháp phát triển (ví dụ, Agile, Waterfall, DevOps,
20
DevSecOps)
8.1.2
Các mô hình trưởng thành (ví dụ, Mô hình Trưởng thành Năng
20
lực – CMM), Mô hình Trưởng thành Bảo đảm Phần mềm –
Software Assurance Maturity Model/SAMM)
8.1.3
Vận hành và bảo trì
20
8.1.4
Quản lý thay đổi
20
8.1.5
Nhóm Sản phẩm được Tích hợp (Integrated Product Team –
20
IPM)
8.2
Xác định và áp dụng các biện pháp kiểm soát bảo mật trong
15,
hệ sinh thái phát triển phần mềm
20, 21
72 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
17,
8.2.1
Các ngôn ngữ lập trình
20
8.2.2
Các thư viện
20
8.2.3
Các bộ công cụ
20
8.2.4
Môi
trường
Phát
triển
được
Tích
hợp
(Integrated
20
Development Environment – IDE)
8.2.5
Thời gian chạy (Runtime)
8.2.6
Liên
tục
Tích
hợp
và
20
Liên
tục
Cung
cấp
(Contiuous
20
mật (Security
17
Integration and Continuous Delivery – CI/CD)
8.2.7
Điều
phối,
Tự
động hóa
và
Ứng
phó
Bảo
Orchestration, Automation and Response – SOAR)
8.2.8
Quản lý Cấu hình Phần mềm (SCM)
20
8.2.10
Kiểm nghiệm bảo mật phần mềm (ví dụ, Kiểm nghiệm Bảo
15
mật
Ứng
dụng
Testing/SAST,
Tĩnh
Kiểm
–
Static
nghiệm
Bảo
Application
mật
Ứng
Security
dụng
Động
(Dynamic Application Security Testing/DAST)
8.3
Đánh giá hiệu quả của bảo mật phần mềm
20
8.3.1
Kiểm toán và ghi lại nhật ký những thay đổi
20
8.3.2
Phân tích và giảm nhẹ rủi ro
20
8.4
Đánh giá tác động rủi ro của phần mềm mua lại
16, 20
8.4.1
Thương mại (Commercial-off-the-shelf – COTS)
20
8.4.2
Mã nguồn mở
20
8.4.3
Bên-thứ-ba
20
8.4.4
Các dịch vụ được quản lý (ví dụ, Phần mềm như một Dịch vụ
16
(SaaS), Cơ sở hạ tầng như một Dịch vụ (IaaS), Nền tảng như
một Dịch vụ (PaaS)
8.5
Xác định và áp dụng các hướng dẫn và tiêu chuẩn bảo mật
20, 21
việc lập trình
8.5.1
Các điểm yếu và lỗ hổng bảo mật ở cấp độ mã-nguồn
21
8.5.2
Bảo mật của các Giao diện Lập trình Ứng dụng (Application
20
Programming Interfaces – API)
8.5.3
Thực tiễn bảo mật việc lập trình
20
73 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
8.5.4
Bảo mật được xác-định-bởi-phần-mềm
20
Hỗ trợ Độc giả dành cho Ấn phẩm Này
Cách Liên hệ với Nhà xuất bản
Nếu bạn tin rằng bạn đã tìm thấy một lỗi trong ấn phẩm này, hãy gửi nó đến
cho chúng tôi. Tại John Wiley & Son, chúng tôi hi ểu rằng việc cung cấp nội dung
chính xác cho khách hàng của chúng tôi có tầm quan trọng như thế nào, tuy
nhiên, dù cho chúng tôi đã nỗ lực hết sức nhưng lỗi vấn có thể xảy ra.
Để gửi bản in lỗi mà bạn đã phát hiện ra, vui lòng gửi email cho Nhóm Dịch vụ
Khách hàng của
chúng tôi tại địa
chỉ wileysupport@wiley.com
với chủ đề
“Possible Book Errata Submission”.
74 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
B à i K i ể m t r a Đ á n h g iá
1.
Kiểu kiểm soát truy cập nào dưới đây tìm cách khám phá bằng chứng
về hành vi hoặc hoạt động không mong muốn, trái phép hoặc bị cấm?
A. Ngăn chặn
B. Răn đe
C. Phát hiện
D. Khắc phục.
2.
Hãy xác định và liệt kê chi tiết về các khía cạnh của việc lựa chọn mật
khẩu để phân biệt các lựa chọn mật khẩu tốt với các lựa chọn mật khẩu
tồi.
A. Khó đoán hoặc không thể dự đoán được
B. Đáp ứng yêu cầu về độ dài tối thiểu
C. Đáp ứng các yêu cầu về độ phức tạp cụ thể
D. Tất cả đáp án trên.
3.
Một số kẻ thù sử dụng các cuộc tấn công DoS làm vũ khí chính để gây
hại cho các mục tiêu, trong khi những kẻ khác có thể sử dụng chúng
như vũ khí cuối cùng khi tất cả các nỗ lực khác để xâm nhập vào mục
tiêu đều thất bại. Điều nào dưới đây có nhiều khả năng phát hiện các
cuộc tấn công DoS nhất?
A. IDS Dựa-trên-Máy-vật-chủ
B. IDS Dựa-trên-Mạng
C. Máy quét lỗ hổng
D. Kiểm nghiệm xâm nhập.
4.
Thật không may, những kẻ tấn công có rất nhiều lựa chọn tấn công để
chống lại các mục tiêu. Điều nào dưới đây được coi là một cuộc tấn
công từ-chối-dịch-vụ (DoS)?
A. Giả vờ qua điện thoại như là một nhà quản lý kỹ thuật và yêu cầu
nhân viên lễ tân thay đổi mật khẩu của họ
B. Trong khi đang lướt web, gửi đến một máy chủ web một URL sai
định dạng khiến cho hệ thống tiêu tốn 100% CPU (để xử lý)
C. Chặn lưu lượng mạng bằng cách sao chép các gói tin khi chúng đi
qua một mạng con cụ thể
75 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
D. Gửi các gói tin thông điệp cho một người nhận, người đã không gửi
chúng, chỉ đơn giản là gây phiền nhiễu.
5.
Các thiết bị kết nối mạng phần cứng hoạt động trong ngăn xếp giao
thức giống như chính bản thân các giao thức. Do đó, các thiết bị kết
nối mạng phần cứng có thể được liên kết với một lớp mô hình OSI liên
quan đến các giao thức mà chúng quản lý hoặc kiểm soát. Một bộ định
tuyến hoạt động ở lớp nào của mô hình OSI?
A. Lớp Mạng
B. Lớp 1
C. Lớp Truyền tải
D. Lớp 5.
6.
Kiểu tường lửa nào tự động điều chỉnh các quy tắc bộ lọc của nó dựa
trên nội dung và bối cảnh của lưu lượng của phiên hiện hành?
A. Bộ lọc gói tin tĩnh
B. Cửa ngõ cấp-ứng-dụng
C. Cửa ngõ cấp-mạch (circuit-level)
D. Tường lửa điều tra toàn trạng thái (stateful).
7.
Một VPN có thể là một biện pháp cải thiện bảo mật đáng kể đối với rất
nhiều kết nối truyền thông. Một VPN có thể được thiết lập qua những
liên kết nào dưới đây?
A. Kết nối mạng LAN Không dây
B. Kết nối quay-số truy cập từ xa
C. Liên kết WAN
D. Tất cả đáp án trên.
8.
Kẻ thù sẽ sử dụng bất kỳ và mọi biện pháp để gây thiệt hại cho mục
tiêu của chúng. Điều này bao gồm sự pha trộn các khái niệm tấn công
với nhau để tạo ra một chiến dịch hiệu quả hơn. Kiểu phần mềm độc
hại nào sử dụng kỹ thuật xã hội để lừa nạn nhân cài đặt nó?
A. Vi-rút
B. Sâu
C. Ngựa Trojan
D. Bom logic.
76 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
9.
Bảo mật được thiết lập bằng cách tìm hiểu về những tài sản của một tổ
chức đang cần được bảo vệ và tìm hiểu về các mối đe dọa có thể gây
hại cho những tài sản đó. Sau đó, các biện pháp kiểm soát được lựa
chọn để cung cấp sự bảo vệ cho Bộ ba CIA đối với những tài sản đang
gặp rủi ro. Bộ ba CIA bao gồm những yếu tố nào?
A. Contiguousness, interoperable, arranged (Li ền kề, tương tác lẫn
nhau, được sắp xếp)
B. Authentication, authorization, accountability (Xác th ực, cấp phép,
trách nhiệm giải trình)
C. Capable, available, integral (Năng lực, sẵn sàng, tron vẹn)
D. Availability, confidentiality, integrity (Tính sẵn sàng, bảo mật, toàn
vẹn).
10.
Khái niệm bảo mật của các dịch vụ AAA mô tả các yếu tố cần thiết để
thiết lập trách nhiệm giải trình của chủ thể. Điều nào sau đây không
phải là một thành phần bắt buộc trong việc hỗ trợ cho trách nhiệm giải
trình?
A. Ghi nhật ký
B. Quyền riêng tư
C. Xác minh danh tính
D. Cấp phép.
11.
Cấu kết là khi hai hay nhiều người làm việc cùng nhau để phạm tội hoặc
vi phạm một chính sách của công ty. Điều nào dưới đây không phải là
một biện pháp phòng thủ chống lại sự cấu kết?
A. Phân tách nhiệm vụ
B. Trách nhiệm công việc được giới hạn
C. Các tài khoản người dùng nhóm
D. Luân chuyển công việc.
12.
Một người bảo quản dữ liệu chịu trách nhiệm cho việc bảo vệ những tài
nguyên sau _________ đã gán một nhãn bảo mật cho tài nguyên.
A. Quản lý cấp cao
B. Chủ sở hữu dữ liệu
C. Một kiểm toán viên
D. Nhân viên bảo mật.
77 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
13.
Trong giai đoạn nào của Mô hình Trưởng thành Năng lực Phần mềm
(SW-CMM), các thước đo định lượng được sử dụng để có được các chi
tiết về quy trình phát triển phần mềm?
A. Có thể lặp lại được
B. Đã được xác đjnh
C. Đã được quản lý
D. Tối ưu hóa.
14.
Lớp nào dưới đây là một lớp của ý tưởng thiết kế lược đồ bảo vệ theo
vòng (ring protection) thường không được triển khai?
A. Lớp 0
B. Lớp 1
C. Lớp 3
D. Lớp 4.
15.
TCP hoạt động tại lớp Truyền tải và là một giao thức hướng-kết-nối.
Nó sử dụng một tiến trình đặc biệt để thiết lập một phiên mỗi khi một
giao tiếp được thực hiện. Giai đoạn sau cùng của trình tự bắt tay CTP
ba-chiều là gì?
A. Gói tin được gắn cờ SYN
B. Gói tin được gắn cờ ACK
C. Gói tin được gắn cờ FIN
D. Gói tin được gắn cờ SYN/ACK.
16.
Việc thiếu các thực tiễn mã hóa an toàn đã tạo ra một số lượng không
thể đếm được các lỗ hổng phần mềm mà tin tặc đã phát hiện ra và khai
thác được. Lỗ hổng nào sau đây sẽ được khắc phục tốt nhất bằng cách
kiểm tra tham số đầy đủ
A. Thời-gian-kiểm-tra đến thời-gian-sử-dụng
B. Tràn bộ nhớ đệm
C. Ngập lụt SYN
D. Từ chối dịch vụ được phân tán (DDoS)
17.
Các máy tính đều dựa trên tính toán nhị phân. Mọi chức năng máy tính
đều bắt nguồn từ bộ toán tử Boolean cơ bản. Giá trị của toán tử logic
được trình bày dưới đây là gì?
X: 011010
78 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Y: 001101
_ _ _ _ _ _
X A Y: ?
A. 010111
B. 001000
C. 011111
D. 100101
18.
Điều nào sau đây được coi là phân loại kiểu dữ liệu tiêu chuẩn được sử
dụng trong chính phủ/quân đội hoặc các tổ chức khu vực tư nhân?
(Chọn tất cả các đáp án đúng).
A. Công khai
B. Lành mạnh
C. Riêng tư
D. Nội bộ
E. Nhạy cảm
F. Độc quyền
G. Thiết yếu
H. Được chứng nhận
I. Tối quan trọng
J. Mật
K. Chỉ Dành Riêng Cho Bạn.
19.
Quy định Bảo vệ Dữ liệu Chung (General Data Protection Regulation –
GDPR) đã xác định một số vai trò liên quan đến sự bảo vệ và quản lý
thông tin định danh cá nhân (PII). Những mệnh đề nào dưới đây là
đúng?
A. Một người xử lý dữ liệu là thực thể được chỉ định trách nhiệm cụ
thể đối với một tài sản dữ liệu nhằm đảm bảo việc bảo vệ nó khi sử
dụng bởi tổ chức.
B. Một người bảo quản dữ liệu là một thực thể thực hiện sự vận hành
của dữ liệu.
C. Một người kiểm soát dữ liệu là một thực thể đưa ra quyêt định về
dũ liệu mà họ đang thu thập.
79 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
D. Một chủ sở hữu dữ liệu là một thực thể được chỉ định hoặc ủy thác
chịu trách nhiệm hàng-ngày về việc lưu trữ và truyền tải dữ liệu một
cách thích hợp cũng như cho việc bảo vệ dữ liệu, tài sản và các đối
tượng tổ chức khác.
20.
Nếu Reene nhận được một thông điệp đã được ký kỹ thuật số từ Mike,
cô ấy sẽ sử dụng khóa nào để xác minh rằng thông điệp đã thực sự
được gửi đi từ Mike?
A. Khóa công khai của Reene
B. Khóa riêng tư của Reene
C. Khóa công khai của Mike
D. Khóa riêng tư của Mike.
21.
Một quản trị viên hệ thống đang thiết lập một hệ thống quản lý dữ liệu
mới. Nó sẽ thu thập dữ liệu từ nhiều vị trí khác nhau trên toàn mạng,
thậm chí từ các vị trí từ xa bên ngoài. Dữ liệu sẽ được chuyển đến một
cơ sở tập trung, nơi nó sẽ được lưu trữ trên một mảng RAID lớn. Dữ
liệu sẽ được mã hóa trên hệ thống lưu trữ bằng cách sử dụng AES-256
và hầu hết các tập tin cũng sẽ được ký. Vị trí của kho dữ liệu này được
bảo mật để chỉ những người có thẩm quyền mới có thể vào truy nhập
phòng và tất cả các truy cập kỹ thuật số chỉ được giới hạn cho một
nhóm quản trị viên bảo mật. Điều nào sau đây mô tả về dữ liệu?
A. Dữ liệu được mã hóa khi truyền tải
B. Dữ liệu được mã hóa khi đang xử lý
C. Dữ liệu được lưu trữ một cách dự phòng
D. Dữ liệu được mã hóa trong khi đang lưu trữ.
22.
______ là thực thể đã được chỉ định vai trò cụ thể đối với một tài sản
dữ liệu nhằm đảm bảo việc bảo vệ nó khi được sử dụng bởi tổ chức?
A. Chủ sở hữu dữ liệu
B. Người kiểm soát dữ liệu
C. Người xử lý dữ liệu
D. Người bảo quản dữ liệu.
23.
Một kiểm toán viên bảo mật đang tìm kiếm bằng chứng về cách các tài
liệu nhạy cảm được đưa ra khỏi tổ chức và được gửi đến một trang web
phân phối tài liệu công khai. Người ta nghi ngờ rằng một người trong
80 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
cuộc đã lấy cắp dữ liệu thông qua kết nối mạng với một máy chủ bên
ngoài, nhưng đây chỉ là phỏng đoán. Điều nào sau đây sẽ hữu ích trong
việc xác định liệu nghi ngờ này có chính xác không? (Hãy ch ọn hai đáp
án).
A. NAC
B. Các cảnh báo DLP
C. Syslog
D. Phân tích nhật ký
E. Các báo cáo quét phần mềm độc hại
F. Giám sát tính toàn vẹn.
24.
Một Giao thức Ứng dụng Không dây (Wireless Application Protocol WAP) mới đang được cài đặt để bổ sung thêm kết nối không dây vào
mạng của công ty. Chính sách cấu hình chỉ ra rằng WPA3 sẽ được sử
dụng và do đó chỉ các thiết bị điểm đầu cuối mới hơn hoặc đã được cập
nhật mới có thể kết nối. Chính sách cũng tuyên bố rằng xác thực ENT
sẽ không được triển khai. Cơ chế xác thực nào có thể được triển khai
trong tình huống này?
A. IEEE 802.1X
B. IEEE 802.1q
C. Xác thực đồng thời bằng nhau (simultaneous authenticati on equals
– SAE)
D. EAP-FAST.
25.
Khi bảo mật một thiết bị di động, kiểu xác thực nào có thể được sử
dụng tuỳ thuộc vào thuộc tính vật lý của người dùng (Chọn tất cả các
đáp án đúng)?
A. Vân tay
B. TOTP
(mật
khẩu
một-lần
theo-thời-gian
–
time-based
one-time
password)
C. Giọng nói
D. Tin nhắn ngắn (SMS)
E. Võng mạc
F. Dáng đi
G. Cuộc gọi điện thoại
81 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
H. Nhận diện khuôn mặt
I. Thẻ thông minh
J. Mật khẩu.
26.
Một phần thiết bị dã được mua gần đây đang không hoạt động như bình
thường. Tổ chức của bạn không có kỹ thuật viên sửa chữa được đào
tạo về nhân viên, vì vậy bạn phải đưa một chuyên gia bên ngoài vào.
Loại tài khoản nào nên được cấp cho kỹ thuật viên sửa chữa của bênthứ-ba đáng tin cậy?
A. Tài khoản khách (guess)
B. Tài khoản có đặc quyền (privileged)
C. Tài khoản dịch vụ (service)
D. Tài khoản người dùng.
27.
Bảo mật cần được thiết kế và tích hợp vào tổ chức như một phương
tiện để hỗ trợ và duy trì các mục tiêu kinh doanh. Tuy nhiên, cách duy
nhất để nhận biết xem liệu bảo mật đã được triển khai có đủ hay không
chính là kiểm tra nó. Thủ tục nào dưới đây là thủ tục được thiết kế để
kiểm tra và có thể bỏ qua các kiểm soát bảo mật của một hệ thống?
A. Ghi lại nhật ký sử dụng dữ liệu
B. Chiến tranh quay số
C. Kiểm nghiệm xâm nhập
D. Triển khai các máy trạm để bàn được bảo mật.
28.
Bảo mật cần được thiết kế để hỗ trợ cho các mục tiêu kinh doanh nhưng
nó cũng cần được bảo vệ về mặt pháp lý. Để bảo vệ an ninh của một
tổ chức, một nhật ký các sự kiện và hoạt động phải được tạo ra. Kiểm
toán là một yếu tố cần thiết để duy trì và thực thi những gì?
A. Trách nhiệm giải trình
B. Tính bảo mật
C. Tính có thể truy cập được
D. Tính dự phòng.
29.
Đánh giá rủi ro là một quá trình mà theo đó, các tài sản, mối đe dọa,
xác suất, và khả năng xảy ra được tính toán nhằm xác lập mức độ ưu
tiên chủ đạo. Công thức nào được sử dụng để tính toán ALE?
A. ALE = AV * EF * ARO
82 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
B. ALE = ARO * EF
C. ALE = AV * ARO
D. ALE = EF * ARO.
30.
Các Kế hoạch ứng phó sự cố, kế hoạch liên tục kinh doanh và kế hoạch
khôi phục sau thảm họa được lập khi triển khai dự phòng ở cấp-doanhnghiệp. Những kế hoạch này được rút ra từ thông tin thu được khi thực
hiện đánh giá tác động kinh doanh (BIA). Bước đầu tiên của quy trình
BIA là gì?
A. Xác định các ưu tiên
B. Đánh giá khả năng xảy ra
C. Xác định rủi ro
D. Ưu tiên nguồn lực.
31.
Rất nhiều sự kiện có thể đe dọa đến hoạt động, sự tồn tại và ổn định
của một tổ chức. Một số mối đe dọa trong số đó là do con người gây
ra, trong khi những mối đe dọa khác là do các sự kiện tự nhiên. Điều
nào sau đây đại diện cho các sự kiện tự nhiên có thể gây ra mối đe dọa
hoặc rủi ro cho tổ chức?
A. Động đất
B. Lũ lụt
C. Bão táp
D. Tất cả đáp án trên.
32.
Kiểu cơ sở khôi phục nào cho phépp một tổ chức khôi phục lại hoạt
động càng nhanh càng tốt, nếu không muốn nói là ngay tức khắc, sau
khi cơ sở chính bị lỗi?
A. Địa điểm nóng
B. Địa điểm ấm
C. Địa điểm lạnh
D. Tất cả đáp án trên.
33.
Trong một lần xem xét tài khoản, một kiểm toán viên được cung cấp
báo cáo dưới đây:
Người dùng
Thời lượng lần Đăng nhập Sau cùng
Lần Thay đổi Mật khẩu sau cùng
Bob
4 giờ
87 ngày
83 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Sue
3 giờ
38 ngày
John
1 giờ
935 ngày
Kesha
3 giờ
49 ngày
Nhà quản lý bảo mật xem xét các chính sách tài khoản của tổ chức và
ghi nhận các yêu cầu dưới đây:
▪
Mật khẩu phải dài ít nhất 12 ký tự.
▪
Mật khẩu phải chứa ít nhất 1 mẫu bao gồm 3 loại ký tự khác
nhau.
▪
Mật khẩu phải được thay đổi mỗi 180 ngày.
▪
Mật khẩu không được tái sử dụng.
Biện pháp kiểm soát bảo mật nào dưới đây nên được khắc phục để thực
thi chính sách mật khẩu?
A. Độ dài tối thiểu của mật khẩu
B. Khóa (lockout) tài khoản
C. Lịch sử và tuổi tối thiểu của mật khẩu
D. Tuổi tối đa của mật khẩu.
34.
Bất kỳ bằng chứng nào được sử dụng trong quá trình tố tụng tại tòa án
đều phải tuân theo Quy tắc về Bằng chứng (Rules of Evidence) để được
chấp nhận. Loại bằng chứng nào đề cập đến các tài liệu bằng văn bản
được đưa ra tòa để chứng minh một sự việc?
A. Bằng chứng tốt nhất
B. Bằng chứng bằng miệng
C. Bằng chứng tài liệu
D. Bằng chứng xác thực.
35.
John, người quản lý DevOps, lo ngại về kế hoạch của CEO để giảm thiểu
bộ phận của mình và thuê ngoài việc phát triển mã cho một nhóm lập
trình nước ngoài. John có một cuộc họp được lên lịch với ban giám đốc
để khuyến khích họ duy trì việc phát triển mã trong nội bộ do có một
số lo ngại. John nên đưa điều nào sau đây vào bài thuyết trình của
mình? (Chọn tất cả các đáp án đúng).
A. Mã từ bên-thứ-ba sẽ cần được xem xét một cách thủ công về tính
năng và bảo mật.
84 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
B. Nếu bên-thứ-ba ngừng hoạt động, mã hiện hành có thể cần phải
được bỏ đi.
C. Phát triển mã từ bên-thứ-ba luôn đắt tiền hơn.
D. Một thỏa thuận ký quỹ phần mềm nên được xác lập.
36.
Khi TLS được sử dụng để bảo mật các giao tiếp web, tiền tố URL nào
xuất hiện trong thanh địa chỉ của trình duyệt để chỉ ra yếu tố này?
A. SHTTP://
B. TLS://
C. FTPS://
D. HTTPS://.
37.
Bản cập nhật mới đã được phát hành bởi nhà cung cấp sản phẩm phần
mềm quan trọng, là yếu tố thiết yếu của nhiệm vụ kinh doanh trọng
yếu. Giám đốc bộ phận bảo mật (chief security officer - CSO) chỉ ra
rằng phiên bản phần mềm mới cần phải được kiểm tra và đánh giá trong
một phòng thí nghiệm ảo, nơi có các bản mô phỏng được nhân bản của
nhiều hệ thống sản xuất của công ty. Hơn nữa, kết quả đánh giá này
phải được xem xét trước khi đưa ra quyết định về việc có nên cài đặt
bản cập nhật phần mềm hay không và khi nào thì cài đặt bản cập nhật
phần mềm đó. CSO đang chứng minh nguyên tắc bảo mật nào?
A. Hoạch định liên tục kinh doanh (BCP)
B. Chào đón nhân viên mới
C. Quản lý thay đổi
D. Phân tích tĩnh.
38.
Kiểu thiết bị token nào tạo ra những mật khẩu bắt-nguồn-từ-thời-gian
theo một khoảng thời gian cụ thể để có thể được sử dụng chỉ một lần
duy nhất khi cố gắng xác thực?
A. HOTP
B. HMAC
C. SAML
D. TOTP.
39.
Tổ chức của bạn đang chuyển một phần đáng kể việc xử lý dữ liệu của
họ từ giải pháp tại chỗ sang đám mây. Khi đánh giá m ột nhà cung cấp
85 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
dịch vụ đám mây (CSP), điều nào sau đây là mối quan tâm bảo mật
quan trọng nhất?
A. Chính sách lưu giữ dữ liệu
B. Số lượng khách hàng
C. Phần cứng được sử dụng để hỗ trợ các VM
D. Cho dù họ cung cấp MaaS, IDaaS và SaaS.
40.
Hầu hết các lỗ hổng phần mềm đang tồn tại là do bị thiếu những thực
tiễn bảo mật hoặc phòng thủ mã lập trình được sử dụng bởi các nhà
phát triển. Điều gì dưới đây không được xem là một kỹ thuật bảo mật
mã lập trình (Chọn tất cả các đáp án đúng)?
A. Sử dụng hệ thống bất biến
B. Sử dụng các thủ tục lưu trữ
C. Sử dụng ký mã lập trình
D. Sử dụng xác minh phía-máy-chủ
E. Tối ưu hóa kích cỡ tập tin
F. Sử dụng các thư viện phần mềm bên-thứ-ba.
86 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Đáp án cho Bài Kiểm tra Đánh giá
1.
C. Các biện pháp kiểm soát truy cập nhận dạng được sử dụng để khám
phá (và ghi lại) các hoạt động không mong muốn hoặc trái phép. Các
biện pháp kiểm soát truy cập ngăn chặn sẽ chặn khả năng thực hiện
các hoạt động không mong muốn. Các biện pháp kiểm soát truy cập
mang tính răn đe cố gắng thuyết phục thủ phạm không thực hiện hoạt
động không mong muốn. Kiểm soát truy cập khắc phục sẽ khôi phục
hệ thống về chức năng bình thường trong trường hợp có sự cố hoặc
gián đoạn hệ thống.
2.
D. Các lựa chọn mật khẩu mạnh thường khó đoán, không thể dự đoán
trước và có độ dài tối thiểu được chỉ định để đảm bảo rằng các mục
nhập mật khẩu không thể được xác định bằng máy tính. Chúng có thể
được tạo ra một cách ngẫu nhiên và sử dụng tất cả các ký tự chữ cái,
chữ số và dấu chấm câu chúng không bao giờ nên được viết ra hoặc
được chia sẻ, chúng không nên được lưu trữ ở các vị trí có thể truy
cập một cách công khai hoặc có thể đọc được, và chúng không nên
được truyền một cách rõ ràng.
3.
B. IDS dựa-trên-mạng thường có thể phát hiện ra sự khởi đầu của một
cuộc tấn công hoặc những nỗ lực đang diễn ra để thực hiện một cuộc
tấn công (bao gồm cả từ chối dịch vụ hoặc DoS). Tuy nhiên, chúng
không thể cung cấp thông tin về việc liệu một cuộc tấn công có thành
công hay không ho ặc hệ thống, tài khoản người dùng, tập tin hoặc ứng
dụng cụ thể nào bị ảnh hưởng. IDS dựa-trên-máy-vật-chủ gặp một số
khó khăn trong việc phát hiện và theo dõi các cuộc tấn công DoS. Máy
quét các lỗ hổng bảo mật không phát hiện ra các cuộc tấn công DoS,
chúng chỉ kiểm tra các lỗ hổng khả thi. Kiểm tra xâm nhập có thể gây
ra một DoS hoặc kiểm tra các lỗ hổng DoS nhưng nó không phải là một
công cụ phát hiện.
4.
B. Không phải tất cả các trường hợp DoS đều là kết quả của một cuộc
tấn công ác ý. Lỗi trong mã lập trình Hệ điều hành, dịch vụ và ứng
dụng đã dẫn đến các điều kiện DoS. Một số ví dụ về điều này bao gồm
một quá trình không giải phóng quyền kiểm soát CPU hoặc một dịch
vụ tiêu tốn tài nguyên hệ thống một cách không tương xứng với các
87 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
yêu cầu dịch vụ mà nó đang xử lý. Kỹ thuật xã hội (nghĩa là giả danh
người quản lý kỹ thuật) và đánh hơi (nghĩa là chặn lưu lượng mạng)
thường không được coi là các cuộc tấn công DoS. Việc gửi các gói tin
thông điệp đến người nhận đã không yêu cầu chúng chỉ đơn giản là
gây phiền nhiễu có thể là một loại kỹ thuật xã hội và nó chắc chắn là
thư rác, nhưng trừ khi khối lượng tin nhắn lớn, nó không đảm bảo
nhãn dán của cuộc tấn công DoS.
5.
A. Các thiết bị phần cứng mạng, bao gồm cả bộ định tuyến, hoạt động
ở lớp 3, lớp Mạng. Lớp 1, lớp Vật lý, là nơi các bộ khuếch đại và các
hub hoạt động chứ không phải bộ định tuyến. Lớp Truyền tải, lớp 4,
là nơi các tường lửa và proxy cấp-mạch (circuit-level) hoạt động, cũng
không phải bộ định tuyến. Lớp 5, lớp Phiên, không thực sự tồn tại
trong mạng TCP/IP hiện đại và do đó không có phần cứng nào trực
tiếp hoạt động ở lớp này, nhưng các chức năng của nó được thực hiện
bởi TCP trong lớp Truyền tải, lớp 4, khi các phiên được sử dụng.
6.
D. Tường lửa kiểm tra toàn trạng thái (hay còn gọi là tường lửa lọcgói-tin động) cho phép sửa đổi các quy tắc lọc theo-thời-gian-thực
dựa trên nội dung và ngữ cảnh lưu lượng. Các tường lửa khác được
liệt kê dưới dạng tùy chọn - lọc gói tĩnh, mức ứng dụng và mức mạch
- tất cả đều là không trạng thái và do đó không xem xét ng ữ cảnh khi
áp dụng các quy tắc lọc.
7.
D. Một liên kết mạng riêng ảo (VPN) có thể được thiết lập qua bất kỳ
kết nối giao tiếp mạng nào. Đây có thể là kết nối cáp LAN điển hình,
kết nối mạng LAN không dây, kết nối quay số truy cập từ xa, liên kết
WAN, hoặc thậm chí là kết nối Internet được khách hàng sử dụng để
truy cập vào mạng LAN văn phòng.
8.
C. Một ngựa Trojan là một hình thức phần mềm độc hại sử dụng các
chiến thuật kỹ thuật xã hội để lừa nạn nhân cài đặt nó - mánh khóe ở
đây là khiến cho nạn nhân tin rằng thứ duy nhất họ đã tải xuống hoặc
lấy được là tập tin của máy chủ, trong khi thực tế nó có một tải trọng
ẩn độc hại. Vi-rút và bom logic thường không sử dụng kỹ thuật xã hội
như một phần tử trong phương tiện lây nhiễm hệ thống của chúng. Một
sâu đôi khi được thiết kế để tận dụng lợi thế của kỹ thuật xã hội,
88 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
chẳng hạn như khi sâu là một tập tin đính kèm email có thể thực thi
và thông báo lừa nạn nhân mở nó. Tuy nhiên, không phải tất cả các
sâu đều được thiết kế theo cách này - đây là một khái niệm thiết kế
cốt lõi của một Trojan.
9.
D. Các thành phần của Bộ ba CIA là tính bảo mật, tính sẵn sàng và
tính toàn vẹn (Confidentiality, Availability, Integrity). Các tùy chọn
khác không phải là các thuật ngữ xác định Bộ ba CIA, mặc dù chúng
là các khái niệm bảo mật cần được đánh giá khi thiết lập cơ sở hạ tầng
bảo mật.
10.
B. Quyền riêng tư là không cần thiết để cung cấp trách nhiệm giải
trình. Các yếu tố bắt buộc của trách nhiệm giải trình, như được định
nghĩa trong các dịch vụ AAA, bao gồm: nhận dạng (đôi khi được coi là
một yếu tố của xác thực, một bước đầu tiên thầm lặng của dịch vụ AAA
hoặc được đại diện bởi IAAA), xác thực (tức là xác minh nhận dạng),
cấp phép (tức là kiểm soát quyền truy cập), kiểm toán (tức là ghi nhật
ký và giám sát) và tính toán.
11.
C. Tài khoản người dùng nhóm cho phép nhiều người đăng nhập bằng
một tài khoản người dùng duy nhất. Điều này cho phép s ự cấu kết vì
nó ngăn cản trách nhiệm giải trình của cá nhân. Việc phân tách nhiệm
vụ, hạn chế trách nhiệm công việc và luân chuyển công việc giúp thiết
lập trách nhiệm giải trình cá nhân và kiểm soát quyền truy cập (đặc
biệt là các khả năng đặc quyền), từ đó hạn chế hoặc hạn chế sự cấu
kết.
12.
B. Chủ sở hữu dữ liệu trước tiên phải gán nhãn bảo mật cho tài nguyên
trước khi người bảo quản dữ liệu có thể bảo mật tài nguyên đó một
cách thích hợp. Quản lý cấp cao chịu trách nhiệm cuối cùng về sự
thành công hay thất bại của một nỗ lực bảo mật. Một kiểm toán viên
có trách nhiệm xem xét và xác minh rằng chính sách bảo mật đã được
triển khai một cách đúng đắn, các giải pháp bảo mật có được là phù
hợp và các sự kiện người dùng có đang tuân thủ chính sách bảo mật
hay không. Nhân viên bảo mật chịu trách nhiệm cho việc thiết kế, triển
khai và quản lý cơ sở hạ tầng an ninh sau khi đã được quản lý cấp cao
phê duyệt.
89 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
13.
C. Giai đoạn Được quản lý (cấp độ 4) của SW-CMM liên quan đến việc
sử dụng các chỉ số phát triển định lượng. Viện Kỹ thuật Phần mềm
(Software Engineering Institute - SEI) xác định các lĩnh vực quy trình
chính cho cấp độ này là Quản lý Quy trình Định lượng và Quản lý Chất
lượng Phần mềm. Giai đoạn Có thể lặp lại (cấp độ 2) là nơi các quy
trình vòng đời cơ bản được giới thiệu. Giai đoạn Đã được xác định (cấp
độ 3) là nơi các nhà phát tri ển hoạt động theo một tập hợp các quy
trình phát triển chính thức đã được lập thành văn bản. Giai đoạn Tối
ưu hóa (cấp độ 5) là nơi đạt được một quá trình cải tiến liên tục.
14.
B. Lớp 1 và 2 chứa các trình điều khiển thiết bị nhưng thường không
được triển khai trong thực tế, vì chúng thường được thu gọn thành lớp
0. Lớp 0 luôn chứa nhân (kernel) bảo mật. Lớp 3 chứa các ứng dụng
của người dùng. Lớp 4 không tồn tại trong khái niệm thiết kế, nhưng
nó có thể tồn tại trong các triển khai được tùy chỉnh.
15.
B. Gói tin được gắn cờ SYN lần đầu tiên được gửi từ máy khởi tạo đến
máy đích. Máy đích sau đó sẽ trả lời bằng một gói tin được gắn cờ
SYN/ACK. Máy khởi tạo gửi một gói tin được gắn cờ ACK, và kết nối
sau đó được thiết lập. Gói tin được gắn cờ FIN không được sử dụng
trong quá trình bắt tay ba chiều TCP để thiết lập một phiên, nó được
sử dụng trong quá trình chia nhỏ phiên.
16.
B. Kiểm tra chu vi (nghĩa là xác nhận đầu vào đang nằm trong ranh
giới có thể chấp nhận được) được sử dụng để ngăn chặn khả năng xảy
ra các cuộc tấn công tràn bộ nhớ đệm. Các cuộc tấn công thời-giankiểm-tra đến thời-gian-sử-dụng (TOCTTOU) không được giải quyết trực
tiếp bằng kiểm tra chu vi hay lọc đầu vào, thực tiễn phòng thủ mã lập
trình là cần thiết để loại bỏ hoặc giảm thiểu vấn đề này. Các cuộc tấn
công gây ngập lụt SYN là một kiểu tấn công DoS, vốn không được bảo
vệ hoàn toàn chỉ bằng cách cải thiện thực tiễn mã lập trình. Một DDoS
cũng không chỉ được ngăn chặn chỉ bởi việc thực tiễn mã lập trình
được cải thiện, chẳng hạn như kiểm tra chu vi. Đối với bất kỳ kiểu DoS
nào, khả năng xử lý và lọc đầy đủ là biện pháp ứng phó bảo mật hiệu
quả nhất.
90 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
17.
A. Ký hiệu  đại diện cho toán tử XOR và trả về một kết quả đúng khi
chỉ cần một giá trị đầu vào là đúng. Nếu cả hai giá trị (đầu vào) là sai
thì kết quả của toán tử XOR là sai. Tùy ch ọn B là kết quả nếu hai giá
trị đầu vào này đã được kết hợp bằng cách sử dụng toán tử AND (ký
hiệu ˄), trả về một kết quả dúng nếu cả hai giá trị đều đúng. Tùy
chọn C là kết quả nếu hai giá trị đầu vào được kết hợp bằng cách sử
dụng toán tử OR (ký hiệu ˅) trả về một kết quả đúng nếu một trong
hai giá trị đầu vào là đúng. Tùy chọn D là kết quả chỉ nêu giá trị X
chịu sự tác động của toán tử NOR (ký hiệu ~), vốn là đảo ngược giá
trị của một đầu vào.
18.
A, C, E, F, I, J. Có sáu phân loại kiểu dữ liệu tiêu chuẩn được sử dụng
trong chính phủ/quân đội hoặc các tổ chức thuộc khu vực tư nhân
trong danh sách các tùy chọn này: công khai, riêng tư, nhạy cảm, độc
quyền, tối quan trọng và bí mật. Các tùy chọn khác (lành mạnh, nội
bộ, thiết yếu, được chứng nhận và chỉ dành cho bạn) không chính xác
vì chúng không phải là phân loại điển hình hoặc tiêu chuẩn.
19.
C. Mệnh đề đúgn liên quan đến người kiểm soát dữ liệu. Các mệnh đề
không chính xác. Các phiên bản chính xác của các mệnh đề đó như
sau. Chủ sở hữu dữ liệu là thực thể được giao trách nhiệm cụ thể đối
với tài sản dữ liệu để đảm bảo việc bảo vệ nó khi được sử dụng bởi tổ
chức. Người xử lý dữ liệu là thực thể thực hiện các hoạt động trên dữ
liệu. Người quản lý dữ liệu là thực thể được chỉ định hoặc ủy thác
trách nhi ệm hàng-ngày về việc lưu trữ và truyền tải thích hợp cũng
như bảo vệ dữ liệu, tài sản và các đối tượng tổ chức khác.
20.
C. Bất kỳ người nhận nào cũng có thể sử dụng khóa công khai c ủa
Mike để xác minh tính xác thực của chữ ký điện tử. Khóa công khai
của Renee (người nhận) không được sử dụng trong trường hợp này.
Tuy nhiên, nó có thể được sử dụng để tạo ra một phong bì kỹ thuật số
để bảo vệ khóa mã hóa phiên đối xứng được gửi từ Mike đến Renee.
Khóa cá nhân của Renee (người nhận) không được sử dụng trong
trường hợp này. Tuy nhiên, nó có thể được sử dụng nếu Renee trở
thành người gửi để gửi cho Mike một thông điệp được ký điện tử. Khóa
91 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
cá nhân của Mike (người gửi) được sử dụng để mã hóa băm dữ liệu
được gửi đến Renee và đây là thứ tạo ra chữ ký điện tử.
21.
D. Trong trường hợp này, dữ liệu được mã hóa toàn bộ bằng AES-256.
Không có đề cập đến mã hóa trong quá trình truyền tải hoặc xử lý. Dữ
liệu không được lưu trữ một cách dự phòng vì nó đang được di chuyển,
không phải đang được sao chép, vào kho dữ liệu trung tâm và không
đề cập đến bản một sao lưu.
22.
A. Chủ sở hữu dữ liệu là (các) cá nhân (hoặc thực thể) được chỉ định
trách nhiệm cụ thể đối với tài sản dữ liệu để đảm bảo sự bảo vệ của
tài sản dữ liệu đó khi được sử dụng bởi tổ chức. Người kiểm soát dữ
liệu là thực thể đưa ra quyết định về dữ liệu mà họ đang thu thập.
Người xử lý dữ liệu là thực thể thực hiện các hoạt động trên dữ liệu
thay mặt cho người kiểm soát dữ liệu. Người bảo quản hoặc người
quản lý dữ liệu là một thực thể đã được chỉ định hoặc giao trách nhiệm
hàng-ngày về việc lưu trữ và truyền tải thích hợp cũng như bảo vệ dữ
liệu, tài sản và các đối tượng tổ chức khác.
23.
B, D. Trong trường hợp này, các cảnh bảo ngăn ngừa mất mát dữ liệu
(DLP) và phân tích nhật ký là các tùy chọn duy nhất có khả năng bao
gồm những thông tin hữu ích liên quan đến việc kẻ gian lấy cắp các
tài liệu nhạy cảm. Các tùy chọn khác không chính xác vì chúng không
cung cấp những thông tin liên quan. Kiểm soát truy cập mạng (NAC)
là một cơ chế bảo mật để ngăn chặn các thiết bị giả mạo và đảm bảo
các hệ thống đã được cấp phép đáp ứng được các yêu cầu cấu hình
bảo mật tối thiểu. Syslog là một dịch vụ ghi nhật ký được sử dụng để
duy trì các bản sao theo thời-gian-thực tập trung của các tập tin nhật
ký hoạt đ ộng. Các báo cáo của bộ máy quét phần mềm độc hại không
có liên quan ở đây vì không có mã độc hại hoặc đáng ngờ nào được sử
dụng mà chỉ có hành vi lạm dụng sự truy cập và phân phối các tập tin
một cách trái phép. Giám sát tính toàn vẹn cũng không liên quan đến
tình huống này, vì không có dấu hiệu cho thấy các tài liệu đã bị thay
đổi, chỉ là chúng đã được công bố ra công chúng.
24.
C. WPA3 hỗ trợ ENT (xác thực Wi-FI Doanh nghiệp – Enterprise Wi-Fi
authentication, còn được gọi là IEEE 802.1X) và xác thực SAE. Xác
92 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thực đồng thời bằng nhau (SAE) vẫn sử dụng mật khẩu, nhưng nó
không còn mã hóa và gửi mật khẩu đó qua kết nối để thực hiện xác
thực. Thay vào đó, SAE thực hiện một quy trình chứng minh zeroknowledge được gọi là Dragonfly Key Exchange, vốn bản thân nó là
một dẫn xuất của Diffie–Hellman. IEEE 802.1X định nghĩa kiểm soát
truy cập mạng dựa-trên-cổng để đảm bảo rằng máy khách không thể
giao tiếp với tài nguyên cho đến khi xác thực đúng đắn diễn ra. Nó
dựa trên Giao thức Xác thực Có thể mở rộng (Extensible Authentication
Protocol - EAP) từ Giao thức Điểm-đến-Điểm (Point-to-Point Protocol
- PPP). Tuy nhiên, đây là công nghệ đằng sau nhãn của ENT, do đó,
nó không phải là một lựa chọn trong trường hợp này. IEEE 802.1q xác
định việc sử dụng các thẻ (tag) mạng cục bộ ảo (VLAN) và do đó không
liên quan đến xác thực Wi-Fi. Xác thực linh hoạt qua đường hầm bảo
mật (EAP-FAST) là một giao thức của Cisco được đề xuất để thay thế
Giao thức Xác thực Có thể mở rộng Hạng nhẹ (Lightweight Extensible
Authentication Protocol - LEAP), hiện đã lỗi thời do sự phát triển của
WPA2 và cũng không được hỗ trợ trong WPA3.
25.
A, C, E, H. Sinh trắc học là các yếu tố xác thực dựa trên các thuộc
tính vật lý của người dùng, chúng bao gồm dấu vân tay, giọng nói,
võng mạc và nhận dạng khuôn mặt. Dáng đi là một dạng sinh trắc học
nhưng nó không thích hợp để sử dụng làm yếu tố xác thực trên các
thiết bị di động, nó được sử dụng từ một vị trí tĩnh để giám sát những
người đi bộ về phía hoặc đi qua một điểm an ninh. Các tùy chọn khác
là các yếu tố xác thực hợp lệ, nhưng chúng không phải là sinh trắc
học.
26.
B. Một kỹ thuật viên sửa chữa thường yêu cầu nhiều hơn mức độ truy
cập thông thường để thực hiện các nhiệm vụ của họ, do đó, một tài
khoản đặc quyền cho ngay cả một kỹ thuật viên bên-thứ-ba đáng tin
cậy là phù hợp. Tài khoản khách hoặc tài khoản người dùng (bình
thường, bị giới hạn) là không đủ cho trường hợp này. Tài khoản dịch
vụ sẽ được sử dụng bởi một ứng dụng hoặc dịch vụ nền chứ không
phải bởi kỹ thuật viên sửa chữa hoặc người dùng khác.
93 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
27.
C. Kiểm nghiệm xâm nhập là nỗ lực vượt qua các biện pháp kiểm soát
bảo mật để kiểm tra tính bảo mật tổng thể của hệ thống. Ghi nhật ký
dữ liệu sử dụng là một loại kiểm toán và rất hữu ích trong quy trình
dịch vụ xác thực, cấp phép và giải trình (authentication, authorization,
accounting - AAA) để quy trách nhiệm cho các đối tượng về hành động
của họ. Tuy nhiên, nó không phải là một phương tiện để kiểm tra tính
bảo mật. Chiến tranh quay số là một nỗ lực để xác định vị trí của
modem và máy fax bằng cách quay số điện thoại. Quá trình này đôi
khi vẫn được sử dụng bởi những người kiểm tra xâm nhập và những
đối thủ để tìm kiếm mục tiêu tấn công, nhưng bản thân nó không phải
là một cuộc tấn công thực tế hoặc kiểm tra độ căng thẳng. Việc triển
khai các máy trạm để bàn được bảo mật là một biện pháp ứng phó bảo
mật đối với kết quả của một kiểm nghiệm xâm nhập, không phải là một
phương pháp kiểm nghiệm bảo mật.
28.
A. Kiểm toán là một yếu tố bắt buộc để duy trì và thực thi trách nhiệm
giải trình. Kiểm toán là một trong những yếu tố của khái niệm dịch vụ
AAA về nhận diện, xác thực, cấp phép, kiểm toán và tính toán (hoặc
trách nhiệm giải trình). Tính bảo mật là yếu tố bảo mật cốt lõi của Bộ
ba CIA nhưng nó không phụ thuộc vào kiểm toán. Khả năng tiếp cận
là sự đảm bảo rằng các vị trí và hệ thống có thể được sử dụng bởi
nhiều người/người dùng nhất có thể. Dự phòng là việc triển khai các
giải pháp thay thế, các tùy chọn dự phòng, các biện pháp và phương
pháp khôi phục để tránh các điểm đơn lỗi nhằm đảm bảo thời gian
ngừng hoạt động được giảm thiểu trong khi duy trì được tính sẵn sàng.
29.
A. Tổn thất hàng năm dự kiến (Annualized loss expectancy - ALE) được
tính bằng tích của giá trị tài sản (asset value - AV) nhân với hệ số
phơi nhiễm (exposure factor - EF) nhân với tỷ lệ xuất hiện hàng năm
(annualized rate of occurrence - ARO). Đây là d ạng dài hơn của công
thức ALE = SLE * ARO, vì SLE = AV * EF. Các công th ức khác được
hiển thị ở đây không phản ánh chính xác tính toán này, vì chúng không
phải là các công thức rủi ro hợp lệ hoặc điển hình.
30.
A. Xác định các ưu tiên là bước đầu tiên của quá trình đánh giá tác
động kinh doanh. Đánh giá khả năng xảy ra là bước hoặc giai đoạn thứ
94 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
ba của BIA. Xác định rủi ro là bước thứ hai và ưu tiên nguồn lực là
bước cuối cùng của BIA.
31.
D. Các sự kiện tự nhiên có thể đe dọa tổ chức bao gồm động đất, lũ
lụt, bão, lốc xoáy, cháy rừng và các hoạt động khác của tự nhiên. Do
đó, các phương án A, B và C là đúng vì chúng là do tự nhiên chứ không
phải do con người gây ra.
32.
A. Các địa điểm nóng cung cấp các cơ sở dự phòng được duy trì trong
tình trạng hoạt động liên tục và hoàn toàn có khả năng tiếp quản các
hoạt động kinh doanh. Các địa điểm ấm bao gồm phần cứng và phần
mềm được định cấu hình sẵn để vận hành công việc kinh doanh, cả hai
đều không sở hữu thông tin kinh doanh trọng yếu. Các địa điểm lạnh
chỉ đơn giản là các cơ sở được thiết kế với hệ thống hỗ trợ nguồn điện
và môi trường nhưng không có phần cứng, phần mềm hoặc dịch vụ
được định cấu hình. Dịch vụ khôi phục sau thảm họa có thể hỗ trợ và
triển khai bất kỳ địa điểm nào trong số này dưới danh nghĩa của một
công ty.
33.
D. Vấn đề được tiết lộ bởi báo cáo kiểm toán là rằng một tài khoản có
mật khẩu cũ hơn yêu cầu cho phép, do đó, việc sửa lại thiết lập bảo
mật về độ tuổi tối đa của mật khẩu sẽ giải quyết được vấn đề này. Do
không có thông tin liên quan đến độ dài mật khẩu, khóa hoặc tái sử
dụng lại mật khẩu trong báo cáo kiểm toán nên các tùy chọn này không
đáng quan tâm trong tình huống này.
34.
C. Văn bản được đưa ra tòa để chứng minh sự thật của vụ án được gọi
là chứng cứ tài liệu. Bằng chứng tốt nhất là một dạng bằng chứng tài
liệu, nhưng cụ thể hơn, nó là tài liệu gốc chứ không phải là một bản
sao hoặc mô tả. Bằng chứng miệng dựa trên một quy tắc nêu rõ rằng
khi một thỏa thuận giữa các bên được đưa ra dưới dạng văn bản, văn
bản bằng văn bản được coi là chứa tất cả các điều khoản của thỏa
thuận và không có thỏa thuận miệng nào có thể sửa đổi thỏa thuận
bằng văn bản. Bằng chứng xác thực bao gồm lời khai về kinh nghiệm
của nhân chứng, lời khai bằng lời nói trước tòa hoặc lời khai bằng văn
bản đã được ghi lại.
95 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
35.
A, B. Nếu tổ chức của bạn phụ thuộc vào phần mềm được-phát-triểntùy-chỉnh hoặc các sản phẩm phần mềm được sản xuất thông qua phát
triển mã được thuê ngoài thì rủi ro của thỏa thuận đó cần được đánh
giá và giảm thiểu. Đầu tiên, chất lượng và tính bảo mật của mã cần
phải được đánh giá. Thứ hai, nếu nhóm phát triển của bên-thứ-ba
ngừng hoạt động, bạn có thể tiếp tục hoạt động với mã như hiện tại
không? Bạn có thể cần phải bỏ đi mã hiện có để chuyển sang một nhóm
phát triển mới. Việc phát triển mã của bên-thứ-ba không phải là luôn
đắt tièn hơn, nó thường ít tốn kém hơn. Thỏa thuận ký quỹ phần mềm
(SEA) không phải là vấn đề mà John muốn đưa ra như một lý do để
duy trì sự phát triển trong nội bộ, vì SEA là một phương tiện để giảm
nguy cơ nhóm nhà phát triển bên-thứ-ba ngừng hoạt động.
36.
D. HTTPS:// là tiền tố chính xác để sử dụng HTTP (Giao thức Truyền
Siêu văn bản) qua TLS (Bảo mật Lớp Truyền tải). Đây là tiền tố tương
tự khi SSL (Lớp Cổng Bảo mật) được sử dụng để mã hóa HTTP, nhưng
SSL không còn được sử dụng nữa. SHTTP:// dành cho HTTP bảo mật
(Secure HTTP), vốn là SSH nhưng SHTTP cũng không còn được sử dụng
nữa. TLS:// là một tiền tố không hợp lệ. FTPS:// là một tiền tố hợp lệ
có thể được sử dụng trong một số trình duyệt web và nó sử dụng TLS
để mã hóa kết nối, nhưng nó là để bảo mật việc trao đổi tập tin FTP
hơn là giao tiếp web.
37.
C. CSO trong trường hợp này đang minh chứng cho sự cần thiết phải
tuân theo nguyên tắc bảo mật về quản lý thay đổi. Quản lý thay đổi
thường bao gồm việc hoạch định, kiểm nghiệm, ghi nhật ký, kiểm toán
và giám sát các hoạt động liên quan đến các cơ chế và biện pháp kiểm
soát bảo mật. Kịch bản này không mô tả một sự kiện BCP. Một sự kiện
BCP sẽ liên quan đến việc đánh giá các mối đe dọa đối với các quy
trình nghiệp vụ và sau đó tạo ra các kịch bản ứng phó để giải quyết
những vấn đề đó. Kịch bản này không mô tả việc giới thiệu. Giới thiệu
là quá trình tích hợp một yếu tố mới (chẳng hạn như nhân viên hoặc
thiết bị) vào một hệ thống cơ sở hạ tầng bảo mật hiện có. Mặc dù
tương tự như quản lý thay đổi nhưng việc giới thiệu tập trung nhiều
hơn vào việc đảm bảo tuân thủ các chính sách bảo mật hiện có của
96 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thành viên mới, thay vì kiểm tra các bản cập nhật đối với một thành
viên hiện có. Phân tích tĩnh được sử dụng để đánh giá mã nguồn như
một phần của môi trường phát triển bảo mật. Phân tích tĩnh có thể
được sử dụng như một công cụ đánh giá trong quản lý thay đổi, nhưng
nó là một công cụ chứ không phải là nguyên tắc bảo mật được tham
chiếu trong kịch bản này.
38.
D. Hai loại thiết bị token chính là TOTP và HOTP. Token mật khẩu mộtlần (TOTP) dựa-trên-thời-gian hoặc token mật khẩu động đồng bộ là
các thiết bị hoặc ứng dụng tạo mật khẩu vào các khoảng thời gian cố
định, chẳng hạn như mỗi 60 giây một lần. Do đó, TOTP tạo ra mật
khẩu mới theo-thời-gian trong một khoảng thời gian cụ thể mà chỉ có
thể được sử dụng một lần duy nhất khi cố gắng xác thực. Token mật
khẩu một-lần dựa-trên-HMAC (HOTP) hoặc token mật khẩu động không
đồng bộ là thiết bị hoặc ứng dụng tạo ra mật khẩu không dựa trên
những khoảng thời gian cố định mà dựa trên chức năng một-chiều
không lặp lại, chẳng hạn như giá trị băm hoặc mã xác thực tin nhắn
băm (HMAC - một loại băm sử dụng khóa đối xứng trong quá trình
băm) hoạt động. HMAC là một hàm băm, không phải là một phương
tiện để xác thực. Ngôn ngữ Đánh dấu Chứng nhận Bảo mật (SAML)
được sử dụng để tạo ra các liên kết liên kết xác thực (nghĩa là chia
sẻ) chứ bản thân nó không phải là một phương tiện để xác thực.
39.
A. Mối quan tâm bảo mật quan trọng nhất từ danh sách các tùy chọn
này liên quan đến một CSP (Cloud Service Provider) là chính sách lưu
giữ dữ liệu. Chính sách lưu giữ dữ liệu xác định thông tin hoặc dữ liệu
nào đang được CSP thu thập, dữ liệu sẽ được lưu gi ữ trong bao lâu,
cách thức tiêu hủy, lý do tại sao nó được lưu giữ và ai có thể truy cập
thông tin đó. Số lượng khách hàng và phần cứng nào được sử dụng
không phải là mối quan tâm lớn về bảo mật so với việc lưu giữ dữ liệu.
Việc CSP cung cấp MaaS, IDaaS và SaaS không quan tr ọng bằng việc
lưu giữ dữ liệu, đặc biệt nếu đây không phải là những dịch vụ mà tổ
chức của bạn cần hoặc muốn. Một trong những chìa khóa để trả lời
câu hỏi này là xem xét phạm vi của các tùy chọn CSP, bao gồm phần
mềm như một dịch vụ (SaaS), nền tảng như một dịch vụ (PaaS) và cơ
97 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
sở hạ tầng như một dịch vụ (IaaS) và loại tổ chức về mặt kỹ thuật là
CSP SaaS nhưng chúng tôi không thường nghĩ đến như vậy (ví dụ bao
gồm Facebook, Google và Amazon). Các tổ chức này hoàn toàn có
quyền truy cập vào dữ liệu khách hàng/người dùng và do đó, các chính
sách lưu giữ dữ liệu của họ phải được quan tâm hàng đầu (ít nhất là
so với các tùy chọn khác được cung cấp).
40.
A, B, C, D. Các lập trình viên cần áp dụng những thực tiễn bảo mật
mã phần mềm, vốn bao gồm việc sử dụng các thủ tục lưu trữ, ký mã
phần mềm, và xác minh phía-máy-chủ. Một thủ tục lưu trữ là một
chương trình con hoặc một mô-đun phần mềm có thể được gọi hoặc
truy cập bởi các ứng dụng đang tương tác với hệ thống quản trị cơ sở
dữ liệu quan hệ (relational database management system - RDBMS).
Ký mã là hoạt động tạo ra một chữ ký kỹ thuật số của một chương
trình phần mềm để xác nhận rằng nó đã không bị thay đ ổi và nó là của
ai. Xác thực dữ liệu phía-máy-chủ phù hợp để bảo vệ hệ thống khỏi
đầu vào do người dùng độc hại gửi đến. Sử dụng các hệ thống bất biến
không phải là một kỹ thuật mã hóa bảo mật, thay vào đó, m ột hệ thống
bất biến là một máy chủ hoặc sản phẩm phần mềm, sau khi đã được
thiết lập cấu hình và triển khai, sẽ không bao giờ bị thay đổi tại chỗ.
Tối ưu hóa kích thước tập tin có thể hiệu quả nhưng không nhất thiết
là một kỹ thuật mã hóa bảo mật. Sử dụng thư viện phần mềm của bênthứ-ba có thể giảm khối lượng công việc để giảm thiểu số lượng mã
mới cho tác giả, nhưng thư viện phần mềm của bên-thứ-ba là một rủi
ro vì chúng có thể tạo ra các lỗ hổng, đặc biệt là khi sử dụng thư viện
mã nguồn đóng. Do đó, việc sử dụng thư viện phần mềm của bên-thứba không phải là một kỹ thuật mã hóa bảo mật trừ khi trạng thái bảo
mật của mã nguồn bên ngoài được xác minh, vốn đã không được đề
cập như một tùy chọn trả lời.
98 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C h ư ơn g 1
Q u ả n t r ị B ả o m ậ t T h ôn g q u a c á c Ng u yê n t ắ c
v à C h í n h sá c h
CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM:
✓
Lĩnh vực 1.0: Bảo mật và Quản lý Rủi ro
▪
1.2 Hiểu và áp dụng các khái niệm về bảo mật
▪
1.2.1 Tính bảo mật, tính sẵn sàng, tính toàn vẹn, tính xác
thực và không khước từ
▪
1.3 Đánh giá và áp dụng các nguyên tắc quản trị bảo mật
▪
1.3.1 Liên kết chức năng bảo mật với chiến lược, các mục
đích, sứ mệnh và mục tiêu của doanh nghiệp
▪
1.3.2 Các quy trình tổ chức (ví dụ, mua lại, thoái vốn, hội đồng
quản trị)
▪
▪
1.3.3 Những vai trò và trách nhiệm trong tổ chức
▪
1.3.4 Các khuôn khổ kiểm soát bảo mật
▪
1.3.5 Chăm sóc cẩn trọng/thẩm định
1.7 Phát triển, lập thành văn bản và triển khai chính sách, các tiêu
chuẩn, thủ tục và hướng dẫn bảo mật
▪
1.11 Hiểu và áp dụng các khái niệm và phương pháp mô hình hóa
mối đe dọa
▪
1.12 Áp dụng các khái niệm Quản lý Rủi ro Chuỗi Cung ứng (SCRM)
▪
1.12.1 Những rủi ro tương ứng với phần cứng, phần mềm và
dịch vụ
▪
1.12.2 Đánh giá và giám sát bên-thứ-ba
▪
1.12.3 Các yêu cầu bảo mật tối thiểu
▪
1.12.4 Các yêu cầu mức dịch vụ
✓ Lĩnh vực 3: Công nghệ và Kiến trúc Bảo mật
▪
3.1 Nghiên cứu, triển khai và quản lý các quy trình công nghệ bằng
cách sử dụng các nguyên tắc thiết kế bảo mật
▪
3.1.1 Mô hình hóa mối đe dọa
▪
3.1.2 Phòng thủ Chiều sâu
99 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Lĩnh vực Bảo mật và Quản lý Rủi ro của kỳ thi chứng nhận
CISSP cấu thành từ rất nhiều thành phần cơ bản của các giải pháp bảo mật.
Những thành phần bổ sung của lĩnh vực này sẽ được thảo luận thêm trong các
chương khác: Chương 2, “Bảo mật Nhân sự và các Khái niệm Quản lý Rủi ro”;
Chương 3, “Hoạch định Liên tục Kinh doanh”; Chương 4 “Luật lệ, Quy định và
Tuân thủ”; và Chương 19, “Điều tra và Đạo đức”. Hãy đảm bảo là bạn đã xem
xét hết tất cả các chương để có được một quan điểm toàn diện về các chủ đề
của lĩnh vực này.
Bảo mật 101
Chúng ta thường nghe nói rất nhiều về tầm quan trọng của bảo mật, tuy nhiên,
không phải lúc nào chúng ta cũng có thể hiểu được lý do tại sao. Bảo mật rất
quan trọng bởi vì nó giúp đảm bảo rằng một tổ chức có khả năng tiếp tục tồn
tại và hoạt động bất chấp mọi nỗ lực đánh cắp dữ liệu của tổ chức đó hoặc xâm
phạm các yếu tố vật lý hoặc logic của tổ chức đó. Bảo mật nên được xem như
một yếu tố của quản lý doanh nghiệp hơn là một mối quan tâm về CNTT. Trên
thực tế, CNTT và bảo mật là khác nhau. Công nghệ thông tin (Information
technology - IT) hay thậm chí là hệ thống thông tin (HTTT) (Information system
- IS) là phần cứng và phần mềm để hỗ trợ cho các hoạt động hoặc chức năng
của một doanh nghiệp. Bảo mật là công cụ quản lý doanh nghiệp để đảm bảo
hoạt động của CNTT/HTTT là đáng tin cậy và được bảo vệ. Bảo mật tồn tại để
hỗ trợ cho các mục đích, sứ mệnh và mục tiêu của tổ chức.
Nói chung, một khuôn khổ bảo mật nên được thông qua để cung cấp một điểm
khởi đầu cho cách thức triển khai bảo mật. Khi quá trình khởi đầu bảo mật đã
hoàn tất thì việc tinh chỉnh bảo mật đó sẽ được thực hiện thông qua đánh giá.
Có ba loại đánh giá bảo mật phổ biến: đánh giá rủi ro, đánh giá lỗ hổng và kiểm
nghiệm xâm nhập (chúng sẽ được đề cập chi tiết trong Chương 2 và Chương 15,
100 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
“Đánh giá và Kiểm nghiệm Bảo mật”). Đánh giá rủi ro là một quá trình xác định
tài sản, các mối đe dọa và lỗ hổng bảo mật, sau đó sử dụng những thông tin đó
để tính toán rủi ro. Một khi rủi ro đã được hiểu rõ, nó được sử dụng để định
hướng cho việc cải thiện cơ sở hạ tầng bảo mật hiện có. Đánh giá lỗ hổng bảo
mật sử dụng các công cụ tự động để xác định các điểm yếu bảo mật đã biết, có
thể được giải quyết bằng cách bổ sung thêm các biện pháp phòng thủ hoặc điều
chỉnh các biện pháp bảo vệ hiện có. Kiểm tra xâm nhập sử dụng các cá nhân
đáng tin cậy để kiểm-tra-sức-chịu-đựng của cơ sở hạ tầng bảo mật nhằm tìm ra
các vấn đề có thể đã không được phát hiện bằng hai phương tiện trước đó, với
mục tiêu là tìm ra những mối quan tâm đó trước khi kẻ thù lợi dụng chúng.
Bảo mật cũng nên hiệu-quả-về-chi-phí. Các tổ chức không bao giờ có nguồn ngân
sách vô hạn, và do đó, bắt buộc phải phân bổ nguồn vốn của họ một cách thích
hợp. Ngoài ra, ngân sách của một tổ chức bao gồm một tỷ lệ phần trăm số tiền
nhất định dành riêng cho bảo mật, giống như hầu hết các tác vụ và quy trình
nghiệp vụ khác đòi hỏi nguồn vốn, chưa kể đến các khoản thanh toán cho nhân
sự, bảo hiểm, hưu trí, v.v… Bạn nên lựa chọn các biện pháp kiểm soát mang lại
sự bảo vệ lớn nhất với chi phí nguồn lực thấp nhất.
Về mặt pháp lý, bảo mật phải được bảo vệ. Luật pháp của khu vực tài phán của
bạn là nền tảng bảo mật của tổ chức. Khi ai đó xâm nhập vào môi trường của
bạn và vi phạm bảo mật, đặc biệt là khi các hoạt động đó là phi pháp thì việc
truy tố trước tòa có thể là biện pháp ứng phó duy nhất có sẵn để đòi bồi thường
hoặc kết thúc [sự vi phạm]. Ngoài ra, nhiều quyết định đã được đưa ra bởi một
tổ chức sẽ có các vấn đề về trách nhiệm pháp lý. Nếu được yêu cầu bảo vệ một
hành động bảo mật trong phòng xử án, lực lượng an ninh được hỗ trợ hợp pháp
sẽ đi một chặng đường dài để bảo vệ tổ chức của bạn không phải đối mặt với
các khoản tiền phạt lớn, hình phạt hoặc cáo buộc do sơ suất.
Bảo mật là một hành trình chứ không phải là một vạch đích. Đây là một quá trình
sẽ không bao giờ được kết thúc. Không thể bảo mật hoàn toàn một thứ gì đó,
bởi vì các vấn đề bảo mật sẽ luôn thay đổi. Công nghệ đã được triển khai của
chúng ta đang thay đổi theo thời gian, vì người dùng và đối thủ phát hiện ra lỗ
hổng và phát triển các biện pháp khai thác. Cơ chế phòng thủ đầy đủ vào hôm
qua có thể sẽ không đủ vào ngày mai. Khi các lỗ hổng bảo mật mới được phát
101 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
hiện, khi các phương tiện tấn công mới được tạo ra và các phương thức khai
thác mới được xây dựng, chúng ta phải ứng phó bằng cách đánh giá lại cơ sở hạ
tầng bảo mật của mình và phản úng một cách thích hợp.
Hiểu và Áp dụng các Khái niệm Bảo mật
Các khái niệm và nguyên tắc quản lý bảo mật là những thành phần cố hữu trong
một chính sách và triển khai giải pháp bảo mật. Chúng xác định các tham số cơ
sở cần thiết cho một môi trường bảo mật. Chúng cũng xác lập nên những mục
đích và mục tiêu mà cả những nhà thiết kế chính sách và triển khai hệ thống
phải đạt được để tạo ra một giải pháp bảo mật.
Tính bảo mật, tính toàn vẹn và tính sẵn sàng (CIA) (nghĩa là Bộ ba CIA) thường
được coi là những mục đích và mục tiêu chủ yếu của một cơ sở hạ tầng bảo mật
(xem Hình 1.1)
HÌNH 1.1
Bộ ba CIA
Tính bảo mật
Tính toàn vẹn
Tính sẵn sàng
Các biện pháp bảo mật thường được đánh giá theo cách mà chúng giải quyết
những nguyên lý bảo mật thông tin cốt lõi này. Những lỗ hổng và rủi ro cũng
được đánh giá dựa trên các mối đe dọa mà chúng gây ra đối với một hay nhiều
nguyên tắc thuộc Bộ ba CIA.
102 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tính Bảo mật
Nguyên tắc đầu tiên của Bộ ba CIA là tính bảo mật. Tính bảo mật (Confidentiality)
là khải niệm về các biện pháp được sử dụng để đảm bảo sự bảo vệ tính bí mật
của dữ liệu, của các đối tượng, hoặc nguồn tài nguyên. Mục đích của việc bảo
vệ tính bảo mật là để ngăn chặn hoặc giảm thiểu sự truy cập trái phép đến dữ
liệu. Sự bảo vệ tính bảo mật ngăn chặn việc tiết lộ [dữ liệu] trong khi vẫn bảo
vệ được quyền truy cập hợp pháp.
Các hành vi vi phạm tính bảo mật không chỉ bị giới hạn ở các cuộc tấn công có
chủ đích được định hướng. Rất nhiều trường hợp tiết lộ trái phép những thông
tin nhạy cảm hoặc thông tin bí mật do lỗi của con người, sự thiếu cẩn trọng hoặc
không đủ khả năng. Vi phạm bảo mật có thể do hành động của một người dùng
đầu cuối hoặc một quản trị viên hệ thống. Chúng cũng có thể xảy ra do sự sơ
sót trong chính sách bảo mật hoặc biện pháp kiểm soát bảo mật được định cấu
hình sai.
Rất nhiều biện pháp ứng phó có thể giúp đảm bảo tính bảo mật trước các mối
đe dọa có khả năng xảy ra. Chúng bao gồm mã hóa, đệm lưu lượng mạng, kiểm
soát truy cập nghiêm ngặt, các thủ tục xác thực nghiêm ngặt, phân loại dữ liệu
và đào tạo nhân sự rộng rãi.
Các khái niệm, điều kiện và khía cạnh của bảo mật bao gồm những điều sau:
Độ nhạy cảm
Độ nhạy cảm (Sensitivity) đề cập đến chất lượng
của thông tin, vốn có thể gây tổn thất hoặc thiệt
hại nếu bị tiết lộ.
Sự thận trọng
Sự thận trọng (Discretion) là một hành động
quyết định trong đó một người vận hành có thể
ảnh hưởng hoặc kiểm soát việc tiết lộ để giảm
thiểu tổn thất hoặc thiệt hại.
Tầm quan trọng
Mức độ mà theo đó thông tin có tầm quan trọng
đối với sứ mệnh là thước đo tầm quan trọng
(Criticality) của nó. Mức độ quan trọng càng cao
103 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thì nhu cầu duy trì tính bảo mật của thông tin
càng cao.
Ẩn giấu
Ẩn giấu (Concealment) là hành động ẩn đi hoặc
ngăn chặn việc tiết lộ. Thường thì sự ẩn giấu được
xem là một phương tiện che đậy, gây rối mắt hoặc
đánh lạc hướng. Một khái niệm có liên quan đến
sự ẩn giấu là bảo mật thông qua sự mờ mịt
(security through obscurity), vốn là khái niệm về
việc cố gắng đạt được sự bảo vệ thông qua việc
ẩn giấu, im lặng hoặc giữ bí mật.
Giữ bí mật
Giữ bí mật (Secrecy) là hành động giữ bí mật cho
điều gì đó hoặc ngăn chặn việc tiết lộ thông tin.
Quyền riêng tư
Quyền riêng tư (Privacy) đề cập đến việc giữ bí
mật thông tin có thể nhận dạng cá nhân hoặc có
thể gây ra tổn hại, xấu hổ hoặc hổ thẹn cho ai đó
nếu bị tiết lộ.
Sự tách biệt
Sự tách biệt (Seclusion) liên quan đến việc lưu
trữ thứ gì đó trong một khu vực hẻo lánh (out-ofthe-way), có thể với các biện pháp kiểm soát
quyền truy cập nghiêm ngặt.
Sự cô lập
Cô lập (Isolation) là hành động giữ cho thứ gì đó
tách biệt với những thứ khác.
Các tổ chức nên đánh giá những sắc thái của tính bảo mật mà họ muốn thực thi.
Các công cụ và công nghệ triển khai một hình thái của tính bảo mật có thể không
hỗ trợ hoặc chấp thuận những hình thái khác.
Tính Toàn vẹn
Tính toàn vẹn (Integrity) là khái niệm về việc bảo vệ mức độ tin cậy và chính
xác của dữ liệu. Bảo vệ tính toàn vẹn ngăn chặn việc sửa đổi dữ liệu trái phép.
Biện pháp bảo vệ tính toàn vẹn được triển khai một cách đúng đắn sẽ cung cấp
104 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
một phương tiện để thay đổi hợp pháp trong khi vẫn giữ được sự bảo vệ chống
lại các hoạt động trái phép độc hại (chẳng hạn như vi-rút và xâm nhập) cũng
như các lỗi do người dùng hợp pháp gây ra (chẳng hạn như tai nạn hoặc sơ sót).
Tính toàn vẹn có thể được kiểm tra từ 3 khía cạnh:
▪
Ngăn chặn việc các chủ thể trái phép thực hiện các sửa đổi
▪
Ngăn chặn việc các chủ thể hợp pháp thực hiện các sửa đổi trái phép,
chẳng hạn như lỗi
▪
Duy trì tính nhất quán cả nội bộ lẫn bên ngoài của đối tượng để từ đó, dữ
liệu của họ là chính xác và phản ảnh đúng thế giới thực tế và bất kỳ mối
quan hệ nào với bất kỳ đối tượng nào là hợp lệ, nhất quán và có thể xác
minh được.
Để duy trì được tính toàn vẹn trên một hệ thống, các biện pháp kiểm soát phải
được đặt ra để hạn chế quyền truy cập đến dữ liệu, đến các đối tượng và các
nguồn tài nguyên. Việc duy trì và xác minh tính toàn v ẹn của đối tượng trong
quá trình lưu trữ, truyền tải và xử lý đòi hỏi một loạt các mức độ kiểm soát và
giám sát khác nhau.
Hàng loạt các cuộc tấn công tập trung vào việc vi phạm tính toàn vẹn. Chúng
bao gồm vi-rút, bom logic, truy cập trái phép, các lỗi trong lập trình và ứng
dụng, sửa đổi ác ý, thay thế có chủ đích, và các cổng hậu trên hệ thống.
Lỗi con người, sơ sót, hoặc thiếu khả năng là nguyên nhân gây ra nhiều trường
hợp thay đổi trái phép những thông tin nhạy cảm. Chúng cũng có thể xảy ra do
một sơ sót trong chính sách bảo mật hoặc một biện pháp kiểm soát bảo mật bị
định cấu hình sai.
Rất nhiều những biện pháp ứng phó có thể đảm bảo tính toàn vẹn chnng lại các
mối đe dọa tiềm ẩn. Chúng bao gồm kiểm soát truy cập chặt chẽ, các thủ tục
xác thực nghiêm ngặt, các hệ thống phát hiện xâm nhập, mã hóa đối tượng/dữ
liệu, xác minh bằng băm (xem Chương 6, “Mật mã và các Thuật toán Khóa Đối
xứng”, và Chương 7, “PKI và các Ứng dụng Mật mã”), giới hạn các tương tác,
kiểm tra đầu vào/chức năng, và đào tạo nhân viên trên diện rộng.
105 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tính bảo mật và tính toàn vẹn phụ thuộc lẫn nhau. Nếu không có tính toàn vẹn
của đối tượng (nói cách khác, không có khả năng sửa đổi đối tượng mà không
được phép), tính bảo mật không thể được duy trì.
Tính toàn vẹn phụ thuộc vào tính bảo mật và kiểm soát truy cập. Các khái niệm,
điều kiện và khía cạnh của tính toàn vẹn bao gồm những điều dưới đây:
▪
Tính chính xác (Accuracy): Đúng và chính xác
▪
Tính trung thực (Trustfulness): Phản ảnh chính xác thực tế
▪
Tính hợp lệ (Validity): Thực tế hoặc hợp logic
▪
Trách nhiệm giải trình (Accountability) : Chịu trách nhiệm hoặc có nghĩa
vụ pháp lý cho cả những hành động lẫn kết quả
▪
Tính trách nhiệm (Responsibility): Chịu trách nhiệm hoặc kiểm soát một
điều gì đó hoặc một ai đó
▪
Tính hoàn chỉnh (Completeness): Có tất cả những thành phần hoặc bộ
phận cần thiết
▪
Tính toàn diện (Comprehensiveness): Hoàn chỉnh trong phạm vi, bao gồm
toàn bộ các phần tử cần thiết.
Tính Sẵn sàng
Tính sẵn sàng (Availability) có nghĩa rằng các chủ thể hợp pháp được cấp quyền
truy cập một cách kịp thời và không bị gián đoạn tới các đối tượng. Thông
thuòng, các biện pháp kiểm soát việc bảo vệ tính sẵn sàng hỗ trợ đầy đủ cho
băng thông và tính kịp thời của quá trình xử lý khi được coi là cần thiết bởi tổ
chức hoặc tình huống. Tính sẵn sàng bao gồm quyền truy cập hiệu quả không bị
gián đoạn đến các đối tượng và ngăn chặn các cuộc tấn công từ-chối-dịch-vụ
(denial-of-service – DoS). Tính sẵn sàng cũng ảnh hàm ý rằng cơ sở hạ tầng hỗ
trợ - bao gồm các dịch vụ mạng, truyền thông, và các cơ chế kiểm soát truy cập
– là thiết thực và cho phép những người dùng hợp pháp có được quyền truy cập
hợp pháp.
Để duy trì tính sẵn sàng trên một hệ thống, các biện pháp kiểm soát phải được
đặt ra để đảm bảo quyền truy cập hợp pháp và mức độ hiệu suất có thể chấp
nhận được, để xử lý các gián đoạn một cách nhanh chóng, mang lại sự dự phòng,
106 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
duy trì các bản sao lưu đáng tin cậy, và ngăn chặn dữ liệu bị mất mát hoặc phá
hủy.
Có rất nhiều mối đe dọa đến tính sẵn sàng. Chúng bao gồm lỗi thiết bị, lỗi phần
mềm, và các vấn đề về môi trường (nhiệt độ, tĩnh điện, lũ lụt, mất nguồn cấp
điện, v.v…). Một số hình thức tấn công tập trung vào việc xâm phạm tính sẵn
sàng, bao gồm các cuộc tấn công DoS, phá hủy đối tượng, và gây gián đoạn
truyền thông.
Rất nhiều vụ vi phạm tính sẵn sàng có nguyên ngân do lỗi con người, sơ sót
hoặc không đủ khả năng. Chúng cũng có th ể xảy ra bởi vì một sơ suất trong một
chính sách bảo mật hoặc một biện pháp kiểm soát bảo mật được định cấu hình
sai.
Một loạt các biện pháp ứng phó có thể đảm bảo tính sẵn sàng chống lại các mối
đe dọa tiềm ẩn. Những biện pháp này bao gồm việc thiết kế các hệ thống phân
phối trung gian một cách thích đáng, sử dụng các biện pháp kiểm soát truy cập
một cách hiệu quả, giám sát hiệu suất và lưu lượng mạng, sử dụng tường lửa và
các bộ định tuyến để ngăn chặn các cuộc tấn công DoS, triển khai hệ thống dự
phòng cho các hệ thống tối quan trọng, và duy trì và kiểm tra các hệ thống sao
lưu. Hầu hết các chính sách bảo mật, cũng như kế hoạch liên tục kinh doanh
(BCP), đều chỉ tập trung vào việc sử dụng tính năng chịu lỗi ở các cấp độ khác
nhau của truy cập/lưu trữ/bảo mật (nghĩa là, các ổ đĩa, máy chủ, hoặc địa điểm)
với mục đích loại bỏ các điểm đơn lỗi để duy trì tính sẵn sàng của các hệ thống
tối quan trọng.
Tính sẵn sàng phụ thuộc vào cả tính toàn vẹn lẫn tính bảo mật. Nếu không có
tính toàn vẹn và tính bảo mật, tính sẵn sàng không thể được duy trì. Các khái
niệm, điều kiện và khía cạnh của tính sẵn sàng bao gồm những điều dưới đây:
▪
Khả năng sử dụng (Usability): Trạng thái dễ sử dụng hoặc tìm hiểu hoặc
có khả năng được hiểu và kiểm soát bởi một chủ thể
▪
Khả năng truy cập (Accessibility): Sự đảm bảo rằng phạm vi rộng nhất của
các đối tượng có thể tương tác với một nguồn tài nguyên bất kể khả năng
hoặc những giới hạn của mình
107 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Tính kịp thời (Timeliness): Kịp thời, đúng hạn, trong phạm vi một khung
thời gian hợp lý, hoặc đưa ra biện pháp ứng phó có độ-trễ-thấp.
DAD, Bảo vệ quá mức, Tính xác thực, Không khước từ và các Dịch vụ
AAA
Ngoài Bộ ba CIA, bạn cần cân nhắc thêm một lượng lớn các khái niệm và nguyên
tắc có-liên-quan-đến-bảo-mật khác khi thiết kế một chính sách bảo mật và triển
khai một giải pháp bảo mật. Chúng bao gồm Bộ ba DAD, các rủi ro của việc bảo
vệ quá mức, tính xác thực, không khước từ và các dịch vụ AAA.
Một trong những khái niệm bảo mật rất thú vị là bộ ba trái ngược với Bộ ba CIA,
được gọi là Bộ ba DAD. Tiết lộ, sửa đổi và phá hủy (disclosure, authencity,
destruction) tạo thành Bộ ba DAD. Bộ ba DAD đại diện cho các lỗi của biện pháp
bảo vệ bảo mật trong Bộ ba CIA. Nó có thể rất hữu ích để nhận ra những gì cần
được xem xét khi một cơ chế bảo mật bị thất bại. Tiết lộ xảy ra khi những nội
dung bí mật hoặc nhạy cảm bị truy cập bởi những thực thể trái phép, và đây là
một vi phạm tính bảo mật. Sự thay thế xảy ra khi dữ liệu bị thay đổi một cách
ác ý hoặc vô tình, đó là sự vi phạm tính toàn vẹn. Việc phá hủy xảy ra khi tài
nguyên bị hư hỏng hoặc trở nên không thể truy cập được đối với người dùng hợp
pháp (về mặt kỹ thuật chúng ta thường gọi là từ chối dịch vụ (DoS) sau này),
đó là vi phạm tính sẵn sàng.
Cũng có thể đáng giá khi biết rằng bảo mật quá nhiều cũng có thể là vấn đề của
riêng bản thân nó. Bảo vệ tính bảo mật quá mức có thể dẫn đến việc hạn chế
tính sẵn sàng. Bảo vệ tính toàn vẹn quá mức có thể dẫn đến việc hạn chế tính
sẵn sàng. Cung cấp quá mức tính sẵn sàng có thể dẫn đến việc mất tính bảo mật
và tính toàn vẹn.
Tính xác thực (Authenticity) là khái niệm bảo mật cho thấy rằng dữ liệu là xác
thực hoặc chính hãng và có nguồn gốc từ nguồn đã được tuyên bố của nó. Điều
này liên quan đến tính toàn vẹn, nhưng nó liên quan chặt chẽ hơn đến việc xác
minh rằng nó thực sự đến từ một nguồn gốc đã được xác nhận. Khi dữ liệu có
tính xác thực, người nhận có thể có mức độ tin cậy cao rằng dữ liệu được xác
nhận là của ai và dữ liệu đó đã không bị thay đổi trong quá trình truyền tải
(hoặc lưu trữ).
108 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Không khước từ (Nonrepudiation) đảm bảo rằng chủ thể của một hoạt động hoặc
người đã gây ra một sự kiện không thể phủ nhận rằng sự kiện đó đã xảy ra.
Không khước từ ngăn chủ thể tuyên bố rằng họ đã không gửi tin nhắn, không
thực hiện một hành động hoặc không phải là nguyên nhân gây ra một sự kiện.
Nó có thể được thực hiện thông qua nhận dạng, xác thực, cấp phép, trách nhiệm
giải trình và kiểm toán. Không khước từ có thể được xác lập bằng cách sử dụng
chứng thư kỹ thuật số, mã số nhận dạng phiên, nhật ký giao dịch và rất nhiều
cơ chế kiểm soát truy cập và giao dịch khác. Một hệ thống được xây dựng mà
không thực thi không khước từ phù hợp sẽ không cung cấp được sự xác minh
rằng một thực thể cụ thể đã thực hiện một hành động nhất định. Không khước
từ là một phần thiết yếu của trách nhiệm giải trình. Một nghi can không thể chịu
trách nhiệm nếu họ có thể bác bỏ yêu cầu chống lại họ.
Các dịch vụ AAA (AAA services) là một cơ chế bảo mật cốt lõi của tất cả các môi
trường bảo mật. Ba chữ A trong cách viết tắt này đề cập đến xác thực, cấp phép
và giải trình (hoặc đôi khi là kiểm toán). Tuy nhiên, điều không rõ ràng ở đây
là mặc dù có ba chữ cái trong từ viết tắt, nhưng nó thực sự đề cập đến tất cả
năm
yếu
tố:
nhận
dạng,
xác
thực,
cấp
phép,
kiểm
toán
và
giải
trình
(identification, authentication, authorization, auditing, accounting). Năm yếu tố
này đại diện cho các quy trình bảo mật sau:
Nhận dạng (Identification)
Nhận dạng là đang tuyên bố một danh
tính khi cố gắng truy cập vào một khu
vực hoặc hệ thống được bảo mật.
Xác thực (Authentication)
Xác thực là chứng minh rằng bạn
chính là người đã tuyên bố danh tính.
Cấp phép (Authorization)
Cấp phép là xác định những quyền
hạn
(ví
dụ,
cho
phép/cấp
quyền
và/hoặc từ chối) tiếp cận một tài
nguyên hoặc đối tượng cho một danh
tính hoặc chủ thể cụ thể.
109 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Kiểm toán (Auditing)
Kiểm toán là ghi nhận một nhật ký
của các sự kiện và hoạt động có liên
quan đến hệ thống và các chủ thể.
Giải trình (Accounting)
Giải trình (còn gọi là trách nhiệm giải
trình) là việc xem xét các tập tin nhật
ký để kiểm tra tính tuân thủ và các
vi phạm nhằm giữ trách nhiệm giải
trình của các chủ thể về những hành
động của họ, đặc biệt là các vi phạm
chính sách bảo mật của tổ chức.
Mặc dù AAA thường được tham chiếu trong mối tương quan với các hệ thống xác
thực, đây thực tế vẫn là một khái niệm cơ bản đối với bảo mật. Thiếu sót của
một trong số bất kỳ 5 phần tử này có thể dẫn đến một cơ chế bảo mật không
hoàn chỉnh. Phần tiếp theo thảo luận về nhận dạng, xác thực, cấp phép, kiểm
toán và trách nhiệm giải trình (xem Hình 1.2).
HÌNH 1.2
Năm phần tử của các dịch vụ AAA
Nhận dạng
Xác thực
Cấp phép
Kiểm toán
Giải trình
110 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Nhận dạng
Một chủ thể phải thực hiện việc nhận dạng để bắt đầu quá trình xác thực, cấp
phép và giải trình (AAA). Việc cung cấp một danh tính có thể liên quan đến việc
nhập vào một tên người dùng, quét một thẻ thông minh, vẫy với một thiết bị
tiệm cận, nói một cụm từ, hoặc định vị khuôn mặt, bàn tay hoặc ngón tay của
bạn cho một máy ảnh hoặc thiết bị quét. Nếu không có một danh tính, một hệ
thống sẽ không có cách nào để thiết lập tương quan giữa một yếu tố xác thực
với một chủ thể.
Khi một chủ thể đã được nhận dạng (nghĩa là khi danh tính của chủ thể đã được
công nhận và xác minh), danh tính dó ph ải chịu trách nhiệm giải trình cho bất
kỳ hành động nào sau đó được thực hiện bởi chủ thể đó. Các hệ thống CNTT
theo dõi hành động theo các danh tính, không p hải bởi chính bản thân chủ thể
[của danh tính đó]. Một máy tính không phân biệt một cá nhân với một cá nhân
khác nhưng nó biết được rằng tài khoản của bạn khác với tất cả tài khoản người
dùng khác. Việc chỉ đơn giản xác nhận danh tính không ngụ ý về quyền truy cập
hoặc quyền hạn. Danh tính phải được chứng minh trước khi sử dụng. Quy trình
đó là quy trình xác thực.
Xác thực
Quy trình xác minh xem li ệu một danh tính đã được xác nhận là hợp lệ chính là
quy trình xác thực. Xác thực đòi hỏi chủ thể phải cung cấp những thông tin bổ
sung tương ứng với danh tính mà họ đang xác nhận. Hình thức phổ biến nhất
của xác thực là sử dụng một mật khẩu. Quá trình xác thực xác minh danh tính
của chủ thể bằng cách so sánh một hoặc nhiều yếu tố so với cơ sở dữ liệu chứa
các danh tính hợp lệ (nghĩa là, tài khoản người dùng). Khả năng của chủ thể và
hệ thống để duy trì tính bí mật của các yếu tố xác thực đối với các danh tính
phản ảnh trực tiếp mức độ bảo mật của hệ thống đó.
Nhận dạng và xác thực thường được sử dụng cùng nhau như một quy trình duy
nhất bao gồm hai-bước. Việc cung cấp một danh tính là bước đầu tiên, và việc
cung cấp các yếu tố xác thực là bước thứ hai. Nếu không có hai bước này, một
chủ thể không thể có được quyền truy cập vào một hệ thống – mặc dù mỗi phần
tử riêng biệt đều hữu ích nếu xét về mặt bảo mật [hàm ý rằng nếu không có xác
thực thì nhận dạng là vô nghĩa, và ngược lại]. Trong một số hệ thống, trông có
111 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
vẻ như là bạn chỉ cung cấp một phần tử [nhận dạng/xác thực] nhưng lại có được
quyền truy cập, chẳng hạn như khi nhập mã ID hoặc mã PIN. Tuy nhiên, trong
những trường hợp này, việc nhận dạng được xử lý bằng một phương tiện khác,
chẳng hạn như vị trí thực tế, hoặc xác thực được đảm nhận bởi khả năng truy
cập một cách vật lý vào hệ thống của bạn. Cả nhận dạng và xác thực đều diễn
ra, nhưng bạn có thể không nhận biết được chúng như khi bạn nhập thủ công cả
tên lẫn mật khẩu.
Mỗi kỹ thuật xác thực hoặc các yếu tố xác thực đều có những lợi ích và nhược
điểm riêng. Do đó, điều quan trọng là đánh giá từng cơ chế dựa trên môi trường
mà nó sẽ được triển khai để xác định khả năng tồn tại của nó. Chúng ta sẽ thảo
luận về xác thực trong Chương 13, “Quản lý Danh tính và Xác thực”
Cấp phép
Khi một chủ thể đã được xác thực, quyền truy cập phải được cấp phép. Quá trình
cấp phép đảm bảo rằng hoạt động hoặc quyền truy cập đã được yêu cầu đối với
một đối tượng có khả năng thực hiện được với các quyền và đặc quyền được gán
cho danh tính đã được xác thực. Trong hầu hết các trường hợp, hệ thống đánh
giá chủ thể, đối tượng và các quyền đã được chỉ định liên quan đến hoạt động
theo dự định. Nếu hành động cụ thể được cho phép, chủ thể được cấp phép. Nếu
hành động cụ thể không được phép, chủ thể không được cấp phép [để thực hiện
hành động đó].
Hãy lưu ý rằng chỉ vì một chủ thể đã được nhận dạng và xác thực không có nghĩa
là họ đã được phép thực hiện bất kỳ chức năng nào hoặc truy cập vào mọi tài
nguyên trong môi trường được kiểm soát. Nhận dạng và xác thực là các khía
cạnh không-thỏa-hiệp (all-or-nothing) của kiểm soát truy cập. Việc cấp phép có
nhiều biến thể giữa tất cả mọi thứ hoặc không gì cả cho từng đối tượng trong
môi trường. Một người dùng có thể đọc một tập tin nhưng không thẻ xóa nó, in
được tài liệu nhưng không thay đ ổi hàng đợi in hoặc đăng nhập vào hệ thống
nhưng không truy cập bất kỳ tài nguyên nào khác. Cấp phép sẽ được thảo luận
trong Chương 13.
112 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Kiểm toán
Kiểm toán là một phương tiện mang tính chương trình mà theo đó các hành đ ộng
của một chủ thể được theo dõi và ghi lại nhằm mục đích bắt buộc chủ thể phải
chịu trách nhiệm về các hành động của họ khi đã được xác thực trên một hệ
thống thông qua việc lập thành tài liệu hoặc ghi nhận lại các hoạt động của chủ
thể. Đây cũng là quá trình mà các hoạt động trái phép hoặc bất thường được
phát hiện trên một hệ thống. Kiểm toán là ghi lại các hoạt động của một chủ thể
và các đối tượng của nó cũng như ghi lại các hoạt động của các chức năng ứng
dụng và hệ thống. Các tập tin nhật ký cung cấp một dấu vết kiểm toán để táitạo lại lịch sử của một sự kiện, xâm nhập hoặc lỗi hệ thống. Kiểm toán là cần
thiết để phát hiện các hành động ác ý của các đối tượng, cố gắng xâm nhập và
lỗi hệ thống và để tái tạo lại các sự kiện, cung cấp bằng chứng cho việc truy tố,
đưa ra các báo cáo và phân tích về vấn đề. Kiểm toán thường là một tính năng
bản thể của Hệ điều hành và hầu hết các ứng dụng và dịch vụ. Do đó, việc thiết
lập cấu hình hệ thống để ghi lại thông tin về các loại sự kiện cụ thể là tương
đối đơn giản.
Giám sát là một phần của những gì cần thiết cho các cuộc kiểm
toán, và các nhật ký kiểm toán là một phần của một hệ thống
giám sát, nhưng hai thuật ngữ này có ý nghĩa khác nhau. Giám
sát là một loại theo dõi hoặc giám sát, trong khi kiểm toán là ghi
lại thông tin trong một hồ sơ hoặc một tập tin. Có khả năng giám
sát nhưng không cần kiểm toán, nhưng bạn không thể kiểm toán
nếu không có một số hình thức giám sát nào đó.
Giải trình
Chính sách bảo mật của một tổ chức có thể được thực thi một cách đúng đắn chỉ
khi trách nhiệm giải trình được duy trì. Nói cách khác, bạn có thể duy trì bảo
mật chỉ khi các chủ thể chịu trách nhiệm giải trình cho các hành động của họ.
Hiệu quả của trách nhiệm giải trình dựa trên khả năng chứng minh danh tính của
một chủ thể và theo dõi được các hành động của họ. Trách nhiệm giải trình được
xác lập bằng cách liên kết một cá nhân với các hành động của một danh tính
trực tuyến thông qua các dịch vụ và cơ chế bảo mật về kiểm toán, cấp phép, xác
thực, và nhận dạng. Do đó, trácnh nhiệm giải trình cá nhân cuối cùng sẽ phụ
113 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thuộc vào sức mạnh của những quy trình này. Nếu không có một quy trình xác
thực đủ mạnh, có thể nghi ngờ rằng cá nhân được liên kết với một tài khoản
người dùng cụ thể có phải là thực thể thực sự đang kiểm soát tài khoản người
dùng đó hay không khi hành động không mong muốn đang được thực hiện.
Để có trách nhiệm giải trình có tính khả thi, bạn phải có khả năng hỗ trợ những
quyết định bảo mật của mình và việc triển khai chúng trước tòa án pháp lý. Nếu
bạn không thể hỗ trợ một cách hợp pháp cho các nỗ lực bảo mật của mình thì
bạn sẽ khó có thể quy trách nhiệm cho một cá nhân về các hành động được liên
kết với tài khoản người dùng. Chỉ với một mật khẩu để xác thực sẽ có rất nhiều
chỗ để nghi vấn. Mật khẩu là hình thức xác thực kém an toàn nhất, với hàng tá
phương pháp khác nhau đang sẵn có để xâm phạm chúng. Tuy nhiên, với việc sử
dụng kết hợp xác thực đa yếu tố, chẳng hạn như mật khẩu, thẻ thông minh và
quét vân tay, có rất ít khả năng bất kỳ cá nhân nào khác có thể xâm phạm quy
trình xác thực để mạo danh cá nhân đang chịu trách nhiệm về tài khoản người
dùng.
Các Cơ chế Bảo vệ
Một khía cạnh khác của việc tìm hiểu và áp dụng các biện pháp kiểm soát bảo
mật là khái niệm về các cơ chế bảo vệ hoặc các biện pháp kiểm soát bảo vệ.
Không phải mọi biện pháp kiểm soát bảo mật đều phải có chúng, tuy nhiên, rất
nhiều biện pháp kiểm soát đề xuất quá trình bảo vệ của chúng thông qua việc
sử dụng những cơ chế này. Một số ví dụ phổ biến về các cơ chế này là phòng
thủ có chiều sâu, trừu tượng hóa, ẩn dữ liệu và mã hóa.
Phòng thủ có Chiều sâu
Phòng thủ có chiều sâu hay còn được gọi là phân lớp (layering) là sử dụng nhiều
biện pháp kiểm soát theo một chuỗi. Không có bất kỳ biện pháp kiểm soát nào
có thể bảo vệ chống lại tất cả những mối đe dọa tiềm ẩn. Việc sử dụng một giải
pháp nhiều lớp cho phép một loạt các biện pháp kiểm soát khác nhau để bảo vệ
khỏi bất kỳ mối đe dọa nào xảy ra. Khi các giải pháp bảo mật được thiết kế theo
từng lớp, một biện pháp kiểm soát thất bại đơn lẻ sẽ không dẫn đến việc hệ
thống hoặc dữ liệu bị tiết lộ.
114 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Sử dụng các lớp trong một chuỗi thay vì song song là điều rất quan trọng. Thực
hiện các biện pháp hạn chế bảo mật trong một chuỗi có nghĩa là thực hiện lần
lượt theo kiểu tuyến tính. Chỉ khi thông qua một chuỗi các cấu hình, mỗi cuộc
tấn công sẽ được quét, đánh giá hoặc giảm thiểu bởi từng biện pháp kiểm soát
bảo mật. Trong một cấu hình theo chuối, lỗi của một biện pháp kiểm soát bảo
mật không khiến cho toàn bộ giải pháp trở nên không hiệu quả. Nếu các biện
pháp kiểm soát bảo mật được triển khai theo kiểu song song, một mối đe dọa có
thể đi qua một điểm kiểm soát duy nhất đã không giải quyết được hoạt động độc
hại cụ thể của nó.
Cấu hình nối tiếp rất hẹp nhưng rất sâu, trong khi cấu hình song song rất rộng
nhưng rất nông. Hệ thống song song rất hữu ích trong các ứng dụng tính toán
phân tán, nhưng song song thường không phải là một khái niệm hữu ích trong
lĩnh vực bảo mật.
Trong phạm vi ngữ cảnh phòng thủ theo chiều sâu, ngoài các thuật ngữ các cấp,
đa cấp và các lớp, các thuật ngữ khác thường được sử dụng liên quan đến khái
niệm này là phân loại, khu vực, lĩnh vực, ngăn, hầm ngầm, phân đoạn, cấu trúc
lưới
mắt
cáo
và
vòng
bảo
vệ
[lần
lượt là classifications, zones, realms,
compartments, silos, segmentations, lattice structure, protection rings ]. Bạn sẽ
nhìn thấy những thuật ngữ này được sử dụng thường xuyên trong suốt ấn phẩm
này. Khi bạn nhìn thấy chúng, hãy suy nghĩ về khái niệm phòng thủ có chiêu sâu
liên quan đến bối cảnh nơi thuật ngữ được sử dụng.
Trừu tượng hóa
Trừu tượng hóa (Abstraction) được sử dụng cho tính hiệu quả. Các phần tử tương
tự nhau được đưa vào nhóm, lớp hoặc vai trò được chỉ định các biện pháp kiểm
soát bảo mật, hạn chế hoặc quyền hạn như một tập thể. Trừu tượng đơn giản
hóa bảo mật bằng cách cho phép bạn chỉ định các biện pháp kiểm soát bảo mật
cho một nhóm đối tượng được tập hợp theo loại hoặc chức năng. Như vậy, khái
niệm trừu tượng được sử dụng khi phân loại các đối tượng hoặc chỉ định vai trò
cho các chủ thể.
Trừu tượng là một trong những nguyên tắc cơ bản đằng sau lĩnh vực được gọi là
lập trình hướng-đối-tượng. Đó là học thuyết môi trường không xác định nói rằng
115 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
người dùng của một đối tượng (hoặc thành phần Hệ điều hành) không nhất thiết
phải biết các chi tiết về cách thức hoạt động của đối tượng, họ chỉ cần biết cú
pháp thích hợp để sử dụng đối tượng và loại dữ liệu kết quả sẽ được trả về
(nghĩa là cách gửi đầu vào và nhận đầu ra). Đây chính là những gì liên quan đến
quyền truy cập qua trung gian vào dữ liệu hoặc dịch vụ, chẳng hạn như khi các
ứng dụng chế độ người dùng sử dụng lệnh gọi hệ thống để yêu cầu dữ liệu hoặc
dịch vụ ở chế độ quản trị viên (và nơi các yêu cầu đó có thể được cấp phép hoặc
bị từ chối tùy thuộc vào thông tin xác thực và quyền của người yêu cầu) thay vì
có được quyền truy cập trực tiếp, không qua trung gian.
Một cách khác mà trừu tượng áp dụng cho bảo mật là giới thiệu các nhóm đối
tượng, đôi khi còn được gọi là các lớp, nơi các biện pháp kiểm soát truy cập và
quyền hoạt động được gán cho các nhóm đối tượng chứ không phải trên cơ sở
từng-đối-tượng. Cách tiếp cận này cho phép quản trị viên bảo mật dễ dàng xác
định và đặt tên cho các nhóm (tên gọi thường liên quan đến vai trò hoặc trách
nhiệm công việc) và giúp việc quản lý các quyền và đặc quyền trở nên dễ dàng
hơn (khi bạn thêm một đối tượng vào một lớp, bạn trao quyền và đặc quyền thay
vì phải quản lý các quyền và đặc quyền cho từng đối tượng riêng biệt).
Ẩn Dữ liệu
Ẩn dữ liệu (data hiding) đúng như tên gọi của nó: ngăn không cho chủ thể khám
phá hoặc truy cập dữ liệu bằng cách định vị dữ liệu trong ngăn lưu trữ logic mà
không thể truy cập hoặc nhìn thấy được bởi đối tượng. Điều này có nghĩa là đối
tượng không thể nhìn thấy hoặc truy cập vào dữ liệu, không chỉ là nó không thể
nhìn thấy được. Các hình thức ẩn dữ liệu bao gồm việc giữ cho cơ sở dữ liệu
không bị truy cập bởi những khách viếng thăm trái phép và hạn chế một đối
tượng ở cấp phân loại thấp hơn truy cập vào những dữ liệu ở cấp phân loại cao
hơn. Việc ngăn một ứng dụng truy cập trực tiếp vào phần cứng cũng là một hình
thức ẩn dữ liệu. Ẩn dữ liệu thường là một yếu tố then chốt trong kiểm soát bảo
mật cũng như trong lập trình. Steganography là m ột ví dụ về ẩn dữ liệu (xem
Chương 7).
Ẩn dữ liệu là một đặc điểm quan trọng trong các hệ thống bảo mật đa cấp. Nó
đảm bảo rằng dữ liệu tồn tại ở một mức độ bảo mật sẽ không nằm trong tầm
nhìn của các tiến trình đang chạy ở các mức độ bảo mật khác nhau. Từ góc độ
116 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
bảo mật, việc ẩn dữ liệu sẽ dựa vào việc đặt các đối tượng vào trong các ngăn
chứa bảo mật khác với các đối tượng đang cư trú để che giấu thông tin chi tiết
về đối tượng đối với những người không cần được biết về chúng hoặc đối với
các phương tiện để truy cập chúng.
Thuật ngữ bảo mật thông qua sự mơ hồ (security through obscurity) có thể có
liên quan ở đây. Tuy nhiên, hai quan niệm đó khác nhau. Ẩn dữ liệu là hành
động cố ý định vị dữ liệu để nó trở nên không thể xem được hoặc truy cập được
đối với một chủ thể trái phép, trong khi bảo mật thông qua sự mơ hồ là ý tưởng
về việc không thông báo cho chủ thể về một đối tượng đang hiện diện và do đó
hy vọng rằng chủ thể sẽ không phát hiện ra đối tượng. Nói cách khác, trong bảo
mật thông qua sự mơ hồ, chủ thể có thể truy cập vào dữ liệu nếu họ tìm thấy
nó. Đó là trò chơi trốn tìm theo kiểu kỹ thuật. Bảo mật thông qua sự mơ hồ trên
thực tế không triển khai bất kỳ hình thức bảo vệ nào. Thay vào đó, đây là một
nỗ lực để hy vọng một thức gì đó quan trọng không bị phát hiện bằng cách giữ
bí mật những kiến thức về nó. Một ví dụ về bảo mật mặc dù bị che khuất là khi
một lập trình viên nhận thức được lỗ hổng trong mã phần mềm của họ, nhưng
họ vẫn phát hành sản phẩm với hy vọng không có ai phát hiện ra vấn đề và khai
thác nó.
Mã hóa
Mã hóa là khoa học về việc ẩn giấu ý nghĩa hoặc dự định của một giao tiếp khỏi
những người nhận không được dự tính. Mã hóa có thể có rất nhiều hình thức và
nên được áp dụng cho mọi kiểu giao tiếp và lưu trữ điện tử. Mã hóa sẽ được
thảo luận sâu hơn trong Chương 6 và Chương 7.
Ranh giới Bảo mật
Một ranh giới bảo mật (security boundary) là một đường giao nhau giữa hai khu
vực, mạng con hoặc môi trường bất kỳ có các yêu cầu hoặc nhu cầu bảo mật
khác nhau. Một ranh giới bảo mật tồn tại giữa khu vực bảo-mật-cao và khu vực
bảo-mật-thấp, chẳng hạn như giữa một mạng LAN và Internet. Điều quan trọng
là phải nhận ra các ranh giới bảo mật cả trên mạng của bạn và trong thế giới
đời thực. Khi bạn xác đ ịnh được ranh giới bảo mật, bạn phải triển khai các cơ
chế để kiểm soát luồng thông tin đi qua ranh giới đó.
117 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Sự phân chia giữa các khu vực bảo mật có thể có nhiều hình thức. Ví dụ, các đối
tượng có thể có những cách phân loại khác nhau. Mỗi phân loại xác định rằng
những chức năng nào có thể được thực hiện bởi những chủ thể nào trên những
đối tượng nào. Sự phân biệt giữa các phân loại là một ranh giới bảo mật.
Ranh giới bảo mật cũng tồn tại giữa môi trường vật lý và môi trường logic. Để
cung cấp bảo mật logic, bạn phải cung cấp các cơ chế bảo mật khác với những
cơ chế đã được sử dụng để cung cấp bảo mật vật lý. Cả hai đều phải hiện diện
để mang lại một cấu trúc bảo mật hoàn chỉnh và cả hai đều phải được xác định
trong chính sách bảo mật. Tuy nhiên, chúng khác nhau và ph ải được đánh giá
như các yếu tố riêng biệt của một giải pháp bảo mật.
Ranh giới bảo mật, chẳng hạn như chu vi giữa một khu vực được bảo vệ và khu
vực không được bảo vệ, phải luôn được xác định một cách rõ ràng. Điều quan
trọng là phải nêu rõ trong chính sách bảo mật về điểm mà tại đó biện pháp kiểm
soát kết thúc hoặc bắt đầu và xác định điểm đó trong cả môi trường vật lý lẫn
môi trường logic. Ranh giới bảo mật logic là các điểm mà tại đó các giao tiếp
điện tử tương tác với các thiết bị hoặc dịch vụ mà tổ chức của bạn đang chịu
trách nhiệm về mặt pháp lý. Trong hầu hết các trường hợp, tương tác đó được
đánh dấu một cách rõ ràng và các chủ thể trái phép được thông báo rằng họ
không có quyền truy cập và những nỗ lực để có được quyền truy cập sẽ dẫn đến
việc bị truy tố.
Chu vi bảo mật trong môi trường vật lý thường là sự phản ánh chu vi bảo mật
của môi trường logic. Trong hầu hết các trường hợp, khu vực mà tổ chức đang
chịu trách nhiệm pháp lý xác định phạm vi tiếp cận của chính sách an ninh trong
địa hạt vật lý. Đây có thể là các bức tường của văn phòng, tường của tòa nhà
hoặc hàng rào xung quanh một khuôn viên. Trong các môi trường được bảo mật,
các dấu hiệu cảnh báo được bố trí cho biết rằng việc truy cập trái phép bị cấm
và những nỗ lực để có được quyền truy cập sẽ bị cản trở và dẫn đến việc bị truy
tố.
Khi chuyển đổi một chính sách bảo mật thành các biện pháp kiểm soát thực tế,
bạn phải cân nhắc từng môi trường và ranh giới bảo mật riêng biệt. Đơn giản là
chỉ cần suy ra các cơ chế bảo mật có sẵn sẽ cung cấp giải pháp hợp lý, tiết kiệm
118 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
chi phí và hi ệu quả nhất cho một môi trường và tình huống cụ thể. Tuy nhiên,
tất cả các cơ chế bảo mật phải được cân nhắc dựa trên giá trị của các đối tượng
mà chúng [các cơ chế bảo mật] cần bảo vệ. Việc triển khai các biện pháp ứng
phó với chi phí cao hơn giá trị của các đối tượng được bảo vệ là điều không
chính đáng.
Đánh giá và Áp dụng các Nguyên t ắc Quản trị Bảo mật
Quản trị bảo mật (Security governance) là tập hợp những thực tiễn liên quan
đến việc hỗ trợ, đánh giá, xác định và định hướng các nỗ lực bảo mật của một
tổ chức. Một cách tối ưu, quản trị bảo mật được thực hiện bởi một hội đồng
quản trị, nhưng các tổ chức nhỏ hơn có thể chỉ cần giám đốc điều hành (CEO)
hoặc giám đốc bảo mật thông tin (chief information security officer - CISO) thực
hiện các hoạt động quản trị bảo mật. Quản trị bảo mật tìm cách so sánh các quy
trình bảo mật và cơ sở hạ tầng được sử dụng trong phạm vi tổ chức với kiến
thức và cái nhìn sâu sắc thu được từ các nguồn bên ngoài. Đây là lý do tại sao
một hội đồng quản trị thường bao gồm những người từ nhiều nguồn gốc và ngành
nghề khác nhau. Các thành viên của hội đồng quản trị có thể mang đến những
kinh nghiệm và trí tuệ đa dạng của họ để cung cấp hướng dẫn cải tiến cho tổ
chức mà họ đang giám sát.
Các nguyên tắc quản trị bảo mật thường liên quan một cách chặt chẽ và thường
đan xen với quản trị công ty và quản trị CNTT. Những mục đích của ba chương
trình nghị sự quản trị này thường giống nhau hoặc có mối liên hệ với nhau,
chẳng hạn như việc duy trì các quy trình nghiệp vụ trong khi phấn đấu hướng
tới sự tăng trưởng và khả năng phục hồi.
Một số khía cạnh của quản trị được áp đặt cho các tổ chức do nhu cầu tuân thủ
pháp luật và quy định, trong khi những khía cạnh khác được áp đặt bởi các
hướng dẫn của ngành hoặc các yêu cầu về giấy phép. Tất cả các hình thức quản
trị, bao gồm cả quản trị bảo mật, đều phải được đánh giá và xác minh theo thời
gian. Rất nhiều yêu cầu khác nhau đối với việc kiểm toán và xác nhận có thể
hiện hữu do các quy định của chính phủ hoặc các thông lệ tốt nhất của ngành.
Điều này đặc biệt có vấn đề khi luật pháp ở các quốc gia khác nhau sẽ khác
nhau hoặc trên thực tế là xung đột với nhau. Toàn bộ tổ chức nói chung cần
119 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
được cung cấp định hướng, chỉ đạo và các công cụ để mang đến đầy đủ sự giám
sát và quản lý nhằm giải quyết các mối đe dọa và những rủi ro, tập trung vào
việc loại bỏ thời gian ngừng hoạt động và giữ cho tổn thất hoặc thiệt hại tiềm
ẩn ở mức tối thiểu.
Có thể nói rằng các định nghĩa về quản trị bảo mật thường khá chặt chẽ và ở
cấp cao. Cuối cùng thì quản trị bảo mật là việc triển khai một giải pháp bảo mật
và một phương pháp quản lý được kết nối một cách chặt chẽ với nhau. Quản trị
bảo mật giám sát và tham gia một cách trực tiếp vào tất cả các cấp độ bảo mật.
Bảo mật không phải và không nên chỉ được coi là một vấn đề của CNTT. Thay
vào đó, bảo mật ảnh hưởng đến mọi khía cạnh của một tổ chức. Bảo mật là một
vấn đề về hoạt động kinh doanh. Bảo mật là một quy trình có tổ chức, không chỉ
là điều gì đó mà các chuyên viên công ngh ệ thông tin thực hiện đằng sau hậu
trường. Việc sử dụng thuật ngữ quản trị bảo mật là một nỗ lực để nhấn mạnh
điểm này bằng cách chỉ ra rằng bảo mật cần được quản lý và điều hành trong
toàn bộ tổ chức chứ không chỉ trong bộ phận CNTT.
Có một loạt các khuôn khổ và hướng dẫn quản trị bảo mật, bao gồm SP 800-53
và SP 800-100 của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST). Mặc
dù hướng dẫn của NIST tập trung vào việc sử dụng trong chính phủ và quân đội
nhưng nó cũng vẫn có thể được áp dụng và thích ứng bởii các loại hình tổ chức
khác. Rất nhiều tổ chức áp dụng các khuôn khổ bảo mật trong một nỗ lực để
tiêu chuẩn hóa và tổ chức những gì có thể trở thành một hoạt động lộn xộn và
phức tạp gây ra hoang mang, cụ thể là, cố gắn triển khai biện pháp quản trị bảo
mật hợp lý.
Quản trị Bên-thứ-ba
Quản trị bên-thứ-ba (Third-party governance) là hệ thống giám sát thực thể bên
ngoài có thể bị bắt buộc theo luật pháp, quy định, tiêu chuẩn ngành, nghĩa vụ
pháp lý theo hợp đồng, hoặc các yêu cầu về giấy phép. Phương pháp quản trị
thực tế có thể sẽ khác nhau, nhưng nói chung sẽ liên quan đến một chuyên gia
điều tra hoặc kiểm toán viên bên ngoài. Những kiểm toán viên này có thể được
chỉ định bởi một cơ quan quản lý hoặc có thể là chuyên gia tư vấn được thuê
bởi tổ chức mục tiêu.
120 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Một khía cạnh khác của quản trị bên-thứ-ba là việc áp dụng giám sát bảo mật
đối với các bên-thứ-ba mà tổ chức của bạn đang dựa vào. Rất nhiều tổ chức
chọn thuê ngoài các khía cạnh trong vận hành việc kinh doanh của họ. Những
hoạt động được thuê ngoài có thể bao gồm nhân viên bảo vệ, bảo trì, hỗ trợ kỹ
thuật, và các dịch vụ kế toán. Các bên-thứ-ba này cần phải tuân thủ những lập
trường bảo mật của tổ chức. Nếu không thì họ [các bên-thứ-ba] đang đại diện
cho những rủi ro và lỗ hổng bổ sung cho tổ chức chính.
Quản trị bên-thứ-ba tập trung vào việc xác minh sự tuân thủ với các mục tiêu,
yêu cầu, quy định và nghĩa vụ pháp lý theo hợp đồng đã được nêu ra. Các phiên
đánh giá tại-chỗ có thể cung cấp khả năng tiếp xúc trực tiếp với các cơ chế bảo
mật được sử dụng tại một địa điểm. Những người thực hiện quá trình đánh giá
hoặc kiểm toán tại chỗ cần tuân theo các giao thức kiểm toán (chẳng hạn như
Mục tiêu Kiểm soát đối với Thông tin và Công nghệ Liên quan [Control Đối
tượngives for Information and Related Technology - COBIT]) và có một danh
sách kiểm tra cụ thể về các yêu cầu đối với cuộc điều tra.
Trong quá trình kiểm toán và đánh giá, cả tổ chức mục tiêu và cơ quan quản lý
đều nên tham gia vào việc trao đổi và xem xét tài liệu đầy đủ và cởi mở. Một tổ
chức cần phải biết toàn bộ chi tiết về tất cả các yêu cầu mà tổ chức đó phải
tuân thủ. Tổ chức nên đệ trình chính sách bảo mật và các báo cáo tự-đánh-giá
cho cơ quan quản lý. Quá trình trao đổi tài liệu cởi mở này đảm bảo rằng tất cả
các bên liên quan đều nhất trí về tất cả các vấn đề quan tâm. Nó sẽ làm giảm
thiểu cơ hội xuất hiện của các yêu cầu không xác định hoặc những kỳ vọng không
thực tế. Trao đổi tài liệu không kết thúc bằng việc truyền tải các thủ tục giấy
tờ hoặc các tập tin điện tử. Thay vào đó, nó dẫn đến quá trình xem xét tài liệu.
Hãy đọc Chương 12, “Bảo mật Truyền thông và Các cuộc tấn công Mạng” để thảo
luận về kết nối của bên-thứ-ba.
Xem xét Tài liệu
Xem xét tài liệu (Document review) là quá trình đọc các tài liệu đã được trao
đổi và xác minh chúng theo các tiêu chu ẩn và kỳ vọng. Việc xem xét tài liệu
thường được thực hiện trước khi bất kỳ cuộc kiểm tra tại-chỗ nào được diễn ra.
Nếu tài liệu đã được trao đổi là đầy đủ và đáp ứng được các kỳ vọng (hoặc ít
121 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nhất là các yêu cầu) thì quá trình xem xét tại-chỗ sẽ có thể đặt trọng tâm vào
việc tuân thủ các tài liệu đã nêu. Tuy nhiên, nếu tài liệu không hoàn chỉnh,
không chính xác hoặc không đầy đủ, quá trình xem xét tại chỗ sẽ bị hoãn lại cho
đến khi tài liệu có thể được cập nhật và sửa chữa. Đây là bước rất quan trọng
vì nếu tài liệu không hoàn chỉnh, rất có khả năng vị trí đó cũng sẽ không tuân
thủ.
Trong rất nhiều tình huống, đặc biệt là khi liên quan đến các cơ quan chính phủ
hoặc quân đội hoặc nhà thầu, việc không cung cấp đủ tài liệu để đáp ứng các
yêu cầu của quản trị bên-thứ-ba có thể dẫn đến mất hoặc thiếu khuyết quyền
hoạt động (authorization to operate - ATO). Tài liệu hoàn chỉnh và đầy đủ thường
có thể duy trì ATO hiện có hoặc cung cấp ATO tạm thời (temporary authorization
to operate - TATO). Tuy nhiên, khi ATO đã mất hoặc bị thu hồi, việc xem xét tài
liệu đầy đủ và xem xét tại-chỗ cho thấy sự tuân thủ đầy đủ thường là điều cần
thiết để thiết lập lại ATO.
Một phần của việc xem xét tài liệu là điều tra logic và thực tế về các quy trình
nghiệp vụ và chính sách tổ chức dựa trên các tiêu chuẩn, khuôn khổ và nghĩa vụ
hợp đồng. Quá trình đánh giá này đảm bảo rằng các nhiệm vụ kinh doanh, hệ
thống và phương pháp luận đã được nêu và được triển khai là thực tế, có hiệu
quả và tiết kiệm chi phí, và hơn hết (ít nhất là trong mối tương quan với quản
trị bảo mật) rằng chúng hỗ trợ cho mục đích của bảo mật thông qua việc giảm
thiểu các lỗ hổng bảo mật và tránh, giảm nhẹ hoặc giảm thiểu rủi ro. Quản lý
rủi ro, đánh giá rủi ro và giải quyết rủi ro là tất cả nhữn phương pháp và kỹ
thuật liên quan đến việc thực hiện xem xét quy trình/chính sách.
Quản lý Chức năng Bảo mật
Chức năng bảo mật (Security function) là một khía cạnh đề cập đến việc vận
hành một doanh nghiệp để tập trung vào nhiệm vụ đánh giá và cải thiện bảo mật
theo thời gian. Để quản lý chức năng bảo mật, một tổ chức phải triển khai việc
quản trị bảo mật thích hợp và đầy đủ.
Hành động thực hiện một quá trình đánh giá rủi ro để định hướng cho chính sách
bảo mật là ví dụ rõ ràng và trực tiếp nhất của việc quản lý chức năng bảo mật.
Quá trình đánh giá rủi ro sẽ được thảo luận trong Chương 2.
122 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bảo mật phải có thể đo lường được. Bảo mật có thể đo lường được có nghĩa là
các khía cạnh khác nhau của cơ chế bảo mật phải hoạt động, mang lại một lợi
ích rõ ràng, và có một hay nhiều chỉ số có thể được ghi lại và được phân tích.
Tương tự như các chỉ số hiệu suất, các chỉ số bảo mật là những thước đo hiệu
suất, tính năng, hoạt động, hành động, v.v… khi liên quan đến sự vận hành của
một tính năng bảo mật. Khi một biện pháp ứng phó hoặc bảo vệ được triển khai,
các chỉ số bảo mật nên cho thấy một sự giảm thiểu sự xuất hiện không mong
muốn hoặc một sự gia tăng trong việc phát hiện ra những nỗ lực [vi phạm bảo
mật]. Hành động đo lường và đánh giá các chỉ số bảo mật chính là là thực tiễn
đánh giá tính đầy đủ và hiệu quả của chương trình bảo mật. Việc này cũng nên
bao gồm việc đo lường nó so với các nguyên tắc bảo mật phổ biến và theo dõi
sự thành công của các biện pháp kiểm soát của nó. Theo dõi và đánh giá các chỉ
số bảo mật là một phần của quản trị bảo mật hiệu quả.
Việc quản lý chức năng bảo mật bao gồm việc phát triển và triển khai các chiến
lược bảo mật thông tin. Hầu hết những nội dung của kỳ thi CISSP, và từ đó là
ấn phẩm này, đều xác định những khía cạnh khác nhau của việc phát triển và
triển khai các chiến lược bảo mật thông tin.
Sự liên kết Chức năng Bảo mật với Chiến lược, Mục đích, Sứ mệnh
và Mục tiêu Doanh nghiệp
Hoạch định quản lý bảo mật đảm bảo việc tạo, triển khai và thực thi chính sách
bảo mật phù hợp. Lập kế hoạch quản lý bảo mật liên kết các chức năng bảo mật
phù hợp với chiến lược, mục đích, sứ mệnh và mục tiêu của tổ chức. Điều này
bao gồm việc thiết kế và triển khai bảo mật dựa trên các đề án kinh doanh, hạn
chế ngân sách hoặc sự khan hiếm tài nguyên. Một đề án kinh doanh thường là
một luận cứ được lập thành văn bản hoặc vị thế đã được nêu để xác định nhu
cầu đưa ra một quyết định hoặc thực hiện một số hình thức hành động. Tạo ra
một đề án kinh doanh là để chứng minh cho nhu cầu cụ thể của doanh nghiệp
để thay đổi một quy trình hiện có hoặc lựa chọn một cách tiếp cận cho một
nhiệm vụ kinh doanh. Một đề án kinh doanh thường được đưa ra để biện minh
cho việc bắt đầu một dự án mới, đặc biệt là một dự án có liên quan đến bảo
mật. Trong hầu hết các tổ chức, tiền bạc và các nguồn lực, chẳng hạn như con
123 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
người, công nghệ và không gian, đều bị hạn chế. Do những hạn chế về nguồn
lực như vậy nên lợi ích tối đa cần phải đạt được từ bất kỳ nỗ lực nào.
Một trong những cách hiệu quả nhất để giải quyết việc lập kế hoạch quản lý bảo
mật là sử dụng phương pháp tiếp cận từ-trên-xuống. Quản lý cấp trên hoặc quản
lý cấp cao chịu trách nhiệm cho việc khởi xướng và xác định các chính sách cho
tổ chức. Các chính sách bảo mật cung cấp định hướng cho tất cả các cấp trong
hệ thống phân cấp của tổ chức. Trách nhiệm của quản lý cấp trung là biến chính
sách bảo mật thành các tiêu chuẩn, đường cơ sở, hướng dẫn và thủ tục. Các nhà
quản lý vận hành hoặc chuyên gia bảo mật sau đó phải triển khai các cấu hình
đã được chỉ định trong tài liệu quản lý bảo mật. Cuối cùng, người dùng đầu cuối
phải tuân thủ tất cả các chính sách bảo mật của tổ chức.
Ngược lại với phương pháp tiếp cận từ-trên-xuống là phương pháp
tiếp cận từ-dưới-lên. Trong một môi trường tiếp cận từ-dưới-lên,
nhân viên CNTT đưa ra các quyết định bảo mật trực tiếp mà không
cần đầu vào từ các quản lý cấp cao. Phương pháp tiếp cận từdưới-lên hiếm khi được sử dụng trong các tổ chức và được xem là
một vấn đề trong ngành CNTT.
Quản lý bảo mật là trách nhiệm của các nhà quản lý cấp trên chứ không phải
của nhân viên CNTT, và được xem là một vấn đề của vận hành doanh nghiệp
thay vì quản trị CNTT. Nhóm hoặc bộ phận chịu trách nhiệm cho bảo mật trong
phạm vi của một tổ chức nên được tự quản. Nhóm bảo mật thông tin (Information
security team – InfoSec) nên được lãnh đạo bởi một giám đốc bảo mật thông tin
(chief information security officer – CISO), người báo cáo trực tiếp cho các nhà
quản lý cấp cao, chẳng hạn như giám đốc thông tin (chief information officer –
CIO), giám đốc điều hành (chief executive officer – CEO), hoặc hội đồng quản
trị. Việc đặt quyền tự chủ của CISO và nhóm của CISO ra khỏi phạm vi cấu trúc
phân cấp điển hình trong một tổ chức có thể cải thiện việc quản lý bảo mật trên
toàn bộ tổ chức. Nó cũng giúp tránh khỏi các vấn đề chính trị nội bộ và liên-bộphận. Thuật ngữ giám đốc bảo mật (chief security officer - CSO) đôi khi cũng
được sử dụng để thay thế cho CISO, nhưng trong nhiều tổ chức, vị trí CSO là
một chức năng phụ của CISO tập trung vào bảo mật về mặt vật lý. Một thuật
124 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
ngữ tiềm năng khác đối với CISO là nhân viên bảo mật thông tin (information
security officer - ISO), nhưng thuật ngữ này cũng có thể được sử dụng như một
phụ tá bên dưới CISO.
Giám đốc thông tin (CIO) tập trung vào việc đảm bảo thông tin
được sử dụng một cách hiệu quả để hoàn thành các mục tiêu kinh
doanh. Giám đốc kỹ thuật (chief technical officer – CTO) tập trung
vào việc đảm bảo rằng các thiết bị và phần mềm hoạt động một
cách đúng đắn để hỗ trợ cho các chức năng nghiệp vụ.
Các yếu tố hoạch định quản lý bảo mật bao gồm việc xác định các vai trò bảo
mật, chỉ định cách thức bảo mật sẽ được quản lý như thế nào, ai chịu trách
nhiệm cho bảo mật, và cách mà tính hiệu quả của bảo mật sẽ được kiểm tra,
phát triển các chính sách bảo mật, thực hiện phân tích rủi ro, và yêu cầu đào
tạo về bảo mật cho nhân viên. Những nỗ lực này được định hướng thông qua sự
phát triển của các kế hoạch quản lý.
Kế hoạch bảo mật tốt nhất sẽ vô dụng nếu thiếu đi một yếu tố then chốt: sự phê
duyệt của quản lý cấp cao. Nếu không có sự chấp thuận và cam kết của các nhà
quản lý cấp cao đối với chính sách bảo mật, chính sách này sẽ thất bại. Trách
nhiệm của nhóm phát triển chính sách là giáo dục một cách đầy đủ cho các nhà
quản lý cấp cao để họ hiểu được rủi ro, nghĩa vụ pháp lý và tai tiếng vẫn tồn
tại kể cả sau khi các biện pháp bảo mật được chỉ định trong chính sách đã được
triển khai. Việc phát triển và triển khai một chính sách bảo mật là bằng chứng
của sự thẩm tra và quan tâm đúng m ức từ phía các nhà quản lý cấp cao. Nếu
một công ty không thực hiện thẩm tra và quan tâm dúng m ức, các nhà quản lý
có thể phải chịu trách nhiệm về sự sơ sót và chịu trách nhiệm giải trình về tổn
thất về mặt tài sản lẫn tài chính.
Một nhóm hoạch định quản lý bảo mật nên phát triển 3 loại kế hoạch, như được
minh họa trong Hình 1.3:
125 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
HÌNH 1.3
So sánh khung thời gian của các kế hoạch chiến lược, chiến thuật
và vận hành
Kế hoạch Chiến lược
Một kế hoạch chiến lược là một kế hoạch
dài-hạn tương đối ổn định. Nó xác định mục đích bảo mật của tổ chức. Nó
cũng xác định chức năng bảo mật và liên kết nó một cách phù hợp với các
mục đích, sứ mệnh và mục tiêu của tổ chức. Kế hoạch này hữu ích trong
khoảng thời gian năm năm, nếu nó được duy trì và cập nhật hàng năm. Kế
hoạch chiến lược cũng đóng vai trò là đường chân trời hoạch định. Các
mục tiêu dài-hạn và tầm nhìn cho tương lai được thảo luận trong một kế
hoạch chiến lược. Một kế hoạch chiến lược nên bao gồm một đánh giá rủi
ro.
Kế hoạch Chiến thuật
Một kế hoạch chiến thuật là một kế hoạch
trung hạn được phát triển để cung cấp thêm thông tin chi tiết về việc hoàn
thành các mục tiêu đã được đề ra trong kế hoạch chiến lược hoặc có thể
được lập một cách đột xuất dựa trên các sự kiện chưa được dự đoán. Một
kế hoạch chiến thuật thường hữu ích trong khoảng thời gian một năm và
thường chỉ định và lập lịch trình cho các nhiệm vụ cần thiết để hoàn thành
các mục tiêu của tổ chức. Một số ví dụ về kế hoạch chiến thuật là kế hoạch
dự án, kế hoạch mua lại, kế hoạch tuyển dụng, kế hoạch ngân sách, kế
hoạch bảo trì, kế hoạch hỗ trợ và kế hoạch phát triển hệ thống.
126 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Kế hoạch Vận hành
Kế hoạch vận hành là một kế hoạch ngắn-
hạn, có tính chi tiết cao dựa trên các kế hoạch chiến lược và chiến thuật.
Nó chỉ có giá trị hoặc hữu ích trong một khoảng thời gian ngắn. Các kế
hoạch vận hành phải được cập nhật thường xuyên (chẳng hạn như hàng
tháng hoặc hàng quý) để duy trì sự tuân thủ với các kế hoạch chiến thuật.
Các kế hoạch vận hành chỉ ra cách thức hoàn thành các mục tiêu khác
nhau của tổ chức. Chúng bao gồm phân bổ nguồn lực, yêu cầu ngân sách,
chỉ định nhân sự, lập lịch trình và thủ tục triển khai hoặc thủ tục từng
bước. Kế hoạch vận hành bao gồm các chi tiết về cách thức các quá trình
triển khai tuân thủ chính sách bảo mật của tổ chức như thế nào. Ví dụ về
kế hoạch vận hành là kế hoạch đào tạo, kế hoạch triển khai hệ thống và
kế hoạch thiết kế sản phẩm.
Bảo mật là một quá trình liên tục. Do đó, hoạt động hoạch định quản lý bảo mật
có thể có một điểm khởi đầu rõ ràng nhưng các nhiệm vụ và hoạt động của hoạt
động này không bao giờ được hoàn thành hoặc hoàn tất một cách đầy đủ. Các
kế hoạch bảo mật hiệu quả tập trung sự chú ý vào các mục tiêu cụ thể và có thể
đạt được, dự đoán được các thay đổi và những vấn đề tiềm ẩn, và đóng vai trò
như một cơ sở để đưa ra quyết định cho toàn bộ tổ chức. Tài liệu bảo mật phải
cụ thể, được xác định rõ ràng và được nêu ra một cách rõ ràng. Để một kế hoạch
bảo mật có hiệu quả, nó phải được phát triển, duy trì và thực sự được sử dụng.
Các Quy trình Tổ chức
Quản trị bảo mật nên giải quyết từng khía cạnh của một tổ chức, bao gồm các
quy trình của tổ chức về mua lại, thoái vốn, và hội đồng quản trị. Mua lại và sáp
nhập đặt một tổ chức vào một mức độ rủi ro cao hơn. Những rủi ro như vậy bao
gồm tiết lộ thông tin không phù hợp, mất dữ liệu, ngừng hoạt động, hoặc thất
bại trong việc đạt được đủ lợi nhuận trên khoản đầu tư (ROI). Ngoài những khía
cạnh doanh nghiệp và tài chính điển hình của mua lại và sáp nhập, một liều
lượng lành mạnh của giám sát bảo mật và sự xem xét kỹ lưỡng được gia tăng
thường là điều thiết yếu để giảm thiểu khả năng xảy ra tổn thất trong khoảng
thời gian chuyển đổi như vậy.
127 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tương tự, một sự thoái vốn hoặc bất kỳ hình thức cắt giảm tài sản hoặc nhân
viên nào đều là một khoảng thời gian khác làm gia tăng r ủi ro và do đó cần tăng
cường việc quản trị bảo mật tập trung. Tài sản cần phải được làm sạch để ngăn
chặn rò rỉ dữ liệu. Phương tiện lưu trữ phải được loại bỏ và phá hủy, vì các kỹ
thuật làm sạch phương tiện không đảm bảo chống lại việc khôi phục những dữ
liệu còn sót lại. Các nhân viên được giải phóng khỏi nhiệm vụ cũng cần phải
được thảo luận. Quá trình này thường được gọi là cuộc phỏng vấn trước khi nghỉ
việc (exit interview). Quá trình này thường bao gồm việc xem xét bất kỳ thỏa
thuận không tiết lộ nào cũng như bất kỳ ràng buộc hợp đồng hoặc thỏa thuận
nào khác sẽ vẫn tiếp tục có hiệu lục sau khi công việc đã chấm dứt.
Khi các hoạt động mua lại và sáp nhập được thực hiện mà không có các cân nhắc
về bảo mật, những rủi ro cố hữu trong các sản phẩm thu được đó vẫn tồn tại
trong suốt vòng đời triển khai của chúng. Việc giảm thiểu các mối đe dọa cố hữu
trong các phần tử đã có được sẽ giảm chi phí quản lý bảo mật và có khả năng
giảm các vi phạm bảo mật.
Một điều quan trọng là cần đánh giá những rủi ro tương ứng với phần cứng,
phần mềm, và các dịch vụ. Các sản phẩm và giải pháp có tính linh hoạt được
tích hợp với bảo mật thường sẽ đắt tiền hơn những sản phẩm và giải pháp không
có nền tảng bảo mật. Tuy nhiên, khoản chi phí ban đầu bổ sung này thường là
một khoản chi phí có hiệu quả hơn nhiều so với việc giải quyết các thiếu sót về
bảo mật trong vòng đời của một sản phẩm được thiết kế kém. Do đó, khi xem
xét chi phí mua lại/sáp nhập, điều quan trọng là phải xem xét tổng chi phí sở
hữu trong suốt thời gian triển khai sản phẩm hơn là chỉ mua sắm và triển khai
ban đầu.
Mua lại không chỉ liên quan đến phần cứng và phần mềm. Thuê ngoài, hợp đồng
với các nhà cung cấp và các nhà tư vấn tham gia cũng là các yếu tố của việc
mua lại. Việc tích hợp các đánh giá bảo mật khi làm việc với các thực thể bên
ngoài cũng quan trọng như việc đảm bảo một sản phẩm được thiết kế có với sự
lưu ý đến tính bảo mật.
Trong rất nhiều trường hợp, việc giám sát, quản lý và đánh giá bảo mật liên tục
có thể là bắt buộc. Đây có thể là một thực tiễn tốt nhất trong ngành hoặc là một
128 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
quy định. Những quy trình đánh giá và giám sát như vậy có thể được thực hiện
bởi nội bộ tổ chức hoặc có thể đòi hỏi phải sử dụng các kiểm toán viên bên
ngoài. Khi liên quan đến các dịch vụ giám sát và đánh giá bên-thứ-ba, hãy lưu
ý rằng thực thể bên ngoài cần phải cần thể hiện ý thức bảo mật trong hoạt động
kinh doanh của họ. Nếu một tổ chức bên ngoài không thể quản lý các hoạt động
nội bộ của chính họ trên cơ sở bảo mật thì làm thế nào để họ có thể cung cấp
các chức năng quản lý bảo mật đáng tin cậy cho bạn?
Khi đánh giá bên thứ ba về khả năng tích hợp bảo mật của bạn, hãy xem xét các
quy trình sau:
Đánh giá Tại-chỗ Hãy ghé thăm địa điểm của tổ chức để phỏng vấn nhân
sự và quan sát những thói quen hoạt động của họ.
Trao đổi và Đánh giá Tài liệu Hãy điều tra các phương tiện mà theo đó,
các bộ dữ liệu và tài liệu được trao đổi cũng như các quy trình chính th ức
mà họ thực hiện đánh giá và xem xét.
Xem xét Quy trình/Chính sách Hãy yêu cầu bản sao của các chính sách,
quy trình/thủ tục bảo mật và tài liệu về các sự cố và biện pháp ứng phó
để xem xét.
Kiểm toán Bên-Thứ-ba Việc có được một kiểm toán viên bên-thứ-ba độc
lập, theo định nghĩa của Viện Kế toán Công được Chứng nhận của Hoa Kỳ
(American Institute of Certified Public Accountants - AICPA), có thể cung
cấp một đánh giá khách quan về cơ sở hạ tầng bảo mật của thực thể, dựa
trên báo cáo Kiểm soát Tổ chức Dịch vụ (Service Organization Control SOC). Xem Chương 15 để biết chi tiết về các báo cáo SOC.
Đối với tất cả các thương vụ mua lại, hãy xác lập các yêu cầu bảo mật tối thiểu.
Chúng nên được mô phỏng theo chính sách bảo mật hiện có của bạn. Các yêu
cầu bảo mật đối với phần cứng, phần mềm hoặc dịch vụ mới phải luôn đáp ứng
hoặc vượt quá mức độ bảo mật của cơ sở hạ tầng hiện có của bạn. Khi làm việc
với một dịch vụ bên ngoài, hãy đảm bảo đã xem xét mọi thỏa thuận mức-dịchvụ (service-level agreement - SLA) để đảm bảo rằng bảo mật là một thành phần
được chỉ định của các dịch vụ đã được ký hợp đồng. Khi nhà cung cấp bên ngoài
129 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
đó đang tạo ra phần mềm hoặc cung cấp dịch vụ (chẳng hạn như một nhà cung
cấp đám mây) thì yêu cầu về mức dịch vụ (service-level requirement - SLR) có
thể cần phải được xác định. SLR là một tuyên bố về những kỳ vọng về dịch vụ
và hiệu suất từ sản phẩm hoặc dịch vụ của nhà cung cấp. Thông thường, SLR
được khách hàng cung cấp trước khi thiết lập SLA (nên kết hợp các yếu tố của
SLR nếu như nhà cung cấp mong đợi khách hàng ký vào thỏa thuận).
Hai ví dụ bổ sung về các quy trình tổ chức thiết yếu để quản trị bảo mật mạnh
mẽ là kiểm soát thay đổi/quản lý thay đổi (xem Chương 16, “Quản lý Vận hành
Bảo mật”) và phân loại dữ liệu (xem Chương 5, “Bảo vệ Tính bảo mật của Tài
sản”).
Các Vai trò và Trách nhiệm Tổ chức
Một vai trò bảo mật là phần mà một cá nhân đảm nhiệm trong lược đồ tổng thể
của triển khai và quản trị bảo mật trong phạm vi một tổ chức. Những vai trò bảo
mật không nhất thiết phải được chỉ định trong các mô tả công việc bởi vì chúng
không phải lúc nào cũng khác biệt hoặc không thay đổi. Sự quen thuộc với các
vai trò bảo mật sẽ giúp ích cho việc thiết lập cấu trúc giao tiếp và hỗ trợ trong
một tổ chức. Cấu trúc này sẽ hỗ trợ việc triển khai và thực thi chính sách bảo
mật. Phần này sẽ tập trung vào các vai trò bảo mật có mục đích chung để quản
lý một cơ sở hạ tầng bảo mật tổng thể. Hãy xem Chương 5 để biết các vai trò
liên quan cụ thể đến quản lý dữ liệu.
Dưới đây là những vai trò bảo mật phổ biến hiện diện trong một môi trường được
bảo mật điển hình:
Nhà quản lý Cấp cao
Vai trò chủ sở hữu của tổ chức (nhà quản lý cấp
cao) được chỉ định cho cá nhân chịu trách nhiệm sau cùng cho bảo mật
được duy trì bởi một tổ chức và là người cần phải quan tâm nhất đến việc
bảo vệ tài sản của tổ chức. Nhà quản lý cấp cao phải ký xác nhận về tất
cả các vấn đề về chính sách bảo mật. Sẽ không có chính sách bảo mật
hiệu quả nếu như quản lý cấp cao không cấp phép và hỗ trợ cho nó. Nhà
quản lý cấp cao là người sẽ chịu trách nhiệm về sự thành công hay thất
bại tổng thể của một giải pháp bảo mật và chịu trách nhiệm cho việc thực
hiện thẩm định và quan tâm đúng mức trong việc thiết lập bảo mật cho
130 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
một tổ chức. Dẫu cho các nhà quản lý cấp cao là người chịu trách nhiệm
sau cùng về bảo mật nhưng họ hiếm khi triển khai các giải pháp bảo mật.
Trong hầu hết các trường hợp, trách nhiệm đó được giao cho các chuyên
gia bảo mật trong tổ chức.
Chuyên gia Bảo mật
Vai
trò
chuyên
gia
bảo
mật
(security
professional), nhân viên bảo mật thông tin (information security officer –
InfoSec) hoặc nhóm ứng phó sự cố máy tính (computer incident response
team – CIRT) được chỉ định cho một kỹ sư mạng, hệ thống và bảo mật có
kinh nghiệm và được đào tạo, người chịu trách nhiệm cho việc theo dõi
những chỉ thị bắt buộc từ quản lý cấp cao. Chuyên gia bảo mật có trách
nhiệm về mặt chức năng đối với bảo mật, bao gồm cả việc viết ra chính
sách bảo mật và triển khai chính sách đó. Vai trò của chuyên gia bảo mật
có thể được coi là một vai trò HTTT/CNTT, nhưng trọng tâm của nó thiên
về bảo vệ nhiều hơn là chức năng. Vai trò chuyên gia b ảo mật thường
được đảm nhiệm bởi một nhóm chịu trách nhiệm cho việc thiết kế và triển
khai các giải pháp bảo mật dựa trên chính sách bảo mật đã được phê
duyệt. Các chuyên gia bảo mật không phải là người đưa ra các quyết định,
họ là những người triển khai. Tất cả các quyết định phải được để lại cho
nhà quản lý cấp cao.
Chủ sở hữu Tài sản
Vai trò chủ sở hữu tài sản (asset chủ sở hữu)
được chỉ định cho cá nhân chịu trách nhiệm cho việc phân loại thông tin
để sắp xếp và bảo vệ trong phạm vi giải pháp bảo mật. Chủ sở hữu tài sản
thường là một nhà quản lý cấp-cao, người chịu trách nhiệm sau cùng cho
việc bảo vệ tài sản. Tuy nhiên, chủ sở hữu tài sản thường ủy thác trách
nhiệm của các nhiệm vụ quản lý dữ liệu thực tế cho người bảo quản.
Người bảo quản
Vai trò người bảo quản được chỉ định cho người
dùng chịu trách nhiệm về các nhiệm vụ triển khai việc bảo vệ theo chỉ
định được xác định bởi chính sách bảo mật và nhà quản lý cấp cao. Người
bảo quản thực hiện mọi hoạt động cần thiết để đem đến sự bảo vệ thích
hợp cho Bộ ba CIA (tính bảo mật, tính toàn vẹn và tính sẵn sàng) của dữ
liệu và để thực hiện các yêu cầu và trách nhiệm đã được ủy thác từ các
nhà quản lý cấp trên. Các hoạt động này có thể bao gồm thực hiện và kiểm
131 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tra các bản sao lưu, xác thực tính toàn vẹn của dữ liệu, triển khai các giải
pháp bảo mật và quản lý lưu trữ dữ liệu dựa trên phân loại.
Người dùng
Vai trò người dùng (người dùng đầu cuối hoặc
người vận hành) được chỉ định cho bất kỳ cá nhân nào có quyền truy cập
vào một hệ thống được bảo mật. Quyền truy cập của một người dùng được
gắn chặt với nhiệm vụ công việc của họ và bị giới hạn để họ chỉ có đủ
quyền truy cập để thực hiện những tác vụ cần thiết cho vị trí công việc
của họ (nguyên tắc đặc quyền ít nhất). Người dùng chịu trách nhiệm cho
việc hiểu và ủng hộ cho chính sách bảo mật của một tổ chức bằng cách
tuân theo các thủ tục hoạt động đã được chỉ định và hoạt động trong phạm
vi chu vi bảo mật đã định.
Kiểm toán viên
Một kiểm toán viên chịu trách nhiệm cho việc xem
xét và xác minh rằng chính sách bảo mật đã được triển khai một cách đúng
đắn và các giải pháp bảo mật đã có được là đầy đủ. Kiểm toán viên tạo ra
các báo cáo về sự tuân thủ và tính hiệu quả đã được đánh giá bởi các nhà
quản lý cấp cao. Những vấn đề được khám phá thông qua các báo cáo này
được chuyển đổi thành những chỉ thị mới được chỉ định bởi các nhà quản
lý cấp cao cho các chuyên gia b ảo mật hoặc người bảo quản.
Tất cả những vai trò này đều phục vụ một chức năng quan trọng trong một môi
trường được bảo mật. Chúng rất hữu ích để xác định trách nhiệm pháp lý và
trách nhiệm cũng như xác định sơ đồ quản lý và ủy quyền theo cấu trúc phân
cấp.
Các Khuôn khổ Kiểm soát Bảo mật
Một trong những bước hoạch định bảo mật đầu tiên và quan trọng nhất là xem
xét khuôn khổ kiểm soát bảo mật tổng thể hay cấu trúc của giải pháp bảo mật
được mong muốn bởi tổ chức. Bạn có thể chọn từ một số tùy chọn liên quan đến
cơ sở hạ tầng khái niệm bảo mật, tuy nhiên, một trong số các khuôn khổ kiểm
soát bảo mật được sử dụng rộng rãi nhất là Các Mục tiêu Kiểm soát đối với Thông
tin và Công nghệ Liên quan (Control Đối tượngives for Information and Related
Technology - COBIT). COBIT là một bộ các thực tiễn tốt nhất của CNTT được lập
thành tài liệu được tạo ra bởi Hiệp hội Kiểm soát và Kiểm toán Hệ thống Thông
132 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tin (Information Systems Audit and Control Association - ISACA). Khuôn khổ này
mô tả những mục đích và yêu cầu đối với các biện pháp kiểm soát bảo mật và
khuyến khích việc ánh xạ những ý tưởng bảo mật CNTT với các mục tiêu của
doanh nghiệp. COBIT dựa trên 6 nguyên tắc then chốt để quản trị và quản lý
CNTT của doanh nghiệp:
▪
Mang lại Giá trị cho Bên Liên quan
▪
Phương pháp tiếp cận Toàn diện
▪
Hệ thống Quản trị Động
▪
Quản trị Khác với Quản lý
▪
Được điều chỉnh theo Nhu cầu của Doanh nghiệp
▪
Hệ thống Quản trị Từ-đầu-đến-cuối.
COBIT được sử dụng không chỉ để lập kế hoạch bảo mật CNTT của một tổ chức
mà còn là một định hướng cho các kiểm toán viên. COBIT là một khuôn khổ kiểm
soát bảo mật được tôn trọng và công nhận một cách rộng rãi.
May mắn thay, COBIT chỉ được tham chiếu một cách khá khiêm tốn trong kỳ thi
CISSP, do đó những chi tiết khác là không cần thiết. Tuy nhiên, nếu bạn quan
tâm
đến
khái
niệm
này,
vui
lòng
truy
cập
vào
trang
web
của
ISACA
(www.isaca.org/cobit), hoặc nếu bạn muốn có một cái nhìn tổng quan nói chung,
hãy đọc mục COBIT từ Wikipedia.
Ngoài ra, còn có rất nhiều tiêu chuẩn và hướng dẫn khác đối với bảo mật CNTT.
Dưới đây là một vài trong số đó:
▪
NIST 800-53 Rev.5, “Các Biện pháp kiểm soát Bảo mật và Quyền riêng tư
dành
cho
các
Hệ
thống
Thông
tin
và
Tổ
chức”
(csrc.nist.gov/publications/detail/sp/800 -53/rev-5/final), bao gồm những
khuyến cáo chung có nguồn từ chính phủ Hoa Kỳ dành cho bảo mật của tổ
chức.
▪
Trung tâm Bảo mật Internet (Center for Internet Security – CIS) cung cấp
những hướng dẫn thiết lập cấu hình bảo mật Hệ điều hành, ứng dụng và
phần cứng tại www.cisecurity.org/cis-benchmarks.
▪
Khuôn khổ Quản lý Rủi ro NIST (NIST Risk Management Framework – RMF)
(csrc.nist.org/project /risk-management/rmf-overview) xác lập những yêu
cầu bắt buộc đối với các cơ quan liên bang Hoa K ỳ. RMF có 6 giai đoạn:
133 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Phân loại, Lựa chọn, Triển khai, Đánh giá, Ủy quyền và Giám sát (lần lượt
là Categorize, Select, Implement, Assess, Authorize, và Monitor).
▪
Khuôn khổ An ninh mạng NIST (NIST Cybersecurity Framework – CSF)
(www.nist.org/cyberframework) được thiết kế dành cho những cơ sở hạ
tầng trọng yếu và các tổ chức thương mại, và bao gồm 5 chức năng: Xác
định, Bảo vệ, Phát hiện, Ứng phó và Khôi phục (lần lượt là Identify,
Protect, Detect, Respond và Recover). Đây là một quy định về các hoạt
động vận hành sẽ được thực hiện trên cơ sở liên tục để hỗ trợ và cải thiện
bảo mật theo thời gian.
▪
Họ tiêu chuẩn ISO/IEC 27000 của Tổ chức Tiêu chuẩn Quốc tế (ISO)/Ủy
ban
Kỹ
thuật
điện
Quốc
tế
(IEC)
Standardization/International
(International
Organization
Electrotechnical
for
Commission )
(www.itgovernanceusa.com/iso27000 -family) là một tiêu chuẩn quốc tế có
thể được lấy làm cơ sở để triển khai bảo mật và những thực tiễn quản lý
có liên quan của tổ chức.
▪
Thư viện Cơ sở hạ tầng Công nghệ Thông tin (Information Technology
Infrastructure Library – ITIL) (www.itlibrary.org), ban đầu được tạo ra
bởi chính phủ Vương quốc Anh, là một bộ những thực tiễn tốt nhất được
khuyến cáo để tối ưu hóa các dịch vụ CNTT để hỗ trợ cho sự tăng trưởng,
chuyển đổi và thay đổi của doanh nghiệp. ITIL tập trung vào việc tìm hiểu
cách thức CNTT và bảo mật cần phải được tích hợp và liên kết với các mục
tiêu của một tổ chức như thế nào. ITIL và các quy trình vận hành thường
được sử dụng như một điểm khởi đầu để tạo ra một giải pháp bảo mật
CNTT được tùy chỉnh trong phạm vi một cơ sở hạ tầng đã được xác lập.
Thẩm định và Chăm sóc thích đáng
Tại sao việc hoạch định đối với kế hoạch bảo mật lại quan trọng đến như vậy?
Một trong số các lý do là yêu cầu về sự thẩm định (due diligence) và chăm sóc
thích đáng (due care). Thẩm định là thiết lập một kế hoạch, chính sách và quy
trình để bảo vệ những lợi ích của một tổ chức. Chăm sóc thích đáng là thực hành
các hoạt động cá nhân để duy trì nỗ lực thẩm định. Ví dụ: thẩm định là phát
triển một cấu trúc bảo mật được chính thức hóa bao gồm một chính sách bảo
mật, các tiêu chuẩn, đường cơ sở, hướng dẫn và thủ tục. Chăm sóc thích đáng
là việc tiếp tục áp dụng cấu trúc bảo mật này vào cơ sở hạ tầng CNTT của một
134 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tổ chức. Bảo mật hoạt động là việc duy trì liên tục sự thẩm định và chăm sóc
thích đáng liên tục của tất cả các bên có trách nhiệm trong một tổ chức. Thẩm
định là biết được những gì nên làm và lập kế hoạch cho nó, chăm sóc thích đáng
là thực hiện đúng hành động vào đúng thời điểm.
Trong môi trường kinh doanh ngày nay, sự thận trọng là điều bắt buộc. Việc thể
hiện thẩm định và chăm sóc đúng mức là cách duy nhất để loại bỏ sơ suất khi
xảy ra tổn thất. Các nhà quản lý cấp cao phải thể hiện sự cẩn trọng và chăm sóc
đúng mức để giảm thiểu tội lỗi và trách nhiệm của họ khi xảy ra tổn thất.
Chính sách, Tiêu chuẩn, Thủ tục và Hướng dẫn Bảo mật
Đối với hầu hết các tổ chức, việc duy trì bảo mật là một phần thiết yếu của hoạt
động kinh doanh liên tục. Để giảm thiểu khả năng xảy ra của một lỗi bảo mật,
quá trình triển khai bảo mật phải được chính thức hóa bằng một tổ chức có cấu
trúc phân cấp của tải liệu. Việc phát triển và triển khai chính sách, tiêu chuẩn,
thủ tục và các hướng dẫn bảo mật đã được lập thành văn bản sẽ tạo ra một cơ
sở hạ tầng bảo mật vững chắc và đáng tin cậy.
Các Chính sách Bảo mật
Lớp cao nhất của quá trình chính thức hóa được gọi là chính sách bảo mật. Một
chính sách bảo mật là một tài liệu xác định phạm vi bảo mật cần thiết bởi tổ
chức và thảo luận về những tài sản cần bảo vệ và mức độ mà các giải pháp bảo
mật cần thực hiện để cung cấp sự bảo vệ cần thiết. Chính sách bảo mật là một
cái nhìn tổng quan hoặc khái quát về các nhu cầu bảo mật của một tổ chức. Nó
xác định các mục tiêu, tầm nhìn và mục đích bảo mật chiến lược và phác thảo
nên khuôn khổ bảo mật của một tổ chức. Chính sách bảo mật được sử dụng để
phân công trách nhiệm, xác định vai trò, chỉ định các yêu cầu kiểm toán, phác
thảo các quy trình thực thi, chỉ ra các yêu cầu tuân thủ và xác định các mức rủi
ro có thể chấp nhận được. Tài liệu này thường được sử dụng làm bằng chứng để
chỉ ra rằng các nhà quản lý cấp cao đã thực hiện sự cẩn trọng trong việc bảo vệ
bản thân chống lại sự xâm nhập, tấn công và thảm họa. Các chính sách bảo mật
là bắt buộc.
Rất nhiều tổ chức sử dụng một số loại chính sách bảo mật để xác định hoặc phác
thảo chiến lược bảo mật tổng thể của họ. Chính sách bảo mật của một tổ chức
135 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tập trung vào các vấn đề liên quan đến mọi khía cạnh của tổ chức. Một chính
sách bảo mật về vấn-đề-cụ-thể tập trung vào m ột dịch vụ mạng cụ thể, bộ phận,
chức năng hoặc một khía cạnh khác khác biệt với toàn bộ tổ chức. Một chính
sách bảo mật dành riêng cho hệ-thống-cụ-thể tập trung vào các hệ thống hoặc
loại hệ thống riêng lẻ và chỉ định phần cứng và phần mềm đã được phê duyệt,
phác thảo các phương pháp khóa chặt một hệ thống và thậm chí bắt buộc tường
lửa hoặc các biện pháp kiểm soát bảo mật cụ thể khác.
Từ luồng chính sách bảo mật, rất nhiều tài liệu hoặc yếu tố phụ khác cần thiết
cho một giải pháp bảo mật hoàn chỉnh. Các chính sách là những cái nhìn tổng
quan rộng rãi, trong khi các tiêu chuẩn, đường cơ sở, hướng dẫn và thủ tục bao
gồm những thông tin chi tiết và cụ thể hơn về giải pháp bảo mật thực tế. Tiêu
chuẩn là cấp độ tiếp theo bên dưới các chính sách bảo mật.
Chính sách Sử dụng Có thể được chấp thuận
Một chính sách sử dụng có thể được chấp thuận (acceptable use policy – AUP)
là một tài liệu phổ biến tồn tại như một phần của cơ sở hạ tầng tài liệu bảo
mật tổng thể. Chính sách này xác định mức độ có thể chấp nhận được về hiệu
suất và những kỳ vọng về hành vi và hoạt động. Thất bại trong việc tuân thủ
chính sách này có thể dẫn đến những cảnh cáo trong công việc, những hình
phạt hoặc chấm dứt hợp đồng.
Các Tiêu chuẩn, Đường cơ sở và Hướng dẫn Bảo mật
Khi các chính sách bảo mật chính đã được thiết lập, những tài liệu bảo mật còn
lại có thể được tạo ra theo định hướng của những chính sách đó. Các tiêu chuẩn
xác định các yêu cầu bắt buộc đối với việc sử dụng những phần cứng, phần mềm,
công nghệ, và các biện pháp kiểm soát bảo mật. Chúng cung cấp một loạt hành
động mà theo đó, công nghệ và các thủ tục được triển khai một cách thống nhất
trong toàn bộ tổ chức.
Một đường cơ sở xác định mức độ bảo mật tối thiểu mà mọi hệ thống trong toàn
bộ tổ chức phải đáp ứng. Một đường cơ sở là một dạng tiêu chuẩn được đặt
trọng tâm nhiều hơn vào vận hành. Mọi hệ thống đang không tuân thủ đường cơ
sở nên được tách ra khỏi hệ thống sản xuất cho đến khi chúng có th ể được nâng
136 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
lên đến mức của đường cơ sở. Đường cơ sở xác lập một trạng thái bảo mật nền
tảng chung mà mọi biện pháp bảo mật nghiêm ngặt và bổ sung đều có thể được
xây dựng trên đó. Các đường cơ sở thường là hệ thống cụ thể và thường đề cập
đến một tiêu chuẩn ngành hoặc tiêu chuẩn của chính phủ.
Các hướng dẫn là thành phần tiếp theo của cấu trúc chính sách b ảo mật. Một
hướng dẫn là thành phần tiếp theo của cấu trúc chính sách bảo mật được chính
thức hóa. Hướng dẫn đưa ra các khuyến cáo về cách thức mà các tiêu chuẩn và
đường cơ sở được triển khai và đóng vai trò như một hướng dẫn hoạt động cho
cả chuyên gia bảo mật lẫn người dùng như thế nào. Các hướng dẫn khá linh
hoạt, vì vậy chúng có thể được tùy chỉnh cho từng hệ thống hoặc điều kiện duy
nhất và có thể được sử dụng trong việc tạo ra các thủ tục mới. Chúng nêu rõ cơ
chế bảo mật nào nên được triển khai thay vì chỉ định một sản phẩm hay biện
pháp kiểm soát cụ thể và chi tiết hóa các thiết lập cài đặt cấu hình. Chúng phác
thảo các phương pháp luận, bao gồm các hành động được đề xuất và không bắt
buộc.
Các Thủ tục Bảo mật
Các thủ tục là thành phần cuối cùng của cấu trúc chính sách bảo mật được chính
thức hóa. Một thủ tục hoặc thủ tục vận hành tiêu chuẩn (standard operating
procedure – SOP) là một tài liệu hướng dẫn chi tiết từng bước mô tả chính xác
các hành động cần thiết để triển khai một cơ chế, biện pháp kiểm soát hoặc giải
pháp bảo mật cụ thể. Một thủ tục có thể trình bày về toàn bộ hoạt động triển
khai hệ thống hoặc chỉ tập trung vào một sản phẩm hoặc khía cạnh duy nhất.
Chúng phải được cập nhật khi phần cứng và phần mềm của hệ thống phát triển.
Mục đích của một thủ tục là đảm bảo tính toàn vẹn của các quy trình nghiệp vụ
thông qua sự tiêu chuẩn hóa và tính nhất quán của các kết quả.
Ở trên đỉnh của cấu trúc tài liệu về chính sách bảo mật đã được chính thức hóa
sẽ có ít tài liệu hơn vì chúng bao gồm những cuộc thảo luận chung rộng rãi về
cái nhìn tổng quan và mục tiêu. Sẽ có nhiều tài liệu hơn khi đi xuống dưới cấu
trúc được chính thức hóa (hay nói cách khác, hướng dẫn và thủ tục) vì chúng
chứa các chi tiết cụ thể cho một số hệ thống, mạng, bộ phận và khu vực hạn
chế.
137 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Việc giữ cho những tài liệu này như các thực thể tách biệt mang lại những lợi
ích sau đây:
▪
Không phải mọi người dùng đều cần biết đến các tiêu chuẩn, đường cơ sở,
hướng dẫn và thủ tục bảo mật cho tất cả các cấp độ phân loại bảo mật.
▪
Khi những thay đổi xảy ra, việc cập nhật và phân phối lại chỉ những tài
liệu bị ảnh hưởng sẽ dễ dàng hơn là cập nhật một chính sách nguyên khối
và tái phân phối lại nó trong toàn bộ tổ chức.
Rất nhiều tổ chức đấu tranh chỉ để xác định các tham số cơ bản về bảo mật của
họ, ít chi tiết hơn nhiều về mọi khía cạnh riêng lẻ của những hoạt động hàngngày của họ. Tuy nhiên, xét về lý thuyết, một chính sách bảo mật chi tiết và
hoàn chỉnh sẽ hỗ trợ bảo mật trong thế-giới-thực một cách có định hướng, hiệu
quả và cụ thể. Chỉ khi tài liệu chính sách bảo mật được được hoàn thiện một
cách hợp lý, nó mới có thể được sử dụng để hướng dẫn cho các quyết định, đào
tạo người dùng mới, ứng phó với các vấn đề và dự đoán xu hướng để mở rộng
trong tương lai.
Mô hình hóa Mối đe dọa
Mô hình hóa mối đe dọa là tiến trình bảo mật trong đó những mối đe dọa tiềm
ẩn được xác định, phân loại và phân tích. Mô hình hóa mối đe dọa có thể được
thực hiện như một biện pháp chủ động trong quá trình thiết kế và phát triển
hoặc như một biện pháp ứng phó khi một sản phẩm đã được triển khai. Trong cả
hai trường hợp, quá trình này sẽ xác định thiệt hại tiềm ẩn, xác suất xảy ra, độ
ưu tiên của mối quan tâm, và phương tiện để loại bỏ hoặc giảm thiểu mối đe
dọa.
Mô hình hóa mối đe dọa không có nghĩa là một sự kiện đơn lẻ. Thay vào đó, nó
có nghĩa là được khởi đầu ngay từ sớm trong quá trình thiết kế của một hệ thống
và tiếp tục trong suốt vòng đời của nó. Ví dụ, Microsoft sử dụng Vòng đời Phát
triển Bảo mật (Security Development Lifecycle – SDL) (www.microsoft.com/enus/securityengineering/sdl) với phương châm “Bảo mật bằng Thiết kế, Bảo mật
theo Mặc định, Bảo mật khi Triển khai và Truyền thông” (Secure by Design,
Secure by Default, Secure in Deployment and Communication ) (còn được gọi là
SD3+C). Có hai mục đích cần được lưu ý trong quá trình nà y:
138 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Để giảm thiểu số lượng các khiếm khuyết trong thiết kế và lập trình liênquan-đến-bảo-mật,
▪
Để giảm thiểu mức độ nghiêm trọng của bất kỳ khiếm khuyết nào còn sót
lại.
Một phương pháp tiếp cận để phòng thủ đối với mô hình hóa mối đe dọa diễn ra
trong những giai đoạn ban đầu của phát triển hệ thống, đặc biệt là trong quá
trình thiết kế ban đầu và xác lập các thông số đặc tả kỹ thuật. Phương pháp này
căn cứ vào việc dự đoán các mối đe họa và thiết kế các biện pháp phòng thủ cụ
thể trong quá trình viết mã và chế tạo. Trong hầu hết các trường hợp, các giải
pháp bảo mật được tích hợp có hiệu-quả-chi-phí hơn và thành công hơn là những
giải pháp được cải tiến sau đó. Mặc dù không phải là một thuật ngữ chính thức
nhưng khái niệm này có thể được coi là một phương pháp tiếp cận chủ động để
quản lý mối đe dọa.
Thật không may, không phải tất cả các mối đe dọa đều có thể dự đoán được
trong giai đoạn thiết kế, do đó một phương pháp tiếp cận ứng phó đối với
quản lý mối đe dọa vẫn là điều cần thiết để giải quyết những vấn đề không
nhìn thấy trước được. Khái niệm này thường được gọi là săn tìm mối đe dọa
(threat hunting) hoặc có thể được tham chiếu như là một phương pháp tiếp
cận đối kháng (adversarial approach).
Một phương pháp tiếp cận đối kháng để mô hình hóa mối đe dọa diễn ra sau
khi một sản phẩm đã được tạo ra và được triển khai. Triển khai này có thể là
trong một môi trường thử nghiệm hoặc trong phòng thí nghiệm hoặc trong
không gian thị trường chung. Kỹ thuật săn tìm mối đe dọa này là khái niệm
cốt lõi đằng sau tin tặc đạo đức, kiểm nghiệm xâm nhập, xem xét mã nguồn,
và kiểm tra fuzz. Mặc dù những tiến trình này thường rất hữu ích trong việc
tìm ra những khuyết điểm và mối đe dọa nhưng rất tiếc, chúng thường dẫn
đến những nỗ lực bổ sung trong việc lập trình để viết thêm mã trong những
biện pháp đối phó mới, thường được phát hành như các bản vá lỗi. Điều này
dẫn đến các biện pháp cải tiến bảo mật kém hiệu quả hơn (thông qua việc mô
hình hóa mối đe dọa mang tính phòng thủ) với chi phí có thể làm giảm tính
năng và độ-thân-thiện-với-người-dùng.
139 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Kiểm tra fuzz là một kỹ thuật kiểm nghiệm động được chuyên môn hóa để cung
cấp rất nhiều kiểu đầu vào cho phần mềm để kéo căng những giới hạn của nó
và tìm ra những khuyết điểm chưa được phát hiện trước đây. Hãy xem Chương
15 để biết thêm chi tiết về kiểm tra fuzz.
Xác định các Mối đe dọa
Các mối đe dọa có khả năng là gần như vô hạn, do đó, điều quan trọng là phải
sử dụng một phương pháp tiếp cận có cấu trúc để xác định một cách chính xác
những mối đe dọa có liên quan. Ví dụ, một số tổ chức sử dụng một hay nhiều
phương pháp tiếp cận dưới đây:
▪
Trọng tâm là Tài sản
Phương pháp này sử dụng những kết quả
định giá tài sản và cố gắng xác định những mối đe dọa với những tài sản
có giá trị.
▪
Trọng tâm là Kẻ tấn công
Một số tổ chức có khả năng xác định những
kẻ tấn công tiềm năng và có thể xác định những mối đe dọa mà chúng đại
diện dựa trên động cơ, mục đích, mục tiêu, hoặc chiến thuật, kỹ thuật và
các thủ tục (TTPs) của kẻ tấn công.
▪
Trọng tâm là Phần mềm
Nếu một tổ chức phát triển phần mềm, nó
có thể cân nhắc những mối đe dọa chống lại phần mềm.
Một điều khá phổ biến là ghép các mối đe dọa với những lỗ hổng để xác định
các mối đe dọa có thể khai thác tài sản và thể hiện cho những rủi ro đáng kể
đối với tổ chức. Một mục đích tối hậu của việc mô hình hóa mối đe dọa là để ưu
tiên các mối đe dọa tiềm ẩn so với những tài sản có giá trị của tổ chức.
Khi cố gắng kiểm kê và phân loại các mối đe dọa, thường sẽ rất hữu ích khi sử
dụng một hướng dẫn hoặc một tham chiếu. Microsoft đã phát triển một lược đồ
phân loại các mối đe dọa còn được gọi là mô hình mối đe dọa STRIDE. STRIDE
là một từ viết tắt của:
▪
Spoofing (Lừa bịp) Một cuộc tấn công với mục đích chiếm được quyền
truy cập vào một hệ thống được nhắm mục tiêu thông qua việc sử dụng
một danh tính bị giả mạo. Khi một kẻ tấn công làm giả danh tính của chúng
bằng một danh tính hợp pháp hoặc hợp lệ, chúng thường có khả năng vượt
qua các bộ lọc và sự phong tỏa đối với quyền truy cập trái phép.
140 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Tampering (Can thiệp) Bất kỳ hành động nào dẫn đến những thay đổi
trái phép hoặc thao túng dữ liệu, bất kể trong quá trình truyền tải hoặc
đang lưu trữ.
▪
Repudiation (Thoái thác) Khả năng mà một người dùng hoặc kẻ tấn công
thoái thác việc đã thực hiện một hành động hoặc hoạt động bằng cách duy
trì sự khước từ hợp lý. Các cuộc tấn công thoái thác cũng có thể dẫn đến
việc các bên thứ ba vô tội bị đổ lỗi cho các vi phạm bảo mật.
▪
Information disclosure ( Tiết lộ thông tin) Tiết lộ hoặc phân phát thông
tin riêng tư, bí mật hoặc được kiểm soát cho các thực thể bên ngoài hoặc
thực thể trái phép.
▪
Denial of service (DoS) (Từ chối dịch vụ) Một cuộc tấn công cố gắng
ngăn chặn việc sử dụng tài nguyên hợp pháp. Việc này có thể được thực
hiện thông qua sự khai thác khuyết điểm, làm quá tải kết nối, hoặc gây
ngập lụt lưu lượng.
▪
Elevation of privilege (Leo thang đặc quyền) Một cuộc tấn công khi
một tài khoản người dùng bị giới hạn được chuyển đổi thành một tài khoản
có những đặc quyền, quyền hạn và quyền truy cập nhiều hơn.
Quá trình Mô phỏng Cuộc tấn công và Phân tích Mối đe dọa (Process for Attack
Simulation and Threat Analysis – PASTA) là một phương pháp luận mô hình hóa
mối đe dọa bao gồm 7-giai-đoạn. PASTA là một phương pháp tiếp cận tập-trungvào-rủi-ro (lấy rủi ro làm trung tâm) nhằm lựa chọn hoặc phát triển các biện
pháp đối phó liên quan đến giá trị cần được bảo vệ. Dưới đây là 7 bước của
PASTA:
▪
Giai đoạn 1: Xác định Mục tiêu (Definition of the Đối tượngives – DO) đối
với quá trình Phân tích R ủi ro.
▪
Giai đoạn 2: Xác định Phạm vi Kỹ thuật (Definition of the Technical Scope
– DTS).
▪
Giai đoạn 3: Phân rã và Phân tích Ứng dụng (Application Decomposition
and Analysis – ADA).
▪
Giai đoạn 4: Phân tích Mối đe dọa (Threat Analysis – TA).
▪
Giai đoạn 5: Phân tích Điểm yếu và Lỗ hổng (Weakness and Vulnerabilities
Analysis – WVA).
141 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Giai đoạn 6: Mô hình hóa và Mô phỏng Cuộc tấn công (Attack Modeling &
Simulation – AMS).
▪
Giai đoạn 7: Phân tích và Quản lý Rủi ro (Risk Analysis & Management –
RAM).
Mỗi giai đoạn của PASTA đều có một danh sách các mục tiêu cụ thể để đạt được
và các sản phẩm có thể chuyển giao để tạo ra nhằm hoàn tất giai đoạn. Để biết
thêm thông tin về PASTA, hãy đọc thêm Risk Centric Threat Modeling: Process
for Attack Simulation and Threat Analysis (tạm dịch: Mô hình hóa Mối đe dọa lấy
Rủi ro làm Trung tâm: Quá trình Mô phỏng Cuộc tấn công và Phân tích Mối đe
dọa) (Wiley, 2015) của tác giả Tony Uceda Velez và Marco M. Morana.
Visual, Agile, and Simple Threat ( Mối đe dọa Trực quan, Nhanh nhạy và Đơn
giản) là một khái niệm mô hình hóa m ối đe dọa tích hợp quản lý mối đe dọa và
quản lý rủi ro thành một môi trường lập trình Agile trên cơ sở có khả năng mở
rộng (xem Chương 20, “Bảo mật Phát triển Phần mềm”, liên quan đến Agile).
Đây chỉ là một vài trong số một loạt các khái niệm và phương pháp luận về mô
hình hóa mối de dọa đang sẵn có từ các nhóm cộng đồng, các thực thể thương
mại, các cơ quan chính phủ, và các hiệp hội quốc tế.
Cảnh báo về các Mối đe dọa Cá nhân
Cạnh tranh thường là một phầ n quan trọng của tăng trưởng kinh doanh, nhưng
cạnh tranh quá mức đối nghịch có thể làm gia tăng mức đ ộ đe dọa từ các cá
nhân. Ngoài tin tặc tội phạm và những nhân viên bất mãn, đối thủ, nhà thầu,
nhân viên và thậm chí cả các đối tác đáng tin cậy cũng có thể là mối đe dọa
cho một tổ chức nếu các mối quan hệ trở nên xấu đi.
Những mối đe dọa tiềm ẩn đối với doanh nghiệp của bạn rất rộng và đa dạng.
Một công ty phải đối mặt với những mối đe dọa từ thiên nhiên, công nghệ và
con người. Hãy luôn cân nhắc đến những kết quả khả thi tốt nhất và tệ nhất từ
các hành động, quyết định và tương tác của tổ chức của bạn. Việc xác định các
mối đe dọa là bước đầu tiên hướng đến việc thiết kế những biện pháp phòng thủ
142 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
để giúp giảm thiểu hoặc loại bỏ thời gian ngừng hoạt động, sự xâm phạm, và
tổn thất.
Xác định và Lập sơ đồ Các cuộc tấn công Tiềm năng
Bước tiếp theo trong mô hình hóa m ối đe dọa là xác định các khái niệm tấn công
tiềm năng có thể trở thành hiện thực. Việc này thường được hoàn thành thông
qua việc tạo ra một sơ đồ bao gồm các phần tử tham gia vào một giao dịch cùng
với những chỉ báo về luồng dữ liệu và ranh giới đặc quyền (Hình 1.4). Hình ảnh
này minh họa từng thành phần chính của một hệ thống, những ranh giới giữa
các khu vực bảo mật, và luồng hoặc chuyển động tiềm năng của thông tin và dữ
liệu.
Đây là một cái nhìn tổng quan cấp-cao và không phải là một đánh giá chi tiết về
logic viết mã. Tuy nhiên, đối với những hệ thống phức tạp hơn, nhiều sơ đồ có
thể cần phải được tạo ra tại những điểm trọng tâm khác nhau và ở những mức
độ phóng đại chi tiết khác nhau.
Khi sơ đồ đã được tạo ra, hãy xác định tất cả những công nghệ có liên quan.
Tiếp theo, hãy xác định các cuộc tấn công có thể được nhắm mục tiêu đến từng
phần tử của sơ đồ. Hãy lưu ý rằng tất cả những hình thức tấn công nên được
xem xét, bao gồm cả logic/kỹ thuật, vật lý và xã hội. Quá trình này sẽ nhanh
chóng dẫn bạn đến giai đoạn tiếp theo của mô hình hóa mối đe dọa: phân tích
sự biến đổi.
Thực hiện Phân tích Sự biến đổi
Bước tiếp theo trong mô hình hóa mối đe dọa là thực hiện phân tích sự biến đổi.
Phân tích sự biến đổi (reduction analysis) còn được gọi là phân rã (decomposing)
ứng dụng, hệ thống hoặc môi trường. Mục đích của nhiệm vụ này là để có được
hiểu biết tốt hơn về logic của sản phẩm, các thành phần bên trong của nó, cũng
như là những tương tác của nó với các phần tử bên ngoài. Dù là một ứng dụng,
một hệ thống hay toàn bộ một môi trường, nó đều cần phải được chia thành
những vùng chứa hoặc ngăn chứa nhỏ hơn. Đó có thể là các chương trình con,
các mô-đun hoặc đối tượng nếu bạn đang tập trung vào phần mềm, máy tính
hoặc Hệ điều hành, chúng có thể là các giao thức nếu bạn đang tập trung vào
hệ thống hoặc mạng, hoặc chúng có thể là các phòng ban, nhiệm vụ và mạng
143 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nếu bạn đang tập trung vào toàn bộ cơ sở hạ tầng doanh nghiệp. Mỗi phần tử
đã được xác định phải được đánh giá để tìm hiểu đầu vào, quá trình xử lý, bảo
mật, quản lý dữ liệu, lưu trữ và kết quả đầu ra.
HÌNH 1.4
Một ví dụ về việc lập sơ đồ để tiết lộ các mối quan tâm về mối đe
dọa
Trong quá trình phân rã, bạn phải xác định 5 khái niệm then chốt, bao gồm:
▪
Những Ranh giới Tin cậy Bất kỳ vị trì nào nơi mức độ tin cậy hoặc bảo
mật thay đổi.
▪
Lộ trình Luồng dữ liệu Sự chuyển động của dữ liệu giữa các vị trí.
▪
Các Điểm Đầu vào Những vị trí nơi nhận được các đầu vào từ bên ngoài.
▪
Hoạt động Đặc quyền Bất kỳ hoạt động nào yêu cầu đặc quyền nhiều
hon một tài khoản người dùng hoặc một tiến trình tiêu chuẩn, thường đòi
hỏi phải thực hiện việc thay đổi hệ thống hoặc sửa đổi bảo mật.
▪
Chi tiết về Lập trường và Phương pháp tiếp cận Bảo mật Tuyên bố về
chính sách bảo mật, nền tảng bảo mật, và những giả định bảo mật.
144 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Việc chia nhỏ một hệ thống thành các bộ phận cấu thành của nó khiến cho việc
xác định những thành phần thiết yếu của từng phần tử trở nên dễ dàng hơn,
cũng như dễ dàng lưu ý đến các lỗ hổng và các trọng điểm của cuộc tấn công.
Bạn càng hiểu chính xác về cách một chương trình, hệ thống hoặc môi trường
vận hành như thế nào thì bạn càng dễ dàng hơn trong việc xác định các mối đe
dọa đối với nó.
Khi các mối đe dọa đã được xác định, chúng nên được lập thành tài liệu một
cách đầy đủ bằng cách xác định ý nghĩa, mục tiêu và hậu quả từ một mối đe
dọa. Hãy cân nhắc việc bao gồm những kỹ thuật cần thiết để triển khai việc khai
thác cũng như liệt kê các biện pháp ứng phó và bảo vệ tiềm năng.
Thiết lập độ ưu tiên và Biện pháp ứng phó
Sau khi lập thành văn bản, bước tiếp theo là xếp hạng (rank) hoặc phân cấp
(rate) các mối đe dọa. Việc này có thể được hoàn thành bằng cách sử dụng một
loạt các kỹ thuật, chẳng hạn như xếp hạng Xác suất x Thiệt hại Tiềm ẩn
(Probability x Damage Potential), phân cấp cao/trung bình/thấp, hoặc hệ thống
DREAD.
Kỹ thuật xếp hạng Xác suất x Thiệt hại Tiềm ẩn tạo ra một con số của mức độ
nghiêm trọng của rủi ro trên một thang đo từ 1 đến 100, trong đó 100 là khả
năng rủi ro nghiêm trọng nhất. Mỗi một trong số hai giá trị ban đầu có thể được
gán các số từ 1 đến 10, với 1 là thấp nhất và 10 là cao nhất. Cách xếp hạng này
có thể hơi tùy tiện và chủ quan, nhưng vì cùng một người hoặc một nhóm sẽ chỉ
định các con số cho tổ chức của họ nên nó vẫn sẽ dẫn đến các giá trị đánh giá
chính xác trên cơ sở tương đối.
Quá trình phân cấp cao/trung bình/thấp (1/2/3 hoặc xanh lá cây/vàng/đỏ) thậm
chí còn đơn giản hơn. Nó tạo ra một ma trận rủi ro cơ bản hoặc một bản đồ nhiệt
(Hình 1.5). Giống như với bất kỳ phương tiện đánh giá rủi ro nào khác, mục đích
đều là giúp thiết lập mức độ ưu tiên trọng yếu. Bằng cách sử dụng ma trận rủi
ro, mỗi một mối đe dọa có thể được chỉ định một xác suất và mức độ thiệt hại.
Sau đó, khi hai giá trị này được so sánh, kết quả là một giá trị kết hợp ở đâu
đó nằm trong chín ô vuông. Những mối đe dọa trong khu vực HH (xác suất
cao/thiệt hại cao) được ưu tiên và quan tâm nhất, trong khi những mối đe dọa
145 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
trong khu vực LL (xác suất thấp/thiệt hại thấp) ít được ưu tiên và quan tâm
nhất.
Hệ thống phân cấp Thảm họa, Có khả năng tái tạo, Có khả năng khai thác, Những
người dùng bị ảnh hưởng và Có khả năng phát hiện (Disaster, Reproducibility,
Exploitability, Affected Users , Discoverability) được thiết kế để cung cấp một
giải pháp xếp hạng linh hoạt dựa trên các câu trả lời cho 5 câu hỏi chính về
từng mối đe dọa:
Thiệt hại Tiềm năng Thiệt hại có khả năng nghiêm trọng đến mức nào
nếu mối đe dọa được hiện thực hóa?
Khả năng tái tạo Mức độ phức tạp đến mức nào đối với những kẻ tấn
công để tái khai thác?
Khả năng khai thác Mức độ khó khăn như thế nào để thực hiện một cuộc
tấn công?
Người dùng bị ảnh hưởng Bao nhiêu người dùng có khả năng bị ảnh
hưởng bởi cuộc tấn công (theo tỷ lệ phần trăm)?
Khả năng phát hiện Kẻ tấn công khó phát hiện ra điểm yếu đến mức nào?
HÌNH 1.5 Một ma trận rủi ro hay một bản đồ nhiệt rủi ro
146 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Khi các mức ưu tiên của mối đe dọa đã được thiết lập, những biện pháp ứng phó
với các mối đe dọa đó cần phải được xác định. Những công nghệ và quy trình để
khắc phục các mối đe dọa nên được cân nhắc và ưu tiên theo chi phí và tính
hiệu quả của chúng. Các phương án ứng phó nên bao gồm việc thực hiện những
điều chỉnh đối với kiến trúc phần mềm, sửa đổi các hoạt động và quy trình, và
triển khai các thành phần phòng thủ và phát hiện.
Quá trình này tương tự như quy trình quản lý rủi ro đã được thảo luận trong
Chương 2. Sự khác biệt giữa hai quy trình này nằm ở chỗ các mối đe dọa là trọng
tâm của mô hình hóa mối đe dọa trong khi những tài sản mới là trọng tâm của
quản lý rủi ro.
Quản lý Rủi ro Chuỗi Cung ứng
Việc áp dụng những khái niệm quản lý dựa-trên-rủi-ro cho chuỗi cung ứng là
một phương tiện để đảm bảo cho chiến lược bảo mật thành công và mạnh mẽ
hơn trong tổ chức ở mọi quy mô. Một chuỗi cung ứng là ý tưởng rằng hầu hết
các máy tính, thiết bị, mạng, hệ thống, và thậm chí ngay cả các dịch vụ đám
mây đều không được xây dựng bởi một thực thể đơn lẻ. Trong thực tế, hầu hết
các công ty mà chúng ta đã biết đến như là những nhà sản xuất máy tính và
thiết bị thường thực hiện công đoạn lắp ráp sau cùng thay vì sản xuất toàn bộ
các linh kiện riêng lẻ. Thông thường thì CPU, bộ nhớ, bộ điều khiển ổ đĩa, ổ
cứng, SSD và card màn hình đều được sản xuất bởi các nhà cung cấp bên-thứba khác. Ngay cả những nhà cung cấp hàng hóa này cũng không chắc đã tự khai
thác kim loại hoặc xử lý dầu cho nhựa dẻo hoặc khắc silicon trên con chip của
họ. Do đó, bất kỳ hệ thống hoàn thiện nào cũng đều có một lịch sử lâu dài và
phức tạp, hay còn được gọi là chuỗi cung ứng của nó, đã cho phép nó ra đ ời.
Quản lý rủi ro chuỗi cung ứng (supply chain risk management - SCRM) là phương
tiện để đảm bảo rằng tất cả các nhà cung cấp hoặc liên kết trong chuỗi cung
ứng là những tổ chức chắc chắn, đáng tin cậy, có uy tín khi công khai những
thực tiễn và yêu cầu bảo mật cho các đối tác kinh doanh của họ (mặc dù không
nhất thiết phải công khai). Mỗi mắt xích trong chuỗi phải chịu trách nhiệm và
trách nhiệm nhiệm giải trình trước mắt xích tiếp theo trong chuỗi. Mỗi chuyển
giao quyền kiểm soát đều phải được tổ chức, ghi chép, quản lý và kiểm toán một
147 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
cách đúng đắn. Mục tiêu của một chuỗi cung ứng an toàn là đảm bảo rằng các
thành phẩm đạt chất lượng, đáp ứng các mục tiêu về hiệu suất và hoạt động,
đồng thời cung cấp các cơ chế bảo mật đã được nêu và không có bất kỳ điểm
nào trong quá trình này bị làm giả hoặc bị thao túng trái phép hoặc độc hại hoặc
phá hoại.
Khi đánh giá rủi ro của tổ chức, hãy cân nhắc đến các yếu tố bên ngoài có thể
gây ảnh hưởng đến tổ chức, đặc biệt là liên quan đến sự ổn định của công ty và
tính sẵn sàng của nguồn lực. Chuỗi cung ứng có thể là một véc-tơ đe dọa, nơi
tài liệu, phần mềm, phần cứng hoặc dữ liệu được lấy từ một nguồn được cho là
đáng tin cậy nhưng chuỗi cung ứng đằng sau nguồn đó có thể đã bị xâm phạm
và tài sản bị nhiễm độc hoặc bị sửa đổi.
Chuỗi cung ứng của một tổ chức nên được đánh giá để xác định những rủi ro mà
nó [có thể] gây ra cho tổ chức. Tổ chức có đang hoạt động trên cơ sở kịp-thời
(just-in-time) khi mà nguyên vật liệu vừa được giao ngay trước đó hay ngay khi
sản xuất cần đến? Nếu có bất kỳ sự chậm trễ nào trong việc giao hàng, liệu rằng
sẽ có bất kỳ vật liệu dư thừa hoặc dự phòng nào có thể được sử dụng để duy trì
sản xuất trong khi các hoạt động của chuỗi cung ứng được tái lập không?
Hầu hết các tổ chức đều dựa vào các sản phẩm được sản xuất bởi các đơn vị
khác. Hầu hết các sản phẩm đó được sản xuất như một phần của chuỗi cung ứng
dài và phức tạp. Các cuộc tấn công vào chuỗi cung ứng đó có thể dẫn đến các
sản phẩm bị sai sót hoặc kém tin cậy hơn hoặc có thể cho phép cơ chế nghe lén
hoặc truy cập từ xa được nhúng vào thiết bị hoạt động khác.
Các cuộc tấn công chuỗi cung ứng thể hiện một rủi ro có thể rất khó giải quyết.
Một tổ chức có thể chọn kiểm tra tất cả các thiết bị để giảm thiểu nguy cơ các
thiết bị đã sửa đổi đi vào trong mạng sản xuất của mình. Tuy nhiên, v ới quá
trình thu nhỏ (miniaturization), có thể gần như không thể phát hiện ra một con
chip phụ được đặt trên bo mạch chủ của thiết bị. Ngoài ra, sự thao túng có thể
diễn ra thông qua firmware hoặc phần mềm thay vì phần cứng. Các tổ chức có
thể chọn nguồn sản phẩm từ các nhà cung cấp đáng tin cậy và có uy tín, hoặc
thậm chí có thể cố gắng sử dụng các nhà cung cấp đang sản xuất hầu hết các
sản phẩm của họ trong nội địa.
148 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
* Chú thích: miniaturization là quá trình thu nhỏ kích thước của các vật thể.
Trong nhiều trường hợp, việc giám sát, quản lý và đánh giá bảo mật liên tục có
thể là bắt buộc. Đây có thể là một thực tiễn tốt nhất trong ngành hoặc là một
quy định. Việc đánh giá và giám sát chuỗi cung ứng như vậy có thể được thực
hiện bởi tổ chức chính hoặc tổ chức ở phần cuối-của-chuỗi hoặc có thể đòi hỏi
việc sử dụng các chuyên gia đánh giá bên ngoài. Khi s ử dụng các dịch vụ giám
sát và đánh giá của bên-thứ-ba, hãy lưu ý rằng từng thành phần của thực thể
trong chuỗi cung ứng cần phải thể hiện khuynh-hướng-bảo-mật trong hoạt động
kinh doanh của họ. Nếu như một tổ chức không thể quản lý hoạt động của chính
họ trên cơ sở bảo mật thì làm thế nào để họ có thể cung cấp các chức năng quản
lý bảo mật đáng tin cậy cho chuỗi cung ứng?
Khi có thể, hãy xác lập các yêu cầu bảo mật tối thiểu cho từng thực thể trong
chuỗi cung ứng. Các yêu cầu bảo mật đối với phần cứng, phần mềm hoặc dịch
vụ mới phải luôn đáp ứng hoặc vượt quá mức bảo mật mong đợi trong sản phẩm
cuối cùng. Điều này thường đòi hỏi phải xem xét chi tiết SLA, hợp đồng và hiệu
suất thực tế. Điều này là để đảm bảo rằng bảo mật là một thành phần được chỉ
định của các dịch vụ đã được ký hợp đồng. Khi một nhà cung cấp thành phần
của chuỗi cung ứng đang tạo ra phần mềm hoặc đang cung cấp dịch vụ (chẳng
hạn như nhà cung cấp dịch vụ đám mây) thì có thể cần phải xác định yêu cầu
mức-dịch-vụ (SLR). Một SLR là một tuyên bố về các kỳ vọng về dịch vụ và hiệu
suất từ sản phẩm hoặc dịch vụ của một nhà cung cấp. Thông thường, một SLR
được khách hàng cung cấp trước khi thiết lập SLA (nên kết hợp các yếu tố của
SLR nếu như nhà cung cấp mong đợi khách hàng ký vào thỏa thuận).
Tóm tắt
Quản trị bảo mật, các khái niệm quản lý và các nguyên tắc là những phần tử cố
hữu trong một chính sách bảo mật và trong việc triển khai bảo mật. Chúng xác
định những tham số cơ sở cần thiết cho một môi trường bảo mật. Chúng đồng
thời cũng xác định những mục đích và mục tiêu mà cả các nhà thiết kế chính
sách và người triển khai hệ thống phải đạt được nhằm tạo ra một giải pháp bảo
mật.
149 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mục đích và mục tiêu chủ yếu của bảo mật được gói gọn trong Bộ ba CIA: tính
bảo mật, tính toàn vẹn và tính sẵn sàng. Tính bảo mật là nguyên tắc rằng các
đối tượng không được tiết lộ cho những chủ thể trái phép. Tính toàn vẹn là
nguyên tắc rằng các đối tượng vẫn giữ được tính chính xác của chúng và chỉ
được sửa đổi một cách có mục đích chỉ bởi những chủ thể hợp pháp. Tính sẵn
sàng là nguyên tắc rằng các chủ thẻ hợp pháp được cấp quyền truy cập một cách
kịp thời và không bị gián đoạn đến các đối tượng.
Những khái niệm và nguyên tắc bảo mật khác cũng nên được cân nhắc và xác
định khi thiết kế một chính sách bảo mật và triển khai một giải pháp bảo mật
bao gồm xác đ ịnh, xác thực, cấp phép, không khước từ, phòng thủ có chiều sâu,
trừu tượng hóa, ẩn giấu dữ liệu, và mã hóa.
Những vai trò bảo mật xác đ ịnh xem ai chịu trách nhiệm cho b ảo mật của những
tài sản của một tổ chức. Các vai trò phổ biến bao gồm các nhà quản lý cấp cao,
các chuyên gia bảo mật, chủ sở hữu dữ liệu, người bảo quản, người dùng, và
kiểm toán viên.
Một cấu trúc chính sách bảo mật chính thức cấu thành từ các chính sách, tiêu
chuẩn, đường cơ sở, hướng dẫn và thủ tục. Những tài liệu riêng lẻ này là những
phần tử thiết yếu đối với việc thiết kế và triển khai bảo mật trong bất kỳ môi
trường nào. Để có hiệu quả, phương pháp tiếp cận đối với quản lý bảo mật phải
là phương pháp tiếp cận từ-trên-xuống.
Mô hình hóa mối đe dọa là quy trình bảo mật khi các mối đe dọa tiềm ẩn được
xác định, phân loại và phân tích. Mô hình hóa m ối đe dọa có thể được thực hiện
như một biện pháp chủ động trong quá trình thiết kế và phát triển hoặc như một
biện pháp ứng phó khi một sản phẩm đã được triển khai. Trong cả hai trường
hợp, quy trình đều xác định những thiệt hại tiềm ẩn, xác suất xảy ra, độ ưu tiên
của mối quan tâm, và biện pháp để loại bỏ hoặc giảm thiểu mối đe dọa.
Việc tích hợp quản lý rủi ro an ninh mạng với chuỗi cung ứng, các chiến lược
mua lại, và những thực tiễn kinh doanh là một phương tiện để đảm bảo một
chiến lược bảo mật thành công và mạnh mẽ hơn trong các tổ chức ở mọi quy mô.
Khi mua sắm được thực hiện mà không có những cân nhắc bảo mật thì nhữn rủi
150 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
ro cố hữu trong các sản phẩm đó vẫn tồn tại trong suốt vòng đời triển khai của
chúng.
Những điều thiết yếu cho Kỳ thi
Hiểu các phần tử của Bộ ba CIA về tính bảo mật, tính toàn v ẹn và
tính sẵn sàng. Tính bảo mật là nguyên tắc rằng các đối tượng không được
tiết lộ cho những chủ thể trái phép. Tính toàn vẹn là nguyên tắc rằng các
đối tượng vẫn giữ được tính chính xác của chúng và chỉ được sửa đổi một
cách có mục đích chỉ bởi những chủ thể hợp pháp. Tính sẵn sàng là nguyên
tắc rằng các chủ thẻ hợp pháp được cấp quyền truy cập một cách kịp thời
và không bị gián đoạn đến các đối tượng.
Hiểu được các phần tử của các dịch vụ AAA. AAA được tạo thành từ
nhận dạng, xác thực, cấp phép, kiểm toán, và trách nhiệm giải trình.
Có khả năng giải thích cách thức quá trình nhận dạng hoạt động
như thế nào. Nhận dạng là quá trình mà theo đó, m ột chủ thể sở hữu một
danh tính và và trách nhiệm giải trình được khởi đầu. Một chủ thể phải
cung cấp một danh tính cho một hệ thống để bắt đầu quá trình xác thực,
cấp phép và trách nhiệm giải trình.
Hiểu được quá trình xác thực. Xác thực là quá trình xác minh hoặc kiểm
tra rằng một danh tính đã được tuyên bố là hợp lệ. Xác thực đòi hỏi những
thông tin từ chủ thể cần phải được phản hồi một cách chính xác đ ối với
danh tính đã được nêu.
Biết được cách mà quá trình xác th ực khớp với một kế hoạch bảo
mật như thế nào. Khi một chủ thể đã được xác thực, quyền truy cập của
chủ thể phải được cấp phép. Quá trình cấp phép đảm bảo rằng hoạt động
đã được yêu cầu hoặc quyền truy cập của đối tượng là khả thi với các
quyền và đặc quyền được chỉ định cho danh tính đã được xác thực.
Có khả năng giải thích về quá trình kiểm toán. Kiểm toán là phương
tiện có tính chương trình mà theo đó các ch ủ thể giữ trách nhiệm giải
trình cho các hành đ ộng của họ khi đã được xác thực trên một hệ thông
thông qua việc lập thành văn bản hoặc ghi lại các hành động của chủ thể.
151 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hiểu được tầm quan trọng của trách nhiệm giải trình. Bảo mật chỉ có
thể được duy trì nếu các chủ thể giữ được trách nhiệm giải trình cho những
hành động của họ. Trách nhiệm giải trình hiệu quả dựa trên khả năng
chứng minht danh tính của một chủ thể và theo dõi các hoạt động của họ.
Có khả năng giải thích về khái niệm không khước từ. Không khước từ
đảm bảo rằng chủ thể của một hành động hoặc sự kiện không thể thoái
thác về sự kiện đã xảy ra. Nó ngăn một chủ thể khỏi việc tuyên bố đã
không gửi một thông điệp, không thực hiện một hành động hoặc không
phải nguyên nhân của một sự kiện.
Hiểu về phòng thủ có chiều sâu. Phòng thủ có chiều sâu, hay còn được
gọi là phân lớp, chỉ đơn giản là sử dụng nhiều biện pháp kiểm soát theo
một chuỗi. Việc sử dụng giải pháp có nhiều lớp hỗ trợ nhiều biện pháp
kiểm soát khác nhau để bảo vệ chống lại bất kỳ mối đe dọa nào xảy ra.
Có khả năng giải thích khái niệm trừu tượng hóa. Trừu tượng hóa
được sử dụng để tập hợp các phần tử tương tự nhau thành các nhóm, các
lớp hoặc các vai trò được chỉ định các biện pháp kiểm soát bảo mật, các
giới hạn, hoặc quyền hạn cho toàn bộ tập hợp. Nó tăng thêm tính hiệu quả
khi tiến hành một kế hoạch bảo mật.
Hiểu về ẩn giấu dữ liệu. Ẩn giấu dữ liệu chính xác như tên gọi của nó:
ngăn không cho chủ thể phát hiện hoặc truy cập dữ liệu. Đây thường là
một phần tử quan trọng trong kiểm soát bảo mật cũng như trong lập trình.
Biết về các ranh giới bảo mật. Ranh giới bảo mật là đường giao nhau
giữa hai khu vực, mạng con hoặc môi trường bất kỳ có các yêu cầu hoặc
nhu cầu bảo mật khác nhau.
Hiểu về quản trị bảo mật. Quản trị bảo mật là tập hợp các thông lệ liên
quan đến việc hỗ trợ, xác định và định hướng các nỗ lực bảo mật của một
tổ chức.
Biết về quản trị bên-thứ-ba. Quản trị bên-thứ-ba là hệ thống giám sát
của thực thể bên ngoài có thể bị bắt buộc bởi luật pháp, quy định, tiêu
152 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
chuẩn ngành, nghĩa vụ hợp đồng hoặc các yêu cầu cấp phép. Phương pháp
quản trị thực tế có thể khác nhau, nhưng thường liên quan đến các điều
tra viên hoặc kiểm toán viên bên ngoài.
Hiểu quá trình xem xét tài liệu. Xem xét tài liệu là quá trình đọc các
tài liệu đã được trao đổi và xác minh chúng theo các tiêu chu ẩn và kỳ
vọng. Trong rất nhiều tình huống, đặc biệt là liên quan đến các cơ quan
chính phủ hoặc quân đội hoặc nhà thầu, thất bại trong việc cung cấp đủ
tài liệu để đáp ứng các yêu cầu quản lý của bên thứ ba có thể dẫn đến
mất hoặc thiếu khuyết quyền hoạt động (ATO).
Hiểu sự liên kết của chức năng bảo mật với chiến lược, mục đích,
sứ mệnh và mục tiêu kinh doanh. Việc hoạch định quản lý bảo mật đảm
bảo việc tạo ra, triển khai và thực thi một chính sách bảo mật phù hợp.
Việc hoạch định quản lý bảo mật liên kết các chức năng bảo mật phù hợp
với chiến lược, mục đích, sứ mệnh và mục tiêu của tổ chức. Điều này bao
gồm cả việc thiết kế và triển khai bảo mật dựa trên các đề án kinh doanh,
sự hạn chế về ngân sách hoặc sự khan hiếm tài nguyên.
Biết được đề án kinh doanh là gì. Một đề án kinh doanh thường là một
luận cứ được lập thành văn bản hoặc vị trí đã được tuyên bố nhằm xác
định nhu cầu đưa ra quyết định hoặc thực hiện một số hình thức hành
động. Đưa ra một đề án kinh doanh là để chứng minh nhu cầu cụ-thể-củadoanh-nghiệp để thay đổi một quy trình hiện có hoặc lựa chọn một phương
pháp tiếp cận cho một nhiệm vụ kinh doanh. Một đề án kinh doanh thường
được đưa ra để biện minh cho việc bắt đầu một dự án mới, đặc biệt là một
dự án có liên quan đến bảo mật.
Hiểu được việc hoạch định quản lý bảo mật. Quản lý bảo mật dựa trên
ba loại kế hoạch: chiến lược, chiến thuật và vận hành. Kế hoạch chiến
lược là một kế hoạch dài-hạn tương đối ổn định. Nó xác định mục đích, sứ
mệnh và mục tiêu của tổ chức. Kế hoạch chiến thuật là một kế hoạch
trung-hạn được phát triển để cung cấp thêm thông tin chi tiết về việc hoàn
thành các mục tiêu đã đề ra trong kế hoạch chiến lược. Kế hoạch vận hành
153 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
là những kế hoạch ngắn-hạn và có tính chi tiết cao dựa trên các kế hoạch
chiến lược và chiến thuật.
Biết được các phần tử của một cấu trúc chính sách bảo mật đã được
chính thức hóa. Để tạo ra một kế hoạch bảo mật toàn diện, bạn cần có
các hạng mục sau: chính sách, tiêu chuẩn, đường cơ sở, hướng dẫn và thủ
tục bảo mật.
Hiểu được quy trình tổ chức. Quản trị bảo mật cần xác định mọi khía
cạnh của một tổ chức. Điều này bao gồm các quy trình tổ chức về việc
mua lại, thoái vốn và hội đồng quản trị.
Hiểu được những vai trò bảo mật then chốt. Những vai trò bảo mật
then chốt là quản lý cấp cao, chuyên gia bảo mật, chủ sở hữu tài sản,
người bảo quản, người dùng và kiểm toán viên.
Biết được những điều cơ bản về COBIT. Các Mục tiêu Kiểm soát Thông
tin và Công nghệ Liên quan (COBIT) là m ột cơ sở hạ tầng khái niệm bảo
mật được sử dụng để tổ chức các giải pháp bảo mật phức tạp của các công
ty.
Hiểu rõ sự thẩm định và chăm sóc thích đáng. Thẩm định là thiết lập
một kế hoạch, chính sách và quy trình để bảo vệ lợi ích của một tổ chức.
Chăm sóc thích đáng là thực hành các hoạt động cá nhân để duy trì nỗ lực
thẩm định. Thẩm định là biết những gì nên làm và lập kế hoạch cho nó,
chăm sóc thích đáng là thực hiện đúng hành động vào đúng thời điểm.
Biết những điều cơ bản về mô hình hóa mối đe dọa. Mô hình hóa mối
đe dọa là quy trình bảo mật trong đó các mối đe dọa tiềm ẩn được xác
định, phân loại và phân tích. Mô hình hóa mối đe dọa có thể được thực
hiện như một biện pháp chủ động trong quá trình thiết kế và phát triển
hoặc như một biện pháp ứng phó sau khi một sản phẩm đã được triển khai.
Các khái niệm chính bao gồm tài sản/kẻ tấn công/phần mềm, STRIDE,
PASTA, VAST, sơ đồ hóa, giảm/phân tách và DREAD.
154 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hiểu được các khái niệm về quản lý rủi ro chuỗi cung ứng (SCRM).
SCRM là một phương tiện để đảm bảo rằng tất cả các nhà cung cấp hoặc
liên kết trong chuỗi cung ứng là các tổ chức chắc chắn, đáng tin cậy, có
uy tín công bố các thông lệ và yêu cầu bảo mật cho các đối tác kinh doanh
của họ. SCRM bao gồm đánh giá rủi ro liên quan đến phần cứng, phần mềm
và dịch vụ, thực hiện đánh giá và giám sát bên-thứ-ba, thiết lập các yêu
cầu bảo mật tối thiểu và thực thi các yêu cầu mức-dịch-vụ.
Bài tập Viết
1.
Hãy thảo luận và mô tả về Bộ ba CIA.
2.
Các yêu cầu để giữ cho một cá nhân chịu trách nhiệm giải trình về
những hoạt động của tài khoản người dùng của họ là gì?
3.
Hãy kể tên của 6 vai trò bảo mật chính đã được định nghĩa bởi (ISC)2
dành cho CISSP.
4.
4 thành phần của một chính sách bảo mật tổ chức hoàn chính và mục
đích cơ bản của chúng là gì?
Câu hỏi Đánh giá
1.
Tính bảo mật, tính toàn vẹn và tính sẵn sàng thường được coi là những
mục đích và mục tiêu chủ yếu của một cơ sở hạ tầng bảo mật. Điều nào
dưới đây không được coi là vi phạm tính bảo mật?
A. Đánh cắp mật khẩu bằng cách sử dụng một công cụ ghi lại hoạt động
của bàn phím.
B. Nghe lén các giao tiếp mạng không dây.
C. Phá hủy phần cứng do bị hỏa hoạn.
D. Kỹ thuật xã hội để lừa một người dùng cung cấp thông tin cá nhân
cho một trang web giả mạo.
2.
Quản trị bảo mật đòi hỏi sự hiểu biết rõ ràng về các mục tiêu của tổ
chức như các khái niệm cốt lõi của bảo mật. Điều nào dưới đây bao
gồm những mục đích và mục tiêu chủ yếu của bảo mật?
A. Chu vi biên giới của một mạng.
B. Bộ ba CIA.
C. Các dịch vụ AAA.
D. Việc đảm bảo rằng các hoạt động của chủ thể được ghi lại.
155 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
3.
Gần đây, James đã phát hiện ra một cuộc tấn công đang diễn ra chống
lại tổ chức của anh ấy khiến nhân viên không thể truy cập vào các hồ
sơ tối quan trọng. Phần tử nào của Bộ ba CIA đã bị vi phạm?
A. Nhận dạng.
B. Tính sẵn sàng.
C. Mã hóa.
D. Phân lớp.
4.
Một cách tối ưu, quản trị bảo mật được thực hiện bởi một hội đồng
quản trị, nhưng các tổ chức nhỏ hơn có thể chỉ cần Giám đốc điều hành
hoặc CISO thực hiện các hoạt động quản trị bảo mật. Điều nào dưới
đây là đúng về quản trị bảo mật?
A. Quản lý bảo mật đảm bảo rằng hoạt động đã được yêu cầu hoặc
quyền truy cập vào một đối tượng có thể thực hiện được với các
quyền và đặc quyền được gán cho danh tính đã được xác thực.
B. Quản trị bảo mật được sử dụng cho tính hiệu quả. Các phần tử tương
tự được đưa vào các nhóm, lớp hoặc vai trò đã được chỉ định các
biện pháp kiểm soát bảo mật, hạn chế hoặc quyền như một tập thể.
C. Quản trị bảo mật là một tập hợp các thực tiễn tốt nhất trong bảo
mật CNTT được lập thành văn bản để chỉ định các mục tiêu và yêu
cầu đối với các biện pháp kiểm soát bảo mật và khuyến khích ánh
xạ các quan niệm bảo mật CNTT với các mục tiêu kinh doanh.
D. Quản trị bảo mật tìm cách so sánh các quy trình b ảo mật và cơ sở
hạ tầng được sử dụng trong tổ chức với kiến thức và thông tin chi
tiết thu được từ các nguồn bên ngoài.
5.
Bạn được giao nhiệm vụ tạo ra một kế hoạch bảo mật dài-hạn và tương
đối ổn định. Kế hoạch này cần xác định mục đích bảo mật của tổ chức.
Đồng thời, nó cũng cần xác định chức năng bảo mật và liên kết nó với
những mục đích, sứ mệnh và mục tiêu của tổ chức. Bạn đang được yêu
cầu tạo ra kế hoạch gì?
A. Kế hoạch chiến thuật.
B. Kế hoạch vận hành.
C. Kế hoạch chiến lược.
D. Kế hoạch khôi phục.
156 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
6.
Tổ chức của Annaliese đang trải qua một thời kỳ gia tăng hoạt động
kinh doanh, khi họ đang tiến hành một lượng lớn các vụ mua bán và
sáp nhập. Cô ấy lo ngại về những rủi ro liên quan đến những hoạt động
đó. Điều nào dưới đây là ví dụ về những rủi ro đó? (Hãy chọn tất cả
các đáp án đúng).
A. Tiết lộ thông tin không phù hợp.
B. Sự tuân thủ của người lao động được tăng cường.
C. Mất dữ liệu.
D. Thời gian ngừng hoạt động.
E. Cái nhìn sâu sắc hơn về động cơ của những kẻ tấn công từ bên
trong.
F. Không đạt đủ lợi nhuận trên khoản đầu tư (ROI).
7.
Khuôn khổ bảo mật nào ban đầu được chính phủ tạo ra để sử dụng
trong nước nhưng hiện đã trở thành một tiêu chuẩn quốc tế, là tập hợp
các thực tiễn tốt nhất được khuyến nghị để tối ưu hóa các dịch vụ CNTT
nhằm hỗ trợ cho sự tăng trưởng, chuyển đổi và thay đổi doanh nghiệp,
trong đó tập trung vào việc hiểu cách CNTT và bảo mật cần được tích
hợp và phù hợp với các mục tiêu của tổ chức như thế nào, và khuôn
khổ nào thường được sử dụng làm điểm khởi đầu cho việc tạo ra giải
pháp bảo mật CNTT được tùy chỉnh trong một cơ sở hạ tầng đã được
thiết lập?
A. ITIL.
B. ISO 27000.
C. CIS.
D. CSF.
8.
Vai trò bảo mật là phần mà một cá nhân đảm nhiệm trong sơ đồ tổng
thể của việc triển khai và quản trị bảo mật trong một tổ chức. Vai trò
bảo mật có trách nhiệm chức năng gì về bảo mật, bao gồm cả việc viết
ra chính sách bảo mật và triển khai nó?
A. Các nhà quản lý cấp cao.
B. Chuyên gia bảo mật.
C. Người bảo quản.
D. Kiểm toán viên.
157 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
9.
Các Mục tiêu Kiểm soát đối với Thông tin và Công nghệ Liên quan
(COBIT) là một tập hợp các thực tiễn bảo mật CNTT tốt nhất được lập
thành văn bản được tạo ra bởi Hiệp hội Kiểm soát và Kiểm toán Hệ
thống Thông tin (ISACA). Nó chỉ định những mục đích và yêu cầu đối
với các biện pháp kiểm soát bảo mật và khuyến khích việc ánh xạ những
quan điểm bảo mật CNTT với các mục tiêu kinh doanh. COBIT d ựa trên
6 nguyên tắc then chốt đốivới quản trị và quản lý CNTT của doanh
nghiệp. Những gì dưới đây là một trong số các nguyên tắc nói trên?
(Hãy chọn tất cả đáp án đúng).
A. Phương pháp tiếp cận Toàn diện.
B. Hệ thống Quản trị Từ-Đầu-đến-Cuối.
C. Mang lại Giá trị cho Bên liên quan.
D. Duy trì Tính xác thực và Trách nhiệm giải trình.
E. Hệ thống Quản trị Động.
10.
Trong môi trường kinh doanh ngày nay, sự thận trọng là điều bắt buộc.
Việc thể hiện sự thẩm định và chăm sóc thích đáng là cách duy nhất để
loại bỏ sơ suất trong trường hợp mất mát. Mệnh đề nào dưới đây là
đúng? (Hãy chọn tất cả các đáp án đúng).
A. Thẩm định là thiết lập một kế hoạch, chính sách và quy trình để bảo
vệ lợi ích của một tổ chức.
B. Chăm sóc thích đáng đang phát triển một cấu trúc bảo mật chính
thức có chứa một chính sách, tiêu chuẩn, đường cơ sở, hướng dẫn
và thủ tục bảo mật.
C. Thẩm định là việc tiếp tục áp dụng cấu trúc bảo mật vào cơ sở hạ
tầng CNTT của một tổ chức.
D. Chăm sóc thích đáng là thực hiện các hoạt động cá nhân nhằm duy
trì nỗ lực bảo mật.
E. Chăm sóc thích đáng là biết những gì nên làm và lập kế hoạch cho
nó.
F. Thẩm định là thực hiện đúng hành động vào đúng thời điểm.
11.
Tài liệu bảo mật là một phần tử thiết yếu của một chương trình bảo
mật thành công. Việc hiểu được các thành phần là một bước đầu tiên
158 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
trong việc tạo ra tài liệu bảo mật. Hãy khớp các thành phần sau với
định nghĩa tương ứng của chúng.
1. Chính sách.
2. Tiêu chuẩn.
3. Thủ tục.
4. Hướng dẫn.
I. Một tài liệu hướng dẫn chi tiết từng-bước mô tả các hành động chính
xác cần thiết để triển khai một cơ chế, biện pháp kiểm soát hoặc giải
pháp bảo mật cụ thể.
II. Một tài liệu xác định phạm vi bảo mật cần thiết bởi tổ chức và thảo
luận về những tài sản cần được bảo vệ và mức độ mà các giải pháp bảo
mật nên thực hiện để cung cấp sự bảo vệ cần thiết.
III. Một mức độ bảo mật tối thiểu mà mọi hệ thống trong toàn tổ chức
phải đáp ứng.
IV. Đưa ra các khuyến nghị về cách các yêu cầu bảo mật được triển
khai và đóng vai trò như một hướng dẫn hoạt động cho cả chuyên gia
bảo mật và người dùng.
V. Xác định các yêu cầu bắt buộc đối với việc sử dụng đồng nhất phần
cứng, phần mềm, công nghệ và các biện pháp kiểm soát bảo mật.
A. 1 – I, 2 – IV, 3 – II, 4 – V.
B. 1 – II, 2 – V, 3 – I, 4 – IV.
C. 1 – IV, 2 – II, 3 – V, 4 – I.
D. 1 – V, 2 – I, 3 – IV, 4 – III.
12.
STRIDE thường được sử dụng trong mối tương quan với việc đánh giá
các mối đe dọa chống lại các ứng dụng hoặc Hệ điều hành. Khi các tài
liệu mật bị tiết lộ cho các thực thể trái phép, thành phần nào của
STRIDE được sử dụng để chỉ sự vi phạm này?
A. S.
B. T.
C. R.
D. I.
E. D.
F. E.
159 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
13.
Một nhóm phát tiển đang làm việc trên một dự án mới. Trong những
giai đoạn ban đầu của quá trình phát triển hệ thống, nhóm tiến hành
xem xét các lỗ hổng, mối đe dọa và rủi ro của giải pháp của họ và tích
hợp sự bảo vệ để chống lại những kết quả không mong muốn. Đây là
khái niệm mô hình hóa mối đe dọa nào?
A. Săn tìm mối de dọa.
B. Phương pháp tiếp cận chủ động.
C. Phương pháp tiếp cận định tính.
D. Phương pháp tiếp cận thù nghịch.
14.
Quản lý rủi ro chuỗi cung ứng (SCRM) là một phương tiện để đảm bảo
rằng tất cả các nhà cung cấp hoặc liên kết trong chuỗi cung ứng là
những tổ chức chắc chắn, đáng tin cậy và có uy tín. Mệnh đề nào dưới
đây là đúng? (Hãy chọn tất cả các đáp án đúng).
A. Mỗi mắt xích trong chuỗi cung ứng phải chịu trách nhiệm và trách
nhiệm giải trình trước mắt xích tiếp theo trong chuỗi.
B. Các nhà cung cấp hàng hóa không chắc đã tự khai thác kim loại hoặc
xử lý dầu cho nhựa dẻo hoặc khắc silicon trên chip của họ.
C. Nếu sản phẩm cuối cùng thu được từ chuỗi cung ứng đáp ứng được
các kỳ vọng và yêu cầu chức năng thì sản phẩm đó được đảm bảo
rằng không có các yếu tố trái phép.
D. Thất bại trong việc đảm bảo an toàn đúng cách cho chuỗi cung ứng
có thể dẫn đến các sản phẩm có khiếm khuyết hoặc kém tin cậy hơn
hoặc thậm chí là danh sách hoặc cơ chế điều khiển từ xa được nhúng
[vào trong sản phẩm].
15.
Tổ chức của bạn đã trở nên lo ngại về những rủi ro liên quan đến chuỗi
cung ứng các sản phẩm bán lẻ của họ. May mắn thay, tất cả mã lập
trình cho sản phẩm tùy chỉnh của họ đều được thực hiện trong nội bộ.
Tuy nhiên, quá trình đánh giá k ỹ lưỡng một sản phẩm đã hoàn thành
gần đây đã cho thấy rằng một cơ chế lắng nghe đã được tích hợp vào
giải pháp ở đâu đó dọc theo chuỗi cung ứng. Rủi ro đã được xác định
có liên quan đến thành phần sản phẩm nào trong kịch bản này?
A. Một phần mềm.
B. Các dịch vụ.
160 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C. Dữ liệu.
D. Phần cứng.
16.
Sếp của Cathy đã yêu cầu cô ấy thực hiện việc xem xét tài liệu về các
chính sách và thủ tục của một nhà cung cấp bên-thứ-ba. Nhà cung cấp
này chỉ là mắt xích cuối cùng trong một chuỗi cung ứng phần mềm. Các
thành phần của chúng đang được sử dụng như một phần tử chính của
một dịch vụ trực tuyến được vận hành cho những khách hàng cao cấp.
Cathy phát hiện ra một số vấn đề nghiêm trọng với nhà cung cấp, chẳng
hạn như không yêu cầu mã hóa cho tất cả các giao tiếp và không yêu
cầu xác thực đa yếu tố trên giao diện quản lý. Cathy nên làm gì trước
phát hiện này?
A. Viết báo cáo và gửi cho CIO.
B. Loại bỏ ATO của nhà cung cấp.
C. Yêu cầu nhà cung cấp xem xét các điều khoản và điều kiện của họ.
D. Yêu cầu nhà cung cấp ký NDA.
17.
Bất cứ khi nào một tổ chức làm việc với bên thứ ba, các quy trình quản
lý rủi ro chuỗi cung ứng (SCRM) của tổ chức đó nên được áp dụng. Một
trong những yêu cầu phổ biến là thiết lập các yêu cầu bảo mật tối thiểu
của bên thứ ba. Những yêu cầu này phải dựa trên cơ sở nào?
A. Chính sách bảo mật hiện tại.
B. Kiểm toán của bên-thứ-ba.
C. Đánh giá tại chỗ.
D. Kết quả quét lỗ hổng bảo mật.
18.
Một điều khá phổ biến là ghép nối các mối đe dọa với lỗ hổng bảo mật
để xác định các mối đe dọa có thể khai thác tài sản và thể hiện rủi ro
đáng kể đối với tổ chức. Mục đích tối hậu của việc mô hình hóa mối đe
dọa là ưu tiên các mối đe dọa tiềm ẩn đối với tài sản có giá trị của tổ
chức. Phương pháp nào sau đây là phương pháp mô hình hóa m ối đe
dọa lấy-rủi-ro-làm-trung-tâm nhằm mục đích lựa chọn hoặc phát triển
các biện pháp đối phó liên quan đến giá trị của tài sản cần được bảo
vệ?
A. VAST.
B. SD3+C.
161 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C. PASTA.
D. STRIDE.
19.
Bước tiếp theo sau khi mô hình hóa mối đe dọa là phân tích sự biến
đổi. Phân tích sự biến đổi còn được gọi là phân tích ứng dụng, hệ thống
hoặc môi trường. Mục đích của nhiệm vụ này là để hiểu rõ hơn về logic
của sản phẩm, các thành phần bên trong của nó cũng như các tương
tác của nó với các yếu tố bên ngoài. Bộ phận nào sau đây là thành
phần then chốt cần nhận biết khi thực hiện phân tách? (Hãy chọn tất
cả các đáp án đúng).
A. Bản vá lỗi hoặc cập nhật phiên bản.
B. Ranh giới tin cậy.
C. Lộ trình luồng dữ liệu.
D. Sử dụng mã nguồn mở so với mã nguồn đóng.
E. Các điểm đầu vào.
F. Hoạt động với đặc quyền.
G. Thông tin chi tiết về lập trường và phương pháp tiếp cận bảo mật.
20.
Phòng thủ có chiều sâu chỉ đơn giản là sử dụng nhiều biện pháp kiểm
soát trong một chuỗi. Không có biện pháp kiểm soát nào có thể bảo vệ
chống lại mọi mối đe dọa tiềm ẩn. Việc sử dụng giải pháp được phân
nhiều lớp cho phép một lượng lớn các biện pháp kiểm soát khác nhau
để bảo vệ chống lại bất kỳ mối đe dọa nào xảy ra. Thuật ngữ nào dưới
đây liên quan đến hoặc dựa trên phòng thủ có chiều sâu? (Hãy chọn
tất cả các đáp án đúng).
A. Phân lớp.
B. Phân loại.
C. Các khu vực.
D. Các lĩnh vực.
E. Các ngăn chứa.
F. Các hầm ngầm.
G. Các phân đoạn.
H. Các cấu trúc đan lưới.
I. Các vòng bảo vệ.
162 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C h ư ơn g 2
B ả o m ậ t Nh â n v iê n v à c á c K h á i n i ệ m Q u ả n
lý Rủi ro
CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM:
✓
Lĩnh vực 1: Bảo mật và Quản lý Rủi ro
▪
1.9 Đóng góp và thực thi các chính sách và th ủ tục bảo mật nhân
sự
▪
1.9.1 Sàng lọc ứng viên và tuyển dụng
▪
1.9.2 Các chính sách và thỏa thuận lao động
▪
1.9.3 Các quy trình đón nhân viên mới, chuyển giao và kết
thúc
▪
1.9.4 Các thỏa thuận và kiểm soát nhà cung cấp, tư vấn, nhà
thầu
▪
▪
1.9.5 Các yêu cầu tuân thủ chính sách
▪
1.9.6 Các yêu cầu về chính sách quyền riêng tư
1.10 Hiểu và áp dụng các khái niệm bảo mật
▪
1.10.1 Xác định các mối đe dọa và lỗ hổng
▪
1.10.2 Đánh giá/phân tích rủi ro
▪
1.10.3 Ứng phó rủi ro
▪
1.10.4 Lựa chọn và triển khai biện pháp ứng phó
▪
1.10.5 Các kiểu biện pháp kiểm soát phù hợp (ví dụ, ngăn
chặn, phát hiện, khắc phục)
▪
1.10.6 Đánh giá biện pháp kiểm soát (bảo mật và quyền riêng
tư)
▪
1.10.7 Giám sát và đo lường
▪
1.10.8 Báo cáo
▪
1.10.9 Tiên tục cải tiến (ví dụ, mô hình hóa độ trưởng thành
rủi ro)
▪
▪
1.10.10 Các khuôn khổ rủi ro
1.13 Thiết lập và duy trì một chương trình nhận thức, giáo dục và
đào tạo về bảo mật
163 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
1.13.1 Các phương pháp và kỹ thuật để trình bày nhận thức
và đào tạo (ví dụ, kỹ thuật xã hội, phishing, người ủng hộ bảo
mật, trò chơi hóa)
▪
1.13.2 Xem xét nội dung định kỳ
▪
1.13.3 Đánh giá tính hiệu quả của chương trình
164 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Lĩnh vực Bảo mật và Quản lý Rủi ro của kỳ thi chứng nhận
CISSP cấu thành từ rất nhiều thành phần cơ bản của các giải pháp bảo mật,
chẳng hạn như thiết kế, triển khai, và quản trị các cơ chế bảo mật. Những thành
phần bổ sung của lĩnh vực này sẽ được thảo luận thêm trong các chương khác:
Chương 1, “Quản trị Bảo mật Thông qua các Nguyên tắc và Chính sách”; Chương
3, “Hoạch định Liên tục Kinh doanh”; và Chương 4, “Luật lệ, Quy định và Tuân
thủ”. Hãy chắc chắn rằng bạn đã đọc tất cả các chương này để có một quan điểm
hoàn chỉnh về các chủ đề của lĩnh vực này.
Các Chính sách và Thủ tục Bảo mật Nhân viên
Con người thường được xem là phần tử yếu nhất trong bất kỳ giải pháp bảo mật
nào. Bất kể biện pháp kiểm soát vật lý hay logic đã được triển khai, con người
vẫn có thể khám phá ra những cách thức để tránh chúng, phá vỡ hoặc phá hoại
chúng, hoặc vô hiệu hóa chúng. Do đó, điều quan trọng là phải tính đến tính
nhân văn của người dùng của bạn khi thiết kế và triển khai các giải pháp bảo
mật cho môi trường của bạn. Để hiểu và áp dụng được quản trị bảo mật, bạn
phải giải quyết mắt xích yếu nhất trong chuỗi bảo mật của bạn – cụ thể là con
người.
Tuy nhiên, con người cũng có thể trở thành một tài sản bảo mật trọng yếu khi
họ được đào tạo một cách bài bản và có động cơ để bảo vệ không chỉ bản thân
mà còn cả bảo mật của tổ chức. Điều quan trọng là không xem nhân sự là một
vấn đề cần giải quyết, mà là những con người có thể trở thành những đối tác có
giá trị trong nỗ lực bảo mật.
Các vấn đề, sự cố và xâm phạm liên quan đến con người xảy ra ở mọi giai đoạn
của quá trình phát triển một giải pháp bảo mật. Điều này là do con người tham
gia vào trong suốt quá trình phát triển, triển khai và quản lý liên tục bất kỳ giải
165 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
pháp nào. Do đó, bạn phải đánh giá tác động của người dùng, nhà thiết kế, lập
trình viên, nhà phát triển, nhà quản lý, nhà cung cấp, nhà tư vấn và người triển
khai đối với quy trình.
Mô tả Công việc và Trách nhiệm
Việc tuyển dụng nhân viên mới thường bao gồm một số bước riêng biệt: tạo ra
một bản mô tả công việc hoặc bản mô tả vị trí, thiết lập phân loại đối với công
việc, sàng lọc ứng viên tuyển dụng, tuyển dụng và đào tạo người phù hợp nhất
cho công việc. Nếu không có mô tả công việc sẽ không có sự đồng thuận về kiểu
cá nhân nên được tuyển dụng. Bất kỳ mô tả công việc cho bất kỳ vị trí nào trong
một tổ chức nên xác định các vấn đề bảo mật có liên quan, chẳng hạn như liệu
vị trí đó có yêu cầu xử lý các tài liệu nhạy cảm hoặc quyền truy cập vào thông
tin đã được phân loại hay không. Trên thực tế, bản mô tả công việc xác định
những vai trò mà một nhân viên cần được chỉ định để thực hiện các nhiệm vụ
công việc của họ. Vai trò công việc thường liên kết với cấp bậc hoặc mức độ đặc
quyền, trong khi bản mô tả công việc sẽ ánh xạ đến các trách nhiệm và nhiệm
vụ đã được chỉ định một cách cụ thể.
Trách nhiệm công việc là những nhiệm vụ công việc cụ thể mà một nhân viên
được yêu cầu thực hiện một cách thường xuyên. Tùy thuộc vào trách nhiệm của
họ, nhân viên sẽ yêu cầu quyền truy cập vào các đối tượng, tài nguyên và dịch
vụ khác nhau. Do đó, cần có một danh sách các trách nhiệm công việc để hướng
dẫn việc phân công quyền truy cập, quyền và đặc quyền. Trên một mạng được
bảo mật, người dùng phải được cấp đặc quyền truy cập cho những phần tử liên
quan đến nhiệm vụ công việc của họ.
Bản mô tả công việc không được sử dụng chỉ riêng cho quá trình tuyển dụng,
chúng nên được duy trì trong suốt vòng đời của tổ chức. Chỉ thông qua mô tả
công việc chi tiết mới có thể so sánh được giữa những gì một người phải chịu
trách nhiệm và những gì họ thực sự chịu trách nhiệm. Các nhà quản lý nên kiểm
tra các phân công đặc quyền để đảm bảo rằng người lao động không có được
quyền truy cập không cần thiết một cách nghiêm ngặt để họ hoàn thành nhiệm
vụ công việc.
166 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Sàng lọc Ứng viên và Tuyển dụng
Việc sàng lọc ứng viên tham gia ứng tuyển cho một vị trí cụ thể sẽ dựa trên độ
nhạy cảm và phân loại được xác định bởi mô tả công việc. Do đó, sự cẩn trọng
của quá trình sàng lọc phải phản ánh mức độ bảo mật của vị trí sẽ được tuyển
dụng.
Sàng lọc ứng viên tham gia ứng tuyển, kiểm tra lý lịch, kiểm tra tham chiếu, xác
minh trình độ học vấn và xác nhận giấy phép bảo mật là những yếu tố cần thiết
để chứng minh rằng một ứng viên là phù hợp, đủ tiêu chuẩn và đáng tin cậy cho
một vị trí được bảo mật. Kiểm tra lý lịch (background check) bao gồm việc thu
thập lịch sử công việc và học vấn của ứng viên, kiểm tra tham chiếu, xác minh
học vấn, phỏng vấn đồng nghiệp, kiểm tra hồ sơ của cảnh sát và chính phủ để
tìm các vụ bắt giữ hoặc các hoạt động bất hợp pháp, xác minh danh tính thông
qua dấu vân tay, bằng lái xe và/hoặc giấy khai sinh, và tổ chức một cuộc phỏng
vấn cá nhân. Tùy thuộc vào vị trí công việc, quá trình này cũng có thể bao gồm
những thử thách về kỹ năng, kiểm tra ma túy, kiểm tra tín dụng, kiểm tra hồ sơ
lái xe và kiểm tra/đánh giá tính cách.
Việc thực hiện kiểm tra lý lịch trực tuyến và xem xét các tài khoản mạng xã hội
của người nộp đơn đã trở thành thông lệ tiêu chuẩn đối với nhiều tổ chức. Nếu
một nhân viên tiềm năng đã đăng những tài liệu không phù hợp trực tuyến, thì
họ không phải là ứng viên hấp dẫn bằng những người đã không đăng. Một bức
tranh toàn cảnh về thái độ, trí tuệ, lòng trung thành, ý thức chung, sự siêng
năng, trung thực, tôn trọng, nhất quán và tuân thủ các chuẩn mực xã hội và/hoặc
văn hóa doanh nghiệp có thể được lượm lặt một cách nhanh chóng bằng cách
xem xét danh tính trực tuyến của một người. Tuy nhiên, điều quan trọng là phải
nhận thức một cách đầy đủ về các hạn chế pháp lý chống lại sự phân biệt đối
xử. Nhiều quốc gia có quyền tự do hoặc hạn chế rất khác nhau trong việc kiểm
tra lý lịch, đặc biệt là nghiên cứu lịch sử tội phạm. Hãy luôn xác nhận với bộ
phận pháp lý trước khi đánh giá những người nộp đơn cho một vị trí công việc.
Trong quá trình xem xét ứng viên ban đầu, nhân viên của bộ phận nguồn nhân
lực (HR) đang tìm cách xác nhận rằng ứng viên có đủ tiêu chuẩn cho một công
việc, nhưng họ cũng nên đề phòng những vấn đề có thể khiến ứng viên bị loại.
167 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Việc phỏng vấn những ứng viên đủ tiêu chuẩn là bộ lọc tiếp theo được sử dụng
để loại bỏ bớt những người không phù hợp với công việc hoặc tổ chức. Khi tiến
hành các cuộc phỏng vấn, điều quan trọng là phải có một quy trình phỏng vấn
được tiêu chuẩn hóa để đối xử công bằng với từng ứng viên. Mặc dù một số khía
cạnh của cuộc phỏng vấn là chủ quan và dựa trên sự tương tác giữa tính cách
của ứng viên và người phỏng vấn, quyết định có tuyển dụng một ai đó hay không
cần phải được bảo vệ về mặt pháp lý.
Onboarding: Các Thỏa thuận và Chính sách Công việc
Khi một ứng viên đủ tiêu chuẩn nhưng không bị loại được phát hiện và được
phỏng vấn, họ có thể được mời làm việc. Nếu được chấp nhận, nhân viên mới sẽ
cần phải được tích hợp vào tổ chức. Quá trình này được gọi là giới thiệu.
Giới thiệu (Onboarding) là quá trình bổ sung những nhân viên mới vào tổ chức,
để họ xem xét và ký các thỏa thuận và chính sách tuyển dụng, được giới thiệu
với các nhà quản lý và đồng nghiệp, đồng thời được đào tạo về hoạt động của
nhân viên và hậu cần. Giới thiệu cũng có thể bao gồm xã hội hóa tổ chức và
định hướng. Đây là quá trình mà theo đó, nhân viên mới được đào tạo để chuẩn
bị tốt cho việc thực hiện vai trò trách nhiệm công việc của họ. Nó có thể bao
gồm đào tạo, thu nhận kỹ năng công việc và thích ứng hành vi trong nỗ lực tích
hợp nhân viên một cách hiệu quả vào văn hóa, quy trình và thủ tục hiện có của
tổ chức. Quá trình giới thiệu được thiết-kế-tốt có thể dẫn đến mức độ hài lòng
trong công việc cao hơn, mức năng suất cao hơn, hòa nhập nhanh hơn với những
nhân viên hiện tại, gia tăng lòng trung thành với tổ chức, giảm thiểu căng thẳng
và giảm tỷ lệ nghỉ việc.
Một nhân viên mới sẽ được cung cấp một tài khoản người dùng máy tính/mạng.
Điều này được thực hiện thông qua một hệ thống quản lý danh tính và truy cập
(IAM) của một tổ chức, hệ thống này sẽ cung cấp tài khoản và chỉ định các đặc
quyền và quyền truy cập cần thiết. Quá trình giới thiệu cũng được sử dụng khi
vai trò hoặc vị trí của nhân viên thay đổi hoặc khi người đó được trao thêm các
cấp đặc quyền hoặc quyền truy cập.
Để duy trì bảo mật, quyền truy cập nên được chỉ định theo nguyên tắc ít đặc
quyền nhất. Nguyên tắc về ít đặc quyền nhất nêu rõ rằng người dùng nên được
168 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
cấp quyền truy cập tối thiểu cần thiết đủ để họ có thể hoàn thành các nhiệm vụ
công việc được yêu cầu hoặc trách nhiệm công việc của họ. Ứng dụng thực sự
của nguyên tắc này yêu cầu kiểm soát chi tiết mức-độ-thấp đối với mọi tài
nguyên và chức năng. Thảo luận thêm về đặc quyền ít nhất nằm trong Chương
16, "Quản lý Hoạt động Bảo mật."
Khi một nhân viên mới được tuyển, họ nên ký một thỏa thuận lao động. Một tài
liệu như vậy phác thảo các quy tắc và hạn chế của tổ chức, chính sách bảo mật,
chi tiết về mô tả công việc, các vi phạm và hậu quả, và thời gian thử việc hoặc
thời gian tối thiểu của vị trí mà nhân viên phải làm. Các mục này có thể là các
tài liệu riêng biệt, chẳng hạn như chính sách sử dụng có thể được chấp nhận
(AUP). Trong trường hợp như vậy, thỏa thuận tuyển dụng được sử dụng để xác
minh rằng ứng viên tuyển dụng đã đọc và hiểu các tài liệu liên quan và ký vào
thỏa thuận tuân thủ các chính sách cần thiết liên quan đến vị trí công việc sắp
tới của họ.
Một chính sách sử dụng có thể được chấp nhận (AUP) xác định
hành động, thông lệ, hoặc sử dụng thiết bị và tài nguyên của công
ty như thế nào là được và không được chấp nhận. AUP đặc biệt
được thiết kế để chỉ định những vai trò bảo mật trong phạm vi tổ
chức cũng như quy định trách nhiệm gắn với những vai trò đó.
Chính sách này xác định một mức hiệu suất có thể được chấp nhận
và những kỳ vọng về hành vi và hành động. Thất bại trong việc
tuân thủ chính sách này có thể dẫn đến những cảnh cáo hoạt động
công việc, các hình phạt hoặc chấm dứt hợp đồng.
Ngoài các thỏa thuận tuyển dụng, có thể có những tài liệu liên-quan-đến-bảomật khác phải được giải quyết. Một tài li ệu khá phổ biến là thỏa thuận không
tiết lộ (nondisclosure agreement – NDA). Một NDA được sử dụng để bảo vệ những
thông tin bí mật trong tổ chức không bị tiết lộ bởi một nhân viên hiện tại hoặc
một cựu nhân viên. Những hành vi vi phạm NDA thường phải chịu các hình phạt
rất nghiêm khắc. Trong suốt quá trình làm việc của người lao động, họ có thể
được yêu cầu ký bổ sung NDA khi trách nhiệm công việc của họ thay đổi và họ
cần truy cập vào các tài sản nhạy cảm, độc quyền hoặc bí mật mới. Khi một nhân
169 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
viên rời khỏi tổ chức, họ nên được nhắc nhở về những nghĩa vụ pháp lý của họ
là duy trì sự im lặng đối với tất cả các mục được đề cập trong bất kỳ NDA đã
được ký kết nào. Trên thực tế, họ có thể được yêu cầu ký lại NDA khi khởi hành
như một phương tiện để xác nhận một cách hợp pháp rằng họ đã nhận thức đầy
đủ về nghĩa vụ được pháp luật công nhận là duy trì bí mật kinh doanh và các
thông tin bí mật khác.
Giám sát Nhân viên
Trong toàn bộ vòng đời công việc của nhân viên, các nhà quản lý nên thường
xuyên xem xét hoặc kiểm tra các mô tả công việc, nhiệm vụ công việc, các đặc
quyền và những trách nhiệm đối với từng nhân viên. Các nhiệm vụ và đặc quyền
công việc bị trôi theo thời gian là điều rất phổ biến. Việc trôi trách nhiệm công
việc hoặc đặc quyền leo thang cũng có thể dẫn đến những vi phạm bảo mật. Các
đặc quyền dư thừa được nắm giữ bởi một công nhân thể hiện rủi ro gia tăng đối
với tổ chức. Rủi ro đó bao gồm cơ hội lớn hơn để xảy ra sai lầm làm hư hỏng
tính bảo mật, tính toàn vẹn và tính sẵn sàng của tài sản (CIA) ngoài những trách
nhiệm thực tế của người lao động, khả năng cao hơn khi người lao động bất mãn
gây ra những thiệt hại có chủ đích và khả năng cao hơn đối với một cuộc tấn
công chiếm đoạt tài khoản của người lao động để gây ra tổn thất. Việc xem xét
và sau đó điều chỉnh những khả năng của người dùng để tái liên kết với nguyên
tắc đặc quyền ít nhất là một chiến lược giảm thiểu rủi ro.
Đối với một số tổ chức, hầu hết là những tổ chức trong ngành tài chính, m ột
phần quan trọng của quá trình xem xét này là thực thi các kỳ nghỉ bắt buộc. Các
kỳ nghỉ bắt buộc được sử dụng như một quá trình bình duyệt. Quá trình này yêu
cầu nhân viên phải rời xa văn phòng và không có quyền truy cập từ xa trong từ
một đến hai tuần mỗi năm. Trong khi nhân viên đang ở trong “kỳ nghỉ”, một
nhân viên khác sẽ thực hiện nhiệm vụ công việc của họ bằng tài khoản người
dùng thực của họ, giúp xác minh các nhiệm vụ công việc và đặc quyền của nhân
viên một cách dễ dàng hơn trong khi cố gắng phát hiện những hành vi lạm dụng,
gian lận hoặc sơ suất [có thể có] của nhân viên ban đầu. Kỹ thuật này thường
hoạt động tốt hơn những kỹ thuật khác vì có thể ẩn giấu vi phạm từ các tài
khoản khác, nhưng rất khó vi phạm và ẩn giấu sự vi phạm khỏi tài khoản được
sử dụng để thực hiện chúng.
170 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Các kỹ thuật đánh giá và quản lý người dùng và nhân viên khác bao gồm phân
tách nhiệm vụ, luân chuyển công việc và đào-tạo-chéo (seperation of duties, job
rotation, cross-training). Những khái niệm này sẽ được thảo luận trong Chương
16.
Khi một vài người cùng làm việc với nhau để thực hiện một vụ phạm tội thì việc
này sẽ được gọi là cấu kết (collusion). Việc sử dụng các nguyên tắc phân tách
nhiệm vụ, trách nhiệm công việc được giới hạn, kỳ nghỉ bắt buộc, luân chuyển
công việc và đào-tạo-chéo sẽ làm giảm khả năng những đồng nghiệp sẵn sàng
cộng tác cho một kế hoạch phi pháp hoặc lạm dụng vì nguy cơ bị phát hiện sẽ
cao hơn. Sự cấu kết và các hành vi lạm dụng đặc quyền khác cũng có thể được
giảm thiểu thông qua việc giám sát chặt chẽ các đặc quyền và các tài khoản đặc
quyền, chẳng hạn như tài khoản của quản trị viên, tài khoản root và những người
khác.
Đối với nhiều vị trí công việc được coi là nhạy cảm hoặc tối quan trọng, đặc biệt
là trong các tổ chức y tế, tài chính, chính phủ và quân đội, việc đánh giá lại
nhân viên định kỳ có thể là cần thiết. Đây có thể là một quá trình cẩn trọng
giống như quá trình điều tra và kiểm tra lý lịch ban đầu được thực hiện khi cá
nhân được tuyển dụng hoặc có thể chỉ yêu cầu thực hiện một số kiểm tra cụ thể
để xác nhận tính nhất quán về trình độ của người đó cũng như nghiên cứu bất
kỳ thông tin mới nào liên quan đến việc không đủ tiêu chuẩn.
Phân tích hành vi người dùng (user behavior analysis - UBA) và phân tích hành
vi người dùng và tổ chức (user and entity behavior analysis - UEBA) là những
khái niệm về phân tích hành vi của người dùng, đối tượng, khách viếng thăm,
khách hàng, v.v… đối với một số mục tiêu hoặc mục đích cụ thể. E trong từ viết
tắt UEBA mở rộng việc phân tích để bao gồm các hoạt động thực thể diễn ra
nhưng không nhất thiết phải được liên kết trực tiếp hoặc gắn liền với các hành
động cụ thể của người dùng, nhưng điều đó vẫn có thể tuơng quan đến lỗ hổng,
việc xảy ra hành vi do thám, xâm nhập, vi phạm hoặc khai thác. Thông tin thu
thập được từ việc giám sát UBA/UEBA có thể được sử dụng để cải thiện các chính
sách, thủ tục, đào tạo nhân sự và các chương trình giám sát bảo mật có liên
quan.
171 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Các Quy trình Kết thúc, Thuyên chuyển và Chấm dứt [công việc]
Kết thúc (Offboarding) là đảo ngược của quá trình giới thiệu này. Kết thúc là
việc xóa danh tính của một nhân viên khỏi hệ thống IAM sau khi người đó đã rời
khỏi tổ chức. Tuy nhiên, kết thúc cũng có thể là một yếu tố được sử dụng khi
một nhân viên thuyên chuyển sang vị trí công việc mới tại cùng một tổ chức,
đặc biệt là khi họ thay đổi giữa các phòng ban, cơ sở hoặc vị trí địa lý. Việc
thuyên chuyển nhân sự có thể được coi là một vụ sa thải/tái tuyển dụng chứ
không chỉ là một đợt thuyên chuyển nhân sự. Điều này phụ thuộc vào chính sách
của tổ chức và các phương tiện mà họ đã xác định để quản lý tốt nhất sự thay
đổi này. Một vài yếu tố giúp đưa ra quyết định sử dụng thủ tục nào bao gồm
việc tài khoản người dùng có được giữ lại hay không, việc cho phép sử dụng
thông tin bí mật của họ có được điều chỉnh hay không, nếu trách nhiệm công
việc mới của họ tương tự như vị trí trước đó và liệu một tài khoản “rũ bỏ trách
nhiệm” cho mục đích kiểm toán ở vị trí công việc mới có cần thiết hay không
[hàm ý chỉ việc tạo ra tài khoản mới cho nhân viên đó ở vị trí công việc mới để
giữ lại tài khoản cũ cho mục đích kiểm toán].
Khi một quá trình kết thúc đầy đủ sẽ xảy ra, cho dù là một phần của chuyển đổi
phân tích chiến lược thải/tái tuyển dụng, nghỉ hưu hay chấm dứt công việc, điều
này có thể bao gồm việc vô hiệu hóa và/hoặc xóa tài khoản người dùng, thu hồi
các chứng nhận, hủy bỏ mã truy cập và chấm dứt các đặc quyền đã được cấp
một cách cụ thể khác. Người ta thường vô hiệu hóa tài khoản của các nhân viên
trước đó để giữ lại danh tính cho mục đích kiểm toán trong một vài tháng. Sau
thời gian quy định, nếu không có sự cố nào được phát hiện liên quan đến tài
khoản của nhân viên cũ thì tài khoản đó có thể bị xóa hoàn toàn khỏi IAM. Nếu
tài khoản bị xóa sớm, bất kỳ sự kiện nào đã được ghi lại liên quan đến bảo mật
sẽ không còn trỏ đến một tài khoản thực nữa và do đó có thể làm cho việc theo
dõi thêm bằng chứng vi phạm trở nên phức tạp hơn nhiều.
172 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Một quá trình thuyên chuyển nhân sự nội bộ không nên được sử
dụng để chuyển một nhân viên có vấn đề sang một bộ phận khác
thay vì sa thải họ. Hãy xem xét CIA tổng thể và lợi ích đối với tổ
chức, nếu một người là không thể được chấp nhận như là một
nhân viên trong một bộ phận, có thực tế không khi giả định họ có
thể được chấp nhận là nhân viên trong m ột bộ phận khác? Thay
vì chuyển vấn đề đi vòng quanh, lựa chọn tốt nhất là chấm dứt
công việc với nhân viên có vấn đề, đặc biệt nếu việc đào tạo và
huấn luyện trực tiếp không mang lại giải pháp.
Quá trình kết thúc cũng có thể bao gồm việc thông báo cho nhân viên bảo vệ và
những nhân sự quản lý quyền truy cập vào tài sản và cơ sở vật chất vật lý khác
để hủy bỏ quyền truy nhập của cựu nhân viên trong tương lai.
Các thủ tục đối với quá trình kết thúc nên được lập thành văn bản một cách rõ
ràng để đảm bảo tính nhất quán của việc áp dụng cũng như tính tuân thủ các
quy định và nghĩa vụ pháp lý theo hợp đồng. Việc công bố các chính sách này
có thể cần phải trở thành một thành phần tiêu chuẩn của quy trình tuyển dụng.
Khi một nhân viên bắt buộc phải chấm dứt hoặc kết thúc, rất nhiều vấn đề cần
phải được giải quyết. Một mối quan hệ mạnh mẽ giữa bộ phận an ninh và Nhân
sự là điều thiết yếu để duy trì được quyền kiểm soát và tối thiểu được những
rủi ro trong quá trình chấm dứt.
Chấm dứt là quá trình không hề dễ chịu đối với tất cả những ai có liên quan.
Tuy nhiên, khi được lập kế hoạch và có kịch bản tốt, chúng có thể được nâng
lên thành một trải nghiệm trung tính. Mục đích của chính sách chấm dứt là giảm
thiểu rủi ro liên quan đến việc nhân viên bị chấm dứt trong khi vẫn đối xử với
người đó một cách tôn trọng. Cuộc họp chấm dứt hợp đồng nên diễn ra với ít
nhất một nhân chứng, tốt nhất là người quản lý cấp-cao-hơn và/hoặc nhân viên
bảo vệ. Sau khi nhân viên được thông báo về việc họ được chấm dứt, họ nên
được nhắc nhở về những trách nhiệm pháp lý và các hạn chế được đặt ra đối với
nhân viên cũ dựa trên thỏa thuận lao động, NDA và bất kỳ tài liệu nào khác cóliên-quan-đến-bảo-mật. Trong cuộc họp này, tất cả các nhận dạng, quyền truy
173 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
cập hoặc huy hiệu bảo mật dành riêng cho tổ chức cũng như các thiết bị, thẻ,
khóa và mã thông báo truy cập (access token) phải được thu hồi (Hình 2.1). Việc
chấm dứt hợp đồng của một nhân viên nên được xử lý một cách riêng tư và tôn
trọng. Tuy nhiên, điều này không có nghĩa là không nên thực hiện các biện pháp
phòng ngừa.
Đối với các trường hợp chấm dứt không tự nguyện khi có nguy cơ xảy ra đối đầu,
quá trình chấm dứt có thể cần phải được thực hiện đột ngột và có sự tham gia
của các nhân viên bảo vệ. Bất kỳ nhu cầu nào để giải quyết các vấn đề về nhân
sự, truy xuất thiết bị của công ty, xem xét NDA, v.v… đều có thể được xử lý sau
đó thông qua một luật sư.
Đối với việc chấm dứt hợp đồng được mong đợi là chuyên nghiệp cũng như tự
nguyện ly khai (chẳng hạn như nghỉ việc, nghỉ hưu hoặc nghỉ phép kéo dài), một
quy trình bổ sung có thể được thêm vào được gọi là phỏng vấn nghỉ việc. Một
cuộc phỏng vấn nghỉ việc thường được thực hiện bởi một nhân viên Nhân sự
chuyên về các cuộc phỏng vấn đó với ý tưởng học hỏi kinh nghiệm của nhân
viên. Mục đích của cuộc phỏng vấn nghỉ việc là để tìm hiểu lý do nhân viên rời
đi, quan điểm của họ về tổ chức (nhân sự, văn hóa, quy trình, v.v…) và những
gì họ đề xuất có thể được thực hiện để cải thiện điều kiện cho nhân viên hiện
tại và trong tương lai. Thông tin học hỏi được từ cuộc phỏng vấn nghỉ việc có
thể hỗ trợ tổ chức trong việc giữ chân nhân viên thông qua các cải tiến công
việc và thay đổi quy trình/chính sách.
Cho dù quy trình chấm dứt đột ngột được sử dụng hay một quy trình thân mật
đã được kết thúc, giờ đây, nhân viên cũ phải được hộ tống ra khỏi cơ sở và
không được phép quay lại khu vực làm việc của họ mà không có người hộ tống
vì bất kỳ lý do gì.
174 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
HÌNH 2.1
Nhân viên cũ phải trả lại mọi tài sản của công ty
Danh sách dưới đây bao gồm một số vấn đề về bảo mật nên được xử lý càng sớm
càng tốt:
▪
Loại bỏ hoặc vô hiệu hóa tài khoản người dùng của nhân viên tại cùng thời
điểm hoặc ngay trước khi họ được thông báo là sẽ bị chấm dứt.
▪
Hãy đảm bảo là nhân viên đã trả lại bất kỳ thiết bị nào của tổ chức hoặc
nguồn cung ứng từ xe cộ hoặc nhà của họ.
▪
Sắp xếp để một nhân viên của bộ phận an ninh đi cùng nhân viên ngh ỉ
việc trong khi họ thu thập đồ dùng cá nhân của họ từ khu vực làm việc.
▪
Thông báo cho tất cả nhân viên an ninh và bất kỳ ai khác đang theo dõi
hoặc giám sát bất kỳ lối ra vào nào để đảm bảo rằng nhân viên cũ không
cố gắng đi vào lại trong tòa nhà mà không có người hộ tống.
Sa thải: Thời gian Là Tất cả
Việc sa thải một nhân viên đã trở thành một quy trình phức tạp. Đó là lý do
tại sao bạn cần một quy trình chấm dứt được thiết-kế-tốt. Tuy nhiên, nó phải
được tuân thủ một cách chính xác tại mọi thời điểm. Thật không may, việc này
[tuân thủ chính xác] không phải lúc nào cũng diễn ra. Bạn có thể đâ nghe thấy
về những thất bại do một quy trình chấm dứt bị chắp vá. Các ví dụ phổ biến
175 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
bao gồm việc thực hiện bất kỳ điều nào dưới đây trước khi nhân viên được
thông báo một cách chính thức về việc chấm dứt của họ (do đó, khiến cho
nhân viên được cảnh báo trước khi họ bị chấm dứt):
▪
Bộ phận CNTT yêu cầu trả lại một thiết bị di động
▪
Việc vô hiệu hóa một tài khoản người dùng trên mạng
▪
Khóa mã số định danh cá nhân (PIN) của một người hoặc một thẻ thông
minh để đi vào tòa nhà
▪
Thu hồi một giấy phép đỗ xe
▪
Phân phát một sơ đồ tổ chức của công ty đã được sửa đổi
▪
Đặt một nhân viên mới vào phòng hoặc khu vực làm việc của họ (nhân
viên bị chấm dứt)
▪
Cho phép thông tin cắt giảm nhân viên bị lộ trên các phương tiện truyền
thông.
Các Thỏa thuận và Biện pháp kiểm soát Nhà cung cấp, Nhà tư vấn
và Nhà thầu
Các biện pháp kiểm soát nhà cung cấp, nhà tư văn và nhà thầu được sử dụng để
xác định mức hiệu suất, kỳ vọng, khoản bồi thường, và những hậu quả dành cho
các thực thể, cá nhân, hoặc tổ chức bên ngoài đốii với tố chức chính.
Rủi ro nhiều bên tồn tại khi một vài thực thể hoặc tổ chức tham gia vào một dự
án. Rủi ro hoặc mối đe dọa thường là do sự biến đổi của các mục tiêu, kỳ vọng,
khung thời gian, ngân sách, và các ưu tiên bảo mật của các bên liên quan. Những
chiến lược quản lý rủi ro đã triển khai bởi một bên trong thực tế có thể gây ra
thêm những rủi ro chống lại hoặc từ một bên khác. Thường thì một cơ quan chi
phối việc quản lý rủi ro phải được xác lập để giám sát dự án nhiều bên tham gia
và thực thi các tham số bảo mật nhất quán cho các thực thể thành viên, ít nhất
là khi những tương tác của họ có liên quan đến dự án.
Việc sử dụng các thỏa thuận mức-dịch-vụ (SLA) là một phương tiện để đảm bảo
rằng các tổ chức đang cung cấp dịch vụ duy trì được một mức dịch vụ thích hợp
đã được thống nhất bởi cả nhà cung cấp dịch vụ, nhà cung cấp hoặc nhà thầu
và tổ chức khách hàng. Bạn sẽ là người khôn ngoan khi sử dụng cho bất kỳ mạch
dữ liệu, ứng dụng, hệ thống xử lý thông tin, cơ sở dữ liệu, hoặc các thành phần
176 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
trọng yếu khác mang tính sống còn đối với khả năng tồn tại của tổ chức của
bạn. Các SLA rất quan trọgn khi sử dụng bất kỳ kiểu nhà cung cấp dịch vụ bênthứ-ba nào, bao gồm các các dịch vụ đám mây. Các SLA cũng thường bao gồm
các biện pháp tài chính và các bi ện pháp hợp đồng khác có hiệu lực khi thỏa
thuận không được duy trì. Ví dụ, nếu một mạch quan trọng không hoạt động sau
hơn 15 phút thì nhà cung cấp dịch vụ có thể phải đồng ý miễn tất cả các khoản
phí cho mạch đó trong 1 tuần.
Các SLA và các biện pháp kiểm soát nhà cung cấp, nhà tư vấn và nhà thầu là
những bộ phận quan trọng của các biện pháp tránh và giảm rủi ro. Bằng cách
xác định một cách rõ ràng những kỳ vọng và các hình phạt cho các bên bên
ngoài, mỗi người tham gia đều biết được về những gì được kỳ vọng từ họ và
những hậu quả nào nếu họ không đáp ứng được những kỳ vọng đó. Mặc dù có
thể sẽ có hiệu-quả-về-chi-phí để sử dụng các nhà cung cấp bên ngoài cho nhiều
loại chức năng nghiệp vụ hoặc dịch vụ đa dạng nhưng nó cũng đang làm gia tăng
những rủi ro tiềm ẩn bằng cách mở rộng bề mặt tấn công tiềm năng và phạm vi
của các lỗ hổng. Các SLA nên bao gồm một trọng tâm đặt vào việc bảo vệ và cải
thiện bảo mật bên cạnh việc đảm bảo chất lượng và các dịch vụ đúng hạn với
một mức giá hợp lý. Một số SLA được thiết lập và không thể được sửa đổi, trong
khi đó, với các SLA khác, bạn có thể có những ảnh hưởng đáng kể đến nội dung
của chúng. Bạn nên đảm bảo rằng một SLA hỗ trợ cho các nguyên lý của chính
sách và cơ sở hạ tầng bảo mật của bạn thay vì xung đột với chúng [các nguyên
lý], vốn có thể tạo ra các điểm yếu, lỗ hổng hoặc ngoại lệ.
Thuê ngoài là thuật ngữ thường được sử dụng để mô tả việc sử dụng một bên
thứ ba bên ngoài, chẳng hạn như một nhà cung cấp, nhà tư vấn hoặc nhà thầu
thay cho việc thực hiện nhiệm vụ hoặc hoạt động trong nội bộ. Thuê ngoài có
thể được sử dụng như một tùy chọn ứng phó rủi ro còn được gọi là chuyển tiếp
hoặc chỉ định (hãy xem phần “Biện pháp ứng phó Rủi ro” ở đoạn sau của chương
này). Tuy nhiên, dù cho rủi ro từ việc vận hành một chức năng trong nội bộ được
chuyển tiếp cho một bên thứ ba, những rủi ro khác vẫn xảy ra bằng cách sử
dụng một bên thứ ba. Khía cạnh này cần phải được đánh giá xem đó là lợi ích
hay hệ quả của SLA.
Để biết thêm về các thỏa thuận mức-dịch-vụ, hãy đọc Chương 16.
177 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Các nhà cung cấp, nhà tư vấn hoặc nhà thầu cũng đại diện cho một sự gia tăng
trong rủi ro của việc bí mật thương mại bị đánh cắp hoặc bị do thám. Những
người bên ngoài thường thiếu đi lòng trung thành với tổ chức mà hoặc những
nhân viên nội bộ thường có, do đó, sự cám dỗ để tận dụng những cơ hội tiếp
cận với tài sản sở hữu trí tuệ dường như dễ dàng hơn với thủ phạm hay ít gây
ra xung đột nội bộ. Để biết thêm chi tiết về việc do thám, hãy xem Chương 17,
“Ngăn chặn và Ứng phó Sự cố”.
Một số tổ chức có thể hưởng lợi từ một hệ thống quản lý nhà cung cấp (vendor
management system – VMS). Một VMS là một giải pháp phần mềm để hỗ trợ cho
việc quản lý và mua sắm các dịch vụ nhân sự, phần cứng, phần mềm, và các sản
phẩm và dịch vụ cần thiết khác. Một VMS có thể đề xuất dịch vụ đặt hàng tiện
lợi, phân phối đơn hàng, đào tạo đội nhóm, thanh toán tổng hợp, v.v… Liên quan
đến bảo mật, một VMS có thể có khả năng giữ cho các giao tiếp và hợp đồng
được bảo mật, yêu cầu các giao dịch được mã hóa và xác thực, và duy trì một
nhật ký hoạt động chi tiết của các sự kiện có liên quan đ ến các nhà cung cấp và
nhà thầu
Tuân thủ Các Yêu cầu Chính sách
Tuân thủ là hành động tuân theo hoặc tôn trọng các quy tắc, chính sách, quy
định, tiêu chuẩn hoặc yêu cầu. Tuân thủ là một mối quan tâm tr ọng yếu của
quản trị bảo mật. Ở cấp độ cá nhân, tuân thủ liên quan đến việc cá nhân các
nhân viên có tuân theo chính sách c ủa công ty và thực hiện nhiệm vụ công việc
của họ theo các thủ tục đã được xác định hay không. Rất nhiều tổ chức đều dựa
vào sự tuân thủ của nhân viên để duy trì được chất lượng, độ nhất quán, hiệu
quả và tiết kiệm chi phí ở mức cao. Nếu nhân viên không giữ gìn được sự tuân
thủ thì việc này có thể làm tiêu tốn thêm chi phí của tổ chức xét về mặt lợi
nhuận, thị phần, sự công nhận và danh tiếng. Nhân viên cần được đào tạo liên
quan đến những gì họ cần phải thực hiện (nghĩa là, tuân thủ các tiêu chuẩn của
công ty như đã được xác định trong chính sách bảo mật và giữ tính tuân thủ với
bất kỳ nghĩa vụ pháp lý theo hợp đồng nào chẳng hạn như Tiêu chuẩn Bảo mật
Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) để duy trì khả năng thực hiện việc xử
lý thẻ tín dụng), chỉ khi đó họ mới có thể giữ được trách nhiệm giải trình cho
các vi phạm hoặc không tuân thủ. Tuân thủ là một hình thức kiểm soát bảo mật
178 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
quản trị hành chính hoặc quản lý vì nó tập trung vào các chính sách và con người
phải tuân thủ các chính sách đó (cũng như là li ệu các thành phần CNTT và vật
lý của tổ chức có tuân thủ các chính sách hay không).
Thực thi sự tuân thủ là việc áp dụng các biện pháp trừng phạt hoặc những hậu
quả nếu không tuân thủ chính sách, đào tạo, thực tiễn tốt nhất, và/hoặc quy
định. Những nỗ lực thực thi như vậy có thể được thực hiện bởi giám đốc bảo
mật thông tin (CISO) hoặc giám đốc bảo mật (CSO), các nhà quản lý nhân viên
và các giám sát viên, kiểm toán viên và các cơ quan quản lý bên-thứ-ba.
Tuân thủ cũng là một mối quan tâm về quy định. Chủ đề này được đề cập trong
Chương 4.
Các Yêu cầu Chính sách Quyền riêng tư
Quyền riêng tư có thể là một khái niệm rất khó để định nghĩa. Thuật ngữ này
được sử dụng một cách khá phổ biến trong rất nhiều ngữ cảnh mà không cần
định lượng hay bổ nghĩa quá nhiều. Dưới đây là một số thành phần định nghĩa
về quyền riêng tư:
▪
Sự ngăn chặn chủ động việc truy cập trái phép đến những thông tin nhận
dạng cá nhân (nghĩa là, các điểm dữ liệu để có thể được liên kết trực tiếp
với một cá nhân hoặc tổ chức), còn được gọi là thông tin nhận dạng cá
nhân (PII)
▪
Không bị truy cập trái phép vào những thông tin được coi là cá nhân hoặc
bí mật
▪
Không bị quan sát, giám sát hoặc kiểm tra mà không có sự đồng thuận
hoặc không biết.
Khi xác định quyền riêng tư trong lĩnh vực CNTT, thường có một đạo luật cân
bằng giữa các quyền cá nhân và những quyền hoặc hoạt động của một tổ chức.
Một số khẳng định rằng các cá nhân có quyền kiểm soát việc liệu thông tin về
họ có thể được thu thập hay không, và những gì có thể được thực hiện với việc
này [nghĩa là, bao gồm cả việc thu thập thông tin lẫn thông tin đó – người dịch].
Một số khác lại khẳng định rằng bất kỳ hoạt động nào được thực hiện trong khu
vực công cộng – chẳng hạn như hầu hết các hoạt động diễn ra trên Internet
hoặc các hoạt động được thực hiện trên các thiết bị của công ty – có thể được
179 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
giám sát mà không cần sự nhận biết hoặc sự cho phép của các cá nhân đang
được giám sát, và rằng những thông tin đã thu thập từ những hoạt động giám
sát như vậy có thể được sử dụng cho bất kỳ mục đích nào được tổ chức coi là
thích hợp hoặc thỏa đáng. Một số trong các vấn đề này được xác định bởi luật
pháp tùy theo quốc gia hoặc bối cảnh, trong khi một số khác lại tùy thuộc vào
tổ chức và các cá nhân.
Việc bảo vệ các cá nhân khỏi sự quan sát không được mong đợi, tiếp thị trực
tiếp, và tiết lộ thông tin cá nhân, riêng tư hoặc thông tin bí mật thường được
coi là một nỗ lực đáng giá. Tuy nhiên, một số tổ chức tuyên bố rằng nghiên cứu
nhân khẩu học, thu thập thông tin và tiếp thị tập trung sẽ cải thiện các mô hình
kinh doanh, giảm lãng phí trong quảng cáo và tiết kiệm tiền cho tất cả các bên.
Có rất nhiều vấn đề tuân thủ các quy định và luật lệ liên quan đến quyền riêng
tư. Rất nhiều quy định của Hoa Kỳ - chẳng hạn như Đạo luật về Trách nhiệm Giải
trình và Cung cấp Bảo hiểm Y tế (Health Insurance Portability and Accountability
Act – HIPAA), Đạo luật Sarbanes-Oxley 2002 (Sarbanes-Oxley Act), Quyền Giáo
dục Gia đình và Đạo luật Quyền riêng tư (Family Educational Rights and Privacy
Act – FERPA), và Đạo luật Gramm-Leach-Bliley - cũng như Quy định Bảo vệ Dữ
liệu Chung của Liên minh Châu Âu (General Data Protection Regulation – GDPR)
(Quy định [EU] 2016/79) – bao gồm các yêu cầu về quyền riêng tư. Điều quan
trọng là hiểu được tất cả các quy định của chính phủ mà tổ chức của bạn được
yêu cầu phải tuân theo để đảm bảo tính tuân thủ, đặc biệt là trong những lĩnh
vực về quyền riêng tư.
Bất kể lập trường cá nhân hoặc tổ chức của bạn là gì về các vấn đề về quyền
riêng tư trực tuyến, nó nên được xác định trong một chính sách bảo mật của tổ
chức. Quyền riêng tư là một vấn đề không chỉ dành cho khách viếng thăm từ bên
ngoài đến các dịch vụ trực tuyến của bạn mà còn cho khách hàng, nhân viên,
nhà cung cấp và nhà thầu của bạn. Nếu bạn thu thập bất kỳ kiểu thông tin nào
về bất kỳ cá nhân hoặc công ty, bạn phải giải quyết vấn đề về quyền riêng tư.
Trong hầu hết các trường hợp, đặc biệt là khi quyền riêng tư đang bị vi phạm
hoặc giới hạn, các cá nhân và các công ty có thể cần phải được thông báo, nếu
không thì bạn có thể phải đối mặt với các hậu quả về mặt pháp lý. Các vấn đề
180 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
về quyền riêng tư cũng phải được giải quyết khi cho phép hoặc hạn chế việc sử
dụng email cho cá nhân, giữ lại email, ghi âm cuộc đàm thoại qua điện thoại,
thu thập thông tin về việc lướt web hoặc thói quen mua sắm, v.v… Tất cả những
điều này và những điều khác nữa nên được hệ thống hóa trong một chính sách
quyền riêng tư (nghĩa là, các quy tắc nội bộ) và có khả năng là một tuyên
bố/công bố/thông báo về quyền riêng tư (nghĩa là, sự diễn giải cho các thực thể
bên ngoài).
Quyền riêng tư và PII được đề cập nhiều hơn trong Chương 4.
Hiểu và Áp dụng các Khái niệm Quản lý Rủi ro
Quản lý rủi ro là một quy trình chi tiết về việc xác định các yếu tố có thể gây
ra thiệt hại hoặc phơi bày những tài sản của tổ chức, đánh giá những yếu tố đó
xét về giá trị của tài sản và chi phí cho biện pháp đối phó, và việc triển khai
các giải pháp hiệu-quả-về-chi-phí để giảm nhẹ hoặc giảm thiểu rủi ro. Quy trình
tổng thể về quản lý rủi ro được sử dụng để phát triển và triển khai các chiến
lược bảo mật thông tin để hỗ trợ cho sứ mệnh của tổ chức. Kết quả của việc
thực thi quản lý rủi ro cho lần đầu tiên là khung xương của chính sách bảo mật.
Các sự kiện quản lý rủi ro tiếp theo được sử dụng để cải thiện và duy trì cơ sở
hạ tầng bảo mật của tổ chức theo thời gian khi các điều kiện bên trong và bên
ngoài thay đổi.
Mục đích chính của quản lý rủi ro là giảm thiểu rủi ro đến mức có thể chấp nhận
được. Mức đó thực sự là bao nhiêu sẽ phụ thuộc vào tổ chức, giá trị của tài sản,
quy mô ngân sách và rất nhiều yếu tố khác. Một tổ chức có thể cho rằng một
điều gì đó là rủi ro có thể chấp nhận được, trong khi tổ chức khác có thể coi
điều tương tự là mức rủi ro cao một cách phi lý. Sẽ không thể thiết kế và triển
khai một môi trường hoàn toàn không-có-rủi-ro, tuy nhiên, có thể giảm thiểu rủi
ro một cách đáng kể, thường là với nỗ lực khiêm tốn.
Rủi ro đối với cơ sở hạ tầng CNTT không phải đều dựa tất cả trên máy tính. Trên
thực tế, rất nhiều rủi ro đến từ các nguồn không-phải-CNTT. Điều quan trọng là
phải xem xét mọi rủi ro có thể xảy ra khi thực hiện đánh giá rủi ro, bao gồm tai
nạn, thảm họa thiên nhiên, các mối đe dọa về tài chính, bất ổn dân sự, đại dịch,
các mối đe dọa vật lý, khai thác kỹ thuật và các cuộc tấn công kỹ thuật xã hội.
181 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Việc không đánh giá đúng và ứng phó với tất cả các hình thức rủi ro sẽ khiến
cho công ty trở nên dễ bị tổn thương.
Quản lý rủi ro bao gồm hai thành phần chính: đánh giá rủi ro và ứng phó rủi ro.
Đánh giá rủi ro hoặc phân tích rủi ro là việc kiểm tra môi trường của rủi ro,
đánh giá từng sự kiện đe dọa về khả năng xảy ra của nó và mức độ nghiêm trọng
của thiệt hại mà nó sẽ gây ra nếu như nó xảy ra, và đánh giá chi phí của các
biện pháp đối phó khác nhau đối với từng rủi ro. Điều này dẫn đến việc sắp xếp
thứ tự ưu tiên theo mức độ nghiêm trọng của các rủi ro. Từ đó, biện pháp ứng
phó với rủi ro được thực hiện.
Ứng phó với rủi ro liên quan đến việc đánh giá các biện pháp đối phó, biện pháp
bảo vệ và các biện pháp kiểm soát bảo mật bằng cách sử dụng phân tích chi
phí/lợi ích, điều chỉnh các phát hiện dựa trên các điều kiện khác, các mối quan
tâm, ưu tiên và nguồn lực khác, đưa ra đề xuất về các phương án ứng phó trong
một báo cáo cho quản lý cấp cao. Dựa trên các quyết định và hướng dẫn quản
lý, các biện pháp ứng phó đã chọn có thể được triển khai vào cơ sở hạ tầng
CNTT và tích hợp vào tài liệu chính sách bảo mật.
Một khái niệm liên quan đến quản lý rủi ro là nhận thức rủi ro. Nhận thức về rủi
ro là nỗ lực nâng cao kiến thức về rủi ro trong phạm vi một tổ chức. Điều này
bao gồm việc tìm hiểu giá trị của tài sản, kiểm kê các mối đe dọa hiện có có thể
gây hại cho các tài sản đó, và các biện pháp ứng phó được lựa chọn và triển
khai để giải quyết rủi ro đã xác định. Nhận thức về rủi ro giúp thông báo cho tổ
chức về tầm quan trọng của việc tuân thủ các chính sách bảo mật và hậu quả
của các lỗi bảo mật.
Các Thuật ngữ và Khái niệm về Rủi ro
Quản lý rủi ro sử dụng một loạt các thuật ngữ cần phải được hiểu rõ, đặc biệt
là cho kỳ thi CISSP. Phần này định nghĩa và thảo luận về mọi thuật ngữ quan
trọng có-liên-quan-đến-rủi-ro:
Tài sản (Asset) Một tài sản là bất kỳ thứ gì được sử dụng trong một quy
trình nghiệp vụ hoặc một nhiệm vụ. Nếu một tổ chức dựa vào con người,
vị thế, hoặc thứ gì đó, bất kể là hữu hình hay vô hình thì đó là tài s ản.
182 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Định giá Tài sản (Asset Valuation) Định giá tài sản là giá trị được chỉ
định cho một tài sản dựa trên một số yếu tố, bao gồm tầm quan trọng đối
với tổ chức, sử dụng trong quy trình tối quan trọng, chi phí thực tế, và
các khoản chi phí/chi tiêu không phải là tiền bạc (chẳng hạn như thời gian,
sự quan tâm, năng suất, và nghiên cứu và phát triển). Khi thực hiện một
ước lượng dựa-trên-toán-học (nghĩa là, định lượng, xem thêm phần “Phân
tích Rủi ro Định lượng”, tiếp theo trong chương này), số đô-la được chỉ
định là giá trị của tài sản (AV).
Mối đe dọa (Threats) Bất kỳ sự kiện nào có thể fây ra một kết quả không
được mong muốn cho một tổ chức hoặc cho một tài sản cụ thể là một mối
đe dọa. Các mối de dọa là bất kỳ hành động hoặc sự ì nào có thể gây ra
thiệt hại, phá hủy, sự biến đổi, tổn thất, hoặc tiết lộ những tài sản hoặc
có thể khóa quyền truy cập hoặc ngăn chặn quá trình bảo trì tài sản.
Chúng có thể là cố ý hoặc vô tình. Chúng có thể có nguồn gốc từ bên trong
hoặc bên ngoài [tổ chức]. Bạn có thể nghĩ một cách đơn giản rằng một
mối đe dọa giống như một món vũ khí có thể gây ra thiệt hại cho một mục
tiêu.
Tác nhân Đe dọa (Threat Agent/Actor) Tác
nhân đe dọa (threat
agent/threat actor) khai thác các lỗ hổng một cách cố ý. Tác nhân đe dọa
thường là con người, nhưng chúng cũng có thể là các chương trình, phần
cứng hoặc hệ thống. Các tác nhân đe dọa sử dụng các mối đe dọa để gây
ra thiệt hại cho các mục tiêu.
Sự kiện Đe dọa (Threat Events) Sự kiện đe dọa là sự kiện tình cờ và
khai thác các lỗ hổng một cách cố ý. Chúng cũng có thể là tự nhiên hoặc
do con người tạo ra. Các sự kiện đe dọa bao gồm hỏa hoạn, động đất, lũ
lụt, sự cố hệ thống, lỗi con người (do thiếu đào tạo hoặc thiếu hiểu biết)
và mất nguồn điện.
Véc-tơ Đe dọa (Threat Vector) Một véc-tơ đe dọa hoặc véc-tơ tấn công
là con đường hoặc phương tiện mà một cuộc tấn công hoặc kẻ tấn công có
thể truy cập vào mục tiêu để gây ra thiệt hại. Các véc-tơ đe dọa có thể
bao gồm email, lướt web, ổ đĩa ngoài, mạng Wi-Fi, truy cập vật lý, các
183 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thiết bị di động, đám mây, mạng xã hội, chuỗi cung ứng, phương tiện di
động và phần mềm thương mại.
Lỗ hổng (Vulnerability) Điểm yếu của một tài sản hoặc sự vắng mặt
hoặc sự yếu kém của biện pháp tự vệ hoặc biện pháp ứng phó được gọi là
một lỗ hổng. Nói cách khác, một lỗ hổng là một khiếm khuyết, lỗ hổng, sơ
hở, sai sót, hạn chế, yếu ớt hoặc tính dễ bị đe dọa cho phép một mối đe
dọa gây ra tổn hại.
Tiếp xúc (Exposure) Phơi nhiễm là việc dễ bị mất tài sản do một mối đe
dọa, có khả năng một lỗ hổng bảo mật có thể hoặc sẽ bị khai thác bởi một
tác nhân hoặc sự kiện đe dọa. Phơi nhiễm không có nghĩa là m ột mối đe
dọa đã được nhận thức (một sự kiện dẫn đến tổn thất) đang thực sự xảy
ra, chỉ là có khả năng gây ra thiệt hại. Giá trị phân tích rủi ro định lượng
của hệ số phơi nhiễm (exposure factor - EF) có nguồn gốc từ khái niệm
này.
Rủi ro (Risk) Rủi ro là xác suất hoặc khả năng xảy ra rằng một sự kiện
sẽ khai thác một lỗ hổng để gây ra thiệt hại cho một tài sản và mức độ
nghiêm trọng của thiệt hại có thể có. Một sự kiện đe dọa càng có khả năng
xảy ra thì rủi ro càng lớn. Tổng thiệt hại càng lón có thể xảy ra nếu một
mối đe dọa được hiện thực hóa thì rủi ro càng lớn. Khi được viết như một
công thức mang tính khái niệm, rủi ro có thể được định nghĩa như sau:
rủi ro = mối đe dọa x lỗ hổng
hoặc
rủi ro = xác suất của thiệt hại x mức độ nghiêm trọng của thiệt hại
Do đó, việc giải quyết hoặc mối đe dọa hoặc tác nhân đe dọa hoặc lỗ hổng
sẽ dẫn đến việc giảm được rủi ro. Hành động này được gọi là giảm thiểu
rủi ro hoặc giảm nhẹ rủi ro, vốn là mục đích tổng thể của quản lý rủi ro.
Khi
một
rủi
ro
được
hiện
thực
hóa,
một
tác
nhân đe
dọa
(threat
agent/threat actor) hoặc sự kiện đe dọa tận dụng một lỗ hổng và gây ra
thiệt hại cho hoặc tiết lộ một hoặc nhiều tài sản. Toàn bộ mục đích của
184 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
bảo mật là để ngăn chặn rủi ro trở nên hiện thực hóa bằng cách loại bỏ
các lỗ hổng và ngăn chặn các tác nhân đe dọa và sự kiện đe dọa gây ra
nguy hiểm cho tài sản.
Bảo vệ (Safeguards) Một [sự] bảo vệ, biện pháp kiểm soát, cơ chế bảo
vệ, hoặc biện pháp ứng phó là bất kỳ điều gì loại bỏ hoặc giảm thiểu được
một lỗ hổng hoặc bảo vệ để chống lại một hoặc nhiều mối đe dọa cụ thể.
Khái niệm này còn được gọi là ứng phó với rủi ro. Một sự bảo vệ là bất kỳ
hành động hoặc sản phẩm nào làm giảm thiểu rủi ro thông qua việc loại
bỏ hoặc giảm bớt mối đe dọa hoặc lỗ hổng. Các biện pháp bảo vệ là các
phương tiện giúp giảm thiểu hoặc giải quyết rủi ro. Điều quan trọng cần
phải lưu ý là biện pháp bảo vệ không nhất thiết phải mua một sản phẩm
mới, việc thiết lập cấu hình lại các phần tử hiện có và thậm chí loại bỏ
các phần tử khỏi cơ sở hạ tầng cũng là các biện pháp bảo vệ hoặc ứng
phó rủi ro hợp lệ.
Tấn công (Attack) Một cuộc tấn công là hành vi cố ý khai thác một lỗ
hổng của tác nhân đe dọa để gây ra thiệt hại, mất mát hoặc tiết lộ tài
sản. Một cuộc tấn công cũng có thể được coi là bất kỳ hành vi vi phạm
hoặc không tuân thủ chính sách bảo mật của tổ chức. Một sự kiện độc hại
không cần phải thành công trong việc vi phạm bảo mật mới được coi là
một cuộc tấn công.
Vi phạm (Breach) Vi phạm, xâm nhập hoặc xâm nhập là sự kiện một cơ
chế bảo mật bị một tác nhân đe dọa vượt qua hoặc cản trở. Một vi phạm
là một cuộc tấn công thành công.
Một vài trong số các thuật ngữ và yếu tố bảo mật nói trên là có liên quan một
cách rõ ràng, như được minh họa trong Hình 2.2. Các mối đe doạn khai thác các
lỗ hổng, dẫn đến sự phơi nhiễm. Phơi nhiễm là rủi ro, và rủi ro được giảm nhẹ
bằng các biện pháp bảo vệ. Các biện pháp bảo vệ bảo vệ những tài sản đang bị
đặt trong tình thế rủi ro bởi các mối đe dọa.
Có rất nhiều phương pháp tiếp cận để đánh giá rủi ro. Một số được khởi đầu
bằng việc đánh giá các mối đe dọa, trong khi một số phương pháp khác tập trung
185 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
trước tiên vào tài sản. Bất kể một phương pháp quản lý rủi ro khởi đầu với việc
kiểm kê các mối đe dọa sau đó xem xét những tài sản có thể bị thiệt hại, hoặc
khởi đầu bằng việc kiểm kê các tài sản sau đó xem xét các mối đe dọa có thể
gây ra thiệt hại, cả hai phương pháp đều dẫn đến việc ghép đôi tài-sản-mối-đedọa mà sau đó đều cần được đánh giá rủi ro. Cả hai phương pháp tiếp cận đều
đáng giá, và tổ chức nên thay đổi hoặc luân phiên các quy trình đánh giá r ủi ro
của mình giữa hai phương pháp này. Khi t ập trung trước tiên vào các m ối đe
dọa, một loạt các vấn đề nguy hại có thể được cân nhắc mà không bị giới hạn
trong bối cảnh của tài sản. Tuy nhiên, việc này có thể dẫn đến việc thu thập
thông tin về các mối đe dọa mà tổ chức không cần phải bận tâm đến chúng vì
chúng không có các tài sản hoặc lỗ hổng mà mối đe dọa tập trung vào. Khi tập
trung trước tiên vào tài sản, toàn bộ nguồn lực của tổ chức có thể được khám
phá mà không bị giới hạn bởi bối cảnh của danh sách các mối đe dọa. Tuy nhiên,
việc này có thể dẫn đến việc tiêu tốn thời gian đánh giá những tài sản có giá trị
thấp và rủi ro thấp (vốn sẽ hoặc sẽ được xác định là rủi ro có thể chấp nhận
được), có thể làm gia tăng thời gian tổng thể liên quan đến đánh giá rủi ro.
Ý tưởng chung về một quá trình đánh giá rủi ro dựa-trên-mối-de-dọa đã được
thảo luận trong Chương 1. Cuộc thảo luận về đánh giá rủi ro trong chương này
sẽ tập trung vào một phương pháp tiếp cận quản lý rủi ro dựa-trên-tài-sản.
HÌNH 2.2 Mối quan hệ có tinh chu trình giữa các thành phần của rủi ro
186 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Định giá Tài sản
Một quá trình phân tích rủi ro dựa-trên-tài-sản hoặc được-khởi-đầu-bởi-tài-sản
bằng việc kiểm kê mọi tài sản của tổ chức. Khi quá trình kiểm kê này hoàn tất,
một giá trị cần được chỉ định cho từng tài sản. Việc ước lượng hoặc thẩm định
từng tài sản giúp xác định tầm quan trọng hoặc mức độ quan trọng của nó đối
với hoạt động kinh doanh. Nếu một tài sản không có giá trị thì không cần phải
bảo vệ nó. Mục đích chính của phân tích rủi ro là đảm bảo rằng chỉ các biện
pháp bảo vệ hiệu-quả-về-chi-phí mới được triển khai. Không có ý nghĩa gì khi
chi 100,000 đô la để bảo vệ một tài sản chỉ có giá trị 1,000 đô la. Do đó, giá trị
của một tài sản ảnh hưởng trực tiếp và định hướng cho mức độ bảo vệ và bảo
mật được triển khai để bảo vệ nó. Theo nguyên tắc, chi phí hàng năm của các
biện pháp bảo vệ không được vượt quá chi phí hàng năm có th ể xảy ra đối với
tổn thất giá trị tài sản.
Khi chi phí của một tài sản được định giá, sẽ có rất nhiều khía cạnh để cân nhắc.
Mục đích của định giá tài sản là để chỉ định cho tài sản một số tiền cụ thể bao
gồm cả các chi phí hữu hình và chi phí vô hình. Vi ệc xác định chính xác giá trị
của một tài sản thường khá khó khăn nếu không muốn nói là không thể, nhưng
tuy nhiên, một giá trị cụ thể phải được xác lập để thực hiện các phép tính toán
học định lượng. (Hãy lưu ý rằng thảo luận về phân tích rủi ro định tính và định
lượng ở phần sau của chương này có thể làm rõ vấn đề này, xem phần “Đánh
giá/Phân tích Rủi ro”). Việc ấn định giá trị tài sản một cách không thích hợp có
thể dẫn đến việc không bảo vệ được tài sản một cách hợp lý hoặc thực hiện các
biện pháp bảo vệ kém khả thi về mặt tài chính . Danh sách dưới đây bao gồm
các vấn đề hữu hình và vô hình góp phần vào việc định giá tài sản:
▪
Chi phí mua hàng,
▪
Chi phí phát triển,
▪
Chi phí quản lý hoặc quản trị hành chính,
▪
Chi phí bảo trì hoặc duy trì,
▪
Chi phí để mua lại tài sản,
▪
Chi phí để bảo vệ hoặc duy trì tài sản,
▪
Giá trị đối với chủ sở hữu và người dùng,
▪
Giá trị đối với các đối thủ cạnh tranh,
▪
Giá trị tài sản trí tuệ hoặc tài sản cầm cố,
187 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Định giá thị trường (giá bền vững),
▪
Chi phí thay thế,
▪
Tăng cường hoặc sụt giảm năng suất,
▪
Chi phí vận hành của sự hiện diện và tổn thất tài sản,
▪
Trách nhiệm pháp lý của việc tổn thất tài sản,
▪
Tính hữu ích,
▪
Mối quan hệ với nghiên cứu và phát triển.
Việc chỉ định hoặc xác định giá trị của tài sản đối với tổ chức có thể giải quyết
được một số yêu cầu bởi
▪
Việc đóng vai trò như nền tảng để thực hiện phân tích chi phí/lợi ích của
việc bảo vệ tài sản khi tiến hành lựa chọn biện pháp bảo vệ,
▪
Việc đóng vai trò như một phương tiện để đánh giá tính-hiệu-quả-chi-phí
của biện pháp bảo vệ và biện pháp ứng phó,
▪
Việc mang lại giá trị cho những mục đích đảm bảo và xác lập nên một giá
trị ròng tổng thể hoặc giá trị ròng cho tổ chức,
▪
Việc giúp cho các nhà quản lý cấp cao hiểu được một cách chính xác về
những gì đang gặp rủi ro trong tổ chức,
▪
Việc ngăn chặn sự sơ suất trong thẩm định/chăm sóc thích hợp và khuyến
khích sự tuân thủ các yêu cầu pháp lý, các quy định trong ngành và các
chính sách bảo mật nội bộ.
Nếu một quá trình phân tích dựa-trên-mối-đe-dọa hoặc được-khởi-đầu-bằng-mốiđe-dọa được thực hiện, sau đó tổ chức kiểm kê các mối đe dọa và xác định lỗ
hổng của các tài sản so với những mối đe dọa này, việc định giá tài sản sẽ diễn
ra.
Xác định các Mối đe dọa và Lỗ hổng
Một phần thiết yếu của quá trình quản lý rủi ro là xác định và kiểm tra các mối
đe dọa. Việc này liên quan đ ến việc tạo ra một danh sách toàn diện cà mối đe
dọa khả dĩ đối với các tài sản đã được xác định của tổ chức. Danh sách này nên
bao gồm các tác nhân đe dọa cũng như các sự kiện đe dọa. Hãy lưu ý rằng các
mối đe dọa có thể đến từ bất cứ đâu. Các mối đe dọa đối với CNTT không chỉ
giới hạn trong các khái niệm hoặc nguồn tài nguyên CNTT. Khi tổng hợp một
188 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
danh sách các mối đe dọa, hãy chắc chắn rằng bạn đã xem xét các mối đe dọa
từ một loạt các nguồn.
Để có một danh sách mở rộng và chính thức về các ví dụ, khái niệm và thể loại
mối đe dọa, hãy tham khảo Ấn phẩm Đặc biệt (Spcial Publication) của Viện Tiêu
chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) (SP) 800-30r1 Phụ lục D, “Các
nguồn đe dọa” và Phụ lục E, “Sự kiện đe dọa”. Để biết thêm về mô hình mối đe
dọa, hãy xem Chương 1.
Trong hầu hết các trường hợp, một nhóm thay vì một cá nhân phải thực hiện
đánh giá và phân tích r ủi ro. Ngoài ra, các thành viên trong nhóm nên đến từ
các bộ phận khác nhau trong tổ chức. Thông thường, sẽ không đòi hỏi rằng tất
cả các thành viên trong nhóm phải là chuyên gia bảo mật hoặc thậm chí là quản
trị viên mạng/hệ thống. Sự đa dạng của nhóm dựa trên nhân khẩu học của tổ
chức sẽ giúp xác định và giải quyết một cách toàn diện tất cả các mối đe dọa và
rủi ro có thể xảy ra.
Kỵ binh Tư vấn
Đánh giá rủi ro là một quá trình có mức độ liên quan rất nhiều, chi tiết, phức
tạp và kéo dài. Thông thường, việc phân tích rủi ro không thể được xử lý một
cách thích hợp chỉ bởi các nhân viên hiện tại do quy mô, phạm vi hoặc trách
nhiệm pháp lý của rủi ro, do đó, rất nhiều tổ chức mời các chuyên gia tư vấn
quản lý rủi ro đến để thực hiện công việc này. Việc này mang đến trình độ
chuyên môn cao, không làm sa lầy nhân viên và có thể là một phép đo đáng
tin cậy hơn về rủi ro trong thế-giới-thực. Nhưng ngay cả các nhà tư vấn quản
lý rủi ro cũng không thực hiện việc đánh giá và phân tích r ủi ro chỉ trên giấy
tờ, họ thường sử dụng phần mềm đánh giá rủi ro. Phần mềm này hợp lý hóa
nhiệm vụ tổng thể, cung cấp kết quả đáng tin cậy hơn và tạo ra các báo cáo
tiêu chuẩn hóa được chấp nhận bởi các công ty bảo hiểm, hội đồng quản trị,
v.v….
189 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Đánh giá/Phân tích Rủi ro
Quản lý rủi ro là trách nhiệm chủ yếu của các quản lý cấp cao hơn. Tuy nhiên,
các nhà quản lý trên thường chỉ định tác vụ phân tích rủi ro thực tế và mô hình
hóa biện pháp ứng phó rủi ro cho một nhóm từ các bộ phận CNTT và bảo mật.
Kết quả từ công việc của họ sẽ được đệ trình như là một đề xuất cho các nhà
quản lý cấp trên, những người sẽ đưa ra quyết định sau cùng về việc biện pháp
ứng phó nào sẽ được triển khai bởi tổ chức.
Trách nhiệm của các nhà quản lý cấp trên là khởi đầu và hỗ trợ cho phân tích
và đánh giá rủi ro bằng cách xác định phạm vi và mục đích của nỗ lực này. Mọi
quá trình đánh giá rủi ro, kết quả, quyết định và kết quả tác động phải được
hiểu rõ và được phê duyệt bởi các nhà quản lý cấp trên như một yếu tố trong
việc mang lại sự thẩm định/chăm sóc thích đáng khôn ngoan.
Tất cả hệ thống CNTT đều có rủi ro. Tất cả mọi tổ chức đều có rủi ro. Mọi nhiệm
vụ được thực hiện bởi một nhân viên đều có rủi ro. Không có cách nào có thể
loại bỏ 100% của tất cả các rủi ro. Thay vào đó, các nhà quản lý cấp trên phải
quyết định rằng những rủi ro nào là có thể chấp nhận được và rủi ro nào không.
Việc xác định những rủi ro nào là có thể chấp nhận được đòi hỏi những quá trình
đánh giá rủi ro và tài sản phức tạp và chi tiết, đồng thời tìm hiểu kỹ lưỡng ngân
sách, kiến thức chuyên môn và kinh nghiệm trong nội bộ, điều kiện kinh doanh
của tổ chức, và rất nhiều yếu tố nội bộ và bên ngoài khác. Những gì được xem
là có thể chấp nhận được đối với với một tổ chức lại không thể được xét theo
cùng một cách thức đối với tổ chức khác. Ví dụ, bạn có thể nghĩ rằng việc mất
100 đô la là một tổn thất đáng kể và có ảnh hưởng đến ngân sách cá nhân hàng
tháng của bạn nhưng những người giàu có thậm chí còn không nhận ra là họ đã
mất hàng trăm thậm chí hàng nghìn đô la. Rủi ro là mang tính cá nhân, hoặc ít
nhất, cụ thể đối với một tổ chức dựa trên tài sản của họ, mối đe dọa của họ,
tác nhân đe dọa của họ, và dung sai rủi ro của họ.
Khi một bản kiểm kê các mối đe dọa và tài sản (hoặc tài sản và mối đe dọa) đã
được phát triển, sau đó từng cặp tài-sản-mối-đe-dọa phải được đánh giá một
cách riêng lẻ và rủi ro liên quan được tính toán hoặc đánh giá. Có hai phương
pháp luận đánh giá rủi ro chính: định tính và định lượng. Phân tích rủi ro định
190 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
lượng chỉ định số liệu bằng đô la thực tế cho sự tổn thất của tài sản và dựa trên
các phép tính toán học. Phân tích rủi ro định tính ấn định các giá trị chủ quan
và vô hình cho việc tổn thất tài sản và tính đến các quan điểm, cảm xúc, trực
giác, sở thích, ý tưởng và phản ứng cảm xúc. Cả hai phương pháp đều cần thiết
để có một cái nhìn hoàn chỉnh về rủi ro của tổ chức. Hầu hết các môi trường
đều sử dụng một kết hợp cả hai phương pháp đánh giá r ủi ro để có được một
cái nhìn cân bằng về các mối quan tâm bảo mật của họ.
Mục đích của đánh giá rủi ro là để xác định những rủi ro (dựa trên các cặp tàisản-mối-đe-dọa) và xếp hạng chúng theo thứ tự của tầm quan trọng. Việc sắp
xếp thứ tự ưu tiên tầm quan trọng của rủi ro là điều cần thiết để định hướng
cho tổ chức trong việc tối ưu hóa việc sử dụng những nguồn tài nguyên hạn chế
của mình vào việc bảo vệ để chống lại những rủi ro đã được xác định, từ quan
trọng nhất cho đến chỉ cao hơn một chút so với ngưỡng chấp thuận rủi ro.
Hai phương pháp tiếp cận đánh giá rủi ro (định tính và định lượng) có thể được
xem là những khái niệm hoặc các điểm đầu cuối khác nhau và tách biệt trên một
thang trượt. Như đã được thảo luận trong Chương 1, một ma trận xác suất cơ
bản so với thiệt hại 3 × 3 dựa trên sự hiểu biết bẩm sinh về các tài sản và các
mối đe dọa và dựa vào lời tuyên bố đánh giá của chuyên gia phân tích rủi ro để
quyết định xem khả năng xảy ra và mức độ nghiêm trọng là thấp, trung bình hay
cao. Đây có thể là hình thức đánh giá định tính đơn giản nhất. Hình thức này
đòi hỏi thời gian và nỗ lực tối thiểu. Tuy nhiên, nếu nó không mang lại được sự
rõ ràng hoặc phân biệt cần thiết về mức độ sắp xếp múc ưu tiên theo tầm quan
trọng thì một phương pháp tiếp cận chuyên sâu hơn nên được thực hiện. Một ma
trận 5 × 5 hoặc thậm chí lớn hơn có thể được sử dụng. Tuy nhiên, mỗi lần gia
tăng kích thước ma trận đòi hỏi nhiều kiến thức hơn, nhiều nghiên cứu hơn và
nhiều thời gian hơn để chỉ định xác suất và mức độ nghiêm trọng thích hợp. Tại
một số thời điểm, việc đánh giá chuyển từ chủ yếu là định tính chủ quan sang
định lượng thực chất hơn.
Một quan điểm khác về hai phương pháp tiếp cận đánh giá rủi ro là rằng một cơ
chế định tính có thể được sử dụng trước tiên để xác định xem liệu một cơ chế
định lượng chi tiết và tiêu tốn thời gian/nguồn lực có cần thiết hay không. Một
tổ chức cũng có thể thực hiện cả hai phương pháp tiếp cận và sử dụng chúng để
191 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
điều chỉnh hoặc sửa đổi nhau, ví dụ, các kết quả định tính có thể được sử dụng
để tinh-chỉnh các mối ưu tiên định lượng.
Phân tích Rủi ro Định tính
Phân tích rủi ro định tính nghiêng về dựa trên tình huống hơn là dựa trên tính
toán. Thay vì chỉ định con số đô la chính xác cho tổn thất khả dĩ, bạn xếp hạng
các mối đe dọa trên một thang đo tương đối để đánh giá rủi ro, chi phí và ảnh
hưởng của nó. Vì không thể nào đánh giá rủi ro định lượng một cách thuần túy
nên việc cân bằng các kết quả của phân tích định lượng là điều cần thiết. Phương
pháp kết hợp phân tích định lượng và định tính thành một đánh giá cuối cùng
về rủi ro của tổ chức được gọi là đánh giá kết hợp (hybrid assessment) hoặc
phân tích kết hợp (hybrid analysis). Quá trình thực hiện phân tích rủi ro định
tính liên quan đến khả năng phán đoán, trực giác và kinh nghiệm. Bạn có thể sử
dụng rất nhiều kỹ thuật để thực hiện phân tích rủi ro định tính:
▪
Động não,
▪
Bảng câu chuyện,
▪
Các nhóm trọng tâm,
▪
Các Khảo sát,
▪
Các Bảng câu hỏi,
▪
Các Danh sách kiểm tra,
▪
Các cuộc họp một-một,
▪
Các cuộc phỏng vấn,
▪
Các kịch bản,
▪
Kỹ thuật Delphi.
Việc xác định cơ chế nào được sử dụng sẽ căn cứ vào văn hóa của tổ chức và
kiểu rủi ro và mối de dọa có liên quan. Một điều khá phổ biến là một số phương
pháp được sử dụng một cách đồng thời và những kết quả của chúng được so
sánh và đối chiếu trong báo cáo phân tích r ủi ro sau cùng cho các nhà quản lý
cấp trên. Hai trong số các kỹ thuật nói trên mà bạn cần lưu ý hơn cả là kịch bản
và kỹ thuật Delphi.
Kịch bản
Tiến trình cơ bản cho mọi cơ chế này đều liên quan đến việc tạo ra các kịch bản.
Một kịch bản là một mô tả bằng văn bản về một mối đe dọa lớn đơn lẻ. Mô tả
192 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tập trung vào cách thức một mối đe dọa được xúi giục như thế nào và những
ảnh hưởng mà sự xuất hiện của nó có thể có đối với tổ chức, cơ sở hạ tầng CNTT
và những tài sản cụ thể. Nói chung, các kịch bản được giới hạn trong một trang
văn bản để giữ cho chúng trở nên có thể quản lý được. Đối với từng kịch bản,
một số biện pháp bảo vệ được mô tả sẽ bảo vệ hoàn toàn hoặc một phần chống
lại mối đe dọa chính được đề cập trong kịch bản. Sau đó, những người tham gia
phân tích chỉ định mức độ đe dọa, tổn thất tiềm năng và lợi thế của từng biện
pháp bảo vệ cho kịch bản. Những mức độ chỉ định này có thể đơn giản - chẳng
hạn như Cao, Trung bình và Thấp, hoặc thang điểm số cơ bản từ 1 đến 10 - hoặc
chúng có thể là những câu trả lời dạng tiểu luận chi tiết. Các câu trả lời từ tất
cả những người tham gia sau đó được tổng hợp thành một báo cáo duy nhất
được đẹ trình lên quản lý cấp trên. Để biết ví dụ về các mức xếp hạng và cấp
độ tham chiếu, vui lòng xem Bảng D-3, D-4, D-5, D-6 và E-4 trong NIST SP 80030 Rev.1 tại địa chỉ csrc.nist.gov/publications/detail/sp/800 -30/rev-1/final.
Tính hữu ích và hiệu lực của phân tích rủi ro định tính được cải thiện khi số
lượng và sự đa dạng của những người tham gia vào quá trình đánh giá tăng lên.
Bất cứ khi nào có thể, hãy bao gồm một hoặc nhiều người hơn từ mỗi cấp của
hệ thống phân cấp tổ chức, từ quản lý cấp trên đến người dùng đầu cuối. Điều
quan trọng nữa là phải bao gồm một phiên-chéo (cross-section) từ mỗi bộ phận,
phòng ban, văn phòng hoặc chi nhánh chính.
Kỹ thuật Delphi
Kỹ thuật Delphi có lẽ là cơ chế chính trong danh sách trước đó mà không thể
được nhận biết và được hiểu một cách tức thời. Kỹ thuật Delphi chỉ đơn giản là
một quy trình phản-hồi-và-hồi-đáp ẩn danh được sử dụng để cho phép một nhóm
đạt được sự đồng thuận ẩn danh. Mục đích chủ yếu của kỹ thuật này là khơi gợi
những câu trả lời trung thực và không bị định kiến từ tất cả những người tham
gia. Những người tham gia thường được tập trung vào một phòng họp duy nhất.
Đối với mỗi yêu cầu phản hồi, mỗi người tham gia sẽ viết phản hồi của họ ra
giấy hoặc thông qua các dịch vụ nhắn tin kỹ thuật số một cách ẩn danh. Kết quả
được tổng hợp và trình bày cho nhóm để được đánh giá. Quá trình này được lặp
lại cho đến khi đạt được sự đồng thuận. Mục tiêu hoặc mục đích của kỹ thuật
Delphi là để tạo điều kiện thuận lợi cho việc đánh giá các ý tưởng, khái niệm và
193 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
giải pháp dựa trên giá trị của chúng mà không có sự phân biệt thường xảy ra
dựa trên việc ý tưởng đến từ ai.
Phân tích Rủi ro Định lượng
Phương pháp định lượng dẫn đến các chỉ báo xác suất rõ ràng hoặc một chỉ báo
bằng con số về khả năng rủi ro tương đối. Điều đó có nghĩa là kết quả sau cùng
là một báo cáo có chứa các số liệu bằng tiền về mức độ rủi ro, tổn thất tiềm ẩn,
chi phí của các biện pháp đối phó và giá trị của các biện pháp bảo vệ. Báo cáo
này thường tương đối dễ hiểu, đặc biệt là đối với bất kỳ ai có kiến thức về bảng
tính và báo cáo ngân sách. Hãy nghĩa về phân tích định lượng như là hành động
chỉ định một số lượng cho rủi ro – hay nói cách khác, đặt một con số đô la lên
mỗi tài sản và tác động của mối đe dọa. Tuy nhiên, một phân tích định lượng
thuần túy sẽ là không đủ - không phải tất cả các yếu tố và khía cạnh của phân
tích đều có thể được định lượng một cách chính xác vì một vài trong số chúng
là định tính, chủ quan hoặc vô hình.
Quá trình phân tích rủi ro định lượng bắt đầu bằng việc định giá tài sản và xác
định mối đe dọa (có thể được thực hiện theo bất kỳ trình tự nào). Điều này sẽ
dẫn đến các cặp mối-đe-dọa-tài-sản cần phải có những ước tính về khả năng gây
ra thiệt hại/mức độ nghiêm trọng và tần suất/khả năng xảy ra được chỉ định
hoặc được xác định. Thông tin này sau đó được sử dụng để tính toán các hàm
chi phí khác nhau được sử dụng để đánh giá các biện pháp bảo vệ.
Các bước hoặc giai đoạn chính trong phân tích rủi ro định lượng bao gồm (xem
Hình 2.3, với các thuật ngữ và khái niệm được xác định sau danh sách các bước
này):
1. Kiểm kê tài sản, và chỉ định một giá trị (giá trị tài sản [AV]).
2. Nghiên cứu từng tài sản, và tạo ra một danh sách về tất cả các mối đe
dọa tiềm ẩn đối với từng tài sản riêng lẻ. Quá trình này sẽ có kết quả là
các cặp tài-sản-mối-đe-dọa.
3. Đối với từng cặp tài-sản-mối-đe-dọa, tính toán hệ số phơi nhiễm (exposure
factor [EF]).
4. Tính toán tổn thất đơn lẻ dự kiến (single loss expectancy – SLE) cho từng
cặp tài-sản-mối-đe-dọa.
194 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
5. Thực hiện một phân tích mối đe dọa để tính toán khả năng từng mối đe
dọa được hiện thực hóa trong vòng 1 năm – có nghĩa là, tỷ lệ xảy ra theo
hàng năm (annualized rate of occurrence – ARO).
6. Rút ra tiềm năng tổn thất tổng thể cho từng mối đe dọa bằng cách tính
toán tổn thất theo hàng năm dự kiến (annualized loss expectancy - ALE).
7. Nghiên cứu các biện pháp đối phó với từng mối đe dọa, sau đó tính toán
các thay đổi đối với ARO, EF và ALE dựa trên một biện pháp đối phó được
áp dụng.
8. Thực hiện phân tích chi phí/lợi ích của từng biện pháp đối phó với từng
mối đe dọa cho từng tài sản. Lựa chọn biện pháp ứng phó thích hợp nhất
cho từng mối đe dọa.
HÌNH 2.3
Thành phần chính của phân tích rủi ro định lượng
195 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hàm chi phí tương ứng với phân tích rủi ro định lượng bao gồm:
Hệ số Phơi nhiễm (Exposure Factor – EF) Hệ số phơi nhiễm (EF) đại
diện cho tỷ lệ phần trăm tổn thất mà một tổ chức sẽ trải qua nếu một tài
sản cụ thể bị vi phạm bởi một rủi ro đã bị hiện thực hóa. EF cũng có thể
được gọi là tổn thất tiềm ẩn. Trong hầu hết các trường hợp, một rủi ro
được hiện thực hóa không dẫn đến toàn bộ tổn thất của một tài sản. EF
chỉ đơn giản cho biết về tổn thất giá trị tài sản tổng thể được dự kiến do
việc một rủi ro được hiện thực hóa đơn lẻ. EF thường là khá nhỏ đối với
những tài sản có thể được thay thế một cách dễ dàng, ví dụ như phần
cứng. Nó (EF) có thể rất lớn đối với những tài sản không thể thay thế hoặc
độc quyền như các thiết kế sản phẩm hoặc một cơ sở dữ liệu khách hàng.
EF được thể hiện dưới dạng tỷ lệ phần trăm. Nó được xác định bằng cách
sử dụng dữ liệu nội bộ lịch sử, thực hiện phân tích mang tính thống kê,
tham vấn sổ cái/đăng ký rủi ro thuê bao hoặc công khai, làm việc với các
chuyên gia tư vấn, hoặc sử dụng một giải pháp phần mềm quản lý rủi ro.
Tổn-thất-Đơn-lẻ Dự kiến (Single-Loss Expectancy – SLE) Tổn-thất-
đơn-lẻ dự kiến (SLE) là tổn thất tiềm năng tương ứng với một mối đe dọa
được hiện thực hóa đơn lẻ so đối với một tài sản cụ thể. Nó chỉ ra tổng
tổn thất tiềm năng mà một tổ chức sẽ hoặc có thể sẽ gánh chịu nếu một
tài sản bị thiệt hại do một mối de dọa cụ thể xảy ra.
SLE được tính toán bằng cách sử dụng công thức sau:
SLE = giá trị tài sản (AV) x hệ số phơi nhiễm (EF)
Hoặc đơn giản hơn:
SLE = AV x EF
SLE được thể hiện dưới dạng giá trị đô la. Ví dụ, nếu một tài sản
được định giá là 200,000 đô la và nó có tỷ lệ EF là 45% đối với một
mối đe dọa cụ thể thì SLE của mối đe dọa đó đối với tài sản đó là
90,000 đô la. Không nhất thiết lúc nào cũng phải tính toán một SLE,
vì ALE là giá trị cần thiết phổ biến hơn trong việc xác định mức ưu
tiên theo tầm quan trọng. Do đó, đôi khi trong quá trình tính toan
rủi ro, SLE có thể bị bỏ qua hoàn toàn.
196 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tỷ lệ Xảy ra Theo hàng năm (Annualized Rate of Occurrence – ARO)
Tỷ lệ xảy ra theo hàng năm (ARO) là tần suất dự kiến mà cùng với đó, một
mối đe dọa hoặc rủi ro cụ thể sẽ xảy ra (nghĩa là, trở thành hiện thực
hóa) trong một năm đơn lẻ. ARO có thể có phạm vi từ 0.0 (zero), chỉ ra
rằng mối đe dọa hoặc rủi ro sẽ không bao giờ hiện thực hóa, cho đến một
con số rất lớn, chỉ ra rằng mối đe dọa hoặc rủi ro thường xuyên xảy ra.
Việc tính toán ARO có thể sẽ rất phức tạp. Nó có thể được rút ra từ việc
xem xét dữ liệu nội bộ lịch sử, thực hiện phân tích mang tính thống kê,
tham vấn sổ cái/đăng ký rủi ro thuê bao hoặc công khai, làm việc với các
chuyên gia tư vấn, hoặc sử dụng một giải pháp phần mềm quản lý rủi ro.
ARO đối với một số mối đe dọa hoặc rủi ro được tính toán bằng cách nhân
khả năng xảy ra của một sự kiện đơn lẻ với số lượng người dùng có thể
khởi xướng mối đe dọa. ARO còn được gọi là một phép xác định xác suất.
Và đây là một ví dụ: ARO của một trận động đất tại Tulsa có thể là 0.0001
trong khi ARO của một trận động đất tại San Francisco có thể là 0.03 (với
cường độ 6.7 trở lên), hoặc bạn có thể so sánh ARO của một trận động
đất tại Tulsa là 0.00001 với ARO của một email có vi-rút tại một văn phòng
ở Tulsa là 10,000,000.
Tổn thất Dự kiến Theo hàng năm (Annua lized Loss Expectancy –
ALE) Tổn thất dự kiến theo hàng năm (ALE) là tổn thất hàng năm tiềm
năng của tất cả những trường hợp mà một mối đe dọa cụ thể được hiện
thực hóa để chống lại một tài sản cụ thể. ALE được tính toán bằng cách
sử dụng công thức sau:
ALE = tổn thất dự kiến đơn lẻ (SLE) x tỷ lệ xảy ra hàng năm (ARO)
Hoặc:
ALE = giá trị tài sản (AV) x hệ số phơi nhiễm (EF) x tỷ lệ xảy ra
hàng năm (ARO)
Hoặc đơn giản hơn nữa:
ALE = SLE x ARO
Hoặc:
ALE = AV x EF x ARO
197 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Ví dụ, nếu SLE của một tài sản là 90,000 đô la và ARO đ ối với một mối đe
dọa cụ thể (chẳng hạn như mất toàn bộ nguồn điện) là 0.5 thì ALE là
45,000 đô la. Nếu ARO đối với một mối đe dọa cụ thể (chẳng hạn như tài
khoản người dùng bị xâm phạm) là 15 đối với cùng tài sản thì ALE sẽ là
1,350,000 đô la.
Nhiệm vụ tính toán EF, SLE, ARO và ALE cho m ọi tài sản và mọi mối đe dọa/rủi
ro là một nhiệm vụ nan giải. May mắn thay, các công cụ phần mềm đánh giá rủi
ro định lượng có thể đơn giản hóa và tự động hóa phần lớn quá trình này. Những
công cụ này tạo ra một bản kiểm kê tài sản cùng với các giá trị và sau đó, bằng
cách sử dụng các ARO đã được chỉ định trước cùng với một số lựa chọn tùy chỉnh
(ngành nghề, vị trí địa lý, các thành phần CNTT, v.v…), tạo ra các báo cáo phân
tích rủi ro.
Khi một ALE được tính toán đối với từng cặp tài-sản-mối-đe-dọa, sau đó toàn bộ
tập hợp nên được sắp xếp theo ALE từ lớn nhất đến nhỏ nhất. Mặc dù con số
thực tế của ALR không phải là một con số tuyệt đối (nó là sự pha trộn của giá
trị vô hình và hữu hình nhân với dự đoán về tổn thất trong tương lai nhân với
dự đoán về khả năng xảy ra trong tương lai), nó vẫn có giá trị tương đối. ALE
lớn nhất chính là vấn đề lớn nhất mà tổ chức đang phải đối mặt và do đó là rủi
ro đầu tiên cần được giải quyết trong ứng phó rủi ro.
Phần “Chi phí so với Lợi ích của các Biện pháp kiểm soát Bảo mật”, nằm ở phần
sau của chương này, sẽ thảo luận về các công thức khác nhau liên quan đ ến
phân tích rủi ro định lượng mà bạn nên quen thuộc.
Cả cơ chế phân tích rủi ro định lượng và định tính đều mang lại những kết quả
hữu ích. Tuy nhiên, mỗi kỹ thuật lại liên quan đến một phương pháp duy nhất
để đánh giá cùng một nhóm tài sản và rủi ro. Sự thẩm định cẩn trọng đòi hỏi
phải sử dụng cả hai phương pháp để có được một quan điểm cân bằng về rủi ro.
Bảng 2.1 mô tả những lợi ích và bất lợi của cả hai hệ thống này.
198 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
BẢNG 2.1 So sánh phân tích rủi ro định tính và định lượng
Đặc tính
Định tính
Định lượng
Sử dụng các hàm toán học
Không
Có
Sử dụng phân tích chi phí/lợi ích
Có thể
Có
Đòi hỏi sự ước lượng
Có
Đôi khi
Hỗ trợ việc tự động hóa
Không
Có
Liên quan đến một lượng lớn thông tin
Không
Có
Khách quan
Ít hơn
Nhiều hơn
Về cơ bản là dựa vào ý kiến
Có
Không
Đòi hỏi thời gian và nỗ lực đáng kể
Thỉnh thoảng
Có
Mang lại những kết quả hữu ích và ý có nghĩa
Có
Có
Tại thời điểm này, quá trình quản lý rủi ro đang chuyển đổi từ đánh giá rủi ro
sang ứng phó rủi ro. Đánh giá rủi ro được sử dụng để xác định rủi ro và xác lập
các ưu tiên theo tầm quan trọng, và sau đó, ứng phó rủi ro được sử dụng để xác
định biện pháp phòng thủ tốt nhất cho từng rủi ro đã được xác định.
Các Biện pháp ứng phó với Rủi ro
Bất kể đánh giá rủi ro định tính hay định lượng đã được thực hiện, có rất nhiều
khía cạnh của ứng phó rủi ro áp dụng như nhau cho cả hai phương pháp tiếp
cận. Khi phân tích rủi ro đã hoàn tất, các nhà quản lý phải giải quyết từng rủi
ro cụ thể. Có một số biện pháp ứng phó rủi ro khả dĩ, bao gồm:
▪
Giảm nhẹ hoặc giảm thiểu,
▪
Chỉ định hoặc chuyển tiếp,
▪
Ngăn chặn,
▪
Chấp thuận,
▪
Từ chối hoặc bỏ qua.
Tất cả những biện pháp ứng phó rủi ro này đều liên quan đến khẩu vị rủi ro và
dung sai (khả năng chịu đựng) rủi ro của một tổ chức. Khẩu vị rủi ro (risk
199 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
appetite) là tổng số rủi ro mà một tổ chức sẵn lòng gánh chịu trên tổng hợp
toàn bộ tài sản. Công suất rủi ro (risk capacity) là mức độ rủi ro mà một tổ chức
có khả năng gánh chịu. Khẩu vị rủi ro mong muốn của một tổ chức có thể lớn
hơn công suất thực tế. Dung sai rủi ro (risk tolerance) là tổng số hoặc mức độ
rủi ro mà một tổ chức sẽ chấp nhận trên từng cặp tài-sản-mối-đe-dọa. Việc này
thường liên quan đến một đích nhắm rủi ro, vốn là một mức rủi ro được ưa thích
đối với một cặp tài-sản-mối-đe-dọa cụ thể. Một giới hạn rủi ro (risk limit) là mức
rủi ro tối đa vượt trên ngưỡng mục tiêu rủi ro sẽ được chấp nhận trước khi
những hành động quản lý rủi ro tiếp theo được thực hiện.
Bạn cần phải nắm được những thông tin dưới đây về các biện pháp ứng phó rủi
ro khả thi:
Giảm nhẹ Rủi ro (Risk Mitigation) Giảm thiểu rủi ro, hoặc giảm nhẹ rủi
ro, là việc triển khai các biện pháp bảo vệ, các biện pháp kiểm soát bảo
mật, và các biện pháp đối phó để giảm thiểu và/hoặc loại bỏ các lỗ hổng
hoặc ngăn chặn mối đe dọa. Việc triển khai mã hóa và sử dụng tường lửa
là những ví dụ phổ biến về giảm nhẹ hoặc giảm thiểu rủi ro. Việc loại bỏ
một rủi ro riêng lẻ đôi khi là có thể đạt được nhưng thông thường, một số
rủi ro vẫn còn tồn tại thậm chí sau khi những nỗ lực giảm nhẹ hoặc giảm
thiểu đã được áp dụng.
Chỉ định Rủi ro (Risk Assignment) Chỉ định rủi ro hoặc chuyển tiếp rủi
ro (transferring risk) là đặt trách nhiệm về tổn thất do một rủi ro trên
một thực thể hoặc tổ chức khác. Việc mua bảo hiểm truyền thống hoặc
bảo hiểm an ninh mạng và thuê ngoài là những hình thức phổ biên về việc
chỉ định hoặc chuyển tiếp rủi ro. Cũng được gọi là sự chỉ định rủi ro hoặc
sự chuyển tiếp rủi ro.
Ngăn chặn Rủi ro (Risk Deterrence) Ngăn chặn rủi ro là quá trình triển
khai các biện pháp ngăn chặn đối với những kẻ vi phạm bảo mật và chính
sách. Mục đích là để thuyết phục một tác nhân đe dọa không tiến hành
tấn công. Một số ví dụ bao gồm triển khai kiểm toán, camera an ninh, và
các biểu ngữ cảnh báo, sử dụng nhân viên bảo vệ, và khiến cho tác nhân
đe dọa biết rằng tổ chức sẵn sàng hợp tác với các cơ quan có thẩm quyền
và truy tố những kẻ tham gia vào hoạt động tội phạm an ninh mạng.
200 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tránh Rủi ro (Risk Avoidance) Tránh rủi ro là quá trình lựa chọn các
phương án thay thế hoặc những hành động ít liên kết với rủi ro hơn phương
án mặc định, phổ biến, nhanh chóng hoặc rẻ tiền. Ví dụ, việc chọn cách
bay đến một đích đến thay vì lái xe đến đó là một hình thức tránh rủi ro.
Một ví dụ khác là đặt doanh nghiệp ở Arizona thay vì Florida đ ể tránh các
cơn bão. Rủi ro được tránh bằng cách loại bỏ nguyên nhân của rủi ro. Một
nhà lãnh đạo doanh nghiệp chấm dứt nỗ lực kinh doanh vì nó không còn
phù hợp với các mục tiêu của tổ chức và rằng tỷ lệ rủi ro cao so với phần
thưởng cao cũng là một ví dụ về việc tránh rủi ro.
Chấp nhận Rủi ro (Risk Acceptance) Việc chấp nhận rủi ro (accepting
risk), hay chấp nhận rủi ro (acceptance of risk) là kết quả sau khi một
phân tích chi phí/lợi ích cho thấy rằng chi phí cho biện pháp đối phó sẽ
vượt quá chi phí tiềm năng của tổn thất do rủi ro gây ra. Điều này cũng
có nghĩa là các nhà quản lý phải thống nhất để chấp thuận những hậu quả
và tổn thất khi rủi ro được hiện thực hóa. Trong hầu hết các trường hợp,
việc chấp thuận rủi ro đòi hỏi một tuyên bố rõ ràng để chỉ ra lý do tại sao
một biện pháp bảo vệ đã không được triển khai, ai chịu trách nhiệm cho
quyết định đó, và ai sẽ chịu trách nhiệm cho tổn thất nếu như rủi ro được
hiện thực hóa, thường là dưới hình thức một tài liệu được ký duyệt bởi
nhà quản lý cấp cao.
Từ chối Rủi ro (Risk Rejection) Một biện pháp ứng phó có khả năng
không thể được chấp nhận đối với rủi ro là từ chối rủi ro (reject risk) hoặc
bỏ qua rủi ro (ignore risk). Việc phủ nhận rằng một rủi ro đang tồn tại và
hy vọng rằng nó sẽ không bao giờ trở thành hiện thực là không hợp lệ
hoặc không có hiệu lực hoặc không phải là biện pháp ứng phó thận
trọng/thẩm định kỹ lưỡng đối với rủi ro. Việc từ chối hoặc bỏ qua rủi ro
có thể được coi là tội bất cẩn trước tòa.
201 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Luật pháp và Tuân thủ
Mọi tổ chức đều cần phải xác minh rằng hoạt động và các chính sách của mình
là hợp pháp và tuân thủ các chính sách bảo mật, nghĩa vụ pháp lý trong ngành,
hợp đồng, và các quy định đã nêu của họ. Việc kiểm toán là điều cần thiết để
kiểm tra tính tuân thủ, hay còn được gọi là kiểm tra tính tuân thủ. Xác minh
rằng một hệ thống đang tuân thủ các luật lệ, quy định, đường cơ sở, hướng
dẫn, tiêu chuẩn, thực tiễn tốt nhất, hợp đồng và chính sách là một phần quan
trọng để duy trì tính bảo mật trong bất kỳ môi trường nào. Kiểm tra sự tuân
thủ đảm bảo rằng tất cả các yếu tố cần thiết và bắt buộc của một giải pháp
bảo mật đã được triển khai một cách thích hợp và đang hoạt động như được
mong đợi. Đây là tất cả những cân nhắc quan trọng khi lựa chọn chiến lược
ứng phó với rủi ro.
Rủi ro cố hữu là mức độ rủi ro tự nhiên, bẩm sinh hoặc mặc định đang tồn tại
trong môi trường, hệ thống hoặc sản phẩm trước khi bất kỳ nỗ lực quản lý rủi
ro nào được thực hiện. Rủi ro cố hữu có thể tồn tại do chuỗi cung ứng, hoạt
động của nhà phát triển, thiết kế và kiến trúc của hệ thống hoặc cơ sở kiến thức
và kỹ năng của một tổ chức. Rủi ro cố hữu còn được gọi là rủi ro ban đầu (initial
risk) hoặc rủi ro khởi đầu. Đây là rủi ro được xác định bởi quá trình đánh giá
rủi ro.
Một khi các biện pháp bảo vệ, các biện pháp kiểm soát bảo mật và các biện pháp
đối phó được triển khai, rủi ro còn lại được gọi là rủi ro tồn dư. Rủi ro tồn dư
bao gồm các mối đe dọa đối với những tài sản cụ thể mà các nhà quản lý cấp
trên chọn không triển khai biện pháp ứng phó. Nói cách khác, rủi ro tồn dư là
rủi ro mà các nhà quản lý đã lựa chọn chấp nhận hơn là giảm thiểu nó. Trong
hầu hết các trường hợp, sự hiện diện của rủi ro tồn dư chỉ ra rằng phân tích chi
phí/lợi ích cho thấy rằng các biện pháp bảo vệ đang sẵn có không phải là các
biện pháp ngăn chặn hiệu quả về chi phí.
Tổng rủi ro là lượng rủi ro mà một tổ chức sẽ phải đối mặt nếu không có biện
pháp bảo vệ nào được triển khai. Công thức mang tính khái niệm cho tổng rủi
ro như sau:
202 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
các mối đe dọa x lỗ hổng x giá trị tài sản = tổng rủi ro
Sự khác biệt giữa rủi ro tổng thể và rủi ro tồn dư được gọi là khoảng cách kiểm
soát. Khoảng cách kiểm soát là lượng rủi ro được giảm thiểu bằng cách triển
khai các biện pháp bảo vệ. Công thức mang tính khái niệm đối với rủi ro tồn dư
như sau:
tổng rủi ro - khoảng cách kiểm soát = rủi ro tồn dư.
Như với quản lý rủi ro nói chung, việc xử lý rủi ro không phải là quy trình một
lần. Thay vào đó, tính bảo mật phải được duy trì và tái xác nhận một cách liên
tục. Trong thực tế, việc lặp lại các quá trình đánh giá rủi ro và ứng phó với rủi
ro là chức năng cần thiết để đánh giá tính hoàn chỉnh và hiệu quả của chương
trình bảo mật theo thời gian. Ngoài ra, nó giúp xác định vị trí của các phụ thuộc
và những khu vực nơi mà sự thay đổi diễn ra. Vì bảo mật thay đổi theo thời gian
nên việc tái đánh giá trên cơ s ở định kỳ là điều thiết yếu để duy trì tính bảo
mật hợp lý.
Rủi ro kiểm soát là rủi ro do việc triển khai biện pháp đối phó vào một môi
trường. Hầu hết các biện pháp bảo vệ, biện pháp kiểm soát bảo mật và biện
pháp đối phó đều là một loại công nghệ nào đó. Không có công nghệ nào là hoàn
hảo và không có bảo mật nào là hoàn hảo, vì vậy có một số lỗ hổng liên quan
đến chính bản thân biện pháp kiểm soát. Mặc dù một biện pháp kiểm soát có thể
làm giảm nguy cơ của mối đe dọa đối với tài sản, nhưng nó cũng có thể tạo ra
nguy cơ đe dọa mới có thể làm tổn hại đến chính bản thân biện pháp kiểm soát
đó. Do đó, đánh giá và ứng phó rủi ro phải là một hoạt động lặp đi lặp lại, tự
nhìn lại chính mình để thực hiện các cải tiến liên tục.
Chi phí so với Lợi ích của các Biện pháp kiểm soát Bảo mật
Thường thì các tính toán bổ sung có liên quan đến biện pháp ứng phó rủi ro khi
thực hiện đánh giá rủi ro định tính. Những tính toán này liên quan đến đánh giá
toán học về chi phí/lợi ích của một biện pháp bảo vệ. Đối với từng rủi ro được
xác định theo thứ tự ưu tiên về tầm quan trọng, các biện pháp bảo vệ được cân
nhắc dựa trên khả năng giảm tổn thất và lợi ích tiềm năng của chúng. Đối với
mỗi cặp tài-sản-mối-đe-dọa (nghĩa là, rủi ro đã xác định), một quá trình kiểm
kê các biện pháp bảo vệ tiềm năng và sẵn có phải được thực hiện. Điều này có
203 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thể bao gồm việc điều tra thị trường, tham khảo ý kiến của các chuyên gia và
xem xét các khuôn khổ, quy định và hướng dẫn bảo mật. Sau khi một danh sách
các biện pháp bảo vệ cho mỗi rủi ro đã được tạo ra hoặc có được, các biện pháp
bảo vệ đó nên được đánh giá về lợi ích và chi phí của chúng tương quan với cặp
tài-sản-mối-đe-dọa. Đây là đánh giá chi phí/lợi ích của các biện pháp bảo vệ.
Các biện pháp bảo vệ, biện pháp kiểm soát bảo mật và các biện pháp đối phó
chủ yếu sẽ làm giảm rủi ro thông qua việc giảm tỷ lệ xâm phạm tiềm ẩn (nghĩa
là, ARO). Tuy nhiên, một số biện pháp bảo vệ cũng sẽ làm giảm số lượng hoặc
mức độ nghiêm trọng của thiệt hại (nghĩa là, EF). Đối với những biện pháp bảo
vệ chỉ làm giảm ARO, số lượng tổn thất của một sự kiện được hiện thực hóa đơn
lẻ (nghĩa là, SLE) là như nhau khi có hoặc không có biện pháp bảo vệ. Tuy nhiên,
đối với những biện pháp bảo vệ đồng thời làm giảm EF, bất kỳ sự kiện nào được
hiện thực hóa đơn lẻ sẽ gây ra ít thiệt hại hơn nếu không có biện pháp bảo vệ.
Dù bằng cách nào, việc giảm ARO và có khả năng giảm EF sẽ dẫn đến ALE nhỏ
hơn với biện pháp bảo vệ so với khi không có. Do đó, ALE tiềm năng này cùng
với biện pháp bảo vệ nên được tính toán (ALE = AV x EF x ARO). Sau đó, chúng
ta có thể coi ALE rủi ro cặp tài-sản-mối-đe-dọa ban đầu là ALE1 (hoặc ALE trướckhi-được-bảo-vệ) và ALE dành riêng cho bi ện pháp bảo vệ là ALE2 (hoặc ALE
sau-khi-được-bảo-vệ). Một ALE2 nên được tính toán cho từng biện pháp bảo vệ
tiềm năng đối với từng cặp tài-sản-mối-đe-dọa. Biện pháp tốt nhất trong số các
biện pháp bảo vệ có thể có sẽ giảm ARO xuống bằng 0, mặc dù điều này rất khó
xảy ra.
Bất kỳ biện pháp bảo vệ nào được lựa chọn để triển khai sẽ khiến tổ chức phải
tốn chi phí. Nó có thể không phải là chi phí mua hàng, nó có thể là chi phí do
mất năng suất, đào t ạo lại, thay đ ổi trong quy trình nghiệp vụ hoặc các chi phí
cơ hội khác. Một ước tính chi phí hàng năm cho biện pháp bảo vệ hiện diện trong
tổ chức là cần thiết. Ước tính này có thể được gọi là chi phí hàng năm của biện
pháp bảo vệ (annual cost of the safeguard - ACS). Một số yếu tố phổ biến có
ảnh hưởng đến ACS, bao gồm:
▪
Chi phí mua sắm, phát triển và giấy phép,
▪
Chi phí triển khai và tùy chỉnh,
▪
Chi phí vận hành, bảo trì, quản trị hành chính hàng năm, v.v…,
204 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Chi phí sửa chữa và nâng cấp hàng năm,
▪
Cải thiện hoặc mất năng suất,
▪
Những thay đổi đối với môi trường,
▪
Chi phí kiểm nghiệm và đánh giá.
Giá trị của tài sản cần được bảo vệ xác định khoản chi tiêu tối đa cho các cơ
chế bảo vệ. Bảo mật phải có hiệu-quả-về-chi-phí, và do đó, sẽ là không khôn
ngoan khi chi tiêu nhiều hơn (xét về mặt tiền mặt hoặc nguồn tài nguyên) vào
việc bảo vệ một tài sản hơn là giá trị của nó [tài sản] đối với tổ chức. Nếu chi
phí của biện pháp đối phó lớn hơn giá trị của tài sản (nghĩa là, chi phí của rủi
ro), biện pháp bảo vệ không nên được xem là một lựa chọn hợp lý. Ngoài ra,
nếu ACS lớn hơn ALE1 (nghĩa là, t ổn thất hàng năm tiềm năng của một tài sản
gây ra bởi một mối đe dọa) thì biện pháp bảo vệ không phải là một giải pháp có
hiệu-quả-về-chi-phí. Nếu không có lựa chọn biện pháp bảo vệ nào hiệu-quả-vềchi-phí thì việc chấp thuận rủi ro có thể là lựa chọn duy nhất còn lại.
Khi bạn biết được chi phí hàng năm tiềm năng của một biện pháp bảo vệ, sau đó
bạn có thể ước lượng lợi ích của biện pháp bảo vệ đó nếu được áp dụng cho một
cơ sở hạ tầng. Tính toán sau cùng trong quá trình này là tính toán chi phí/lợi
ích, hoặc phân tích chi phí/lợi ích. Tính toán này được sử dụng để xác định xem
liệu một biện pháp bảo vệ có thực sự cải thiện bảo mật mà không tốn quá nhiều
chi phí hay không. Để xác định liệu biện pháp bảo vệ có công bằng về mặt tài
chính hay không, hãy sử dụng công thức sau:
[ALE trước-khi-biện-pháp-bảo-vệ - ALE sau-khi-biện-pháp-bảo-vệ] - chi phí
bảo vệ hàng năm (ACS) = giá trị của biện pháp tự vệ đối với công ty
Nếu kết quả là âm, biện pháp bảo vệ không phải là lựa chọn chịu trách nhiệm
về mặt tài chính. Nếu kết quả là dương thì giá trị đó là khoản tiết kiệm hàng
năm mà tổ chức của bạn có thể thu được bằng cách triển khai biện pháp bảo vệ
vì tỷ lệ xảy ra không phải là một đảm bảo cho sự xảy ra. Nếu nhiều biện pháp
bảo vệ dường như có kết quả chi phí/lợi ích dương thì biện pháp bảo vệ có lợi
ích lớn nhất là phương án hiệu quả nhất về chi phí.
Khoản tiết kiệm hoặc tổn thất hàng năm từ một biện pháp tự vệ không nên là
yếu tố duy nhất được xem xét khi đánh giá các bi ện pháp bảo vệ. Bạn cũng nên
205 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
xem xét các vấn đề về trách nhiệm pháp lý và chăm sóc thich đáng/thẩm định.
Trong một số trường hợp, việc mất tiền trong việc triển khai biện pháp tự vệ sẽ
có ý nghĩa hơn là chịu rủi ro về trách nhiệm pháp lý trong trường hợp tài sản bị
tiết lộ hoặc mất mát.
Trong quá trình xem xét lại, để thực hiện phân tích chi phí/lợi ích của biện pháp
bảo vệ, bạn phải tính toán ba yếu tố sau:
▪
ALE trước-biện-pháp-bảo-vệ đối với một cặp tài-sản-mối-đe-dọa,
▪
ALE sau-biện-pháp-bảo-vệ tiềm năng đối với một cặp tài-sản-mối-đe-dọa,
▪
ACS (chi phí hàng năm của biện pháp bảo vệ).
Với những yếu tố này, cuối cùng thì b ạn có thể có được một giá trị cho công
thức chi phí/lợi ích đối với biện pháp bảo vệ cụ thể so với một rủi ro cụ thể đối
với một tài sản cụ thể:
(ALE trước-biện-pháp-bảo-vệ - ALE sau-biện-pháp-bảo-vệ) – ACS
Hoặc, thậm chí đơn giản hơn:
(ALE1 – ALE2) – ACS
Biện pháp đối phó với giá trị kết quả lớn nhất từ công thức chi phí/lợi ích này
hợp lý nhất về mặt kinh tế để triển khai cho cặp tài-sản-mối-đe-dọa cụ thể.
Điều quan trọng là cần công nhận rằng với mọi phép tính toán được sử dụng
trong quá trình đánh giá r ủi ro định lượng (Bảng 2.2), giá trị cuối cùng được sử
dụng cho quá trình thiết lập mức ưu tiên và lựa chọn. Bản thân những giá trị
không hoàn toàn phản ảnh hết những chi phí hoặc tổn thất do vi phạm bảo mật
trong-thế-giới-thực. Đây là điều hiển nhiên vì mức độ phỏng đoán, phân tích
mang tính thống kê, và dự đoán xác suất cần thiết trong quá trình.
Khi bạn đã tính toán được một chi phí/lợi ích cho từng biện pháp bảo vệ đối với
từng cặp tài-sản-mối-đe-dọa, sau đó bạn phải sắp xếp những giá trị này. Trong
hầu hết các trường hợp, chi phí/lợi ích với giá trị cao nhất chính là biện pháp
bảo vệ tốt nhất để triển khai cho rủi ro cụ thể đó đối với một tài sản cụ thể.
Tuy nhiên, cũng giống như tất cả những điều khác trong thế giới thực, đây chỉ
là một phần của quá trình đưa-ra-quyết-định. Mặc dù rất quan trọng và thường
là yếu tố định hướng chủ yếu nhưng nó không phải là yếu tố duy nhất của dữ
206 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
liệu. Các hạng mục khác bao gồm chi phí thực tế, ngân sách bảo mật, khả năng
tương thích với các hệ thống hiện có, cơ sở kỹ năng/kiến thức của nhân viên
CNTT, và tính sẵn có của sản phẩm cũng như các vấn đề chính trị, quan hệ đối
tác, xu hướng thị trường, mốt nhất thời, tiếp thị, hợp đồng và chủ nghĩa thiên
vị. Là một phần của quản lý cấp cao hoặc thậm chí là nhân viên CNTT, bạn có
trách nhiệm nắm lấy hoặc sử dụng tất cả dữ liệu và thông tin sẵn có để đưa ra
quyết định bảo mật tốt nhất cho tổ chức của mình. Để thảo luận thêm về các
vấn đề về biện pháp bảo vệ, biện pháp kiểm soát bảo mật và lựa chọn biện pháp
đối phó, hãy xem phần “Lựa chọn và Triển khai Biện pháp đối phó”, nằm ở phần
sau của chương này.
BẢNG 2.2 Các công thức phân tích rủi ro định lượng
Khái niệm
Công thức hoặc ý nghĩa
Giá trị tài sản (AV)
$
Hệ số phơi nhiễm (EF)
%
Tổn thất dự kiến đơn lẻ (SLE)
SLE = AV x EF
Tỷ lệ xảy ra theo hàng năm (ARO)
# [số lần xảy ra]/năm
Tổn thất dự kiến theo hàng năm (ALE)
ALE = SLE x ARO hoặc ALE = AV x EF x ARO
Chi phí hàng năm cho biện pháp bảo vệ
(ACS)
$/năm
Giá trị hoặc lợi ích của biện pháp bảo
vệ (nghĩa là phương trình chi phí/lợi
ích)
(ALE1 – ALE2) - ACS
207 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Ôi trời, quá nhiều tính toán
Đúng vậy, phân tích rủi ro định lượng liên quan rất nhiều đến toán học. Những
câu hỏi tính toán trong kỳ thi CISSP rất có khả năng liên quan đến phép nhân
cơ bản. Rất có thể, bạn sẽ được hỏi các câu hỏi định nghĩa, ứng dụng và tổng
hợp khái niệm trong kỳ thi. Điều này có nghĩa là bạn cần biết định nghĩa của
các phương trình/công thức và giá trị (Bảng 2.2), ý nghĩa của chúng là gì, tại
sao chúng lại quan trọng và cách chúng được sử dụng để mang lại lợi ích cho
một tổ chức như thế nào.
Hầu hết các tổ chức đều có ngân sách hạn chế và quá-hữu-hạn để hoạt động. Vì
vậy, việc có được sự bảo mật tốt nhất với chi phí đó là một phần thiết yếu của
quản lý bảo mật. Để quản lý chức năng bảo mật một cách hiệu quả, bạn phải
đánh giá ngân sách, các chỉ số về lợi ích và hiệu suất cũng như những nguồn
lực cần thiết cho từng biện pháp kiểm soát bảo mật. Chỉ sau khi đánh giá kỹ
lưỡng, bạn mới có thể xác định các biện pháp kiểm soát nào là cần thiết và có
lợi, không chỉ cho bảo mật mà còn cho lợi nhuận của bạn. Nói chung, lý do tổ
chức đã không được bảo vệ khỏi một mối đe dọa hoặc rủi ro không thể chấp
nhận được chỉ là vì thiếu vốn không phải là một lý do hợp lý. Toàn bộ các tùy
chọn biện pháp bảo vệ cần được xem xét trong mối tương quan với ngân sách
hiện tại. Sự thỏa hiệp hoặc điều chỉnh các ưu tiên có thể là điều cần thiết để
giảm rủi ro tổng thể xuống mức có thể chấp nhận được với những nguồn lực sẵn
có. Hãy nhớ rằng bảo mật tổ chức phải dựa trên một đề án kinh doanh, hợp lý
về mặt pháp lý và phù hợp một cách hợp lý với các khuôn khổ, quy định và thực
tiễn tốt nhất về bảo mật.
Lựa chọn và Triển khai các Biện pháp đối phó
Việc lựa chọn một biện pháp đối phó, biện pháp bảo vệ hoặc biện pháp kiểm
soát (nói ngắn gọn là biện pháp kiểm soát bảo mật) trong lĩnh vực quản lý rủi
ro phụ thuộc rất nhiều vào kết quả phân tích chi phí/lợi ích. Tuy nhiên, bạn nên
cân nhắc một vài yếu tố khác khi đánh giá giá tr ị hoặc sự thích đáng của một
biện pháp kiểm soát bảo mật:
▪
Chi phí của biện pháp đối phó nên ít hơn giá trị của tài sản.
▪
Chi phí của biện pháp đối phó nên ít hơn lợi ích của biện pháp đối phó.
208 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Kết quả của biện pháp đối phó được áp dụng nên khiến cho chi phí của
một cuộc tấn công đối với kẻ xâm nhập lớn hơn lợi ích có được từ cuộc
tấn công.
▪
Biện pháp đối phó nên cung cấp được một giải pháp cho một vấn đề thực
tế và đã được xác định. (Đừng sử dụng biện pháp đối phó chỉ vì chúng
đang sẵn có, được quảng cáo, hoặc nghe có vẻ hợp lý).
▪
Lợi ích của biện pháp đối phó không nên phụ thuộc vào tính bí mật của
nó. Bất kỳ biện pháp đối phó khả thi nào cũng có thể trụ vững trước sự
tiết lộ công khai và sự giám sát của công chúng và do đó, duy trì được sự
bảo vệ ngay cả khi được biết đến.
▪
Lợi ích của biện pháp đối phó phải có thể kiểm tra và xác minh được.
▪
Biện pháp đối phó phải cung cấp sự bảo vệ nhất quán và thống nhất đối
với tất cả người dùng, hệ thống, giao thức, v.v…
▪
Biện pháp đối phó nên có ít hoặc không có phụ thuộc để giảm các lỗi do
sự phân tầng.
▪
Biện pháp đối phó cần phải có sự can thiệp tối thiểu của con người sau
khi đã được triển khai và cấu hình ban đầu.
▪
Các biện pháp đối phó nên được chống giả mạo.
▪
Biện pháp đối phó chỉ nên có quyền ghi đè cho các nhân viên vận hành có
đặc quyền [hàm ý rằng chỉ có những nhân viên vận hành có đặc quyền mới
có quyền ghi đè lên các biện pháp đối phó].
▪
Biện pháp đối phó nên cung cấp các tùy chọn chế độ fail-safe và/hoặc failsecure.
Hãy lưu ý rằng bảo mật nên được thiết kế để hỗ trợ và kích hoạt các tác vụ và
chức năng nghiệp vụ. Do đó, các biện pháp đối phó và biện pháp bảo vệ cần
phải được đánh giá trong bối cảnh của một quy trình nghiệp vụ. Nếu không có
đề án kinh doanh rõ ràng đối với một biện pháp bảo vệ, nó có lẽ không phải là
một lựa chọn bảo mật hiệu quả.
Các biện pháp bảo mật, biện pháp đối phó và biện pháp bảo vệ có thể được triển
khai về mặt quản lý hành chính, logic/kỹ thuật hoặc vật lý. Ba thể loại cơ chế
bảo mật này nên được triển khai theo cách thức phòng-thủ-có-chiều-sâu được
phân lớp khái niệm để mang lại lợi ích tối đa (Hình 2.4). Ý tưởng này dựa trên
209 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
khái niệm rằng các chính sách (một phần của các biện pháp kiểm soát hành
chính) định hướng tất cả các khía cạnh của bảo mật và do đó hình thành lớp bảo
vệ ban đầu xung quanh tài sản. Tiếp theo, các biện pháp kiểm soát logic và kỹ
thuật cung cấp khả năng bảo vệ chống lại các cuộc tấn công và khai thác luận
lý. Sau đó, các biện pháp kiểm soát vật lý cung cấp khả năng bảo vệ chống lại
các cuộc tấn công vật lý trong thế giới thực chống lại cơ sở vật chất và thiết bị.
HÌNH 2.4
Các thể loại kiểm soát bảo mật trong một triển khai kiểu phòng-thủcó-chiều-sâu
Hành chính
Thể loại biện pháp kiểm soát hành chính là các chính sách và thủ tục được định
nghĩa bởi một chính sách bảo mật của tổ chức và các quy định hoặc yêu cầu
khác. Đôi khi chúng còn được gọi là các biện pháp kiểm soát quản lý, các biện
pháp kiểm soát thuộc cấp quản lý hoặc các biện pháp kiểm soát mang tính thủ
tục. Những biện pháp kiểm soát này tập trung vào giám sát nhân sự và thực tiễn
của doanh nghiệp. Các ví dụ về biện pháp kiểm soát hành chính bao g ồm các
chính sách, thủ tục, thực tế tuyển dụng, kiểm tra lý lịch, phân loại và ghi nhãn
dữ liệu, nỗ lực đào tạo và nâng cao nhận thức về bảo mật, báo cáo và đánh giá,
giám sát công việc, kiểm soát nhân sự và kiểm tra.
210 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Kỹ thuật hoặc Logic
Thể loại biện pháp kiểm soát kỹ thuật hoặc biện pháp kiểm soát logic liên quan
đến các cơ chế phần cứng hoặc phần mềm được sử dụng để quản lý quyền truy
cập và cung cấp bảo vệ cho các nguồn tài nguyên và hệ thống CNTT. Các ví dụ
về biện pháp kiểm soát logic hoặc kỹ thuật bao gồm các phương pháp xác thực
(chẳng hạn như mật khẩu, thẻ thông minh và sinh trắc học), mã hóa, giao diện
bị ràng buộc, danh sách kiểm soát truy cập, giao thức, tường lửa, bộ định tuyến,
hệ thống phát hiện xâm nhập (IDS) và mức cắt.
Vật lý
Các biện pháp kiểm soát vật lý là các cơ chế bảo mật tập trung vào việc bảo vệ
cơ sở vật chất và các đối tượng trong thế giới thực. Các ví dụ về kiểm soát vật
lý bao gồm nhân viên bảo vệ, hàng rào, máy dò chuyển động, cửa bị khóa, cửa
sổ được niêm phong, đèn chiếu sáng, bảo vệ cáp, khóa máy tính xách tay, huy
hiệu, thẻ quẹt, chó bảo vệ, máy quay video, tiền sảnh kiểm soát truy cập và báo
động.
Các kiểu Biện pháp kiểm soát có thể Áp dụng được
Thuật ngữ biện pháp kiểm soát đề cập đến một phạm vi rất rộng các biện pháp
kiểm soát thực hiện những nhiệm vụ như đảm bảo rằng chỉ có những người dùng
được cấp phép mới có thể đăng nhập và ngăn chặn những người dùng trái phép
truy cập vào tài nguyên. Các biện pháp kiểm soát giảm thiểu một loạt các loại
rủi ro bảo mật thông tin.
Bạn luôn muốn ngăn chặn bất kỳ loại vấn đề hoặc sự cố bảo mật nào bất cứ khi
nào có thể. Tất nhiên, điều này không phải lúc nào cũng có thể xảy ra, và các
sự kiện không mong muốn sẽ xảy ra. Khi chúng xảy ra, bạn sẽ muốn phát hiện
các sự kiện càng sớm càng tốt. Và một khi bạn phát hiện một sự kiện, bạn muốn
khắc phục nó.
Khi bạn đọc các mô tả về biện pháp kiểm soát, hãy lưu ý rằng một số biện pháp
được liệt kê dưới dạng ví dụ về nhiều kiểu biện pháp kiểm soát truy cập. Ví dụ,
hàng rào (hoặc thiết bị xác-định-chu-vi) được đặt xung quanh một tòa nhà có
thể là một biện pháp kiểm soát phòng ngừa (ngăn cản ai đó tiếp cận khu phức
211 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
hợp của tòa nhà về mặt vật lý) và/hoặc biện pháp kiểm soát ngăn chặn (ngăn
cản ai đó cố gắng tiếp cận).
Ngăn ngừa
Một biện pháp kiểm soát ngăn ngừa (preventive control) (còn gọi là preventative
control) được triển khai để ngăn cản hoặc ngăn chặn việc những hoạt động không
mong muốn hoặc trái phép xảy ra. Ví dụ về kiểm soát ngăn ngừa bao gồm hàng
rào, khóa, xác thực, tiền sảnh kiểm soát truy cập, các hệ thống cảnh báo, phân
tách nhiệm vụ, luân chuyển công việc, ngăn chặn mất mát dữ liệu (DLP), kiểm
nghiệm xâm nhập, các phương pháp kiểm soát truy cập, mã hóa, kiểm toán, các
chính sách bảo mật, đào tạo nâng cao nhận thức về bảo mật , phần mềm chống
phần mềm độc hại, tường lửa và các hệ thống ngăn chặn xâm nhập (IPS).
Hãy lưu ý rằng không bao giờ có các cơ chế hoặc biện pháp kiểm
soát bảo mật hoàn hảo. Tất cả chúng đều có những vấn đề có thể
cho phép một tác nhân đe dọa tiếp tục gây ra thiệt hại. Các biện
pháp kiểm soát có thể có các lỗ hổng, có thể bị tắt đi, có thể
tránh được, có thể bị làm cho quá tải, có thể bị vượt qua, có thể
bị lừa bằng cách mạo danh, có thể có các cổng hậu, có thể bị cấu
hình sai, hoặc có các vấn đề khác. Do đó, sự không hoàn hảo đã
biết này của các biện pháp kiểm soát bảo mật riêng lẻ được giải
quyết bằng cách sử dụng một chiến lược phòng-thủ-có-chiều-sâu.
Ngăn cản
Một biện pháp kiểm soát ngăn cản (deterrence control) được triển khai để làm
nản lòng những nỗ lực vi phạm chính sách bảo mật. Các biện pháp kiểm soát
ngăn ngừa và ngăn cản là tương tự nhau, tuy nhiên các biện pháp kiểm soát
ngăn cản thường phụ thuộc vào việc các cá nhân được thuyết phục không thực
hiện hành động không mong muốn. Một số ví dụ bao gồm các chính sách, đào
tạo nâng-cao-nhận-thức-về-bảo-mật, khóa, hàng rào, huy hiệu bảo mật, nhân
viên bảo vệ, tiền sảnh kiểm soát truy cập, và các camera an ninh.
212 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Nhận diện (Phát hiện)
Biện pháp kiểm soát nhận diện (detective control) được triển khai để khám phá
hoặc phát hiện ra hoạt động không mong muốn hoặc hoạt động trái phép. Biện
pháp kiểm soát nhận diện hoạt động sau khi đã xảy ra trong thực tế và có thể
khám phá hoạt động chỉ sau khi nó đã xảy ra. Ví dụ về các biện pháp kiểm soát
nhận diện bao gồm nhân viên bảo vệ, máy dò chuyển động, ghi âm và xem xét
các sự kiện được camera an ninh hoặc CCTV ghi lại, luân chuyển công việc, kỳ
nghỉ bắt buộc, dấu vết kiểm toán, lỗ hổng bảo mật hoặc honeynet, hệ thống phát
hiện xâm nhập (IDS), các báo cáo vi phạm, giám sát và xem xét người dùng và
điều tra sự cố.
Bù trừ
Biện pháp kiểm soát bù trừ (compensating control) được triển khai để cung cấp
các tùy chọn khác nhau đối với các biện pháp kiểm soát hiện có khác để hỗ trợ
việc thực thi và hỗ trợ các chính sách bảo mật. Chúng có thể là bất kỳ biện pháp
kiểm soát nào được sử dụng bên cạnh hoặc thay thế cho một biện pháp kiểm
soát khác. Chúng có thể là một phương tiện để cải thiện tính hiệu quả của biện
pháp kiểm soát chính hoặc là tùy chọn thay thế hoặc chuyển đổi dự phòng trong
trường hợp biện pháp kiểm soát chính bị lỗi. Ví dụ, nếu biện pháp kiểm soát
ngăn ngừa không ngăn chặn được việc xóa tập tin thì một bản sao lưu có thể là
biện pháp kiểm soát bù trừ, cho phép khôi phục lại tập tin đó. Và đây là một ví
dụ khác: nếu hệ thống phòng cháy chữa cháy của một tòa nhà bị lỗi và tòa nhà
xảy ra hỏa hoạn khiến cho nó bị hư hại đến mức không thể ở được thì một biện
pháp kiểm soát bù trừ sẽ có một kế hoạch khôi phục sau thảm họa (DRP) với
một địa điểm xử lý thay thế sẵn sàng để hỗ trợ hoạt động của công việc .
Khắc phục
Biện pháp kiểm soát khắc phục (corrective control) điều chỉnh môi trường để hệ
thống trở lại hoạt động bình thường sau khi xảy ra hoạt động không mong muốn
hoặc hoạt động trái phép. Nó cố gắng khắc phục bất kỳ vấn đề nào do sự cố bảo
mật. Các biện pháp kiểm soát khắc phục có thể rất đơn giản, chẳng hạn như
chấm dứt hoạt động độc hại hoặc khởi động lại hệ thống. Chúng cũng bao gồm
các giải pháp chống phần mềm độc hại có thể loại bỏ hoặc cách ly vi-rút, kế
hoạch sao lưu và khôi phục để đảm bảo rằng dữ liệu bị mất có thể được khôi
213 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
phục và hệ thống ngăn chặn xâm nhập (IPS) có thể thay đổi môi trường để ngăn
chặn một cuộc tấn công đang diễn ra. Biện pháp kiểm soát được triển khai để
sửa chữa hoặc khôi phục tài nguyên, chức năng và năng lực sau một vi phạm
chính sách bảo mật. Ví dụ bao gồm cài đặt một lò xo trên cửa để nó sẽ đóng và
khóa lại, đồng thời sử dụng các công cụ kiểm-tra-tính-toàn-vẹn của tập tin,
chẳng hạn như
sigverif từ Windows, vốn sẽ thay thế các tập tin khởi động bị
hư hỏng sau mỗi sự kiện khởi động để bảo vệ tính ổn định và bảo mật của Hệ
điều hành đã được khởi động.
Khôi phục
Biện pháp kiểm soát khôi phục (recovery control) là một phần mở rộng của biện
pháp kiểm soát khắc phục nhưng có các khả năng nâng cao hoặc phức tạp hơn.
Một biện pháp kiểm soát khôi phục cố gắng sửa chữa hoặc khôi phục lại nguồn
tài nguyên, chức năng và năng lực sau một vi phạm chính sách bảo mật. Các
biện pháp kiểm soát khôi phục thường giải quyết các sự kiện gây ra thiệt hại
đáng kể hơn so với các biện pháp kiểm soát khắc phục, đặc biệt khi các vi phạm
bảo mật có thể đã xảy ra. Ví dụ về kiểm soát khôi phục bao gồm sao lưu và khôi
phục, hệ thống ổ đĩa có khả năng chịu lỗi, hình ảnh hệ thống, phân cụm máy
chủ, phần mềm chống phần mềm độc hại và tạo bóng (shadowing) của cơ sở dữ
liệu hoặc máy ảo. Trong mối tương quan với tính liên tục của hoạt động kinh
doanh và khôi phục sau thảm họa, các biện pháp kiểm soát khôi phục có thể bao
gồm các vị trí nóng, ấm và lạnh, các cơ sở vật chất xử lý luân phiên, các phòng
dịch vụ, các thỏa thuận tương hỗ, các nhà cung cấp đám mây, xoay vòng các
trung tâm điều hành di động và các giải pháp đa địa điểm.
Chỉ thị
Biện pháp kiểm soát chỉ thị (directive control) được triển khai để định hướng,
giới hạn hoặc kiểm soát các hành động của các chủ thể để bắt buộc hoặc khuyến
khích tính tuân thủ đối với các chính sách bảo mật. Các ví dụ về các biện pháp
kiểm soát chỉ thị bao gồm các yêu cầu hoặc tiêu chí của chính sách bảo mật, các
thông báo được đăng, hướng dẫn từ nhân viên an ninh, biển báo lối thoát hiểm,
theo dõi, giám sát và các thủ tục.
214 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Đánh giá Biện pháp kiểm soát Bảo mật
Đánh giá biện pháp kiểm soát bảo mật (security control assessment - SCA) là
việc đánh giá chính thức các cơ chế riêng lẻ của cơ sở hạ tầng bảo mật so với
đường cơ sở hoặc kỳ vọng về độ tin cậy. SCA có thể được thực hiện bên cạnh
hoặc độc lập với một đánh giá bảo mật đầy đủ, chẳng hạn như kiểm nghiệm xâm
nhập hoặc đánh giá lỗ hổng.
Mục đích của SCA là để đảm bảo tính hiệu quả của các cơ chế bảo mật, đánh giá
chất lượng và tính kỹ lưỡng của các quy trình quản lý rủi ro của tổ chức và tạo
ra một báo cáo về điểm mạnh và điểm yếu tương đối của cơ sở hạ tầng bảo mật
đã được triển khai. Kết quả của một SCA có thể xác nhận rằng một cơ chế bảo
mật đã duy trì được mức độ hiệu quả đã được xác minh trước đó của nó hoặc
hành động đó phải được thực hiện để giải quyết tình trạng một biện pháp kiểm
soát bảo mật bị thiếu sót. Ngoài việc xác minh độ tin cậy của các biện pháp kiểm
soát bảo mật, việc đánh giá nên xem xét việc liệu các biện pháp kiểm soát bảo
mật có ảnh hưởng đến quyền riêng tư hay không. Một số biện pháp kiểm soát có
thể cải thiện khả năng bảo vệ quyền riêng tư, trong khi những biện pháp khác
trên thực tế có thể gây ra sự vi phạm quyền riêng tư. Khía cạnh quyền riêng tư
của một biện pháp kiểm soát bảo mật cần được đánh giá dựa trên các quy định,
nghĩa vụ hợp đồng và chính sách/cam kết về quyền riêng tư của tổ chức.
Nói chung, SCA là một quy trình được triển khai bởi các cơ quan liên bang Hoa
Kỳ dựa trên NIST SP 800-53 Rev. 5, có tiêu đề là “Các biện pháp kiểm soát Bảo
mật
và
Quyền
riêng
tư
dành
cho
các
Tổ
chức
và
Hệ
thống
Thông
tin”
(csrc.nist.gov/publications/detail/sp/800 -53/rev-5/final). Tuy nhiên, mặc dù đã
được định nghĩa là một quy trình của chính phủ, khái niệm đánh giá độ tin cậy
và hiệu quả của các biện pháp kiểm soát bảo mật nên được áp dụng bởi mọi tổ
chức cam kết duy trì nỗ lực bảo mật thành công.
Giám sát và Đo lường
Các biện pháp kiểm soát bảo mật nên mang lại lợi ích có thể được giám sát và
đo lường. Nếu những lợi ích của các biện pháp kiểm soát bảo mật không thể
được định lượng, đánh giá, hoặc so sánh thì trên thực tế, nó không mang lại bất
kỳ tính bảo mật nào. Một biện pháp kiểm soát bảo mật có thể cung cấp khả năng
215 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
giám sát bẩm sinh hoặc giám sát nội bộ, hoặc việc giám sát từ bên ngoài cũng
có thể được yêu cầu. Bạn nên cân nhắc điều này khi lựa chọn biện pháp đối phó
ban đầu.
Việc đo lường tính hiệu quả của một biện pháp đối phó không phải lúc nào cũng
là một giá trị tuyệt đối. Rất nhiều biện pháp đối phó đưa ra mức độ cải thiện
thay vì những con số cứng nhắc cụ thể về số lượng các vụ vi phạm đã được ngăn
chặn hoặc số lượng các cuộc tấn công đã bị cản trở. Thông thường, để có được
các phép đo sự thành công hay thất bại của biện pháp đối phó, việc giám sát và
ghi lại các sự kiện cả trước lẫn sau khi biện pháp bảo vệ được thiết lập là điều
cần thiết. Những lợi ích có thể chỉ được đo lường một cách chính xác nếu thời
điểm bắt đầu (nghĩa là, điểm bình thường hoặc mức rủi ro ban đầu) được biết
đến. Một phần của phương trình chi phí/lợi ích có tính đến việc giám sát và đo
lường biện pháp đối phó. Chỉ bởi vì một biện pháp kiểm soát bảo mật mang lại
một số mức độ bảo mật được gia tăng không nhất thiết có nghĩa là lợi ích đã
đạt được là tính-hiệu-quả-về-chi-phí. Một cải tiến đáng kể trong bảo mật nên
được xác định để biện minh một cách rõ ràng cho khoản chi tiêu của việc triển
khai biện pháp đối phó mới.
Báo cáo Rủi ro và Tài liệu
Báo cáo rủi ro là một nhiệm vụ trọng yếu cần thực hiện khi kết thúc quá trình
phân tích rủi ro. Báo cáo rủi ro liên quan đến việc tạo ra một báo cáo rủi ro và
trình bày báo cáo đó cho các bên quan tâm/có liên quan. Đ ối với rất nhiều tổ
chức, báo cáo rủi ro chỉ là một mối quan tâm nội bộ, trong khi các tổ chức khác
có thể có các quy định bắt buộc bên-thứ-ba báo cáo công khai về các phát hiện
rủi ro của họ. Báo cáo rủi ro phải chính xác, kịp thời, toàn diện về toàn bộ tổ
chức, rõ ràng và chính xác để hỗ trợ cho việc đưa ra quyết định, và phải được
cập nhật thường xuyên.
Một sổ đăng ký rủi ro (risk register) hoặc nhật ký rủi ro (risk log) là một tài liệu
kiểm kê tất cả các rủi ro đã được xác định đối với một tổ chức hoặc hệ thống
hoặc trong phạm vi một dự án riêng lẻ. Sổ đăng ký rủi ro được sử dụng để ghi
lại và theo dõi các hoạt động của quản lý rủi ro, bao gồm các hoạt động sau:
▪
Nhận diện rủi ro
216 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Đánh giá mức độ nghiêm trọng và ưu tiên các rủi ro đó
▪
Chỉ định các biện pháp ứng phó để giảm thiểu hoặc loại bỏ rủi ro
▪
Theo dõi tiến trình giảm thiểu rủi ro.
Sổ đăng ký rủi ro có thể đóng vai trò như một tài liệu quản lý dự án để theo dõi
việc hoàn thành các hoạt động ứng phó rủi ro cũng như là một hồ sơ lịch sử về
quản lý rủi ro theo thời gian. Nội dung của sổ đăng ký rủi ro có thể được chia
sẻ với những người khác để tạo điều kiện đánh giá một cách thực tế hơn về các
mối đe dọa và rủi ro trong thế-giới-thực thông qua việc kết hợp các hoạt động
quản lý rủi ro của các tổ chức khác.
Ma trận rủi ro (risk matrix) hoặc bản đồ nhiệt rủi ro (risk heat map) là một hình
thức đánh giá rủi ro được thực hiện trên một đồ thị hoặc biểu đồ cơ bản. Nó đôi
khi được gán nhãn là một đánh giá rủi ro định tính. Dạng đơn giản nhất của một
ma trận rủi ro là lưới 3 x 3 so sánh xác suất và thiệt hại tiềm ẩn. Điều này đã
được đề cập trong Chương 1.
Liên tục Cải tiến
Việc phân tích rủi ro được thực hiện để cung cấp cho các nhà quản lý cấp trên
những thông tin chi tiết cần thiết để quyết định rằng rủi ro nào nên được giảm
thiểu, rủi ro nào nên được chuyển giao, rủi ro nào nên được ngăn chặn, rủi ro
nào nên tránh và rủi ro nào nên được chấp nhận. Kết quả là một so sánh chi
phí/lợi ích giữa chi phí tổn thất tài sản dự kiến và chi phí của việc triển khai các
biện pháp bảo vệ chống lại các mối đe dọa và lỗ hổng bảo mật. Phân tích rủi ro
xác định rủi ro, định lượng tác động của các mối đe dọa và hỗ trợ việc lập ngân
sách cho bảo mật. Nó giúp tích hợp các nhu cầu và mục tiêu của chính sách bảo
mật với các mục tiêu và dự định kinh doanh của tổ chức. Phân tích rủi ro/đánh
giá rủi ro là một thước đo “đúng lúc”. Các mối đe dọa và lỗ hổng bảo mật liên
tục thay đổi và việc đánh giá rủi ro cần phải được thực hiện lại một cách định
kỳ để hỗ trợ cho cải tiến liên tục.
Bảo mật luôn luôn thay đổi. Do đó, bất kỳ giải pháp bảo mật nào đã được triển
khai đều đòi hỏi việc cập nhật và thay đổi theo thời gian. Nếu một lộ trình cải
tiến liên tục không được cung cấp bởi một biện pháp đối phó đã được chọn, nó
217 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nên được thay thế bằng một biện pháp khác mang lại những cải tiến có thể mở
rộng đối với bảo mật
Một chương trình quản lý rủi ro doanh nghiệp (enterprise risk management –
ERM) có thể được đánh giá bằng cách sử dụng Mô hình Trưởng thành Rủi ro (Risk
Maturity Model – RMM). Một RMM đánh giá các chỉ số và các hoạt động then chốt
của một quát trình quản lý rủi ro trưởng thành, bền vững và có thể lặp lại được.
Có một số các hệ thống RMM, và mỗi hệ thống chỉ định các phương tiện khác
nhau để đạt được năng lực quản lý rủi ro lớn hơn. Nói chung, chúng thường liên
quan tới việc đánh giá mức độ trưởng thành của rủi ro so với một mô hình bao
gồm 5-cấp-độ (tương tự như những gì về Mô hình Trưởng thành Năng lự
[Capability Maturity Model – CMM], xem Chương ư0, “Bảo mật Phát triển Phần
mềm”). Các cấp độ RMM điển hình bao gồm:
1. Đặc biệt – Một điểm khởi đầu hỗn loạn mà từ đó, mọi tổ chức khởi đầu
quá trình quản lý rủi ro.
2. Sơ bộ - Những nỗ lực lỏng lẻo được thực hiện để tuân theo các quy trình
quản lý rủi ro, nhưng từng bộ phận có thể thực hiện đánh giá rủi ro một
cách riêng biệt.
3. Đã được xác định – Một khuôn khổ rủi ro phổ biến hoặc đã được tiêu chuẩn
hóa được áp dụng trên quy mô toàn-bộ-tổ-chức.
4. Đã được tích hợp – Hoạt động quản lý rủi ro được tích hợp vào các quy
trình nghiệp vụ, các thước đo được sử dụng để thu thập dữ liệu hiệu quả,
và rủi ro được coi là một phần tử trong các quyết định chiến lược của
doanh nghiệp.
5. Đã được tối ưu – Quản lý rủi ro tập trung vào việc đạt được các mục tiêu
hơn là chỉ ứng phó với các mối đe dọa từ bên ngoài, hoạch định chiến lược
được tăng cường hướng tới thành công trong kinh doanh thay vì ch ỉ tránh
các sự cố, và các bài học kinh nghiệm được tái tích hợp vào quá trình quản
lý rủi ro.
Nếu bạn hứng thú với việc tìm hiểu nhiều hơn về RMM, có một nghiên cứu khá
thú vị về nhiều hệ thống RMM và nỗ lực tìm ra một RMM chung từ các thành
phần phổ biến. Xem “Developing a generic risk maturity model (GRMM) for
evaluating risk in construction project (tạm dịch - Phát triển một mô hình rủi ro
218 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
trưởng thành chung)” để đánh giá quản lý rủi ro trong các dự án xây dựng) tại
địa chỉ www.tandfonline.com/doi/full/10.1080/13669877.2019.1646309 .
Một lĩnh vực rủi ro thường bị bỏ qua là các thiết bị cũ kỹ, vốn có thể đã bị EOL
và/hoặc EOSL:
▪
Hết-vòng-đời (End-of-life – EOL): là thời điểm mà tại đó một nhà sản xuất
không còn sản xuất một sản phẩm nữa. Dịch vụ và hỗ trợ có thể vẫn tiếp
tục trong một khoảng thời gian sau khi EOL nhưng không có phiên b ản mới
nào sẽ được đưa ra để bán hoặc phân phối. Một sản phẩm đã EOL nên
được lập kế hoạch thay thế trước khi nó bị lỗi hoặc bị hết-hạn-hỗ-trợ (endof-support – EOS) hoặc hết-vòng-đời-dịch-vụ (end-of-service-life – EOSL).
▪
EOL đôi khi được nhận biết hoặc được sử dụng tương đương với EOSL.
Hết-vòng-đời-dịch-vụ (end-of-service-life – EOSL) hoặc hết-hạn-hỗ-trợ
(end-of-support – EOS) là những hệ thống không còn nhận được các bản
cập nhật và sự hỗ trợ từ nhà cung cấp. Nếu một tổ chức vẫn tiếp tục sử
dụng hệ thống EOSL thì nguy cơ bị xâm phạm là rất cao vì mọi hoạt động
khai thác [lỗ hổng] trong tương lai sẽ không bao giờ được vá hoặc khắc
phục. Điều quan trọng nhất là phải loại bỏ các hệ thống EOSL để duy trì
một môi trường an toàn. Ban đầu, có vẻ như không có hiệu-quả-về-chi-phí
hoặc không thực tế khi loại bỏ một giải pháp vẫn đang hoạt động được chỉ
vì nhà cung cấp đã chấm dứt sự hỗ trợ. Tuy nhiên, những nỗ lực quản lý
bảo mật mà bạn sẽ phải bỏ ra có thể sẽ vượt xa chi phí phát triển và triển
khai một sự thay thế dựa-trên-hệ-thống hiện đại. Ví dụ, Adobe Flash Player
đã đạt đến EOSL vào ngày 31 tháng 12 năm 2020 và nên đư ợc gỡ bỏ theo
khuyến cáo của Adobe.
Các Khuôn khổ Rủi ro
Một khuôn khổ rủi ro (risk framework) là một hướng dẫn hoặc một công thức về
cách rủi ro được đánh giá, giải quyết và giám sát như thế nào. NIST đã thiết lập
Khuôn khổ Quản lý Rủi ro (Risk Management Framework - RFM) và Khuôn khổ An
ninh mạng (Cybersecurity Framework – CSF). Cả hai đều là những hướng dẫn
của chính phủ Hoa Kỳ đối với việc thiết lập và duy trì bảo mật, nhưng CSF được
thiết kế cho cơ sở hạ tầng trọng yếu và các tổ chức thương mại, trong khi RMF
219 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
xác lập các yêu cầu bắt buộc cho các cơ quan liên bang. RMF đư ợc thiết lập năm
2010 và CSF – 2014.
CSF dựa trên một khuôn khổ cốt lõi cấu thành từ 5 chức năng: Nhận diện, Bảo
vệ, Phát hiện, Ứng phó và Khôi phục. CSF không phải là một danh sách kiểm tra
hoặc một thủ tục – nó là một chỉ thị các hoạt động vận hành được thực hiện
trên cơ sở liên tục để hỗ trợ và cải thiện bảo mật theo thời gian. CSF là một hệ
thống cải tiến hơn là một quy trình quản lý rủi ro hoặc cơ sở hạ tầng bảo mật
của riêng nó.
RMF, được định nghĩa bởi NIST trong SP 800-37 Rev.2 (tại địa chỉ trang web
csg.nist.gov/publications/detail/sp/800 -37/rev-2/final), thiết lập nên các yêu
cầu bảo mật bắt buộc dành cho các cơ quan liên bang. Đây là m ột khuôn khổ rủi
ro chính được tham chiếu bởi kỳ thi CISSP. RMF có 6 giai đo ạn có tính chu kỳ
(xem Hình 2.5):
Chuẩn bị để thực thi RMF từ quan điểm cấp độ tổ chức và cấp độ hệ thống
bằng cách xác lập một bối cảnh và các ưu tiên đối với việc quản lý rủi ro
bảo mật và quyền riêng tư.
Phân loại hệ thống và thông tin được xử lý, lưu trữ, và truyền tải bởi hệ
thống dựa trên một phân tích về tác động của sự mất mát.
Lựa chọn một bộ các biện pháp kiểm soát ban đầu đối với hệ thống và
điều chỉnh các biện pháp kiểm soát khi cần thiết để giảm thiểu rủi ro đến
một mức có thể chấp nhận được dựa trên một đánh giá rủi ro.
Triển khai các biện pháp kiểm soát và mô tả cách các biện pháp kiểm
soát được triển khai trong phạm vi hệ thống và môi trường hoạt động của
nó.
Đánh giá cac biện pháp kiểm soát để xác định xem liệu các biện pháp
kiểm soát có được triển khai một cách chính xác hay không, có đang vận
hành như đã dự định hay không, và tạo ra những kết quả tác động như
mong muốn hay không liên quan đ ến việc đáp ứng các yêu cầu bảo mật và
quyền riêng tư.
220 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Cấp phép cho hệ thống hay các biện pháp kiểm soát phổ biến dựa trên
một xác định rằng rủi ro đối với các hoạt động và tài sản của tổ chức, với
các cá nhân và tổ chức khác và quốc gia là có thể chấp nhận được.
Giám sát hệ thống và các biện pháp kiểm soát tương ứng trên cơ sở liên
tục để bao gồm việc đánh giá tính hiệu quả của các biện pháp kiểm soát,
lập thành tài liệu về những thay đổi đối với hệ thống và môi trường hoạt
động, và báo cáo về tình hình bảo mật và quyền riêng tư của hệ thống.
HÌNH 2.5
Các phần tử của khuôn khổ quản lý rủi ro (RMF) (từ NIST SP 800-37
Rev. 2, Hình 2)
Sáu giai đoạn sẽ được thực hiện theo trình tự và lặp lại trong toàn bộ vòng đời
của tổ chức. RMF được dự định như một quy trình quản lý rủi ro để xác định và
ứng phó với các mối đe dọa. Việc sử dụng RMF sẽ dẫn đến việc thiết lập một cơ
sở hạ tầng bảo mật và một quá trình cải thiện liên tục môi trường được bảo vệ.
Có nhiều chi tiết đáng kể hơn về RMF trong ấn phẩm chính thức của NIST, chúng
tôi khuyến khích bạn đọc lại toàn bộ ấn phẩm này để có cái nhìn đầy đủ về RMF.
Phần lớn thông tin trong các phần quản lý rủi ro trước đây trong chương này có
nguồn gốc từ RMF.
221 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Một hướng dẫn quan trọng khác đối với quản lý rủi ro là tài liệu ISO/IEC 31000
“Hướng dẫn - Quản lý rủi ro” (Risk management - Guidelines). Đây là một cái
nhìn tổng quan cấp-cao về ý tưởng quản lý rủi ro mà nhiều người sẽ được hưởng
lợi
khi
đọc
nó.
Bạn
có
thể
tìm
thấy
phiên
bản
trực
tuyến
tại
www.iso.org/obp/ui/#iso:std:iso:31000:ed -2:v1:en. Hướng dẫn ISO này nhằm dự
định sẽ hữu ích cho bất kỳ loại hình tổ chức nào, cho dù là chính phủ hay khu
vực tư nhân. Một hướng dẫn đồng hành khác, ISO/IEC 31004 “Quản lý rủi ro Hướng
dẫn
triển
khai
implementation
of
ISO
31000”
ISO
(Risk
31000)
management
(tại
–
địa
Guidance
chỉ
for
trang
the
web
www.iso.org/standard/56610.html) cũng có thể đáng được quan tâm, cùng với
ISO/IEC 27005, “Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý rủi ro an
toàn thông tin” (Information technology – Security techniques – Information
security
risk
management )
(tại
địa
chỉ
trang
web
www.iso.org/standard/75281.html).
RMF của NIST là trọng tâm chính của kỳ thi CISSP, tuy nhiên bạn cũng có thể
muốn xem xét những khuôn khổ quản lý rủi ro khác để sử dụng trong đời thực.
Hãy cân nhắc những điều dưới đây khi tìm kiếm trong tương lai:
▪
Ủy ban các Tổ chức Bảo trở (COSO) về Quản lý Doanh nghiệp của Ủy ban
Treadway – Khuôn khổ được Tích hợp
▪
Khuôn khổ Rủi ro CNTT của ISACA
▪
Đánh giá Mối đe dọa, Tài sản và Lỗ hổng Nghiêm trọng về mặt Vận hành
(Operationally
Critical
Threat,
Asset,
and
Vulnerability
Evaluation
-
OCTAVE)
▪
Phân tích các Yếu tố của Rủi ro Thông tin (Factor Analysis of Information
Risk – FAIR)
▪
Để
Đánh giá Rủi ro Tác nhân Đe doạn (Threat Agent Risk Assessment – TARA).
nghiên
cứu
thêm,
bạn
sẽ
tìm
thấy
một
bài
viết
(www.csoonline.com/article/2125140/it-risk-assessment-
hữu
ích
tại
đây:
frameworks-real-
world-experience.html). Việc hiểu rằng có một số khuôn khổ được công nhận rõ
ràng và việc lựa chọn một khuôn khổ phù hợp với yêu cầu và phong cách của tổ
chức bạn là điều rất quan trọng.
222 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Kỹ thuật Xã hội
Kỹ thuật xã hội là một hình thức tấn công khai thác bản chất và hành vi của con
người. Con người là một mắt xích rất yếu trong bảo mật vì họ có thể mắc sai
lầm, bị lừa gây ra thiệt hại hoặc cố tình vi phạm bảo mật của công ty. Các cuộc
tấn công kỹ thuật xã hội khai thác những đặc điểm của con người như niềm tin
cơ bản vào người khác, mong muốn được hỗ trợ hoặc có xu hướng thể hiện. Điều
quan trọng là phải xem xét các rủi ro mà con người đại diện đối với tổ chức của
bạn và thực hiện các chiến lược bảo mật để giảm thiểu và xử lý những rủi ro đó.
Các cuộc tấn công kỹ thuật xã hội có hai hình thức chính: thuyết phục ai đó thực
hiện một hoạt động trái phép hoặc thuyết phục ai đó tiết lộ thông tin bí mật.
Với mọi trường hợp trong kỹ thuật xã hội, kẻ tấn công sẽ cố gắng thuyết phục
nạn nhân thực hiện một số hoạt động hoặc tiết lộ một phần thông tin mà họ
[nạn nhân] không nên làm. Kết quả của một cuộc tấn công thành công là sự rò
rỉ thông tin hoặc kẻ tấn công được cấp quyền truy cập luận lý hoặc vật lý vào
một môi trường được bảo mật.
Dưới đây là một số kịch bản ví dụ về các cuộc tấn công kỹ thuật xã hội phổ biến:
▪
Một trang web tuyên bố cung cấp quyền truy cập tạm thời miễn phí vào
các sản phẩm và dịch vụ của mình, tuy nhiên, nó đòi hỏi sự sửa đổi trình
duyệt web và/hoặc tường lửa để tải xuống phần mềm truy cập. Những sửa
đổi này có thể làm suy giảm các biện pháp bảo vệ bảo mật hoặc khuyến
khích nạn nhân cài đặt các đối tượng trình trợ giúp trình duyệt độc hại
(browser helper đối tượngs - BHO) (còn được gọi là plug-in, tiện ích mở
rộng, tiện ích bổ sung – [plug-in, extensions, add-on).
▪
Bộ phận hỗ trợ kỹ thuật nhận được cuộc gọi từ một người tự xưng là giám
đốc bộ phận hiện đang tham gia một cuộc họp kinh doanh ở một thành
phố khác. Người gọi nói rằng đã quên mật khẩu của họ và cần đặt lại mật
khẩu để họ có thể đăng nhập từ xa để tải xuống một bài thuyết trình quan
trọng.
▪
Một người trông giống như một kỹ thuật viên sửa chữa tuyên bố là đã nhận
được một cuộc gọi dịch vụ cho một thiết bị bị trục trặc trong tòa nhà. “Kỹ
thuật viên” chắc chắn rằng thiết bị chỉ có thể được truy cập từ bên trong
223 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
khu vực văn phòng làm việc của bạn và yêu cầu được cấp quyền truy cập
để sửa chữa hệ thống.
▪
Nếu một nhân viên nhận được thông báo từ ai đó yêu cầu nói chuyện với
đồng nghiệp bằng tên và hiện tại hoặc trước đây không có nhân viên đó
đang làm việc cho tổ chức, đây có thể là một mưu mẹo để tiết lộ tên gọi
của nhân viên thực tế hoặc thuyết phục bạn “cung cấp hỗ trợ” vì người
gọi đã không có được thông tin chính xác.
▪
Khi một liên hệ trên diễn đàn thảo luận hỏi các câu hỏi về cá nhân, chẳng
hạn như học vấn, lịch sử và sở thích của bạn, họ có thể tập trung vào việc
tìm hiểu đáp án cho các câu hỏi đặt lại mật khẩu.
Một vài trong số những ví dụ kể trên cũng có thể là những sự kiện hợp pháp và
lành tính, nhưng bạn có thể thấy cách chúng có thể che giấu động cơ và mục
đích của một kẻ tấn công như thế nào. Các kỹ sư xã hội cố gắng che giấu và ẩn
đi ý định thực sự của họ bằng cách khiến cho cuộc tấn công của họ trông có vẻ
bình thường và điển hình nhất có thể.
Bất cứ khi nào một vi phạm bảo mật xảy ra, một cuộc điều tra nên được tiến
hành để xác định xem điều gì đã bị ảnh hưởng và liệu cuộc tấn công có đang
tiếp tục diễn ra hay không. Nhân viên nên đư ợc đào tạo lại để phát hiện và tránh
các cuộc tấn công kỹ thuật xã hội tương tự trong tương lai. Mặc dù các cuộc tấn
công kỹ thuật xã hội chủ yếu tập trung vào con người nhưng kết quả của một
cuộc tấn công có thể là tiết lộ tài liệu riêng tư hoặc bí mật, thiệt hại vật chất
đối với cơ sở vật chất hoặc truy cập từ xa vào môi trường CNTT. Do đó, bất kỳ
vi phạm kỹ thuật xã hội đã cố gắng hoặc thành công nào đều phải được điều tra
một cách kỹ lưỡng và được ứng phó.
Những phương pháp bảo vệ để chống lại kỹ thuật xã hội bao gồm:
▪
Đào tạo nhân sự về các cuộc tấn công kỹ thuật xã hội và các nhận biết
những dấu hiệu phổ biến.
▪
Yêu cầu xác thực khi thực hiện các hành động đối với mọi người khi trao
đổi qua điện thoại.
▪
Xác định những thông tin bị hạn chế sẽ không bao giờ được truyền đạt
qua điện thoại hoặc thông qua các giao tiếp dạng văn bản thô chẳng hạn
như email tiêu chuẩn,
224 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Luôn xác minh thông tin đăng nhập của một nhân viên sửa chữa và xác
nhận rằng một cuộc gọi dịch vụ thực tế đã được thực hiện bởi nhân sự đã
được ủy quyền.
▪
Không bao giờ tuân theo các hướng dẫn của một email mà không xác minh
thông tin với ít nhất hai nguồn đáng tin cậy và độc lập.
▪
Luôn luôn thận trọng khi giao dịch với bất kỳ ai mà bạn không biết hoặc
không nhận ra, dù gặp trực tiếp, qua điện thoại hay qua Internet/mạng.
Nếu một số nhân viên báo cáo về cùng một sự kiện kỳ quặc, chẳng hạn như một
cuộc gọi hoặc email thì một cuộc điều tra nên xem xét nội dung của người liên
hệ là gì, ai đã khởi xướng nó và dự định hoặc mục đích là gì.
Biện pháp phòng thủ quan trọng nhất chống lại các cuộc tấn công kỹ thuật xã
hội là giáo dục người dùng và đào tạo nâng cao nhận thức. Một liều lượng đủ
lành mạnh của sự hoang tưởng và nghi ngờ sẽ giúp người dùng phát hiện ra hoặc
nhận thấy nhiều nỗ lực tấn công mạng xã hội hơn so với khi không có sự chuẩn
bị như vậy. Việc đào tạo nên bao gồm nhập vai và diễn tập nhiều ví dụ về các
hình thức tấn công kỹ thuật xã hội khác nhau. Tuy nhiên, hãy nh ớ rằng những
kẻ tấn công liên tục thay đổi phương pháp tiếp cận và cải thiện phương tiện tấn
công của chúng. Vì vậy, việc cập nhật các phương tiện tấn công kỹ thuật xã hội
mới được phát hiện cũng là điều cần thiết để bảo vệ chống lại mối đe dọa tập
trung vào con người này.
Người dùng nên nhận được sự đào tạo khi họ lần đầu tiên gia nhập tổ chức, và
họ nên nhận được những khóa đào tạo nhắc lại định kỳ, kể cả đây chỉ là một
email từ quản trị viên hoặc nhân viên đào tạo nhắc nhở họ về các mối đe dọa.
Các Nguyên tắc Kỹ thuật Xã hội
Kỹ thuật xã hội hoạt động khá tốt bởi vì chúng ta là con người. Những nguyên
tắc của các cuộc tấn công kỹ thuật xã hội được thiết kế để tập trung vào những
khía cạnh khác nhau của bản chất con người và tận dụng ưu thế của chúng. Mặc
dù không phải mọi mục tiêu đều khuất phục trước mọi cuộc tấn công nhưng phần
lớn chúng ta đều dễ bị tổn thương với một hoặc nhiều nguyên tắc kỹ thuật xã
hội dưới đây.
225 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Thẩm quyền
Thẩm quyền là một kỹ thuật có hiệu quả bởi vì hầu hết mọi người đều có khả
năng sẽ phản hồi lại với thẩm quyền bằng sự phục tùng. Bí quyết ở đây là thuyết
phục mục tiêu rằng kẻ tấn công là người có thẩm quyền hợp lệ bên trong hoặc
bên ngoài [tổ chức]. Một số kẻ tấn công tuyên bố thẩm quyền của họ bằng lời
nói, và những kẻ khác ra vẻ quyền lực bằng cách mặc trang phục hoặc đồng
phục.
Một ví dụ là một email được gửi bằng email giả mạo của CEO, trong đó người
lao động được thông báo rằng họ phải truy cập một công cụ định vị tài nguyên
chung (universal resource locator - URL)/chỉ báo nguồn lực toàn cầu (universal
resource indicator - URI) cụ thể để điền vào một tài liệu nhân sự quan trọng.
Phương pháp này hoạt động khi nạn nhân làm theo một cách mù quáng các hướng
dẫn được cho là của người có thẩm quyền.
Sự đe dọa
Đe dọa đôi khi có thể được coi là một hình thức phái sinh của nguyên tắc thẩm
quyền. Đe dọa sử dụng thẩm quyền, sự tự tin hoặc thậm chí là mối đe dọa gây
ra thiệt hại để thúc đẩy ai đó làm theo mệnh lệnh hoặc hướng dẫn. Thông
thường, sự đe dọa tập trung vào việc khai thác sự không chắc chắn trong một
tình huống mà chỉ thị rõ ràng về hoạt động hoặc phản ứng đã không được xác
định.
Một ví dụ là sự mở rộng trên email tài liệu Nhân sự và CEO trước đây để bao
gồm một tuyên bố tuyên bố rằng nhân viên sẽ phải đối mặt với hình phạt nếu họ
không điền vào biểu mẫu một cách kịp thời. Hình phạt có thể là mất ngày thứ
Sáu bình thường, bị loại khỏi Taco vào thứ Ba, giảm lương hoặc thậm chí là chấm
dứt hợp đồng.
Sự đồng thuận
Sự đồng thuận hoặc bằng chứng xã hội là hành vi lợi dụng xu hướng tự nhiên
của một người để bắt chước những gì người khác đang làm hoặc được coi là đã
làm trong quá khứ. Ví dụ, các nhân viên pha chế thường bỏ tiền vào lọ tiền boa
của họ để khiến cho dịch vụ trông có vẻ được đánh giá cao bởi những người
khách trước đó. Theo nguyên tắc kỹ thuật xã hội, kẻ tấn công cố gắng thuyết
226 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
phục nạn nhân rằng một hành động hoặc phản ứng cụ thể là cần thiết để phù
hợp với các chuẩn mực xã hội hoặc các sự kiện xảy ra trước đó.
Một ví dụ là kẻ tấn công tuyên bố rằng một nhân viên hiện đang không có mặt
tại văn phòng đã hứa là sẽ giảm giá lớn khi mua hàng và giao dịch phải xảy ra
ngay bây giờ với bạn, với tư cách là nhân viên bán hàng.
Sự khan hiếm
Sự khan hiếm là một kỹ thuật được sử dụng để thuyết phục ai đó rằng một đối
tượng có giá trị cao hơn dựa trên sự khan hiếm của đối tượng. Điều này có thể
liên quan đến sự tồn tại của chỉ một số ít mặt hàng đã được sản xuất hoặc cơ
hội hạn chế, hoặc rằng phần lớn hàng tồn kho đã được bán và chỉ còn lại một
số ít các mặt hàng.
Một ví dụ là một kẻ tấn công tuyên bố rằng chỉ còn hai vé tham d ự trận đấu cuối
cùng của đội bạn yêu thích và sẽ thật tiếc nếu ai đó tận hưởng trận đấu hơn là
bạn. Nếu bạn không nắm bắt chúng ngay bây giờ, cơ hội sẽ mất đi. Nguyên tắc
này thường gắn liền với nguyên tắc khẩn cấp.
Sự quen thuộc
Sự quen thuộc hoặc yêu thích (liking) như một nguyên tắc kỹ thuật xã hội cố
gắng khai thác niềm tin bản chất của một người vào điều vốn đã quen thuộc. Kẻ
tấn công thường cố gắng tỏ ra có liên hệ hoặc mối quan hệ chung với mục tiêu,
chẳng hạn như bạn bè hoặc kinh nghiệm chung, hoặc sử dụng vẻ ngoài để lấy
(giả mạo) danh tính của công ty hoặc người khác. Nếu mục tiêu tin rằng một tin
nhắn là từ một thực thể đã biết, chẳng hạn như bạn bè hoặc ngân hàng của họ,
thì nhiều khả năng họ sẽ tin tưởng vào nội dung và thậm chí hành động hoặc
phản hồi.
Một ví dụ là kẻ tấn công sử dụng cuộc tấn công bằng hình ảnh (vishing) trong
khi giả mạo ID người gọi như là văn phòng bác sĩ của họ.
Sự tin tưởng
Sự tin tưởng như một nguyên tắc kỹ thuật xã hội liên quan đến việc kẻ tấn công
làm việc để phát triển mối quan hệ với nạn nhân. Quá trình này có thể chỉ mất
vài giây hoặc kéo dài vài tháng, nhưng cuối cùng kẻ tấn công cố gắng sử dụng
227 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
giá trị của mối quan hệ (sự tin tưởng của nạn nhân đối với kẻ tấn công) để
thuyết phục nạn nhân tiết lộ thông tin hoặc thực hiện hành động vi phạm bảo
mật của công ty.
Một ví dụ là một kẻ tấn công tiếp cận bạn khi bạn đang đi bộ dọc theo con phố,
khi chúng xuất hiện để nhặt một tờ 100 đô la từ mặt đất. Kẻ tấn công nói rằng
vì hai người đã đứng gần khi số tiền được tìm thấy nên hai người nên chia đôi.
Chúng sẽ hỏi bạn rằng bạn có muốn thay đổi hay chia đôi số tiền nhặt được. Vì
kẻ tấn công đã để bạn giữ tiền trong khi chúng đi xung quanh để tìm người đánh
mất nó, điều này có thể đã tạo niềm tin vào người lạ này để bạn sẵn sàng rút
tiền mặt trong ví của mình và đưa cho chúng. Nhưng bạn đã không nhận ra việc
này cho đến sau đó, khi tờ 100 đô la này là tiền giả và bạn đã bị bắt.
Tính khẩn cấp
Tính khẩn cấp thường đi kèm với sự khan hiếm, bởi vì nhu cầu hành động nhanh
chóng tăng lên do sự khan hiếm cho thấy nguy cơ bỏ lỡ lớn hơn. Tính khẩn cấp
thường được sử dụng như một phương pháp để nhận được một phản hồi nhanh
chóng từ mục tiêu trước khi họ có đủ thời gian để cân nhắc kỹ lưỡng hoặc từ
chối tuân thủ.
Một ví dụ là kẻ tấn công sử dụng phương thức lừa đảo hóa đơn thông qua xâm
phạm email doanh nghiệp (business enterprise compromise - BEC) để thuyết
phục bạn thanh toán hóa đơn ngay lập tức vì một dịch vụ kinh doanh thiết yếu
sắp bị cắt hoặc công ty sẽ bị báo cáo với cơ quan thu phí.
Khai thác Thông tin
Khai thác thông tin (elliciting information) là hoạt động thu thập hoặc tổng hợp
thông tin từ hệ thống hoặc con người. Trong bối cảnh kỹ thuật xã hội, nó được
sử dụng như một phương pháp nghiên cứu để tạo ra một lý do hiệu quả hơn. Lý
do là một mệnh đề sai được tạo ra để nghe có vẻ đáng tin cậy nhằm thuyết phục
bạn hành động hoặc phản hồi theo cách có lợi cho kẻ tấn công. Bất kỳ và mọi
kỹ thuật xã hội được đề cập trong chương này đều có thể được sử dụng như một
vũ khí để gây thiệt hại cho nạn nhân được nhắm mục tiêu và như một phương
tiện để có thêm thông tin (hoặc quyèn truy cập). Vì vậy, kỹ thuật xã hội là một
công cụ của cả quá trình do thám và tấn công. Dữ liệu được thu thập thông qua
228 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
kỹ thuật xã hội có thể được sử dụng để hỗ trợ cho một cuộc tấn công vật lý hoặc
logic/kỹ thuật.
Bất kỳ phương tiện hoặc phương pháp nào mà theo đó, một kỹ sư xã hội có thể
thu thập thông tin từ mục tiêu là khai thác thông tin. Bất kỳ sự kiện hoặc sự
thật hoặc chi tiết nào có thể được tổng hợp, thu thập hoặc lượm lặt từ mục tiêu
đều có thể được sử dụng để tạo thành một nguyên do đáng tin cậy và đầy đủ
hơn hoặc một câu chuyện sai sự thật, do đó có thể làm gia tăng cơ hội thành
công của cấp độ hoặc giai đoạn tiếp theo của một cuộc tấn công.
Có thể cho rằng rất nhiều cuộc tấn công mạng tương tự như các cuộc tấn công
chiến tranh thực tế. Kẻ tấn công càng biết nhiều về kẻ thù được nhắm mục tiêu
thì kế hoạch tấn công càng hiệu quả hơn.
Việc bảo vệ chống lại các sự kiện khai thác thông tin thường bao gồm các biện
pháp phòng ngừa tương tự như các biện pháp phòng ngừa được sử dụng để
chống lại kỹ thuật xã hội. Chúng bao gồm phân loại thông tin, kiểm soát sự di
chuyển của dữ liệu nhạy cảm, theo dõi các hành vi cố gắng lạm dụng, đào tạo
nhân viên và báo cáo bất kỳ hoạt động đáng ngờ nào cho nhóm bảo mật.
Thêm trước
Thêm trước là việc bổ sung thêm một thuật ngữ, biểu thức hoặc cụm từ vào phần
bắt đầu hoặc tiêu đề của một số giao tiếp khác. Thông thường việc thêm trước
được sử dụng để tinh chỉnh thêm hoặc xác lập nguyên do của một cuộc tấn công
kỹ thuật xã hội, chẳng hạn như thư rác, lừa đảo, và phishing. Một kẻ tấn công
có thể đặt trước một thông điệp tấn công bằng RE: hoặc FW: (tương ứng chỉ ra
“có liên quan đến” và “đã được chuyển tiếp”) để khiến cho người nhận nghĩ rằng
giao tiếp là phần tiếp tục của một cuộc hội thoại trước đó thay vì liên hệ lần
đầu tiên của một kẻ tấn công. Những thuật ngữ thêm trước thường-được-sửdụng là EXTERNAL, PRIVATE và INTERNAL.
Các cuộc tấn công thêm trước cũng có thể được sử dụng để đánh lừa các bộ lọc,
chẳng hạn như bộ lọc thư rác, phần mềm chống phần mềm độc hại, tường lửa và
các hệ thống phát hiện xâm nhập (IDS). Điều này có thể được thực hiện với
SAFE, FILTERED, AUTHORIZED, VERIFIED, CONFIRMED ho ặc APPROVED, trong số
229 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
rất nhiều thuật ngữ khác nữa. Thậm chí có thể xen vào các giá trị tiêu đề email
thay thế, chẳng hạn như “X-Spam-Category: LEGIT” hoặc “X-Spam-Condition:
SAFE”, và điều này có thể đánh lừa các bộ lọc thư rác và bộ lọc lạm dụng.
Phishing
Phishing là một hình thức tấn công kỹ thuật xã hội tập trung vào việc đánh cắp
thông tin xác thực hoặc thông tin nhận dạng từ bất kỳ mục tiêu tiềm năng nào.
Nó có nguồn gốc từ “câu cá” để lấy thông tin. Phishing có thể được thực hiện
theo nhiều cách bằng cách sử dụng nhiều phương tiện truyền thông khác nhau,
bao gồm cả email và web, trong các tương tác mặt-đối-mặt hoặc qua điện thoại,
và thậm chí thông qua các phương ti ện liên lạc truyền thống hơn, chẳng hạn như
bưu điện hoặc các gói chuyển phát nhanh.
Những kẻ tấn công gửi email lừa đảo một cách bừa bãi dưới dạng thư rác, mà
không cần biết ai sẽ nhận được chúng, nhưng với một hy vọng rằng có một số
người dùng sẽ phản hồi. Đôi khi, các email lừa đảo thông báo cho người dùng
về một vấn đề không có thật và nói rằng nếu người dùng không thực hiện hành
động thì công ty sẽ khóa tài khoản của người dùng. Địa chỉ email “From” thường
bị giả mạo để trông có vẻ hợp pháp, nhưng địa chỉ email “Reply To” là một tài
khoản do kẻ tấn công kiểm soát. Các cuộc tấn công tinh vi bao gồm một liên kết
đến một trang web giả trông có vẻ hợp pháp nhưng lại nắm bắt thông tin xác
thực và chuyển những thông tin này cho kẻ tấn công.
Đôi khi, mục tiêu của phishing là cài đặt phần mềm độc hại trên hệ thống của
người dùng. Thông điệp có thể bao gồm tập tin đính kèm bị nhiễm hoặc liên kết
đến trang web cài đặt phần tải xuống drive-by độc hại mà người dùng không hề
hay biết.
Một tải về drive-by là một kiểu phần mềm độc hại tự cài đặt chính
bản thân nó mà người dùng không hề hay biết khi người dùng ghé
thăm một trang web. Các tải về drive-by lợi dụng những lỗ hổng
trong trình duyệt hoặc trong các plug-in.
230 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Nếu một thông điệp tuyên bố rằng nó đến từ một nguồn đã biết, chẳng hạn như
một trang web được truy cập một cách thường xuyên, người dùng nên truy cập
trang web được đề cập bằng cách sử dụng một dấu trang được tạo sẵn hoặc
bằng cách tìm kiếm trang web theo tên. Nếu, sau khi truy cập vào tài khoản của
họ trên trang web, một thông điệp trùng lặp sẽ không xuất hiện trong hệ thống
cảnh báo hoặc tin nhắn trực tuyến thì thông điệp ban đầu có thể làm một cuộc
tấn công hoặc là thông điệp giả mạo. Bất kỳ giao tiếp sai lệch nào như vậy nên
được báo cáo cho tổ chức được nhắm mục tiêu, và sau đó thông điệp sẽ bị xóa.
Nếu cuộc tấn công liên quan đến tổ chức hoặc người sử dụng lao động của bạn,
nó cũng nên được báo cáo cho nhóm bảo mật ở đó.
Các tổ chức nên cân nhắc những hậu quả và rủi ro gia tăng từ việc cấp cho người
lao động quyền truy cập vào email cá nhân và mạng xã hội thông qua các hệ
thống của công ty gây ra. Một số công ty đã chọn chặn quyền truy cập vào liên
lạc Internet cá nhân trong khi sử dụng thiết bị của công ty hoặc phải thông qua
các kết nối mạng do-công-ty-kiểm-soát. Điều này làm giảm rủi ro cho tổ chức
ngay cả khi một cá nhân không thể chống lại cuộc tấn công lừa đảo của chính
bản thân họ [nghĩa là cuộc tấn công nhắm đến những tài khoản của cá nhân
nhân viên, không phải tài khoản của công ty – người dịch].
Mô phỏng phishing là một công cụ được sử dụng để đánh giá khả năng của nhân
viên để chống lại hoặc bị rơi vào chiến dịch lừa đảo. Người quản lý bảo mật hoặc
người kiểm tra xâm nhập tạo ra một cuộc tấn công lừa đảo để mỗi cú nhấp của
nạn nhân đều được chuyển hướng đến một thông báo rằng thông điệp lừa đảo
là một mô phỏng và họ có thể cần tham gia khóa đào tạo bổ sung để tránh việc
bị tấn công thực sự.
Spear Phishing
Spear phishing là một hình thức tấn công phishing được nhắm mục tiêu hơn khi
thông điệp được tạo ra và điều hướng một cách cụ thể nhắm đến một nhóm các
cá nhân. Thông thường, những kẻ tấn công sử dụng một cơ sở dữ liệu khách
hàng bị đánh cắp để gửi những thông điệp giả mạo được tạo ra để trông giống
như một giao tiếp đến từ doanh nghiệp bị xâm phạm nhưng với địa chỉ nguồn
sai lệch và các URI/URL không chính xác. Hy v ọng của kẻ tấn công là rằng một
231 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
ai đó, người thực sự có mối quan hệ trực tuyến/kỹ thuật số với một tổ chức có
khả năng sẽ rơi vào giao tiếp bị giả mạo đó.
Mọi khái niệm và biện pháp phòng thủ đã được thảo luận trong phần trước đó,
“Phishing”, đều áp dụng được cho spear phishing.
Spear phishing cũng có thể được tạo ra để trông như thể nó đến từ một CEO
hoặc lãnh đạo cấp trên của một tổ chức. Phiên bản này của spear phishing còn
được gọi là xâm phạm email doanh nghiệp (business email compromise – BEC).
BEC thường tập trung vào việc thuyết phục các thành viên của bộ phận tài chính
hoặc kế toán chuyển tiền hoặc thanh toán hóa đơn dựa trên những hướng dẫn
trông có vẻ như bắt nguồn từ ông chủ, nhà quản lý hoặc giám đốc điều hành.
BEC đã lừa đảo trót lọt hàng tỷ đô la từ các tổ chức trong vài năm qua. BEC còn
được gọi là lừa đảo CEO (CEO fraud) hoặc giả mạo CEO (CEO spoofing).
Như với hầu hết các hình thức kỹ thuật xã hội, các biện pháp phòng thủ đối với
spear phishing đòi hỏi những điều sau đây:
▪
Gán nhãn thông tin, dữ liệu, và tài sản theo giá trị, tầm quan trọng hoặc
độ nhạy cảm của chúng
▪
Đào tạo nhân viên về cách xử lý đúng đắn những tài sản đó căn cứ vào
nhãn dán của chúng
▪
Yêu cầu làm rõ hoặc xác nhận bất kỳ hành động nào trông có vẻ bất
thường, ngoài quy trình, hoặc ngược lại, quá rủi ro đối với tổ chức.
Một số khái niệm lạm dụng cần phải lưu ý là yêu cầu thanh toán hóa đơn
(bill/invoice) bằng thẻ quà tặng trả trước, thay đổi chi tiết hệ thống cáp điện
(đặc biệt là vào phút cuối) hoặc yêu cầu mua sản phẩm không điển hình cho
người yêu cầu và cần gấp. Khi tìm cách xác nhận một BEC đang bị nghi ngờ,
đừng sử dụng cùng một phương tiện liên lạc mà BEC đã sử dụng. Hãy gọi điện
thoại đến văn phòng của họ, nhắn tin vào điện thoại di động của họ hoặc sử
dụng dịch vụ nhắn tin nội bộ đã được công ty phê duyệt. Việc thiết lập một liên
hệ “ngoài-dải-băng-tần” thứ hai với người yêu cầu sẽ xác nhận thêm thông điệp
đó là hợp pháp hay giả mạo.
232 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Whaling
Whaling là một hình thức spear phishing được nhắm mục tiêu vào các cá nhân
có giá trị cao một cách cụ thể (theo chức danh, theo ngành, từ báo đài, v.v…),
chẳng hạn như CEO hoặc giám đốc điều hành cấp-C khác, quản trị viên hoặc
khách hàng có giá trị ròng cao. Các cuộc tấn công whaling đòi hỏi nhiều thời
gian hơn để nghiên cứu, lập kế hoạch và phát triển từ phía những kẻ tấn công
để đánh lừa nạn nhân. Đó là bởi vì những nhân sự cấp cao này thường nhận thức
rõ rằng họ là một mục tiêu có giá trị cao.
Các câu hỏi trong kỳ thi không phải lúc nào cũng sử dụng chính
xác những thuật ngữ đúng cho một chủ đề cụ thể. Khi thuật ngữ
tốt nhất cho một khái niệm đã không được sử dụng hoặc không
hiện diện, hãy xem xét xem liệu một thuật ngữ rộng hơn hoặc bao
hàm hơn có thể đã được sử dụng để thay thế hay không. Ví dụ:
nếu có đề cập đến một cuộc tấn công email chống lại một CEO để
cố gắng đánh cắp bí mật thương mại nhưng không đề cập đến
whaling, thì bạn có thể coi đó là một ví dụ về spear phishing.
Spear phishing là một khái niệm rộng hơn trong khi whaling là
một ví dụ hoặc phiên bản cụ thể hơn. Có nhiều mối quan hệ chacon hoặc tập-hợp-cha-tập-hợp-con giữa các chủ đề trong kỳ thi
CISSP. Vì vậy, hãy để ý mẹo hay tính năng này trong cả khi luyện
tập và trong đề thi.
Smishing
Lừa đảo qua Dịch vụ Tin nhắn Ngắn (Short Message Service – SMS) hay smishing
(Thư rác thông qua tin nhắn tức thời – Spam over instant messaging – SPIM) là
một cuộc tấn công kỹ thuật xã hội xảy ra thông qua các dịch vụ tin nhắn văn
bản tiêu chuẩn. Có một số mối de dọa smishing để xem xét, bao gồm:
▪
Những tin nhắn văn bản yêu cầu phản hồi hoặc trả lời. Trong một số trường
hợp, những tin nhắn trả lời có thể kích hoạt một sự kiện nhồi nhét
(cramming). Nhồi nhét là khi một khoản phí sai hoặc trái phép được đưa
vào gói dịch vụ di động của bạn.
233 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Các tin nhắn văn bản có thể bao gồm siêu liên kết/URI/URL đến một trang
web lừa đảo hoặc giả mạo hoặc kích hoạt việc cài đặt mã độc hại.
▪
Tin nhắn văn bản có thể chứa các tiền đề để bạn tham gia vào một cuộc
hội thoại.
▪
Tin nhắn văn bản có thể bao gồm số điện thoại. Luôn luôn tìm hiểu một
số điện thoại trước khi gọi nó, đặc biệt là từ một nguồn không được xác
định. Có những số điện thoại có cấu trúc tương tự như số nội hạt hoặc
trong nước nhưng thực tế có thể là điện thoại đường dài và không được
bao gồm trong dịch vụ hoặc gói cước gọi điện thoại của bạn và việc gọi
chúng có thể gây ra cước phí kết nối và cước phí gọi cho mỗi phút khá
cao.
Mặc dù smishing đề cập đến các cuộc tấn công dựa-trên-SMS nhưng đôi khi nó
có thể được sử dụng để chỉ các cuộc tấn công tương tự diễn ra thông qua Dịch
vụ Tin nhắn Đa phuong tiện (Multimedia Messaging Service – MMS), Dịch vụ Giao
tiếp Phong phú (Rich Communicatio Services – RMS), Google Hangouts, Android
Messeger, Facebook Messenger, WeChat, Apple/iPhone iMessage, WhatsApp,
Slack, Discord, Microsoft Teams, v.v…
Vishing
Vishing (nghĩa là, lừa đảo bằng giọng nói) hoặt SpIT (Thư rác qua Điện thoại
Internet – Spam over Internet Telephony) là hành vi lừa đảo (phishing) được
thực hiện thông qua bất kỳ hệ thống giao tiếp điện thoại hoặc âm thanh nào.
Điều này bao gồm các tuyến điện thoại truyền thống, các dịch vụ Thoại-qua-IP
(Voice-over-IP - VoIP), và điện thọai di động. Hầu hết các kỹ sư xã hội thực
hiện các chiến dịch vishing sử dụng công nghệ VoIP để hỗ trợ các cuộc tấn công
của chúng. VoIP cho phép kẻ tấn công ở bất cứ nơi đâu trên thế giới, gọi điện
miễn phí cho nạn nhân và có thể giả mạo hoặc mạo danh ID người gọi gốc của
họ.
Các cuộc gọi vishing có thể thể hiện một ID người gọi hoặc một số điện thoại từ
bất kỳ nguồn nào mà kẻ tấn công nghĩ có thể khiến cho nạn nhân trả lời cuộc
gọi.
234 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Spam
Spam (thư rác) là bất kỳ kiểu email nào không được mong muốn và/hoặc không
được yêu cầu. Nhưng spam không chỉ là những quảng cáo không mong muốn, nó
cũng có thể bao gồm những nội dung độc hại và các véc-tơ tấn công. Spam
thường được sử dụng như phương tiện chuyên chở của các cuộc tấn công kỹ
thuật xã hội.
Thư rác thực sự là một vấn đề vì một số lý do:
▪
Một số thư rác mang theo mã đ ộc hại chẳng hạn như vi-rút, bom logic,
ransomware, hoặc Trojan.
▪
Một số thư rác mang theo các cuộc tấn công kỹ thuật xã hội (hay còn được
gọi là thông điệp đánh lừa).
▪
Những email không mong muốn làm lãng phí thời gian của bạn khi bạn
phải sắp xếp chúng để tìm kiếm những thông điệp hợp pháp.
▪
Thư rác làm tiêu tốn tài nguyên Internet: dung lượng lưu trữ, chu kỳ tính
toán, và thông lượng.
Biện pháp đối phó chủ yếu chống lại thư rác là một bộ lọc thư rác. Những bộ lọc
email này có thể kiểm tra tiêu đề, chủ đề và nội dung của một thông điệp để
tìm kiếm những từ khóa hoặc cụm từ để xác định xem nó [thông điệp] có phải
là kiểu thư rác đã biết hay không và sau đó thực hiện những hành động thích
hợp để loại bỏ, cách lý hoặc chặn thông điệp.
Phần mềm chống thư rác là một biến thể về chủ đề của phần mềm chống phần
mềm độc hại. Nó đặc biệt theo dõi các giao tiếp qua email để tìm kiếm thư rác
và các hình thức email không mong muốn khác nhằm ngăn chặn các trò lừa bịp,
đánh cắp danh tính, lãng phí tài nguyên và khả năng phân phối phần mềm độc
hại. Phần mềm chống thư rác thường có thể được cài đặt trên các máy chủ email
để bảo vệ toàn bộ tổ chức cũng như trên các hệ thống máy khách cục bộ để lọc
bổ sung từ phía người dùng.
Ngoài ứng dụng khách hoặc bộ lọc thư rác phía-máy-khách còn có các công cụ
chống thư rác dành cho doanh nghiệp, bao gồm Khuôn khổ Chính sách Người gửi
(Sender Policy Framework - SPF), Thư Được xác định bằng Khóa Miền (Domain
Keys Identified Mail - DKIM) và Báo cáo Xác thực và Tuân thủ Thông điệp Miền
235 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
(Domain Message Authentication Reporting and Conformance - DMARC) (xem
Chương 12, “Truyền thông An toàn và Tấn công mạng”).
Một vấn đề quan trọng khác cần giải quyết khi quản lý thư rác là email bị giả
mạo. Một email giả mạo (spoofed email) là một email có địa chỉ bị nguồn giả
mạo hoặc mạo danh. DMARC được sử dụng để lọc các tin nhắn giả mạo.
Thư rác thường được kết hợp với email, nhưng thư rác cũng tồn tại trong tin
nhắn tức thời (IM), SMS, USENET (Giao th ức Truyền tải Tin tức Mạng [Netork
News Transfer Protocol - NNTP]) và nội dung web (chẳng hạn như các thảo luận
theo chuỗi, diễn đàn, bình luận và blog). Việc không chặn được thư rác cho phép
nó gây ra lãng phí tài nguyên, tiêu t ốn băng thông, khiến người lao động mất
tập trung khỏi các hoạt động có năng suất và có khả năng khiến người dùng và
hệ thống tiếp xúc với phần mềm độc hại.
Nhìn lén qua vai (Shoulder Surfing)
Nhìn lén qua vai (shoulder surfing) thường là một hình thức kỹ thuật xã hội trực
tiếp hoặc trong thế giới thực. Lướt qua vai xảy ra khi ai đó có khả năng nhìn
được bàn phím của người dùng hoặc xem được màn hình của họ. Thông thường,
hoạt động nhìn lén qua vai được ngăn chặn bằng cách phân chia các nhóm nhân
viên theo mức độ nhạy cảm và hạn chế quyền tiếp cận các khu vực nhất định
của tòa nhà bằng cách sử dụng cửa có khóa. Ngoài ra, người dùng không nên
hướng màn hình của họ để có thể bị nhìn thấy qua cửa sổ (từ bên ngoài) hoặc
lối đi/cửa ra vào (đối với các vấn đề bên trong). Và họ không nên làm việc trên
dữ liệu nhạy cảm khi ở trong những không gian công cộng. Các trường mật khẩu
phải che dấu các ký tự khi chúng được nhập vào. Một biện pháp bảo vệ khác
chống lại nhìn lén qua vai là sử dụng các bộ lọc màn hình, giới hạn trường nhìn
thấy chủ yếu ở hướng vuông góc.
Lừa đảo Hóa đơn (Invoice Scams)
Lừa đảo hóa đơn (invoice scam) là các cuộc tấn công kỹ thuật xã hội thường cố
gắng đánh cắp tiền từ một tổ chức hoặc cá nhân thông qua việc xuất trình hóa
đơn giả, thường theo sau là những lời dụ dỗ mạnh mẽ để thanh toán [hóa đơn].
Những kẻ tấn công thường cố gắng nhắm mục tiêu vào các thành viên c ủa bộ
phận tài chính hoặc của nhóm kế toán. Một số trò lừa đảo hóa đơn thực sự là
236 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
những trò lừa đảo trá hình. Kỹ sư xã hội cũng có khả năng sử dụng phương pháp
lừa đảo hóa đơn thông qua một kết nối thoại.
Cuộc tấn công này tương tự như một số hình thức của khái niệm BEC. Trong thực
tế, một số trò gian lận hóa đơn được kết hợp với BEC để hóa đơn được gửi cho
nhân viên kế toán trông có vẻ dường như đã được đi gửi từ CEO. Sự đan xen của
các yếu tố tấn công này làm gia tăng thêm tính hợp pháp cho hóa đơn, do đó có
cao trong khả năng thuyết phục mục tiêu thanh toán hóa đơn.
Để bảo vệ chống lại các trò gian lận hóa đơn, người lao động phải được thông
báo về các kênh thích hợp mà thông qua đó, họ sẽ nhận được hóa đơn và các
phương tiện để xác nhận rằng bất kỳ hóa đơn nào thực sự hợp lệ. Cần phải có
sự tách biệt về nhiệm vụ giữa những nhân viên đặt hàng sản phẩm và dịch vụ
và những người thanh toán các hóa đơn. Hai nhóm này cũng nên có m ột nhóm
thứ ba để kiểm tra và quản lý các hoạt động của họ. Mọi thương vụ mua lại tiềm
năng phải được người giám sát xem xét và phê duyệt, sau đó thông báo về việc
mua lại được gửi từ người giám sát đến bộ phận tài khoản phải trả. Khi hóa đơn
đến nơi, chúng phải được so sánh với hóa đơn dự kiến dựa trên các giao dịch
mua lại được được phê duyệt. Bất kỳ hóa đơn nào không được mong đợi hoặc
bất thường khác phải kích hoạt một cuộc thảo luận trực tiếp với người giám sát
hoặc người điều hành tài chính khác.
Việc phát hiện ra bất kỳ hóa đơn gian lận nào nên được báo cáo cho các cơ quan
chức năng. Chuyển phát kỹ thuật số và chuyển phát bưu điện các hóa đơn lừa
đảo được coi là một tội phạm gian lận và trộm cắp tiềm ẩn. Việc gửi các hóa đơn
sai thông qua Bưu điện Hoa Kỳ cũng có thể bị coi là gian lận bưu chính.
Lừa bịp (Hoax)
Lừa bịp (hoax) là một dạng kỹ thuật xã hội được thiết kế để thuyết phục các
mục tiêu thực hiện một hành động sẽ gây ra các vấn đề hoặc làm giảm bảo mật
CNTT của họ. Một trò lừa bịp có thể là một email thông báo một số mối đe dọa
sắp xảy ra đang lan truyền trên Internet và rằng bạn phải thực hiện một số
nhiệm vụ nhất định để tự bảo vệ mình. Trò lừa bịp thường tuyên bố rằng nếu
không thực hiện hành động nào sẽ dẫn đến thiệt hại. Nạn nhân có thể được
hướng dẫn xóa các tập tin, thay đổi cài đặt của các cấu hình hoặc cài đặt phần
237 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
mềm bảo mật gian lận, dẫn đến việc Hệ điều hành bị xâm nhập, Hệ điều hành
không-khởi-động được hoặc giảm khả năng của các biện pháp bảo vệ bảo mật
của họ. Ngoài ra, các email lừa bịp thường khuyến khích nạn nhân chuyển tiếp
tin nhắn đến tất cả các địa chỉ liên hệ của họ để “truyền bá thông tin”. Tin nhắn
Hoax thường bị giả mạo mà không có một nguồn gốc có thể xác minh được.
Bất cứ khi nào bạn gặp phải một trò lừa bịp tiềm ẩn hoặc chỉ lo ngại rằng một
mối đe dọa đã được tuyên bố là có thật, hãy tiến hành một nghiên cứu. Một số
nơi tuyệt vời để kiểm tra thông tin lừa bịp hoặc tra cứu tin nhắn bị nghi ngờ là
trò lừa bịp của bạn là https://www.snopes.com và https://phishtank.com .
Mạo danh và Giả mạo
Mạo danh (impersonation) là hành động chiếm danh tính của một người khác.
Điều này có thể diễn ra trực tiếp, qua điện thoại, qua email, bằng cách đăng
nhập vào tài khoản của ai đó hoặc thông qua bất kỳ phương tiện giao tiếp nào
khác. Mạo danh cũng có thể được gọi là giả dạng (masquerading), giả mạo và
thậm
chí
là
gian
lận
danh
tính.
Trong
một
số
trường
hợp,
mạo
danh
(impersonation) được định nghĩa là một cuộc tấn công tinh vi và phức tạp hơn,
trong khi giả mạo (masquerading) mang tính nghiệp dư và đơn giản hơn. Sự khác
biệt này được nhấn mạnh ở sự khác biệt giữa việc thuê trang phục Elvis (nghĩa
là giả dạng) cho một bữa tiệc so với việc trở thành người đóng giả Elvis trong
sự nghiệp.
Các biện pháp bảo vệ chống lại việc mạo danh tại vị trí thực tế có thể bao gồm
việc sử dụng huy hiệu truy cập và nhân viên bảo vệ, đồng thời yêu cầu xuất
trình và xác minh ID ở tất cả các lối vào. Nếu nhân viên không điển hình đến
thăm một cơ sở, chuyến viếng thăm phải được sắp xếp trước và các nhân viên
bảo vệ được cung cấp thông báo hợp lý và xác nhận rằng một người không phải
là nhân viên sẽ đến thăm. Tổ chức mà khách viếng thăm đến từ đó phải cung
cấp chi tiết nhận dạng, bao gồm cả giấy tờ tùy thân có hình ảnh. Khi người đó
đến, danh tính của họ phải được so sánh với thông tin nhân dạng đã được cung
cấp. Trong hầu hết các môi trường an ninh, khách truy cập không được phép
chuyển vùng một cách tự do. Thay vào đó, một người hộ tống phải đi cùng với
khách trong toàn bộ thời gian của họ trong phạm vi bảo mật của công ty.
238 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Theo đuôi và Hậu thuẫn (Tailgating và Piggybacking)
Theo đuôi (tailgating) xảy ra khi một thực thể trái phép có được quyền tiếp cận
một cơ sở theo ủy quyền của một nhân viên hợp lệ nhưng họ không biết điều đó.
Cuộc tấn công này có thể xảy ra khi một nhân viên sử dụng thông tin xác thực
hợp lệ của họ để mở khóa và mở cửa, sau đó bước vào tòa nhà và cửa đóng lại,
tạo cơ hội cho kẻ tấn công ngăn việc cửa đóng lại và đột nhập mà nạn nhân
không nhận ra. Theo đuôi là một cuộc tấn công không phụ thuộc vào sự đồng
thuận của nạn nhân - chỉ là họ không biết gì về những gì xảy ra phía sau khi họ
bước vào một tòa nhà.
Mỗi và mọi lần người dùng mở khóa hoặc mở cửa, họ nên đảm bảo rằng cửa đã
được đóng và khóa lại trước khi bước đi. Chỉ riêng hành động này cũng đã giúp
loại bỏ việc theo đuôi, nhưng nó đòi hỏi nhân viên phải thay đổi hành vi của họ.
Ngoài ra còn có áp lực xã hội để giữ cho cửa mở cho ai đó đang đi phía sau bạn,
nhưng phép lịch sự này không nên được mở rộng để bao gồm các điểm truy nhập
an ninh, thậm chí ngay cả khi bạn nghĩ rằng bạn biết về người đang đi phía sau
mình.
Chính sách của công ty nên tập trung vào việc thay đổi hành vi của người dùng
hướng đến tính bảo mật cao hơn, nhưng phải thừa nhận rằng hoạt động chống
lại những bản chất của con người là rất khó khăn. Do đó, một phương tiện khác
để thực thi việc bảo vệ chống lại sự theo đuôi nên được triển khai. Chúng có
thể bao gồm sử dụng kiểm soát truy cập, tiền sảnh (trước đây còn được gọi là
bẫy người – mantrap), camera an ninh, và nhân viên b ảo vệ. Các camera an ninh
đóng vai trò như một biện pháp răn đe hơn là ngăn chặn, nhưng việc có được
một bản ghi về các sự kiện theo đuôi có thể giúp truy tìm được thủ phạm cũng
như xác định chính xác những nhân viên nào cần được đào tạo thêm về bảo mật.
Một nhân viên an ninh có thể quan sát một lối ra vào để đảm bảo rằng chỉ có
những nhân viên hợp lệ mới được phép đi qua trạm kiểm soát an ninh.
Một
vấn
đề
tương
tự
như
việc
theo
đuôi
là
việc
hậu
thuẫn.
Hậu thuẫn
(piggybacking) xảy ra khi một thực thể trái phép có quyền truy cập vào một cơ
sở dưới sự cho phép của một nhân viên hợp pháp bằng cách lừa nạn nhân đưa
ra sự đồng ý. Điều này có thể xảy ra khi kẻ đột nhập giả vờ cần được hỗ trợ
239 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
bằng cách cầm một chiếc hộp lớn hoặc nhiều giấy tờ và yêu cầu ai đó “giữ cửa”.
Mục đích của kẻ xâm nhập là đánh lạc hướng nạn nhân trong khi kẻ tấn công
giành được quyền truy cập để ngăn việc nạn nhân nhận ra rằng kẻ tấn công
không cung cấp thông tin đăng nhập của chính họ. Mưu đồ này phụ thuộc vào
bản chất tốt của hầu hết mọi người là tin vào cái cớ đó, đặc biệt là khi họ dường
như đã “hành xử phù hợp với một vị trí” (dress the part).
Khi ai đó yêu cầu hỗ trợ mở cửa an toàn, người dùng nên yêu cầu bằng chứng
về sự ủy quyền hoặc đề nghị thay mặt họ quẹt thẻ truy cập của chính người đó.
Hoặc, nhân viên nên chuyển hướng người đó đến lối ra vào chính được kiểm soát
bởi nhân viên bảo vệ hoặc gọi nhân viên bảo vệ để xử lý tình huống. Ngoài ra,
việc sử dụng tiền sảnh kiểm soát ra vào, cửa-quay và camera an ninh cũgn rất
hữu ích để ứng phó với việc hậu thuẫn này. Các biện pháp kiểm soát này làm
giảm thiểu nguy cơ bị người ngoài đánh lừa để đi vào các khu vực an toàn của
bạn.
Nhử mồi
Khi không thể xâm nhập trực tiếp về mặt hoặc các nỗ lực không thành công,
kẻ thù có thể sử dụng kỹ thuật đánh lừa để gửi phần mềm độc hại vào các hệ
thống nội bộ. Đánh lừa là khi kẻ tấn công [cố tình] đánh rơi thẻ USB, đĩa
quang hoặc thậm chí là ví tiền ở vị trí mà nhân viên có thể gặp phải. Hy vọng
của kẻ tấn công là nhân viên sẽ cắm ổ USB hoặc đưa đĩa vào máy tính làm
việc, nơi phần mềm độc hại sẽ tự động lây nhiễm vào hệ thống. Ví thường có
ghi chú trong đó với URL hoặc địa chỉ IP cùng với thông tin đăng nhập. Hy
vọng là nạn nhân sẽ truy cập trang web từ một máy tính đang làm việc và bị
lây nhiễm bởi sự kiện drive-by-download hoặc bị lừa bởi một trang web lừa
đảo.
Lục lọi Đồ phế thải
Lục lọi đồ phế thải (dumpster diving) là hành động lục lọi thùng rác, thiết bị
hủy [tài liệu] hoặc những vị trí bị bỏ hoang để có được những thông tin về một
tổ chức hoặc cá nhân được nhắm mục tiêu. Những vật phẩm thường thu thập
được bao gồm các lịch cũ, các danh sách cu ộc gọi, các ghi chú cuộc họp viết
tay, các biểu mẫu bị loại bỏ, các hộp đựng sản phẩm, hướng dẫn người dùng,
240 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
giấy dán ghi chú, báo cáo in ấn, và các bảng kiểm tra từ máy in. Bất cứ thứ gì
có giá trị nội bộ hoặc độ nhạy cảm nhỏ đều là một kho báu cần phải được khám
phá thông qua việc lục lọi đồ phế thải. Các tài liệu thu thập được thông qua việc
lục lọi đồ phế thải có thể được sử dụng để tạo ra một cái cớ đáng tin cậy hơn.
Để ngăn chặn việc lục lọi đồ phế thải, hoặc ít nhất là giảm giá trị của nó đối với
kẻ tấn công, tất cả các tài liệu nên được cắt nhỏ và/hoặc thiêu hủy trước khi bị
loại bỏ. Ngoài ra, không có phương tiện lưu trữ nào được bỏ vào thùng rác, hãy
sử dụng kỹ thuật hoặc dịch vụ hủy bỏ an toàn. Xử lý phương tiện lưu trữ an toàn
thường bao gồm đốt, cắt nhỏ hoặc băm nhỏ.
Gian lận Danh tính
Gian lận danh tính (identity fraud) và đánh cắp danh tính (identity theft) là
những thuật ngữ thường được sử dụng thay thế cho nhau. Trên thực tế, Bộ Tư
pháp Hoa Kỳ (US Deparment of Justice - DoJ) tuyên bố rằng “Đánh cắp danh tính
và gian lận danh tính là các thuật ngữ được sử dụng để chỉ tất cả các loại tội
phạm trong đó một người nào đó lấy cắp và sử dụng sai dữ liệu cá nhân của
người khác theo một cách thức nào đó có liên quan đến gian lận hoặc lừa dối,
thường
là
để
đạt
được
những
lợi
ích
kinh
tế”
(www.justice.gov/criminal-
fraud/identity-theft/identity-theft-and-identity-fraud). Gian lận danh tính và
đánh cắp danh tính có thể vừa là mục đích của một cuộc tấn công kỹ thuật xã
hội (nghĩa là, để đánh cắp PII) vừa là một công cụ được sử dụng để tiếp tục sự
thành công của một cuộc tấn công kỹ thuật xã hội.
Tuy nhiên, điều quan trọng là phải nhận ra rằng mặc dù chúng ta có thể sử dụng
các thuật ngữ như những từ đồng nghĩa (đặc biệt là trong các cuộc trò chuyện
thông thường), nhưng giá trị sẽ cao hơn khi hiểu chúng khác nhau như thế nào.
Đánh cắp danh tính là hành vi đánh cắp danh tính của một người nào đó. Cụ thể,
điều này có thể đề cập đến hành động thu thập hoặc khai thác thông tin ban
đầu trong đó tên người dùng, email, mật khẩu, câu trả lời cho các câu hỏi bí
mật, số thẻ tín dụng, số An sinh Xã hội (Social Security number) , mã số dịch vụ
chăm sóc sức khỏe và các dữ kiện liên quan khác bị đánh cắp hoặc nói cách
khác, bị lấy đi bởi kẻ tấn công. Vì vậy, định nghĩa đầu tiên về hành vi trộm cắp
241 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
danh tính là hành vi trộm cắp thông tin xác thực và thông tin về tài khoản hoặc
vị thế tài chính của một ai đó.
Định nghĩa thứ hai về hành vi trộm cắp danh tính là khi những thông tin xác
thực và thông tin chi tiết bị đánh cắp đó được sử dụng để chiếm đoạt tài khoản
của ai đó. Điều này cũng có thể bao gồm việc đăng nhập vào tài khoản của họ
trên một dịch vụ trực tuyến, tính phí sai vào thẻ tín dụng, thẻ ATM hoặc thẻ ghi
nợ của họ[sử dụng trái phép các loại thẻ của nạn nhân], viết séc sai vào tài
khoản séc của họ hoặc mở một hạn mức tín dụng mới dưới danh nghĩa của nạn
nhân bằng cách sử dụng số An sinh Xã hội của họ. Khi kẻ tấn công đánh cắp và
sử dụng thông tin đăng nhập của nạn nhân, điều này được gọi là chiếm đoạt
thông tin đăng nhập (credential hijacking).
Định nghĩa thứ hai về hành vi trộm cắp danh tính này cũng rất giống với định
nghĩa về gian lận danh tính. Gian lận là khi bạn khẳng định một điều gì đó không
đúng với sự thật. Gian lận danh tính là khi bạn giả mạo rằng bạn là người khác
thông qua việc sử dụng thông tin bị đánh cắp từ nạn nhân. Gian lận danh tính
là hành vi mạo danh tội phạm hoặc cố ý lừa dối để thu lợi cá nhân hoặc tài
chính. Các ví dụ về gian lận danh tính bao gồm nhận việc làm theo số An sinh
Xã hội của người khác, bắt đầu dịch vụ điện thoại hoặc các tiện ích dưới tên của
người khác hoặc sử dụng bảo hiểm sức khỏe của người khác để nhận được các
dịch vụ y tế.
Bạn có thể coi hành vi trộm cắp danh tính và gian lận danh tính là một hình thức
lừa đảo. Lừa đảo (spoofing) là bất kỳ hành động nào để che giấu danh tính hợp
lệ, thường bằng cách sử dụng danh tính của một ai đó khác. Ngoài khái niệm lừa
đảo tập-trung-vào-con-người (nghĩa là, gian lận danh tính), giả mạo là một chiến
thuật phổ biến của tin tặc để chống lại công nghệ. Tin tặc thường giả mạo địa
chỉ email, địa chỉ IP, địa chỉ kiểm soát truy cập phương tiện (MAC), thông tin
liên lạc Giao thức Phân giải Địa chỉ (ARP), mạng Wi-Fi, trang web, ứng dụng
điện thoại di động, v.v… Những chủ đề này và các chủ đề liên-quan-đến-giả-mạo
khác được đề cập ở những nơi khác trong quyển sách này.
Đánh cắp danh tính và gian lận danh tính cũng liên quan đến việc mạo danh.
Mạo danh là hành động sử dụng danh tính của một người nào đó. Điều này có
242 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thể được thực hiện bằng cách đăng nhập vào tài khoản của họ bằng những thông
tin đăng nhập đã bị đánh cắp hoặc tự xưng là người khác khi đang sử dụng điện
thoại. Những khái niệm này và các khái niệm mạo danh khác đã được đề cập
trước đó trong phần “Mạo danh và giả dạng”.
Là nạn nhân hiện tại hoặc trong tương lai của hành vi trộm cắp/gian lận danh
tính, bạn nên thực hiện các hành động để giảm bớt các lỗ hổng, gia tăng cơ hội
phát hiện các cuộc tấn công như vậy và cải thiện khả năng phòng thủ của mình
trước loại hành động bất công này. Để biết them thông tin về các biện pháp bảo
vệ
này,
hãy
tham
khảo
www.usa.gov/identity-theft
và
www.consumer.ftc.gov/articles /0235-identity-theftprotection-services.
Typo Squatting
Lỗi đánh máy (typo squatting) là một phương pháp được sử dụng để nắm bắt và
chuyển hướng lưu lượng truy cập khi người dùng nhập nhầm tên miền hoặc địa
chỉ IP của một tài nguyên đã định. Đây là một cuộc tấn công kỹ thuật xã hội lợi
dụng khả năng nhập sai của một người khi nhập tên miền hoặc tên miền đủ điều
kiện (FQDN) hoặc địa chỉ. Một kẻ phá hoại trang web ác ý sẽ dự đoán lỗi chính
tả URL và sau đó đăng ký những tên miền đó để chuyển hướng lưu lượng truy
cập đến trang web của chính họ. Điều này có thể được thực hiện để cạnh tranh
hoặc cho những mục đích ác ý. Các biến thể được sử dụng đối với lỗi đánh máy
bao gồm các lỗi chính tả phổ biến (chẳng hạn như googel.com), lỗi đánh máy
(chẳng hạn như gooogle.com), các bi ến thể của tên hoặc từ (ví dụ, số nhiều,
như trong googles.com) và các tê n miền cấp cấp-trên-cùng (top-level domain TLD) (chẳng hạn như google.edu).
Chiếm đoạt URL (URL hijacking) cũng có thể đề cập đến hoạt động hiển thị một
liên kết hoặc quảng cáo trông giống như một sản phẩm, dịch vụ hoặc trang web
nổi-tiếng nhưng khi được nhấp vào, sẽ chuyển hướng người dùng đến một vị trí,
dịch vụ hoặc sản phẩm khác thay thế. Việc này có thể được thực hiện bằng cách
đăng các trang (sites/pages) và khai thác tối ưu hóa công cụ tìm kiếm (SEO) để
làm cho nội dung của bạn xuất hiện cao hơn trong kết quả tìm kiếm hoặc thông
qua việc sử dụng phần mềm quảng cáo thay thế các quảng cáo và liên kết hợp
pháp với các liên kết dẫn đến các vị trí thay thế hoặc vị trí độc hại.
243 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Clickjacking là một phương tiện để chuyển hướng cú nhấp chuột hoặc lựa chọn
của người dùng trên trang web đến một mục tiêu thay thế, thường là độc hại
thay vì vị trí dự kiến và được mong muốn. Điều này có thể được thực hiện thông
qua một số kỹ thuật. Một số kỹ thuật thay đổi mã của trang web gốc để đưa vào
tập lệnh sẽ tự động thay thế URL hợp lệ bằng URL thay thế tại thời điểm cú nhấp
chuột hoặc lựa chọn xảy ra. Một phương tiện khác là bổ sung thêm một lớp phủ,
một khung hoặc bản đồ hình ảnh vô hình hoặc được ẩn trên trang đang được
hiển thị. Người dùng nhìn thấy trang gốc nhưng bất kỳ cú nhấp chuột hoặc lựa
chọn nào sẽ bị khung nổi bắt lại và chuyển hướng đến mục tiêu độc hại.
Clickjacking có thể được sử dụng để thực hiện các cuộc tấn công lừa đảo
(phishing), chiếm quyền điều khiển và tấn công trên-đường-đi.
Chiến dịch gây Ảnh hưởng
Các chiến dịch gây ảnh hưởng (influence campaigns) là các cuộc tấn công bằng
kỹ thuật xã hội nhằm hướng dẫn, điều chỉnh hoặc thay đổi quan điểm của công
chúng. Mặc dù các cuộc tấn công như vậy có thể được thực hiện bởi tin tặc
chống lại các cá nhân hoặc tổ chức nhưng hầu hết các chiến dịch gây ảnh hưởng
dường như được thực hiện bởi các quốc-gia chống lại kẻ thù nước ngoài thực sự
hoặc được họ nhận thức.
Các chiến dịch gây ảnh hưởng được liên kết với việc phát tán thông tin sai lệch,
tuyên truyền, thông tin không chính xác, “tin giả” và thậm chí cả hoạt động
doxing. Thông tin gây hiểu lầm, không đầy đủ, lừa đảo và bị thay đổi có thể
được sử dụng như một phần của chiến dịch tạo ảnh hưởng để điều chỉnh nhận
thức của người đọc và người xem đối với các khái niệm, suy nghĩ và hệ tư tưởng
của người có ảnh hưởng. Những chiến thuật này đã từng được sử dụng bởi những
kẻ xâm lược trong rất nhiều thế kỷ để khiến một người dân chống lại chính phủ
của họ. Trong thời đại thông tin kỹ thuật số hiện nay, các chiến dịch tạo ảnh
hưởng thậm chí còn dễ tiến hành hơn bao giờ hết và một số thủ phạm là người
trong nước. Các chiến dịch gây ảnh hưởng hiện đại không cần dựa vào việc phân
phối tài liệu đã được in ấn mà vẫn có thể truyền trực tiếp thông tin tuyên truyền
đến các mục tiêu.
244 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Doxing là việc thu thập thông tin về một cá nhân hoặc một tổ chức (cũng có thể
bao gồm cả các chính phủ và quân đội) để tiết lộ dữ liệu đã được thu thập một
cách công khai nhằm mục đích xâu chuỗi nhận thức của mục tiêu. Doxing có thể
bao gồm việc giữ lại thông tin mâu thuẫn với bài tường thuật đã được dự định
của kẻ tấn công. Doxing có thể bịa đặt hoặc thay đổi thông tin để đưa ra các
cáo buộc sai trái đối với mục tiêu. Thật không may, doxing là một công cụ rất
hiệu quả để chống lại các cá nhân và tổ chức được phát triển bởi tin tặc, những
người theo chủ nghĩa hacktivist, các nhà báo và chính phủ.
Cuộc chiến Hỗn hợp
Các quốc gia đã không còn giới hạn các cuộc tấn công của mình vào những kẻ
thù thực tế hoặc đã được nhận thức bằng cách sử dụng những vũ khí động năng
truyền thống. Giờ đây họ [các quốc gia] kết hợp các chiến thuật quân sự cổ điển
với những năng lực hiện đại, bao gồm kỹ thuật xã hội, các chiến dịch gây ảnh
hưởng kiểu kỹ thuật số, những nỗ lực chiến tranh tâm lý học, các chiến thuật
chính trị, và những năng lực chiến tranh mạng. Đây còn được gọi là một cuộc
chiến hỗn hợp (hybrid warfare). Một số thực thể sử dụng thuật ngữ chiến tranh
phi tuyến tính (nonlinear warfare) để chỉ khái niệm này.
Điều quan trọng là phải thừa nhận rằg các quốc gia sẽ sử dụng bất kỳ công vụ
hoặc vũ khí nào sẵn có đối với họ khi họ cảm thấy bị đe dọa hoặc quyết định họ
sẽ phải tấn công phủ đầu. Với việc sử dụng các chiến thuật chiến tranh hỗn hợp,
rủi ro cho mỗi cá nhân sẽ lớn hơn nhiều so với các trận chiến trong quá khứ.
Giờ đây, với chiến tranh mạng và các chiến dịch gây ảnh hưởng, mọi người đều
có thể bị nhắm mục tiêu và có khả năng bị tổn hại. Hãy lưu ý rằng thiệt hại
không chỉ là vật chất trong chiến tranh hỗn hợp, nó cũng có thể gây tổn hại đến
danh tiếng, tài chính, cơ sở hạ tầng kỹ thuật số và các mối quan hệ.
Để có cái nhìn thấu đáo hơn về chiến tranh hỗn hợp, hãy đọc báo cáo “Chiến
tranh Hỗn hợp” của Văn phòng Giải trình Chính phủ Hoa Kỳ (United States
Government Accountability Office) tại www.gao.gov/products/gao-10-1036.
245 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
“Cyberwrfare:
Origins,
Motivations
and
What
You
Can
Do
in
Response” (tạm dịch Chiến tranh mạng: Nguồn gốc, Động cơ và
Bạn Có thể Làm gì để Ứng phó) là một tài liệu hữu ích để bạn có
thể
xem
xét
tại
www.globalknowledge.com/us-en/resource-
library/white-papers/cyberwarfare-origins-motivations-and-whatyou-can-do-in-response.
Phương tiện truyền thông Xã hội
Phương tiện truyền thông xã hội đã trở thành một vũ khí trong tay các quốc gia
khi họ tiến hành thực hiện các phần tử của chiến tranh hỗn hợp để chống lại các
mục tiêu của họ. Trong thập kỷ vừa qua, chúng tôi đã nhận thấy bằng chứng về
việc một số quốc gia, bao gồm cả quốc gia của chúng tôi, tham gia vào các ch iến
dịch ảnh hưởng dựa-trên-phương-tiện-truyền-thông xã hội. Bạn nên nhận ra rằng
bạn không thể chỉ giả định rằng nội dung bạn đang thấy trên mạng xã hội là
chính xác, hợp lệ hoặc hoàn chỉnh. Ngay cả khi được trích dẫn bởi bạn bè của
bạn, khi được tham khảo trên các phương tiện truyền thông đại chúng, khi trông
có vẻ dường như phù hợp với kỳ vọng của chính bạn, bạn phải hoài nghi về mọi
thứ đến với bạn thông qua các thiết bị truyền thông kỹ thuật số của bạn. Việc
sử dụng và lạm dụng phương tiện truyền thông xã hội của các đối thủ nước ngoài
và trong nước đã đưa khái niệm tấn công kỹ thuật xã hội lên một cấp độ hoàn
toàn mới.
Một nguồn tuyệt vời để tìm hiểu về cách thức để không bị rơi vào
trường hợp thông tin sai lệch bị phát tán qua Internet là loạt
“Navigating Digital Information” (t ạm dịch: Điều hướng Thông tin
Kỹ
thuật
số)
trên
kênh
YouTube
CrashCourse:
www.youtube.com/playlist?list=PL8dPuuaLjXtN07XYqqWSKpPrtND
iCHTzU.
Nhân viên có thể dễ dàng lãng phí thời gian và tài nguyên hệ thống bằng cách
tương tác với phương tiện truyền thông xã hội khi nhiệm vụ đó không phải là
một phần trong bản mô tả công việc của họ. Chính sách người dùng được có thể
được chấp thuận (AUP) của công ty phải chỉ ra rằng người lao động cần tập
246 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
trung vào công việc trong khi làm việc hơn là dành thời gian cho các nhiệm vụ
cá nhân hoặc không-liên-quan-đến-công-việc.
Phương tiện truyền thông xã hội có thể là một phương tiện mà tại đó, người lao
động cố ý hoặc vô tình phân phát dữ liệu nội bộ, bí mật, độc quyền hoặc PII cho
người bên ngoài. Điều này có thể được thực hiện bằng cách nhập tin nhắn hoặc
tham gia vào các cuộc trò chuyện mà trong đó họ tiết lộ thông tin bí mật. Điều
này cũng có thể được thực hiện bằng cách phân phát hoặc xuất bản các tài liệu
nhạy cảm. Các biện pháp ứng phó với các vấn đề mạng xã hội có thể bao gồm
việc chặn truy cập vào các trang web truy ền thông xã hội bằng cách thêm khối
IP vào tường lửa và bộ lọc phân giải cho các truy vấn Hệ thống Tên Miền (DNS).
Những người lao động vi phạm cần bị khiển trách, thậm chí là chấm dứt hợp
đồng lao động.
Xác lập và Duy trì một Chương trình Nâng cao nh ận thức, Giáo
dục và Đào tạo về Bảo mật
Việc triển khai thành công một giải pháp bảo mật đòi hỏi những thay đổi trong
hành vi của người dùng. Những thay đổi này chủ yếu bao gồm những sửa đổi
trong các hoạt động công việc thường ngày để tuân theo các tiêu chuẩn, hướng
dẫn, và thủ tục bắt buộc bởi chính sách bảo mật. Điều chỉnh hành vi liên quan
đến một số cấp độ học tập của người dùng. Để phát triển và quản lý việc giáo
dục, đào tạo và nâng cao nhận thức về bảo mật, tất cả các đề mục liên quan
của việc chuyển giao kiến thức phải được xác định một cách rõ ràng và các
chương trình trình bày, công bố, điều phối và triển khai phải được tạo ra.
Nâng cao nhận thức
Điều kiện tiên quyết đối với [chương trình] đào tạo bảo mật là nâng cao nhận
thức (awareness). Mục đích của việc nâng cao nhận thức là đưa vấn đề bảo mật
lên hàng đầu và biến nó trở thành một thực thể được công nhận đối với người
dùng. Nhận thức thiết lập nên một đường cơ sở hoặc nền tảng chung về sự hiểu
biết về bảo mật trong toàn bộ tổ chức và tập trung vào các chủ đề trọng yếu
hoặc cơ bản và các vấn đề liên quan đến bảo mật mà tất cả nhân viên phải hiểu
rõ. Nhận thức không chỉ được tạo ra thông qua hình thức bài thuyết trình trong
247 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
lớp học mà còn thông qua các nhắc nhở về môi trường làm việc như áp phích,
bài báo dạng bản tin và chương trình bảo vệ màn hình.
Nâng cao nhận thức, đào tạo và giáo dục được dẫn-dắt-bởi-ngườihướng-dẫn mang đến cơ hội tốt nhất để có những phản hồi theo
thời-gian-thực từ những người tham gia.
Nhận thức thiết lập một mẫu số chung hoặc nền tảng tiêu chuẩn tối thiểu của
sự hiểu biết về bảo mật. Tất cả mọi nhân viên phải nhận thức đầy đủ về trách
nhiệm bảo mật và trách nhiệm pháp lý của họ. Họ nên được đào tạo để biết
những gì nên làm và những gì không nên làm.
Các vấn đề mà người dùng phải nhận thức được bao gồm tránh lãng phí, gian
lận và các hoạt động trái phép. Mọi thành viên của một tổ chức, từ các nhà quản
lý cấp cao đến những thực tập sinh tạm thời đều cần phải có mức độ nhận thức
như nhau. Chương trình nâng cao nhận thức trong một tổ chức nên được gắn
liền với chính sách bảo mật, kế hoạch xử-lý-sự-cố, liên tục kinh doanh và các
thủ tục khôi phục sau thảm họa. Để một chương trình nâng cao nhận thức có
hiệu quả, chương trình đó ph ải tươi mới, sáng tạo và được cập nhật thường
xuyên. Chương trình nâng cao nhận thức cũng nên gắn liền với sự hiểu biết về
cách mà văn hóa doanh nghiệp sẽ có ảnh hưởng và tác động như thế nào đến
bảo mật cho các cá nhân cũng như toàn tổ chức. Nếu nhân viên không nhận thấy
việc thực thi các chính sách và tiêu chuẩn bảo mật giữa các giám đốc điều hành
cấp-C, đặc biệt là ở cấp độ nhận thức, thì họ cũng có thể không cảm thấy bắt
buộc phải tuân theo chúng.
Đào tạo
Đào tạo là việc dạy nhân viên thực hiện nhiệm vụ công việc của họ và tuân thủ
chính sách bảo mật. Việc đào tạo thường được tổ chức bởi một tổ chức và được
nhắm mục tiêu đến các nhóm nhân viên có ch ức năng công việc tương tự. Mọi
nhân viên mới đều đòi hỏi một số cấp độ đào tạo để họ có thể tuân thủ tất cả
các tiêu chuẩn, hướng dẫn và thủ tục bắt buộc bởi chính sách bảo mật. Đào tạo
là một hoạt động liên tục phải được duy trì trong suốt thời gian tồn tại của tổ
248 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
chức đối với tất cả nhân viên. Nó được coi là một biện pháp kiểm soát bảo mật
hành chính.
Các phương pháp và kỹ thuật để trình bày nhận thức và đào tạo nên được sửa
đổi và cải tiến theo thời gian để tối đa hóa lợi ích. Điều này sẽ đòi hỏi rằng các
chỉ số đào tạo phải được thu thập và đánh giá. Các chương trình đào t ạo và
nâng cao nhận thức có thể bao gồm kiểm tra sau-học-tập cũng như giám sát đ ể
cải thiện tính nhất quán của công việc và giảm thời gian ngừng hoạt động, sự
cố bảo mật hoặc sai lầm. Đây có thể coi là một đánh giá về tính hiệu quả của
chương trình.
Nhận thức và đào tạo thường được cung cấp trong nội bộ. Điều đó có nghĩa là
những công cụ giảng dạy này được tạo ra và triển khai bởi và trong chính tổ
chức. Tuy nhiên, mức phân phối kiến thức tiếp theo thường được lấy từ một
nguồn bên-thứ-ba bên ngoài.
Giáo dục
Giáo dục là một nỗ lực chi tiết, trong đó, học viên và người dùng học được nhiều
hơn những gì họ cần biết để thực hiện nhiệm vụ công việc của mình. Giáo dục
thường được kết hợp với những người dùng đang theo đuổi chứng nhận hoặc tìm
kiếm sự thăng tiến trong công việc. Đây thường là một yêu cầu đối với nhân sự
đang tìm kiếm các vị trí bảo mật chuyên nghiệp. Một chuyên gia bảo mật đòi hỏi
những kiến thức sâu rộng về bảo mật và môi trường cục bộ cho toàn bộ tổ chức
chứ không chỉ cho các nhiệm vụ công việc cụ thể của họ.
Cải thiện
Dưới đây là những kỹ thuật để cải thiện nhận thức và đào tạo về bảo mật:
▪
Thay đổi đích nhắm mục tiêu tạp trung vào đào tạo. Đôi khi bạn muốn tập
trung vào các cá nhân, đôi khi l ại vào khách hàng, và lúc khác l ại tập
trung vào tổ chức.
▪
Thay đổi xoay quanh thứ tự của chủ đề hoặc sự nhấn mạnh, có thể tập
trung vào kỹ thuật xã hội trong một khóa đào tạo, sau đó trong lần kế
tiếp tập trung vào bảo mật thiết bị di động và sau đó là bảo mật gia đình
và du lịch.
249 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Sử dụng nhiều phương pháp trình bày khác nhau, chẳng hạn như hướng
dẫn trực-tiếp, video đã ghi hình sẵn, phần mềm máy tính/mô phỏng, trải
nghiệm thực tế ảo (virtual reality - VR), đào tạo ngoại-vi, các trang web
tương tác hoặc đọc phần được chỉ định kể cả tài liệu học tập đã được
chuẩn bị sẵn hoặc những quyển sách thương-mại (chẳng hạn như Scam Me
If You Can: Simple Strategies to Outsmart Today Ripoff Artists (tạm dịch:
Hãy Lừa Tôi Nếu Bạn Có thể: Các Chiến lược Đơn giản để Thông minh hơn
những Nghệ sĩ Lừa đảo Ngày nay), của Frank Abagnale).
▪
Sử dụng tính năng nhập-vai bằng cách cung cấp cho người tham dự những
vai trong màn tái hiện cả với tư cách là kẻ tấn công lẫn người bảo vệ,
nhưng cho phép nhiều người đưa ra ý tưởng liên quan đến việc phòng thủ
hoặc phản ứng lại các cuộc tấn công.
Phát triển và khuyến khích các nhà vô địch bảo mật (security champions). Đây
là những người dẫn đầu trong một dự án, chẳng hạn như phát triển, lãnh đạo
hoặc đào tạo, để ủng hộ, hỗ trợ và khuyến khích việc áp dụng kiến thức và thực
tiễn bảo mật thông qua lãnh đạo ngang hàng, thể hiện hành vi và khuyến khích
xã hội. Thường thì nhà vô địch bảo mật là thành viên của một nhóm, người quyết
định (hoặc được chỉ định) chịu trách nhiệm lãnh đạo việc áp dụng và tích hợp
các khái niệm bảo mật vào các hoạt động công việc của nhóm. Các nhà vô địch
bảo mật thường là những nhân viên không phải là nhân viên bảo mật, những
người đảm nhận vai trò khuyến khích những người khác hỗ trợ và áp dụng các
phương pháp và hành vi bảo mật hơn. Các nhà vô địch bảo mật thường được tìm
thấy trong phát triển phần mềm, nhưng khái niệm này có thể hữu ích cho bất kỳ
nhóm nhân viên nào trong bất kỳ bộ phận nào.
Đào tạo và nâng cao nhận thức bảo mật có thể thường được cải thiện thông qua
trò chơi hóa (gamification). Trò chơi hóa là một phương tiện để khuyến khích sự
tuân thủ và tham gia bằng cách tích hợp các thành phần phổ biến của việc chơi
trò chơi vào các hoạt động khác, chẳng hạn như tuân thủ bảo mật và thay đổi
hành vi. Điều này có thể bao gồm việc tưởng thưởng cho các hành vi tuân thủ
và hình phạt tiềm ẩn cho những hành vi vi phạm. Rất nhiều khía cạnh của chơi
trò chơi (bắt nguồn từ trò chơi bài, chơi cờ, thể thao, video, v.v…) đều có thể
được tích hợp trong việc đào tạo và áp dụng, chẳng hạn như ghi điểm, đạt thành
250 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tựu hoặc giành huy hiệu, cạnh tranh/kết hợp với những người khác, tìm kiếm
phần thưởng, phát triển các câu chuyện/trải nghiệm nhóm, và tránh những cạm
bẫy hoặc các sự kiện tiêu cực trong trò chơi. Động lực trò chơi được áp-dụngtốt có thể dẫn đến việc cải thiện sự tham gia của người lao động vào việc đào
tạo, gia tăng khả năng áp dụng các bài học của tổ chức, mở rộng khả năng hiểu
cách ứng dụng của các khái niệm, quy trình làm việc hiệu quả hơn, tích hợp
nhiều hoạt động nhóm hơn như nguồn lực cộng đồng và động não, gia tăng khả
năng lưu giữ kiến thức, và giảm sự thờ ơ của nhân viên. Ngoài trò chơi hóa,
những cách khác để cải thiện đào tạo bảo mật bao gồm các cuộc diễn tập bắtcờ, mô phỏng lừa đảo, đào tạo dựa-trên-máy-tính (CBT) và đào tạo dựa-trênvai-trò, trong số rất nhiều cách khác.
Đánh giá Hiệu quả
Một điều rất quan trọng nữa là thực hiện đánh giá nội dung định kỳ của tất cả
mọi tài liệu đào tạo. Quá trình đánh giá giúp đảm bảo rằng các tài liệu và bài
thuyết trình đào tạo phù hợp với các mục tiêu của doanh nghiệp, sứ mệnh của
tổ chức và với các mục tiêu bảo mật. Việc đánh giá định kỳ các tài liệu đào tạo
này cũng tạo cơ hội để điều chỉnh trọng tâm, bổ sung thêm/loại bỏ bớt các chủ
đề và tích hợp các kỹ thuật đào tạo mới vào bộ tài liệu học tập.
Ngoài ra, các phương pháp và kỹ thuật mới táo bạo và tinh tế để trình bày về
nhận thức và đào tạo nên được triển khai để giữ cho nội dung luôn mới mẻ và
phù hợp. Nếu không có đánh giá đ ịnh kỳ về mức độ phù hợp của nội dung, tài
liệu sẽ trở nên cũ kỹ và nhân viên có thể sẽ phải đưa ra các hướng dẫn và thủ
tục của riêng họ. Nhóm quản trị bảo mật có trách nhiệm thiết lập các quy tắc
bảo mật cũng như cung cấp các phiên đào tạo và giáo dục để tiếp tục thực hiện
các quy tắc đó.
Việc khắc phục sự cố các vấn đề về nhân sự phải bao gồm việc xác minh rằng
tất cả nhân viên đã tham gia khóa đào tạo nhận thức về các yêu cầu và hành vi
bảo mật nền tảng tiêu chuẩn, đánh giá nhật ký hoạt động và nhật ký truy cập
của người dùng, đồng thời xác định xem vi phạm là cố ý, bị ép buộc, vô tình hay
do thiếu hiểu biết.
251 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Vi phạm chính sách xảy ra khi người dùng vi phạm quy tắc. Người dùng phải
được đào tạo về các chính sách của tổ chức và biết được trách nhiệm cụ thể của
họ đối với việc tuân thủ các quy tắc bảo mật đó. Nếu vi phạm xảy ra, một cuộc
điều tra nội bộ sẽ đánh giá xem đó là một tai nạn hay một sự kiện cố ý. Nếu là
vô tình, người lao động cần được đào tạo về cách tránh tai nạn trong tương lai,
và những biện pháp đối phó mới có thể cần phải được triển khai. Nếu là có chủ
ý, mức độ nghiêm trọng của vấn đề có thể dẫn đến một loạt các phản ứng, bao
gồm đào tạo lại, bổ nhiệm lại và chấm dứt hợp đồng.
Một ví dụ về vi phạm chính sách là việc phân phối bản thông báo nội bộ của
công ty cho các đơn vị bên ngoài thông qua một bài đăng trên mạng xã hội. Tùy
thuộc vào nội dung của bản ghi nhớ, đây có thể là một vi phạm nhỏ (chẳng hạn
như đăng bản ghi nhớ do nội dung hài hước hoặc vô nghĩa theo người lao động)
hoặc một vấn đề lớn (chẳng hạn như đăng bản ghi nhớ tiết lộ bí mật công ty
hoặc thông tin cá nhân liên quan đến khách hàng).
Những vi phạm chính sách của công ty không phải lúc nào cũng là do tai nạn
hoặc sự sơ suất của người lao động, cũng không phải lúc nào chúng cũng là s ự
lựa chọn có chủ đích độc hại. Trên thực tế, rất nhiều vụ vi phạm an ninh nội bộ
của công ty là kết quả của sự thao túng có chủ đích của các bên-thứ-ba ác ý.
Đánh giá tính hiệu quả của chương trình đào tạo và nâng cao nhận thức nên
diễn ra trên cơ sở liên tục hoặc tiếp diễn. Đừng bao giờ giả định rằng chỉ vì một
nhân viên đã được đánh dấu là tham dự hoặc hoàn thành một sự kiện đào tạo
có nghĩa là họ thực tế đã học được điều gì đó hoăc s ẽ thay đ ổi được hành vi của
họ. Một số phương tiện xác minh nên được sử dụng để đo lường xem việc đào
tạo có mang lại lợi ích hay đang gây ra sự lãng phí thời gian và nguồn lực. Trong
một số trường hợp, một bản câu hỏi ngắn hoặc một bài kiểm tra có thể được
thực hiện cho người lao động ngay sau một buổi đào tạo. Một bài kiểm tra tiếp
theo nên được thực hiện từ 3 đến 6 tháng sau đó để xem liệu họ [những người
tham gia đào tạo]có giữ lại được những thông tin đã được trình bày trong khóa
đào tạo hay không. Các nhật ký sự kiện và sự cố cần được xem xét về tỷ lệ xuất
hiện các vi phạm bảo mật do các hành động và hành vi của nhân viên để xem
liệu có bất kỳ sự khác biệt đáng chú ý nào về tỷ lệ xuất hiện hoặc xu hướng của
các sự cố trước và sau khi đào tạo hay không. Việc đào tạo tốt (và nhân viên có
252 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thể dạy được) sẽ được xác nhận với sự khác biệt rõ rệt trong hành vi của người
dùng, đặc biệt là trong việc giảm thiểu các vi phạm bảo mật. Điểm số cao trong
các bài kiểm tra bảo mật tiếp theo trong nhiều tháng sau đó chứng tỏ rằng các
khái niệm bảo mật vẫn được giữ lại. Sự kết hợp của các quá trình đánh giá này
có thể giúp xác định xem liệu chương trình đào tạo hoặc nâng cao nhận thức có
hiệu quả hay không và có đang làm giảm tỷ lệ sự cố bảo mật cũng như các chi
phí quản lý và ứng phó ó liên quan hay không. Một chương trình đào tạo bảo
mật được thiết kế tốt, hấp dẫn và thành công sẽ dẫn đến việc giảm chi phí quản
lý sự cố bảo mật liên-quan-đến-nhân-viên có thể đo lường được, hy vọng sẽ vượt
xa chi phí của chính bản thân chương trình đào tạo. Do đó, đây sẽ là một lợi
nhuận đầu tư vào bảo mật tốt (return on security investment - ROSI).
Tóm tắt
Khi thiết kế và triển khai các giải pháp bảo mật, bạn cần phải bảo vệ môi trường
của bạn khỏi các mối đe dọa tiềm ẩn từ con người. Những khía cạnh của thực
tiễn tuyển dụng an toàn, định nghĩa các vai trò, thiết lập các chính sách, tuân
theo các tiêu chuẩn, đánh giá các hướng dẫn, chi tiết hóa các thủ tục, thực hiện
quản lý rủi ro, cung cấp đào tạo nâng cao nhận thức, và trau dồi hoạch định cấp
quản lý, tất cả đều đóng góp vào việc bảo vệ tài sản [của tổ chức].
Thực tiễn tuyển dụng an toàn đòi hỏi các bản mô tả công việc chi tiết. Các bản
mô tả công việc được sử dụng như một định hướng cho việc lựa chọn các ứng
viên, đánh giá họ một cách thích đáng cho một vị trí. Những trách nhiệm công
việc là những nhiệm vụ công việc cụ thể mà một nhân viên được yêu cầu thực
hiện trên cơ sở định kỳ.
Sàng lọc ứng viên tuyển dụng, kiểm tra lý lịch, kiểm tra tham chiếu, xác minh
trình độ học vấn, và xác minh sự công nhận bảo mật là những yếu tố thiết yếu
trong việc chứng minh rằng một ứng viên là thích hợp, đủ điều kiện, và đáng tin
cậy cho một vị trí bảo mật.
Quá trình giới thiệu liên quan đến việc tích hợp một nhân viên mới vào trong tổ
chức, vốn bao gồm việc xã hội hóa và định hướng tổ chức. Khi một nhân viên
mới được tuyển vào, họ nên ký một thỏa thuận/hợp đồng lao động và có khả
253 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
năng là một thỏa thuận không tiết lộ (NDA). Những tài liệu này xác định trách
nhiệm và nghĩa vụ pháp lý của mối quan hệ giữa người lao động và tổ chức.
Trong toàn bộ thời gian làm việc của nhân viên, các nhà quản lý nên xem xét
hoặc đánh giá các mô tả công việc, nhiệm vụ công việc, đặc quyền và trách
nhiệm đối với mọi nhân viên một cách thường xuyên. Đối với một số ngành nghề,
các kỳ nghỉ bắt buộc có thể là điều cần thiết. Cấu kết và các hành vi lạm dụng
đặc quyền khác có thể được giảm thiểu thông qua việc giám sát chặt chẽ các
đặc quyền.
Kết thúc là việc xóa bỏ danh tính của một nhân viên ra khỏi hệ thống IAM, hoặc
đây có thể là một phần của quá trình thuyên chuyển nhân viên sang một bộ phận
khác của tổ chức. Một chính sách chấm dứt hợp đồng là cần thiết để bảo vệ tổ
chức và những nhân viên còn lại của tổ chức. Thủ tục chấm dứt nên bao gồm
một cuộc phỏng vấn nghỉ việc, nhắc nhở về NDA, trả lại tài sản của công ty và
vô hiệu hóa quyền truy cập mạng.
Các biện pháp kiểm soát nhà cung cấp, nhà tư vấn và nhà thầu (nghĩa là SLA)
được sử dụng để xác định mức hiệu suất, kỳ vọng, bồi thường và hậu quả đối
với các thực thể, cá nhân hoặc tổ chức bên ngoài.
Tuân thủ là hành động tuân theo hoặc tuân thủ các quy tắc, chính sách, quy
định, tiêu chuẩn hoặc yêu cầu. Tuân thủ là một mối quan tâm quan trọng đối với
quản trị bảo mật.
Khi giải quyết vến đề về quyền riêng tư trong lĩnh vực CNTT, thường thì sẽ có
một hành động cân bằng giữa quyền cá nhân và quyền hạn hoặc các hoạt động
của tổ chức. Bạn phải xem xét rất nhiều vấn đề tuân thủ pháp luật và quy định
có liên quan đến quyền riêng tư.
Mục đích chính của quản lý rủi ro là để giảm thiểu rủi ro xuống mức có thể chấp
nhận được. Việc xác định mức [rủi ro có thể chấp nhận được] này phụ thuộc vào
tổ chức, giá trị tài sản và quy mô ngân sách của tổ chức đó. Phân tích/đánh giá
rủi ro là quá trình mà theo đó, việc quản lý rủi ro đạt được và bao gồm kiểm kê
tài sản, phân tích môi trường đối với các mối đe dọa và đánh giá từng rủi ro về
khả năng xảy ra và chi phí của thiệt hại do hậu quả gây ra. Ứng phó với rủi ro
254 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
là việc đánh giá chi phí của các biện pháp đối phó khác nhau đối với từng rủi ro
và tạo ra một báo cáo chi phí/lợi ích cho các biện pháp bảo vệ để trình bày cho
các nhà quản lý cấp trên.
Kỹ thuật xã hội là một hình thức tấn công khai thác bản chất con người và hành
vi của con người. Các cuộc tấn công kỹ thuật xã hội có hai hình thức chính:
thuyết phục một ai đó thực hiện một hoạt động trái phép hoặc thuyết phục một
ai đó tiết lộ thông tin bí mật. Biện pháp phòng thủ hiệu quả nhất chống lại các
cuộc tấn công kỹ thuật xã hội là giáo dục người dùng và đào tạo nâng cao nhận
thức.
Các nguyên tắc kỹ thuật xã hội phổ biến là thẩm quyền, đe dọa, đồng thuận, sự
khan hiếm, sự quen thuộc, sự tin cậy và tính khẩn cấp. Khai thác thông tin là
hoạt động thu thập hoặc tập hợp thông tin từ hệ thống hoặc con người. Các cuộc
tấn công kỹ thuật xã hội bao gồm phishing, spear phishing, xâm phạm email
doanh nghiệp (BEC), whaling, smishing, vishing, thư rác, nhìn lén qua vai, lừa
đảo hóa đơn, lừa bịp, mạo danh, giả mạo, theo đuôi, hậu thuẫn, lục lọi đồ phế
thải, gian lận danh tính, lỗi đánh máy và các chiến dịch gây ảnh hưởng.
Để một giải pháp bảo mật được triển khai thành công, hành vi của người dùng
cần phải thay đổi. Việc điều chỉnh hành vi liên quan đến một số cấp độ học tập
của người dùng. Có ba cấp độ học tập thường được công nhận: nâng cao nhận
thức, đào tạo và giáo dục.
Các chương trình đào tạo và nâng cao nhận thức tập-trung-vào-bảo-mật cần
được đánh giá lại và sửa đổi một cách thường xuyên. Một số chương trình đào
tạo và nâng cao nhận thức về bảo mật có thể được hưởng lợi từ các nhà vô địch
bảo mật hoặc trò chơi hóa.
Những điều thiết yếu cho Kỳ thi
Hiểu được rằng con người là yếu tố then chốt trong bảo mật. Con
người thường được coi là phần tử yếu nhất trong bất kỳ giải pháp bảo mật
nào. Bất kể biện pháp kiểm soát vật lý hoặc logic nào được triển khai, con
người đều có thể khám phá ra những cách thức để tránh chúng, phá vỡ
hoặc lật đổ chúng hoặc vô hiệu hóa chúng. Tuy nhiên, con ngư ời cũng có
255 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thể trở thành một tài sản bảo mật then chốt khi họ được đào tạo bài bản
và có động cơ để bảo vệ không chỉ bản thân mà còn cả tình hình bảo mật
của tổ chức.
Biết được tầm quan trọng của bản mô tả công việc. Không có mô tả
công việc sẽ không có sự thống nhất về kiểu cá nhân nên được tuyển dụng.
Do đó, việc soạn thảo bản mô tả công việc là bước đầu tiên để xác định
nhu cầu bảo mật liên quan đến nhân sự và trở nên có khả năng tìm kiếm
những nhân viên mới.
Hiểu được các tác động bảo mật của việc tuyển dụng nhân viên mới.
Để lập kế hoạch bảo mật một cách đúng đắn, bạn phải có các tiêu chuẩn
về mô tả công việc, phân loại công việc, nhiệm vụ công việc, trách nhiệm
công việc, phòng ngừa sự cấu kết, sàng lọc ứng viên, kiểm tra lý lịch, xác
minh bảo mật, thỏa thuận việc làm và thỏa thuận không tiết lộ. Bằng cách
triển khai các cơ chế như vậy, bạn đảm bảo được rằng những người mới
được tuyển dụng nhận thức được các tiêu chuẩn bảo mật bắt buộc, từ đó
bảo vệ tài sản của tổ chức bạn.
Hiểu được về giới thiệu và kết thúc. Giới thiệu là quá trình bổ sung
nhân viên mới vào tổ chức bằng cách sử dụng xã hội hóa và định hướng.
Kết thúc là việc xóa bỏ danh tính của một nhân viên ra khỏi hệ thống IAM
sau khi người đó đã rời khỏi tổ chức.
Biết được nguyên tắc đặc quyền ít nhất. Nguyên tắc về đặc quyền ít
nhất nêu rõ rằng người dùng chỉ nên được cấp quyền truy cập tối thiểu
cần thiết để họ có thể hoàn thành các nhiệm vụ công việc được yêu cầu
hoặc trách nhiệm công việc của họ.
Hiểu được sự cần thiết của một thỏa thuận không tiết lộ (NDA). NDA
được sử dụng để bảo vệ thông tin bí mật trong tổ chức không bị tiết lộ
bởi một nhân viên cũ. Khi một người ký vào NDA, họ đồng ý sẽ không tiết
lộ bất kỳ thông tin nào được xác định là bí mật cho bất kỳ ai bên ngoài tổ
chức.
256 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Biết được về sự giám sát nhân viên. Trong suốt thời gian làm việc của
nhân viên, các nhà quản lý nên thường xuyên xem xét hoặc đánh giá các
mô tả công việc, nhiệm vụ công việc, đặc quyền và trách nhiệm đối với
mọi nhân viên.
Biết được lý do tại sao các kỳ nghỉ bắt buộc là cần thiết. Các kỳ nghỉ
bắt buộc từ một đến hai tuần được sử dụng để kiểm tra và xác minh các
nhiệm vụ công việc và các đặc quyền của nhân viên. Điều này thường dẫn
đến việc dễ dàng phát hiện ra hành vi lạm dụng, gian lận hoặc sơ suất.
Biết được về UBA và UEBA. Phân tích hành vi người dùng (UBA) và phân
tích hành vi người dùng và thực thể (UEBA) là những khái niệm phân tích
hành vi của người dùng, chủ thể, khách truy cập, khách hàng, v.v… cho
một số mục tiêu hoặc mục đích cụ thể.
Hiểu được sự thuyên chuyển nhân viên. Việc thuyên chuyển nhân sự
có thể được coi là một vụ sa thải/tái tuyển dụng chứ không phải là một
đợt thuyên chuyển nhân sự đơn thuần. Điều này phụ thuộc vào chính sách
của tổ chức và các phương tiện mà họ đã xác định để quản lý tốt nhất sự
thay đổi này. Một số yếu tố giúp đưa ra quyết định sử dụng thủ tục nào
bao gồm việc tài khoản người dùng có được giữ lại hay không, giấy phép
sử dụng thông tin bí mật của họ có được điều chỉnh hay không, nếu trách
nhiệm công việc mới của họ tương tự như vị trí trước đó và liệu một tài
khoản “clean slate” cho mục đích kiểm toán ở vị trí công việc mới có cần
thiết hay không.
Có khả năng giải thích được các chính sách chấm dứt phù hợp. Một
chính sách chấm dứt xác định những thủ tục cho việc chấm dứt [hợp đồng]
một nhân viên. Nó nên bao gồm các hạng mục như luôn có nhân chứng,
vô hiệu hóa quyền truy cập mạng của nhân viên và thực hiện phỏng vấn
nghỉ việc. Chính sách chấm dứt hợp đồng cũng phải bao gồm việc hộ tống
nhân viên bị chấm dứt hợp đồng lao động ra khỏi cơ sở và yêu cầu trả lại
thẻ và huy hiệu bảo mật và tài sản của công ty.
257 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hiểu được các biện pháp kiểm soát nhà cung cấp, nhà tư vấn và nhà
thầu. Các biện pháp kiểm soát nhà cung cấp, nhà tư vấn và nhà thầu được
sử dụng để xác định mức độ hiệu suất, kỳ vọng, bồi thường và hậu quả
đối với các thực thể, cá nhân hoặc tổ chức bên ngoài t ổ chức chính. Thông
thường, các biện pháp kiểm soát này được xác định trong tài liệu hoặc
chính sách được gọi là thỏa thuận mức dịch vụ (SLA).
Hiểu được sự tuân thủ chính sách. Tuân thủ là hành động tuân theo
hoặc tuân thủ các quy tắc, chính sách, quy định, tiêu chuẩn hoặc yêu cầu.
Tuân thủ là một mối quan tâm quan trọng đối với quản trị bảo mật. Ở cấp
độ nhân sự, sự tuân thủ liên quan đến việc liệu cá nhân nhân viên có tuân
theo chính sách của công ty và thực hiện nhiệm vụ công việc của họ theo
các quy trình đã được xác định hay không.
Biết quyền riêng tư phù hợp với lĩnh vực bảo mật CNTT như thế nào.
Biết nhiều ý nghĩa/định nghĩa về quyền riêng tư, tại sao nó lại quan trọng
để bảo vệ và các vấn đề xung quanh nó, đặc biệt là trong môi trường làm
việc.
Có khả năng xác định quản lý rủi ro tổng thể. Quá trình xác định các
yếu tố có thể làm hỏng hoặc tiết lộ dữ liệu, đánh giá các yếu tố đó dựa
trên giá trị của dữ liệu và chi phí của biện pháp đối phó, và triển khai các
giải pháp hiệu-quả-về-chi-phí để giảm nhẹ hoặc giảm thiểu rủi ro được gọi
là quản lý rủi ro. Bằng cách thực hiện quản lý rủi ro, bạn đang đặt nền
tảng cho việc giảm thiểu rủi ro tổng thể.
Hiểu được quá trình phân tích rủi ro và các yếu tố chính có liên
quan. Phân tích rủi ro là quá trình mà theo đó, các nhà quản lý cấp trên
được cung cấp thông tin chi tiết để đưa ra quyết định về việc rủi ro nào
cần giảm thiểu, rủi ro nào nên được chuyển giao và rủi ro nào nên được
chấp nhận. Để đánh giá đầy đủ các rủi ro và sau đó thực hiện các biện
pháp phòng ngừa thích hợp, bạn phải phân tích các yếu tố sau: tài sản,
định giá tài sản, các mối đe dọa, các lỗ hổng, mức độ tiếp xúc [với rủi
ro], rủi ro, rủi ro đã hiện thực hóa, biện pháp bảo vệ, biện pháp đối phó,
các cuộc tấn công và vi phạm.
258 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Biết cách đánh giá các mối đe dọa. Các mối đe dọa có thể bắt nguồn
từ rất nhiều nguồn, bao gồm CNTT, con người và tự nhiên. Đánh giá mối
đe dọa nên được thực hiện như một nỗ lực của nhóm nhằm cung cấp nhiều
góc nhìn nhất. Bằng cách đánh giá các rủi ro một cách đầy đủ từ mọi góc
độ, bạn giảm thiểu được khả năng dễ bị tổn thương của hệ thống.
Hiểu được phân tích rủi ro định tính. Phân tích rủi ro định tính dựa
nhiều vào các kịch bản hơn là tính toán. Các số liệu chính xác về tiền
không được chỉ định cho các tổn thất khả dĩ, thay vào đó, các mối đe dọa
được xếp hạng trên thang điểm để đánh giá rủi ro, chi phí và ảnh hưởng
của chúng. Việc phân tích như vậy hỗ trợ những người chịu trách nhiệm
tạo ra các chính sách quản lý rủi ro phù hợp.
Hiểu kỹ thuật Delphi. Kỹ thuật Delphi chỉ đơn giản là một quá trình
phản-hồi-và-hồi-đáp ẩn danh được sử dụng để đạt được sự đồng thuận.
Sự đồng thuận như vậy cung cấp cơ hội cho các bên chịu trách nhiệm để
đánh giá đúng rủi ro và triển khai các giải pháp.
Hiểu được phân tích rủi ro định lượng. Phân tích rủi ro định lượng tập
trung vào các giá trị cứng và các tỷ lệ phần trăm. Một phân tích định
lượng hoàn chỉnh là không khả thi được vì các khía cạnh vô hình của rủi
ro. Quá trình bao gồm việc định giá tài sản và xác định các mối đe dọa,
sau đó xác định tần suất tiềm ẩn của mối đe dọa và thiệt hại có thể, dẫn
đến các nhiệm vụ ứng phó rủi ro trong phân tích chi phí/lợi ích của các
biện pháp bảo vệ.
Có thể giải thích khái niệm về hệ số tiếp xúc (EF). EF là một yếu tố
của phân tích rủi ro định lượng đại diện cho tỷ lệ phần trăm tổn thất mà
một tổ chức sẽ gặp phải nếu một tài sản cụ thể bị vi phạm bởi rủi ro đã
được nhận ra. Bằng cách tính toán các hệ số tiếp xúc, bạn sẽ có khả năng
triển khai một chính sách quản lý rủi ro hợp lý.
Biết được tổn thất đơn lẻ dự kiến (SLE) là gì và cách tính toán nó .
SLE là một phần tử của phân tích rủi ro định lượng thể hiện chi phí tương
259 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
ứng với một rủi ro thực tế duy nhất đối với một tài sản cụ thể. Công thức
là SLE = giá trị tài sản (AV) x hệ số tiếp xúc (EF).
Hiểu được tỷ lệ xuất hiện theo hàng năm (ARO). ARO là một phần tử
của phân tích rủi ro định lượng thể hiện tần suất dự kiến mà một mối đe
dọa hoặc rủi ro cụ thể sẽ xảy ra (nói cách khác, trở thành hiện thực) trong
vòng một năm. Việc hiểu rõ hơn về AROs cho phép bạn tính toán rủi ro và
thực hiện các biện pháp phòng ngừa thích hợp.
Biết được tổn thất dự kiến theo hàng năm (ALE) là gì và cách tính
toán nó. ALE là một phần tử của phân tích rủi ro định lượng đại diện cho
chi phí hàng năm có thể có của tất cả các trường hợp của một mối đe dọa
thực tế cụ thể đối với một tài sản cụ thể. Công thức là ALE = tổn thất đơn
lẻ dự kiến (SLE) x tỷ lệ xuất hiện theo hàng năm (ARO).
Biết được công thức đánh giá biện pháp bảo vệ. Ngoài việc xác định
chi phí hàng năm của biện pháp bảo vệ, bạn phải tính ALE cho tài sản nếu
biện pháp bảo vệ được triển khai. Hãy sử dụng công thức này: ALE trước
khi áp dụng biện pháp bảo vệ - ALE sau khi triển khai biện pháp bảo vệ chi phí bảo vệ hàng năm = giá trị của biện pháp bảo vệ đối với công ty,
hoặc (ALE1 - ALE2) - ACS.
Biết được các lựa chọn để xử lý rủi ro. Giảm thiểu rủi ro, hoặc giảm
nhẹ rủi ro, là việc triển khai các biện pháp bảo vệ và biện pháp đối phó.
Việc chỉ định rủi ro hoặc chuyển giao rủi ro đặt chi phí tổn thất mà rủi ro
đại diện cho một thực thể hoặc tổ chức khác. Mua bảo hiểm là một hình
thức phân bổ hoặc chuyển giao rủi ro. Ngăn chặn rủi ro là quá trình thực
hiện các biện pháp ngăn chặn đối với những kẻ vi phạm bảo mật và vi
phạm chính sách. Tránh rủi ro là quá trình lựa chọn các phương án hoặc
hoạt động thay thế có ít rủi ro liên quan hơn so với tùy chọn mặc định,
phổ biến, nhanh chóng hoặc rẻ tiền. Chấp nhận rủi ro có nghĩa là cấp quản
lý đã đánh giá phân tích chi phí/lợi ích của các biện pháp bảo vệ có thể
có và xác định rằng chi phí của biện pháp đối phó lớn hơn rất nhiều so
với chi phí tổn thất có thể xảy ra do rủi ro. Điều đó cũng có nghĩa là cấp
quản lý đã đồng ý chấp nhận hậu quả và tổn thất nếu rủi ro xảy ra.
260 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Có thể giải thích được về tổng rủi ro, rủi ro tồn dư và khoảng cách
kiểm soát. Tổng rủi ro là lượng rủi ro mà một tổ chức sẽ phải đối mặt
nếu không triển khai các biện pháp bảo vệ. Để tính toán tổng rủi ro, hãy
sử dụng công thức sau: các mối đe dọa x lỗ hổng x giá trị tài sản = tổng
rủi ro. Rủi ro tồn đọng là rủi ro mà cấp quản lý đã chọn chấp nhận thay
vì giảm thiểu. Sự khác biệt giữa tổng rủi ro và rủi ro tồn dư là khoảng
cách kiểm soát, là lượng rủi ro được giảm thiểu bằng cách triển khai các
biện pháp bảo vệ. Để tính toán rủi ro tồn dư, hãy sử dụng công thức sau:
rủi ro tổng thể - khoảng cách kiểm soát = rủi ro tồn dư.
Hiểu được các loại biện pháp kiểm soát. Thuật ngữ kiểm soát đề cập
đến một loạt các biện pháp kiểm soát thực hiện các tác vụ như đảm bảo
rằng chỉ những người dùng được cấp phép mới có thể đăng nhập và ngăn
người dùng trái phép truy cập vào tài nguyên. Các loại biện pháp kiểm
soát bao gồm phòng ngừa, ngăn chặn, thám tử, bù trừ, khắc phục, khôi
phục và chỉ thị. Các biện pháp kiểm soát cũng có thể được phân loại theo
cách chúng được triển khai: quản trị, logic hoặc vật lý.
Hiểu được đánh giá biện pháp kiểm soát bảo mật (SCA). SCA là quá
trình đánh giá chính thức các cơ chế riêng lẻ của cơ sở hạ tầng bảo mật
dựa trên đường cơ sở hoặc kỳ vọng về độ tin cậy.
Hiểu được về giám sát và đo lường tính bảo mật. Các biện pháp kiểm
soát bảo mật phải mang lại những lợi ích có thể được giám sát và đo
lường. Nếu không thể định lượng, đánh giá hoặc so sánh các lợi ích của
biện pháp kiểm soát bảo mật thì nó thực sự không cung cấp bất kỳ bảo
mật nào.
Hiểu được báo cáo rủi ro. Báo cáo rủi ro bao gồm việc tạo ra một báo
cáo rủi ro và trình bày báo cáo đó cho các bên quan tâm/có liên quan. Báo
cáo rủi ro phải chính xác, kịp thời, toàn diện về toàn bộ tổ chức, rõ ràng
và chính xác để hỗ trợ việc đưa ra quyết định và được cập nhật thường
xuyên.
261 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Biết được sự cần thiết phải cải tiến liên tục. Bảo mật luôn thay đổi.
Do đó, bất kỳ giải pháp bảo mật nào đã được triển khai đều đòi hỏi sự cập
nhật và thay đổi theo thời gian. Nếu một lộ trình cải tiến liên tục không
được cung cấp bởi một biện pháp đối phó được đã lựa chọn thì nó nên
được thay thế bằng một phương pháp mang lại những cải tiến có thể mở
rộng đối với bảo mật.
Hiểu được Mô hình Trưởng thành Rủi ro (RMM). Mô hình Trưởng thành
Rủi ro (RMM) là một phương tiện để đánh giá các chỉ số và hoạt động
chính yếu của một quá trình quản lý rủi ro trưởng thành, bền vững và có
thể lặp lại. Các cấp độ RMM bao gồm đặc biệt, sơ bộ, đã được xác định,
đã được tích hợp và đã được tối ưu hóa.
Biết được rủi ro bảo mật của hệ thống kế thừa. Các hệ thống kế thừa
thường là một mối đe dọa bởi vì chúng có thể không nhận được các bản
cập nhật bảo mật từ nhà cung cấp của chúng. End-of-life (EOL) là thời
điểm nhà sản xuất không còn sản xuất sản phẩm nữa. End-of-service-life
(EOSL) hoặc end-of-support (EOS) là những sản phẩm hoặc dịch vụ không
còn nhận được các bản cập nhật và hỗ trợ từ nhà cung cấp.
Biết được các khuôn khổ rủi ro. Khuôn khổ rủi ro là một hướng dẫn
hoặc công thức về cách thức đánh giá, giải quyết và giám sát rủi ro như
thế nào. Các ví dụ chính về khuôn khổ rủi ro được tham chiếu bởi kỳ thi
CISSP là Khuôn khổ Quản lý Rủi ro (RMF) được NIST xác định trong SP
800-37 Rev. 2. Các khuôn khổ khác bao gồm ISO/IEC 31000, ISO/IEC
31004, COSO, Risk IT, OCTAVE , FAIR và TARA.
Hiểu được kỹ thuật xã hội. Kỹ thuật xã hội là một hình thức tấn công
khai thác bản chất con người và hành vi của con người. Các nguyên tắc kỹ
thuật xã hội phổ biến là thẩm quyền, đe dọa, sự đồng thuận, sự khan
hiếm, sụ quen thuộc, độ tin cậy và tính khẩn cấp. Các cuộc tấn công như
vậy có thể được sử dụng để thu thập thông tin hoặc giành quyền truy cập
thông qua việc sử dụng tạo ra nguyên cớ và/hoặc ngụy tạo. Các cuộc tấn
công kỹ thuật xã hội bao gồm phishing, spear phishing, xâm nhập email
doanh nghiệp (BEC), whaling, smishing, vishing, thư rác, nhìn lén qua vai,
262 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
lừa đảo hóa đơn, lừa bịp, mạo danh, giả mạo, theo đuôi, hậu thuẫn, lục
lọi đồ phế thải, gian lận danh tính, lỗi đánh máy và gây ảnh hưởng đến
các chiến dịch.
Biết cách triển khai đào tạo và giáo dục nâng cao nhận thức về bảo
mật. Trước khi quá trình đào tạo thực sự có thể diễn ra, nhận thức về
bảo mật như một thực thể đã được công nhận phải được tạo ra cho người
dùng. Khi việc này đã hoàn thành, việc đào tạo hoặc giảng dạy cho nhân
viên thực hiện nhiệm vụ công việc của họ và tuân thủ chính sách bảo mật
có thể bắt đầu. Mọi nhân viên mới đều yêu cầu một số cấp độ đào tạo để
họ có thể tuân thủ tất cả các tiêu chuẩn, hướng dẫn và thủ tục do chính
sách bảo mật bắt buộc. Giáo dục là một nỗ lực chi tiết hơn, trong đó học
viên/người dùng học được nhiều hơn những gì họ thực sự cần biết để thực
hiện các nhiệm vụ công việc của họ. Giáo dục thường được liên quan đến
người dùng đang theo đuổi chứng nhận hoặc tìm kiếm việc làm.
Biết được các nhà vô địch bảo mật. Thường thì nhà vô địch bảo mật là
thành viên của một nhóm, người quyết định (hoặc được chỉ định) chịu
trách nhiệm lãnh đạo việc thông qua và tích hợp các khái niệm bảo mật
vào các hoạt động công việc của nhóm. Các nhà vô địch bảo mật thường
là những nhân viên không phải là nhân viên bảo mật, những người đảm
nhận vai trò khuyến khích những người khác hỗ trợ và áp dụng những
phương pháp và hành vi bảo mật hơn.
Hiểu về trò chơi hóa. Trò chơi hóa là một phương tiện để khuyến khích
sự tuân thủ và tham gia bằng cách tích hợp các yếu tố chung của trò chơi
vào các hoạt động khác, chẳng hạn như tuân thủ bảo mật và thay đổi hành
vi.
Biết được nhu cầu xem xét nội dung định kỳ và đánh giá hiệu quả.
Điều quan trọng là phải thực hiện đánh giá nội dung định kỳ của tất cả
các tài liệu đào tạo. Điều này nhằm đảm bảo rằng các tài liệu đào tạo và
các bài thuyết trình phù hợp với các mục tiêu kinh doanh, sứ mệnh của tổ
chức và các mục tiêu bảo mật. Một số phương tiện xác minh nên được sử
263 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
dụng để đo lường xem việc đào tạo có mang lại lợi ích hay đang gây ra
lãng phí thời gian và nguồn lực.
Bài tập Viết
1.
Hãy kể tên của 6 biện pháp kiểm soát hành chính khác nhau được sử
dụng để bảo mật nhân sự.
2.
Công thức hoặc giá trị cơ bản được sử dụng trong đánh giá rủi ro định
lượng là gì?
3.
Hãy mô tả quy trình hoặc kỹ thuật được sử dụng đ ể đạt được sự đồng
thuận ẩn danh trong quá trình đánh giá rủi ro định lượng.
4.
Hãy thảo luận về nhu cầu thực hiện một đánh giá rủi ro được cân bằng.
Những kỹ thuật có thể được sử dụng là gì và tại sao đây lại là điều
cần thiết?
5.
Các kiểu nguyên tắc kỹ thuật xã hội chính là gì?
6.
Hãy kể tên một vài kiểu hoặc phương pháp kỹ thuật xã hội.
Câu hỏi Đánh giá
1.
Bạn được giao nhiệm vụ giám sát dự án cải thiện bảo mật cho tổ chức
của bạn. Mục đích là để giảm thiểu hồ sơ rủi ro hiện tại đến một mức
thấp hơn mà không phải tiêu tốn một lượng tiền bạc đáng kể. Bạn quyết
định tập trung vào mối quan tâm lớn nhất đã được đề cập bởi CISO của
bạn. Điều nào dưới đây có khả năng là phần tử được coi là điểm yếu
nhất của tổ chức?
A. Các sản phẩm phần mềm.
B. Các kết nối Internet.
C. Các chính sách bảo mật.
D. Con người.
2.
Do việc tái cơ cấu tổ chức gần đây, CEO tin rằng nhân viên mới nên
được tuyển dụng để thực hiện các nhiệm vụ công việc cần thiết và hỗ
trợ cho sứ mệnh và mục tiêu của tổ chức. Khi tìm cách tuyển dụng nhân
viên mới, bước đầu tiên của quy trình là gì?
A. Tạo ra bản mô tả công việc.
B. Đặt ra phân loại vị trí.
C. Sàng lọc ứng viên.
264 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
D. Yêu cầu lý lịch.
3.
_________________ là quá trình bổ sung nhân viên mới vào tổ chức,
để cho họ xem xét và ký các chính sách, được giới thiệu với người quản
lý và đồng nghiệp, đồng thời được đào tạo về hoạt động của nhân viên
và hậu cần.
A. Phát hành lại.
B. Giới thiệu.
C. Kiểm tra lý lịch.
D. Khảo sát địa điểm.
4.
Sau nhiều lần đào tạo lại, một nhân viên cụ thể đã bị bắt gặp lần thứ
tư khi cố gắng truy cập vào các tài liệu không liên quan đến vị trí công
việc của họ. CSO quyết định đây là cơ hội cuối cùng và người lao động
sẽ bị sa thải. CSO nhắc bạn rằng tổ chức có một quy trình chấm dứt
chính thức cần phải được tuân thủ. Nhiệm vụ quan trọng nào sau đây
cần thực hiện trong thủ tục chấm dứt hợp đồng để giảm bớt các vấn đề
về bảo mật trong tương lai liên quan đến nhân viên cũ này?
A. Trả lại đồ đạc cá nhân của nhân viên rời đi.
B. Xem xét thỏa thuận không tiết lộ.
C. Đánh giá hiệu suất của nhân viên rời đi.
D. Hủy bỏ giấy phép đậu xe của nhân viên rời đi.
5.
Tuyên bố nào sau đây là đúng về các biện pháp kiểm soát nhà cung
cấp, nhà tư vấn và nhà thầu?
A. Sử dụng xâm phạm email doanh nghiệp (BEC) là một phương tiện để
đảm bảo rằng các tổ chức cung cấp dịch vụ duy trì một mức độ dịch
vụ phù hợp mà nhà cung cấp dịch vụ, nhà cung cấp hoặc nhà thầu
và tổ chức khách hàng đã thống nhất.
B. Thuê ngoài có thể được sử dụng như một phương án ứng phó với rủi
ro được gọi là sự chấp nhận hoặc khẩu vị [rủi ro].
C. Rủi ro nhiều bên tồn tại khi một số đơn vị hoặc tổ chức tham gia
vào một dự án. Rủi ro hoặc các mối đe dọa thường là do những khác
biệt của các mục tiêu, kỳ vọng, tiến trình, ngân sách và các ưu tiên
bảo mật của những bên có liên quan.
265 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
D. Các chiến lược quản lý rủi ro được triển khai bởi một bên không gây
thêm rủi ro đối với hoặc từ bên khác.
6.
Hãy so khớp thuật ngữ với định nghĩa của nó:
1. Tài sản.
2. Mối đe doạ.
3. Lỗ hổng.
4. Khả năng tiếp xúc.
5. Rủi ro.
I. Điểm yếu của một tài sản, hoặc sự thiếu vắng hoặc sự yếu kém
của biện pháp bảo vệ hoặc biện pháp đối phó.
II. Bất cứ thứ gì được sử dụng trong một quy trình hoặc nhiệm vụ
kinh doanh.
III. Dễ bị mất tài sản vì do mối đe dọa, có khả năng là một lỗ hổng
có thể hoặc sẽ bị khai thác.
IV. Khả năng xảy ra hoặc tiềm năng một mối đe dọa sẽ khai thác
một lỗ hổng để gây ra thiệt hại cho tài sản và mức độ nghiêm trọng
của thiệt hại có thể gây ra.
V. Bất kỳ sự kiện tiềm ẩn nào có thể gây ra kết quả không mong
muốn cho một tổ chức hoặc cho một tài sản cụ thể.
A. A. 1 - II, 2 - V, 3 - I, 4 - III, 5 - IV.
B. B. 1 - I, 2 - II, 3 - IV, 4 - II, 5 - V.
C. C. 1 - II, 2 - V, 3 - I, 4 - IV, 5 - III.
D. D. 1 - IV, 2 - V, 3 - III, 4 - II, 5 - I.
7.
Trong quá trình thực hiện phân tích rủi ro, bạn xác định được một mối
đe dọa về hỏa hoạn và một lỗ hổng của những thứ dễ cháy do không
có bình chữa cháy. Dựa trên thông tin này, điều nào dưới đây là rủi ro
có thể xảy ra?
A. Nhiễm vi rút.
B. Thiệt hại cho thiết bị.
C. Hệ thống trục trặc.
D. Truy cập trái phép đến thông tin mật.
8.
Trong cuộc họp của ban lãnh đạo công ty và nhóm bảo mật, cuộc thảo
luận đang tập trung vào việc xác định giá trị của tài sản tính bằng đô
266 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
la, kiểm kê các m ối đe dọa, dự đoán mức độ thiệt hại cụ thể của một
hành vi vi phạm và xác định số lần một mối đe dọa có thể gây ra thiệt
hại cho công ty. năm. Những gì đang được thực hiện?
A. Đánh giá rủi ro định tính.
B. Kỹ thuật Delphi.
C. Tránh rủi ro.
D. Đánh giá rủi ro định lượng.
9.
Bạn đã thực hiện đánh giá rủi ro và xác định các mối đe dọa thể hiện
mối quan tâm đáng kể nhất đối với tổ chức của bạn. Khi đánh giá các
biện pháp bảo vệ, quy tắc nào cần được tuân thủ trong hầu hết các
trường hợp?
A. Chi phí tổn thất tài sản dự kiến hàng năm không được vượt quá chi
phí hàng năm của các biện pháp bảo vệ.
B. Chi phí hàng năm cho các bi ện pháp bảo vệ phải bằng giá trị của tài
sản.
C. Chi phí hàng năm cho các biện pháp bảo vệ không được vượt quá
chi phí tổn thất giá trị tài sản dự kiến hàng năm.
D. Chi phí hàng năm cho các biện pháp bảo vệ không được vượt quá
10% ngân sách dành cho bảo mật.
10.
Trong một dự án quản lý rủi ro, việc đánh giá một số biện pháp kiểm
soát xác định được rằng không có biện pháp nào là hiệu quả về chi phí
trong việc giảm rủi ro liên quan đến một tài sản quan trọng cụ thể.
Biện pháp ứng phó rủi ro nào đang được thể hiện qua tình huống này?
A. Giảm nhẹ.
B. Bỏ qua.
C. Chấp nhận.
D. Chuyển giao.
11.
Trong quá trình đánh giá hàng năm về cơ sở hạ tầng bảo mật đã được
triển khai của công ty, bạn đã đánh giá lại từng lựa chọn kiểm soát bảo
mật. Giá trị của biện pháp bảo vệ đối với một công ty được tính như
thế nào?
A. ALE trước khi triển khai biện pháp bảo vệ - ALE sau khi triển khai
biện pháp bảo vệ - chi phí bảo vệ hàng năm.
267 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
B. ALE trước khi triển khai biện pháp bảo vệ x ARO của biện pháp bảo
vệ.
C. ALE sau khi triển khai biện pháp bảo vệ + chi phí bảo vệ hàng năm
- khoảng cách kiểm soát.
D. Tổng rủi ro - khoảng cách kiểm soát.
12.
Định nghĩa nào sau đây là hợp lệ đối với rủi ro? (Hãy chọn tất cả các
đáp án đúng).
A. Đánh giá xác suất, khả năng hoặc cơ hội.
B. Bất kỳ điều gì loại bỏ lỗ hổng hoặc bảo vệ chống lại một hoặc nhiều
mối đe dọa cụ thể.
C. Rủi ro = mối đe dọa x lỗ hổng.
D. Mọi trường hợp phơi nhiễm.
E. Sự hiện diện của một lỗ hổng khi một mối đe dọa liên quan tồn tại.
13.
Một ứng dụng web mới đã được cài đặt trên máy chủ web công cộng
của công ty vào tuần trước. Trong thời gian cuối tuần qua, một tin tặc
độc hại đã có thể khai thác mã web mới và giành quyền truy cập vào
các tập tin dữ liệu được lưu trữ trên hệ thống. Đây là một ví dụ về vấn
đề gì?
A. Rủi ro cố hữu.
B. Ma trận rủi ro.
C. Đánh giá định tính.
D. Rủi ro tồn dư.
14.
Tổ chức của bạn đang thu hút một đối tác kinh doanh mới. Trong các
cuộc đàm phán, bên kia xác đ ịnh một số yêu cầu về bảo mật của tổ
chức bạn phải đáp ứng trước khi ký kết SLA và thỏa thuận đối tác kinh
doanh (business partner agreement - BPA). Một trong số các yêu cầu
là tổ chức của bạn phải chứng minh mức độ thành tích của họ trên Mô
hình Trưởng thành Rủi ro (RMM). Yêu cầu cụ thể là một khuôn khổ rủi
ro chung hoặc đã được tiêu chuẩn hóa phải được áp dụng trong toàn
bộ tổ chức. Tổ chức của bạn đang được yêu cầu đáp ứng cấp độ nào
trong số năm cấp độ RMM có thể có?
A. Sơ bộ.
B. Đã được tích hợp.
268 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C. Đã được xác định.
D. Đã được tối ưu hóa.
15.
Khuôn khổ Quản lý Rủi ro (RMF) cung cấp một quy trình có kỷ luật, có
cấu trúc và linh hoạt để quản lý rủi ro về bảo mật và quyền riêng tư
bao gồm phân loại bảo mật thông tin, lựa chọn, triển khai và đánh giá
biện pháp kiểm soát, cấp phép hệ thống và biện pháp kiểm soát chung
và giám sát liên tục. RMF có bảy bước hoặc giai đoạn. Giai đoạn nào
của RMF tập trung vào việc xác định xem liệu hệ thống hoặc các biện
pháp kiểm soát chung dựa trên việc xác định rằng rủi ro đối với hoạt
động của tổ chức, và với tài sản, cá nhân, tổ chức khác và quốc gia là
hợp lý?
A. Phân loại.
B. Cấp phép.
C. Đánh giá.
D. Giám sát.
16.
Dữ liệu độc quyền của công ty bị tiết lộ trên phương tiện truyền thông
xã hội công khai do CEO đăng tải. Khi điều tra, một lượng đáng kể các
email tương tự đã được phát hiện đã được gửi cho các nhân viên, bao
gồm các liên kết đến những trang web độc hại. Một số nhân viên báo
cáo rằng họ cũng đã nhận được các tin nhắn tương tự đến tài khoản
email cá nhân của họ. Những biện pháp cải tiến nào công ty nên triển
khai để giải quyết vấn đề này? (Hãy chọn hai đáp án).
A. Triển khai tường lửa ứng dụng web.
B. Chặn quyền truy cập vào email cá nhân từ mạng công ty.
C. Cập nhật máy chủ email của công ty.
D. Thực hiện xác thực đa yếu tố (MFA) trên máy chủ email của công
ty.
E. Thực hiện đánh giá quyền truy cập của tất cả các tập tin của công
ty.
F. Cấm truy cập mạng xã hội trên thiết bị của công ty.
17.
Quy trình hoặc sự kiện nào thường được tổ chức bởi một tổ chức và
được nhắm mục tiêu đến các nhóm nhân viên có chức năng công việc
tương tự nhau?
269 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
A. Giáo dục.
B. Nâng cao nhận thức.
C. Đào tạo.
D. Chấm dứt.
18.
Điều nào dưới đây có thể được phân loại là một hình thức tấn công kỹ
thuật xã hội? (Hãy chọn tất cả các đáp án đúng).
A. Một người dùng đăng nhập vào máy trạm của họ và sau đó quyết
định lấy một lon nước ngọt từ máy bán hàng tự động ở cầu thang.
Ngay sau khi người dùng rời khỏi máy trạm của họ, một người khác
ngồi xuống bàn của họ và sao chép tất cả các tập tin từ một thư
mục cục bộ vào một mạng chia sẻ.
B. Bạn nhận được một email cảnh báo về một loại vi-rút mới nguy hiểm
đang lây lan trên Internet. Thông báo cho bạn biết hãy tìm một tập
tin cụ thể trên ổ cứng của bạn và xóa nó đi vì nó cho biết sự hiện
diện của vi-rút.
C. Một trang web tuyên bố cung cấp quyền truy cập tạm thời miễn phí
vào các sản phẩm và dịch vụ của họ nhưng yêu cầu bạn thay đổi cấu
hình của trình duyệt web và/hoặc tường lửa để tải xuống phần mềm
truy cập.
D. Một thư ký nhận được điện thoại từ một người tự xưng là khách
hàng đến muộn để gặp CEO. Người gọi yêu cầu số điện thoại di động
riêng của CEO để họ có thể gọi cho CEO.
19.
Thông thường thì _____________ là thành viên c ủa nhóm quyết định
(hoặc được chỉ định) chịu trách nhiệm dẫn dắt việc áp dụng và tích hợp
các
khái
niệm
bảo
mật
vào
các
hoạt
động
công
việc
của
nhóm.
_____________ thường là những nhân viên không phải là nhân viên
bảo mật, những người đảm nhận vai trò khuyến khích những người khác
hỗ trợ và áp dụng các biện pháp và hành vi bảo mật hơn.
A. (Các) CISO.
B. (Các) nhà vô địch bảo mật.
C. (Các) kiểm toán viên bảo mật.
D. (Các) người giám sát.
270 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
20.
CSO đã bày tỏ lo ngại rằng sau nhiều năm các chương trình đào tạo và
nâng cao nhận thức về bảo mật, mức độ vi phạm bảo mật nhỏ đã thực
sự gia tăng. Một thành viên mới của nhóm bảo mật đã xem xét các tài
liệu đào tạo và nhận thấy rằng nó đã được tạo ra cách đây 4 năm. Họ
đề xuất rằng các tài liệu cần được sửa đổi để trở nên hấp dẫn hơn và
bao gồm các yếu tố cho phép khả năng được công nhận, hợp tác với
đồng nghiệp và cố gắng hướng tới một mục tiêu chung. Họ tuyên bố
những nỗ lực này sẽ cải thiện việc tuân thủ bảo mật và thúc đẩy thay
đổi hành vi bảo mật. Phương pháp tiếp cận đang được khuyến nghị là
gì?
A. Đánh giá hiệu quả chương trình.
B. Giới thiệu.
C. Thực thi tuân thủ.
D. Trò chơi hóa.
271 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C h ư ơn g 3
H o ạ c h đ ịn h L iê n t ụ c K in h d oa n h
CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM:
✓
Lĩnh vực 1.0: Bảo mật và Quản lý Rủi ro
▪
1.8 Xác định, phân tích, và ưu tiên các yêu c ầu Liên tục Kinh doanh
(BC)
✓
▪
1.8.1 Phân tích Tác động Kinh doanh (BIA)
▪
1.8.2 Phát triển và lập thành văn bản về phạm vi và kế hoạch
Lĩnh vực 7.0: Vận hành Bảo mật
▪
7.13 Tham gia vào hoạch định và kiểm tra Liên tục Kinh doanh (BC)
272 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bất kể những dự định tốt nhất của chúng ta là gì thì những
thảm họa dù là dưới hình thức này hay hình thức khác cuối cùng vẫn tấn công
mọi tổ chức. Cho dù đó là thảm họa tự nhiên như các cơn bão, động đất, đại
dịch hay tai họa do con người gây ra như cháy tòa nhà, vỡ ống nước hay khủng
hoảng kinh tế, mọi tổ chức đều sẽ gặp phải những sự kiện đe dọa hoạt động
hoặc thậm chí là sự tồn tại của họ.
Các tổ chức có khả năng phục hồi đều có những kế hoạch và thủ tục để giúp
giảm thiểu tác động của một thảm họa đối với việc tiếp tục hoạt động của mình
và để tăng tốc độ trở lại hoạt động bình thường. Việc nhận thức được tầm quan
trọng của việc lập kế hoạch cho hoạt động liên tục kinh doanh (business
continuity - BC) và khôi phục sau thảm họa (disaster recovery - DR), Hiệp hội
Chứng nhận Bảo mật Hệ thống Thông tin Quốc tế (ISC)2 đã đưa hai quy trình
này vào trong số các mục tiêu của chương trình CISSP. Kiến thức về những chủ
đề cơ bản này sẽ giúp bạn chuẩn bị cho kỳ thi và giúp bạn chuẩn bị tổ chức của
mình cho những điều bất ngờ.
Trong chương này, chúng ta sẽ khám phá các khái niệm đằng sau việc hoạch
định liên tục kinh doanh (BCP). Chương 18, “ Hoạch định Khôi phục sau Thảm
họa”, sẽ tiếp tục thảo luận và đi sâu vào các chi tiết cụ thể của các biện pháp
kiểm soát kỹ thuật mà các tổ chức có thể áp dụng để khôi phục hoạt động một
cách nhanh nhất có thể sau khi thảm họa xảy ra.
Hoạch định Liên tục Kinh doanh
Hoạch định liên tục kinh doanh (BCP) liên quan đến việc đánh giá những rủi ro
đối với các quy trình của tổ chức và việc tạo ra các chính sách, kế hoạch và thủ
tục để giảm thiểu tác động của những rủi ro đó có thể có đối với tổ chức nếu
chúng xảy ra. BCP được sử dụng để duy trì hoạt động liên tục của một doanh
273 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nghiệp trong tình huống khẩn cấp. Mục đích của nhà hoạch định BCP là để triển
khai một sự kết hợp của các chính sách, thủ tục, và quy trình sao cho một sự
kiện có khả năng gây ra gián đoạn càng có ít ảnh hưởng đến hoạt động kinh
doanh càng tốt.
BCP tập trung vào việc duy trì hoạt động kinh doanh với những năng lực hoặc
nguồn lực cơ sở hạ tầng bị sụt giảm hoặc bị giới hạn. Miễn là tính liên tục của
khả năng của tổ chức để thực hiện những tác vụ công việc tối-quan-trọng-vớisứ-mệnh vẫn được duy trì, BCP vẫn có thể được sử dụng để quản lý và khôi phục
môi trường [hoạt động].
Hoạch định Liên tục Kinh doanh so với Hoạch định Khôi phục sau Thảm họa
Các thí sinh CISSP thường bị nhầm lẫn về sự khác biệt giữa hoạch định liên tục
kinh doanh (BCP) và hoạch định khôi phục sau thảm họa (DRP). Họ có thể cố gắng
sắp xếp chúng theo một thứ tự cụ thể hoặc vạch ra một ranh giới chắc chắn giữa
hai hoạt động. Thực tế của tình hình là những ranh giới này rất mờ nhạt trong
đời thực và không cho phép chúng ta phân loại gọn gàng và rõ ràng. Sự khác biệt
giữa hai hoạt động này là về những quan điểm. Cả hai hoạt động đều giúp tổ chức
chuẩn bị cho một thảm họa. Chúng đều có ý định giữ cho vận hành liên tục, khi
có thể, và khôi phục các chức năng càng nhanh càng tốt nếu xảy ra sự gián đoạn.
Sự khác biệt về quan điểm là các hoạt động liên tục kinh doanh thường được tập
trung về mặt chiến lược ở cấp độ cao và hướng trọng tâm của chính bản thân
chúng vào các quy trình và hoạt động kinh doanh. Các kế hoạch khôi phục sau
thảm họa có xu hướng mang tính chiến thuật cao hơn và mô tả các hoạt động kỹ
thuật chẳng hạn như địa điểm khôi phục, sao lưu và khả năng chịu lỗi.
Trong bất kỳ trường hợp nào, đừng quá lo lắng về sự khác biệt giữa hai hoạt động
này. Chúng tôi vẫn chưa thấy một câu hỏi kiểm tra buộc bất kỳ ai phải vạch ra
một đường thẳng giữa hai hoạt động [hàm ý phân biệt một cách rạch ròi giữa hai
hoạt động – người dịch]. Điều quan trọng hơn là bạn phải hiểu được các quy trình
và công nghệ liên quan đến hai lĩnh vực có liên quan này.
Bạn sẽ tìm hiểu thêm về hoạch định khôi phục sau thảm họa trong Chương 18.
274 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mục đích tổng thể của BCP là để cung cấp một biện pháp ứng phó nhanh chóng,
bình tĩnh và hiệu quả trong một tình huống khẩn cấp và để tăng cường năng lực
của một công ty để khôi phục lại một cách nhanh chóng sau một sự kiện thảm
họa. Quy trình BCP có 4 bước chính:
▪
Xác định phạm vi và hoạch định dự án,
▪
Phân tích tác động kinh doanh,
▪
Hoạch định liên tục,
▪
Phê duyệt và triển khai.
Bốn phần tiếp sau đây của chương này đề cập chi tiết đến từng giai đoạn. Phần
cuối cùng của chương sẽ giới thiệu một vài trong s ố các phần tử tối quan trọng
mà bạn nên cân nhắc khi biên soạn tài liệu về kế hoạch liên tục kinh doanh cho
tổ chức của bạn.
Ưu tiên hàng đầu của BCP và DRP luôn luôn là con người. Mối
quan tâm hàng đầu là việc đưa con người ra khỏi con đường thiệt
hại, sau đó bạn có thể giải quyết các vấn đề về khôi phục và phục
hồi CNTT.
Xác định Phạm vi và Hoạch định Dự án
Cũng như với bất kỳ quy trình nghiệp vụ chính thức nào khác, sự phát triển của
một kế hoạch liên tục kinh doanh có khả năng phục hồi đòi hỏi việc sử dụng một
phương pháp luận đã được chứng minh. Các tổ chức nên tiếp cận quy trình hoạch
định với một vài mục đích cần phải lưu tâm:
▪
Thực hiện một đánh giá có cấu trúc về tổ chức của doanh nghiệp từ quan
điểm hoạch định xử lý khủng hoảng.
▪
Tạo ra một nhóm BCP với sự phê duyệt từ các nhà quản lý cấp cao.
▪
Đánh giá nguồn tài nguyên sẵn có để tham gia vào các hoạt động liên tục
kinh doanh.
▪
Phân tích bối cảnh pháp lý và quy định đang chi phối biện pháp ứng phó
của một tổ chức với sự kiện thảm khốc.
Quy trình chính xác mà bạn sử dụng sẽ phụ thuộc vào quy mô và bản chất của
tổ chức của bạn và lĩnh vực kinh doanh của nó. Sẽ không có một hướng dẫn
275 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
“phù-hợp-cho-tất-cả” đối với hoạch định dự án liên tục kinh doanh. Bạn nên
tham vấn các chuyên gia hoạch định dự án trong tổ chức của bạn và xác định
phương pháp tiếp cận sẽ hoạt động tốt nhât trong phạm vi văn hóa của tổ chức
của bạn.
Mục đích của giai đoạn này là để đảm bảo rằng tổ chức dành đủ thời gian và sự
quan tâm cho cả việc phát triển phạm vi dự án và lập kế hoạch và sau đó lập
thành tài liệu những hoạt động này để tham chiếu trong tương lai.
Đánh giá Tổ chức
Một trong những trách nhiệm đầu tiên của các cá nhân chịu trách nhiệm cho việc
hoạch định liên tục kinh doanh là thực hiện phân tích tổ chức kinh doanh để xác
định tất cả các bộ phận và cá nhân tham gia vào trong quá trình BCP. Dưới đây
là một số lĩnh vực cần phải xem xét:
▪
Các bộ phận vận hành chịu trách nhiệm về các dịch vụ cốt lõi mà doanh
nghiệp cung cấp cho khách hàng của mình.
▪
Các dịch vụ hỗ trợ quan trọng, chẳng hạn như bộ phận CNTT, cơ sở vật
chất và nhân viên bảo trì, và các nhóm khác chịu trách nhiệm duy trì các
hệ thống để hỗ trợ cho các bộ phận vận hành.
▪
Các đội an ninh của công ty chịu trách nhiệm an ninh về mặt vật lý, vì họ
thường luôn là những người phản ứng đầu tiên đối với một sự cố và cũng
chịu trách nhiệm bảo vệ về mặt vật lý của cơ sở chính và cơ sở xử lý thay
thế.
▪
Các giám đốc điều hành cấp cao và các cá nhân chủ chốt khác cần thiết
cho sự tồn tại liên tục của tổ chức.
Quá trình xác định này rất quan trọng vì hai lý do. Đầu tiên, nó cung cấp cơ sở
nền tảng cần thiết để giúp xác định các thành viên tiềm năng của nhóm BCP
(hãy xem phần tiếp theo). Thứ hai, nó xây dựng nền tảng cho phần còn lại của
quy trình BCP.
Thông thường, các cá nhân dẫn dắt nỗ lực BCP thực hiện phân tích tổ chức kinh
doanh. Một số tổ chức sử dụng một nhà quản lý liên tục kinh doanh chuyên biệt
để lãnh đạo những nỗ lực này, trong khi những tổ chức khác coi đó là trách
276 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nhiệm bán-thời-gian cho một nhà lãnh đạo CNTT khác. Một trong hai phương
pháp tiếp cận đều có thể chấp nhận được vì kết quả đầu ra của quá trình phân
tích thường định hướng việc lựa chọn các thành viên còn lại của nhóm BCP. Tuy
nhiên, việc xem xét kỹ lưỡng phân tích này nên là m ột trong những nhiệm vụ
đầu tiên được giao cho nhóm BCP đầy đủ khi nhóm này được triệu tập. Đây là
bước rất quan trọng vì các cá nhân thực hiện phân tích ban đầu có thể đã bỏ
qua các chức năng nghiệp vụ quan trọng mà các thành viên trong nhóm BCP đ ại
diện cho các bộ phận khác của tổ chức nắm được. Nếu nhóm vẫn tiếp tục mà
không sửa đổi phân tích tổ chức, toàn bộ quy trình BCP có thể bị ảnh hưởng một
cách tiêu cực, dẫn đến việc phát triển một kế hoạch không giải quyết hoàn toàn
các nhu cầu ứng-phó-tình-huống-khẩn-cấp của toàn thể tổ chức nói chung.
Khi phát triển một kế hoạch liên tục kinh doanh, hãy chắc chắn
rằng bạn đã cân nhắc vị trí của cả trụ sở chính và các văn phòng
chi nhánh của bạn. Kế hoạch nên tính đến một thảm họa xảy ra
tại bất kỳ vị trí nào, nơi mà tổ chức của bạn đang tiến hành công
việc kinh doanh của mình, bao gồm cả những vị trí vật lý của riêng
bạn và những vị trí của nhà cung cấp dịch vụ đám mây của bạn.
Lựa chọn Nhóm BCP
Trong một số tổ chức, bộ phận CNTT và/hoặc bộ phận bảo mật chịu trách nhiệm
duy nhất về việc hoạch định liên tục kinh doanh và không có bộ phận hỗ trợ
hoặc vận hành nào khác cung cấp đầu vào. Những bộ phận đó thậm chí có thể
còn không biết về sự tồn tại của kế hoạch cho đến khi một thảm họa xảy ra
trước mắt hoặc thực sự xảy ra với tổ chức. Đây là một lỗ hổng nghiêm trọng! Sự
phát triển bị cô lập của một kế hoạch liên tục kinh doanh có thể dẫn đến thảm
họa theo hai cách. Thứ nhất, chính bản thân kế hoạch có thể đã không tính đến
kiến thức chỉ được sở hữu bởi các cá nhân chịu trách nhiệm về hoạt động hàngngày của doanh nghiệp. Thứ hai, nó giữ cho các yếu tố vận hành “nằm trong
bóng tối” đối với các chi tiết cụ thể của kế hoạch cho đến khi việc triển khai trở
nên cần thiết. Hai yếu tố này có thể dẫn đến việc các đơn vị [trong doanh
nghiệp] không đồng ý với các quy định của kế hoạch và không triển khai nó một
277 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
cách đúng đắn. Họ cũng từ chối các tổ chức những lợi ích đạt được từ một
chương trình đào tạo và kiểm tra có cấu trúc đối với kế hoạch.
Để ngăn chặn những tình huống này gây ra ảnh hưởng xấu đến quá trình BCP,
các cá nhân chịu trách nhiệm về nỗ lực này nên đặc biệt lưu ý khi lựa chọn nhóm
BCP. Nhóm [BCP] tối thiểu phải bao gồm các cá nhân sau:
▪
Đại diện từ mỗi bộ phận của tổ chức chịu trách nhiệm về các dịch vụ cốt
lõi được thực hiện bởi việc kinh doanh [của tổ chức].
▪
Các thành viên trong nhóm đơn vị kinh doanh từ các khu vực chức năng
được xác định bởi phân tích tổ chức
▪
Các chuyên-gia-về-chủ-đề CNTT với chuyên môn kỹ thuật trong các lĩnh
vực được bao hàm bởi BCP
▪
Các thành viên trong nhóm an ninh m ạng có kiến thức về quy trình BCP.
▪
Đội ngũ quản lý cơ sở vật chất và an ninh về mặt vật lý chịu trách nhiệm
về nhà máy vật lý.
▪
Các luật sư quen thuộc với các trách nhiệm pháp lý, quy định và hợp đồng
của công ty.
▪
Các thành viên trong nhóm nhân s ự có thể giải quyết các vấn đề về nhân
sự và tác động đối với cá nhân các nhân viên.
▪
Các thành viên trong nhóm quan hệ công chúng, những người cần tiến
hành lập kế hoạch tương tự về cách thức họ sẽ giao tiếp với các bên liên
quan và công chúng trong trường hợp xảy ra sự gián đoạn như thế nào.
▪
Đại diện cho các nhà quản lý cấp cao với khả năng xác lập tầm nhìn, xác
định ưu tiên và phân bổ nguồn lực.
Mẹo để Lựa chọn một Nhóm BCP Hiệu quả
Hãy lựa chọn nhóm của bạn một cách cẩn trọng. Bạn cần phải cân bằng giữa
việc thể hiện các quan điểm khác biệt và việc tạo ra một nhóm với những khác
biệt về tính cách cá nhân bùng nổ. Mục đích của bạn nên là tạo ra một nhóm
càng đa dạng càng tốt nhưng vẫn hoạt động hài hòa với nhau.
278 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hãy dành thời gian để suy nghĩ về tư cách thành viên của nhóm BCP và ai sẽ
thích hợp với môi trường kỹ thuật, tài chính và chính trị của tổ chức của bạn.
Bạn nên đưa thành viên nào vào trong nhóm?
Mỗi thành viên của nhóm mang lại một quan điểm độc đáo cho quy trình BCP và
cũng sẽ có những định kiến cá nhân. Ví dụ, các đại diện từ bộ phận vận hành sẽ
thường coi bộ phận của họ là quan trọng nhất đối với khả năng tiếp tục tồn tại
của tổ chức. Mặc dù những thành kiến này thoạt đầu trông có vẻ gây ra sự chia
rẽ, người dẫn dắt nỗ lực BCP nên nắm lấy chúng và khai thác chúng một cách có
hiệu quả. Nếu được sử dụng hiệu quả, các thành kiến sẽ giúp đạt được sự cân
bằng lành mạnh trong kế hoạch cuối cùng khi mỗi người đại diện ủng hộ cho các
nhu cầu của bộ phận của họ. Mặt khác, nếu không có sự lãnh đạo hiệu quả,
những thành kiến này có thể biến thành những cuộc chiến tàn phá trên sân cỏ,
làm mất trật tự nỗ lực BCP và gây hại cho toàn bộ tổ chức.
Các Nhà quản lý Cấp cao và BCP
Vai trò của các nhà quản lý cấp cao trong quá trình BCP rất khác nhau giữa
các tổ chức. Nó phụ thuộc vào văn hóa của doanh nghiệp, sự quan tâm của
các cấp quản lý đối với kế hoạch và vào môi trường pháp lý. Những vai trò
quan trọng của các nhà quản lý cấp cao thường bao gồm thiết lập các ưu tiên,
cung cấp nhân viên và nguồn lực tài chính, và phân xử các tranh chấp về mức
độ quan trọng (tức là tầm quan trọng tương đối) của các dịch vụ.
Một trong số các tác giả gần đây đã hoàn thành một công việc tư vấn BCP với
một tổ chức phi-lợi-nhuận lớn. Khi bắt đầu tham gia, anh ấy đã có cơ hội ngồi
lại với một trong những giám đốc điều hành cấp cao của tổ chức để cùng nhau
thảo luận về những mục đích và mục tiêu của anh ấy cho công việc của họ.
Trong cuộc họp đó, giám đốc điều hành cấp cao đã hỏi nhà tư vấn, “Có điều
gì bạn cần ở tôi để hoàn thành cam kết này không?”
Giám đốc điều hành cấp cao chắc hẳn đã mong đợi một phản hồi mang tính
chiếu lệ vì đôi mắt của ông ta đã mở to khi nhà tư vấn nói, “Chà, thực tế là
279 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
vậy …” Sau đó, giám đốc điều hành đã biết được rằng sự tham gia tích cực
của ông ấy vào quá trình này là rất quan trọng cho sự thành công của nó.
Khi lập kế hoạch kinh doanh liên tục, trưởng nhóm BCP phải tìm kiếm và đạt
được vai trò tích cực nhất có thể từ một giám đốc điều hành cấp cao. Sự hỗ
trợ từ cấp-cao tường minh sẽ truyền tải tầm quan trọng của quy trình BCP đối
với toàn bộ tổ chức. Nó cũng khuyến khích sự tham gia tích cực của những cá
nhân, những người có thể cho rằng việc viết BCP làm lãng phí thời gian mà họ
có thể dành cho các hoạt động vận hành khác. Hơn nữa, các luật lệ và quy
định có thể đòi hỏi sự tham gia tích cực của các lãnh đạo cấp cao đó vào quá
trình hoạch định. Nếu bạn làm việc cho một công ty niêm yết công khai [trên
thị trường chứng khoán], bạn có thể muốn nhắc nhở các giám đốc điều hành
rằng các tòa án có thể yêu cầu các quan chức và các giám đốc của công ty đó
phải chịu trách nhiệm pháp lý cá nhân nếu một thảm họa gây tê liệt doanh
nghiệp sau khi họ đã không thực hiện trách nhiệm giải trình [của họ] trong kế
hoạch dự phòng của doanh nghiệp.
Bạn cũng có thể phải thuyết phục ban giám đốc rằng khoản chi tiêu cho BCP
và DRP không phải là chi phí tùy ý. Trách nhiệm ủy thác của các cấp quản lý
đối với các cổ đông của tổ chức đòi hỏi họ ít nhất phải đảm bảo rằng các biện
pháp BCP thích hợp được áp dụng.
Trong trường hợp tham gia vào quá trình BCP này [của một trong số các tác
giả], giám đốc điều hành thừa nhận tầm quan trọng của sự hỗ trợ của mình và
đã đồng ý tham gia. Ông ấy đã gửi một email đến tất cả nhân viên để giới
thiệu về nỗ lực [BCP] và nói rằng ông ấy sẽ dành sự ủng hộ hết mình. Ông
cũng đã tham dự một số buổi lập kế hoạch cấp-cao và đề cập đến nỗ lực trong
một cuộc họp toàn-bộ-tổ-chức theo kiểu “tòa thị chính” (town hall meeting).
Các Yêu cầu về Tài nguyên
Sau khi nhóm xác minh được quá trình đánh giá t ổ chức, họ nên chuyển sang
đánh giá các nguồn lực cần thiết cho nỗ lực BCP. Quá trình đánh giá này liên
quan đến các nguồn lực cần thiết cho ba giai đoạn BCP riêng biệt:
Phát triển BCP Nhóm BCP sẽ đòi hỏi một số nguồn lực để thực hiện bốn
thành phần của quá trình BCP (xác định phạm vi và hoạch định dự án,
280 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
phân tích tác động kinh doanh, lập kế hoạch liên tục, phê duyệt và triển
khai). Nhiều khả năng nguồn lực chính đã tiêu tốn trong giai đoạn BCP
này sẽ là nỗ lực của các thành viên trong nhóm BCP và nhân viên h ỗ trợ
mà họ yêu cầu để hỗ trợ cho việc phát triển kế hoạch.
Kiểm tra, đào tạo và duy trì BCP Giai đoạn kiểm tra, đào tạo và duy trì
của BCP sẽ đòi hỏi một số cam kết về phần cứng và phần mềm. Tuy nhiên,
một lần nữa, cam kết chính trong giai đoạn này sẽ là nỗ lực của các nhân
viên tham gia vào các hoạt động đó.
Triển khai BCP Khi một thảm họa xảy ra và nhóm BCP cho r ằng cần phải
triển khai toàn-diện kế hoạch liên tục kinh doanh, việc triển khai sẽ đòi
hỏi nguồn lực đáng kể. Những nguồn lực đó bao gồm một lượng lớn nỗ lực
(BCP có thể sẽ trở thành trọng tâm của một bộ phận lớn, nếu không nói
là tất cả, của tổ chức) cũng như chi phí tài chính tr ực tiếp. Vì lý do này,
nhóm phải sử dụng quyền hạn triển khai BCP của mình một cách thận trọng
nhưng dứt khoát.
Một kế hoạch liên tục kinh doanh hiệu quả đòi hỏi phải tiêu tốn nhiều nguồn lực
đáng kể, từ việc mua sắm và triển khai các cơ sở tính toán dự phòng cho đến
bút chì và giấy được các thành viên trong nhóm s ử dụng để viết ra các bản thảo
đầu tiên của kế hoạch. Tuy nhiên, như bạn đã thấy trước đó, nhân sự là một
trong những nguồn lực quan trọng nhất mà quá trình BCP tiêu thụ. Nhiều chuyên
gia bảo mật đã bỏ qua tầm quan trọng của việc tính toán nhân công, nhưng bạn
có thể yên tâm rằng quản lý cấp cao sẽ không làm như vậy. Các nhà lãnh đạo
doanh nghiệp nhận thức sâu sắc về ảnh hưởng của các hoạt động phụ tiêu-tốnthời-gian sẽ có đối với năng suất hoạt động của tổ chức của họ và chi phí thực
tế của nhân sự về tiền lương, lợi ích và những cơ hội bị mất. Những mối quan
tâm này trở nên đặc biệt quan trọng khi bạn đang yêu cầu thời gian của các
giám đốc điều hành cấp cao.
Bạn nên dự kiến rằng các nhà lãnh đạo chịu trách nhiệm cho việc quản lý việc
sử dụng tài nguyên sẽ đặt đề xuất BCP của bạn dưới kính hiển vi [hàm ý kế
hoạch BCP sẽ được xem xét một cách kỹ luõng bởi các nhà lãnh đạo – người
281 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
dịch] và bạn nên chuẩn bị để bảo vệ sự cần thiết của kế hoạch của mình bằng
các lập luận logic, mạch lạc xác định được các đề án kinh doanh cho BCP.
Kịch bản trong Thế giới Thực
Giải trình Lợi ích của BCP
Tại một cuộc hội nghị gần đây, một trong số các tác giả đã thảo luận về hoạch
định liên tục kinh doanh với giám đốc bảo mật thông tin (CISO) của một hệ thống
y tế từ một thành phố cỡ-trung-bình của Hoa Kỳ. Thái độ của CISO đã thực sự
gây ra cú sốc. Tổ chức của anh ấy đã không tiến hành một quy trình BCP chính
thức, và anh ấy tin tưởng rằng một cách tiếp cận không chính thức sẽ hoạt động
tốt trong trường hợp không may xảy ra một thảm họa.
Thái độ này là một trong những lý lẽ phổ biến nhất chống lại việc cam kết nguồn
lực cho BCP. Trong rất nhiều tổ chức, thái độ rằng doanh nghiệp sẽ luôn sống
sót, và các nhà lãnh đạo chủ chốt sẽ tìm ra điều gì đó trong trường hợp xảy ra
thảm họa, xuyên suốt tư duy của doanh nghiệp. Nếu bạn gặp phải sự phản đối
này, bạn có thể muốn chỉ ra cho cấp quản lý về các chi phí doanh nghiệp sẽ phải
gánh chịu (cả chi phí trực tiếp và chi phí gián tiếp của các cơ hội đã bị mất) cho
mỗi ngày doanh nghiệp ngừng hoạt động. Sau đó, yêu cầu họ xem xét thời gian
phục hồi vô tổ chức có thể mất bao lâu khi so sánh với hoạt động liên tục có trật
tự, có kế hoạch (continuity of operation s - COOP).
Việc tiến hành một nỗ lực BCP chính thức là đặc biệt quan trọng trong các tổ
chức chăm sóc sức khỏe, nơi mà việc không có sẵn các hệ thống có thể dẫn đến
những hậu quả sinh-tử. Vào tháng 10 năm 2020, Cơ quan An ninh m ạng và Cơ sở
hạ tầng Hoa Kỳ (US Cybersecurity and Infrastruc ture Security Agency - CISA) đã
ban hành một cảnh báo thông báo cho các tổ chức chăm sóc sức khỏe về sự bùng
phát của hoạt động ransomware nhắm mục tiêu cụ thể vào công việc của họ. Các
kế hoạch liên tục [kinh doanh] mạnh mẽ đóng một vai trò thiết yếu trong việc
bảo vệ chống lại các cuộc tấn công vào tính sẵn sàng này.
282 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Các Yêu cầu Quy định và Pháp lý
Rất nhiều ngành nghề có thể bị ràng buộc bởi luật lệ hoặc quy định của liên
bang, tiểu bang và địa phương đòi hỏi họ phải triển khai các mức độ khác nhau
của BCP. Chúng ta đã thảo luận về một ví dụ trong chương này - các viên chức
và giám đốc của các công ty niêm yết công khai có trách nhiệm được ủy thác
thực hiện trách nhiệm giải trình trong việc thực thi các nhiệm vụ liên tục kinh
doanh của họ. Trong các trường hợp khác, các yêu cầu (và hậu quả của việc
không tuân thủ) có thể còn nghiêm trọng hơn. Các dịch vụ khẩn cấp, chẳng hạn
như cảnh sát, cứu hỏa và hoạt động y tế khẩn cấp, có trách nhiệm với cộng đồng
để tiếp tục hoạt động trong trường hợp xảy ra thảm họa. Thật vậy, các dịch vụ
của họ thậm chí còn trở nên quan trọng hơn trong những trường hợp khẩn cấp
đe dọa đến sự an toàn của công chúng. Nếu không triển khai một BCP hiệu quả
có thể dẫn đến thiệt hại về người hoặc tài sản và làm giảm lòng tin của công
chúng đối với chính phủ.
Tại nhiều quốc gia, các thể chế tài chính, chẳng hạn như ngân hàng, công ty
môi giới và các công ty đang xử lý dữ liệu của họ, bắt buộc phải tuân theo các
quy định nghiêm ngặt về ngân hàng và chứng khoán của chính phủ và quốc tế.
Những quy định này nhất thiết phải nghiêm ngặt vì mục đích của chúng là để
đảm bảo sự vận hành liên tục của thể chế với tư cách là một bộ phận quan trọng
của nền kinh tế. Khi các nhà sản xuất dược phẩm phải sản xuất các sản phẩm
trong hoàn cảnh cận-tối-ưu sau thảm họa hoặc để đối phó với một đại dịch đang
bùng phát một cách nhanh chóng, họ được yêu cầu phải chứng nhận độ tinh
khiết của sản phẩm với các cơ quan quản lý của chính phủ. Có vô số những ví
dụ khác về các ngành nghề vẫn cần phải tiếp tục hoạt động trong trường hợp
khẩn cấp bởi các luật lệ và quy định khác nhau.
Thậm chí, ngay cả khi bạn không bị ràng buộc bởi bất kỳ cân nhắc nào trong số
này, bạn vẫn có thể có các nghĩa vụ theo hợp đồng đối với khách hàng của mình
yêu cầu bạn triển khai những thông lệ BCP hợp lý. Nếu hợp đồng của bạn bao
gồm các cam kết với khách hàng được thể hiện dưới dạng các thỏa thuận mức-
dịch-vụ (SLA), bạn có thể nhận thấy rằng mình sẽ vi phạm các hợp đồng đó nếu
một thảm họa làm gián đoạn khả năng phục vụ khách hàng của bạn. Nhiều khách
hàng có thể cảm thấy tiếc cho bạn và vẫn muốn tiếp tục sử dụng các sản
283 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
phẩm/dịch vụ của bạn, nhưng các yêu cầu doanh nghiệp riêng của họ có thể
buộc họ phải cắt đứt mối quan hệ và tìm nhà cung cấp mới.
Ở mặt khác của vấn đề này, việc phát triển một kế hoạch kinh doanh liên tục
mạnh mẽ và được lập thành văn bản có thể giúp tổ chức của bạn giành được
những khách hàng mới và công việc kinh doanh bổ sung từ các khách hàng hiện
tại. Nếu bạn có thể cho khách hàng thấy các thủ tục hợp lý mà bạn có để vẫn
tiếp tục phục vụ họ trong trường hợp xảy ra thiên tai, họ sẽ đặt niềm tin nhiều
hơn vào công ty của bạn và có nhiều khả năng chọn bạn làm nhà cung cấp ưu
tiên của họ. Đó không phải là một vị thế tồi để có thể đạt được!
Tất cả những mối quan tâm này đều dẫn đến một kết luận - điều thiết yếu là
phải đưa cố vấn pháp lý của tổ chức bạn vào quy trình BCP. Họ rất quen thuộc
với các nghĩa vụ pháp lý, quy đ ịnh và hợp đồng được áp dụng cho tổ chức của
bạn. Họ có thể giúp cho nhóm của bạn triển khai một kế hoạch đáp ứng các yêu
cầu đó trong khi vẫn đảm bảo khả năng tồn tại liên tục của tổ chức vì lợi ích
của tất cả - nhân viên, cổ đông, nhà cung cấp và khách hàng.
Những luật lệ liên quan đến các hệ thống máy tính, thực tiễn kinh
doanh và quản lý thảm họa luôn luôn thay đổi một cách thường
xuyên. Chúng cũng khác nhau gi ữa các khu vực tài phán. Hãy đảm
bảo giữ cho luật sư của bạn tham gia vào suốt vòng đời của BCP
của bạn, bao gồm cả các giai đoạn thử nghiệm và bảo trì. Nếu
bạn hạn chế sự tham gia của họ vào việc đánh giá trước-triểnkhai kế hoạch, bạn có thể không nhận thức được tác động của
những luật lệ và quy định đang thay đổi đối với trách nhiệm của
công ty bạn.
Phân tích Tác động Kinh doanh
Khi nhóm BCP của bạn hoàn tất 4 giai đoạn của việc chuẩn bị để tạo ra một kế
hoạch liên tục kinh doanh, giờ là lúc để đào sâu vào trọng tâm của công việc –
phân tích tác động kinh doanh (BIA). BIA xác định các quy trình và tác vụ nghiệp
vụ tối quan trọng đối với khả năng tồn tại liên tục của một tổ chức và những
mối đe dọa đối với các nguồn lực đó. Nó cũng đánh giá khả năng mà từng mối
đe dọa sẽ xảy ra và tác động của những sự kiện đó đối với doanh nghiệp. Kết
284 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
quả của BIA cung cấp cho bạn các thước đo định lượng có thể giúp bạn ưu tiên
cam kết các nguồn lực của hoạt động liên tục kinh doanh đối với các mức độ rủi
ro ở cấp địa phương, khu vực và toàn cầu khác nhau mà tổ chức của bạn đang
phải đối mặt.
Điều quan trọng là phải nhận ra rằng có hai kiểu phân tích khác nhau mà các
nhà lập kế hoạch kinh doanh sử dụng khi phải đối mặt với một quyết định:
Đánh giá Tác động Định lượng Liên quan đến việc sử dụng các con số
và các công thức để đi đến quyết định. Loại dữ liệu này thường thể hiện
các lựa chọn về giá trị bằng tiền đối với doanh nghiệp.
Đánh giá tác động định tính Có tính đến các yếu tố không phải là con
số, chẳng hạn như danh tiếng, lòng tin của nhà đầu tư/khách hàng, sự ổn
định của lực lượng lao động và các mối quan tâm khác. Loại dữ liệu này
thường dẫn đến các phân loại ưu tiên (chẳng hạn như cao, trung bình và
thấp).
Phân tích định lượng và đánh giá định tính đều đóng một vai trò
thiết yếu trong quy trình BCP. Tuy nhiên, hầu hết mọi người đều
có khuynh hướng ưa thích một trong hai kiểu phân tích hơn kiểu
còn lại. Khi lựa chọn các thành viên cá nhân c ủa nhóm BCP, hãy
cố gắng đạt được sự cân bằng giữa những người yêu thích từng
chiến lược. Phương pháp tiếp cận này giúp phát triển một BCP
toàn-diện và sẽ mang lại lợi ích cho tổ chức về lâu dài.
Quy trình BIA được mô tả trong chương này tiếp cận vấn đề theo cả quan điểm
định lượng và định tính. Tuy nhiên, một điều rất hấp dẫn đối với nhóm BCP là
“đi cùng các con số” và thực hiện đánh giá định lượng trong khi bỏ qua một số
đánh giá định tính có phần chủ quan hơn. Nhóm BCP nên thực hiện phân tích
định tính các yếu tố có ảnh hưởng đến quy trình BCP của bạn. Ví dụ, nếu doanh
nghiệp của bạn phụ thuộc nhiều vào một số ít khách hàng quan trọng, đội ngũ
quản lý của bạn có thể sẵn sàng chịu những tổn thất tài chính trong ngắn hạn
đáng kể để giữ chân những khách hàng đó trong dài hạn. Nhóm BCP phải ngồi
xuống và thảo luận (tốt nhất là với sự tham gia của các nhà quản lý cấp cao) về
285 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
các mối quan tâm định tính để phát triển một phương pháp tiếp cận toàn diện
làm hài lòng tất cả các bên liên quan.
Khi bạn làm việc theo cách của mình thông qua quy trình BIA, bạn
sẽ nhận thấy rằng nó khá giống với quy trình đánh giá rủi ro đã
được đề cập trong Chương 2, “Các Khái ni ệm về Quản lý Rủi ro và
Bảo mật Nhân sự”. Các kỹ thuật được sử dụng rất giống nhau vì
cả hai đều sử dụng các kỹ thuật đánh giá rủi ro tiêu chuẩn. Sự
khác biệt chủ yếu là quy trình đánh giá rủi ro tập trung vào các
tài sản riêng lẻ, trong khi BCP tập trung vào các tác vụ và quy
trình nghiệp vụ.
Xác định các Ưu tiên
Nhiệm vụ BCP đầu tiên mà nhóm BCP phải đối mặt là xác định các ưu tiên trong
kinh doanh. Tùy thuộc vào lĩnh vực kinh doanh của bạn, một số hoạt động nhất
định là thiết yếu đối với hoạt động hàng-ngày khi xảy ra thảm họa. Bạn nên tạo
ra một danh sách toàn diện bao gồm các chức năng nghiệp vụ trọng yếu và xếp
hạng chúng theo thứ tự của tầm quan trọng. Mặc dù nhiệm vụ này có vẻ hơi khó
khăn nhưng nó không quá khó.
Các chức năng nghiệp vụ quan trọng này sẽ khác nhau giữa các tổ chức, dựa
trên sứ mệnh của từng tổ chức. Chúng là những hoạt động, nếu bị gián đoạn, sẽ
gây ra nguy hiểm cho khả năng đạt được mục đích của tổ chức. Ví dụ, một nhà
bán lẻ trực tuyến sẽ coi khả năng bán sản phẩm từ trang web của họ và hoàn
thành các đơn đặt hàng đó một cách nhanh chóng là các chức năng nghiệp vụ
quan trọng.
Một cách tuyệt vời để phân chia khối lượng công việc của quá trình này giữa các
thành viên trong nhóm là giao trách nhiệm cho từng người tham gia về việc lập
một danh sách ưu tiên bao gồm các chức năng nghiệp vụ mà bộ phận của họ
chịu trách nhiệm. Khi toàn bộ nhóm BCP đồng ý, các thành viên trong nhóm có
thể sử dụng các danh sách đã được sắp xếp thứ tự ưu tiên đó để tạo ra một
danh sách ưu tiên tổng thể cho toàn bộ tổ chức. Một lưu ý đối với cách tiếp cận
này - nếu nhóm của bạn không thực sự đại diện cho tổ chức, bạn có thể bỏ lỡ
286 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
các ưu tiên tối quan trọng. Hãy đảm bảo đã thu thập ý kiến đóng góp từ tất cả
các bộ phận của tổ chức, đặc biệt là từ bất kỳ khu vực nào không có đại diện
trong nhóm BCP.
Quá trình này giúp xác định các ưu tiên kinh doanh theo một quan điểm định
tính. Hãy nhớ lại rằng chúng ta đang mô tả nỗ lực phát triển cả BIA định tính
và định lượng một cách đồng thời. Để bắt đầu đánh giá định lượng, nhóm BCP
nên ngồi xuống và lập ra danh sách các tài sản của tổ chức và sau đó chỉ định
giá trị tài sản (AV) bằng tiền cho từng tài sản. Các giá trị này hình thành nên
cơ sở cho các tính toán rủi ro được thực hiện sau này trong BIA.
Thước đo định lượng thứ hai mà nhóm phải phát triển là thời gian ngừng hoạt
động tối đa có thể chấp nhận được (maimumx tolerable downtime - MTD), đôi
khi còn được gọi là thời gian ngừng hoạt động tối đa có thể chấp nhận được
(maximum tolerable outage - MTO). MTD là khoảng thời gian tối đa mà một chức
năng nghiệp vụ có thể chịu được sự gián đoạn trước khi bị tổn hại đến mức
không thể khắc phục được. MTD cung cấp thông tin có giá trị khi bạn thực hiện
cả hoạch định BCP và DRP. Danh sách các ch ức năng nghiệp vụ quan trọng của
tổ chức đóng một vai trò quan trọng trong quá trình này. MTD đối với các chức
năng nghiệp vụ quan trọng phải thấp hơn MTD cho các hoạt động không được
xác định là quan trọng. Hãy quay trở lại ví dụ về một nhà bán lẻ trực tuyến,
MTD cho trang web bán sản phẩm có thể chỉ là vài phút, trong khi MTD cho hệ
thống email nội bộ của họ có thể được tính bằng giờ.
Mục tiêu thời gian khôi phục (recovery time đối tượngive - RTO) cho mỗi chức
năng nghiệp vụ là khoảng thời gian mà bạn cho rằng bạn có thể khôi phục lại
chức năng trong trường hợp bị gián đoạn. Giá trị này có liên quan chặt chẽ đến
MTD. Khi bạn đã xác định các mục tiêu khôi phục của mình, bạn có thể thiết kế
và lập kế hoạch các thủ tục cần thiết để hoàn thành các nhiệm vụ khôi phục.
Khi bạn tiến hành công việc BCP của mình, hãy đảm bảo rằng RTO của bạn ít
hơn MTD của bạn, dẫn đến tình huống mà theo đó một chức năng không bao giờ
không sẵn sàng ngoài thời gian ngừng hoạt động tối đa có thể chấp nhận được.
287 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mặc dù RTO và MTD đo lường thời gian khôi phục hoạt động và tác động của
thời gian khôi phục đó đối với hoạt động, các tổ chức cũng phải chú ý đến khả
năng mất dữ liệu có thể xảy ra trong một sự cố về tính sẵn sàng. Tùy thuộc vào
cách thức thông tin được thu thập, lưu trữ và xử lý, một số trường hợp mất dữ
liệu vẫn có thể xảy ra.
Mục tiêu điểm khôi phục (recovery point đối tượngive - RPO) là lượng dữ liệu bị
mất tương đương với RTO được tập-trung-vào-thời-gian [hàm ý chỉ lượng dữ liệu
bị mất trong khoảng thời gian khôi phục theo RTO]. RPO xác định thời điểm
trước khi xảy ra sự cố, nơi mà tổ chức có thể khôi phục lại dữ liệu từ một quy
trình kinh doanh quan trọng. Ví dụ, một tổ chức có thể thực hiện sao lưu nhật
ký giao dịch cơ sở dữ liệu 15 phút một lần. Trong trường hợp đó, RPO sẽ là 15
phút, có nghĩa là tổ chức có thể mất tới 15 phút dữ liệu sau một sự cố. Nếu sự
cố xảy ra lúc 8:30 sáng, thì bản sao lưu nhật ký giao dịch cuối cùng phải xảy ra
vào khoảng từ 8:15 sáng đến 8:30 sáng. Tùy thuộc vào thời gian chính xác của
sự cố và bản sao lưu, tổ chức có thể bị mất lượng dữ liệu không thể khôi phục
rơi vào khoảng 0 và 15 phút.
Xác định Rủi ro
Giai đoạn tiếp theo của BIA là xác định rủi ro gây ra cho tổ chức của bạn. Trong
suốt giai đoạn này, bạn sẽ dễ dàng xác định được một số mối đe dọa phổ biến,
nhưng bạn có thể cần phải thực hiện một số hoạt động sáng tạo để đưa ra được
những rủi ro mơ hồ hơn (nhưng rất thực tế!).
Rủi ro có hai dạng: những rủi ro tự nhiên và rủi ro do-con-người-gây-ra. Danh
sách dưới đây bao gồm một số sự kiện gây ra các mối đe dọa tự nhiên:
▪
Các cơn bão/cuồng phong/lốc xoáy/bão tuyết dữ dội,
▪
Sét đánh,
▪
Các trận động đất,
▪
Các trận bùn lở/tuyết lở,
▪
Núi lửa phun trào,
▪
Đại dịch.
Những mối đe dọa do-con-người-gây-ra bao gồm các sự kiện dưới đây:
▪
Các hoạt động khủng bố/chiến tranh/bất ổn dân sự,
288 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Trộm cắp/phá hoại,
▪
Cháy/nổ,
▪
Mất điện kéo dài,
▪
Tòa nhà sụp đổ,
▪
Sự cố trong giao thông vận tải,
▪
Internet bị gián đoạn,
▪
Nhà cung cấp dịch vụ ngừng hoạt động,
▪
Các cuộc khủng hoảng kinh tế.
Hãy lưu ý rằng đây không phải là danh sách bao-gồm-tất-cả. Chúng chỉ đơn
thuần xác định một số rủi ro phổ biến mà nhiều tổ chức đều phải đối mặt. Bạn
có thể muốn sử dụng chúng như một điểm khởi đầu, nhưng một danh sách đầy
đủ các rủi ro mà tổ chức của bạn phải đối mặt sẽ đòi hỏi đầu vào từ tất cả các
thành viên của nhóm BCP.
Phần xác định rủi ro của quy trình hoàn toàn là đ ịnh tính. Tại thời điểm này
trong quy trình [BCP], nhóm BCP không nên lo lắng về khả năng từng loại rủi ro
sẽ xảy ra hoặc mức độ thiệt hại xảy ra như vậy sẽ gây ra cho hoạt động liên tục
của doanh nghiệp. Kết quả của phân tích này sẽ thúc đẩy cả phần định tính và
phần định lượng của các nhiệm vụ BIA còn lại.
Phân tích Tác động Kinh doanh và Đám mây
Khi bạn tiến hành quá trình phân tích tác đ ộng kinh doanh của bạn, đừng quên
tính đến bất kỳ nhà cung cấp đám mây nào mà tổ chức của bạn đang sử dụng
dịch vụ của họ. Tùy thuộc vào bản chất của dịch vụ đám mây, các thỏa thuận
liên tục kinh doanh của riêng nhà cung cấp cũng có thể có tác động nghiêm
trọng đến liên tục kinh doanh của tổ chức của bạn.
Hãy xem xét, ví dụ, một công ty đã thuê ngoài email và l ịch biểu cho một nhà
cung cấp phần-mềm-như-một-dịch-vụ (SaaS) bên-thứ-ba. Hợp đồng với nhà
cung cấp đó có bao gồm các chi tiết về các SLA và cam kết của nhà cung cấp
đối với việc khôi phục hoạt động sau một thảm họa không?
Ngoài ra, hãy nhớ rằng một hợp đồng không thường không đủ để thẩm định
khi chọn nhà cung cấp dịch vụ đám mây. Bạn cũng nên xác minh rằng họ đang
289 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
có các biện pháp kiểm soát để thực hiện các cam kết trong hợp đồng của họ.
Mặc dù trên thực tế, bạn có thể không đến các cơ sở của nhà cung cấp để xác
minh việc triển khai biện pháp kiểm soát của họ, nhưng bạn luôn có thể làm
điều tốt nhất tiếp theo - hãy cử người khác!
Bây giờ, trước khi bạn bắt đầu xác định một sứ giả và đặt chuyến bay, hãy
công nhận rằng nhiều khách hàng của nhà cung cấp của bạn có thể đang hỏi
cùng một câu hỏi. Vì lý do này, nhà cung cấp có thể đã thuê một công ty kiểm
toán độc lập để thực hiện đánh giá các kiểm soát của mình. Họ có thể cung
cấp kết quả đánh giá này cho bạn dưới dạng báo cáo Kiểm soát Tổ chức Dịch
vụ (Service Organization Control - SOC). Chúng tôi sẽ đề cập đến các báo cáo
SOC chi tiết hơn trong Chương 15, “Đánh giá và Kiểm tra Bảo mật”.
Hãy nhớ rằng có ba phiên bản khác nhau của báo cáo SOC. Đơn giản nhất trong
số này, báo cáo SOC 1, chỉ bao gồm các biện pháp kiểm soát nội bộ đối với
báo cáo tài chính. Nếu bạn muốn xác minh các biện pháp kiểm soát bảo mật,
quyền riêng tư và tính sẵn sàng, bạn sẽ muốn xem xét báo cáo SOC 2 hoặc
SOC 3. Viện Kế toán Công được Chứng nhận Hoa Kỳ (AICPA) đặt ra và duy trì
các tiêu chuẩn xung quanh các báo cáo này để duy trì sự nhất quán giữa các
kiểm toán viên từ các công ty kế toán khác nhau.
Để biết thêm thông tin về chủ đề này, hãy xem tài liệu của AICPA so sánh các
loại
báo
cáo
SOC
tại
địa
chỉ
trang
web
www.aicpa.org/interestareas/frc/assuranceadvisoryservices/serviceorganizati
on-smanagement.html.
Đánh giá Khả năng xảy ra
Bước trước đó đã bao gồm việc nhóm BCP lập ra một danh sách toàn diện về các
sự kiện có thể là mối đe dọa đối với tổ chức. Bạn có thể nhận ra rằng một số sự
kiện sẽ có nhiều khả năng xảy ra hơn những sự kiện khác. Ví dụ, một trận động
đất là một rủi ro hợp lý hơn nhiều so với một cơn bão nhiệt đới đối với một
doanh nghiệp ở Nam California. Một công ty có trụ sở tại Florida có thể có khả
năng hoàn toàn ngược lại rằng mỗi rủi ro đều sẽ có thể xảy ra.
Để giải thích cho những khác biệt này, giai đoạn tiếp theo của phân tích tác
động kinh doanh xác định khả năng xảy ra của từng rủi ro. Chúng tôi mô tả khả
290 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
năng xảy ra này bằng cách sử dụng cùng một quy trình được sử dụng để đánh
giá rủi ro trong Chương 2. Đầu tiên, chúng tôi xác định tỷ lệ xảy ra theo hàng
năm (ARO) phản ánh số lần một doanh nghiệp dự kiến trải qua một thảm họa
nhất định mỗi năm. Quá trình theo hàng năm này đơn giản hóa việc so sánh
cường độ của các rủi ro rất khác nhau.
Nhóm BCP nên ngồi xuống và xác định ARO cho từng rủi ro đã được xác định
trong phần trước. Hãy đặt căn cứ của những con số này trên lịch sử công ty,
kinh nghiệm chuyên môn của các thành viên trong nhóm và lời khuyên từ các
chuyên gia, chẳng hạn như nhà khí tượng học, nhà địa chấn học, chuyên gia
phòng cháy và các nhà tư vấn khác, nếu cần thiết.
Ngoài các nguồn lực của chính phủ được xác định trong chương
này, các công ty bảo hiểm đã phát triển các kho lưu trữ thông tin
rủi ro lớn như một phần của quy trình tính toán của họ. Bạn có
thể lấy thông tin này từ họ để hỗ trợ cho các nỗ lực BCP của bạn.
Rốt cuộc, bạn có lợi ích chung trong việc ngăn chặn thiệt hại cho
doanh nghiệp của bạn!
Trong rất nhiều trường hợp, bạn có thể tìm thấy những đánh giá khả năng xảy
ra của một số rủi ro đã được chuẩn bị bởi các chuyên gia và hoàn toàn miễn phí
cho bạn. Ví dụ, Cơ quan Khảo sát Địa chất Hoa Kỳ (US. Geological Survey USGS) đã phát triển bản đồ nguy cơ động đất được minh họa trong Hình 3.1.
Bản đồ này minh họa ARO cho các trận động đất ở các khu vực khác nhau của
Hoa Kỳ. Tương tự, Cơ quan Quản lý Tình trạng khẩn cấp Liên bang (Federal
Emergency Management Agency - FEMA) điều phối việc phát triển các bản đồ lũ
lụt chi tiết của các cộng đồng địa phương trên khắp Hoa Kỳ. Những nguồn tài
nguyên này có sẵn trực tuyến và cung cấp nhiều thông tin cho các tổ chức đang
thực hiện phân tích tác động kinh doanh.
291 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
HÌNH 3.1
Bản đồ nguy cơ xảy ra động đất của Hoa Kỳ
Nguồn: Cơ quan Khảo sát Địa chất Hoa Kỳ
Một trong những công cụ hữu ích là Hệ số Lũ lụt của tổ chức phi
lợi nhuận First Street Foundation, giúp b ạn xác định một cách
nhanh chóng nguy cơ ngập lụt của một bất động sản. Hãy tham
khảo www.floodfactor.com.
Phân tích tác động
Như bạn có thể đã phỏng đoán dựa trên tên gọi của nó, phân tích tác đ ộng là
một trong những phần quan trọng nhất của phân tích tác động kinh doanh. Trong
giai đoạn này, bạn phân tích dữ liệu đã thu thập được trong quá trình xác định
rủi ro và đánh giá khả năng xảy ra, đồng thời cố gắng xác định tác động của
từng rủi ro đã xác định đối với doanh nghiệp nếu nó xảy ra.
Từ quan điểm định tính, chúng tôi sẽ đề cập đến 3 chỉ số cụ thể: hệ số tiếp xúc,
tổn thất đơn lẻ dự kiến, và tổn thất theo hàng năm dự kiến. Mỗi một trong số
292 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
những giá trị này mô tả một kết hợp rủi ro/tài sản cụ thể được đánh giá trong
các giai đoạn trước đó.
Hệ số tiếp xúc (EF) là lượng tổn thất mà rủi ro gây ra cho tài sản, được thể hiện
bằng tỷ lệ phần trăm của giá trị tài sản. Ví dụ, nếu nhóm BCP tham vấn các
chuyên gia phòng cháy và xác đ ịnh được rằng một tòa nhà bị cháy sẽ phá hủy
70% [diện tích] tòa nhà thì h ệ số tiếp xúc của [rủi ro] tòa nhà b ị cháy sẽ là
70%.
Tổn thất đơn lẻ dự kiến (SLE) là tổn thất tính bằng tiền được dự kiến mỗi khi
rủi ro xảy ra. Bạn có thể tính SLE bằng cách sử dụng công thức dưới đây:
SLE = AV x EF
Tiếp tục với ví dụ trước đó, nếu tòa nhà đáng giá 500,000 đô la, tổn thất đơn lẻ
dự kiến sẽ là 70% của 500,000 đô là, hay 350,000 đô la. Bạn có thể diễn giải
con số này để có nghĩa là bạn có thể dự kiến rằng một đám cháy duy nhất trong
tòa nhà sẽ gây ra tổn thất đáng giá 350,000 đô la.
Tổn thất theo hàng năm dự kiến (ALE) là tổn thất tính bằng tiền mà doanh nghiệp
dự kiến phải gánh chịu do rủi ro gây ra trong một năm điển hình. SLE là tổng
thiệt hại mà bạn dự kiến mỗi lần thảm họa xảy ra, và ARO (từ phân tích khả
năng xảy ra) là số lần mà bạn dự kiến một thảm họa xảy ra trong từng năm. Bạn
tính toán ALE chỉ đơn giản bằng cách nhân hai con số này lại với nhau:
ALE = SLE x ARO
Một lần nữa, hãy quay trở lại ví dụ về tòa nhà của chúng tôi, các chuyên gia c ứu
hỏa có thể dự đoán rằng hỏa hoạn sẽ xảy ra trong tòa nhà khoảng một lần trong
30 năm, xác định cụ thể rằng có 0,03 khả năng xảy ra hỏa hoạn trong một năm
bất kỳ. ALE sau đó là 3% của 350,000 đô la SLE, hoặc là 10,500 đô la. Bạn có
thể diễn giải con số này có nghĩa là doanh nghiệp sẽ mất 10,500 đô la mỗi năm
do xảy ra hỏa hoạn trong tòa nhà.
Rõ ràng, hỏa hoạn sẽ không xảy ra mỗi năm - con số này thể hiện chi phí trung
bình trong khoảng 30 năm giữa các vụ cháy. Nó không đặc biệt hữu ích cho việc
cân nhắc ngân sách nhưng tỏ ra vô giá khi cố gắng sắp xếp thứ tự ưu tiên các
nguồn lực của BCP cho một rủi ro nhất định. Tất nhiên, một nhà lãnh đạo doanh
293 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nghiệp có thể quyết định rằng nguy cơ hỏa hoạn vẫn không thể chấp nhận được
và thực hiện các hành động trái ngược với phân tích định lượng. Đó là lúc đánh
giá định tính phát huy tác dụng.
Hãy chắc chắn rằng bạn đã quen thuộc với các công thức định
lượng có trong chương này và các khái ni ệm về giá trị tài sản, hệ
số tiếp xúc, tỷ lệ xảy ra hàng năm, tổn thất đơn lẻ dự kiến và tổn
thất theo hàng năm dự kiến. Hãy nắm được các công thức và có
khả năng làm việc thông qua một kịch bản.
Từ quan điểm định tính, bạn phải xem xét tác động không tính bằng tiền mà sự
gián đoạn có thể gây ra cho doanh nghiệp của bạn. Ví dụ, bạn có thẻ muốn xem
xét những điều dưới đây:
▪
Mất đi thiện chí giữa cơ sở khách hàng của bạn,
▪
Mất nhân viê hoặc các công việc khác sau thời gian gián đoạn kéo dài,
▪
Trách nhiệm xã hội/đạo đức đối với cộng đồng,
▪
Hình ảnh tiêu cực trước công chúng.
Sẽ rất khó để đặt giá trị bằng tiền cho những hạng mục như vậy để đưa chúng
vào phần định lượng của phân tích tác động, tuy nhiên, chúng vẫn có tầm quan
trọng như nhau. Rốt cuộc, nếu bạn phá hủy cơ sở khách hàng của mình, bạn sẽ
không còn việc kinh doanh để quay trở lại khi bạn đã sẵn sàng hoạt động trở
lại!
Ưu tiên Nguồn lực
Bước cuối cùng của BIA là ưu tiên phân bổ các nguồn lực của liên tục kinh doanh
cho các rủi ro khác nhau mà bạn đã xác định và đánh giá trong các giai đoạn
trước của BIA.
Từ quan điểm định lượng, quá trình này tương đ ối đơn giản. Bạn đơn giản chỉ
cần tạo ra một danh sách tất cả các rủi ro mà bạn đã phân tích trong quá trình
BIA và sắp xếp chúng theo thứ tự giảm dần theo ALE đã được tính toán trong
giai đoạn phân tích tác động. Bước này cung cấp cho bạn một danh sách các rủi
ro được ưu tiên mà bạn nên giải quyết. Hãy chọn bao nhiêu mục bạn muốn và
có thể xử lý đồng thời từ đầu danh sách và làm việc theo cách của bạn. Cuối
294 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
cùng, bạn sẽ đạt đến điểm mà bạn đã sử dụng hết danh sách rủi ro (không chắc!)
hoặc toàn bộ các nguồn lực hiện có của bạn (có nhiều khả năng hơn!) [hàm ý
hoặc là có thể giải quyết toàn bộ rủi ro hoặc hết mọi nguồn lực sẵn có (khả năng
này cao hơn) – người dịch].
Hãy nhớ lại phần trước rằng chúng ta cũng đã nhấn mạnh tầm quan trọng của
việc giải quyết các mối quan tâm quan trọng về mặt chất lượng. Trong các phần
trước về BIA, chúng tôi đã coi các phân tích đ ịnh lượng và định tính chủ yếu là
các chức năng tách biệt với một số điểm chồng chéo. Giờ đây là lúc để hợp nhất
hai danh sách ưu tiên, và đây là một nghệ thuật hơn là một khoa học. Bạn phải
ngồi lại với nhóm BCP và đại diện từ nhóm các nhà quản lý cấp cao và kết hợp
hai danh sách thành một danh sách ưu tiên duy nhất.
Những mối quan tâm định tính có thể biện minh cho việc tăng hoặc giảm mức độ
ưu tiên của các rủi ro đã tồn tại trong danh sách định lượng được sắp xếp theo
ALE. Ví dụ, nếu bạn đang điều hành một công ty ngăn chặn hỏa hoạn, ưu tiên
hàng đầu của bạn có thể là ngăn chặn hỏa hoạn tại địa điểm kinh doanh chính
của bạn mặc dù một trận động đất có thể gây ra nhiều thiệt hại về mặt vật chất
hơn. Khả năng mất uy tín trong cộng đồng doanh nghiệp do hỏa hoạn phá hủy
một công ty ngăn chặn hỏa hoạn có thể là quá khó để vượt qua và dẫn đến sự
sụp đổ cuối cùng của doanh nghiệp, biện minh cho việc tăng mức độ ưu tiên.
Hoạch định Liên tục
Hai giai đoạn đầu tiên của quy trình BCP (lập phạm vi và hoạch định dự án và
phân tích tác động kinh doanh) tập trung vào việc xác định cách thức quy trình
BCP sẽ hoạt động như thế nào và xác lập mức độ ưu tiên cho các tài sản mà bạn
phải bảo vệ để không bị gián đoạn. Giai đoạn tiếp theo của việc phát triển BCP
– hoạch định tính liên tục – tập trung vào việc phát triển và triển khai một chiến
lược liên tục để tối thiểu tác động của rủi ro đã được nhận ra có thể có đối với
tài sản đã được bảo vệ.
Có hai nhiệm vụ phụ chính yếu liên quan đến hoạch định tính liên tục:
▪
Phát triển chiến lược,
▪
Cung cấp và xử lý.
295 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Trong phần này, bạn sẽ tìm hiểu về cả phát triển chiến lược lẫn cung cấp và xử
lý mang tính thiết yếu đối với việc hoạch định tính liên tục.
Mục đích của quá trình này là để tạo ra một kế hoạch hoạt động liên tục
(continuity of operation plan – COOP). Kế hoạch hoạt động liên tục tập trung
vào cách thức mà một tổ chức sẽ thực hiện các chức năng nghiệp vụ tối quan
trọng bắt đầu ngay sau khi xảy ra sự gián đoạn và kéo dài đến 1 tháng hoạt
động bền vững.
Phát triển Chiến lược
Giai đoạn phát triển chiến lược nối liền khoảng cách giữa các giai đoạn phân
tích tác động kinh doanh và hoạch định tính liên tục của việc phát triển BCP.
Giờ đây, nhóm BCP phải đưa ra danh sách đã được ưu tiên các mối quan tâm
được nêu ra bởi các bài tập ưu tiên nguồn lực định lượng và định tính và xác
định những rủi ro nào sẽ được giải quyết bằng kế hoạch liên tục kinh doanh.
Việc giải quyết đầy đủ tất cả các trường hợp dự phòng sẽ đòi hỏi phải thực hiện
việc cung cấp và quy trình duy trì trạng thái không-có-thời-gian-chết (zerodowntime) khi đối mặt với mọi rủi ro có thể xảy ra. Vì những lý do rõ ràng, việc
thực hiện một chính sách toàn diện này là điều bất khả thi.
Nhóm BCP nên quay lại những ước lượng MTD đã được tạo ra trong những giai
đoạn trước đó của quá trình BIA và xác đ ịnh xem những rủi ro nào được cho là
có thể chấp nhận được, những rủi ro nào phải được giảm thiểu bằng các thiết
lập tính liên tục BCP. Một vài trong số các quyết định này là điều hiển nhiên –
rủi ro của một cơn bão tuyết đang tấn công một cơ sở vận hành tại Ai Cập là
không đáng kể và cấu thành nên một rủi ro có thể chấp nhận được. Rủi ro từ
một đợt gió mùa tại New Delhi đủ nghiêm trọng đến mức các thiết lập BCP phải
giảm thiểu nó.
Khi nhóm BCP xác định được những rủi ro nào cần giảm nhẹ và mức độ tài nguyên
sẽ được cam kết cho từng tác vụ giảm nhẹ, họ đã sẵn sàng để chuyển sang giai
đoạn thiết lập và xử lý trong quá trình hoạch định liên tục.
Thiết lập và Xử lý
296 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Giai đoạn thiết lập và xử lý của quá trình hoạch định liên tục là phần cốt lõi của
toàn bộ kế hoạch liên tục kinh doanh. Trong tác vụ này, nhóm BCP thiết kế các
thủ tục và cơ chế cụ thể làm giảm thiểu những rủi ro trông có vẻ như không thể
chấp nhận được trong suốt giai đoạn phát triển chiến lược. Ba loại tài sản phải
được bảo vệ thông qua thiết lập và xử lý BCP bao gồm: con người, tòa nhà/cơ
sở vật chất và cơ sở hạ tầng. Trong ba đoạn tiếp theo đây, chúng ta sẽ cùng
khám phá một vài trong số các kỹ thuật mà bạn có thể sử dụng để bảo vệ ba thể
loại tài sản này.
Con người
Trước tiên, bạn phải đảm bảo rằg con người trong phạm vi tổ chức của bạn được
an toàn trước, trong và sau một tình huống khẩn cấp. Khi bạn đã đạt được mục
đích này, bạn phải thực hiện những thiết lập cho phép nhân viên của bạn tiến
hành cả những tác vụ BCP lẫn những tác vụ vận hành của họ theo cách bình
thường nhất có thể, tùy theo hoàn cảnh.
Đừng quên đi một thực tế rằng con người mới là tài sản quý giá
nhất của bạn. Sự an toàn của con người luôn phải được đặt lên
trước các mục tiêu kinh doanh của tổ chức. Hãy đảm bảo rằng kế
hoạch liên tục kinh doanh của bạn cung cấp được các thiết lập
thích hợp để đảm bảo an ninh cho nhân viên, khách hàng, nhà
cung cấp và bất kỳ cá nhân nào khác có thể bị ảnh hưởng.
Các cấp quản lý nên cung cấp cho các thành viên của nhóm tất cả những nguồn
lực mà họ cần để hoàn thành tác vụ đã được chỉ định của họ. Tại cùng thời điểm,
nếu hoàn cảnh bắt buộc mọi người phải có mặt tại khu vực làm việc trong một
thời gian dài thì phải thu xếp chỗ ở và lương thực. Bất kỳ kế hoạch liên tục nào
yêu cầu các điều khoản này đều phải bao gồm các hướng dẫn chi tiết cho nhóm
BCP trong trường hợp xảy ra thảm họa. Tổ chức nên duy trì các kho dự trữ đủ
để cung cấp cho các nhóm vận hành và hỗ trợ trong một thời gian dài ở một địa
điểm dễ tiếp cận. Các kế hoạch nên nêu rõ việc luân chuyển định kỳ các kho dự
trữ đó để tránh bị hư hỏng
297 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tòa nhà và Cơ sở vật chất
Rất nhiều doanh nghiệp đòi hỏi những cơ sở vật chất chuyên biệt để tiến hành
những hoạt động tối quan trọng của mình. Chúng có thể bao gồm các cơ sở vật
chất văn phòng tiêu chuẩn, các nhà máy sản xuất, các trung tâm vận hành, kho
bãi, trung tâm phân phối/hậu cần, và các xưởng sửa chữa/bảo trì, trong số rất
nhiều thứ khác. Khi bạn thực hiện BIA của mình, bạn sẽ xác định những cơ sở
vật chất đóng một vai trò tối quan trọng trong khả năng tồn tại liên tục của tổ
chức của bạn. Kế hoạch liên tục của bạn nên xác định hai lĩnh vực chính đối với
từng cơ sở vật chất quan trọng:
Các Thiết lập được Củng cố (Hardening provisions) BCP của bạn nên
phác thảo các cơ chế và thủ tục có thể được áp dụng để bảo vệ các cơ sở
hiện có của bạn trước những rủi ro đã được xác định trong giai đoạn phát
triển chiến lược. Các thiết lập được củng cố có thể bao gồm các bước đơn
giản như vá một mái nhà bị dột hoặc phức tạp như lắp đặt cửa chớp chống
bão và tường chống cháy được gia cố.
Các Địa điểm Thay thế (Alternative sites) Nếu không khả thi để củng
cố một cơ sở vật chất trước rủi ro, BCP của bạn nên xác định các địa điểm
thay thế, nơi mà các hoạt động kinh doanh có thể tiếp tục ngay lập tức
(hoặc ít nhất là trong thời gian ngắn hơn thời gian ngừng hoạt động tối
đa có thể chấp nhận được đối với tất cả các chức năng nghiệp vụ quan
trọng bị ảnh hưởng). Chương 18 mô tả một số kiểu cơ sở có thể rất hữu
ích trong giai đoạn này. Thông thường, một địa điểm thay thế được liên
kết với việc hoạch định khôi phục sau thảm họa (DRP) hơn là BCP. T ổ chức
có thể phải xác định sự cần thiết của một địa điểm thay thế trong quá
trình phát triển BCP, nhưng cần có một sự gián đoạn thực sự để kích hoạt
việc sử dụng địa điểm, khiến nó thuộc về DRP.
Cơ sở hạ tầng
Mọi doanh nghiệp đều phụ thuộc vào một số loại cơ sở hạ tầng cho các quy trình
tối quan trọng của mình. Đối với rất nhiều công ty, một phần sống còn của cơ
sở hạ tầng này là trục xương sống CNTT về giao tiếp và các hệ thống máy tính
để xử lý các đơn hàng, quản lý chuỗi cung ứng, xử lý tương tác với khách hàng,
và thực hiện các chức năng nghiệp vụ khác. Trục xương sống này cấu thành từ
298 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
các máy chủ, các máy trạm, và các kết nối giao tiếp quan trọng giữa các địa
điểm. BCP phải xác định cách thức tổ chức sẽ bảo vệ những hệ thống này để
chống lại các rủi ro đã được xác định trong giai đoạn phát triển chiến lược.
Giống như với các tòa nhà và cơ sở vật chất, có hai phương pháp chính để cung
cấp sự bảo vệ này:
Củng cố các Hệ thống về mặt Vật lý (Physically Hardening Systems)
Bạn có thể bảo vệ các hệ thống chống lại những rủi ro bằng cách đưa ra
các cơ chế bảo vệ chẳng hạn như các hệ thống chữa cháy an-toàn-chomáy-tính và các nguồn cung cấp điện không bị gián đoạn.
Các Hệ thống Thay thế (Alternative Sites) Bạn cũng có thể bảo vệ các
chức năng nghiệp vụ bằng cách tạo ra [các hệ thống] dự phòng (kể cả là
các thành phần dự phòng hoặc các hệ thống/kết nối giao tiếp dự phòng
đầy đủ dựa trên các cơ sở vật chất khác nhau).
Những nguyên tắc tương tự áp dụng cho bất kỳ thành phần cơ sở hạ tầng nào
phục vụ cho các quy trình nghiệp vụ quan trọng của bạn – các hệ thống vận tải,
lưới nguồn điện, các hệ thống ngân hàng và tài chính, cấp nước, v.v…
Do các tổ chức đang chuyển rất nhiều hoạt động công nghệ của mình lên đám
mây, tuy nhiên, điều này cũng không làm giảm sự phụ thuộc của họ vào cơ sở
hạ tầng vật lý. Mặc dù công ty có thể không còn tự mình vận hành cơ sở hạ tầng
nữa nhưng họ vẫn dựa vào cơ sở hạ tầng vật lý của nhà cung cấp dịch vụ đám
mây của họ, và nên thực hiện các biện pháp để đảm bảo rằng họ đang thoải mái
với mức hoạch định tính liên tục được tiến hành bởi các nhà cung cấp đó. Một
sự gián đoạn tại một nhà cung cấp dịch vụ đám mây trọng yếu có ảnh hưởng đến
một trong số các chức năng nghiệp vụ tối quan trọng của tổ chức có thể gây ra
thiệt hại giống như một hư hỏng trong cơ sở hạ tầng riêng của tổ chức.
Phê duyệt và Triển khai Kế hoạch
Khi nhóm BCP hoàn tất giai đọan thiết kế của tài liệu BCP, giờ là lúc để có được
sự tán thành của các nhà quản lý cấp-cao-nhất về kế hoạch. Nếu bạn đủ may
mắn để có sự tham gia của nhà quản lý cấp cao trong toàn bộ giai đoạn phát
triển kế hoạch thì đây là một quá trình tương đối đơn giản. Hay nói cách khác,
299 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nếu đây là lần đầu tiên bạn tiếp cận cấp quản lý với tài liệu BCP, bạn nên chuẩn
bị giải thích dài dòng về mục đích của kế hoạch và các điều khoản cụ thể.
Sự tín nhiệm của các nhà quản lý cấp cao là điều thiết yếu đối với
sự thành công của nỗ lực BCP tổng thể.
Phê duyệt Kế hoạch
Nếu có thể, bạn nên cố gắng có được sự tán thành kế hoạch từ các giám đốc
điều
hành
cấp
cao
nhất
trong
doanh
nghiệp
của
bạn
–
CEO,
chủ
tịch
(chairperson/president), hoặc các nhà lãnh đạo doanh nghiệp tương đương. Động
thái này thể hiện tầm quan trọng của kế hoạch đối với toàn bộ tổ chức và thể
hiện cam kết của nhà lãnh đạo doanh nghiệp đối với liên tục kinh doanh. Chữ ký
của một cá nhân như vậy trong kế hoạch cũng mang lại sức nặng và uy tín lớn
hơn nhiều cho nó trong mắt các nhà quản lý cấp cao khác, những người có thể
phủ nhận nó như một sáng kiến CNTT cần thiết nhưng tầm thường.
Triển khai Kế hoạch
Khi bạn đã nhận được sự phê duyệt từ các nhà quản lý cấp cao, đã đến lúc đào
sâu nó và bắt đầu triển khai kế hoạch của bạn. Nhóm BCP nên hợp tác cùng nhau
và phát triển một lịch trình triển khai để sử dụng những nguồn lực được dành
riêng cho chương trình để đạt được những mục đích thiết lập và xử lý đã được
tuyên bố theo cách càng nhanh chóng càng t ốt, dựa trên phạm vi của các điều
chỉnh và thái độ của tổ chức đối với hoạch định liên tục.
Sau khi triển khai đầy đủ các nguồn lực, nhóm BCP nên giám sát vi ệc thiết kế
và triển khai chương trình duy trì BCP. Chương trình này đ ảm bảo rằng kế hoạch
vẫn đáp ứng các nhu cầu kinh doanh vẫn đang tiếp tục tiến triển.
Đào tạo và Giáo dục
Đào tạo và giáo dục là những yếu tố thiết yếu của việc triển khai BCP. Tất cả
nhân viên sẽ tham gia vào kế hoạch (cho dù là trực tiếp hay gián tiếp) nên được
đào tạo về kế hoạch tổng thể cũng như những trách nhiệm cá nhân của họ.
300 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mọi người trong tổ chức nên nhận được ít nhất một bản tóm tắt tổng quan về kế
hoạch. Các bản tóm tắt này mang lại cho nhân viên niềm tin rằng các nhà lãnh
đạo doanh nghiệp đã xem xét những rủi ro có thể xảy ra đối với hoạt động liên
tục của doanh nghiệp và đã đưa ra kế hoạch để giảm thiểu tác động đến tổ chức
nếu một gián đoạn xảy ra.
Những người có trách nhiệm BCP trực tiếp nên được đào tạo và đánh giá về các
nhiệm vụ BCP cụ thể của họ để đảm bảo rằng họ có thể hoàn thành chúng một
cách hiệu quả khi thảm họa xảy ra. Hơn nữa, ít nhất một nhân sự dự phòng phải
được đào tạo cho mọi nhiệm vụ BCP để cung cấp tính dự phòng trong trường hợp
nhân viên bị thương hoặc không thể đến nơi làm việc trong trường hợp khẩn
cấp.
Lập tài liệu về BCP
Lập tài liệu là một bước cực kỳ quan trọng trong quá trình hoạch định liên tục
kinh doanh. Việc cam kết phương pháp luận BCP của bạn bằng giấy tờ mang lại
những lợi ích đáng kể như sau:
▪
Nó đảm bảo rằng nhân viên BCP có được tài liệu về tính liên tục bằng văn
bản để tham khảo trong trường hợp khẩn cấp, ngay cả khi các thành viên
cấp cao của nhóm BCP không có mặt để hướng dẫn cho các nỗ lực.
▪
Nó cung cấp hồ sơ lịch sử về quá trình BCP sẽ hữu ích cho những nhân
viên tương lai đang tìm cách hiểu lý do đứng sau các thủ tục khác nhau
và thực hiện những thay đổi cần thiết trong kế hoạch.
▪
Nó bắt buộc các thành viên trong nhóm cam kết suy nghĩ của họ ra giấy một quy trình thường tạo điều kiện thuận lợi cho việc xác định các sai sót
trong kế hoạch. Có được kế hoạch trên giấy cũng cho phép các tài liệu
nháp được phân phối cho những cá nhân không thuộc nhóm BCP để “kiểm
tra sự sáng suốt”.
Trong các phần tiếp theo, chúng ta sẽ khám phá một số những thành phần thiết
yếu của kế hoạch liên tục kinh doanh được viết ra thành văn bản.
Mục đích của Hoạch định Liên tục
Đầu tiên, kế hoạch nên mô tả những mục đích của hoạch định liên tục do nhóm
BCP và các nhà quản lý cấp cao đề ra. Những mục đích này nên được quyết định
301 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
trong hoặc vào trước khi cuộc họp đầu tiên của nhóm BCP diễn ra và rất có khả
năng sẽ không thay đổi trong suốt vòng đời của BCP.
Mục đích chung nhất của BCP khá đơn giản: đảm bảo hoạt động liên tục của
doanh nghiệp khi đối mặt với một trường hợp khẩn cấp. Những mục đích khác
cũng có thể được chèn vào phần này của tài liệu để đáp ứng cho nhu cầu của tổ
chức. Ví dụ, bạn có thể có mục tiêu rằng trung tâm cuộc gọi khách hàng của bạn
trải qua thời gian ngừng hoạt động không quá 15 phút liên t ục hoặc các máy chủ
dự phòng của bạn có thể xử lý được 75% tải xử lý của bạn trong vòng một giờ
sau khi kích hoạt.
Tuyên bố về Tầm quan trọng
Tuyên bố về tầm quan trọng phản ánh mức độ quan trọng của BCP đối với khả
năng tồn tại liên tục của tổ chức. Tài liệu này thường có dạng một lá thư gửi
cho nhân viên của tổ chức, nêu rõ lý do mà tổ chức dành những nguồn lực đáng
kể cho quá trình phát triển BCP và yêu cầu sự hợp tác của tất cả nhân viên trong
giai đoạn triển khai BCP.
Đây là lúc tầm quan trọng của sự-tín-nhiệm của các giám đốc điều hành cấp cao
phát huy tác dụng. Nếu bạn có thể viết ra lá thư này với chữ ký của giám đốc
điều hành (CEO) hoặc một cán bộ ở cấp tương đương, kế hoạch sẽ có sức nặng
to lớn khi bạn cố gắng để triển khai những thay đổi trong toàn bộ tổ chức. Nếu
bạn có chữ ký của một nhà quản lý cấp-thấp-hơn [thấp hơn cấp điều hành], bạn
có thể sẽ gặp phải sự phản kháng khi cố gắng làm việc với các bộ phận của tổ
chức nằm ngoài tầm kiểm soát trực tiếp của cá nhân đó.
Tuyên bố về Độ ưu tiên
Tuyên bố về các ưu tiên xuất phát trực tiếp từ giai đoạn xác định các ưu tiên
của phân tích tác đ ộng kinh doanh. Nó ch ỉ đơn giản là liệt kê ra các chức năng
được coi là quan trọng để tiếp tục hoạt động kinh doanh theo một thứ tự được
ưu tiên. Khi liệt kê các ưu tiên này, bạn cũng nên kèm theo tuyên b ố rằng chúng
đã được phát triển như một phần của quy trình BCP và phản ánh tầm quan trọng
của các chức năng đối với hoạt động kinh doanh tiếp tục trong trường hợp khẩn
cấp và không gì khác. Nếu không, danh sách các ưu tiên có th ể được sử dụng
302 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
cho các mục đích ngoài ý muốn và dẫn đến một cuộc chiến chính trị giữa các tổ
chức cạnh tranh với nhau, gây phương hại đến kế hoạch liên tục kinh doanh.
Tuyên bố về Trách nhiệm Tổ chức
Tuyên bố về trách nhiệm của tổ chức cũng đến từ giám đốc điều hành cấp-cao
và có thể được kết hợp trong bức thư tuyên bố về tầm quan trọng. Nó lặp lại
quan điểm rằng “liên tục kinh doanh là trách nhiệm của tất cả mọi người!”.
Tuyên bố về trách nhiệm của tổ chức vẫn là cam kết của tổ chức đối với việc
hoạch định liên tục kinh doanh. Nó thông báo cho nhân viên, nhà cung c ấp và
các chi nhánh rằng tổ chức đang kỳ vọng họ thực hiện mọi điều có thể để hỗ trợ
cho quá trình BCP.
Tuyên bố về Tính khẩn cấp và Thời lượng
Tuyên bố về tính khẩn cấp và thời lượng thể hiện tầm quan trọng của việc triển
khai BCP và phác thảo khung thời gian triển khai được quyết định bởi nhóm BCP
và được thống nhất với các nhà quản lý cấp trên. Cách diễn đạt của tuyên bố
này sẽ phụ thuộc vào mức độ khẩn cấp thực tế được ấn định cho quy trình BCP
bởi ban lãnh đạo của tổ chức của bạn. Hãy xem xét việc đưa vào một tiến trình
thực hiện chi tiết để thúc đẩy cảm giác cấp bách
Đánh giá Rủi ro
Về cơ bản, phần đánh giá r ủi to trong tài liệu BCP sẽ tóm tắt lại quá trình đưa
ra quyết định được thực hiện trong quá trình phân tích tác đ ộng kinh doanh. Nó
nên bao gồm một cuộc thảo luận về tất cả các chức năng nghiệp vụ quan trọng
đã được xem xét trong BIA cũng như các phân tích đ ịnh lượng và định tính được
thực hiện để đánh giá rủi ro đối với các chức năng đó. Hãy bao gồm các số liệu
AV, EF, ARO, SLE và ALE thực tế trong phân tích định lượng. Ngoài ra, hãy mô
tả cho người đọc về quá trình suy nghĩ đằng sau phân tích. Cuối cùng, hãy nhớ
rằng quá trình đánh giá phản ánh sự đánh giá theo-thời-điểm và nhóm phải cập
nhật nó một cách thường xuyên để phản ánh được các điều kiện đang thay đổi.
Chấp thuận/Giảm nhẹ Rủi ro
Phần chấp thuận/giảm nhẹ rủi ro trong tài li ệu BCP chứa những kết quả tác động
của phần phát triển chiến lược của quy trình BCP. Nó nên bao g ồm từng rủi ro
303 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
đã được xác định trong phần phân tích rủi ro của tài liệu và phác thảo nên một
hoặc hai quá trình tư duy:
▪
Đối với những rủi ro được coi là có thể chấp nhận được, nó nên phác thảo
ra những lý do mà rủi ro được coi là có thể chấp nhận được cũng như các
sự kiện tiềm ẩn trong tương lai có thể bảo đảm cho việc xem xét lại quyết
định này.
▪
Đối với các rủi ro được coi là không thể chấp nhận được, phần này nên
phác thảo ra các thiết lập và quy trình quản lý rủi ro được áp dụng để
giảm thiểu rủi ro đối với khả năng tồn tại liên tục của tổ chức.
Thật quá dễ dàng khi nhìn vào một thách thức giảm thiểu rủi ro
khó khăn và nói, “Chúng tôi chấp nhận rủi ro này” trước khi
chuyển sang những việc ít khó khăn hơn. Các nhà ho ạch định liên
tục kinh doanh nên chống lại những tuyên bố này và yêu cầu các
nhà lãnh đạo doanh nghiệp ghi lại các quyết định chấp nhận rủi
ro của họ một cách chính thức. Nếu các kiểm toán viên sau này
xem xét kỹ lưỡng kế hoạch liên tục kinh doanh của bạn, họ chắc
chắn sẽ tìm kiếm các hiện vật chính thức của bất kỳ quyết định
chấp nhận rủi ro nào được đưa ra trong quy trình BCP.
Chương trình Hồ sơ Sống còn
Tài liệu BCP cũng nên phác thảo một chương trình hồ sơ sống còn cho tổ chức.
Tài liệu này nêu rõ vị trí nơi các hồ sơ kinh doanh quan trọng sẽ được lưu trữ
và các thủ tục để tạo ra và lưu trữ các bản sao dự phòng của các hồ sơ đó.
Một trong những thách thức lớn nhất trong việc triển khai một chương trình hồ
sơ sống còn thường là việc xác định các hồ sơ thiết yếu ngay từ ban đầu. Khi
nhiều tổ chức chuyển đổi từ quy trình làm việc dựa-trên-giấy-tờ sang kỹ thuật
số, họ thường đánh mất đi tính nghiêm ngặt tồn tại xung quanh việc tạo và duy
trì cấu trúc tập tin chính thức. Các hồ sơ sống còn hiện có thể bị phân tán giữa
nhiều hệ thống CNTT và dịch vụ đám mây. Một số có thể được lưu trữ trên các
máy chủ trung tâm mà các nhóm có thể truy cập được, trong khi một số khác có
304 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thể được đặt trong các kho lưu trữ kỹ thuật số được chỉ định cho một cá nhân
nhân viên.
Nếu tình trạng lộn xộn đó gần giống như thực tế hiện tại của bạn, bạn có thể sẽ
muốn bắt đầu chương trình hồ sơ sống còn của mình bằng cách xác định các hồ
sơ thực sự có tầm quan trọng đối với doanh nghiệp của bạn. Hãy ngồi xuống với
các nhà lãnh đạo chức năng và hỏi rằng, “Nếu chúng ta cần xây dựng lại tổ chức
của mình ngày hôm nay ở một vị trí hoàn toàn mới mà không cần quyền truy cập
vào bất kỳ máy tính hoặc tập tin nào của chúng ta, bạn sẽ cần hồ sơ nào?”. Việc
đặt câu hỏi theo cách này bắt buộc nhóm phải hình dung ra quy trình thực tế
của quá trình tái tạo lại hoạt động và khi họ đi qua các bước [của quy trình]
trong tâm trí của họ, họ sẽ tạo ra một bản kiểm kê về những hồ sơ sống còn của
tổ chức. Bản kiểm kê này có thể phát triển khi mọi người nhớ ra những nguồn
thông tin quan trọng khác, vì vậy bạn nên cân nhắc về việc sử dụng nhiều cuộc
trò chuyện để hoàn thiện nó.
Khi bạn đã xác định được các hồ sơ mà tổ chức của bạn coi là có tính chất sống
còn, nhiệm vụ tiếp theo là một nhiệm vụ đáng gờm: tìm ra chúng! Bạn nên có
khả năng xác định ra được các vị trí lưu trữ cho mỗi tài liệu đã được xác định
trong kho hồ sơ sống còn của bạn. Khi bạn đã hoàn thành nhiệm vụ này, sau đó
bạn có thể sử dụng bản kiểm kê hồ sơ sống còn này để thông báo cho phần còn
lại của các nỗ lực lập kế hoạch liên tục kinh doanh của bạn.
Hướng dẫn Ứng phó Tình huống khẩn cấp
Hướng dẫn ứng phó tình huống khẩn cấp phác thảo nên những trách nhiệm của
cá nhân và của tổ chức để ứng phó tức thời với một tình huống khẩn cấp. Tài
liệu này cung cấp cho những nhân viên đầu tiên phát hiện ra trường hợp khẩn
cấp các bước họ nên thực hiện để kích hoạt các thiết lập của BCP vốn không tự
động bắt đầu. Những nguyên tắc này nên bao gồm những điều sau đây:
▪
Các quy trình ứng phó tức thời (quy trình bảo mật và an toàn, quy trình
dập lửa, thông báo cho các cơ quan ứng phó khẩn cấp thích hợp, v.v…).
▪
Danh sách các cá nhân cần được thông báo về sự cố (giám đốc điều hành,
thành viên nhóm BCP, v.v…).
▪
Các thủ tục phản hồi thứ cấp mà những người phản hồi đầu tiên nên thực
hiện trong khi chờ nhóm BCP tập hợp lại.
305 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Những tài liệu hướng dẫn của bạn nên có thể dễ dàng tiếp cận đối với mọi người
trong tổ chức, những người có thể nằm trong số những người phản ứng đầu tiên
đối với một sự cố khủng hoảng. Bất cứ lúc nào xảy ra sự gián đoạn, thời gian là
điều cốt yếu. Sự chậm chạp trong việc kích hoạt các quy trình liên tục kinh
doanh của bạn có thể dẫn đến thời gian ngừng hoạt động không mong muốn cho
hoạt động kinh doanh của bạn.
Duy trì
Tài liệu BCP và chính bản thân kế hoạch phải là những tài liệu sống [nghĩa là
những tài liệu luôn thay đổi và cập nhật – người dịch]. Mọi tổ chức đều gặp phải
sự thay đổi gần như liên tục, và bản chất năng động này đảm bảo rằng các yêu
cầu đối với liên tục kinh doanh cũng sẽ tiến hóa. Nhóm BCP không nên giải tán
sau khi kế hoạch dã được phát triển nhưng vẫn nên họp định kỳ để thảo luận về
kế hoạch và xem xét kết quả của các lần kiểm tra kế hoạch để đảm bảo rằng nó
vẫn tiếp tục đáp ứng được các nhu cầu của tổ chức.
Những thay đổi nhỏ đối với kế hoạch không đòi hỏi phải tiến hành toàn bộ quá
trình phát triển BCP lại từ đầu, nhóm BCP có thể đưa chúng vào một cuộc họp
không chính thức khi có sự đồng ý nhất trí. Tuy nhiên, hãy nhớ rằng những thay
đổi mạnh mẽ trong sứ mệnh hoặc nguồn lực của tổ chức có thể đòi hỏi phải quay
lại bảng vẽ BCP và bắt đầu lại quá trình.
Bất kỳ khi nào bạn thực hiện một thay đổi đối với BCP, bạn phải thực hành kiểm
soát phiên bản một cách hợp lý. Tất cả các phiên bản cũ hơn của BCP nên bị hủy
bỏ và được thay thế bằng phiên bản mới nhất để không có sự nhầm lẫn nào tồn
tại về việc triển khai chính xác [phiên bản] BCP.
Một thực tiễn tốt là bao gồm các thành phần BCP vào các mô tả công việc để
đảm bảo rằng BCP vẫn tươi mới và để gia tăng khả năng các thành viên trong
nhóm thực hiện trách nhiệm BCP của họ một cách chính xác. Việc bao gồm các
trách nhiệm BCP trong mô tả công việc của nhân viên cũng khiến chúng trở thành
một trò chơi công bằng cho quá trình đánh giá hiệu suất.
306 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Kiểm nghiệm và Kiểm tra
Tài liệu BCP cũng nên phác thảo ra một chương trình kiểm tra chính thức để đảm
bảo rằng kế hoạch vẫn giữ được sự hiện hành. Quá trình kiểm tra cũng xác minh
rằng các thành viên của nhóm nhận được sự đào tạo đầy đủ để thực hiện những
trách nhiệm của họ khi xảy ra thảm họa. Quá trình kiểm nghiệm khá giống với
những gì được sử dụng cho kế hoạch khôi phục sau thảm họa, do dó, chúng tôi
sẽ để dành cuộc thảo luận về các kiểu kiểm nghiệm cụ thể cho Chương 18.
Tóm tắt
Mọi tổ chức phụ thuộc vào các nguồn lực công nghệ để tồn tại đều nên có một
kế hoạch liên tục kinh doanh toàn diện để đảm bảo khả năng tồn tại bền vững
của tổ chức khi các tình huống khẩn cấp xảy ra. Một số khái niệm quan trọng
làm nền tảng cho những thực tiễn lập kế hoạch liên tục kinh doanh, bao gồm lập
phạm vi và hoạch định dự án, phân tích tác động kinh doanh, hoạch định liên
tục, phê duyệt và triển khai.
Mọi tổ chức đều phải có các kế hoạch và thủ tục để giúp giảm thiểu tác động
của một thảm họa đối với việc tiếp tục hoạt động và để gia tăng tốc độ trở lại
hoạt động bình thường. Để xác định những rủi ro đối với các chức năng nghiệp
vụ quan trọng của bạn cần phải được giảm thiểu, bạn phải làm việc với một
nhóm chức-năng-chéo để thực hiện phân tích tác động kinh doanh từ cả quan
điểm định lượng lẫn định tính. Bạn phải thực hiện các bước thích hợp trong việc
phát triển một chiến lược liên tục cho tổ chức của mình và biết cần phải làm gì
để vượt qua các thảm họa trong tương lai.
Cuối cùng, bạn phải tạo ra tài liệu cần thiết để đảm bảo truyền thông một cách
hiệu quả kế hoạch của bạn cho những người tham gia nhóm BCP hiện tại và trong
tương lai. Tài liệu như vậy phải bao gồm kế hoạch liên tục hoạt động (COOP).
Kế hoạch liên tục kinh doanh cũng phải bao gồm các tuyên bố về tầm quan trọng,
ưu tiên, trách nhiệm của tổ chức và thời lượng. Ngoài ra, tài liệu cũgn cần bao
gồm các kế hoạch đánh giá, chấp nhận và giảm thiểu rủi ro, một chương trình
hồ sơ quan trọng, hướng dẫn ứng phó tình huống khẩn cấp, và các thủ tục để
duy trì và kiểm nghiệm.
307 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Chương 18 sẽ đưa việc lập kế hoạch này sang bước tiếp theo - phát triển và
triển khai kế hoạch khôi phục sau thảm họa bao gồm các biện pháp kiểm soát kỹ
thuật cần thiết để giữ cho doanh nghiệp của bạn vẫn tiếp tục hoạt động khi đối
mặt với một thảm họa.
Những điều thiết yếu cho Kỳ thi
Hiểu được bốn bước của quy trình lập kế hoạch liên tục kinh doanh.
Lập kế hoạch liên tục kinh doanh bao gồm bốn giai đoạn riêng biệt: lập
phạm vi và hoạch định dự án, phân tích tác động kinh doanh, hoạch định
liên tục, phê duyệt và thực hiện. Mỗi nhiệm vụ đều đóng góp vào mục đích
tổng thể là đảm bảo hoạt động kinh doanh tiếp tục không bị gián đoạn khi
đối mặt với một tình huống khẩn cấp.
Mô tả được cách thực hiện phân tích tổ chức kinh doanh. Trong phân
tích tổ chức kinh doanh, các cá nhân ch ịu trách nhiệm cho việc lãnh đạo
quá trình BCP xác định bộ phận và cá nhân nào có cổ phần trong kế hoạch
liên tục kinh doanh. Phân tích này đóng vai trò là n ền tảng cho việc lựa
chọn nhóm BCP và sau khi đ ược nhóm BCP xác nhận, được sử dụng để định
hướng cho các giai đoạn phát triển tiếp theo của BCP.
Liệt kê được các thành viên cần thiết của nhóm hoạch định liên tục
kinh doanh. Tối thiểu, nhóm BCP tối thiểu nên có đại diện của từng bộ
phận hỗ trợ và vận hành, các chuyên gia kỹ thuật từ bộ phận CNTT, nhân
viên bảo mật về mặt vật lý và CNTT với các kỹ năng BCP, đại diện pháp lý
quen thuộc với những trách nhiệm pháp lý, quy định và hợp đồng của công
ty, và các đại diện từ các nhà quản lý cấp cao. Các thành viên trong nhóm
bổ sung phụ thuộc vào cấu trúc và bản chất của tổ chức.
Biết được các yêu cầu pháp lý và quy định mà các nhà hoạch định
liên tục kinh doanh phải đối mặt. Các nhà lãnh đạo doanh nghiệp phải
thực hiện trách nhiệm giải trình để đảm bảo rằng lợi ích của cổ đông được
bảo vệ trong trường hợp xảy ra thảm họa. Một số ngành cũng phải tuân
theo các quy định của liên bang, tiểu bang và địa phương bắt buộc những
thủ tục BCP cụ thể. Nhiều doanh nghiệp cũng có các nghĩa vụ hợp đồng
đối với khách hàng mà họ phải đáp ứng trước, trong và sau một thảm họa.
308 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Giải thích được các bước của quy trình phân tích tác đ ộng kinh
doanh. Năm giai đoạn của quá trình phân tích tác đ ộng kinh doanh bao
gồm xác định các ưu tiên, xác định rủi ro, đánh giá khả năng xảy ra, phân
tích tác động và ưu tiên nguồn lực.
Mô tả được quy trình được sử dụng để phát triển một chiến lược
liên tục. Trong giai đoạn phát triển chiến lược, nhóm BCP xác định những
rủi ro nào họ sẽ giảm thiểu. Trong giai đoạn thiết lập và xử lý, nhóm sẽ
thiết kế nên các cơ chế và thủ tục sẽ giảm thiểu các rủi ro đã được xác
định. Kế hoạch sau đó phải được các nhà quản lý cấp cao phê duyệt và
triển khai. Nhân viên cũng phải được đào tạo về vai trò của họ trong quy
trình BCP.
Giải thích được tầm quan trọng của việc lập thành văn bản một cách
toàn diện kế hoạch liên tục kinh doanh của một tổ chức. Việc cam
kết kế hoạch bằng văn bản cung cấp cho tổ chức một hồ sơ bằng văn bản
về các thủ tục cần tuân theo khi thảm họa xảy ra. Nó ngăn ngừa hội chứng
“nó đang nằm trong đầu tôi (it’s in my head)” và đảm bảo tiến trình có
trật tự của các sự kiện trong một tình huống khẩn cấp.
Bài tập Viết
1.
Tại sao nhất thiết phải bao gồm các đại diện từ bộ phận pháp lý trong
nhóm hoạch định liên tục kinh doanh của bạn?
2.
Có gì sai khi áp dụng cách tiếp cận không chính thức để lập kế hoạch
liên tục kinh doanh?
3.
Sự khác biệt giữa đánh giá định lượng và định tính là gì?
4.
Bạn nên bao gồm những thành phần quan trọng nào trong kế hoạch đào
tạo liên tục kinh doanh của mình?
5.
Bốn bước chính của quy trình lập kế hoạch liên tục kinh doanh là gì?
Câu hỏi Đánh giá
1.
Gần đây, James đã được CIO của tổ chức của anh ấy yêu cầu dẫn dắt
một nhóm cốt lõi bao gồm 4 chuyên gia trong một quy trình hoạch định
liên tục kinh doanh cho tổ chức của anh ấy. Bước đầu tiên mà nhóm
cốt lõi này nên thực hiện là gì?
309 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
A. Lựa chọn thành viên nhóm BCP.
B. Phân tích tổ chức kinh doanh.
C. Phân tích các yêu cầu về nguồn lực.
D. Đánh giá các luật lệ và quy định.
2.
Tracy đang chuẩn bị cho bài tập liên tục kinh doanh hàng năm của tổ
chức và vấp phải sự phản đối từ một số nhà quản lý, những người không
coi bài tập này là quan trọng và cảm thấy rằng nó là một sự lãng phí
tài nguyên. Cô ấy đã nói với các quản lý rằng sẽ chỉ mất nửa ngày để
nhân viên của họ tham gia. Tracy có thể lập luận gì để giải quyết tốt
nhất những mối lo ngại này?
A. Bài tập là bắt buộc bởi chính sách.
B. Bài tập đã được lên lịch và việc hủy bỏ nó sẽ rất khó khăn.
C. Bài tập là rất quan trọng để đảm bảo rằng tổ chức được chuẩn bị
cho các trường hợp khẩn cấp.
D. Bài tập sẽ không tốn nhiều thời gian.
3.
Ban giám đốc của Clashmore Circuits tiến hành một đánh giá hàng năm
về quá trình lập kế hoạch liên tục kinh doanh để đảm bảo rằng các biện
pháp thích hợp được áp dụng để giảm thiểu ảnh hưởng của thảm họa
đối với khả năng tồn tại liên tục của tổ chức. Họ đang đáp ứng nghĩa
vụ gì khi xem xét này?
A. Trách nhiệm công ty.
B. Yêu cầu về thảm họa.
C. Trách nhiệm giải trình.
D. Mối quan tâm đến trách nhiệm.
4.
Darcy đang dẫn dắt nỗ lực BCP cho tổ chức của cô ấy và hiện tại đang
trong giai đoạn lập phạm vi và hoạch định dự án. Cô ấy nên mong đợi
điều gì sẽ là nguồn lực chính mà quá trình BCP tiêu th ụ trong giai đoạn
này?
A. Phần cứng.
B. Phần mềm.
C. Thời gian xử lý.
D. Nhân viên.
310 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
5.
Ryan đang hỗ trợ nỗ lực phân tích tác động kinh doanh hàng năm của
tổ chức của anh ấy. Anh ấy được yêu cầu chỉ định các giá trị định lượng
cho tài sản như một phần của bài tập xác định mức độ ưu tiên. Anh ấy
nên sử dụng đơn vị đo nào?
A. Tiền tệ.
B. Tính tiện ích.
C. Tầm quan trọng.
D. Thời gian.
6.
Renee đang báo cáo về kết quả BIA của tổ chức của cô cho các nhà
lãnh đạo cấp cao. Họ bày tỏ sự thất vọng về tất cả các chi tiết, và một
trong số họ nói, “Hãy nhìn xem, chúng ta chỉ cần biết chúng ta nên dự
kiến những rủi ro này sẽ khiến chúng ta phải trả giá bao nhiêu mỗi
năm”. Renee có thể đưa ra biện pháp nào đ ể trả lời câu hỏi này một
cách tốt nhất?
A. ARO.
B. SLE.
C. FTA.
D. EF.
7.
Jake đang tiến hành phân tích tác động kinh doanh cho tổ chức của
mình. Là một phần của quy trình, ông yêu cầu các nhà lãnh đạo từ các
đơn vị khác nhau cung cấp thông tin đầu vào về việc hệ thống hoạch
định nguồn lực doanh nghiệp (ERP) có thể không sẵn sàng trong bao
lâu mà không gây ra những tổn hại không thể khắc phục được cho tổ
chức. Ông ấy đang tìm cách xác định thước đo nào?
A. SLE.
B. EF.
C. BAT.
D. ARO.
8.
Bạn đã lo ngại về rủi ro mà một trận tuyết lở gây ra cho cơ sở vận tải
trị giá 3 triệu đô la của bạn. Dựa trên ý kiến của chuyên gia, bạn xác
định rằng có 5% khả năng một trận lở tuyết sẽ xảy ra mỗi năm. Các
chuyên gia khuyên bạn rằng một trận tuyết lở sẽ phá hủy hoàn toàn
tòa nhà của bạn và đòi hỏi bạn phải xây dựng lại trên cùng một khu
311 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
đất. 90% của giá trị 3 triệu đô la của cơ sở được quy cho tòa nhà, và
10% được quy cho chính khu đất. Tổn thất đơn lẻ dự kiến (SLE) của cơ
sở vận tải của bạn đối với sự kiện tuyết lở là bao nhiêu?
A. 3 triệu đô la.
B. 2,700,000 đô la.
C. 270,000 đô la.
D. 135,000 đô la.
9.
Đề cập đến kịch bản trong câu hỏi 8, tổn thất theo hàng năm dự kiến
là bao nhiêu?
A. 3 triệu đô la.
B. 2,700,000 đô la.
C. 270,000 đô la.
D. 135,000 đô la.
10.
Bạn đã lo ngại về rủi ro mà một cơn bão gây ra cho trụ sở công ty của
bạn ở Nam Florida. Bản thân tòa nhà được định giá 15 triệu đô la. Sau
khi tham khảo ý kiến của Dịch vụ Thời tiết Quốc gia (National Weather
Service), bạn xác định rằng có 10% khả năng một cơn bão sẽ tấn công
trong suốt một năm. Bạn đã thuê một nhóm kiến trúc sư và kỹ sư,
những người xác định rằng một cơn bão trung bình sẽ phá hủy khoảng
50% tòa nhà. Tổn thất theo hàng năm dự kiến (ALE) là bao nhiêu?
A. 750,000 đô la.
B. 1,5 triệu đô la.
C. 7,5 triệu đô la.
D. 15 triệu đô la.
11.
Chris đang hoàn thành tài liệu chấp thuận rủi ro cho kế hoạch liên tục
kinh doanh của tổ chức của mình. Điều nào dưới đây mà Chris ít có khả
năng đưa vào tài liệu này nhất?
A. Liệt kê các rủi ro được cho là có thể chấp nhận được.
B. Liệt kê các sự kiện trong tương lai có thể đảm bảo việc xem xét lại
các quyết định chấp nhận rủi ro.
C. Các biện pháp kiểm soát giảm thiểu rủi ro được thực hiện để giải
quyết các rủi ro có thể chấp nhận được.
D. Cơ sở để xác định rằng rủi ro có thể chấp nhận được.
312 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
12.
Brian đang phát triển các thiết lập và xử lý trong kế hoạch liên tục cho
tổ chức của mình. Tài nguyên nào anh ấy nên bảo vệ như mức ưu tiên
cao nhất trong các kế hoạch đó?
A. Nhà máy vật lý.
B. Cơ sở hạ tầng.
C. Tài chính.
D. Con người.
13.
Ricky đang tiến hành phần định lượng của phân tích tác động kinh
doanh của tổ chức của anh ấy. Mối quan tâm nào sau đây ít phù hợp
nhất đối với phép đo định lượng trong quá trình đánh giá này?
A. Mất nhà máy.
B. Thiệt hại cho một chiếc xe.
C. Cái nhìn tiêu cực của công chúng.
D. Mất điện.
14.
Lighter Air Industries dự kiến rằng họ sẽ mất 10 triệu đô la nếu một
cơn lốc xoáy tấn công cơ sở vận hành hàng không của họ. Họ dự kiến
rằng một cơn lốc xoáy có thể tấn công cơ sở cứ sau 100 năm. Tổn thất
đơn lẻ dự kiến cho kịch bản này là bao nhiêu?
A. 0.01.
B. 10 triệu đô la.
C. 100,000 đô la.
D. 0,10.
15.
Đề cập đến kịch bản trong câu hỏi 14, tổn thất theo hàng năm dự kiến
là bao nhiêu?
A. 0.01.
B. 10 triệu đô la.
C. 100,000 đô la.
D. 0,10.
16.
Bạn sẽ thực sự thiết kế các thủ tục và cơ chế để giảm thiểu rủi ro mà
đã được nhóm BCP cho là không thể chấp nhận được trong nhiệm vụ
lập kế hoạch kinh doanh nào?
A. Phát triển chiến lược.
B. Phân tích tác động kinh doanh.
313 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C. Thiết lập và xử lý.
D. Ưu tiên nguồn lực.
17.
Matt đang giám sát việc cài đặt các kết nối giao tiếp dự phòng để ứng
phó với một phát hiện trong quá trình BIA của tổ chức anh ấy. Matt
đang giám sát kiểu thiết lập giảm thiểu nào?
A. Hệ thống được củng cố.
B. Xác định hệ thống.
C. Giảm thiểu hệ thống.
D. Hệ thống thay thế.
18.
Helen đang thực hiện các kế hoạch phục hồi của tổ chức và người quản
lý của cô ấy hỏi cô ấy liệu tổ chức có đủ các biện pháp kiểm soát kỹ
thuật để khôi phục hoạt động sau khi bị gián đoạn hay không. Kiểu kế
hoạch nào sẽ xác định các biện pháp kiểm soát kỹ thuật liên quan đến
các cơ sở vật chất xử lý thay thế, các bản sao lưu và khả năng chịu
lỗi?
A. Kế hoạch liên tục kinh doanh.
B. Phân tích tác động kinh doanh.
C. Kế hoạch khôi phục sau thảm họa.
D. Đánh giá lỗ hổng.
19.
Darren lo ngại về nguy cơ mất điện nghiêm trọng ảnh hưởng đến trung
tâm dữ liệu của tổ chức của anh. Anh tham vấn phân tích tác động kinh
doanh của tổ chức và xác định rằng ARO của sự cố mất điện là 20%.
Ông đã lưu ý rằng quá trình đánh giá đã diễn ra cách đây ba năm và
không có sự cố mất điện nào xảy ra. ARO nên sử dụng điều gì trong
đánh giá năm nay, với giả định rằng không có trường hợp nào trong
phân tích đã thay đổi?
A. 20%.
B. 50%.
C. 75%.
D. 100%.
20.
Trong số những cá nhân được liệt kê dưới đây, ai sẽ cung cấp sự xác
thực tốt nhất cho tuyên bố về tầm quan trọng của kế hoạch liên tục
kinh doanh?
314 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
A. Phó chủ tịch vận hành doanh nghiệp.
B. Giám đốc thông tin (CIO).
C. Giám đốc điều hành (CEO).
D. Nhà quản lý liên tục kinh doanh.
315 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C h ư ơn g 4
Luật lệ, Quy định và Tuân thủ
CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM:
✓
Lĩnh vực 1.0: Bảo mật và Quản lý Rủi ro
▪
1.4 Xác định các yêu cầu tuân thủ và các yêu cầu khác
▪
1.4.1 Các yêu cầu hợp đồng, pháp lý, tiêu chuẩn ngành và quy
định
▪
▪
1.4.2 Các yêu cầu về quyền riêng tư
1.5 Hiểu được các vấn đề về pháp lý và quy định có liên quan đến
bảo mật thông tin trong một bối cảnh toàn diện
▪
1.5.1 Tội phạm mạng và vi phạm dữ liệu
▪
1.5.2 Các yêu cầu cấp phép và tài sản sở hữu trí tuệ (IP)
▪
1.5.3 Các biện pháp kiểm soát nhập khẩu/xuất khẩu
▪
1.5.4 Luồng dữ liệu xuyên biên giới
▪
1.5.5 Quyền riêng tư
316 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Thế giới của sự tuân thủ là một khu rừng pháp lý và quy
định đối với các chuyên gia công nghệ thông tin và an ninh mạng. Các chính
quyền quốc gia, tiểu bang và địa phương đều đã thông qua các luật chồng chéo
quy định các thành phần khác nhau của an ninh mạng theo một cách thức chắp
vá. Điều này dẫn đến một bức tranh toàn cảnh cực kỳ khó hiểu đối với các chuyên
gia bảo mật, những người phải điều hòa luật lệ của nhiều khu vực pháp lý. Mọi
thứ thậm chí còn trở nên phức tạp hơn đối với các công ty đa quốc gia, những
công ty cũng phải điều hướng sự khác biệt giữa luật pháp quốc tế.
Các cơ quan thực thi luật pháp đã giải quyết vấn đề tội phạm mạng một cách
đầy thích thú trong những năm gần đây. Các nhánh lập pháp của các chính phủ
trên thế giới ít nhất đã cố gắng giải quyết các vấn đề về tội phạm mạng. Rất
nhiều cơ quan thực thi pháp luật có các nhà điều tra tội phạm máy tính toànthời-gian, được đào-tạo-bài-bản và được đào tạo nâng cao về bảo mật. Những
người thường không biết phải rẽ ở đâu khi họ yêu cầu loại kinh nghiệm này.
Trong chương này, chúng tôi sẽ đề cập đến các loại luật lệ khác nhau xử lý các
vấn đề bảo mật máy tính. Chúng tôi sẽ xem xét các vấn đề pháp lý xoay quanh
tội phạm máy tính, quyền riêng tư, sở hữu trí tuệ và một số chủ đề liên quan
khác. Chúng tôi cũng sẽ đề cập đến các kỹ thuật điều tra cơ bản, bao gồm cả
những ưu và nhược điểm của việc kêu gọi sự hỗ trợ từ cơ quan thực thi pháp
luật.
Các loại Luật
Có ba thể loại luật lệ chính đóng một vai trò trong hệ thống pháp luật của Hoa
Kỳ. Mỗi loại được sử dụng để bao gồm nhiều trường hợp khác nhau và các hình
phạt đối với việc vi phạm luật pháp trong các loại luật khác nhau rất khác nhau.
Trong các phần tiếp theo, bạn sẽ tìm hiểu cách thức luật hình sự, luật dân sự
317 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
và luật hành chính tương tác với nhau như thế nào để tạo thành mạng lưới phức
tạp của hệ thống tư pháp của chúng tôi.
Luật Hình sự
Luật hình sự định hình nền tảng của cơ quan luật bảo vệ hòa bình và giữ cho xã
hội của chúng ta an toàn. Rất nhiều phiên tòa nổi-tiếng liên quan đến các vấn
đề liên quan đến luật hình sự, đây là những bộ luật mà cảnh sát và các cơ quan
thực thi pháp luật khác quan tâm. Luật hình sự có những điều cấm đối với các
hành vi như giết người, hành hung, cướp của và đốt phá. Các hình phạt đối với
việc vi phạm quy chế hình sự nằm trong phạm vi bao gồm số giờ bắt buộc phục
vụ cộng đồng, hình phạt tiền dưới các khoản tiền phạt (nhỏ và lớn), và tước
quyền tự do dân sự dưới hình thức án tù.
Kịch bản trong Thế giới Thực
Đừng Đánh giá thấp các Điều tra viên Tội phạm Công nghệ
Một người bạn tốt của một trong các tác giả là một điều tra viên tội phạm
công nghệ của sở cảnh sát địa phương. Anh thường xuyên nhận được các
trường hợp lạm dụng máy tính liên quan đến các email đe dọa và các bài đăng
trên trang web.
Mới đây, anh đã chia sẻ câu chuyện về lời đe dọa đánh bom được gửi qua email
cho một trường trung học địa phương. Thủ phạm đã gửi một bức thư đe dọa
đến hiệu trưởng nhà trường để tuyên bố rằng quả bom sẽ phát nổ lúc 1 giờ
chiều và cảnh báo ông ta nên sơ tán trường học. Bạn của tác giả nhận được
cảnh báo lúc 11 giờ sáng, khiến anh ta chỉ có hai giờ để điều tra tội phạm và
tư vấn cho hiệu trưởng về cách hành động tốt nhất.
Anh nhanh chóng bắt đầu ban hành trát đòi hầu tòa khẩn cấp cho các nhà cung
cấp dịch vụ Internet và đã truy được email đến một máy tính trong thư viện
của trường. Lúc 12:15 đêm, anh đối mặt với nghi phạm với các đoạn băng giám
sát cho thấy nghi phạm đang sử dụng máy tính trong thư viện cũng như các
nhật ký kiểm tra chứng minh rằng nghi phạm chính là người đã gửi email.
Chàng học sinh nhanh chóng thừa nhận rằng mối đe dọa không gì khác hơn là
318 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
một âm mưu để ra khỏi trường sớm một vài giờ. Lời giải thích của anh chàng
này là gì? “Tôi không nghĩ rằng có ai đó quanh đây có thể theo dõi những thứ
như vậy”.
Hắn đã sai rồi.
Một số luật hình sự nhằm mục đích bảo vệ xã hội chống lại tội phạm máy tính.
Trong những phần sau của chương này, bạn sẽ tìm hiểu cách mà một số luật,
chẳng hạn như Đạo luật về Lạm dụng và Gian lận Máy tính (Computer Fraud and
Abuse Act), Đạo luật về Quyền riêng tư của Giao tiếp Điện tử (Electronic
Communication Privacy Act), và Đạo luật Răn đe Giả mạo và Trộm cắp Danh tính
(Identity Theft and Assumption Deterrence Act) (trong s ố rất nhiều đạo luật
khác), đưa ra những hình phạt hình sự đối với các trường hợp tội phạm máy tính
nghiêm trọng. Các công tố viên hiểu biết về kỹ thuật kết hợp với các cơ quan
thực thi pháp luật liên quan đã giáng một đòn nghiêm trọng vào nạn “tin tặc
ngầm” bằng cách sử dụng hệ thống tòa án để tuyên các án tù kéo dài đối với
những người phạm tội về hành vi đã từng được coi là những trò đùa vô hại.
Ở Hoa Kỳ, cơ quan lập pháp các cấp của chính phủ thiết lập các đạo luật hình
sự thông qua các đại diện dân cử. Ở cấp liên bang, cả Hạ viện và Thượng viện
đều phải thông qua các dự luật luật hình sự bằng đa số phiếu (trong hầu hết
các trường hợp) để dự luật trở thành luật. Khi đã được thông qua, những đạo
luật này sau đó trở thành đạo luật của liên bang và áp dụng trong mọi trường
hợp mà chính phủ liên bang có quyền tài phán (chủ yếu là các trường hợp liên
quan đến thương mại giữa các tiểu bang, các trường hợp vượt qua ranh giới tiểu
bang hoặc các trường hợp vi phạm chính phủ liên bang). Nếu quyền tài phán của
liên bang không được áp dụng, các nhà chức trách của tiểu bang sẽ xử lý vụ
việc bằng cách sử dụng các đạo luật được các nhà lập pháp của tiểu bang thông
qua theo cách thức tương tự.
Mọi đạo luật liên bang và tiểu bang đều phải tuân thủ cơ quan quyền lực tối cao
quy định cách thức hoạt động của hệ thống chính phủ Hoa Kỳ - Hiến pháp Hoa
Kỳ. Tất cả các đạo luật đều phải chịu sự xem xét tư pháp của các tòa án khu
vực với quyền kháng cáo lên Tòa án T ối cao Hoa Kỳ. Nếu một tòa án phát hiện
319 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
ra rằng một đạo luật là vi hiến thì tòa án có quyền bãi bỏ và tuyên bố nó không
còn hiệu lực.
Hãy lưu ý rằng luật hình sự là một vấn đề nghiêm trọng. Nếu bạn thấy mình có
liên quan - với tư cách là nhân chứng, bị cáo hoặc nạn nhân - trong một vấn đề
mà cơ quan hình sự có liên quan, bạn nên tìm kiếm lời khuyên từ một luật sư
quen thuộc với hệ thống tư pháp hình sự và đặc biệt là về các vấn đề tội phạm
máy tính. Thật không khôn ngoan nếu “đi một mình” trong một hệ thống phức
tạp như vậy.
Luật Dân sự
Luật dân sự tạo hình thành nên phần lớn cơ quan luật pháp của Hoa Kỳ. Chúng
được thiết kế để cung cấp cho một xã hội có trật tự và quản lý các vấn đề không
phải là tội phạm nhưng đòi hỏi một trọng tài công bằng để giải quyết giữa các
cá nhân và tổ chức. Ví dụ về các loại vấn đề có thể được xét xử theo luật dân
sự bao gồm những tranh chấp hợp đồng, giao dịch bất động sản, vấn đề lao
động và thủ tục di sản/xác thực di chúc. Luật dân sự cũng được sử dụng để tạo
ra khuôn khổ của chính phủ mà cơ quan hành pháp sử dụng để thực thi trách
nhiệm của mình. Các luật này cung cấp ngân sách cho các hoạt động của chính
phủ và quy định thẩm quyền được cấp cho cơ quan hành pháp để tạo ra các luật
hành chính (xem phần tiếp theo).
Luật dân sự được ban hành tương tự như luật hình sự. Chúng cũng phải thông
qua quy trình lập pháp trước khi ban hành và phải tuân theo cùng các thông s ố
hiến pháp và thủ tục xem xét tư pháp. Ở cấp độ liên bang, cả luật hình sự và
luật dân sự đều được thể hiện trong Bộ luật Hoa Kỳ (United States Code - USC).
Sự khác biệt chính giữa luật dân sự và luật hình sự là cách thức chúng được
thực thi. Thông thường, các cơ quan thực thi pháp luật không can dự vào các
vấn đề của luật dân sự ngoài việc thực hiện các hành động cần thiết để khôi
phục trật tự. Trong một phiên truy tố hình sự, chính phủ, thông qua các nhà
điều tra và công tố viên thực thi pháp luật sẽ tiến hành hành động chống lại
một người bị cáo buộc phạm tội. Trong các vấn đề dân sự, người cho rằng họ đã
bị đối xử sai có trách nhiệm phải nhờ cố vấn pháp lý và khởi kiện dân sự chống
lại người mà họ cho là có trách nhiệm về khiếu kiện của họ. Chính phủ (trừ khi
320 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
đó là nguyên đơn hoặc bị đơn) không đứng về bên nào trong tranh chấp hoặc
tranh luận quan điểm này hay quan điểm khác. Vai trò duy nhất của chính phủ
trong các vấn đề dân sự là cung cấp các thẩm phán, bồi thẩm đoàn và các cơ sở
tòa án được sử dụng để xét xử các vụ án dân sự và đóng vai trò hành chính
trong việc quản lý hệ thống tư pháp theo quy định của pháp luật.
Giống như đối với luật hình sự, cách tốt nhất là nhờ hỗ trợ pháp lý nếu bạn nghĩ
rằng bạn cần phải nộp đơn khiếu kiện dân sự hoặc nếu ai đó nộp đơn kiện dân
sự chống lại bạn. Mặc dù luật dân sự không áp dụng việc đe dọa bỏ tù, nhưng
bên thua kiện có thể phải đối mặt với các hình phạt nghiêm khắc về tài chính.
Bạn không cần phải tìm kiếm gì xa hơn ngoài những tin tức hàng ngày để biết
ví dụ - các vụ kiện hàng triệu đô la chống lại các công ty thuốc lá, các tập đoàn
lớn và các cá nhân giàu có được đưa ra mỗi ngày.
Luật Hành chính
Cơ quan hành pháp của chính phủ Hoa Kỳ trông nom rất nhiều cơ quan có trách
nhiệm trên phạm vi rộng để đảm bảo rằng chính phủ hoạt động hiệu quả. Nhiệm
vụ của các cơ quan này là tuân thủ và thực thi các luật hình sự và dân sự được
ban hành bởi ngành lập pháp. Tuy nhiên, có thể dễ dàng hình dung được rằng
luật hình sự và dân sự không thể đưa ra các quy tắc và thủ tục cần tuân thủ
trong mọi tình huống có thể xảy ra. Do đó, các cơ quan hành pháp đã gặp phải
một số khó khăn trong việc ban hành luật hành chính, dưới dạng các mệnh lệnh
hành pháp, các chính sách, th ủ tục và các quy định chi phối hoạt động hàng
ngày của cơ quan. Luật hành chính bao gồm các chủ đề trần tục như các thủ tục
được sử dụng trong cơ quan liên bang để nhận được điện thoại bàn về các vấn
đề quan trọng hơn như chính sách nhập cư sẽ được sử dụng để thực thi các luật
đã được thông qua bởi Quốc hội. Luật hành chính được công bố trong Bộ luật
Quy định Liên bang (Code of Federal Regulations - CFR).
Mặc dù luật hành chính không yêu cầu một hành động của ngành lập pháp để có
được hiệu lực của luật, nhưng nó phải tuân thủ tất cả các luật dân sự và hình
sự hiện hành. Các cơ quan chính phủ có thể không được triển khai các quy định
mâu thuẫn trực tiếp với các luật hiện hành đã được cơ quan lập pháp thông qua.
321 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hơn nữa, luật hành chính (và hành đ ộng của các cơ quan chính phủ) cũng phải
tuân thủ Hiến pháp Hoa Kỳ và phải được xem xét lại bởi cơ quan tư pháp.
Để hiểu được các yêu cầu và thủ tục tuân thủ, bạn phải hoàn toàn thông hiểu
về sự phức tạp của luật. Từ luật hành chính đến luật dân sự đến luật hình sự
(và, ở một số quốc gia, thậm chí cả luật tôn giáo), việc điều hướng môi trường
pháp lý là một nhiệm vụ cực kỳ khó khăn. Kỳ thi CISSP tập trung vào các nội
dung tổng quát của luật, quy định, điều tra và tuân thủ vì chúng ảnh hưởng đến
những nỗ lực bảo mật của tổ chức. Cụ thể, bạn sẽ cần phải:
▪
Hiểu được các vấn đề về pháp lý và quy định liên quan đến bảo mật thông
tin theo một khái niệm tổng thể.
▪
Xác định sự tuân thủ và các yêu cầu khác áp dụng cho tổ chức của bạn.
Tuy nhiên, trách nhiệm của bạn là tìm kiếm sự trợ giúp chuyên nghiệp (tức là
luật sư) để hướng dẫn và hỗ trợ bạn trong nỗ lực duy trì bảo mật hợp pháp và
được hỗ trợ về mặt pháp lý.
Các Luật
Trong suốt các phần này, chúng ta sẽ cùng xem xét một số luật liên quan đến
công nghệ thông tin. Chúng ta sẽ xem xét một số đạo luật của Hoa Kỳ. Chúng
ta cũng sẽ xem xét ngắn gọn một số luật nổi tiếng ngoài Hoa Kỳ, chẳng hạn như
Quy định Chung về Bảo vệ Dữ liệu của Liên minh Châu Âu (General Data
Protection Regulation - GDPR). Bất kể, nếu bạn hoạt động trong một môi trường
liên quan đến các khu vực pháp lý nước ngoài, bạn nên thuê cố vấn pháp lý tại
địa phương để hướng dẫn bạn thông qua hệ thống.
Mỗi chuyên gia bảo mật thông tin nên có một hiểu biết cơ bản về
luật pháp khi nó có liên quan đ ến công nghệ thông tin. Tuy nhiên,
bài học kinh nghiệm quan trọng nhất học được là việc biết được
khi nào thì cần gọi một luật sư. Nếu bạn nghĩ rằng bạn đang trong
“vùng xám” của luật pháp, tốt nhất là nên tìm kiếm các dịch vụ
[pháp lý] chuyên nghiệp.
322 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tội phạm Máy tính
Vấn đề bảo mật máy tính đầu tiên được giải quyết bởi các cơ quan lập pháp là
những vấn đề liên quan đến tội phạm máy tính. Các vụ truy tố tội phạm máy tính
ban đầu đã được thực hiện theo luật hình sự truyền thống, và nhiều vụ đã bị
bác bỏ vì các thẩm phán cho rằng việc áp dụng luật truyền thống cho loại tội
phạm hiện đại này là quá mức xa vời. Các nhà lập pháp đã phản ứng bằng cách
thông qua các đạo luật cụ thể xác định tội phạm máy tính và đưa ra các hình
phạt cụ thể cho các hình thức phạm tội khác nhau. Trong những phần sau, chúng
tôi sẽ đề cập đến một số quy chế đó.
Các luật của Hoa Kỳ được thảo luận trong chương này là luật của
liên bang. Tuy nhiên, hãy lưu ý rằng hầu hết các tiểu bang cũng
đã ban hành một số hình thức quy định liên quan đến các vấn đề
bảo mật máy tính. Vì quy mô toàn cầu của Internet, hầu hết các
vụ phạm tội máy tính đều vượt qua ranh giới của bang, và do đó,
rơi vào khu vực pháp lý liên bang và được truy tố bởi các hệ thống
tòa án liên bang. Tuy nhiên, trong m ột số trường hợp, các luật
của tiểu bang chặt chẽ hơn các luật của liên bang và áp đặt những
hình phạt khắc nghiệt hơn.
Đạo luật Lạm dụng và Gian lận Máy tính (Computer Fraud and Abuse Act
Đạo luật Lạm dụng và Gian lận Máy tính (CFAA) là mảnh ghép chính đầu tiên của
luật dành riêng cho tội phạm mạng ở Hoa Kỳ. Trước đó, Quốc hội [Hoa Kỳ] đã
ban hành đạo luật tội phạm máy tính như một phần của Đạo luật Kiểm soát Tội
phạm Toàn diện (Comprehensive Crime Control Act – CCCA) vào năm 1984, nhưng
CFAA đã được soạn thảo một cách cẩn trọng để chỉ bao gồm những hành vi phạm
tội máy tính vượt qua ranh giới của các tiểu bang để tránh vi phạm quyền của
các tiểu bang và việc giẫm chân lên tảng băng hiến pháp mỏng manh [nghĩa là
đạo luật này được soạn thảo chỉ để bao gồm tội phạm máy tính nhằm tránh xung
đột với các luật của tiểu bang và tránh việc vi phạm hiến pháp – người dịch].
Những điều khoản chính của CCCA nguyên thủy khiến cho việc thực hiện những
điều dưới đây trở thành phạm tội:
323 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Truy cập đến thông tin đã được phân loại hoặc thông tin tài chính trong
một hệ thống liên bang mà không được phép hoặc vượt quá các đặc quyền
đã được cấp phép.
▪
Truy cập vào máy tính chỉ được chính phủ liên bang sử dụng riêng mà
không có sự cấp phép.
▪
Sử dụng máy tính liên bang để thực hiện hành vi gian lận (trừ khi đối
tượng duy nhất của hành vi gian lận là sử dụng chính bản thân máy tính).
▪
Gây ra thiệt hại ác ý cho hệ thống máy tính liên bang với giá trị vượt quá
1,000 đô la.
▪
Sửa đổi hồ sơ y tế trong một máy tính khi việc thực hiện điều đó [sửa đổi
hồ sơ y tế] làm suy yếu hoặc có thể ảnh hưởng đến việc khám, chẩn đoán,
điều trị hoặc chăm sóc y tế của một cá nhân.
▪
Buôn bán mật khẩu máy tính nếu việc buôn bán này ảnh hưởng đến thương
mại giữa các tiểu bang hoặc liên quan đến hệ thống máy tính liên bang.
Khi Quốc hội thông qua CFAA, nó đã nâng ngư ỡng thiệt hại từ 1,000 đô la lên
5,000 đô la nhưng cũng thay đ ổi đáng kể phạm vi của quy định. Thay vì chỉ bao
gồm những máy tính liên bang xử lý thông tin nhạy cảm, đạo luật đã được thay
đổi để bao gồm tất cả các máy tính “lợi ích liên bang”. Điều này đã mở rộng
phạm vi của hành động để bao gồm những điều sau đây:
▪
Bất kỳ máy tính nào chỉ được sử dụng riêng bởi chính phủ Hoa Kỳ.
▪
Bất kỳ máy tính nào chỉ được sử dụng riêng bởi một tổ chức tài chính.
▪
Bất kỳ máy tính nào được sử dụng bởi chính phủ hoặc tổ chức tài chính
khi hành vi phạm tội gây cản trở khả năng sử dụng hệ thống đó của chính
phủ hoặc tổ chức.
▪
Bất kỳ tổ hợp máy tính nào được sử dụng để thực hiện hành vi phạm tội
khi chúng không được đặt ở cùng một tiểu bang.
Khi chuẩn bị cho kỳ thi CISSP, hãy dảm bảo rằng bạn có khả năng
mô tả tóm tắt về mục đích của tùng luật được mô tả trong chương
này.
324 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tu chính án CFAA (CFAA Amendments)
Năm 1994, Quốc hội đã công nhận rằng diện mạo của bảo mật máy tính đã thay
đổi mạnh mẽ kể từ khi CFAA được sửa đổi lần cuối vào năm 1986 và đã thực hiện
một số thay đổi sâu rộng đối với đạo luật này. Nói chung, những thay đổi này
được gọi là Đạo luật Sửa đổi về Lạm dụng Máy tính năm 1994 và bao gồm các
điều khoản sau:
▪
Việc tạo ra bất kỳ loại mã độc hại ngoài vòng pháp luật nào có thể gây ra
thiệt hại cho hệ thống máy tính.
▪
Đã sửa đổi CFAA để bao gồm bất kỳ máy tính nào được sử dụng trong
thương mại giữa các tiểu bang thay vì chỉ các hệ thống máy tính “có lợi
ích liên bang”.
▪
Cho phép bỏ tù người phạm tội, bất kể họ có thực sự có ý định gây thiệt
hại hay không.
▪
Cung cấp thẩm quyền pháp lý cho các nạn nhân của tội phạm máy tính
theo đuổi vụ kiện dân sự để được giảm nhẹ theo lệnh và bồi thường thiệt
hại.
Kể từ những sửa đổi ban đầu của CFAA vào năm 1994, Quốc hội đã thông qua
các sửa đổi bổ sung vào các năm 1996, 2001, 2002 và 20 08 như một phần của
luật về tội phạm mạng khác. Chúng ta sẽ thảo luận về những điều đó khi chúng
xuất hiện trong chương này.
Mặc dù CFAA có thể được sử dụng để truy tố một loạt các loại tội phạm máy tính
nhưng nó cũng bị nhiều người trong cộng đồng bảo mật và quyền riêng tư chỉ
trích là một đạo luật quá mức. Theo một số cách diễn giải, CFAA đang hình sự
hóa hành vi vi phạm điều khoản dịch vụ của một trang web. Luật này được sử
dụng để truy tố Aaron Swartz vì đã tải xuống một số lượng lớn các tài liệu nghiên
cứu học thuật từ một cơ sở dữ liệu có thể truy cập trên mạng MIT. Swartz đã tự
sát vào năm 2013 và truyền cảm hứng cho việc soạn thảo một sửa đổi CFAA mà
lẽ ra sẽ loại trừ việc vi phạm các điều khoản dịch vụ của trang web ra khỏi CFAA.
Dự luật đó, được gọi là Luật Aaron, đã không bao giờ được cuộc biểu quyết trong
các cuộc họp của Quốc hội [Hoa Kỳ].
Các hành động lập pháp và tư pháp đang diễn ra có thể ảnh hưởng đến cách
diễn giải rộng rãi của CFAA ở Hoa Kỳ. Ví dụ, trong trường hợp Sandvig chống lại
325 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Barr năm 2020, một tòa án liên bang đã phán quyết rằng CFAA không áp dụng
đối với các vi phạm điều khoản sử dụng của một trang web vì điều đó sẽ cho
phép các nhà điều hành trang web xác định ranh giới của hoạt động tội phạm
một cách hiệu quả. Tại thời điểm quyển sách này được phát hành, Tòa án T ối
cao Hoa Kỳ cũng đang xem xét một vụ án tương tự, Van Buren chống lại Hoa Kỳ,
với khả năng tạo ra một tiền lệ chắc chắn trong lĩnh vực này.
Đạo luật Bảo vệ Cơ sở hạ tầng Thông tin Quốc gia năm 1996 (National
Information Infrastructure Protection Act)
Năm 1996, Quốc hội Hoa Kỳ đã thông qua một tu chính án khác của Đạo luật
Lạm dụng và Gian lận Máy tính được thiết kế để mở rộng thêm phạm vi bảo vệ
mà đạo luật này đã cung cấp. Đạo luật Bảo vệ Cơ sở hạ tầng Thông tin Quốc gia
bao gồm những lĩnh vực bao trùm mới chủ yếu dưới đây:
▪
Mở rộng CFAA để bao gồm các hệ thống máy tính được sử dụng trong
thương mại quốc tế ngoài những hệ thống được sử dụng trong thương mại
giữa các tiểu bang.
▪
Mở rộng sự bảo vệ tương tự đến các bộ phận của cơ sở hạ tầng quốc gia
hơn là chỉ có các hệ thống máy tính, chẳng hạn như các tuyến đường sắt,
đường ống khí đốt, lưới nguồn điện, và các mạch viễn thông.
▪
Đối xử bất kỳ hành động cố ý hoặc liều lĩnh nào gây ra thiệt hại cho các
bộ phận quan trọng của cơ sở hạ tầng quốc gia là một trọng tội.
Hướng dẫn nguyên tắc Kết án Liên bang (Federal Sentencing Guidelines)
Hướng dẫn Kết án Liên bang được ban hành vào năm 1991 cung cấp hướng dẫn
trừng phạt để giúp các thẩm phán liên bang diễn giải luật tội phạm máy tính. Ba
điều khoản chính của các hướng dẫn này đã có tác động lâu dài đến cộng đồng
bảo mật thông tin, bao gồm:
▪
Các hướng dẫn đã chính thức hóa quy tắc người thận trọng (prudent person
rule), yêu cầu các giám đốc điều hành cấp cao phải chịu trách nhiệm cá
nhân để đảm bảo sự chăm sóc thích đáng mà những cá nhân bình thường
và thận trọng sẽ thực hiện trong tình huống tương tự. Quy tắc này, được
phát triển trong lĩnh vực trách nhiệm tài chính, hiện cũng được áp dụng
cho bảo mật thông tin.
326 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Các hướng dẫn cho phép các tổ chức và giám đốc điều hành giảm thiểu sự
trừng phạt đối với các hành vi vi phạm bằng cách chứng minh rằng họ đã
sử dụng sự cẩn trọng trong việc thực hiện các nhiệm vụ bảo mật thông tin
của họ.
▪
Các hướng dẫn nêu ra ba gánh nặng chứng minh cho sự cẩu thả: Thứ nhất,
người bị buộc tội do sơ suất phải có nghĩa vụ được pháp luật công nhận.
Thứ hai, người đó phải không tuân thủ các tiêu chuẩn đã được công nhận.
Và cuối cùng, phải có mối quan hệ nhân quả giữa hành vi sơ suất và những
thiệt hại về sau.
Đạo luật Quản lý Bảo mật Thông tin Liên bang (Federal Information
Security Management Act)
Đạo luật Quản lý Bảo mật Thông tin Liên bang (FISMA), được thông qua vào năm
2002, yêu cầu rằng các cơ quan liên bang phải thực hiện một chương trình bảo
mật thông tin đang bao gồm các hoạt động của cơ quan. FISMA cũng yêu cầu
các cơ quan chính phủ đưa hoạt động của các nhà thầu vào trong các chương
trình quản lý bảo mật của họ. FISMA đã bãi bỏ và thay thế hai luật trước đó:
Đạo luật Bảo mật Máy tính (Computer Security Act) năm 1987 và Đạo luật Cải
cách Bảo mật Thông tin của Chính phủ (Government Information Security Reform
Act) năm 2000.
Viện Tiêu chuẩn và Công nghệ Quốc gia [Hoa Kỳ] (NIST), chịu trách nhiệm phát
triển các hướng dẫn thực hiện FISMA, phác thảo các yếu tố sau của một chương
trình bảo mật thông tin:
▪
Định kỳ đánh giá rủi ro, bao gồm mức độ thiệt hại có thể do truy cập, sử
dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hủy thông tin và hệ thống thông
tin hỗ trợ hoạt động và tài sản của tổ chức một cách trái phép.
▪
Các chính sách và thủ tục dựa trên đánh giá rủi ro, giảm rủi ro bảo mật
thông tin đến mức có thể chấp nhận được với chi-phí-hiệu-quả và đảm bảo
rằng an toàn thông tin được giải quyết trong suốt vòng đời của từng hệ
thống thông tin của tổ chức.
▪
Các kế hoạch cấp dưới để cung cấp bảo mật thông tin đầy đủ cho các
mạng, cơ sở vật chất, hệ thống thông tin hoặc các nhóm bao gồm các hệ
thống thông tin, nếu thích hợp.
327 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Đào tạo nâng cao nhận thức về bảo mật để thông báo cho nhân viên (bao
gồm nhà thầu và những người dùng khác của hệ thống thông tin đang hỗ
trợ cho hoạt động và tài sản của tổ chức) về các rủi ro bảo mật thông tin
liên quan đến hoạt động của họ và trách nhiệm của họ trong việc tuân thủ
các chính sách và thủ tục của tổ chức được thiết kế để giảm thiểu những
rủi ro này
▪
Định kỳ kiểm tra và đánh giá hiệu quả của các chính sách, thủ tục, thông
lệ và biện pháp kiểm soát bảo mật thông tin được thực hiện với tần suất
tùy thuộc vào rủi ro, nhưng không ít hơn hàng năm.
▪
Một quy trình lập kế hoạch, triển khai, đánh giá và lập hồ sơ các hành
động khắc phục để giải quyết bất kỳ khiếm khuyết nào trong các chính
sách, thủ tục và thực tiễn bảo mật thông tin của tổ chức.
▪
Các thủ tục phát hiện, báo cáo và ứng phó với các sự cố bảo mật.
▪
Các kế hoạch và thủ tục để đảm bảo tính liên tục của hoạt động đối với
các hệ thống thông tin hỗ trợ hoạt động và tài sản của tổ chức
FISMA đặt một trách nhiệm đáng kể lên các cơ quan liên bang và nhà thầu chính
phủ, những người phải phát triển và duy trì tài liệu quan trọng về các hoạt động
tuân thủ FISMA của họ.
Luật An ninh mạng Liên bang năm 2014 (Federal Cybersecurity Laws)
Năm 2014, Tổng thống Barack Obama đã ký duyệt một loạt dự luật trở thành
luật nhằm hiện đại hóa cách tiếp cận của chính phủ liên bang đối với các vấn đề
về an ninh mạng.
Đạo luật đầu tiên trong số này là Đạo luật Hiện đại hóa Hệ thống Thông tin Liên
bang (Federal Information Systems Modernization Act) (cũng mang tên viết tắt
FISMA). FISMA 2014 đã sửa đổi các quy tắc của FISMA 2002 bằng cách tập trung
hóa trách nhiệm an ninh mạng của liên bang về Bộ An ninh Nội địa Hoa Kỳ
(Department of Home -land Security) . Có hai ngoại lệ đối với việc tập trung hóa
này: các vấn đề an ninh mạng liên-quan-đến-quốc-phòng vẫn do Bộ trưởng Quốc
phòng chịu trách nhiệm và giám đốc cơ quan tình báo quốc gia chịu trách nhiệm
về các vấn đề liên-quan-đến-tình-báo.
328 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Thứ
hai,
Quốc
hội
đã
thông
qua
Đạo
luật
Tăng
cường
An
ninh
mạng
(Cybersecurity Enhancement Act) , quy định NIST chịu trách nhiệm điều phối công
việc trên toàn quốc về các tiêu chuẩn an ninh mạng tự nguyện. NIST sản xuất
loạt 800 Ấn phẩm Đặc biệt (Special Publications) liên quan đến bảo mật máy
tính trong chính phủ liên bang. Những ấn phẩm hữu ích cho tất cả những người
hành
nghề
bảo
mật
và
được
cung
cấp
trực
tuyến
miễn
phí
tại
csrc.nist.gov/publications/sp800.
Sau đây là các tiêu chuẩn NIST thường được sử dụng:
▪
NIST SP 800-53: Các Biện pháp kiểm soát Bảo mật và Quyền riêng tư dành
cho các Tổ chức và Hệ thống Thông tin Liên bang (Securrity and Privacy
Controls for Federal Information Systems and Organizations) . Tiêu chuẩn
này được yêu cầu sử dụng trong các hệ thống máy tính của liên bang và
cũng thường được sử dụng như một tiêu chuẩn bảo mật mạng của ngành.
▪
NIST SP 800-171: Bảo vệ Thông tin chưa được Phân loại được Kiểm soát
trong các Tổ chức và Hệ thống Thông tin Phi liên bang (Protecting
Controlled Unclassified Information in Nonfederal Information Systems
and Organizations). Việc tuân thủ các biện pháp kiểm soát bảo mật của
tiêu chuẩn này (khá giống với các biện pháp kiểm soát trong NIST 80053) thường được các cơ quan chính phủ đưa vào như một yêu cầu của hợp
đồng. Các nhà thầu liên bang thường phải tuân thủ NIST SP 800-171.
▪
Khuôn khổ An ninh mạng NIST (Cybersecurity Framework - CSF) là một bộ
tiêu chuẩn được thiết kế để đóng vai trò như một khuôn khổ tự nguyện
dựa-trên-rủi-ro để bảo mật thông tin và hệ thống.
Bộ luật thứ ba từ làn sóng các yêu cầu mới này là Đạo luật Bảo vệ An ninh Mạng
Quốc gia (National Cybersecurity Protection Act) . Luật này buộc Bộ An ninh Nội
địa thành lập một trung tâm tích hợp truyền thông và an ninh mạng quốc gia.
Vai trò của trung tâm này là đóng vai trò như là giao diện giữa các cơ quan liên
bang và các tổ chức dân sự để chia sẻ các rủi ro, sự cố, phân tích và cảnh báo
về an ninh mạng.
Tài sản Sở hữu trí tuệ (IP)
Vai trò của Mỹ (Hoa Kỳ) trong nền kinh tế toàn cầu đang dịch chuyển từ nhà
máy sản xuất hàng hóa và hướng đến một nhà cung cấp dịch vụ. Xu hướng này
329 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
cũng thể hiện ở rất nhiều quốc gia công nghiệp phát triển lớn trên thế giới. Với
sự chuyển hướng sang cung cấp dịch vụ này, tài sản sở hữu trí tuệ (intellectual
property - IP) đang ngày càng đóng vai trò quan tr ọng trong rất nhiều doanh
nghiệp. Thật vậy, có thể cho rằng tài sản có giá trị nhất của nhiều công ty đa
quốc gia lớn chỉ đơn giản là tên thương hiệu mà tất cả chúng ta đều công nhận.
Các tên công ty chẳng hạn như Dell, Procter & Gamble và Merck mang lại uy tín
tức thì cho bất kỳ sản phẩm nào. Các công ty xuất bản, các nhà sản xuất phim
và các nghệ sĩ phụ thuộc vào sản lượng sáng tạo của họ để kiếm kế sinh nhai.
Rất nhiều sản phẩm phụ thuộc vào những công thức bí mật hoặc kỹ thuật sản
xuất - chẳng hạn như công thức bí mật huyền thoại cho hỗn hợp thảo mộc và
gia vị bí mật của Coca-Cola hoặc KFC.
Những tài sản vô hình này được gọi chung là tài sản sở hữu trí tuệ (intellectual
property - IP) và có rất nhiều luật lệ để bảo vệ quyền của chủ sở hữu của chúng.
Rốt cuộc, sẽ không công bằng nếu một hiệu sách chỉ mua một bản sao các quyển
sách của mỗi tác giả và sao chép cho tất cả khách hàng của mình - điều đó sẽ
tước đi lợi ích lao động của tác giả. Trong các phần tiếp theo, chúng ta sẽ tìm
hiểu các luật xung quanh bốn loại tài sản sở hữu trí tuệ chính - bản quyền, nhãn
hiệu, bằng sáng chế và bí mật thương mại. Chúng ta cũng sẽ thảo luận về cách
mà các khái niệm này liên quan cụ thể đến các chuyên gia bảo mật thông tin
như thế nào. Nhiều quốc gia bảo vệ (hoặc không) những quyền này theo những
cách khác nhau, nhưng các khái niệm cơ bản vẫn đúng trên toàn thế giới.
Một số quốc gia nổi tiếng với việc vi phạm quyền sở hữu trí tuệ
và nổi tiếng trên thế giới về sự coi thường trắng trợn luật bản
quyền và bằng sáng chế. Nếu bạn dự định thực hiện việc kinh
doanh ở những quốc gia có vấn đề này, bạn chắc chắn nên tham
khảo ý kiến của luật sư chuyên về lĩnh vực này.
330 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số và Bản quyền (Copyright
and Digital Millenium Copyright Act)
Luật bản quyền đảm bảo người sáng tạo của “tác phẩm nguyên thủy có quyền
tác giả” được bảo vệ chống lại việc nhân bản trái phép các tác phẩm của họ.
Tám thể loại tác phẩm đủ tiêu chuẩn để được bảo vệ bản quyền bao gồm:
▪
Các tác phẩm văn học,
▪
Các tác phẩm âm nhạc,
▪
Các kịch bản,
▪
Các tác phẩm kịch nghệ và vũ đạo,
▪
Các tác phẩm tượng hình, đồ họa và điêu khắc,
▪
Các tác phẩm hình ảnh chuyển động và nghe nhìn khác,
▪
Các bản ghi âm,
▪
Các công trình kiến trúc.
Đã có tiền lệ đối với quyền tác giả phần mềm máy tính - nó được thực hiện trong
phạm vi các tác phẩm văn học. Tuy nhiên, điều quan trọng cần phải lưu ý là luật
bản quyền chỉ bảo vệ biểu thức vốn có trong phần mềm máy tính - tức là mã
nguồn thực tế. Nó không bảo vệ các ý tưởng hoặc quy trình đằng sau phần mềm.
Cũng có một số câu hỏi về việc liệu bản quyền có thể được mở rộng để bao gồm
“giao diện (look and feel)” của giao diện người dùng đồ họa của gói phần mềm
hay không. Các quyết định của tòa án đã đi theo cả hai hướng về vấn đề này,
nếu bạn liên quan đến loại vấn đề này, bạn nên tham khảo ý kiến của luật sư sở
hữu trí tuệ có trình độ để xác định tình trạng hiện hành của pháp luật và án lệ.
Có một thủ tục chính thức để có được bản quyền liên quan đến việc gửi các bản
sao của tác phẩm được bảo vệ cùng với một khoản phí đăng ký thích hợp cho
Văn phòng Bản quyền Hoa Kỳ (U.S. Copyright Office). Để biết thêm thông tin chi
tiết
về
quy
trình
này,
hãy
truy
cập
trang
web
của
văn
phòng
tại
www.copyright.gov. Tuy nhiên, việc đăng ký bản quyền chính thức không phải
là điều kiện tiên quyết để thực thi quyền tác giả. Thật vậy, luật lệ quy định rằng
tác giả của một tác phẩm có bản quyền tự động kể từ thời điểm tác phẩm được
tạo ra. Nếu bạn có thể chứng minh trước tòa án rằng bạn là người tạo ra một
tác phẩm (có thể bằng cách xuất bản nó), bạn sẽ được bảo vệ theo luật bản
331 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
quyền. Đăng ký chính thức chỉ cung cấp một xác nhận của chính phủ rằng họ đã
nhận được tác phẩm của bạn vào một ngày cụ thể.
Quyền sở hữu bản quyền luôn luôn được mặc định cho người tạo ra tác phẩm.
Các trường hợp ngoại lệ của chính sách này là các tác phẩm cho thuê. Một tác
phẩm được coi là “để cho thuê” khi nó được thực hiện cho người sử dụng lao
động trong thời gian bình thường của ngày làm việc của họ. Ví dụ, khi một nhân
viên trong bộ phận quan hệ công chúng của một công ty viết một thông cáo báo
chí, thì thông cáo báo chí được coi là một tác phẩm cho thuê. Một tác phẩm cũng
có thể được coi là một tác phẩm để cho thuê khi nó được thực hiện như một
phần của hợp đồng bằng văn bản tuyên bố rõ như vậy.
Luật bản quyền hiện hành quy định một thời gian bảo vệ lâu dài. Tác phẩm của
một hoặc nhiều tác giả được bảo hộ đến 70 năm sau khi tác giả cuối cùng còn
sống qua đời. Tác phẩm cho thuê và tác phẩm vô danh được bảo hộ trong 95
năm kể từ ngày xuất bản lần đầu hoặc 120 năm kể từ ngày được tạo ra, tùy theo
thời gian nào ngắn hơn.
Năm 1998, Quốc hội đã công nhận rằng bối cảnh kỹ thuật số đang thay đổi một
cách nhanh chóng làm kéo dài phạm vi của luật bản quyền hiện hành. Để giúp
đáp ứng thách thức này, Quốc hội đã ban hành Đạo luật Bản quyền Thiên niên
kỷ Kỹ thuật số (DMCA) đang được tranh luận sôi nổi. DMCA cũng đóng vai trò
khiến cho luật bản quyền của Hoa Kỳ tuân thủ các điều khoản của hai hiệp ước
của Tổ chức Sở hữu Trí tuệ Thế giới (World Intellectual Property Organization WIPO).
Điều khoản chính đầu tiên của DMCA là nghiêm cấm các nỗ lực phá vỡ các cơ
chế bảo vệ bản quyền được chủ sở hữu bản quyền đặt trên một tác phẩm đã
được bảo vệ. Điều khoản này được thiết kế để bảo vệ các cơ chế ngăn-chặn-saochép được đặt trên các phương tiện kỹ thuật số như đĩa compact (CD) và đĩa
video kỹ thuật số (DVD). DMCA quy định hình phạt lên đến 1 triệu đô la và 10
năm tù cho những người tái phạm. Các tổ chức phi lợi nhuận như thư viện và
trường học được miễn quy định này.
332 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
DMCA cũng giới hạn trách nhiệm của các nhà cung cấp dịch vụ Internet (ISP)
khi mạch của họ được sử dụng bởi những tội phạm đang vi phạm luật bản quyền.
DMCA thừa nhận rằng ISP có tư cách pháp lý tương t ự như trạng thái “nhà cung
cấp dịch vụ thông thường” của các công ty điện thoại và không bắt họ phải chịu
trách nhiệm pháp lý về “các hoạt động nhất thời” của người dùng. Để đủ điều
kiện được miễn trừ này, các hoạt động của nhà cung cấp dịch vụ phải đáp ứng
các yêu cầu sau (được trích dẫn trực tiếp từ Đạo luật Bản quyền Thiên niên kỷ
Kỹ thuật số năm 1998, Bản tóm tắt của Văn phòng Bản quyền Hoa Kỳ, tháng 12
năm 1998):
▪
Việc truyền tải phải được bắt đầu bởi một người không phải là nhà cung
cấp.
▪
Việc truyền tải, định tuyến, cung cấp kết nối hoặc sao chép phải được
thực hiện bằng quy trình kỹ thuật được tự động hóa mà không cần lựa
chọn tài liệu bởi nhà cung cấp dịch vụ.
▪
Nhà cung cấp dịch vụ không được xác định người nhận tài liệu.
▪
Bất kỳ bản sao trung gian thông thư ờng nào khác không được trở nên có
thể được tiếp cận bởi bất kỳ ai khác ngoài những người nhận dự kiến và
không được lưu giữ lâu hơn mức cần thiết một cách hợp lý.
▪
Tài liệu phải được truyền tải mà không bị sửa đổi nội dung của nó.
DMCA cũng miễn trừ các hoạt động của các nhà cung cấp dịch vụ liên quan đến
bộ nhớ đệm hệ thống, công cụ tìm kiếm và việc lưu trữ thông tin trên mạng của
cá nhân người dùng. Tuy nhiên, trong những trường hợp đó, nhà cung cấp dịch
vụ phải có hành động ngay lập tức để xóa các tài liệu có bản quyền khi được
thông báo về sự vi phạm.
Quốc hội cũng bao gồm các điều khoản trong DMCA để cho phép tạo ra các bản
sao dự phòng của phần mềm máy tính và bất kỳ hoạt động bảo trì, kiểm tra hoặc
sử dụng thông thường nào đòi hỏi phải sao chép phần mềm. Các điều khoản này
chỉ áp dụng nếu phần mềm được cấp phép để được sử dụng trên một máy tính
cụ thể, việc sử dụng tuân theo thỏa thuận cấp phép và bất kỳ bản sao nào như
vậy sẽ bị xóa ngay lập tức khi không còn cần thiết cho một hoạt động được cấp
phép.
333 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Cuối cùng, DMCA giải thích việc áp dụng các nguyên tắc của luật bản quyền đối
với việc phát trực tuyến nội dung âm thanh và/hoặc video qua Internet. DMCA
tuyên bố rằng những mục đích sử dụng này được coi là “truyền tải phiên mã
không đăng ký đủ điều kiện”.
Nhãn hiệu
Luật bản quyền được sử dụng để bảo vệ các tác phẩm sáng tạo, tương tự, cũng
có sự bảo hộ đối với nhãn hiệu (trademark), là những từ ngữ, khẩu hiệu và biểu
tượng được sử dụng để xác định một công ty và các sản phẩm hoặc dịch vụ của
công ty đó. Ví dụ, một doanh nghiệp có thể có được bản quyền trên tài liệu bán
hàng (sales brochure) của mình để đảm bảo rằng các đối thủ cạnh tranh không
thể sao chép các tài liệu bán hàng của họ. Doanh nghiệp với cùng nhãn hiệu đó
cũng có thể tìm cách bảo vệ tên công ty của mình và những tên gọi của các sản
phẩm và dịch vụ cụ thể mà doanh nghiệp đó cung cấp cho khách hàng.
Mục tiêu chính của việc bảo hộ nhãn hiệu là tránh nhầm lẫn trên thị trường đồng
thời bảo vệ quyền sở hữu trí tuệ của mọi người và tổ chức. Cũng như việc bảo
hộ bản quyền, nhãn hiệu không cần phải đăng ký chính thức để được bảo hộ
theo luật. Nếu bạn sử dụng một nhãn hiệu trong quá trình hoạt động công khai
của mình, bạn sẽ tự động được bảo vệ theo bất kỳ luật nhãn hiệu có liên quan
nào và có thể sử dụng biểu tượng ™ để thể hiện rằng bạn có ý định bảo vệ các
từ ngữ hoặc khẩu hiệu dưới dạng nhãn hiệu. Nếu bạn muốn được chính thức công
nhận nhãn hiệu của mình, bạn có thể đăng ký nhãn hiệu đó với Văn phòng Sáng
chế và Nhãn hiệu Hoa Kỳ (United States Patent and Trademark Office - USPTO).
Quy trình này thường yêu cầu một luật sư để thực hiện việc tìm kiếm thẩm định
toàn diện các nhãn hiệu hiện có có thể ngăn cản việc đăng ký của bạn [nghĩa là
kiểm tra xem liệu nhãn hiệu của bạn đã được đăng ký bảo hộ hay chưa – người
dịch]. Toàn bộ quá trình đăng ký có thể mất hơn một năm từ khi bắt đầu đến
khi kết thúc. Khi bạn đã nhận được giấy chứng nhận đăng ký từ USPTO, bạn có
thể biểu thị nhãn hiệu của mình là nhãn hiệu đã được đăng ký bằng ký hiệu ®.
Một ưu điểm chính của việc đăng ký nhãn hiệu là bạn có thể đăng ký nhãn hiệu
mà bạn định sử dụng nhưng không nhất thiết là đã thực sự sử dụng. Loại đơn
này được gọi là đơn đăng ký dự định sử dụng (intent to use) và chuyển tải sự
bảo hộ nhãn hiệu kể từ ngày nộp đơn với điều kiện là bạn thực sự sử dụng nhãn
334 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
hiệu đó trong thương mại trong một khoảng thời gian nhất định. Nếu bạn chọn
không đăng ký nhãn hiệu của mình với PTO, sự bảo vệ của bạn chỉ bắt đầu khi
bạn sử dụng nhãn hiệu lần đầu tiên. Việc chấp thuận đơn đăng ký nhãn hiệu ở
Hoa Kỳ phụ thuộc vào hai yêu cầu chính sau:
▪
Nhãn hiệu không được gây nhầm lẫn tương tự với nhãn hiệu khác - bạn
nên xác định điều này trong quá trình tìm kiếm thẩm định của luật sư. Sẽ
có một giai đoạn phản đối mở trong đó các công ty khác có thể tranh chấp
đơn đăng ký nhãn hiệu của bạn.
▪
Nhãn hiệu không được mô tả hàng hóa và dịch vụ mà bạn sẽ cung cấp. Ví
dụ: “Công ty Phần mềm của Mike” sẽ không phải là một ứng cử viên nhãn
hiệu tốt vì nó mô tả sản phẩm được sản xuất bởi công ty. USPTO có thể
từ chối đơn đăng ký nếu cho rằng nhãn hiệu có tính mô tả.
Tại Hoa Kỳ, nhãn hiệu được cấp trong thời hạn ban đầu là 10 năm và có thể
được gia hạn trong khoảng thời gian 10 năm liên tiếp không giới hạn.
Bằng sáng chế
Bằng sáng chế thiết thực (utility patent) bảo vệ quyền sở hữu trí tuệ của các
nhà phát minh. Chúng quy đ ịnh khoảng thời gian 20 năm kể từ thời điểm phát
minh ra sáng chế (kể từ ngày nộp đơn đầu tiên), trong đó nhà sáng chế được
độc quyền sử dụng sáng chế (cho dù là trực tiếp hoặc thông qua các thỏa thuận
chuyển giao quyền sử dụng). Khi kết thúc giai đoạn độc quyền bằng sáng chế,
sáng chế sẽ nằm trong phạm vi công cộng có sẵn cho mọi người sử dụng.
Bằng sáng chế có ba yêu cầu chính:
▪
Phát minh phải mới. Các phát minh chỉ có thể được cấp bằng sáng chế nếu
chúng là những ý tưởng nguyên gốc.
▪
Phát minh phải hữu ích. Nó thực sự phải hoạt động và hoàn thành một số
loại nhiệm vụ nào đó.
▪
Phát minh không phải là điều hiển nhiên. Ví dụ, bạn không thể có được
bằng sáng chế cho ý tưởng của mình để sử dụng cốc uống nước để hứng
nước mưa. Đây là một giải pháp hiển nhiên. Tuy nhiên, bạn có thể được
cấp bằng sáng chế cho một chiếc cốc được thiết kế đặc biệt để tối ưu hóa
lượng nước mưa thu được trong khi giảm thiểu sự bay hơi.
335 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bảo vệ Phần mềm
Có một số tranh cãi đang diễn ra xoay quanh việc tài sản trí tuệ trong phần
mềm nên được bảo vệ như thế nào. Phần mềm dường như đủ điều kiện rõ ràng
để được bảo vệ bản quyền, nhưng các đương sự đã phản đối quan điểm này
trước tòa.
Tương tự như vậy, các công ty đã nộp đơn xin và nhận bằng sáng chế về cách
thức hoạt động của các “phát minh” phần mềm của họ. Các thuật toán mật mã,
chẳng hạn như RSA và Diffie-Hellman, đều được bảo hộ bằng sáng chế tại một
thời điểm. Đây cũng là một tình huống gây ra một số tranh cãi pháp lý.
Vào thời điểm quyển sách này được phát hành, Tòa án T ối cao Hoa Kỳ đang
xem xét vụ kiện Google và Oracle, một tranh chấp đã được giải quyết thông
qua hệ thống tòa án trong hơn một thập kỷ. Vụ kiện này tập trung vào các vấn
đề xung quanh API Java và có khả năng thiết lập nên một tiền lệ sẽ chi phối
rất nhiều vấn đề về sở hữu trí tuệ phần mềm.
Trong lĩnh vực công nghệ, các bằng sáng chế từ lâu đã được sử dụng để bảo vệ
các thiết bị phần cứng và quy trình sản xuất. Có rất nhiều tiền lệ trước đây về
các nhà phát minh trong những lĩnh vực đó. Các bằng sáng chế gần đây cũng đã
được cấp bao gồm các chương trình phần mềm và các cơ chế tương tự, nhưng
các bằng sáng chế này đã gây tranh cãi phần nào vì nhiều bằng sáng chế bị cộng
đồng kỹ thuật xem là quá rộng. Việc ban hành các bằng sáng chế rộng rãi này
đã dẫn đến sự phát triển của các doanh nghiệp chỉ tồn tại với tư cách là các
công ty sở hữu bằng sáng chế thu được doanh thu của họ bằng cách tham gia
vào các vụ kiện chống lại các công ty mà họ cảm thấy vi phạm các bằng sáng
chế có trong danh mục đầu tư của họ. Những công ty này được giới cộng đồng
công nghệ biết đến với tên gọi xúc phạm “những kẻ lừa đảo bằng sáng chế
(patent trolls)”.
Bằng sáng chế Thiết kế
336 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bằng sáng chế thực sự có hai hình thức. Các bằng sáng chế được mô tả trong
phần này là những bằng sáng chế tiện ích, một loại bằng sáng chế để bảo vệ
tài sản sở hữu trí tuệ xoay quanh cách thức hoạt động của một phát minh.
Các nhà phát minh cũng có thể tận dụng ưu thế của bằng sáng chế thiết kế.
Các bằng sáng chế này bao hàm sự xuất hiện của một phát minh và chỉ tồn tại
trong 15 năm. Chúng không bảo hộ ý tưởng về một sáng chế, chỉ bảo hộ hình
thức của sáng chế, vì vậy chúng thường được coi là một hình thức bảo hộ sở
hữu trí tuệ yếu hơn bằng sáng chế tiện ích, nhưng chúng cũng d ễ dàng có
được hơn.
Bí mật Thương mại
Rất nhiều công ty có những tài sản trí tuệ cực kỳ quan trọng đối với hoạt động
kinh doanh của họ và sẽ dẫn đến thiệt hại đáng kể nếu nó bị tiết lộ cho các đối
thủ cạnh tranh và/hoặc công chúng – hay nói cách khác là những bí mật thương
mại (trade secret). Trước đây, chúng tôi đã đ ề cập đến hai ví dụ về loại thông
tin này từ văn hóa đại chúng - công thức bí mật cho “sự pha trộn bí mật của các
loại thảo mộc và gia vị” của Coca-Cola và KFC. Những ví dụ khác rất phong phú,
một công ty sản xuất có thể muốn giữ bí mật về một quy trình sản xuất nhất
định mà chỉ một số nhân viên chủ chốt mới hiểu hết hoặc một công ty phân tích
thống kê có thể muốn bảo vệ một mô hình tiên tiến được phát triển để sử dụng
trong-nội-bộ.
Hai trong số các công cụ tài sản sở hữu trí tuệ đã được thảo luận trước đây bản quyền và bằng sáng chế - có thể được sử dụng để bảo vệ loại thông tin này,
nhưng với hai nhược điểm chính sau đây:
▪
Việc nộp đơn đăng ký bản quyền hoặc bằng sáng chế yêu cầu bạn phải tiết
lộ công khai các chi tiết về tác phẩm hoặc phát minh của bạn. Điều này
sẽ tự động loại bỏ bản chất “bí mật” của tài sản của bạn và có thể gây hại
cho công ty của bạn bằng cách xóa bỏ điều bí ẩn xung quanh sản phẩm
hoặc bằng cách cho phép các đ ối thủ cạnh tranh vô đạo đức sao chép tài
sản của bạn bằng cách vi phạm luật sở hữu trí tuệ quốc tế.
337 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Cả bản quyền lẫn bằng sáng chế đều cung cấp sự bảo vệ trong một khoảng
thời gian giới hạn. Sau khi thời hạn bảo vệ pháp lý của bạn hết hạn, các
công ty khác có thể tự do sử dụng tác phẩm của bạn theo ý muốn (và họ
có tất cả các chi tiết từ việc tiết lộ công khai mà bạn đã thực hiện trong
quá trình đăng ký!).
Thực sự, có một quy trình chính thức liên quan đến các bí mật thương mại. Theo
bản chất của chúng [bí mật], bạn không đăng ký chúng với bất kỳ ai, bạn giữ
chúng chỉ cho riêng mình. Để duy trì tình trạng bí mật thương mại, bạn phải
thực hiện các biện pháp kiểm soát thích hợp trong tổ chức của mình để đảm bảo
rằng chỉ những người được cấp phép với nhu cầu được biết về bí mật mới có
quyền tiếp cận chúng. Bạn cũng phải đảm bảo rằng bất kỳ ai có loại quyền truy
cập này đều bị ràng buộc bởi thỏa thuận không tiết lộ (NDA) để ngăn cấm họ
chia sẻ thông tin với người khác và đưa ra các hình phạt nếu vi phạm thỏa thuận.
Hãy tham khảo ý kiến luật sư để đảm bảo rằng thỏa thuận kéo dài trong khoảng
thời gian tối đa được pháp luật cho phép. Ngoài ra, bạn phải thực hiện các bước
để chứng minh rằng bạn coi trọng và bảo vệ tài sản trí tuệ của mình. Nếu không
làm thế, bạn có thể đánh mất quyền bảo hộ bí mật thương mại.
Bảo vệ bí mật thương mại là một trong những cách tốt nhất để bảo vệ phần mềm
máy tính. Như đã thảo luận trong phần trước, luật về bằng sáng chế không cung
cấp sự bảo vệ đầy đủ cho các sản phẩm phần mềm máy tính. Luật bản quyền chỉ
bảo vệ văn bản thực tế của mã nguồn và không cấm người khác viết lại mã của
bạn theo một hình thức khác và hoàn thành cùng m ột mục tiêu. Nếu bạn coi mã
nguồn của mình như một bí mật thương mại, thì ngay từ đầu hãy giữ nó không
bị lọt vào tay của các đối thủ cạnh tranh của bạn. Đây là kỹ thuật được sử dụng
bởi các công ty phát triển phần mềm lớn như Microsoft để bảo vệ cơ sở tài sản
sở hữu trí tuệ cốt lõi của họ.
Đạo luật Gián điệp Kinh tế 1996 (Economic Espionage Act)
Bí mật thương mại thường là món trang sức quý giá của các tập đoàn lớn, và
chính phủ Hoa Kỳ đã công nhận tầm quan trọng của việc bảo vệ loại tài sản
338 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
trí tuệ này khi Quốc hội đã ban hành Đạo luật Gián điệp Kinh tế vào năm 1996.
Luật này có hai điều khoản chính sau:
▪
Bất kỳ ai bị kết tội đánh cắp bí mật thương mại từ một công ty Hoa Kỳ
với mục đích làm lợi cho chính phủ hoặc tác nhân nước ngoài có thể bị
phạt tới 500,000 đô la và bị phạt tù tới 15 năm.
▪
Bất kỳ ai bị kết tội đánh cắp bí mật thương mại trong các trường hợp
khác có thể bị phạt tới 250,000 đô la và bị phạt tù đến 10 năm.
Các điều khoản của Đạo luật Gián điệp Kinh tế mang lại sức mạnh hiệu quả
cho quyền sở hữu tài sản trí tuệ của chủ sở hữu bí mật thương mại. Việc thực
thi luật này yêu cầu các công ty phải thực hiện các bước đầy đủ để đảm bảo
rằng bí mật thương mại của họ được bảo vệ tốt và không vô tình bị đưa vào
phạm vi công cộng.
Cấp phép
Các chuyên gia bảo mật cũng nên làm quen với các vấn đề pháp lý xoay quanh
các thỏa thuận cấp phép phần mềm. Có 4 kiểu thỏa thuận cấp phép được sử
dụng ngày nay:
▪
Các thỏa thuận cấp phép theo hợp đồng sử dụng một hợp đồng bằng văn
bản giữa nhà cung cấp phần mềm và khách hàng, vạch ra trách nhiệm của
từng bên. Những thỏa thuận này thường được tìm thấy đối với các gói
phần mềm giá-cao và/hoặc mức độ chuyên dụng cao.
▪
Các thỏa thuận cấp phép gói-gọn (shrink-wrap) được viết ở bên ngoài gói
bao bì phần mềm. Chúng thường bao gồm một điều khoản nêu rõ rằng bạn
thừa nhận đồng ý với các điều khoản của hợp đồng chỉ bằng cách phá vỡ
niêm phong bọc gói-gọn trên bao bì.
▪
Các thỏa thuận cấp phép nhấp-qua (click-through) (còn được gọi là gói
trình duyệt) đang trở nên phổ biến hơn so với các thỏa thuận gói gọn.
Trong loại thỏa thuận này, các điều khoản hợp đồng hoặc được viết trên
hộp phần mềm hoặc được bao gồm trong tài liệu phần mềm. Trong quá
trình cài đặt, bạn được yêu cầu nhấp vào nút cho biết rằng bạn đã đọc
các điều khoản của thỏa thuận và đồng ý tuân theo chúng. Điều này bổ
339 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
sung thêm một sự đồng thuận tích cực vào quy trình, đảm bảo rằng cá
nhân đó biết về sự tồn tại của thỏa thuận trước khi cài đặt [phần mềm].
▪
Các thỏa thuận cấp phép dịch vụ đám mây đưa các thỏa thuận nhấp-qua
lên mức cao nhất. Hầu hết các dịch vụ đám mây không yêu cầu bất kỳ hình
thức thỏa thuận bằng văn bản nào và chỉ cần hiển thị các điều khoản pháp
lý trên màn hình để xem xét. Trong một số trường hợp, họ có thể cung
cấp một liên kết đến các điều khoản pháp lý và hộp dấu kiểm để người
dùng xác nhận rằng họ đã đọc và đồng ý với các điều khoản. Hầu hết
người dùng, trong sự phấn khích của họ khi truy cập một dịch vụ mới, chỉ
cần nhấp vào thỏa thuận mà không cần đọc nó và có thể vô tình ràng buộc
toàn bộ tổ chức của họ với các điều khoản và điều kiện khó hiểu.
Các nhóm ngành cung cấp hướng dẫn và các hoạt động thực thi
liên quan đến việc cấp phép phần mềm. Bạn có thể lấy thêm thông
tin từ các trang web của họ. Một nhóm chính trong số đó là Liên
minh Phần mềm (Software Alliance) t ại bsa.org.
Nhập khẩu/Xuất khẩu
Chính phủ liên bang thừa nhận rằng chính các máy tính và công nghệ mã hóa
rất giống nhau thúc đẩy Internet và thương mại điện tử có thể là những công cụ
cực kỳ mạnh mẽ trong tay một lực lượng quân sự. Vì lý do này, trong Chiến tranh
Lạnh, chính phủ đã phát triển một bộ quy định phức tạp quản lý việc xuất khẩu
các sản phẩm phần cứng và phần mềm nhạy cảm sang các quốc gia khác. Các
quy định bao gồm việc quản lý luồng dữ liệu xuyên qua biên giới của các công
nghệ mới, tài sản sở hữu trí tuệ và thông tin nhận dạng cá nhân.
Cho đến gần đây, rất khó để xuất khẩu máy tính có năng-lực-cao ra khỏi Hoa
Kỳ, ngoại trừ một số quốc gia đồng minh được chọn. Các biện pháp kiểm soát
xuất khẩu phần mềm mã hóa thậm chí còn nghiêm ngặt hơn, khiến hầu như không
thể xuất khẩu bất kỳ công nghệ mã hóa nào ra nước ngoài. Những thay đổi gần
đây trong chính sách liên bang đã nới lỏng những hạn chế này và tạo điều kiện
cho thương mại cởi mở hơn.
340 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hai bộ quy định liên bang chi phối nhập khẩu và xuất khẩu được các chuyên gia
bảo mật mạng đặc biệt quan tâm, bao gồm:
▪
Quy định về Lưu thông Vũ khí Quốc tế (International Traffic in Arms
Regulations - ITAR) kiểm soát việc xuất khẩu các mặt hàng được chỉ định
cụ thể là mặt hàng quân sự và quốc phòng, bao gồm cả thông tin kỹ thuật
liên quan đến các mặt hàng đó. Các mặt hàng được đề cập trong ITAR
xuất hiện trong một danh sách được gọi là Danh sách Đạn dược của Hoa
Kỳ (United States Munition List - USML), được duy trì trong 22 CFR 121.
▪
Các Quy định Quản lý Xuất khẩu (Export Administration Regulations - EAR)
bao hàm một loạt các mặt hàng được thiết kế cho mục đích thương mại
nhưng có thể có các ứng dụng trong quân sự. Các mặt hàng thuộc phạm
vi điều chỉnh của EAR xuất hiện trong Danh sách Kiểm soát Thương mại
(Commerce Control List - CCL) do Bộ Thương mại Hoa Kỳ duy trì. Đáng chú
ý, EAR bao gồm toàn bộ danh mục bao gồm các sản phẩm bảo mật thông
tin.
Các quốc gia đáng lo ngại
Hiện tại, các công ty Hoa Kỳ có thể xuất khẩu các hệ thống máy tính hiệu-suấtcao đến hầu hết mọi quốc gia mà không cần nhận được sự chấp thuận trước của
chính phủ. Tuy nhiên, vẫn có những ngoại lệ đối với quy tắc này đối với các
quốc gia được Cục Công nghiệp và An ninh của Bộ Thương mại Hoa Kỳ (Bureau
of Industry and Security - BIS) chỉ định là các quốc gia cần quan tâm dựa trên
thực tế là các quốc gia này có nguy cơ phổ biến vũ khí hạt nhân, các quốc gia
này được phân loại là nhà nước tài trợ cho chủ nghĩa khủng bố, hoặc các mối
quan tâm khác. Các quốc gia này bao gồm Triều Tiên, Sudan và Syria.
Bạn có thể tìm thấy một danh sách bao gồm các quốc gia và các
cấp xuất khẩu máy tính tương ứng với họ trên trang web của Bộ
Thương
mại
Hoa
Kỳ
(Department
of
Commerce)
tại
địa
www.bis.doc.gov.
341 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
chỉ
Kiểm soát Xuất khẩu Mã hóa
Cục Công nghiệp và An ninh (BIS) của Bộ Thương mại Hoa Kỳ thiết lập các quy
định về việc xuất khẩu các sản phẩm mã hóa ra khỏi Hoa Kỳ. Theo các quy định
trước đó, hầu như không thể xuất khẩu công nghệ mã hóa cấp tương đối thấp ra
khỏi Hoa Kỳ. Điều này đã đặt các nhà sản xuất phần mềm của Hoa Kỳ vào một
bất lợi cạnh tranh lớn so với các công ty nước ngoài không phải đối mặt với các
quy định tương tự. Sau một chiến dịch vận động hành lang kéo dài của ngành
công nghiệp phần mềm, Tổng thống đã chỉ đạo Bộ Thương mại sửa đổi các quy
định của mình để thúc đẩy sự phát triển của ngành công nghiệp phần mềm bảo
mật Mỹ.
Nếu bạn đang tự nghĩ rằng “Những quy định này thật khó hiểu và
chồng chéo”, bạn đang không đơn độc đâu! Kiểm soát xuất khẩu
là một lĩnh vực luật có tính chuyên môn cao, đòi h ỏi phải có
chuyên gia tư vấn pháp lý nếu bạn gặp phải chúng trong công việc
của mình.
Các quy định hiện hành hiện chỉ định các thể loại phần mềm bảo mật thị trường
bán lẻ và đại chúng. Các quy tắc hiện đã cho phép các công ty g ửi những sản
phẩm này để Bộ Thương mại xem xét, nhưng việc xem xét được cho là sẽ mất
không quá 30 ngày. Sau khi hoàn thành thành công vi ệc xem xét này, các công
ty có thể tự do xuất khẩu các sản phẩm này. Tuy nhiên, các cơ quan chính ph ủ
thường vượt quá thời hạn luật định và các công ty phải đợi cho đến khi quá trình
xem xét hoàn tất hoặc đưa vấn đề ra tòa án để cố gắng đưa ra một quyết định.
Quyền riêng tư
Trong nhiều năm, quyền riêng tư đã là một vấn đề gây tranh cãi sôi nổi ở Hoa
Kỳ. Nguồn gốc chính của tranh cãi này là Tuyên ngôn Nhân quy ền của Hiến pháp
(Constitution’s Bill of Rights) không quy định rõ ràng về quyền riêng tư. Tuy
nhiên, quyền này đã được nhiều tòa án ủng hộ và được theo đuổi một cách mạnh
mẽ bởi các tổ chức như Liên minh Tự do Dân sự Hoa Kỳ (American Civil Liberties
Union - ACLU).
342 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Người châu Âu từ lâu cũng quan tâm đến quyền riêng tư của họ. Thật vậy, những
quốc gia như Thụy Sĩ nổi tiếng trên thế giới về khả năng giữ bí mật tài chính. Ở
phần sau của chương này, chúng ta sẽ xem xét luật bảo mật dữ liệu của Liên
minh Châu Âu (EU) tác đ ộng như thế nào đến các công ty và người dùng Internet.
Luật Quyền riêng tư Hoa Kỳ (U.S. Privacy Law)
Mặc dù không có sự đảm bảo rõ ràng trong hiến pháp [Hoa Kỳ] về quyền riêng
tư nhưng vô số luật liên bang (nhiều luật đã được ban hành trong những năm
gần đây) được thiết kế để bảo vệ thông tin cá nhân mà chính ph ủ lưu giữ về
công dân cũng như các bộ phận quan tr ọng của khu vực tư nhân như tài chính,
giáo dục và các cơ sở chăm sóc sức khỏe. Trong các phần tiếp theo, chúng ta sẽ
xem xét một số luật liên bang này.
Tu chính án Thứ tư (Fourth Amendment) Cơ sở cho quyền riêng tư nằm
trong Tu chính án Thứ tư của Hiến pháp Hoa Kỳ. Nó tuyên bố như sau:
Quyền của người dân được bảo đảm về con người, nhà cửa, giấy tờ
và vật dụng cá nhân của họ, chống lại việc khám xét và thu giữ bất
hợp lý, sẽ không bị vi phạm và không có lệnh nào được đưa ra,
nhưng có thể có nguyên nhân, được hỗ trợ bởi lời tuyên thệ hoặc
sự khẳng định, và đặc biệt mô tả nơi được khám xét và những người
hoặc vật sẽ bị thu giữ.
Việc diễn giải trực tiếp tu chính án này nghiêm cấm các cơ quan chính phủ khám
xét tài sản tư nhân mà không có lệnh và nguyên nhân có thể xảy ra. Các tòa án
đã mở rộng cách diễn giải của họ về Tu chính án Thứ tư để bao gồm các biện
pháp bảo vệ chống lại việc nghe lén và các hành vi xâm phạm quyền riêng tư
khác.
Đạo luật về Quyền riêng tư (Privacy Act) năm 1974 có l ẽ là phần quan trọng
nhất của đạo luật về quyền riêng tư hạn chế cách thức chính phủ liên bang có
thể xử lý thông tin cá nhân v ề cá nhân các công dân. Nó hạn chế nghiêm trọng
khả năng của các cơ quan chính phủ liên bang trong việc tiết lộ thông tin cá
nhân cho những người hoặc cơ quan khác mà không có sự đồng ý trước bằng văn
bản của những cá nhân bị ảnh hưởng. Nó cung cấp cho các trường hợp ngoại lệ
343 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
liên quan đến điều tra dân số, thực thi pháp luật, Lưu trữ Quốc gia, sức khỏe
và an toàn, và lệnh của tòa án.
Đạo luật về Quyền riêng tư năm 1974 Đạo luật về Quyền riêng tư bắt
buộc các cơ quan chỉ duy trì các hồ sơ cần thiết cho việc tiến hành hoạt
động kinh doanh của họ và họ hủy các hồ sơ đó khi không còn cần thiết
cho chức năng hợp pháp của chính phủ. Nó cung cấp một thủ tục chính
thức để các cá nhân có quyền truy cập vào các hồ sơ mà chính phủ lưu
giữ về họ và yêu cầu các hồ sơ không chính xác phải được sửa đổi.
Đạo luật về Quyền riêng tư năm 1974 áp dụng chỉ cho các cơ
quan chính phủ. Rất nhiều người đã hiểu nhầm về đạo luật này và
tin rằng nó áp dụng cho cách mà các công ty và t ổ chức khác xử
lý những thông tin cá nhân nhạy cảm như thế nào, nhưng thực ra
điều đó không đúng.
Đạo
luật
về
Quyền
riêng tư
của
Giao tiếp
Điện
tử năm
1986
(Electronic Communication Privacy Act 1986) Đạo luật về Quyền riêng
tư của Giao tiếp Điện tử (ECPA) coi đây là tội xâm phạm quyền riêng tư
điện tử của một cá nhân. Đạo luật này đã mở rộng Đạo luật Nghe lén Liên
bang (Federal Wiretap Act), vốn trước đây bao gồm việc giao tiếp qua
đường dây vật lý, để áp dụng cho bất kỳ hành vi đánh chặn bất hợp pháp
nào đối với giao tiếp điện tử hoặc truy cập trái phép và cố ý vào dữ liệu
được lưu trữ điện tử. Nó nghiêm cấm việc đánh chặn hoặc tiết lộ thông
tin giao tiếp điện tử và xác định những trường hợp mà việc tiết lộ là hợp
pháp. Nó bảo vệ chống lại sự giám sát liên lạc email và thư thoại và ngăn
chặn các nhà cung cấp các dịch vụ đó tiết lộ trái phép nội dung của chúng.
Một trong những điều khoản đáng chú ý nhất của ECPA là việc giám sát
các cuộc trò chuyện qua điện thoại di động là bất hợp pháp. Trên thực tế,
việc giám sát như vậy có thể bị phạt tiền lên đến 500 đô la và án tù lên
đến 5 năm.
344 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hỗ
trợ
Truyền
thông
cho
Đạo
luật
Thực
thi
Pháp
luật
(Communication Assistance for Law Enforcement Act - CALEA) năm
1994 Đạo luật Hỗ trợ Truyền thông cho Đạo luật Thực thi Pháp luật
(CALEA) năm 1994 đã sửa đổi Đạo luật Bảo mật Quyền riêng tư Giao tiếp
Điện tử năm 1986. CALEA yêu cầu tất cả các nhà cung cấp dịch vụ truyền
thông phải thực hiện khả năng nghe lén để thực thi pháp luật với lệnh tòa
thích hợp, bất kể công nghệ đang sử dụng.
Đạo luật Gián điệp Kinh tế năm 1996 (Economic Espionage Act) Đạo
luật Gián điệp Kinh tế năm 1996 mở rộng định nghĩa tài sản để bao gồm
những thông tin kinh tế độc quyền để hành vi trộm cắp thông tin này có
thể được coi là gián điệp công nghiệp hoặc gián điệp công ty. Điều này
đã thay đổi định nghĩa pháp lý về hành vi trộm cắp để nó không còn bị
hạn chế bởi các ràng buộc về mặt vật lý.
Đạo luật về Trách nhiệm giải trình và Cung cấp Bảo hiểm Y tế năm
1996 (Health Insurance Portability and Accountability Act) Năm
1996, Quốc hội đã thông qua Đạo luật về Trách nhiệm giải trình và Cung
cấp Bảo hiểm Y tế (HIPAA), đạo luật này đã thực hiện nhiều thay đổi đối
với luật quản lý bảo hiểm y tế và các tổ chức duy trì sức khỏe (health
maintenance organization - HMO). Trong số các điều khoản của HIPAA có
các quy định về quyền riêng tư và bảo mật yêu cầu các biện pháp bảo mật
nghiêm ngặt đối với các bệnh viện, bác sĩ, công ty bảo hiểm và các tổ
chức khác đang xử lý hoặc lưu trữ thông tin y tế riêng tư về cá nhân.
HIPAA cũng xác định rõ ràng quyền của các cá nhân là đối tượng của hồ
sơ y tế và yêu cầu các tổ chức lưu giữ hồ sơ đó phải tiết lộ các quyền này
bằng văn bản.
Các quy định về bảo mật và quyền riêng tư của HIPAA tương đối
phức tạp. Bạn nên làm quen với những dự định rộng rãi của đạo
luật, như đã được mô tả ở đây. Nếu bạn làm việc trong ngành
chăm sóc sức khỏe, hãy cân nhắc về việc dành thời gian để nghiên
cứu sâu về các quy định của đạo luật này.
345 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Đạo luật Công nghệ Thông tin Y tế cho Kinh tế và Y tế Lâm sàng
năm
2009
(Health
Information
Technology
for
Economic
and
Clinical Health Act) Năm 2009, Quốc hội đã sửa đổi HIPAA bằng cách
thông qua Đạo luật Công nghệ Thông tin Y tế cho Kinh tế và Y tế Lâm sàng
(HITECH). Luật này đã cập nhật nhiều yêu cầu về quyền riêng tư và bảo
mật của HIPAA và đã được triển khai thông qua Quy tắc Omnibus HIPAA
vào năm 2013.
Một trong những thay đổi bắt buộc theo quy định mới là một thay đổi trong cách
luật đối xử với các cộng sự kinh doanh, là các tổ chức xử lý thông tin sức khỏe
được bảo vệ (protected health information - PHI) thay mặt cho một pháp nhân
được HIPAA bảo đảm. Bất kỳ mối quan hệ nào giữa một pháp nhân được bảo đảm
và một công ty liên kết kinh doanh phải được điều chỉnh bởi một hợp đồng bằng
văn
bản
được
gọi
là
thỏa
thuận
liên
kết
kinh
doanh
(business
associate
agreement - BAA). Theo quy định mới, các công ty liên kết kinh doanh phải trực
tiếp tuân theo các hành động thực thi HIPAA và HIPAA theo cách tương t ự như
một pháp nhân được bảo đảm.
HITECH cũng đưa ra các yêu cầu thông báo về vi phạm dữ liệu mới. Theo Quy
tắc Thông báo Vi phạm (Breach Notification Rule) của HITECH, các thực thể
thuộc phạm vi điều chỉnh của HIPAA gặp phải vi phạm dữ liệu phải thông báo
cho các cá nhân bị ảnh hưởng về vi phạm và cũng phải thông báo cho cả thư ký
dịch vụ y tế và con người và giới truyền thông khi sự vi phạm gây ảnh hưởng
đến hơn 500 cá nhân.
Luật Thông báo Vi phạm Dữ liệu
Quy tắc thông báo vi phạm dữ liệu của HITECH là duy nhất ở chỗ đó là luật
liên bang bắt buộc phải thông báo cho các cá nhân bị ảnh hưởng. Ngoài yêu
cầu này đối với hồ sơ chăm sóc sức khỏe, các yêu cầu về thông báo vi phạm
dữ liệu sẽ rất khác nhau giữa các tiểu bang.
Năm 2002, California đã thông qua SB 1386 và trở thành tiểu bang đầu tiên
thông báo ngay cho các cá nhân về việc vi phạm thông tin nhận dạng cá nhân
346 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
đã được phát hiện hoặc đang bị nghi ngờ. Điều này bao gồm các bản sao không
được mã hóa của tên một người kết hợp với bất kỳ thông tin nào sau đây:
▪
Số An sinh Xã hội,
▪
Số bằng lái xe,
▪
Số thẻ căn cước của tiểu bang,
▪
Số thẻ tín dụng hoặc thẻ ghi nợ,
▪
Số tài khoản ngân hàng kết hợp với mã bảo mật, mã truy cập hoặc mật
khẩu cho phép truy cập vào tài khoản,
▪
Hồ sơ bệnh án,
▪
Thông tin bảo hiểm y tế.
Trong những năm sau SB 1386, các tiểu bang khác cũng đã thông qua các luật
tương tự dựa trên luật thông báo vi phạm dữ liệu của California. Vào năm
2018, 16 năm sau khi SB 1386 đư ợc thông qua, Alabama và Nam Dakota tr ở
thành hai bang cuối cùng thông qua luật thông báo vi phạm dữ liệu.
Để có một danh sách đầy đủ các luật thông báo vi phạm dữ liệu
của
tiểu
bang,
vui
lòng
truy
cập
trang
web
tại
địa
chỉ
www.ncsl.org/research/telecommunications -and-informationtechnology/security-breach-notification-laws.aspx.
Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của Trẻ em năm 1998
(Children’s Online Privacy Protection Act) Vào tháng 4 năm 2000, các
quy định của Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của Trẻ em
(COPPA) đã trở thành luật của đất nước Hoa Kỳ. COPPA đưa ra một loạt
yêu cầu đối với các trang web phục vụ trẻ em hoặc có chủ tâm thu thập
thông tin từ trẻ em.
▪
Các trang web phải có thông báo về quyền riêng tư nêu rõ các
loại thông tin họ thu thập và thông tin đó được sử dụng để làm
gì, bao gồm cả việc liệu có sự tiết lộ bất kỳ thông tin nào cho
bên thứ ba hay không. Thông báo về quyền riêng tư cũng phải
bao gồm thông tin liên hệ của những người điều hành trang web.
347 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Phụ huynh phải được tạo cơ hội để xem xét bất kỳ thông tin nào
đã thu thập được từ con cái của họ và xóa vĩnh viễn thông tin đó
khỏi hồ sơ của trang web.
▪
Phụ huynh phải được cung cấp sự đồng thuận có thể xác minh
được đối với việc thu thập thông tin về trẻ em dưới 13 tuổi trước
khi thu thập bất kỳ thông tin nào như vậy. Các trường hợp ngoại
lệ trong luật cho phép các trang web thu thập thông tin tối thiểu
chỉ với mục đích thu được sự đồng thuận của cha mẹ.
Đạo luật Gramm-Leach-Bliley năm 1999 (Gramm-Leach-Bliley Act)
Cho đến khi Đạo luật Gramm – Leach - Bliley (GLBA) trở thành luật vào
năm 1999, đã có những rào cản nghiêm ngặt của chính phủ giữa các tổ
chức tài chính. Các ngân hàng, công ty bảo hiểm và nhà cung cấp tín dụng
bị hạn chế nghiêm trọng trong các dịch vụ mà họ có thể cung cấp và thông
tin mà họ có thể chia sẻ với nhau. GLBA đã nới lỏng phần nào các quy
định liên quan đến các dịch vụ mà mỗi tổ chức có thể cung cấp. Khi Quốc
hội thông qua luật này, họ nhận ra rằng phạm vi gia tăng này có thể có
những tác động sâu rộng về quyền riêng tư. Vì mối lo ngại này, Quốc hội
đã đưa vào một số hạn chế về loại thông tin có thể được trao đổi ngay cả
giữa các công ty con của cùng một tập đoàn và yêu cầu các tổ chức tài
chính cung cấp chính sách bảo mật bằng văn bản cho tất cả khách hàng
của họ.
Đạo luật PATRIOT của Hoa Kỳ năm 2001 (USA PATRIOT Act) Quốc
hội đã thông qua Đạo luật Thống nhất và Tăng cường của Mỹ bằng cách
Cung cấp các Công cụ Thích hợp Cần thiết để Ngăn chặn và Cản trở Chủ
nghĩa
khủng
bố
(Uniting
and
Strengthening
America
by
Providing
Appropriate Tools Required to Intercept and Obstruct Terrorism - USA
PATRIOT) năm 2001 đ ể phản ứng trực tiếp với các cuộc tấn công khủng
bố ngày 11 tháng 9 năm 2001 ở Thành phố New York và Washington, DC.
Đạo luật PATRIOT đã mở rộng đáng kể quyền hạn của các tổ chức thực thi
pháp luật và cơ quan tình báo trong một số lĩnh vực, bao gồm cả khi giám
sát thông tin liên lạc điện tử.
348 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Một trong những thay đổi lớn được thúc đẩy bởi Đạo luật PATRIOT xoay
quanh cách các cơ quan chính ph ủ có được quyền nghe lén. Trước đây,
cảnh sát chỉ có thể nhận được lệnh đối với một mạch tại một thời điểm,
sau khi chứng minh được rằng mạch đó đã được sử dụng bởi một người
nào đó đang bị giám sát. Các quy định của Đạo luật PATRIOT cho phép
các nhà chức trách có được sự ủy quyền chung cho một người và sau đó
giám sát tất cả các thông tin liên lạc đến hoặc đi từ người đó theo một
lệnh duy nhất.
Một thay đổi lớn khác là trong cách chính phủ xử lý các nhà cung cấp dịch
vụ Internet (ISP). Theo các điều khoản của Đạo luật PATRIOT, các ISP có
thể tự nguyện cung cấp cho chính phủ một lượng lớn thông tin. Đạo luật
PATRIOT cũng cho phép chính ph ủ có được thông tin chi tiết về hoạt động
của người dùng thông qua việc sử dụng trát đòi hầu tòa (trái ngược với
nghe lén).
Cuối cùng, Đạo luật PATRIOT của Hoa Kỳ sửa đổi Đạo luật Lạm dụng và
Gian lận Máy tính (vâng, một bộ sửa đổi khác!) để đưa ra các hình phạt
nghiêm khắc hơn cho các hành vi ph ạm tội. Đạo luật PATRIOT quy định
thời hạn tù lên đến 20 năm và m ột lần nữa mở rộng phạm vi che phủ của
CFAA.
Đạo luật PATRIOT có một lịch sử lập pháp phức tạp. Nhiều điều khoản
then chốt của Đạo luật PATRIOT đã hết hạn vào năm 2015 khi Quốc hội
không thông qua gia hạn dự luật. Tuy nhiên, Quốc hội sau đó đã thông
qua Đạo luật Tự do của Hoa Kỳ (USA Freedom Act) vào tháng 6 năm 2015,
trong đó khôi phục các điều khoản quan trọng của Đạo luật PATRIOT. Các
điều khoản đã hết hạn một lần nữa vào tháng 3 năm 2020 và, vào th ời
điểm quyển sách này được xuất bản, vẫn chưa được gia hạn. Tình trạng
tương lai của sự ủng hộ đối với Đạo luật PATRIOT hiện vẫn đang bị nghi
ngờ.
Đạo luật Quyền riêng tư và Quyền Giáo dục Gia đình
(Family
Educational Rights and Privacy Act) Đạo luật Quyền riêng tư và Quyền
Giáo dục Gia đình (FERPA) là một dự luật về quyền riêng tư chuyên biệt
349 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
khác ảnh hưởng đến bất kỳ tổ chức giáo dục nào chấp nhận bất kỳ hình
thức tài trợ nào từ chính phủ liên bang (đại đa số các trường học). Nó cấp
một số quyền riêng tư nhất định cho học sinh trên 18 tuổi và phụ huynh
của những học sinh trong độ tuổi vị thành niên. Các biện pháp bảo vệ
FERPA cụ thể bao gồm:
▪
Phụ huynh/học sinh có quyền kiểm tra bất kỳ hồ sơ giáo dục nào đã
được tổ chức lưu trữ về học sinh.
▪
Phụ huynh/học sinh có quyền yêu cầu chỉnh sửa hồ sơ mà họ cho là
sai sót và có quyền đưa vào hồ sơ một tuyên bố phản đối bất cứ
điều gì chưa được sửa chữa.
▪
Các trường không được phép tiết lộ thông tin cá nhân từ hồ sơ học
sinh mà không có sự đồng ý bằng văn bản, trừ một số trường hợp
nhất định.
Đạo luật Răn đe về Giả mạo và Trộm cắp Danh tính (Identity Theft
and Assumption Deterrence Act) Vào năm 1998, Tổng thống đã ký thành
luật. Trong quá khứ, nạn nhân hợp pháp duy nhất của hành vi trộm cắp
danh tính là các chủ nợ bị lừa đảo. Đạo luật này biến hành vi trộm cắp
danh tính trở thành tội ác đối với người bị đánh cắp danh tính và đưa ra
các hình phạt hình sự nghiêm khắc (lên đến 15 năm tù giam và/hoặc phạt
250,000 đô la) cho bất kỳ ai bị kết tội vi phạm luật này.
Kịch bản trong Thế giới Thực
Quyền riêng tư tại Khu vực làm việc
Một trong số những tác giả của quyển sách này đã có cuộc trò chuyện thú vị
với một người thân làm trong một môi trường văn phòng. Tại một buổi họp
mặt gia đình, người thân của tác giả tình cờ đề cập đến một câu chuyện mà
anh ta đã đọc trên mạng về một công ty địa phương đã sa thải một số nhân
viên vì lạm dụng đặc quyền Internet của họ. Anh ấy bị sốc và không thể tin
rằng một công ty lại xâm phạm quyền riêng tư của nhân viên.
350 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Như bạn đã đọc trong chương này, hệ thống tòa án Hoa Kỳ từ lâu đã đề cao
quyền truyền thống về quyền riêng tư như một phần mở rộng của các quyền
cơ bản theo hiến pháp. Tuy nhiên, các tòa án đã duy trì rằng yếu tố then chốt
của quyền này là quyền riêng tư chỉ được đảm bảo khi có “kỳ vọng hợp lý về
quyền riêng tư”. Ví dụ, nếu bạn gửi một lá thư cho ai đó trong một phong bì
dán kín, bạn có thể mong đợi một cách hợp lý rằng nó sẽ được gửi mà không
bị đọc trên đường đi - bạn có kỳ vọng hợp lý về quyền riêng tư. Mặt khác, nếu
bạn gửi thông điệp của mình trên bưu thiếp, bạn làm như vậy với nhận thức
rằng một hoặc nhiều người có thể đọc ghi chú của bạn trước khi nó đến được
đầu bên kia - bạn không có kỳ vọng hợp lý về quyền riêng tư.
Các phán quyết gần đây của tòa án đã phát hiện ra rằng nhân viên không có
kỳ vọng hợp lý về quyền riêng tư trong khi đang sử dụng thiết bị liên lạc do
người-sử-dụng-lao-động-sở-hữu tại nơi làm việc. Nếu bạn gửi mọt tin nhắn
bằng máy tính, kết nối Internet, điện thoại hoặc thiết bị liên lạc khác của
người sử dụng lao động, thì người sử dụng lao động của bạn có thể giám sát
nó như một quy trình kinh doanh thông thư ờng.
Điều đó có nghĩa rằng, nếu bạn định theo dõi thông tin liên l ạc của nhân viên,
bạn nên thực hiện các biện pháp phòng ngừa hợp lý để đảm bảo rằng không
có kỳ vọng được ngụ ý nào về quyền riêng tư. Dưới đây là một số biện pháp
phổ biến cần xem xét:
▪
Các điều khoản trong hợp đồng lao động nêu rõ nhân viên không có
mong đợi về sự riêng tư khi sử dụng thiết bị của công ty.
▪
Tuyên bố bằng văn bản tương tự trong các chính sách về quyền riêng tư
và chính sách sử dụng có thể được chấp thuận của công ty.
▪
Các biểu ngữ đăng nhập cảnh báo rằng tất cả các thông tin liên lạc phải
được giám sát.
▪
Các nhãn cảnh báo trên máy tính và đi ện thoại cảnh báo về việc giám
sát.
Cũng như nhiều vấn đề đã được thảo luận trong chương này, bạn nên tham
khảo ý kiến chuyên gia tư vấn pháp lý của mình trước khi thực hiện bất kỳ nỗ
lực giám-sát-thông-tin-liên-lạc nào.
351 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Luật về Quyền riêng tư của Liên minh Châu Âu
Liên minh Châu Âu (EU) đã đóng vai trò là lực lượng hàng đầu trong thế giới về
quyền riêng tư thông tin, thông qua m ột loạt các quy định được thiết kế để bảo
vệ quyền riêng tư của các cá nhân. Các luật này hoạt động một cách toàn diện,
áp dụng cho hầu hết tất cả các thông tin có thể nhận dạng cá nhân, không giống
như các luật về quyền riêng tư của Hoa Kỳ, thường áp dụng cho các ngành hoặc
thể loại thông tin cụ thể.
Chỉ thị Bảo vệ Dữ liệu của Liên minh Châu Âu (European Union Data
Protection Directive – DPD)
Vào ngày 24/10/1995, Nghị viện Châu Âu đã thông qua m ột Chỉ thị Bảo vệ Dữ
liệu (DPD) có ảnh hưởng sâu rộng nêu rõ các biện pháp [bảo vệ] quyền riêng tư
cần phải có để bảo vệ dữ liệu cá nhân được xử lý bởi các hệ thống thông tin.
Chỉ thị có hiệu lực ba năm sau đó vào tháng 10 năm 1998, được coi là luật về
quyền riêng tư trên diện rộng đầu tiên trên thế giới. DPD yêu cầu tất cả việc xử
lý dữ liệu cá nhân phải đáp ứng một trong các tiêu chí sau:
▪
Đồng thuận,
▪
Hợp đồng,
▪
Nghĩa vụ pháp lý,
▪
Mối quan tâm trọng yếu của chủ thể của dữ liệu,
▪
Sự cân bằng giữa lợi ích của người nắm giữ dữ liệu và lợi ích của chủ thể
của dữ liệu.
Chỉ thị này cũng nêu rõ các quyền then chốt của các cá nhân về việc dữ liệu
được lưu trữ và/hoặc xử lý:
▪
Quyền truy cập vào dữ liệu,
▪
Quyền được biết nguồn gốc của dữ liệu,
▪
Quyền sửa đổi những dữ liệu không chính xác,
▪
Quyền từ chối sự đồng ý xử lý dữ liệu trong một số trường hợp,
▪
Quyền khởi kiện nếu các quyền này bị vi phạm.
Việc thông qua DPD đã buộc các tổ chức trên khắp thế giới, ngay cả những tổ
chức có trụ sở bên ngoài châu Âu, phải xem xét lại các nghĩa vụ về quyền riêng
352 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tư của họ do các yêu cầu về luồng dữ liệu xuyên biên giới. Trong trường hợp
thông tin cá nhân về công dân của Liên minh châu Âu rời khỏi EU, những người
gửi dữ liệu có quyền yêu cầu để đảm bảo rằng thông tin đó vẫn được bảo vệ.
Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu (European Union
General Data Protection Regulation)
Liên minh Châu Âu đã thông qua một luật mới và toàn diện về bảo vệ thông tin
cá nhân vào năm 2016. Quy đ ịnh chung về bảo vệ dữ liệu (GDPR) có hiệu lực
vào năm 2018 và thay thế DPD vào ngày đó. Mục đích chính của luật này là cung
cấp một luật duy nhất, hài hòa bao gồm dữ liệu trên toàn Liên minh Châu Âu,
củng cố các biện pháp bảo vệ quyền riêng tư cá nhân do DPD cung cấp ban đầu.
Sự khác biệt chính giữa GDPR và chỉ thị bảo vệ dữ liệu là phạm vi quy định được
mở rộng. Luật mới áp dụng cho tất cả các tổ chức thu thập dữ liệu từ những cư
dân EU hoặc xử lý thông tin đó thay mặt cho người thu thập thông tin đó. Quan
trọng hơn, luật thậm chí còn áp dụng cho các tổ chức không có trụ sở tại EU,
nếu họ thu thập thông tin về cư dân EU. Tùy thuộc vào cách giải thích điều này
của các tòa án, nó có thể có hiệu lực để trở thành luật quốc tế vì phạm vi rất
rộng của nó. Khả năng EU thực thi bộ luật này trên toàn cầu vẫn là một câu hỏi
bỏ ngỏ.
Các điều khoản chính của GDPR bao gồm những điều sau đây:
Tính hợp pháp, công bằng và minh bạch tuyên bố rằng bạn phải có cơ
sở pháp lý để xử lý thông tin cá nhân, bạn không được xử lý dữ liệu theo
cách gây ra hiểu nhầm hoặc gây bất lợi cho chủ thể của dữ liệu và bạn
phải cởi mở và trung thực về các hoạt động xử lý dữ liệu.
Giới hạn mục đích tuyên bố rằng bạn phải lập thành văn bản và tiết lộ
những mục đích một cách rõ ràng mà theo đó, bạn thu thập dữ liệu và giới
hạn hoạt động của bạn chỉ trong những mục đích đã tiết lộ.
Tối thiểu dữ liệu tuyên bố rằng bạn phải đảm bảo rằng dữ liệu bạn xử lý
là đủ cho mục đích đã nêu của bạn và chỉ giới hạn ở những gì bạn thực sự
cần cho mục đích đó.
353 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Độ chính xác tuyên bố rằng dữ liệu bạn thu thập, tạo ra hoặc duy trì là
chính xác và không gây ra hiểu nhầm, rằng bạn duy trì các hồ sơ đã được
cập nhật và bạn sẽ chỉnh sửa hoặc xóa đi những dữ liệu không chính xác.
Giới hạn lưu trữ tuyên bố rằng bạn chỉ lưu giữ dữ liệu miễn là nó còn
cần thiết để thực hiện những mục đích hợp pháp, được tiết lộ và bạn tuân
thủ “quyền được quên” cho phép mọi người yêu cầu công ty xóa thông tin
của họ nếu không còn cần thiết
Bảo mật tuyên bố rằng bạn phải có các biện pháp kiểm soát tính toàn vẹn
và bảo mật thích hợp để bảo vệ dữ liệu.
Trách nhiệm giải trình tuyên bố rằng bạn phải chịu trách nhiệm về những
hành động bạn thực hiện với dữ liệu đã được bảo vệ và bạn phải có khả
năng chứng minh sự tuân thủ của mình.
Chia sẻ Thông tin Xuyên-Biên giới
GDPR được đặc biệt quan tâm khi truyền tải thông tin qua biên giới quốc tế. Các
tổ chức cần thực hiện chuyển giao giữa các công ty con của họ có sẵn hai lựa
chọn để tuân thủ các quy định của EU:
▪
Các tổ chức có thể thông qua một bộ các điều khoản mang tính hợp đồng
tiêu chuẩn đã được phê duyệt để sử dụng trong các trường hợp thông tin
được chuyển ra bên ngoài EU. Các đi ều khoản đó sẽ được tìm thấy trên
trang
web
của
EU
tại
địa
chỉ
(ec.europa.eu/info/law/law-topic/data-
protection/international-dimension-data-protection/standard-contractualclauses-scc_en) và có sẵn để đưa vào vào hợp đồng.
▪
Các tổ chức có thể áp dụng các quy tắc ràng buộc của công ty để kiểm
soát việc truyền dữ liệu giữa các đơn vị nội bộ của cùng một công ty. Đây
là một quá trình rất tốn-thời-gian - các quy tắc phải được mọi quốc gia
thành viên EU nơi chúng s ẽ được sử dụng chấp thuận, vì vậy, thường thì
cách này chỉ được áp dụng bởi các tổ chức rất lớn.
Trong quá khứ, Liên minh Châu Âu và Hoa K ỳ đã vận hành một thỏa thuận bảo
vệ an toàn có tên gọi là Lá chắn Quyền riêng tư (Privacy Shield). Các tổ chức
đã có khả năng chứng nhận sự tuân thủ của họ đối với những thực tiễn về quyền
354 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
riêng tư thông qua những người đánh giá độc lập và nếu nhận được lá chắn
quyền riêng tư, họ sẽ được phép chuyển thông tin.
Tuy nhiên, phán quyết năm 2020 của Tòa án Công lý Châu Âu (European Court
of Justice) trong một vụ án có tên Schrems II đã tuyên b ố Lá chắn Quyền riêng
tư của Liên minh Châu Âu/Hoa Kỳ là không hợp lệ. Hiện tại, các công ty có thể
không dựa vào Privacy Shield và phải sử dụng các điều khoản mang tính hợp
đồng tiêu chuẩn hoặc các quy tắc ràng buộc của công ty. Điều này có thể thay
đổi trong tương lai nếu Privacy Shield được sửa đổi để đáp ứng các yêu cầu của
Liên minh Châu Âu.
Trong một số trường hợp, xung đột phát sinh giữa luật pháp của các quốc gia
khác nhau. Ví dụ, các quy tắc khám phá điện tử ở Hoa Kỳ có thể yêu cầu cung
cấp bằng chứng được bảo vệ theo GDPR. Trong những trường hợp đó, các chuyên
gia về quyền riêng tư nên tham khảo ý kiến của luật sư để xác định cách thức
hành động thích hợp.
Tổ chức Hợp tác Kinh tế Châu Á – Thái Bình Dương (APEC) công
bố một khuôn khổ về quyền riêng tư để kết hợp rất nhiều thực
tiễn về quyền riêng tư tiêu chuẩn, chẳng hạn như ngăn ngừa thiệt
hại, thông báo, đồng thuận, bảo mật và trách nhiệm giải trình.
Khuôn khổ này được sử dụng để thúc đẩy luồng thông tin xuyênbiên-giới giữa các quốc gia thành viên của APEC.
Luật về Quyền riêng tư của Canada
Luật của Canada có tác động đến việc xử lý thông tin cá nhân liên quan đến các
công dân Canada. Nổi bật trong số đó, Đạo luật Bảo vệ Thông tin Cá nhân và
Tài liệu Điện tử (Personal Information Protection and Electronic Documents Act
- PIPEDA) là một bộ luật cấp-quốc-gia để giới hạn cách mà các doanh nghiệp
thương mại có thể thu thập, sử dụng và công bố thông tin cá nhân như thế nào.
Nói chung, PIPEDA bao g ồm những thông tin về một cá nhân có thể nhận dạng
được đối với cá nhân đó. Chính phủ Canada cung cấp những ví dụ sau về những
thông tin được PIPEDA bao gồm:
▪
Nguồn gốc chủng tộc, quốc gia hoặc dân tộc,
355 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Tôn giáo,
▪
Tuổi,
▪
Tình trạng hôn nhân,
▪
Lịch sử y tế, giáo dục hoặc việc làm,
▪
Thông tin tài chính,
▪
DNA,
▪
Mã số căn cước,
▪
Hồ sơ về hiệu suất của nhân viên.
Luật sẽ không bao gồm những thông tin không phù hợp với định nghĩa về thông
tin cá nhân, bao gồm những ví dụ dưới đây được cung cấp bởi Ủy viên Thông tin
của Canada:
▪
Thông tin không phải là về một cá nhân, vì mối liên hệ với một người là
quá yếu hoặc quá-xa.
▪
Thông tin về một tổ chức chẳng hạn như một doanh nghiệp.
▪
Thông tin đã được kết xuất ẩn danh, miễn là không thể liên kết dữ liệu đó
ngược lại một cá nhân có thể định danh được.
▪
Những thông tin nhất định về công chức như tên, vị trí, chức danh của họ.
▪
Thông tin liên hệ kinh doanh của một người mà một tổ chức thu thập, sử
dụng, hoặc công bố cho mục đích duy nhất là liên lạc với người đó liên
quan đến công việc, việc kinh doanh hoặc nghề nghiệp của họ.
PIPEDA cũng có thể được thay thế bởi các luật cụ-thể-của-tỉnh được coi là về cơ
bản tương tự như PIPEDA. Những luật này hiện đang tồn tại ở Alberta, British
Columbia và Quebec. Nói chung, PIPEDA thường không áp dụng cho các tổ chức
phi lợi nhuận, thành phố trực thuộc trung ương, trường đại học, trường học và
bệnh viện.
Các Luật lệ về Quyền riêng tư của Tiểu bang
Ngoài những luật lệ của liên bang và quốc tế có ảnh hưởng đến quyền riêng tư
và bảo mật của thông tin, các tổ chức cũng phải nhận biết những luật được
thông qua bởi các tiểu bang, tỉnh và các khu vực pháp lý khác nơi họ tiến hành
việc kinh doanh. Cũng giống như luật thông báo vi phạm dữ liệu được thảo luận
ở phần trước trong chương này, các bang thường dẫn đầu trong việc tạo ra các
356 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
quy định về quyền riêng tư ph ổ biến trên toàn qu ốc và cuối cùng có thể đóng
vai trò là mô hình cho luật liên bang.
Đạo luật về Quyền riêng tư của Người tiêu dùng California (California Consumer
Privacy Act – CCPA) là một ví dụ tuyệt vời về nguyên tắc hành động này. Tiểu
bang California đã thông qua đạo luật có ảnh hưởng sâu rộng này vào năm 2018,
mô hình hóa nó sau GDPR của Liên minh Châu Âu. Các điều khoản quy định của
luật có hiệu lực vào năm 2020, cung cấp cho người tiêu dùng những điều sau
đây:
▪
Quyền được biết những thông tin về họ nào mà các doanh nghiệp đang thu
thập và cách mà các tổ chức sử dụng và chia sẻ những thông tin đó như
thế nào.
▪
Quyền được quên, cho phép người tiêu dùng yêu cầu tổ chức xóa thông
tin cá nhân của họ, trong một số trường hợp.
▪
Quyền được chọn từ chối bán thông tin cá nhân của họ.
▪
Quyền kiểm tra các quyền riêng tư của họ mà không sợ bị phân biệt đối
xử hoặc trả thù khi sử dụng quyền này.
Rất có khả năng các tiểu bang khác sẽ đi theo mô hình của
California và đưa ra những luật lệ về quyền riêng tư rộng rãi của
riêng mình trong vài năm sắp tới. Đây là một lĩnh vực trọng tâm
quan trọng mà các chuyên gia bảo mật nên theo dõi.
Tuân thủ
Trong thập kỷ qua, môi trường pháp lý đang quản lý bảo mật thông tin ngày
càng trở nên phức tạp. Các tổ chức có thể nhận thấy rằng chính mình phải tuân
thủ nhiều luật lệ khác nhau (rất nhiều luật đã được nêu ra ở phần trước đó trong
chương này) và các quy định do các cơ quan quản lý áp đặt hoặc các nghĩa vụ
theo hợp đồng.
Kịch bản trong Thế giới Thực
357 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán
Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (Payment Card Industry
Data Security Standard - PCI DSS) là một ví dụ tuyệt vời về yêu cầu tuân thủ
không được quy định bởi luật pháp mà do nghĩa vụ pháp lý theo hợp đồng. PCI
DSS quản lý việc bảo mật thông tin thẻ tín dụng và được thực thi thông qua
các điều khoản của một thỏa thuận kinh doanh giữa doanh nghiệp chấp nhận
thẻ tín dụng và ngân hàng xử lý các giao dịch của doanh nghiệp.
PCI DSS có 12 yêu cầu chính:
▪
Cài đặt và duy t rì một cấu hình tường lửa để bảo vệ dữ liệu của chủ
thẻ.
▪
Không sử dụng mật khẩu mặc định được-cung-cấp-bởi-nhà-cung-cấp cho
những mật khẩu hệ thống và các tham số bảo mật khác.
▪
Bảo vệ dữ liệu của chủ thẻ đã được lưu trữ.
▪
Mã hóa việc truyền tải dữ liệu của chủ thẻ qua các mạng mở và công
cộng.
▪
Bảo vệ mọi hệ thống chống lại phần mềm độc hại và thường xuyên cập
nhật phần mềm hoặc chương trình chống vi-rút.
▪
Phát triển và duy trì các hệ thống và ứng dụng được bảo mật.
▪
Hạn chế quyền truy cập vào dữ liệu của chủ thẻ chỉ cho doanh nghiệp
cần-được-biết (need-to-know).
▪
Nhận diện và cấp phép quyền truy cập vào các thành phần hệ thống.
▪
Giới hạn quyền truy cập về mặt vật lý vào dữ liệu của chủ thẻ.
▪
Thường xuyên kiểm tra các hệ thống và quy trình bảo mật.
▪
Duy trì một chính sách xử lý bảo mật thông tin đối với mọi nhân viên.
Mỗi một trong số các yêu cầu nói trên đều được trình bày chi tiết trong bộ
tiêu
chuẩn
PCI
DSS
đầy
đủ,
có
thể
được
tìm
thấy
tại
trang
web
pcisecuritystandard.org. Các tổ chức là đối tượng của PCI DSS có thể được yêu
cầu phải tiến hành các đánh giá tuân thủ hàng năm, tùy thuộc vào số lượng
giao dịch mà họ xử lý và lịch sử vi phạm an ninh mạng của họ.
358 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Việc đáp ứng nhiều yêu cầu tuân thủ chồng chéo và đôi khi mâu thuẫn mà một
tổ chức phải đối mặt đòi hỏi phải lập kế hoạch một cách cẩn thận. Nhiều tổ chức
sử dụng nhân viên tuân thủ CNTT toàn-thời-gian chịu trách nhiệm theo dõi môi
trường pháp lý, giám sát các biện pháp kiểm soát để đảm bảo tuân thủ liên tục,
tạo điều kiện thuận lợi cho các cuộc kiểm toán tuân thủ và đáp ứng các nghĩa
vụ báo cáo tuân thủ của tổ chức.
Các tổ chức không mua bán nhưng có lưu trữ, xử lý hoặc truyền
tải thông tin thẻ tín dụng dưới danh nghĩa của người bán cũng
phải tuân thủ PCI DSS. Ví dụ, các yêu cầu trên cũng được áp dụng
cho các nhà cung cấp dịch vụ lưu trữ được chia sẻ, những người
phải bảo vệ môi trường dữ liệu của chủ thẻ.
Các tổ chức có thể phải chịu các cuộc kiểm toán tuân thủ bởi các kiểm toán viên
nội bộ và bên ngoài tiêu chuẩn của họ hoặc bởi các cơ quan quản lý hoặc các
đại lý của họ. Ví dụ, kiểm toán viên tài chính của tổ chức có thể tiến hành một
cuộc kiểm toán các biện pháp kiểm soát CNTT được thiết kế để đảm bảo rằng
các biện pháp kiểm soát bảo mật thông tin đối với hệ thống tài chính của tổ
chức là đủ để đảm bảo tuân thủ Đạo luật Sarbanes – Oxley (SOX). Một số quy
định, chẳng hạn như PCI DSS, có thể yêu cầu tổ chức giữ lại các kiểm toán viên
độc lập đã được phê duyệt để xác minh các biện pháp kiểm soát và cung cấp báo
cáo trực tiếp cho các cơ quan quản lý.
Ngoài các cuộc kiểm toán chính thức, các tổ chức thường phải báo cáo việc tuân
thủ quy định cho một số các bên liên quan bên trong nội bộ và bên ngoài. Ví dụ,
hội đồng quản trị của một tổ chức (hoặc thông thường hơn là ủy ban kiểm toán
của hội đồng) có thể yêu cầu báo cáo định kỳ về các nghĩa vụ tuân thủ và tình
trạng tuân thủ. Tương tự, PCI DSS yêu cầu các tổ chức không bắt buộc phải tiến
hành một cuộc kiểm toán chính thức của bên-thứ-ba để hoàn thành và đệ trình
một báo cáo tự-đánh-giá nêu rõ tình trạng tuân thủ của họ.
359 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Ký hợp đồng và Mua sắm
Việc tăng cường sử dụng các dịch vụ đám mây và các nhà cung cấp bên ngoài
khác để lưu trữ, xử lý và truyền tải những thông tin nhạy cảm dẫn các tổ chức
đến một trọng tâm mới hướng đến việc triển khai các đánh giá và kiểm soát bảo
mật trong các quy trình ký kết hợp đồng và mua sắm của họ. Các chuyên gia bảo
mật nên tiến hành đánh giá các biện pháp kiểm soát bảo mật do nhà cung cấp
đưa ra, cả trong quá trình lựa chọn và đánh giá nhà cung cấp ban đầu cũng như
một phần của quá trình đánh giá quản trị nhà cung cấp liên tục.
Dưới đây là một số câu hỏi cần được giải đáp trong quá trình đánh giá quản trị
nhà cung cấp này:
▪
Những loại thông tin nhạy cảm nào được lưu trữ, xử lý hoặc truyền tải bởi
nhà cung cấp?
▪
Đang có những biện pháp kiểm soát nào để bảo vệ thông tin của tổ chức?
▪
Thông tin của tổ chức của bạn được tách biệt với thông tin của các khách
hàng khác như thế nào?
▪
Nếu mã hóa được sử dụng như một biện pháp kiểm soát bảo mật, thì thuật
toán mã hóa và độ dài khóa nào được sử dụng? Quản lý khóa được xử lý
như thế nào?
▪
Các loại kiểm toán bảo mật nào đang được nhà cung cấp thực hiện và
khách hàng có quyền truy cập gì vào các kiểm toán đó?
▪
Nhà cung cấp có dựa vào bất kỳ bên thứ ba nào khác để lưu trữ, xử lý
hoặc truyền tải dữ liệu không? Các điều khoản của hợp đồng liên quan đến
bảo mật mở rộng cho các bên thứ ba đó như thế nào?
▪
Việc lưu trữ, xử lý và truyền tải dữ liệu sẽ diễn ra ở đâu? Nếu việc đó diễn
ra bên ngoài quốc gia của khách hàng và/hoặc nhà cung cấp thì điều đó
có những tác động nào?
▪
Quy trình ứng phó sự cố của nhà cung cấp là gì và khi nào khách hàng sẽ
được thông báo về vi phạm bảo mật tiềm ẩn?
▪
Đang có những điều khoản nào để đảm bảo tính toàn vẹn và tính sẵn sàng
liên tục của dữ liệu khách hàng?
Đây chỉ là một danh sách ngắn gọn về một số mối quan tâm mà bạn có thể có.
Hãy điều chỉnh phạm vi đánh giá bảo mật của bạn cho phù hợp với các mối quan
360 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tâm cụ thể của tổ chức của bạn, loại dịch vụ được cung cấp bởi nhà cung cấp và
thông tin sẽ được chia sẻ với họ.
361 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tóm tắt
Bảo mật máy tính nhất thiết phải có sự tham gia của cộng đồng pháp luật ở mức
độ cao. Trong chương này, bạn đã tìm hiểu về các luật đang chi phối các vấn đề
bảo mật như tội phạm máy tính, sở hữu trí tuệ, quyền riêng tư dữ liệu và cấp
phép phần mềm.
Có ba thể loại chính của luật tác động đến các chuyên gia bảo mật thông tin.
Luật hình sự vạch ra các quy tắc và chế tài đối với những vi phạm chính đối với
sự tín nhiệm của công chúng. Luật dân sự cung cấp cho chúng ta một khuôn khổ
để tiến hành công việc kinh doanh. Các cơ quan chính phủ sử dụng luật hành
chính để phổ biến các quy định hàng-ngày để giải thích luật hiện hành.
Các luật chi phối các hoạt động bảo mật thông tin rất đa dạng và bao gồm cả
ba thể loại. Một số luật, chẳng hạn như Đạo luật về Quyền riêng tư của Giao
tiếp Điện tử và Đạo luật Bản quyền Thiên niên kỷ Kỹ thuật số, là những luật
hình sự mà việc vi phạm có thể dẫn đến án phạt hình sự và/hoặc ngồi tù. Những
luật khác, chẳng hạn như luật về nhãn hiệu và bằng sáng chế, là các luật dân
sự điều chỉnh các giao dịch kinh doanh. Cuối cùng, nhiều cơ quan chính phủ ban
hành luật hành chính, chẳng hạn như Quy tắc Bảo mật HIPAA, ảnh hưởng đến
các ngành và loại dữ liệu cụ thể.
Các chuyên gia bảo mật thông tin nên nhận thức được các yêu cầu tuân thủ cụ
thể đối với ngành và hoạt động kinh doanh của họ. Việc theo dõi những yêu cầu
này là một nhiệm vụ phức tạp và nên được giao cho một hoặc nhiều chuyên gia
tuân thủ, những người theo dõi những thay đổi trong luật, những thay đổi trong
môi trường kinh doanh và sự giao thoa của hai lĩnh vực đó.
Việc đơn giản chỉ lo lắng về bảo mật và sự tuân thủ của chính bạn cũng không
đủ. Với việc tăng cường áp dụng điện toán đám mây, nhiều tổ chức hiện chia sẻ
dữ liệu cá nhân và dữ liệu nhạy cảm với các nhà cung cấp đóng vai trò là nhà
cung cấp dịch vụ. Các chuyên gia bảo mật phải thực hiện các bước để đảm bảo
rằng các nhà cung cấp xử lý dữ liệu một cách cẩn trọng như chính tổ chức sẽ
làm và cũng đáp ứng mọi yêu cầu tuân thủ hiện hành.
362 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Những điều thiết yếu cho Kỳ thi
Hiểu được sự khác nhau giữa luật hình sự, luật dân sự và luật hành
chính. Luật hình sự bảo vệ xã hội trước những hành vi vi phạm các nguyên
tắc cơ bản mà chúng ta tin tưởng. Các hành vi vi phạm luật hình sự bị
truy tố bởi chính quyền liên bang và tiểu bang. Luật dân sự tạo ra khuôn
khổ cho giao dịch kinh doanh giữa con người và tổ chức. Các hành vi vi
phạm pháp luật dân sự được đưa ra tòa và được tranh luận bởi cả hai bên
bị ảnh hưởng. Luật hành chính được các cơ quan chính phủ sử dụng để
tiến hành công việc hàng-ngày của họ một cách có hiệu quả.
Có khả năng giải thích các điều khoản cơ bản của các luật chính
được thiết kế để bảo vệ xã hội chống lại tội phạm máy tính. Đạo luật
Lạm dụng và Gian lận Máy tính (đã được sửa đổi) bảo vệ các máy tính
được sử dụng bởi chính phủ hoặc trong hoạt động thương mại giữa các
tiểu bang khỏi nhiều hành vi lạm dụng. Đạo luật về Quyền riêng tư của
Giao tiếp Điện tử (ECPA) coi việc xâm phạm quyền riêng tư điện tử của
một cá nhân là hành vi phạm tội.
Biết được sự khác biệt giữa bản quyền, nhãn hiệu, bằng sáng chế
và bí mật thương mại. Bản quyền bảo vệ các tác phẩm gốc có quyền tác
giả, chẳng hạn như sách, các bài báo, bài thơ và bài hát. Nhãn hi ệu là
tên, khẩu hiệu và biểu trưng xác định một công ty, sản phẩm hoặc dịch
vụ. Bằng sáng chế cung cấp sự bảo vệ cho người sáng tạo ra những phát
minh mới. Luật bí mật thương mại bảo vệ bí mật hoạt động của một công
ty.
Có khả năng giải thích được các điều khoản cơ bản của Đạo luật Bản
quyền Thiên niên kỷ Kỹ thuật số năm 1998. Đạo luật Bản quyền Thiên
niên kỷ Kỹ thuật số nghiêm cấm việc né tránh các cơ chế bảo vệ bản sao
được đặt trong các phương tiện kỹ thuật số và giới hạn trách nhiệm của
các nhà cung cấp dịch vụ Internet đối với các hoạt động của người dùng
của họ.
Biết được các quy định cơ bản của Đạo luật Gián điệp Kinh tế năm
1996. Đạo luật Gián điệp Kinh tế đưa ra các hình phạt đối với các cá nhân
363 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
bị kết tội trộm cắp bí mật thương mại. Các hình phạt khắc nghiệt hơn được
áp dụng khi cá nhân đó biết rằng thông tin đó sẽ có lợi cho một chính phủ
nước ngoài.
Hiểu được các loại thỏa thuận cấp phép phần mềm. Thỏa thuận cấp
phép theo hợp đồng là thỏa thuận bằng văn bản giữa nhà cung cấp phần
mềm và người dùng. Các thỏa thuận rút gọn được in trên bao bì phần mềm
và có hiệu lực khi người dùng mở gói. Các thỏa thuận nhấp-qua (clickthrough) được bao gồm trong một gói [phần mềm] nhưng yêu cầu người
dùng chấp nhận các điều khoản trong quá trình cài đ ặt phần mềm.
Hiểu được các yêu cầu về thông báo đối với các tổ chức gặp phải sự
cố vi phạm dữ liệu. SB 1386 của California đã triển khai yêu cầu đầu
tiên trên toàn tiểu bang để thông báo cho các cá nhân về sự việc vi phạm
thông tin cá nhân của họ. Tất cả các bang khác cuối cùng cũng tiếp theo
với các luật tương tự. Hiện tại, luật liên bang chỉ yêu cầu thông báo cho
các cá nhân khi pháp nhân được HIPAA bảo đảm đã vi phạm thông tin sức
khỏe được bảo vệ của họ.
Hiểu được các luật chính đang chi phối quyền riêng tư của thông
tin cá nhân ở Hoa Kỳ, Liên minh Châu Âu và Canada . Hoa Kỳ có một
số luật về quyền riêng tư ảnh hưởng đến việc sử dụng thông tin của chính
phủ cũng như việc sử dụng thông tin của các ngành cụ thể, chẳng hạn như
các công ty dịch vụ tài chính và tổ chức chăm sóc sức khỏe xử lý những
thông tin nhạy cảm. Liên minh Châu Âu có Quy định Bảo vệ Dữ liệu Chung
toàn diện hơn để quản lý việc sử dụng và trao đổi thông tin cá nhân. Tại
Canada, Đạo luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử (PIPEDA)
chi phối việc sử dụng thông tin cá nhân.
Giải thích được tầm quan trọng của một chương trình tuân thủ toàn
diện. Hầu hết các tổ chức đều phải tuân theo rất nhiều yêu cầu pháp lý
và quy định liên quan đến bảo mật thông tin. Việc xây dựng một chương
trình tuân thủ đảm bảo rằng bạn trở thành và duy trì tính tuân thủ với các
yêu cầu thường chồng chéo này.
364 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Biết cách kết hợp bảo mật vào quy trình mua s ắm và quản trị nhà
cung cấp. Việc nhiều tổ chức sử dụng rộng rãi các dịch vụ đám mây đòi
hỏi sự chú ý nhiều hơn đến việc tiến hành đánh giá các biện pháp kiểm
soát bảo mật thông tin trong quá trình l ựa chọn nhà cung cấp và như một
phần của quản trị nhà cung cấp liên tục.
Có khả năng xác định sự tuân thủ và các yêu cầu khác để bảo vệ
thông tin. Các chuyên gia an ninh m ạng phải có khả năng phân tích tình
huống và xác định các khu vực tài phán và luật được áp dụng. Họ phải có
khả năng xác định các tiêu chuẩn hợp đồng, pháp lý, quy định và ngành
có liên quan và diễn giải chúng cho tình huống nhất định của họ.
Biết được các vấn đề pháp lý và quy định cũng như cách chúng liên
quan đến bảo mật thông tin như thế nào. Hãy tìm hiểu các khái niệm
về tội phạm mạng và vi phạm dữ liệu và có thể áp dụng chúng trong môi
trường của bạn khi sự cố phát sinh. Tìm hiểu những biện pháp cấp phép
và bảo vệ quyền sở hữu trí tuệ nào áp dụng cho dữ liệu của tổ chức của
bạn và nghĩa vụ của bạn khi gặp phải dữ liệu thuộc về các tổ chức khác.
Hãy tìm hiểu các vấn đề về quyền riêng tư và kiểm soát xuất khẩu liên
quan đến việc chuyển thông tin qua các biên giới quốc tế.
Bài tập Viết
1.
Hai cơ chế chính mà một tổ chức có thể sử dụng để chia sẻ thông tin
ra bên ngoài phạm vi Liên minh Châu Âu theo các đi ều khoản của GDPR
là gì?
2.
Một số câu hỏi phổ biến mà một tổ chức nên hỏi khi xem xét việc thuê
ngoài việc lưu trữ, xử lý hoặc truyền tải thông tin là gì?
3.
Các bước phổ biến mà người sử dụng lao động thực hiện để thông báo
cho người lao động về việc giám sát hệ thống là gì?
365 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Câu hỏi Đánh giá
1.
Briana đang làm việc với một công ty phần mềm của Hoa Kỳ sử dụng
mã hóa trong các sản phẩm của họ và đang lên kế hoạch để xuất khẩu
sản phẩm của mình ra khỏi phạm vi biên giới Hoa Kỳ. Cơ quan chính
phủ liên bang nào có thẩm quyền quy định việc xuất khẩu phần mềm
mã hóa?
A. NSA.
B. NIST.
C. BIS.
D. FTC.
2.
Gần đây, Wendy đã nhận vị trí là quản trị viên bảo mật mạng cấp cao
tại một cơ quan chính phủ Hoa Kỳ và lo ngại về các yêu cầu pháp lý
ảnh hưởng đến vị trí mới của cô. Luật nào đang quản lý hoạt động bảo
mật thông tin tại các cơ quan liên bang?
A. FISMA.
B. FERPA.
C. CFAA.
D. ECPA.
3.
Loại luật nào không yêu cầu Quốc hội triển khai ở cấp liên bang mà do
cơ quan hành pháp ban hành dưới dạng các quy định, chính sách và
thủ tục?
A. Luật hình sự.
B. Luật thông thường.
C. Luật dân sự.
D. Luật hành chính.
4.
Tiểu bang nào của Hoa Kỳ là tiểu bang đầu tiên thông qua luật toàn
diện về quyền riêng tư phỏng mô hình theo các yêu cầu của Quy định
Bảo vệ Dữ liệu Chung của Liên minh Châu Âu?
A. California.
B. New York.
C. Vermont.
D. Texas.
366 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
5.
Quốc hội đã thông qua CALEA vào năm 1994, yêu cầu loại tổ chức nào
hợp tác với các cuộc điều tra thực thi pháp luật?
A. Các tổ chức tài chính.
B. Hãng thông tin liên lạc.
C. Các tổ chức chăm sóc sức khỏe.
D. Các trang web.
6.
Luật nào bảo vệ quyền riêng tư của công dân bằng cách đặt ra những
hạn chế đối với thẩm quyền được cấp cho các cơ quan chính ph ủ để
khám xét nhà ở và cơ sở tư nhân?
A. Đạo luật về Quyền riêng tư.
B. Tu chính án Thứ tư.
C. Tu chính án Thứ hai.
D. Đạo luật Gramm-Leach-Bliley.
7.
Matthew gần đây là tác giả của một thuật toán sáng tạo để giải quyết
một vấn đề toán học và anh ấy muốn chia sẻ nó với thế giới. Tuy nhiên,
trước khi xuất bản mã phần mềm trên một tạp chí kỹ thuật, anh ấy
muốn có được một số loại bảo vệ quyền sở hữu trí tuệ (IP). Loại bảo
vệ nào phù hợp nhất với nhu cầu của anh ấy?
A. Bản quyền.
B. Thương hiệu.
C. Bằng sáng chế.
D. Bí mật thương mại.
8.
Mary là đồng sáng lập của Acme Widgets, một công ty sản xuất. Cùng
với Joe, cộng sự của mình, cô đã phát triển một loại dầu đặc biệt sẽ
cải thiện đáng kể quy trình sản xuất phụ tùng. Để giữ bí mật về công
thức, Mary và Joe dự định sẽ tự sản xuất một lượng lớn dầu trong nhà
máy sau khi các công nhân khác r ời khỏi. Họ muốn bảo vệ công thức
này càng lâu càng tốt. Loại hình bảo hộ sở hữu trí tuệ (IP) nào phù
hợp nhất với nhu cầu của họ?
A. Bản quyền.
B. Thương hiệu.
C. Bằng sáng chế.
D. Bí mật thương mại.
367 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
9.
Richard gần đây đã phát triển một tên gọi tuyệt vời cho một sản phẩm
mới mà anh ấy dự định sẽ bắt đầu sử dụng ngay lập tức. Anh ấy đã nói
chuyện với luật sư của mình và nộp đơn thích hợp để bảo vệ tên gọi
của sản phẩm của mình nhưng vẫn chưa nhận được phản hồi từ chính
phủ về đơn của anh ấy. Anh muốn bắt đầu sử dụng tên gọi ngay lập
tức. Anh ấy nên sử dụng ký hiệu nào bên cạnh tên để biểu thị trạng
thái được bảo vệ của nó?
A. ©.
B. ®.
C. ™.
D. †.
10.
Tom là cố vấn cho một cơ quan chính phủ liên bang thu thập thông tin
cá nhân từ những người đi bầu cử. Anh ấy muốn tạo điều kiện cho mối
quan hệ nghiên cứu giữa công ty đó liên quan đến việc chia sẻ thông
tin cá nhân với một số trường đại học. Luật nào ngăn các cơ quan chính
phủ tiết lộ thông tin cá nhân mà một cá nhân cung cấp cho chính phủ
trong các trường hợp được bảo vệ?
A. Đạo luật về Quyền riêng tư.
B. Đạo luật về Quyền riêng tư của Giao tiếp Điện tử.
C. Đạo luật về Trách nhiệm giải trình và Cung cấp Bảo hiểm Y tế.
D. Đạo luật Gramm-Leach-Bliley.
11.
Tổ chức của Renee đang thiết lập quan hệ đối tác với một công ty có
trụ sở đặt tại Pháp liên quan đến việc trao đổi thông tin cá nhân. Các
đối tác của cô ở Pháp muốn đảm bảo rằng việc truyền tải [thông tin]
sẽ tuân thủ GDPR. Cơ chế nào sẽ là thích hợp nhất?
A. Các quy tắc ràng buộc của công ty.
B. Lá chắn Quyền riêng tư (Privacy Shield).
C. Khóa Quyền riêng tư (Privacy Lock).
D. Các điều khoản hợp đồng tiêu chuẩn.
12.
Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của Trẻ em (COPPA) được
thiết kế để bảo vệ quyền riêng tư của trẻ em sử dụng Internet. Độ tuổi
tối thiểu mà một đứa trẻ phải là bao nhiêu trước khi các công ty có thể
368 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thu thập thông tin nhận dạng cá nhân từ chúng mà không cần sự đồng
ý của cha mẹ?
A. 13.
B. 14.
C. 15.
D. 16.
13.
Kevin đang đánh giá các nghĩa v ụ của tổ chức mình theo luật thông báo
vi phạm dữ liệu của tiểu bang. Thông tin nào sau đây nói chung sẽ
không bị chi phối bởi luật thông báo vi phạm dữ liệu khi nó xuất hiện
cùng với tên của một người?
A. Số An sinh Xã hội.
B. Số giấy phép lái xe.
C. Số thẻ tín dụng.
D. Mã số sinh viên.
14.
Roger là CISO tại một tổ chức chăm sóc sức khỏe được bảo đảm bởi
HIPAA. Anh ấy muốn hợp tác với một nhà cung cấp sẽ quản lý một số
dữ liệu của tổ chức. Là một phần của mối quan hệ, nhà cung cấp sẽ có
quyền truy cập vào thông tin sức khỏe được bảo vệ (PHI). Trong những
trường hợp nào thì thỏa thuận này được chấp thuận theo HIPAA?
A. Điều này được cho chấp thuận nếu nhà cung cấp dịch vụ được Bộ Y
tế và Dịch vụ Nhân sinh (Department of Health and Human Services)
chứng nhận.
B. Điều này được chấp thuận nếu nhà cung cấp dịch vụ ký kết thỏa
thuận liên kết kinh doanh.
C. Điều này được chấp thuận nếu nhà cung cấp dịch vụ ở cùng tiểu
bang với tổ chức của Roger.
D. Điều này không được chấp thuận trong bất kỳ trường hợp nào.
15.
Frances đã tìm hiểu được rằng một người dùng trong tổ chức của cô
gần đây đã đăng ký dịch vụ đám mây mà người giám sát của cô ấy đã
không biết và đang lưu trữ thông tin công ty trong d ịch vụ đó. Mệnh
đề nào trong số các mệnh đề dưới đây là đúng?
A. Nếu người dùng không ký hợp đồng bằng văn bản, tổ chức không có
nghĩa vụ gì với nhà cung cấp dịch vụ.
369 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
B. Người dùng rất có thể đã đồng ý với thỏa thuận cấp phép nhấp-qua
ràng buộc với tổ chức.
C. Hành động của người dùng có khả năng vi phạm luật liên bang.
D. Hành động của người dùng có khả năng vi phạm luật của tiểu bang.
16.
Gần đây, Greg đã nhận một vị trí là nhân viên tuân thủ bảo mật mạng
của một ngân hàng tư nhân. Luật nào tác động trực tiếp nhất đến cách
thức mà tổ chức của anh ấy xử lý thông tin cá nhân?
A. HIPAA.
B. GLBA.
C. SOX.
D. FISMA.
17.
Gần đây, Ruth đã nhận được bằng sáng chế tiện ích bao gồm một phát
minh mới mà cô ấy đã tạo ra. Cô ấy sẽ giữ được sự bảo hộ hợp pháp
cho sáng chế của mình trong thời gian bao lâu?
A. 14 năm kể từ ngày nộp đơn.
B. 14 năm kể từ ngày bằng sáng chế được cấp.
C. 20 năm kể từ ngày nộp đơn.
D. 20 năm kể từ ngày được cấp bằng độc quyền.
18.
Ryan đang xem xét các điều khoản của thỏa thuận nhà cung cấp được
đề xuất giữa tổ chức tài chính nơi anh đang làm việc và một nhà cung
cấp dịch vụ đám mây. Ryan cần quan tâm nhất đến mục nào sau đây?
A. Nhà cung cấp đang thực hiện biện pháp kiểm toán bảo mật nào?
B. Những quy định nào được đưa ra để bảo vệ tính bảo mật, tính toàn
vẹn và tính sẵn sàng của dữ liệu?
C. Nhà cung cấp có tuân thủ HIPAA không?
D. Những thuật toán mã hóa và độ dài khóa nào được sử dụng?
19.
Justin là một nhà tư vấn bảo mật mạng làm việc với một nhà bán lẻ để
thiết kế hệ thống điểm-bán-hàng (point-of-sale - POS) mới của họ.
Nghĩa vụ tuân thủ nào liên quan đến việc xử lý thông tin thẻ tín dụng
có thể diễn ra thông qua hệ thống này?
A. SOX.
B. HIPAA.
C. PCI DSS.
370 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
D. FERPA.
20.
Leonard và Sheldon gần đây là đồng tác giả của một văn bản mô tả một
lý thuyết chân không siêu lỏng mới. Bản quyền của văn bản của họ sẽ
tồn tại trong thời gian bao lâu?
A. 70 năm sau khi công bố.
B. 70 năm sau khi hoàn thành bản phác thảo đầu tiên.
C. 70 năm sau khi tác giả đầu tiên mất.
D. 70 năm sau khi tác giả cuối cùng mất.
371 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C h ư ơn g 5
Bảo vệ Sự bảo mật của Tài sản
CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM:
✓
Lĩnh vực 2.0: Bảo mật Tài sản
▪
2.1 Xác định và phân loại thông tin và tài sản
▪
2.1.1 Phân loại dữ liệu
▪
2.1.2 Phân loại tài sản
▪
2.2 Xác lập các yêu cầu xử lý thông tin và tài sản
▪
2.4 Quản lý vòng đời dữ liệu
▪
2.4.1 Vai trò dữ liệu (ví dụ, chủ sở hữu, người kiểm soát,
người bảo quản, người xử lý, người dùng/chủ thể)
▪
▪
2.4.2 Thu thập dữ liệu
▪
2.4.3 Định vị trí dữ liệu
▪
2.4.4 Bảo trì dữ liệu
▪
2.4.5 Lưu giữ dữ liệu
▪
2.4.6 Cảm ứng từ dư dữ liệu
▪
2.4.7 Phá hủy dữ liệu
2.5 Đảm bảo lưu giữ tài sản thích hợp (ví dụ, Kết-thúc-Vòng-đời
(EOL), Kết-thúc-Hỗ-trợ (EOS))
▪
2.6 Xác định các biện pháp kiểm soát dữ liệu và các yêu cầu tuân
thủ
▪
2.6.1 Trạng thái dữ liệu (ví dụ, đang sử dụng, đang truyền
tải, đang lưu trữ)
▪
2.6.2 Định phạm vi và điều chỉnh
▪
2.6.3 Lựa chọn các tiêu chuẩn
▪
2.6.4 Các phương pháp bảo vệ dữ liệu (ví dụ, Quản lý Quyền
Kỹ thuật số (Digital Rights Management – DRM), Ngăn ngừa
Mất Dữ liệu (Data Lost Prevention – DLP), Trung gian Bảo mật
Truy cập Đám mây (Cloud Access Security Broker – CASB))
372 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Lĩnh vực Bảo mật Tài sản tập trung vào việc thu thập, xử
lý và bảo vệ thông tin trong toàn bộ vòng đời của nó. Một bước chính trong lĩnh
vực này là phân loại thông tin dựa trên giá trị của nó đối với tổ chức. Tất cả
các hành động tiếp theo sẽ khác nhau tùy thuộc vào phân loại. Ví dụ, dữ liệu
được phân loại cao đòi hỏi các biện pháp kiểm soát bảo mật nghiêm ngặt. Ngược
lại, dữ liệu chưa được phân loại sử dụng ít biện pháp kiểm soát bảo mật hơn.
Xác định và Phân loại Thông tin và Tài sản
Quản lý vòng đời dữ liệu đề cập đến việc bảo vệ nó từ khi bắt đầu đến khi kết
thúc [vòng đời]. Các bước cần phải được thực hiện để bảo vệ dữ liệu khi nó được
tạo lần đầu tiên cho đến khi nó bị phá hủy.
Một trong những bước đầu tiên của vòng đời là xác định và phân loại thông tin
và tài sản. Các tổ chức thường bao gồm các định nghĩa phân loại trong một chính
sách bảo mật. Sau đó, nhân sự gắn nhãn các tài sản một cách thích hợp dựa
trên các yêu cầu về chính sách bảo mật. Trong bối cảnh này, tài sản bao gồm
dữ liệu nhạy cảm, phần cứng được sử dụng để xử lý nó và phương tiện được sử
dụng để lưu giữ nó.
Xác định Dữ liệu Nhạy cảm
Dữ liệu nhạy cảm là bất kỳ thông tin nào không được công khai hoặc chưa được
phân loại. Nó có thể bao gồm dữ liệu bí mật, độc quyền, được bảo vệ hoặc bất
kỳ kiểu dữ liệu nào khác mà tổ chức cần phải bảo vệ nó vì giá trị của nó đối với
tổ chức, hoặc để tuân thủ các luật lệ và quy định hiện hành.
Thông tin Định danh Cá nhân
Thông tin định danh cá nhân (personally identifiable information – PII) là bất
kỳ thông tin nào có thể nhận diện một cá nhân. Ấn phẩm Đặc biệt (SP) 800-122
373 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
của Viện Công nghệ và Tiêu chuẩn Quốc gia Hoa Kỳ (NIST) đưa ra một định nghĩa
chi tiết hơn:
Bất kỳ thông tin nào về một cá nhân được duy trì bởi một
cơ quan, bao gồm
(1) bất kỳ thông tin nào có thể được sử dụng để phân biệt
hoặc truy tìm nhân dạng của một cá nhân, chẳng hạn như
tên, mã số an sinh xã hội, ngày tháng năm sinh, tên thời
con gái của mẹ, hồ sơ sinh trắc học, và
(2) bất kỳ thông tin nào được liên hệ hoặc có thể liên hệ
với một cá nhân, chẳng hạn như thông tin ý tế, giáo dục, tài
chính và công việc.
Điều then chốt ở đây là tổ chức có trách nhiệm phải bảo vệ PII. Điều này bao
gồm cả PII có liên quan đến nhân viên và khách hàng. Rất nhiều luật lệ yêu cầu
các tổ chức phải thông báo cho các cá nhân nếu vi phạm dữ liệu dẫn đến xâm
phạm PII.
Bảo vệ thông tin định danh cá nhân (PII) thúc đẩy các yêu cầu về
quyền riêng tư và bảo mật đối với các quy tắc, quy định và luật
pháp trên toàn cầu (đặc biệt là ở Bắc Mỹ và Liên minh Châu Âu).
NIST SP 800-122, Hướng dẫn Bảo vệ Tính Bí mật của Thông tin
Nhận dạng Cá nhân (PII), cung cấp thêm thông tin về cách bảo
vệ PII. Nó có sẵn từ trang tải xuống của NIST Special Publications
(800
Series)
tại
địa
chỉ
trang
web:
csrc.nist.gov/publications/sp8 00.
Thông tin Sức khỏe được Bảo vệ
Thông tin sức khỏe được bảo vệ (protected health information – PHI) là bất kỳ
thông tin nào liên-quan-đến-sức-khỏe có thể được liên hệ với một cá nhân cụ
thể. Tại Hoa Kỳ, Đạo luật Trách nhiệm giải trình và Cung cấp Bảo hiểm Y tế
374 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
(HIPAA) bắt buộc phải bảo vệ PHI. HIPAA đưa ra một định nghĩa chính thức hơn
về PHI:
Thông tin về sức khỏe là bất kỳ thông tin nào, dù là nói
miệng hay được ghi lại dưới bất kỳ hình thức hay phương
tiện nào,
(A) được tạo ra hoặc nhận được bởi một nhà cung cấp dịch
vụ sức khỏe, chương trình sức khỏe, cơ quan y tế công cộng,
người sử dụng lao động, công ty bảo hiểm nhân thọ, trường
học hoặc trường đại học, hoặc cơ sở thanh toán chăm sóc
sức khỏe, và
(B) liên quan đ ến sức khỏe thể chất hoặc tinh thần trong
quá khứ, hiện tại hoặc tương lai của bất kỳ cá nhân nào,
việc cung cấp dịch vụ chăm sóc sức khỏe cho một cá nhân,
hoặc khoản thanh toán tro ng quá khứ, hiện tại hoặc tương
lai cho việc cung cấp dịch vụ chăm sóc sức khỏe cho một cá
nhân.
Một số người nghĩ rằng chỉ có các nhà cung cấp dịch vụ y tế như các bác sĩ và
bệnh viện mới cần bảo vệ PHI. Tuy nhiên, HIPAA xác định phạm vi của PHI rộng
lớn hơn nhiều. Bất kỳ người sử dụng lao động nào cung cấp, hoặc bổ sung các
chính sách sức khỏe đều thu thập và xử lý PHI. Thông thường thì các tổ chức
đều cung cấp hoặc bổ sung các chính sách chăm sóc s ức khỏe, vì vậy HIPAA áp
dụng cho một tỷ lệ lớn các tổ chức ở Hoa Kỳ.
Dữ liệu Độc quyền
Dữ liệu độc quyền đề cập đến bất kỳ dữ liệu nào giúp tổ chức duy trì được lợi
thế cạnh tranh. Nó có thể là mã phần mềm do tổ chức phát triển, các kế hoạch
kỹ thuật cho sản phẩm, các quy trình nội bộ, tài sản sở hữu trí tuệ hoặc bí mật
thương mại. Nếu các đối thủ cạnh tranh có thể truy cập vào dữ liệu độc quyền,
nó có thể gây ảnh hưởng nghiêm trọng đến sứ mệnh chính của một tổ chức.
375 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mặc dù luật bản quyền, bằng sáng chế và bí mật thương mại cung cấp mức độ
bảo vệ cho những dữ liệu độc quyền nhưng điều này không phải lúc nào cũng
đủ. Rất nhiều tội phạm đã bỏ qua bản quyền, bằng sáng chế và luật. Tương tự,
các thực thể nước ngoài đã đánh cắp một lượng đáng kể dữ liệu độc quyền.
Xác định Phân loại Dữ liệu
Các tổ chức thường đưa phân loại dữ liệu vào trong chính sách bảo mật hoặc
chính sách dữ liệu của mình. Một phân loại dữ liệu xác định giá trị của dữ liệu
đối với tổ chức, và là điều tối quan trọng để bảo vệ tính bảo mật và toàn vẹn
của dữ liệu. Chính sách xác định các nhãn phân loại được sử dụng trong phạm
vi tổ chức. Nó cũng xác định cách mà chủ sở hữu dữ liệu có thể xác định phân
loại thích hợp và cách nhân viên nên bảo vệ dữ liệu dựa trên phân loại của nó
như thế nào.
Ví dụ, các phân loại dữ liệu của chính phủ bao gồm tuyệt mật, tối mật, mật và
chưa
được
phân
loại
(tương
ứng
là
top
secret,
secret,
confidential
và
unclassified). Bất kỳ dữ liệu nào ở trên chưa được phân loại đều là dữ liệu nhạy
cảm, nhưng rõ ràng, những dữ liệu này có các giá trị khác nhau. Chính phủ Hoa
Kỳ cung cấp các định nghĩa rõ ràng cho các phân lo ại này. Khi bạn đọc chúng,
hãy lưu ý rằng từ ngữ của mỗi định nghĩa đều gần giống nhau, ngoại trừ một vài
từ chính. Tuyệt mật sử dụng cụm từ “thiệt hại đặc biệt nghiêm trọng”, tối mật
sử dụng cụm từ “thiệt hại nghiêm trọng” và mật chỉ sử dụng “thiệt hại”:
Tuyệt mật Nhãn tuyệt mật được “áp dụng cho những thông tin mà việc
tiết lộ trái phép thông tin đó m ột cách hợp lý có thể gây ra thiệt hại đặc
biệt nghiêm trọng cho an ninh quốc gia mà cơ quan phân loại ban đầu có
thể xác định hoặc mô tả”.
Tối mật Nhãn tối mật được “áp dụng cho thông tin mà việc tiết lộ trái
phép thông tin đó một cách hợp lý có thể gây ra thiệt hại nghiêm trọng
cho an ninh quốc gia mà cơ quan phân loại ban đầu có thể xác định hoặc
mô tả”.
376 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mật Nhãn mật được “áp dụng cho thông tin mà việc tiết lộ trái phép thông
tin đó một cách hợp lý có thể gây ra thiệt hại cho an ninh quốc gia mà cơ
quan phân loại ban đầu có thể xác định hoặc mô tả."
Chưa được phân loại Chưa được phân loại đề cập đến bất kỳ dữ liệu nào
khác không đáp ứng một trong các mô tả cho dữ liệu tuyệt mật, tối mật
hoặc mật. Tại Hoa Kỳ, dữ liệu chưa được phân loại có sẵn cho bất kỳ ai,
mặc dù nó thường yêu cầu các cá nhân yêu cầu thông tin bằng cách sử
dụng các thủ tục được xác định trong Đạo luật Tự do Thông tin (Freedom
of Information Act -FOIA).
Có một số phân loại phụ của “chưa được phân loại”, chẳng hạn như chỉ
dành cho mục đích sử dụng chính thức (for official use only - FOUO) và
nhạy cảm nhưng chưa được phân loại (sensitive but unclassified - SBU).
Các tài liệu với những chỉ định này có sự kiểm soát chặt chẽ hạn chế việc
phân phối chúng. Ví dụ: Sở Thuế vụ Hoa Kỳ (Internal Revenue Service IRS) sử dụng SBU cho các hồ sơ thuế cá nhân, hạn chế quyền truy cập vào
các hồ sơ này.
Cơ quan phân loại là tổ chức áp dụng phân loại ban đầu cho dữ liệu nhạy cảm,
và các quy tắc nghiêm ngặt xác định ai có thể làm như vậy. Ví dụ: Tổng thống,
Phó tổng thống Hoa Kỳ và những người đứng đầu cơ quan có thể phân loại dữ
liệu ở Hoa Kỳ. Ngoài ra, các cá nhân ở bất kỳ vị trí nào trong số này đều có thể
ủy quyền cho người khác phân loại dữ liệu.
Mặc dù trọng tâm của phân loại thường là dữ liệu nhưng những
phân loại này cũng được áp dụng cho tài sản phần cứng. Điều này
bao gồm bất kỳ hệ thống máy tính hoặc phương tiện nào đang xử
lý hoặc lưu giữ dữ liệu.
Các tổ chức phi chính phủ hiếm khi cần phân loại dữ liệu của họ dựa trên những
thiệt hại tiềm tàng đối với an ninh quốc gia. Tuy nhiên, các nhà quản lý lo ngại
về thiệt hại tiềm ẩn đối với tổ chức. Ví dụ, nếu những kẻ tấn công truy cập vào
dữ liệu của tổ chức thì tác động bất lợi tiềm ẩn là gì? Nói cách khác, một tổ
377 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
chức không chỉ xem xét tính nhạy cảm của dữ liệu mà còn xem xét tầm quan
trọng của dữ liệu. Họ có thể sử dụng cùng các cụm từ “thiệt hại đặc biệt nghiêm
trọng”, “thiệt hại nghiêm trọng” và “thiệt hại” mà chính phủ Hoa Kỳ sử dụng khi
mô tả dữ liệu tuyệt mật, tối mật và mật.
Một số tổ chức phi chính phủ sử dụng các nhãn như Lớp 3, Lớp 2, Lớp 1 và Lớp
0. Các tổ chức khác sử dụng các nhãn có ý nghĩa hơn như bí m ật (hoặc độc
quyền), riêng tư, nhạy cảm và công khai. Hình 5.1 cho thấy mối quan hệ giữa
các phân loại khác nhau này, với phân loại của chính phủ ở bên trái và phân loại
phi chính phủ (hoặc dân sự) ở bên phải. Cũng giống như chính phủ có thể xác
định dữ liệu dựa trên tác động bất lợi tiềm ẩn do vi phạm dữ liệu, các tổ chức
cũng có thể sử dụng các mô tả tương tự.
Cả các phân loại của chính phủ và dân sự đều xác định giá trị tương đối của dữ
liệu đối với tổ chức, trong đó tuyệt mật đại diện cho phân loại cao nhất cho các
chính phủ và bí mật đại diện cho phân loại cao nhất cho tổ chức trong Hình 5.1.
Tuy nhiên, điều quan trọng cần nhớ là các tổ chức có thể sử dụng bất kỳ nhãn
nào mà họ muốn. Khi các nhãn trong Hình 5.1 được sử dụng, thông tin nhạy cảm
là bất kỳ thông tin nào chưa được phân loại (khi sử dụng nhãn của chính phủ)
hoặc không công khai (khi sử dụng các phân loại dân sự). Các phần tiếp theo
dưới đây xác định ý nghĩa của một số cách phân loại phi chính phủ phổ biến.
Hãy nhớ rằng, mặc dù chúng được sử dụng phổ biến, nhưng không có tiêu chuẩn
nào mà tất cả các tổ chức tư nhân phải sử dụng.
378 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
HÌNH 5.1 Phân loại dữ liệu
Mật hoặc Độc quyền Nhãn mật hoặc độc quyền thường đề cập đến lớp
cao nhất của dữ liệu đã được phân loại. Theo ngữ cảnh này, một vi phạm
dữ liệu sẽ gây ra thiệt hại đặc biệt nghiêm trọng cho sứ mệnh của tổ chức.
Ví dụ, những kẻ tấn công đã tấn công liên tục vào Sony, đánh cắp hon 100
terabyte dữ liệu, bao gồm phiên bản đầy-đủ của các bộ phim chưa được
phát hành. Những bộ phim này nhanh chóng xuất hiện trên các trang web
chia-sẻ-tập-tin và các chuyên gia bảo mật ước tính rằng mọi người đã tải
xuống những bộ phim này lên đến một triệu lần. Với các phiên bản phim
vi phạm bản quyền đã có sẵn, nhiều người đã bỏ qua việc xem chúng khi
cuối cùng, Sony đã phát hành chúng. Điều này ảnh hưởng trực tiếp đến
lợi nhuận của Sony. Các bộ phim là độc quyền, và tổ chức có thể coi đó
là thiệt hại đặc biệt nghiêm trọng. Khi nhìn lại, họ có thể chọn dán nhãn
phim là bí mật hoặc độc quyền và sử dụng các biện pháp kiểm soát truy
cập mạnh nhất để bảo vệ chúng.
379 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Riêng tư Nhãn riêng tư đề cập đến dữ liệu nên được giữ riêng tư trong
phạm vi tổ chức nhưng không khớp với định nghĩa về dữ liệu mật hoặc độc
quyền. Theo ngữ cảnh này, một vi phạm dữ liệu có thể gây ra thiệt hại
nghiêm trọng cho sứ mệnh của tổ chức. Rất nhiều tổ chức gán nhãn dữ
liệu PII và PHI là riêng tư. Một điều cũng khá phổ biến là gán nhãn riêng
tư cho dữ liệu nhân viên trong nội bộ và một số dữ liệu tài chính. Ví dụ,
bộ phận tính lương của một công ty sẽ có quyền truy cập vào dữ liệu lương
bổng nhưng dữ liệu này không được cung cấp cho các nhân viên bình
thường khác.
Nhạy cảm Dữ liệu nhạy cảm tương tự như dữ liệu mật. Theo ngữ cảnh
này, một vi phạm dữ liệu sẽ gây ra thiệt hại cho sứ mệnh của tổ chức. Ví
dụ, nhân viên CNTT trong m ột tổ chức có thể có những dữ liệu bao quát
về mạng nội bộ, bao gồm sơ đồ bố trí, các thiết bị, Hệ điều hành, phần
mềm, các địa chỉ IP, v.v… Nếu như những kẻ tấn công dễ dàng có quyền
truy cập vào những dữ liệu này thì việc này khiến cho chúng dễ dàng khởi
chạy các cuộc tấn công hơn. Các nhà qu ản lý có thể quyết định là họ không
muốn thông tin này được công khai, do đó, họ gán nhãn nó là nhạy cảm.
Công khai Dữ liệu công khai tương tự như dữ liệu chưa được phân loại.
Nó bao gồm những thông tin được đăng trên các trang web, sách quảng
cáo, hoặc bất kỳ nguồn công khai nào khác. Mặc dù một tổ chức không
bảo vệ tính bảo mật của những dữ liệu công khai nhưng họ vẫn thực hiện
các bước để bảo vệ tính toàn vẹn của nó. Ví dụ, bất kỳ ai cũng có thể xem
được những dữ liệu công khai được đăng trên một trang web. Tuy nhiên,
một tổ chức không muốn những kẻ tấn công sửa đổi những dữ liệu này,
do đó, họ thực hiện các bước [cần thiết] để bảo vệ nó.
380 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mặc dù một số nguồn đề cập đến thông tin nhạy cảm là bất kỳ dữ
liệu nào không công khai hoặc chưa được phân loại, nhưng rất
nhiều tổ chức sử dụng nhạy cảm làm nhãn. Nói cách khác, thu ật
ngữ thông tin nhạy cảm có thể mang một ý nghĩa trong một tổ
chức nhưng lại có ý nghĩa khác trong một tổ chức khác. Đối với
kỳ thi CISSP, hãy nhớ rằng “thông tin nhạy cảm” thường đề cập
đến bất kỳ thông tin nào không công khai ho ặc chưa được phân
loại.
Sau khi phân loại dữ liệu, một tổ chức tiến hành thực hiện các bước bổ sung để
quản lý dữ liệu dựa trên phân loại của nó. Việc truy cập trái phép đến thông tin
nhạy cảm có thể dẫn đến những tổn thất đáng kể cho tổ chức. Tuy nhiên, những
thực tiễn bảo mật cơ bản, chẳng hạn như đánh dấu, xử lý, lưu trữ và phá hủy
dữ liệu và tài sản phần cứng một cách đúng đắn dựa trên sự phân loại có thể
giúp ngăn ngừa những tổn thất.
Xác định Phân loại Tài sản
Những phân loại tài sản nên khớp với phân loại dữ liệu. Hay nói cách khác, nếu
một máy tính đang xử lý dữ liệu tuyệt mật, máy tính đó cũng nên được phân loại
là tuyệt mật. Tương tự, nếu phương tiện lưu trữ chẳng hạn như các ổ đĩa bên
trong hoặc bên ngoài đang chứa dữ liệu tuyệt mật thì phương tiện đó cũng nên
được phân loại là tuyệt mật.
Người ta thường sử dụng cách đánh dấu rõ ràng trên tài sản phần cứng để nhân
viên được nhắc nhở về dữ liệu có thể được xử lý hoặc lưu trữ trên tài sản đó. Ví
dụ, nếu máy tính được sử dụng để xử lý dữ liệu tối mật, máy tính và màn hình
sẽ có các nhãn rõ ràng và nổi bật nhắc nhở người dùng về phân loại dữ liệu có
thể được xử lý trên máy tính đó.
Hiểu Trạng thái Dữ liệu
Điều quan trọng là phải bảo vệ dữ liệu trong mọi trạng thái dữ liệu, bao gồm
đang được lưu trữ, đang di chuyển và đang sử dụng [tương ứng là at rest, in
motion và in use].
381 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Dữ liệu đang Lưu trữ
Dữ liệu đang được lưu trữ (thỉnh thoảng được gọi
là dữ liệu đang trong bộ lưu trữ) là bất kỳ dữ liệu nào đang được lưu trữ
trong các phương tiện như hệ thống ổ cứng, ổ đĩa thể-rắn (SSD), đĩa USB
gắn ngoài, mạng khu vực lưu trữ (SAN), và các băng từ sao lưu. Các [cơ
chế] mã hóa đối xứng mạnh mẽ sẽ bảo vệ dữ liệu đang lưu trữ.
Dữ liệu đang Truyền tải
Dữ liệu đang truyền tải (đôi khi được gọi là
dữ liệu đang di chuyển hoặc đang được truyền thông) là bất kỳ dữ liệu
nào đang được truyền tải qua một mạng. Dữ liệu này bao gồm dữ liệu được
truyền qua một mạng nội bộ sử dụng các phương pháp có dây ho ặc không
dây và dữ liệu được truyền qua các mạng công cộng như Internet. Một sự
kết hợp giữa mã hóa đối xứng và bất đối xứng sẽ bảo vệ dữ liệu đang
truyền tải.
Dữ liệu đang Sử dụng Dữ liệu đang sử dụng (thỉnh thoảng c gọi là dữ
liệu đang được xử lý) đề cập đến những dữ liệu trong bộ nhớ hoặc bộ đệm
lưu trữ tạm thời trong khi một ứng dụng đang sử dụng nó. Các ứng dụng
thường giải mã dữ liệu trước khi đưa nó vào trong b ộ nhớ. Điều này cho
phép ứng dụng làm việc với dữ liệu, tuy nhiên, điều quan trọng là phải
làm sạch (flush) những bộ nhớ đệm này khi dữ liệu không còn được cần
đến nữa. Trong một số trường hợp, một ứng dụng sẽ có khả năng làm việc
với dữ liệu được mã hóa bằng cách mã hóa đồng hình (homomorphic
encryption). Điều này giới hạn được rủi ro bởi vì bộ nhớ không chứa những
dữ liệu chưa được mã hóa.
Cách thức tốt nhất để bảo vệ tính bí mật của dữ liệu là sử dụng các giao thức
mã hóa mạnh mẽ, được thảo luận một cách bao quát trong Chương 6, “Các Thu ật
toán Mật mã và Khóa Đối xứng”. Ngoài ra, các biện pháp kiểm soát xác thực và
cấp phép mạnh mẽ cũng giúp ngăn chặn việc truy cập trái phép.
Ví dụ, hãy xem xét một ứng dụng web truy xuất dữ liệu thẻ tín dụng để truy cập
nhanh chóng và tái sử dụng với sự cho phép của người dùng đối với một giao
dịch thương mại. Dữ liệu thẻ tín dụng được lưu trữ trên một máy chủ cơ sở dữ
liệu và được bảo vệ khi ở trạng thái đang lưu trữ, khi đang truyền tải và cả khi
sử dụng.
382 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Các quản trị viên cơ sở dữ liệu thực hiện các bước để mã hóa dữ liệu nhạy cảm
được lưu trữ trên máy chủ cơ sở dữ liệu (dữ liệu ở trạng thái lưu trữ). Họ thường
mã hóa các cột chứa dữ liệu nhạy cảm như dữ liệu thẻ tín dụng. Ngoài ra, họ
cũng sẽ triển khai các biện pháp kiểm soát xác thực và cấp phép mạnh mẽ để
ngăn các thực thể trái phép truy cập vào cơ sở dữ liệu.
Khi ứng dụng web gửi một yêu cầu dữ liệu từ máy chủ web, máy chủ cơ sở dữ
liệu xác minh rằng ứng dụng web được cấp phép truy xuất dữ liệu và nếu có,
máy chủ cơ sở dữ liệu sẽ gửi dữ liệu đó. Tuy nhiên, điều này đòi hỏi thêm một
số bước. Ví dụ, hệ quản trị cơ sở dữ liệu trước tiên truy xuất và giải mã dữ liệu
và định dạng dữ liệu theo cách mà ứng dụng web có thể đọc được. Sau đó, máy
chủ cơ sở dữ liệu sử dụng một thuật toán mã hóa truyền tải để mã hóa dữ liệu
trước khi truyền nó đi. Điều này đảm bảo rằng dữ liệu đang truyền tải được an
toàn.
Máy chủ ứng dụng web nhận được dữ liệu ở định dạng được mã hóa. Nó sẽ giải
mã dữ liệu và gửi đến ứng dụng web. Ứng dụng web lưu trữ dữ liệu trong bộ
nhớ đệm tạm thời trong khi sử dụng nó để cấp phép giao dịch. Khi ứng dụng
web không còn cần dữ liệu nữa, nó sẽ thực hiện các bước để xóa bộ nhớ đệm,
đảm bảo loại bỏ hoàn toàn tất cả những dữ liệu nhạy cảm còn sót lại.
Trung
tâm
Tài
nguyên
Trộm
cắp
Danh
tính
(Identity
Theft
Resource Center - ITRC) thường xuyên theo dõi các vụ vi phạm
dữ liệu. Họ sẽ đăng các báo cáo thông qua trang web c ủa mình
(idtheftcenter.org) miễn phí cho bất kỳ ai. Năm 2020, họ đã theo
dõi được 1,108 vụ vi phạm dữ liệu, làm rò rỉ hơn 300 triệu hồ sơ
đã biết.
Xác định các Yêu cầu Tuân thủ
Mọi tổ chức đều có trách nhiệm tìm hiểu những yêu cầu pháp lý áp dụng cho họ
và đảm bảo rằng họ đáp ứng tất cả các yêu cầu tuân thủ. Điều này đặc biệt quan
trọng nếu một tổ chức xử lý PII ở các quốc gia khác nhau. Chương 4, “Các Luật
lệ, Quy định và Tuân thủ”, bao gồm nhiều loại luật và quy định áp dụng cho các
tổ chức trên toàn thế giới. Đối với bất kỳ tổ chức nào tham gia vào thương mại
383 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
điện tử, điều này có thể trở nên phức tạp một cách rất nhanh chóng. Một điểm
quan trọng cần nhớ là một tổ chức cần xác định những luật nào áp dụng cho tổ
chức đó.
Hãy tưởng tượng một nhóm sinh viên đại học làm việc cùng nhau và tạo ra một
ứng dụng giải quyết vấn đề cho họ. Theo ý thích, họ bắt đầu bán ứng dụng từ
Apple App Store và nó lan truyền mạnh mẽ. Mọi người trên khắp thế giới đang
mua ứng dụng, mang lại nguồn tiền mặt dồi dào cho những sinh viên này. Nó
cũng gây ra những cơn đau đầu nghiêm trọng. Đột nhiên những sinh viên đại
học này cần phải hiểu biết về các luật trên thế giới áp dụng cho họ.
Một số tổ chức đã tạo ra một vị trí chính thức được gọi là chuyên viên tuân thủ.
Người đảm nhận vai trò này đảm bảo rằng tổ chức đang tiến hành tất cả các
hoạt động kinh doanh bằng cách tuân theo các luật và quy định áp dụng cho tổ
chức. Tất nhiên, điều này bắt đầu bằng cách xác định trước tiên tổ chức hoạt
động ở đâu và áp dụng các yêu cầu tuân thủ nào.
Xác định các Biện pháp kiểm soát Bảo mật Dữ liệu
Sau khi xác định phân loại dữ liệu và tài sản, bạn phải xác định các yêu cầu bảo
mật và xác định các biện pháp kiểm soát bảo mật để triển khai các yêu cầu đó.
Hãy tưởng tượng rằng tổ chức của bạn đã quyết định sử dụng các nhãn dữ liệu
Bí mật/Độc quyền, Riêng tư, Nhạy cảm và Công khai, như đã mô tả trước đó.
Sau đó, các nhà quản lý sẽ quyết định chính sách bảo mật dữ liệu chỉ định việc
sử dụng các biện pháp kiểm soát bảo mật cụ thể để bảo vệ dữ liệu trong các thể
loại này. Chính sách có thể sẽ giải quyết dữ liệu được lưu trữ trong các tập tin,
trong cơ sở dữ liệu, trên các máy chủ như máy chủ email, trên hệ thống người
dùng, được gửi qua email và được lưu trữ trên đám mây.
Đối với ví dụ này, chúng tôi đang giới hạn loại dữ liệu chỉ trong email. Tổ chức
của bạn đã xác định cách họ muốn bảo vệ email trong từng thể loại dữ liệu. Họ
đã quyết định rằng bất kỳ email nào thuộc thể loại Công khai đều không cần mã
hóa. Tuy nhiên, email thuộc tất cả các thể loại khác (Bí mật/Độc quyền, Riêng
tư và Nhạy cảm) phải được mã hóa khi được gửi đi (dữ liệu đang chuyển tiếp)
và khi được lưu trữ trên máy chủ email (dữ liệu ở trạng thái lưu trữ). Mã hóa
chuyển đổi dữ liệu dạng văn bản rõ thành văn bản mã bị xáo trộn và khiến cho
384 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nó trở nên khó đọc hơn. Sử dụng các phương pháp mã hóa mạnh như Tiêu chuẩn
Mã hóa Nâng cao với các khóa 256-bit (AES 256) khiến người không được cấp
phép gần như không thể đọc được văn bản.
Bảng 5.1 minh họa các yêu cầu bảo mật khác đối với email mà các nhà quản lý
đã xác định trong chính sách bảo mật dữ liệu của họ. Hãy lưu ý rằng dữ liệu
trong thể loại phân loại cấp cao nhất (Bí mật/Độc quyền) trong ví dụ này) có
các yêu cầu bảo mật nhất được xác định trong chính sách bảo mật.
BẢNG 5.1 Bảo mật dữ liệu email
Phân loại
Yêu cầu bảo mật đối với email
Bí mật/Độc quyền (mức bảo
Email và đính kèm phải được mã hóa bằng AES 256.
vệ cao nhất đối với bất kỳ dữ
Email và đính kèm tiếp tục được mã hóa trừ khi được xem.
liệu nào
Email chỉ có thể được gửi đến cho những người nhận trong tổ
chức.
Email có thể được mở và xem chỉ bởi người nhận (email đư ợc
chuyển tiếp không thể mở được).
Các đính kèm chỉ có thể được mở và xem, không thể lưu được.
Nội dung email không thể được sao chép và dán vào các tài liệu
khác.
Email không thể được in ra.
Riêng tư (các ví dụ bao gồm
Email và đính kèm phải được mã hóa bằng AES 256.
PII và PHI)
Email và đính kèm vẫn tiếp tục được mã hóa trừ khi được xem.
Email chỉ có thể được gửi cho những người nhận trong tổ chức.
Nhạy cảm (mức bảo vệ thấp
Email và đính kèm phải được mã hóa bằng AES 256.
nhất đối với dữ liệu đã đư ợc
phân loại)
Công khai
Email và đính kèm có thể được gửi dưới dạng văn bản rõ.
385 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Các yêu cầu được liệt kê trong Bảng 5.1 được cung cấp chỉ như
một ví dụ. Bất kỳ tổ chức nào cũng có thể sử dụng những yêu cầu
này hoặc định nghĩa những yêu cầu khác phù hợp với họ.
Các quản trị viên bảo mật sử dụng các yêu cầu đã được xác định trong chính
sách bảo mật để xác định các biện pháp kiểm soát bảo mật. Đối với Bảng 5.1,
biện pháp kiểm soát bảo mật chính là mã hóa mạnh sử dụng AES 256. Các quản
trị viên nên xác định các phương pháp luận, giúp nhân viên dễ dàng đáp ứng
các yêu cầu.
Mặc dù có thể đáp ứng tất cả các yêu cầu về bảo mật email được trình bày trong
Bảng 5.1, nhưng làm như vậy có thể đòi hỏi việc triển khai thêm các giải pháp
khác. Ví dụ, một số công ty phần mềm bán một loạt các sản phẩm mà các tổ
chức có thể sử dụng để tự động hóa các tác vụ này. Người dùng áp dụng các
nhãn có liên quan (chẳng hạn như bí mật, riêng tư, nhạy cảm và công khai) cho
email trước khi gửi chúng. Những email này đi qua máy chủ ngăn mất dữ liệu
(DLP) để phát hiện các nhãn và áp dụng biện pháp bảo vệ cần thiết. Các thiết
lập cài đặt cho các giải pháp DLP này có thể được định cấu hình theo các nhu
cầu cụ thể của tổ chức.
Dĩ nhiên, Boldon James không phải là tổ chức duy nhất tạo ra và
kinh doanh phần mềm DLP. Những công ty khác cũng cung cấp các
giải pháp DLP tương tự bao gồm Titus và Spirion.
Bảng 5.1 trình bày các yêu cầu khả dĩ mà tổ chức của bạn có thể muốn áp dụng
cho email. Tuy nhiên, bạn không nên dừng lại ở đó. Bất kỳ loại dữ liệu nào mà
tổ chức của bạn muốn bảo vệ đều cần các định nghĩa bảo mật tương tự. Ví dụ,
bạn nên xác định các yêu cầu đối với dữ liệu được lưu trữ trên các tài sản chẳng
hạn như máy chủ, bản sao lưu dữ liệu được lưu trữ tại chỗ và ngoại biên cũng
như những dữ liệu độc quyền.
Ngoài ra, các bi ện pháp kiểm soát bảo mật quản lý danh tính và truy c ập giúp
đảm bảo rằng chỉ những người được cấp phép mới có thể truy cập vào tài nguyên.
386 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Chương 13, “Quản lý Nhân dạng và Xác thực,” và Chương 14, “Kiểm soát và Giám
sát Truy cập”, sẽ trình bày sâu hơn về các biện pháp kiểm soát bảo mật quản lý
danh tính và truy cập.
Xác lập Các Yêu cầu Xử lý Thông tin và Tài sản
Mục đích then chốt của việc quản lý dữ liệu nhạy cảm là ngăn chặn những vụ vi
phạm dữ liệu. Vi phạm dữ liệu là một sự kiện trong đó một thực thể trái phép
có thể xem hoặc truy cập vào những dữ liệu nhạy cảm. Nếu bạn chú ý đến tin
tức, bạn có thể nghe về các vụ vi phạm dữ liệu khá thường xuyên. Các vụ vi
phạm dữ liệu lớn như vi phạm dữ liệu Marriott năm 2020 là tin tức nổi bật.
Marriott báo cáo rằng những kẻ tấn công đã đánh cắp dữ liệu cá nhân, bao gồm
tên, địa chỉ, địa chỉ email, thông tin chủ nhân và số điện thoại của khoảng 5,2
triệu khách hàng.
Tuy nhiên, thậm chí ngay cả khi bạn có thể chưa bao giờ nghe về những vụ vi
phạm nhỏ hơn, chúng vẫn diễn ra một cách thường xuyên. ITRC đã báo cáo về
540 vụ vi phạm dữ liệu gây ảnh hưởng đến 163 triệu người chỉ trong nửa đầu
năm 2020. Điều này tương đương với trung bình 20 vụ vi phạm dữ liệu được báo
cáo trong một tuần. Những phần tiếp theo đây xác định các bước cơ bản mà mọi
người trong tổ chức nên tuân theo để hạn chế khả năng vi phạm dữ liệu.
Bảo trì Dữ liệu
Bảo trì dữ liệu đề cập đến những nỗ lực liên tục để tổ chức và chăm sóc dữ liệu
trong toàn bộ vòng đời của nó. Nói chung, nếu một tổ chức đang lưu trữ mọi dữ
liệu nhạy cảm trên một máy chủ, sẽ tương đối dễ dàng để áp dụng mọi biện pháp
kiểm soát thích hợp cho máy chủ duy nhất này. Ngược lại, nếu dữ liệu nhạy cảm
được lưu trữ trong toàn bộ tổ chức trên nhiều máy chủ và máy tính của người
dùng đầu cuối và kết hợp với những dữ liệu không nhạy cảm, việc bảo vệ nó [dữ
liệu] trở nên khó khăn hơn nhiều.
Một mạng chỉ xử lý dữ liệu chưa được phân loại. Một mạng khác xử lý dữ liệu đã
được phân loại. Các kỹ thuật như khoảng trống không khí (air gap) đảm bảo hai
mạng không bao giờ tiếp xúc với nhau về mặt vật lý. Khoảng trống không khí là
một biện pháp kiểm soát bảo mật vật lý và có nghĩa là các hệ thống và cáp từ
mạng đã phân loại không bao giờ chạm vào hệ thống và cáp từ mạng chưa được
387 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
phân loại. Ngoài ra, mạng đã phân loại không thể truy cập vào Internet và những
kẻ tấn công Internet không thể truy cập nó.
Tuy nhiên, đôi khi nhân viên cần bổ sung thêm dữ liệu vào mạng đã được phân
loại, chẳng hạn như khi thiết bị, hệ thống và ứng dụng cần cập nhật. Một cách
là thủ công, nhân viên sao chép dữ liệu từ mạng chưa được phân loại vào thiết
bị USB và mang nó đến mạng đã được phân loại. Một phương pháp khác là sử
dụng cầu nối mạng một chiều, điều này kết nối hai mạng nhưng cho phép dữ liệu
chỉ được truyền tải theo một hướng, từ mạng chưa được phân loại đến mạng đã
được phân loại. Phương pháp thứ ba là sử dụng giải pháp bảo vệ kỹ thuật, là sự
kết hợp giữa phần cứng và phần mềm được đặt giữa hai mạng. Một giải pháp
bảo vệ cho phép dữ liệu được đánh dấu một cách thích hợp được di chuyển giữa
hai mạng.
Ngoài ra, một tổ chức nên thường xuyên xem xét các chính sách d ữ liệu để đảm
bảo rằng chúng được cập nhật và nhân viên đang tuân thủ các chính sách đó.
Thông thường, một thực tiẽn tốt là xem xét nguyên nhân của các vụ vi phạm dữ
liệu gần đây và đảm bảo rằng các lỗi tương tự không gây ra những lỗ hổng không
cần thiết.
Ngăn ngừa Mất mát Dữ liệu
Các hệ thống ngăn ngừa mất dữ liệu (data lost prevention – DLP) cố gắng phát
hiện và ngăn chặn những nỗ lực trích lọc dữ liệu. Các hệ thống này có khả năng
quét dữ liệu chưa được mã hóa để tìm kiếm từ khóa và các hình mẫu dữ liệu. Ví
dụ: hãy tưởng tượng rằng tổ chức của bạn sử dụng các phân loại dữ liệu là Bí
mật, Độc quyền, Riêng tư và Nhạy cảm. Một hệ thống DLP có thể quét các tập
tin để tìm những từ này và phát hiện ra chúng.
Hệ thống DLP đối-sánh-mẫu tìm kiếm các hình mẫu cụ thể. Ví dụ: mã số An sinh
Xã hội của Hoa Kỳ có hình mẫu là nnn-nn-nnnn (ba con số, một dấu gạch ngang,
hai con số, một dấu gạch ngang và bốn con số). DLP có thể tìm kiếm hình mẫu
này và phát hiện ra nó. Các quản trị viên có thể thiết lập một hệ thống DLP để
tìm kiếm bất kỳ hình mẫu nào dựa trên nhu cầu của họ. Các hệ thống DLP dựatrên-đám-mây có thể tìm kiếm các từ hoặc chuỗi mã giống nhau.
388 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Có hai loại hệ thống DLP chính:
DLP Dựa-trên-Mạng Một DLP dựa-trên-mạng quét tất cả dữ liệu gửi đi
ra để tìm kiếm dữ liệu cụ thể. Các quản trị viên đặt nó ở biên của mạng
để quét tất cả dữ liệu rời khỏi tổ chức. Nếu người dùng gửi đi một tập tin
chứa dữ liệu bị hạn chế, hệ thống DLP sẽ phát hiện ra tập tin đó và ngăn
không cho nó rời khỏi tổ chức. Hệ thống DLP sẽ gửi một cảnh báo, chẳng
hạn như một email đến quản trị viên. DLP dựa-trên-đám-mây là một tập
hợp con của DLP dựa-trên-mạng.
DLP Dựa-trên-Điểm-đầu-cuối Một DLP dựa-trên-điểm-đầu-cuối có thể
quét các tập tin được lưu trữ trên một hệ thống cũng như các tập tin được
gửi đến các thiết bị bên ngoài, chẳng hạn như máy in. Ví dụ: DLP dựatrên-điểm-đầu-cuối của tổ chức có thể ngăn người dùng sao chép dữ liệu
nhạy cảm vào ổ đĩa flash USB hoặc gửi dữ liệu nhạy cảm đến máy in. Các
quản trị viên thiết lập cấu hình DLP để quét tập tin bằng các từ khóa thích
hợp và nếu nó phát hiện ra các tập tin có chứa các từ khóa này, nó sẽ
chặn lệnh sao chép hoặc in. Cũng có thể định cấu hình hệ thống DLP dựatrên-điểm-đầu-cuối để thường xuyên quét các tập tin (chẳng hạn như trên
máy chủ tập tin) để tìm ra tập tin chứa từ khóa hoặc hình mẫu cụ thể hoặc
thậm chí đối với các loại tập tin trái phép, chẳng hạn như tập tin MP3.
Hệ thống DLP thường có thể thực hiện kiểm tra ở mức-độ-sâu. Ví dụ: nếu người
dùng nhúng tập tin vào tập tin nén dạng .zip, hệ thống DLP vẫn có thể phát hiện
ra các từ khóa và hình mẫu. Tuy nhiên, một hệ thống DLP không thể giải mã dữ
liệu hoặc kiểm tra dữ liệu đã được mã hóa.
Hầu hết các giải pháp DLP cũng đều bao gồm khả năng khám phá. Mục đích là
khám phá vị trí của dữ liệu có giá trị trong một mạng nội bộ. Khi quản trị viên
bảo mật biết được dữ liệu đang ở đâu, họ có thể thực hiện các bước bổ sung để
bảo vệ dữ liệu đó. Ví dụ, một máy chủ cơ sở dữ liệu có thể bao gồm số thẻ tín
dụng chưa được mã hóa. Khi DLP phát hi ện và báo cáo điều này, các quản trị
viên cơ sở dữ liệu có thể đảm bảo các mã số được mã hóa. Một ví dụ khác, chính
sách của công ty có thể quy định rằng máy tính xách tay của nhân viên không
được chứa bất kỳ dữ liệu PII nào. Một hệ thống khám phá nội dung DLP có thể
tìm kiếm những nội dung này và phát hiện ra bất kỳ dữ liệu trái phép nào. Ngoài
389 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
ra, rất nhiều hệ thống khám phá nội dung có thể tìm kiếm tài nguyên đám mây
được sử dụng bởi một tổ chức.
Đánh dấu Dữ liệu và Tài sản Nhạy cảm
Đánh dấu (thường được gọi là dán nhãn) thông tin nhạy cảm đảm bảo rằng người
dùng có thể xác định mức độ phân loại của bất kỳ dữ liệu nào một cách dễ dàng.
Thông tin quan trọng nhất mà một đánh dấu hoặc một nhãn cung cấp chính là
phân loại dữ liệu. Ví dụ: nhãn tuyệt mật sẽ làm rõ cho bất kỳ ai nhìn thấy nhãn
đó rằng thông tin đã được phân loại là tuyệt mật. Khi người dùng biết được giá
trị của dữ liệu, họ có nhiều khả năng thực hiện các bước thích hợp để kiểm soát
và bảo vệ nó dựa trên phân loại. Việc đánh dấu bao gồm cả đánh dấu vật lý và
đánh dấu điện tử và các nhãn.
Các nhãn vật lý cho biết phân loại bảo mật cho dữ liệu được lưu trữ trên những
tài sản như phương tiện lưu trữ hoặc được xử lý trên một hệ thống. Ví dụ: nếu
một băng từ sao lưu bao gồm dữ liệu bí mật thì một nhãn vật lý được gắn vào
băng từ sẽ giúp người dùng biết rõ rằng nó đang chứa dữ liệu bí mật.
Tương tự, nếu như một máy tính đang xử lý thông tin nhạy cảm, máy tính sẽ có
một nhãn cho biết mức phân loại thông tin cao nhất mà nó đang xử lý. Máy tính
được sử dụng để xử lý dữ liệu bí mật, tối mật và tuyệt mật phải được đánh dấu
bằng nhãn chỉ ra rằng nó đang xử lý dữ liệu tuyệt mật. Các nhãn vật lý vẫn được
giữ trên hệ thống hoặc phương tiện trong suốt thời gian tồn tại của nó.
Việc đánh dấu cũng bao gồm việc sử dụng các đánh dấu hoặc nhãn kỹ thuật số.
Một phương pháp đơn giản là bao gồm phân loại dưới dạng đầu trang hoặc chân
trang trong tài liệu hoặc nhúng nó dưới dạng một hình ảnh chìm. Một lợi ích của
các phương pháp này là chúng cũng xuất hiện trên các bản in. Ngay cả khi người
dùng đã bao gồm đầu trang và chân trang trên bản in, hầu hết các tổ chức đều
yêu cầu người dùng đặt các tài liệu nhạy cảm đã được in trong một tập hồ sơ có
nhãn hoặc trang bìa chỉ rõ phân loại. Tiêu đề không chỉ giới hạn cho các tập tin.
Băng từ dự phòng thường bao gồm thông tin tiêu đề và phân loại có thể được
bao gồm trong tiêu đề này.
390 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Một lợi ích khác của đầu trang, chân trang và hình ảnh mờ là hệ thống DLP có
thể xác định các tài liệu bao gồm thông tin nhạy cảm và áp dụng các biện pháp
kiểm soát bảo mật thích hợp. Một số hệ thống DLP cũng sẽ bổ sung thêm thẻ
siêu dữ liệu vào tài liệu khi chúng phát hiện rằng tài liệu đã được phân loại. Các
thẻ này cung cấp thông tin chi ti ết về nội dung của tài liệu và giúp hệ thống
DLP xử lý nó một cách thích hợp.
Tương tự như vậy, một số tổ chức bắt buộc các hình nền máy tính cụ thể trên
máy tính của họ. Ví dụ, một hệ thống được sử dụng để xử lý dữ liệu độc quyền
có thể có nền màn hình màu đen với từ “Độc quyền (Proprietary)” màu trắng và
viền rộng màu cam. Hình nền cũng có thể bao gồm các tuyên bố như “Máy tính
này đang xử lý dữ liệu độc quyền” và các tuyên bố nhắc nhở người dùng về trách
nhiệm của họ trong việc bảo vệ dữ liệu.
Trong rất nhiều môi trường an toàn, nhân viên cũng sử dụng các nhãn cho các
phương tiện và thiết bị chưa được phân loại. Điều này ngăn ngừa lỗi sơ sót khi
thông tin nhạy cảm đã không được đánh dấu. Ví dụ, nếu băng từ dự phòng chứa
dữ liệu nhạy cảm không được đánh dấu, người dùng có thể cho rằng băng từ này
chỉ chứa dữ liệu chưa được phân loại. Tuy nhiên, nếu tổ chức cũng đang đánh
dấu dữ liệu là chưa được phân loại thì phương tiện không được gắn nhãn sẽ dễ
bị chú ý và người dùng sẽ xem một băng từ chưa được đánh dấu với sự nghi
ngờ.
Các tổ chức thường xác định các thủ tục để hạ cấp phương tiện. Ví dụ, nếu một
băng từ dự phòng bao gồm thông tin bí mật, một quản trị viên có thể muốn hạ
cấp băng từ này xuống thành chưa được phân loại. Tổ chức sẽ xác định các thủ
tục đáng tin cậy sẽ xóa băng từ có chứa tất cả dữ liệu có thể sử dụng được. Sau
khi quản trị viên xóa băng từ, họ có thể hạ cấp và thay thế các nhãn.
Tuy nhiên, nhiều tổ chức nghiêm cấm việc hạ cấp các phương tiện lưu trữ. Ví
dụ, chính sách dữ liệu có thể cấm việc hạ cấp một băng từ sao lưu có chứa dữ
liệu tối mật. Thay vào đó, chính sách có th ể bắt buộc phải tiêu hủy băng từ này
khi nó kết thúc vòng đời. Tương tự, rất hiếm khi hạ cấp một hệ thống. Hay nói
cách khác, nếu một hệ thống đang xử lý dữ liệu tối mật, sẽ rất hiếm khi hạ cấp
nó và gắn nhãn lại là hệ thống chưa được phân loại. Trong bất kỳ trường hợp
391 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nào, các thủ tục đã được phê duyệt sẽ cần phải được tạo ra để thông báo cho
nhân viên những gì có thể bị hạ cấp và những gì nên bị phá hủy.
Nếu phương tiện lưu trữ hoặc hệ thống máy tính cần được hạ cấp
xuống phân loại ít nhạy cảm hơn, nó phải được làm sạch bằng các
quy trình thích hợp, như được mô tả trong phần “Phá hủy dữ liệu”,
ở phần sau của chương này. Tuy nhiên, việc mua các phương tiện
lưu trữ hoặc thiết bị mới thường an toàn và dễ dàng hơn thay vì
làm theo các bước làm sạch để sử dụng lại.
Xử lý Thông tin và Tài sản Nhạy cảm
Việc xử lý đề cập đến việc vận chuyển an toàn các phương tiện trong suốt thời
gian tồn tại của nó. Nhân sự xử lý dữ liệu theo cách khác nhau dựa trên giá trị
và phân loại của nó, và như bạn kỳ vọng, thông tin được phân loại cao cần phải
được bảo vệ nhiều hơn. Mặc dù đây là lẽ thường nhưng mọi người vẫn mắc sai
lầm. Mọi người thường xuyên quen với việc xử lý thông tin nhạy cảm và trở nên
thiếu hiểu biết về việc bảo vệ thông tin đó.
Một sự cố thường xảy ra là mất quyền kiểm soát đối với các băng từ sao lưu.
Các băng từ sao lưu phải được bảo vệ với mức độ bảo vệ tương tự như dữ liệu
mà chúng chứa bên trong. Hay nói cách khác, nếu thông tin bí mật nằm trên
băng từ sao lưu, thì băng sao lưu phải được bảo vệ như một tài sản bí mật.
Tương tự, dữ liệu đã lưu trữ trên đám mây cần được bảo vệ với cùng mức độ
bảo vệ mà dữ liệu được bảo vệ ở địa điểm tại chỗ. Dịch vụ Lưu trữ Đơn giản
(Simple Storage Service) của Amazon Web Services (AWS) (S3) là m ột trong
những nhà cung cấp dịch vụ đám mây lớn nhất. Dữ liệu được lưu trữ trong các
thùng chứa (bucket) AWS, giống như các thư mục trên hệ thống Windows. Cũng
giống như bạn việc thiết lập các quyền trên bất kỳ thư mục nào, bạn sẽ thiết
lập quyền trên thùng chứa AWS. Thật không may, khái niệm này vượt quá hiểu
biết của nhiều người dùng AWS. Ví dụ, một thùng chứa thuộc sở hữu của THSuite,
một nhà bán lẻ cây gai dầu, đã tiết lộ PII của hơn 30,000 cá nhân vào đầu năm
2020. Một ví dụ khác từ năm 2020 liên quan đến 900,000 hình ảnh và video trước
và sau phẫu thuật thẩm mỹ được lưu trữ trong một thùng chứa không bảo mật.
392 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Rất nhiều hình ảnh và video trong số này bao gồm các góc nhìn rõ ràng về khuôn
mặt của bệnh nhân, cùng với tất cả các bộ phận trên cơ thể của họ.
Cần có các chính sách và thủ tục để đảm bảo rằng mọi người hiểu cách xử lý dữ
liệu nhạy cảm. Điều này bắt đầu bằng cách đảm bảo rằng các hệ thống và phương
tiện được dán nhãn một cách thích hợp. Ngoài ra, như Tổng thống Reagan đã có
một câu nói nổi tiếng khi thảo luận về quan hệ với Liên Xô, “Hãy tin tưởng,
nhưng hãy xác minh”. Chương 17, “Ngăn ngừa và Ứng phó với Sự cố”, thảo luận
về tầm quan trọng của việc ghi lại nhật ký, giám sát và kiểm toán. Các biện pháp
kiểm soát này xác minh rằng thông tin nhạy cảm được xử lý một cách thích hợp
trước khi mất mát đáng kể xảy ra. Nếu xảy ra tổn thất, các nhà điều tra sử dụng
các dấu vết kiểm toán để giúp khám phá xem ra điều gì đã xảy ra. Bất kỳ sự cố
nào xảy ra do nhân viên đã không xử lý dữ liệu một cách thích hợp cần được
nhanh chóng điều tra và các hành động được thực hiện để ngăn chặn sự tái diễn.
Giới hạn Thu thập Dữ liệu
Một trong những cách dễ dàng nhất để ngăn chặn mất mát dữ liệu đơn giản là
không thu thập chúng. Ví dụ, hãy xem xét một công ty thương mại nhỏ cho phép
khách hàng mua hàng bằng thẻ tín dụng. Công ty này sử dụng một bộ xử lý thẻ
tín dụng để xử lý các khoản thanh toán bằng thẻ tín dụng. Nếu công ty chỉ
chuyển dữ liệu về thẻ tín dụng cho bộ xử lý để phê duyệt và không bao giờ lưu
trữ nó trong một máy chủ của công ty, công ty có thể không bao giờ mất dữ liệu
về thẻ tín dụng do bị phạm [dữ liệu].
Ngược lại, hãy tưởng tượng về một công ty thương mại khác đang bán những
sản phẩm trực tuyến. Mỗi lần một khách hàng đặt mua một đơn hàng, công ty
sẽ thu thập càng nhiều thông tin càng tốt về khách hàng, chẳng hạn như tên,
địa chỉ email, địa chỉ thực tế, số điện thoại, dữ liệu thẻ tín dụng, v.v… Công ty
này bị vi phạm dữ liệu và tất cả những dữ liệu này đã bị lộ, dẫn đến những trách
nhiệm pháp lý đáng kể cho công ty.
Hướng dẫn là rất rõ ràng. Nếu dữ liệu không có một mục đích sử dụng rõ ràng,
hãy đừng thu thập và lưu trữ chúng. Đây cũng là lý do t ại sao nhiều quy định
về quyền riêng tư đề cập đến việc hạn chế thu thập dữ liệu.
393 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Vị trí Dữ liệu
Vị trí dữ liệu đề cập đến vị trí của các bản sao lưu dữ liệu hoặc các bản sao của
dữ liệu. Hãy tưởng tượng về địa điểm kinh doanh chính c ủa một tổ chức nhỏ là
ở Norfolk, Virginia. T ổ chức lưu trữ tất cả dữ liệu tại chỗ. Tuy nhiên, họ đang
thực hiện sao lưu dữ liệu một cách thường xuyên.
Cách tốt nhất là giữ một bản sao lưu tại chỗ và một bản sao lưu khác ngoại biên.
Nếu một thảm họa, chẳng hạn như hỏa hoạn, phá hủy địa điểm kinh doanh chính,
tổ chức sẽ vẫn có một bản sao lưu được lưu trữ ở ngoại biên.
Quyết định về khoảng cách để lưu trữ các bản sao lưu ngoại biên cần phải được
cân nhắc. Nếu nó được lưu trữ trong một cơ sở kinh doanh nằm trong cùng một
tòa nhà, nó có thể bị phá hủy trong cùng một đám cháy. Ngay cả khi bản sao
lưu đã được cất giữ cách đó 5 dặm, có thể một cơn bão hoặc lũ lụt có thể đồng
thời phá hủy cả hai địa điểm.
Một số tổ chức duy trì dữ liệu trong các trung tâm dữ liệu lớn. Việc nhân bản
dữ liệu này sang một hoặc nhiều trung tâm dữ liệu khác là điều phổ biến để duy
trì tính sẵn sàng của những dữ liệu quan trọng. Các trung tâm dữ liệu này thường
được đặt tại các khu vực vị trí địa lý riêng biệt. Khi sử dụng lưu trữ trên đám
mây để sao lưu, một số tổ chức có thể cần xác minh vị trí [thực tế] của bộ lưu
trữ đám mây để đảm bảo nó ở một vị trí địa lý riêng biệt.
Lưu trữ Dữ liệu Nhạy cảm
Dữ liệu nhạy cảm phải được lưu trữ theo cách mà nó được bảo vệ khỏi bất kỳ
hình thức mất mát nào. Các phương pháp mã hóa ngăn chặn các thực thể trái
phép truy cập vào dữ liệu ngay cả khi họ có được cơ sở dữ liệu hoặc tài sản
phần cứng.
Nếu dữ liệu nhạy cảm được lưu trữ trên các phương tiện vật lý như ổ đĩa di động
hoặc băng từ sao lưu, nhân viên nên tuân thủ các quy tắc bảo mật vật lý cơ bản
để ngăn ngừa tổn thất do trộm cắp. Điều này bao gồm việc cất giữ các thiết bị
này trong két hoặc hầm có khóa hoặc trong một phòng an toàn có một số biện
pháp kiểm soát bảo mật vật lý bổ sung. Ví dụ, phòng máy chủ bao gồm các biện
pháp bảo mật vật lý để ngăn việc truy cập trái phép, vì vậy việc lưu trữ phương
394 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tiện di động trong một tủ có khóa trong phòng máy chủ sẽ mang lại khả năng
bảo vệ mạnh mẽ.
Ngoài ra, các biện pháp kiểm soát môi trường cũng bảo vệ các phương tiện lưu
trữ. Điều này bao gồm các điều khiển nhiệt độ và độ ẩm như hệ thống sưởi ấm,
thông gió và điều hòa không khí (HVAC).
Đây là một điểm mà người dùng cuối thường hay bỏ quên: giá trị của bất kỳ dữ
liệu nhạy cảm nào lớn hơn nhiều so với giá trị của phương tiện đang lưu giữ dữ
liệu nhạy cảm. Nói cách khác, sẽ tiết kiệm chi phí hơn khi mua những phương
tiện lưu trữ chất lượng cao, đặc biệt nếu dữ liệu sẽ được lưu trữ trong thời gian
dài, chẳng hạn như trên băng từ sao lưu. Tương tự như vậy, việc mua ổ đĩa flash
USB chất lượng cao có mã hóa tích hợp cũng đáng giá. Một số ổ flash USB này
bao gồm cơ chế xác thực sinh trắc học sử dụng dấu vân tay, giúp tăng cường
khả năng bảo vệ.
Mã hóa dữ liệu nhạy cảm cung cấp thêm một lớp bảo vệ bổ sung
và nên được cân nhắc cho bất kỳ dữ liệu đang được lưu trữ nào.
Nếu dữ liệu được mã hóa, nó khiến cho những kẻ tấn công khó
truy cập hơn, thậm chí ngay cả khi nó bị đánh cắp.
Phá hủy Dữ liệu
Khi một tổ chức không còn cần đến dữ liệu nhạy cảm, nhân viên nên phá hủy
nó. Việc phá hủy đúng cách đảm bảo rằng nó không thể rơi vào tay kẻ xấu và
dẫn đến việc tiết lộ [dữ liệu] trái phép. Dữ liệu được phân loại cao đòi hỏi các
bước khác nhau để phá hủy nó so với dữ liệu đã được phân loại ở cấp thấp hơn.
Chính sách bảo mật hoặc chính sách dữ liệu của tổ chức phải xác định các phương
pháp có thể được chấp nhận để phá hủy dữ liệu dựa trên phân loại của dữ liệu.
Ví dụ, một tổ chức có thể yêu cầu phá hủy hoàn toàn phương tiện chứa dữ liệu
được phân loại cao, nhưng cho phép nhân viên sử dụng các công cụ phần mềm
để ghi đè lên các tập tin dữ liệu được phân loại ở cấp độ thấp hơn.
NIST SP 800-88 Rev. 1, “Hướng dẫn Làm sạch Phương tiện” (Guidelines for Media
Sanitization), cung cấp những thông tin chi tiết toàn diện về các phương pháp
395 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
làm sạch khác nhau. Các phương pháp làm sạch (chẳng hạn như xóa, thanh lọc
và phá hủy) giúp đảm bảo rằng dữ liệu không thể được khôi phục. Các bước làm
sạch thích hợp sẽ loại bỏ tất cả dữ liệu nhạy cảm trước khi xử lý máy tính. Điều
này bao gồm việc loại bỏ hoặc phá hủy dữ liệu trên bộ nhớ không mất dữ liệu
(nonvolatile), ổ cứng bên trong và ổ cứng thể rắn (SSD). Nó cũng bao gồm việc
loại bỏ tất cả các đĩa CD/DVD và các ổ đĩa Universal Serial Bus (USB).
Làm sạch có thể đề cập đến việc phá hủy phương tiện lưu trữ hoặc sử dụng một
phương pháp đáng tin cậy để xóa dữ liệu đã phân loại khỏi phương tiện mà
không cần phá hủy nó.
Loại bỏ Dữ liệu Còn sót lại
Dữ liệu còn sót lại (data remanence) là dữ liệu vẫn còn lại trên phương tiện sau
khi dữ liệu được cho là đã bị xóa. Nó thường đề cập đến dữ liệu trên một ổ cứng
dưới dạng từ thông dư hoặc không gian chùng. Nếu phương tiện bao gồm bất kỳ
loại dữ liệu riêng tư và nhạy cảm nào, điều quan trọng là phải loại bỏ dữ liệu
còn sót lại.
Không gian chùng là không gian chưa được sử dụng trong một cụm đĩa. Hệ điều
hành lưu trữ các tập tin trên ổ đĩa cứng theo cụm (cluster), là nhóm các cung
(sector) (đơn vị lưu trữ nhỏ nhất trên ổ đĩa cứng). Kích thước cung và cụm khác
nhau, nhưng đối với ví dụ này, hãy tưởng tượng kích thước cụm là 4,096-byte
và kích thước tập tin là 1,024-byte. Sau khi lưu trữ tập tin, cụm sẽ có 3,072byte không gian chưa sử dụng hoặc còn được gọi là không gian chùng.
Một số Hệ điều hành lấp đầy không gian chùng này bằng dữ liệu từ bộ nhớ. Nếu
người dùng mới đang làm việc trên một tập tin tối mật một lúc trước và sau đó
tạo ra một tập tin nhỏ chưa được phân loại, tập tin nhỏ đó có thể chứa dữ liệu
tối mật được lấy ra từ bộ nhớ. Đây là một trong những lý do tại sao nhân viên
không bao giờ nên xử lý dữ liệu đã được phân loại trên các hệ thống chưa được
phân loại. Người dùng sành sỏi cũng có thể ẩn dữ liệu trong không gian chùng
bằng các công cụ như bmap (Linux) và slacker (Windows).
Việc sử dụng các công cụ hệ thống để xóa dữ liệu thường để lại phần lớn dữ liệu
còn lại trên phương tiện lưu trữ, và các công cụ có sẵn rộng rãi có thể dễ dàng
396 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
phục hồi dữ liệu đó. Ngay cả khi bạn sử dụng các công cụ tinh vi để ghi đè lên
phương tiện, dấu vết của dữ liệu gốc có thể vẫn còn dưới dạng từ trường ít quan
sát được hơn. Điều này giống như một hình ảnh ma có thể vẫn còn trên một số
màn hình TV và máy tính cũ hơn n ếu cùng một dữ liệu được hiển thị trong thời
gian dài. Các chuyên gia điều tra pháp y và những kẻ tấn công có các công cụ
mà họ có thể sử dụng để truy xuất dữ liệu này ngay cả sau khi được cho là đã
bị ghi đè.
Một cách để xóa dữ liệu còn sót lại là dùng bộ khử từ. Bộ khử từ tạo ra một từ
trường mạnh, từ trường này sẽ sắp xếp lại từ trường trong các phương tiện từ
tính như ổ cứng truyền thống, băng từ và ổ đĩa mềm. Bộ khử từ sử dụng nguồn
điện sẽ ghi đè các từ trường này một cách đáng tin cậy và loại bỏ dữ liệu còn
sót lại. Tuy nhiên, chúng chỉ có hiệu quả trên các phương tiện từ tính.
Ngược lại, SSD sử dụng mạch tích hợp thay vì từ thông trên đĩa quay. Vì lý do
này, việc khử từ SSD sẽ không xóa dữ liệu. Tuy nhiên, ngay cả khi sử dụng các
phương pháp khác để xóa dữ liệu khỏi các ổ SSD, phần còn lại của dữ liệu thường
vẫn còn tồn tại.
Một số SSD bao gồm các lệnh xóa tích-hợp để làm sạch toàn bộ đĩa, nhưng thật
không may, các lệnh này không có hiệu quả trên một số SSD của các nhà sản
xuất khác nhau. Vì những rủi ro này, phương pháp tốt nhất để làm sạch SSD là
phá hủy nó. Cơ quan An ninh Quốc gia Hoa Kỳ (U.S. National Security Agency NSA) yêu cầu tiêu hủy các ổ SSD bằng các bộ phân hủy đã được phê duyệt.
Những bộ phân hủy được chấp thuận đã cắt nhỏ ổ SSD thành kích thước 2 mi-limét (mm) hoặc nhỏ hơn. Nhiều tổ chức bán nhiều giải pháp phá hủy và làm sạch
thông tin được sử dụng bởi các cơ quan chính phủ và tổ chức trong khu vực tư
nhân mà NSA đã phê duyệt.
Một phương pháp khác để bảo vệ SSD là đảm bảo rằng tất cả dữ liệu đã được
lưu trữ đều được mã hóa. Nếu một phương pháp làm sạch không loại bỏ được
tất cả dữ liệu còn sót lại, thì dữ liệu còn lại sẽ không thể đọc được.
397 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hãy cẩn trọng khi thực hiện bất kỳ loại quy trình dọn dẹp, thanh
lọc hoặc làm sạch nào. Người vận hành hoặc công cụ liên quan
đến hoạt động có thể đã không thực hiện đúng nhiệm vụ loại bỏ
hoàn toàn dữ liệu ra khỏi phương tiện lưu trữ. Phần mềm có thể
có sai sót, nam châm có thể bị lỗi và có thể được sử dụng một
cách không đúng đắn. Hãy luôn xác minh rằng kết quả mong muốn
đã đạt được sau khi thực hiện bất kỳ quá trình vệ sinh nào.
Các phương pháp Phá hủy Dữ liệu Phổ biến
Danh sách dưới đây bao gồm một số thuật ngữ tương ứng với việc phá hủy dữ
liệu:
Xóa (Erasing) Xóa phương tiện lưu trữ chỉ đơn giản là thực hiện hành
động xóa (delete) hoặc tiến trình loại bỏ để loại bỏ thư mục hoặc danh
mục liên kết tới dữ liệu. Dữ liệu thực tế vẫn còn trên ổ cứng. Khi những
tập tin mới được ghi lên phương tiện lưu trữ, cuối cùng hệ thống sẽ ghi
đè lên dữ liệu đã xóa, tuy nhiên, tùy thuộc vào dung lượng của ổ cứng,
bao nhiêu không gian trống mà nó đang có, và một vài yếu tố khác, dữ
liệu có thể đã không bị ghi đè trong vài tháng. Thông thườngm bất kỳ ai
cũng có thể truy xuất dữ liệu bằng các công cụ khôi phục xóa sẵn có rộng
rãi.
Làm sạch (Clearing) Làm sạch, hoặc ghi đè (overwriting), là một tiến
trình chuẩn bị để tái sử dụng phương tiện lưu trữ và đảm bảo rằng dữ liệu
đã bị loại bỏ không thể được khôi phục bằng cách sử dụng các công cụ
khôi phục truyền thống. Khi phương tiện lưu trữ đã được làm sạch, những
dữ liệu chưa được phân loại được ghi lên tất cả những vị trí có thể đánh
địa chỉ trên phương tiện lưu trữ. Một phương pháp là ghi một ký tự đơn,
hoặc một mẫu bit cụ thể, trên toàn bộ phương tiện. Một phương pháp kỹ
lưỡng hơn viết một ký tự duy nhất trên toàn bộ phương tiện, ghi phần bổ
sung của ký tự trên toàn bộ phương tiện và kết thúc bằng cách ghi các bit
ngẫu nhiên trên toàn bộ phương tiện. Phương pháp này lặp lại điều này
trong ba tiến trình riêng biệt, như trong Hình 5.2. Mặc dù điều này nghe
có vẻ như dữ liệu gốc sẽ bị mất đi vĩnh viễn, nhưng có thể lấy lại một số
398 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
dữ liệu gốc bằng cách sử dụng các kỹ thuật phòng thí nghiệm hoặc điều
tra pháp y phức tạp. Ngoài ra, không phải tất cả các kiểu lưu trữ dữ liệu
đều đáp ứng tốt với các kỹ thuật xóa. Ví dụ, các khu vực (sector) còn
trống để dự phòng (spare) trên ổ cứng, các khu vực được gắn nhãn là
“xấu” và các khu vực trên nhiều ổ SSD hiện đại không nhất thiết phải bị
xóa và có thể vẫn giữ lại dữ liệu.
HÌNH 5.2 Làm sạch một đĩa cứng
Thanh lọc (Purging) Thanh lọc là một hình thức xóa dữ liệu mạnh hơn
nhằm chuẩn bị phương tiện để tái sử dụng trong các môi trường kém bảo
mật hơn. Nó cung cấp một mức độ đảm bảo rằng dữ liệu gốc không thể
khôi phục được bằng bất kỳ phương pháp nào đã biết. Một tiến trình thanh
lọc sẽ lặp lại quá trình xóa nhiều lần và có thể kết hợp nó với một phương
pháp khác, chẳng hạn như khử từ, để loại bỏ hoàn toàn dữ liệu. Mặc dù
quá trình thanh lọc nhằm mục đích xóa tất cả dữ liệu còn sót lại, nhưng
nó không phải lúc nào cũng đáng tin cậy. Ví dụ, chính phủ Hoa Kỳ không
coi bất kỳ phương pháp thanh lọc nào là có thể chấp nhận được để thanh
lọc dữ liệu tuyệt mật. Phương tiện được dán nhãn tối mật sẽ luôn ở mức
tuyệt mật cho đến khi nó bị phá hủy.
Khử từ (Degaussing) Một bộ khử từ tạo ra một từ trường mạnh để xóa
dữ liệu trên một số phương tiện lưu trữ trong một tiến trình được gọi là
399 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
khử từ. Các kỹ thuật viên thường sử dụng phương pháp khử từ để loại bỏ
dữ liệu khỏi băng từ với mục đích đưa băng từ trở lại trạng thái ban đầu.
Có thể khử từ các đĩa cứng, nhưng chúng tôi không khuyên b ạn nên làm
như vậy. Việc khử từ ổ đĩa cứng thông thường sẽ phá hủy các thiết bị điện
tử được sử dụng để truy cập dữ liệu. Tuy nhiên, bạn sẽ không có bất kỳ
đảm bảo nào rằng tất cả dữ liệu trên đĩa đã thực sự bị phá hủy. Ai đó có
thể mở ổ đĩa [về mặt vật lý] trong một phòng sạch và đặt các đĩa vào một
ổ đĩa khác để đọc dữ liệu.
Khử từ không ảnh hưởng đến các phương tiện quang học như các đĩa Liên
tục Cải tiến Dịch vụ, DVD hoặc SSD.
Phá hủy (Destruction) Phá hủy là giai đoạn cuối cùng trong vòng đ ời
của phương tiện lưu trữ và là phương pháp làm sạch phương tiện an toàn
nhất. Khi phá hủy phương tiện, hãy đảm bảo rằng phương tiện đó không
thể được tái sử dụng hoặc sửa chữa và không thể trích xuất dữ liệu từ
phương tiện đã bị phá hủy. Các phương pháp phá hủy bao gồm đốt, nghiền,
cắt nhỏ, phân hủy và hòa tan bằng cách sử dụng các hóa chất ăn da hoặc
axit. Một số tổ chức loại bỏ các đĩa trong ổ đĩa được phân loại cao và tiêu
hủy chúng một cách riêng biệt.
Khi các tổ chức quyên tặng hoặc bán thiết bị máy tính đã qua
sử dụng, họ thường loại bỏ và phá hủy các thiết bị lưu trữ
chứa dữ liệu nhạy cảm hơn là tìm cách thanh lọc chúng. Điều
này giúp loại bỏ nguy cơ quá trình thanh lọc đã không được
hoàn tất, do đó dẫn đến mất tính bảo mật.
Giải mật (declassification) liên quan đến bất kỳ tiến trình nào thanh lọc phương
tiện hoặc hệ thống để chuẩn bị tái sử dụng trong môi trường chưa được phân
loại. Các phương pháp làm sạch có thể được sử dụng để chuẩn bị phương tiện
để giải mật, nhưng thường thì những nỗ lực cần thiết để giải mật phương tiện
lưu trữ một cách an toàn lớn hơn đáng kể so với chi phí của phương tiện mới
cho một môi trường kém an toàn hơn. Ngoài ra, mặc dù không thể khôi phục dữ
liệu đã bị xóa bằng bất kỳ phương pháp nào đã biết, nhưng vẫn có khả năng từ
400 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
xa là có sẵn một phương pháp không xác đ ịnh. Thay vì chấp nhận rủi ro, nhiều
tổ chức chọn giải mật bất kỳ phương tiện nào và thay vào đó tiêu hủy nó khi
không còn cần thiết.
Xóa Mật mã (Cryptographic Erasure)
Nếu dữ liệu đã được mã hóa trên một thiết bị, bạn có thể sử dụng tính năng xóa
hoặc băm nhỏ bằng mật mã để phá hủy dữ liệu. Tuy nhiên, các thuật ngữ này
dễ gây ra hiểu nhầm. Chúng không xóa hoặc cắt nhỏ dữ liệu. Thay vào đó, chúng
phá hủy khóa mã hóa hoặc cả khóa mã hóa và khóa giải mã nếu cả hai được sử
dụng. Khi các khóa mật mã đã bị xóa, dữ liệu vẫn được mã hóa và không thể
truy cập được.
Khi sử dụng phương pháp này, bạn cũng nên sử dụng thêm phương pháp khác
để ghi đè dữ liệu. Nếu mã hóa ban đầu không đủ mạnh, ai đó có thể giải mã nó
mà không cần đến khóa mã hóa. Ngoài ra, thường có các bản sao lưu các khóa
mật mã và nếu ai đó phát hiện ra khóa dự phòng, họ vẫn có thể truy cập vào dữ
liệu.
Khi sử dụng lưu trữ đám mây, việc phá hủy khóa mật mã có thể là hình thức xóa
an toàn duy nhất có sẵn cho một tổ chức.
Đảm bảo Lưu giữ Dữ liệu và Tài sản Thích hợp
Các yêu cầu về lưu giữ được áp dụng cho cả dữ liệu hoặc hồ sơ, phương tiện lưu
giữ những dữ liệu nhạy cảm, hệ thống xử lý dữ liệu nhạy cảm và nhân viên có
quyền truy cập vào dữ liệu nhạy cảm. Lưu giữ hồ sơ và lưu giữ phương tiện là
phần tử quan trọng nhất của việc lưu giữ tài sản. Chương 3, "Hoạch định Liên
tục Kinh doanh", bao gồm một chương trình hồ sơ mang tính sống còn, có thể
được tham khảo để xác định hồ sơ cần lưu giữ.
Lưu giữ hồ sơ (record retention) liên quan đến việc giữ lại và duy trì những
thông tin quan trọng miễn là nó còn cần thiết và phá hủy nó khi không còn cần
thiết nữa. Chính sách bảo mật hoặc chính sách dữ liệu của tổ chức thường xác
định khung thời gian lưu giữ. Một số luật và quy định chỉ định khoảng thời gian
mà một tổ chức nên lưu giữ dữ liệu, chẳng hạn như ba năm, bảy năm hoặc thậm
chí là vô thời hạn. Các tổ chức có trách nhiệm xác định các luật và quy định áp
401 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
dụng và tuân thủ chúng. Tuy nhiên, ngay cả khi không có các yêu cầu từ bên
ngoài, tổ chức vẫn nên xác định thời gian lưu giữ dữ liệu.
Ví dụ, nhiều tổ chức yêu cầu lưu giữ tất cả nhật ký kiểm toán trong một khoảng
thời gian cụ thể. Khoảng thời gian này có thể được quy định bởi luật, quy định,
yêu cầu liên quan đến quan hệ đối tác với các tổ chức khác hoặc các quyết định
quản lý nội bộ. Các nhật ký kiểm toán này cho phép tổ chức xây dựng lại các chi
tiết của các sự cố bảo mật trong quá khứ. Khi một tổ chức không có chính sách
lưu giữ, quản trị viên có thể xóa dữ liệu có giá trị sớm hơn thời gian mà các nhà
quản lý dự kiến hoặc cố gắng lưu giữ dữ liệu một cách vô thời hạn. Một tổ chức
lưu giữ dữ liệu càng lâu thì càng t ốn nhiều chi phí về phương tiện, địa điểm để
lưu trữ dữ liệu và nhân sự để bảo vệ dữ liệu đó.
Kết-thúc-vòng-đời (end-of-life - EOL), hết-hạn-hỗ-trợ (end-of-support - EOS) và
hết-hạn-sử-dụng (end-of-service-life - EOSL) có thể áp dụng cho cả phần mềm
lẫn phần cứng. Trong bối cảnh lưu giữ tài sản, chúng áp dụng trực tiếp cho các
tài sản phần cứng. Hầu hết các nhà cung cấp gọi EOL là thời điểm họ ngừng
cung cấp một sản phẩm để bán ra thị trường. Tuy nhiên, họ vẫn sẽ hỗ trợ cho
các sản phẩm mà họ đã bán, ít nhất là trong một khoảng thời gian. EOS đề cập
đến thời điểm sự hỗ trợ này kết thúc. Hầu hết phần cứng đều có chu kỳ làm mới
dựa trên khung thời gian EOL và EOS. Các tổ chức đôi khi giữ lại phần cứng cũ
để truy cập dữ liệu cũ hơn, chẳng hạn như dữ liệu trên các băng từ.
Kịch bản trong Thế giới Thực
Chính sách Lưu giữ có thể Giảm Trách nhiệm pháp lý
Việc lưu lại dữ liệu lâu hơn mức cần thiết cũng làm xuất hiện những vấn đề
pháp lý không cần thiết. Ví dụ, nhà sản xuất máy bay Boeing đã từng là mục
tiêu của một vụ kiện tập thể. Các luật sư của những người yêu cầu bồi thường
được biết rằng Boeing có một kho chứa 14,000 băng từ sao lưu email và những
băng từ có liên quan theo yêu cầu. Không phải tất cả các cuộn băng đều có
liên quan đến vụ kiện, nhưng trước tiên Boeing phải khôi phục lại 14,000 cuốn
băng và kiểm tra nội dung trước khi họ có thể lật lại vụ kiện. Cuối cùng, Boeing
402 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
đã giải quyết vụ kiện với số tiền 92,5 triệu USD và các chuyên gia phân tích
suy đoán rằng có thể sẽ có một kết quả khác nếu 14,000 cuộn băng đó không
tồn tại.
Vụ kiện Boeing là một ví dụ điển hình, nhưng nó không phải là trường hợp duy
nhất. Những sự kiện này đã thúc đẩy nhiều công ty thực hiện các chính sách
lưu giữ email chủ động. Không có gì lạ khi chính sách email yêu cầu xóa tất
cả các email cũ hơn sáu tháng. Các chính sách này thường được thực hiện
bằng cách sử dụng các công cụ tự động tìm kiếm các email cũ và xóa chúng
mà không cần phải có bất kỳ sự can thiệp nào của người dùng hoặc quản trị
viên.
Một công ty không thể xóa bằng chứng tiềm năng một cách hợp pháp sau khi
đơn kiện được đệ trình. Tuy nhiên, nếu một chính sách lưu giữ quy định việc
xóa dữ liệu sau một khoảng thời gian cụ thể, thì việc xóa dữ liệu này trước
khi đơn kiện được gửi là hợp pháp. Thực tiễn này không chỉ ngăn chặn sự lãng
phí tài nguyên để lưu trữ những dữ liệu không cần thiết mà còn cung cấp thêm
một lớp bảo vệ pháp lý chống lại việc lãng phí tài nguyên b ằng cách xem xét
những thông tin cũ, không liên quan.
Các Phương pháp B ảo vệ Dữ liệu
Một trong những phương pháp chính để bảo vệ tính bảo mật của dữ liệu là mã
hóa, như đã được thảo luận trước đó trong phần “Hiểu được Trạng thái của Dữ
liệu” của chương này. Các phương pháp DLP (đư ợc thảo luận trước đó trong phần
“Ngăn ngừa Mất mát Dữ liệu” của chương) giúp ngăn dữ liệu rời khỏi mạng hoặc
thậm chí rời khỏi một máy tính. Phần này đề cập đến một số phương pháp bảo
vệ dữ liệu bổ sung.
Quản lý Quyền Kỹ thuật số (Digital Rights Management)
Phương pháp quản lý quyền kỹ thuật số cố gắng cung cấp sự bảo vệ bản quyền
đối với các tác phẩm có bản quyền. Mục đích là để ngăn chặn việc sử dụng, sửa
đổi và phân phối trái phép các tác phẩm có bản quyền chẳng hạn như những tài
sản sở hữu trí tuệ. Dưới đây là một số phương pháp liên quan đến các giải pháp
DRM:
403 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Giấy phép DRM (DRM License) Một giấy phép cấp quyền truy cập vào
một sản phẩm và xác đ ịnh các điều khoản sử dụng. Giấy phép DRM thường
là một tập tin nhỏ bao gồm các điều khoản sử dụng, cùng với khóa giải
mã để mở khóa quyền truy cập vào sản phẩm.
Xác thực Trực tuyến Liên tục (Persistent Online Authentication) Xác
thực trực tuyến liên tục (hay còn được gọi là DRM luôn-bật) yêu cầu mọt
hệ thống được kết nối với Internet để sử dụng sản phẩm. Hệ thống kết
nối định kỳ với máy chủ xác thực và nếu kết nối hoặc xác thực không thành
công, DRM sẽ khóa việc sử dụng sản phẩm.
Dấu vết Kiểm toán Liên tục (Continuous Audit Trail) Dấu vết kiểm
toán liên tục theo dõi tất cả việc sử dụng sản phẩm có bản quyền. Khi kết
hợp với sự kiên trì, nó có thể phát hiện ra sự lạm dụng, chẳng hạn như sử
dụng đồng thời một sản phẩm nhưng ở hai vị trí địa lý khác nhau.
Hết hạn Tự động (Automatic Expiration) Nhiều sản phẩm được bán
trên cơ sở đăng ký thuê bao. Ví dụ, bạn thường có thể thuê phim phát
trực tuyến mới, nhưng những phim này chỉ sẵn sàng trong một thời gian
giới hạn, chẳng hạn như 30 ngày. Khi thời gian đăng ký thuê bao kết thúc,
chức năng tự động hết hạn sẽ chặn mọi quyền truy cập tiếp theo.
Ví dụ, hãy tưởng tượng rằng bạn đã mơ một ý tưởng tuyệt vời cho một cuốn
sách. Khi thức dậy, bạn mạnh dạn viết ra tất cả những gì bạn nhớ được. Trong
năm tiếp theo, bạn đã dành mọi khoảnh khắc rảnh rỗi để phát triển ý tưởng và
cuối cùng đã xuất bản cuốn sách của mình. Để giúp một số người đọc sách của
bạn dễ dàng, bạn đã đưa ra một phiên bản Định dạng Tài liệu Di động (Portable
Document Format - PDF) của sách. Bạn đã cảm thấy rất thích thú khi thấy quyển
sách của mình tăng vọt lên danh sách bán chạy nhất. Bạn đang trên đà tự do tài
chính để phát triển một ý tưởng tuyệt vời khác đã đến với bạn trong một giấc
mơ khác.
Thật không may, ai đó đã sao chép tập tin PDF và đăng nó trên dark web. Mọi
người từ khắp nơi trên thế giới đã tìm thấy nó và sau đó bắt đầu bán nó trực
tuyến với giá rẻ bất ngờ, tuyên bố rằng họ được bạn cho phép làm như vậy. Dĩ
404 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
nhiên là bạn đã không cho phép họ. Thay vào đó, họ đang thu tiền từ năm làm
việc của bạn, trong khi doanh thu bán hàng của bạn bắt đầu sụt giảm.
Kiểu sao chép và phân phối này, thường được gọi là vi phạm bản quyền, đã làm
giàu cho bọn tội phạm trong nhiều năm. Chúng không chỉ bán những cuốn sách
chúng không viết ra mà còn sao chép và bán nhạc, video, trò chơi điện tử, phần
mềm, v.v…
Một số phương pháp DRM cố gắng ngăn chặn việc sao chép, in ấn và chuyển tiếp
các tài liệu đã được bảo vệ. Hình chìm kỹ thuật số đôi khi được đặt trong các
tập tin âm thanh hoặc video bằng cách sử dụng kỹ thuật stenography. Chúng
không ngăn chặn việc sao chép nhưng có thể được sử dụng để phát hiện việc
sao chép trái phép đến tập tin. Chúng cũng có thể được sử dụng để thực thi bản
quyền và truy tố. Tương tự, siêu dữ liệu đôi khi được đặt vào các tập tin để xác
định người mua.
Rất nhiều tổ chức và cá nhân phản đối DRM. Họ cho rằng nó hạn chế việc sử
dụng hợp lý các tài liệu mà họ đã mua. Ví dụ, sau khi trả tiền cho một số bài
hát, họ muốn sao chép chúng vào cả máy nghe nhạc MP3 và điện thoại thông
minh. Ngoài ra, những người chống lại DRM cho rằng nó không hiệu quả đối với
những người muốn vượt qua nó mà thay vào đó làm phức tạp việc sử dụng cho
những người dùng hợp pháp.
Chương 4 trình bày sâu hơn về tài sản sở hữu trí tuệ, bản quyền, nhãn hiệu,
bằng sáng chế và bí mật thương mại. Các phương pháp DRM được sử dụng để
bảo vệ dữ liệu có bản quyền, nhưng chúng không được sử dụng để bảo vệ nhãn
hiệu, bằng sáng chế hoặc bí mật kinh doanh.
Trung gian bảo mật Truy cập Đám mây
Trung gian bảo mật truy cập đám mây (CASB) là phần mềm được đặt một cách
logic giữa người dùng và các tài nguyên d ựa-trên-đám-mây. Nó có thể là tại-chỗ
hoặc trong đám mây. Bất kỳ ai truy cập vào đám mây đều phải đi qua phần mềm
CASB. Nó giám sát tất cả các hoạt động và thực thi các chính sách bảo mật do
quản trị viên xác định.
405 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Ví dụ đơn giản, hãy tưởng tượng về một công ty đã quyết định sử dụng một nhà
cung cấp đám mây để lưu trữ dữ liệu nhưng các nhà quản lý lại muốn tất cả dữ
liệu được lưu trữ trên đám mây phải được mã hóa. CASB có thể giám sát tất cả
dữ liệu đi lên đám mây và đảm bảo rằng dữ liệu đó đi đến và được lưu trữ ở
định dạng được mã hóa.
CASB thường sẽ bao gồm các biện pháp kiểm soát xác thực và cấp phép và đảm
bảo rằng chỉ có những người dùng đã được cấp phép mới có thể truy cập vào
các tài nguyên đám mây. CASB cũng có thể ghi lại mọi hoạt động truy cập, giám
sát hoạt động và gửi cảnh báo về những hoạt động đáng ngờ. Nói chung, bất kỳ
biện pháp kiểm soát bảo mật nào mà một tổ chức đã tạo ra trong nội bộ đều có
thể được sao chép sang CASB. Điều này bao gồm bất kỳ chức năng DLP nào đã
được triển khai bởi một tổ chức.
Các giải pháp CASB cũng có thể có hiệu quả trong việc phát hiện CNTT bóng tối.
Công nghệ thông tin bóng tối là việc sử dụng các tài nguyên CNTT (chẳng hạn
như các dịch vụ đám mây) mà không có sự chấp thuận hoặc thậm chí không nhận
thức được của bộ phận CNTT. Nếu bộ phận CNTT không nhận thức được về việc
sử dụng thì bộ phận này không thể quản lý nó. Một cách mà giải pháp CASB có
thể phát hiện CNTT bóng tối là thu thập và phân tích nhật ký từ tường lửa mạng
và proxy web. Chương 16, “Quản lý Vận hành Bảo mật”, bao gồm các chủ đề đám
mây khác.
Sử dụng biệt danh (Pseudonymization)
Pseudonymization đề cập đến quá trình sử dụng biệt danh (pseudonym) để đại
diện cho dữ liệu khác. Khi bút danh được thực hiện một cách hiệu quả, nó có
thể dẫn đến các yêu cầu ít nghiêm ngặt hơn mà nếu không sẽ được áp dụng theo
Quy định Bảo vệ Dữ liệu Chung của Liên minh Châu Âu (EU) (GDPR), đã được đề
cập trong Chương 4.
406 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
GDPR của Liên minh Châu Âu thay thế cho Chỉ thị Bảo vệ Dữ liệu
Châu
Âu
(European
Data
Protection
Directive
–
Directive
95/46/EC), và có hiệu lực thi hành vào ngày 25/5/2018. Nó áp
dụng cho tất cả các quốc gia thành viên của EU và cho mọi quốc
gia đang truyền dữ liệu đến và đi khỏi EU và bất kỳ ai đang lưu
trú tại EU.
Biệt danh là một bí danh. Ví dụ, tác giả của Harry Potter, J. K. Rowling đã xuất
bản một cuốn sách có tựa đề The Cuckoo’s Calling (tạm dịch Tiếng gọi của Chim
cúc cu) dưới bút danh Robert Galbraith. Không một ai biết đó là cô ấy, ít nhất
là trong vài tháng. Có một ai đó đã tiết lộ rằng Galbraith là một bút danh, và
người đại diện của cô sau đó đã xác nhận tin đồn. Bây giờ, nếu bạn đã biết được
bút danh, bạn sẽ biết rằng bất kỳ cuốn sách nào được cho là của Robert Galbraith
đều được viết bởi J. K. Rowling.
Tương tự, biệt danh có thể ngăn chặn dữ liệu từ việc nhận dạng trực tiếp một
thực thể, chẳng hạn như một cá nhân. Ví dụ, hãy xem xét hồ sơ y tế do văn
phòng bác sĩ lưu giữ. Thay vì bao gồm các thông tin cá nhân như tên, đ ịa chỉ và
số điện thoại của bệnh nhân, nó chỉ có thể gọi bệnh nhân là Bệnh nhân 23456
trong hồ sơ bệnh án. Văn phòng bác sĩ vẫn cần thông tin cá nhân này và nó có
thể được lưu giữ trong một cơ sở dữ liệu khác liên kết nó với biệt danh của bệnh
nhân (Bệnh nhân 23456).
Hãy lưu ý rằng trong ví dụ, biệt danh (Bệnh nhân 23456) đề cập đến một số
thông tin về người đó. Một biệt danh cũng có thể đề cập đến một phần thông
tin. Ví dụ, bạn có thể sử dụng một biệt danh cho tên và một biệt danh khác cho
họ. Điều quan trọng là phải có một tài nguyên khác (chẳng hạn như một cơ sở
dữ liệu khác) cho phép bạn xác định dữ liệu gốc bằng cách sử dụng biệt danh.
Văn phòng bác sĩ có thể phát hành dữ liệu biệt danh cho các nhà nghiên cứu y
tế mà không ảnh hưởng đến thông tin riêng tư của bệnh nhân. Tuy nhiên, văn
phòng bác sĩ vẫn có thể đảo ngược lại quy trình để khám phá dữ liệu ban đầu
nếu cần.
407 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
GDPR đề cập đến biệt danh là việc thay thế dữ liệu bằng số nhận dạng nhân tạo.
Các định danh nhân tạo này chính là các biệt danh.
Sử dụng mã thông báo ( Tokenization)
Tokenization là sử dụng một mã thông báo (token), thường là một chuỗi ký tự
ngẫu nhiên, để thay thế dữ liệu khác. Nó thường được sử dụng với các giao dịch
thẻ tín dụng.
Ví dụ, hãy tưởng tượng rằng Becky Smith đã liên kết một thẻ tín dụng với điện
thoại thông minh của cô ấy. Việc sử dụng mã thông báo với một thẻ tín dụng
thường hoạt động như sau:
Đăng ký (Registration) Lần đầu tiên, khi cô ấy liên kết thẻ tín dụng với
điện thoại thông minh của mình, một ứng dụng trên điện thoại đã gửi số
thẻ tín dụng đến bộ xử lý thẻ tín dụng một cách bảo mật. Bộ xử lý thẻ tín
dụng đã gửi thẻ tín dụng đến một kho mã thông báo do bộ xử lý thẻ tín
dụng kiểm soát. Kho này tạo ra một mã thông báo (một chuỗi ký tự) và
ghi lại mã thông báo cùng với số thẻ tín dụng được mã hóa và liên kết nó
với điện thoại của người dùng.
Sử dụng (Usage) Sau đó, Becky đến một cửa hàng Starbucks và mua một
ít cà phê bằng điện thoại thông minh của cô ấy. Điện thoại thông minh
của cô ấy chuyển mã thông báo đến hệ thống điểm-bán-hàng (POS). Hệ
thống POS gửi mã thông báo đến bộ xử lý thẻ tín dụng để cho phép tính
phí.
Xác minh (Validation) Bộ xử lý thẻ tín dụng gửi mã thông báo đến kho
mã thông báo. Kho mã thông báo trả lời bằng dữ liệu thẻ tín dụng chưa
được mã hóa và bộ xử lý thẻ tín dụng sau đó sẽ xử lý khoản phí.
Hoàn tất việc bán hàng (Completing the Sale) Bộ xử lý thẻ tín dụng
gửi trả lời đến hệ thống POS cho biết khoản phí đã được chấp thuận và
ghi có cho người bán đối với giao dịch mua.
Trong quá khứ, dữ liệu thẻ tín dụng đã bị chặn lại và đánh cắp tại hệ thống POS.
Tuy nhiên, khi mã thông báo được sử dụng, số thẻ tín dụng không bao giờ được
408 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
sử dụng hoặc được biết đến với hệ thống POS. Người dùng chuyển nó một lần
đến bộ xử lý thẻ tín dụng và bộ xử lý thẻ tín dụng lưu lại một bản sao đã được
mã hóa của dữ liệu thẻ tín dụng cùng với một mã thông báo khớp với thẻ tín
dụng này. Sau đó, người dùng xuất trình mã thông báo và b ộ xử lý thẻ tín dụng
xác thực mã thông báo thông qua kho mã thông báo.
Các trang thương mại điện tử có phí định kỳ cũng sử dụng mã thông báo. Thay
vì trang thương mại điện tử thu thập và lưu trữ dữ liệu về thẻ tín dụng, trang
này sẽ lấy mã thông báo từ bộ xử lý thẻ tín dụng. Bộ xử lý thẻ tín dụng tạo ra
mã thông báo, lưu trữ bản sao đã được mã hóa của dữ liệu thẻ tín dụng và xử
lý tính phí giống như cách thực hiện đối với hệ thống POS. Tuy nhiên, trang
thương mại điện tử không giữ bất kỳ dữ liệu nhạy cảm nào. Ngay cả khi kẻ tấn
công lấy được mã thông báo và cố gắng sử dụng nó, nó sẽ thất bại vì các khoản
phí chỉ được chấp nhận từ trang thương mại điện tử.
Sử dụng mã thông báo cũng tương t ự như sử dụng biệt danh.
Pseudonymization sử dụng biệt danh để đại diện cho các dữ liệu
khác. Tokenization hóa sử dụng mã thông báo để đại diện cho dữ
liệu khác. Cả biệt danh và mã thông báo đều không có bất kỳ ý
nghĩa hoặc giá trị nào bên ngoài quy trình t ạo ra chúng và liên
kết chúng với dữ liệu khác. Biệt danh hữu ích nhất khi phát hành
một tập dữ liệu cho bên thứ ba (chẳng hạn như các nhà nghiên
cứu tổng hợp dữ liệu) mà không tiết lộ bất kỳ dữ liệu quyền riêng
tư nào cho bên thứ ba. Mã thông báo cho phép bên th ứ ba (chẳng
hạn như một bộ xử lý thẻ tín dụng) biết mã thông báo và dữ liệu
gốc. Tuy nhiên, không ai khác biết được đồng thời cả mã thông
báo và dữ liệu gốc.
Sử dụng ẩn danh (Anonymization)
Nếu bạn không cần đến dữ liệu cá nhân, một tùy chọn khác là sử dụng tính năng
ẩn danh. Ẩn danh là quá trình loại bỏ tất cả dữ liệu có liên quan để về mặt lý
thuyết là không thể xác định chủ thể hoặc cá nhân ban đầu. Nếu được thực hiện
một cách hiệu quả, GDPR không còn phù hợp với dữ liệu ẩn danh nữa. Tuy nhiên,
có thể rất khó để thực sự ẩn danh được dữ liệu. Các kỹ thuật suy luận dữ liệu
409 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
có thể xác định các cá nhân, ngay cả khi dữ liệu cá nhân đã được loại bỏ. Điều
này đôi khi được gọi là xác định lại dữ liệu bị ẩn danh.
Ví dụ, hãy xem xét một cơ sở dữ liệu bao gồm một danh sách chứa tất cả các
diễn viên đã đóng vai chính hoặc đóng chung trong các b ộ phim trong 75 năm
qua, cùng với số tiền họ kiếm được cho mỗi bộ phim. Cơ sở dữ liệu có ba bảng.
Bảng Diễn viên bao gồm tên diễn viên, bảng Phim liệt kê tên phim và bảng Thanh
toán báo cáo số tiền mà mỗi diễn viên kiếm được cho mỗi bộ phim. Ba bảng được
liên kết với nhau để bạn có thể truy vấn cơ sở dữ liệu và dễ dàng xác định số
tiền mà bất kỳ diễn viên nào kiếm được cho bất kỳ bộ phim nào.
Nếu bạn đã xóa các tên khỏi bảng Diễn viên, bảng này sẽ không còn bao gồm
dữ liệu cá nhân nữa nhưng không thực sự được ẩn danh. Ví dụ, Gene Hackman
đã tham gia hơn 70 bộ phim và không có diễn viên nào khác tham gia tất cả các
bộ phim tương tự. Nếu bạn xác định được những bộ phim đó, bây giờ bạn có thể
truy vấn cơ sở dữ liệu và tìm hiểu chính xác số tiền anh ấy kiếm được cho mỗi
bộ phim đó. Mặc dù tên của anh ấy đã được loại bỏ khỏi cơ sở dữ liệu và đó là
dữ liệu cá nhân rõ ràng duy nhất trong cơ sở dữ liệu, các kỹ thuật suy luận dữ
liệu có thể xác định các bản ghi áp dụng cho anh ấy.
Tạo ra mặt nạ ngẫu nhiên có thể là một phương pháp ẩn danh dữ liệu hiệu quả.
Mặt nạ hoán đổi dữ liệu trong các cột dữ liệu riêng lẻ để các bản ghi không còn
đại diện cho dữ liệu thực tế. Tuy nhiên, dữ liệu vẫn duy trì các giá trị tổng hợp
có thể được sử dụng cho các mục đích khác, chẳng hạn như mục đích khoa học.
Ví dụ, Bảng 5.2 cho thấy bốn bản ghi trong cơ sở dữ liệu với các giá trị ban đầu.
Một ví dụ về dữ liệu tổng hợp là độ tuổi trung bình của bốn người, là 29.
BẢNG 5.2 Dữ liệu chưa được điều chỉnh trong một cơ sở dữ liệu
Tên
Họ
Tuổi
Joe
Smith
25
Sally
Jones
28
Bob
Johnson
37
Maria
Doe
26
410 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bảng 5.3 thể hiện các bản ghi sau khi dữ liệu đã được hoán đổi xung quanh, che
đi dữ liệu gốc một cách hiệu quả. Lưu ý rằng đây sẽ trở thành một tập hợp ngẫu
nhiên của tên, một tập hợp ngẫu nhiên của họ và một tập hợp ngẫu nhiên của
tuổi. Nó trông giống như dữ liệu thực, nhưng không có cột nào liên quan đến
nhau. Tuy nhiên, vẫn có thể lấy dữ liệu tổng hợp từ bảng. Độ tuổi trung bình
vẫn là 29.
BẢNG 5.3 Dữ liệu đã được ẩn
Tên
Họ
Tuổi
Sally
Doe
37
Maria
Johnson
25
Bob
Smith
28
Joe
Jones
26
Một ai đó quen thuộc với tập dữ liệu có thể có khă năng tái cấu trúc một số dữ
liệu nếu như bảng chỉ có 3 cột và 4 bản ghi. Tuy nhiên, đây vẫn là một phương
pháp hiệu quả về ẩn danh dữ liệu nếu như bảng biểu có hàng tá cột và hàng
nghìn bản ghi.
Không giống như sử dụng biệt danh và mã thông báo, ẩn danh không thể được
đảo ngược. Sau khi dữ liệu đã được ngẫu nhiên hóa bằng cách sử dụng một quy
trình ẩn danh, nó không thể được trả về trạng thái ban đầu.
Hiểu về các Vai trò (đối với) Dữ liệu
Nhiều người trong tổ chức quản lý, xử lý và sử dụng dữ liệu và họ sẽ có các yêu
cầu khác nhau dựa trên vai trò của họ. Những tài liệu khác nhau đề cập đến
những vai trò này hơi khác nhau một chút. Một số thuật ngữ bạn có thể thấy
khớp với thuật ngữ được sử dụng trong một số tài liệu NIST và các thuật ngữ
khác khớp với một số thuật ngữ được sử dụng trong GDPR của Liên minh Châu
Âu. Khi thích hợp, chúng tôi đã liệt kê nguồn để bạn có thể tìm hiểu sâu hơn
một chút về các thuật ngữ này nếu muốn.
411 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Một trong những khái niệm quan trọng nhất ở đây là đảm bảo rằng nhân sự biết
ai là người sở hữu thông tin và tài sản. Chủ sở hữu có trách nhiệm chính trong
việc bảo vệ dữ liệu và tài sản.
Chủ sở hữu Dữ liệu (Data Owner)
Chủ sở hữu dữ liệu (đôi khi được gọi là chủ sở hữu tổ chức hoặc nhà quản lý
cấp cao) là người có trách nhiệm mang tính tổ chức cuối cùng về dữ liệu. Chủ
sở hữu thường là giám đốc điều hành (CEO), chủ tịch hoặc trưởng bộ phận
(department head - DH). Chủ sở hữu dữ liệu xác định phân loại của dữ liệu và
đảm bảo rằng nó đã được gắn nhãn đúng cách. Họ cũng đảm bảo rằng tổ chức
có các biện pháp kiểm soát bảo mật đầy đủ dựa trên phân loại và các yêu cầu
về chính sách bảo mật của tổ chức. Chủ sở hữu có thể phải chịu trách nhiệm về
sự sơ suất nếu họ không thực hiện trách nhiệm giải trình trong việc thiết lập và
thực thi các chính sách bảo mật để bảo vệ và duy trì dữ liệu nhạy cảm.
NIST SP 800-18 Rev. 1, “Hướng dẫn Phát triển Kế hoạch Bảo mật cho Hệ thống
Thông tin Liên bang (Guide for Developing Security Plans for Federal Information
Systems)” nêu ra những trách nhiệm sau đây đối với chủ sở hữu thông tin, vốn
có thể được hiểu giống như chủ sở hữu dữ liệu:
▪
Xác lập các quy tắc để sử dụng và bảo vệ một cách thích hợp dữ liệu/thông
tin của chủ thể (các quy tắc hành vi).
▪
Cung cấp thông tin đầu vào cho chủ sở hữu hệ thống thông tin liên quan
đến các yêu cầu bảo mật và biện pháp kiểm soát bảo mật đối với (các) hệ
thống thông tin nơi thông tin đang lưu trú.
▪
Quyết định xem ai có quyền truy cập vào hệ thống thông tin và với những
loại đặc quyền hoặc quyền truy cập nào.
▪
Hỗ trợ xác định và đánh giá các biện pháp kiểm soát bảo mật chung nơi
thông tin đang lưu trú.
412 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
NIST SP 800-18 thường sử dụng cụm từ “quy tắc hành vi”, vốn
tương tự như chính sách sử dụng có thể được chấp thuận (AUP).
Cả hai đều nêu rõ trách nhiệm và hành vi mong đợi của các cá
nhân và nêu hậu quả của việc không tuân thủ các quy tắc hoặc
AUP. Ngoài ra, các cá nhân được yêu cầu định kỳ xác nhận rằng
họ đã đọc, hiểu và đồng ý tuân theo các quy tắc hoặc AUP. Nhiều
tổ chức đăng những điều này trên một trang web và cho phép
người dùng thừa nhận rằng họ hiểu và đồng ý tuân theo chúng
bằng cách sử dụng chữ ký số điện tử trực tuyến.
Chủ sở hữu Tài sản
Chủ sở hữu tài sản (hoặc chủ sở hữu hệ thống) là cá nhân sở hữu tài sản hoặc
hệ thống đang xử lý những dữ liệu nhạy cảm. NIST SP 800-18 nêu ra những trách
nhiệm sau đối với chủ sở hữu hệ thống:
▪
Phát triển một kế hoạch bảo mật hệ thống cùng phối hợp với chủ sở hữu
thông tin, quản trị viên hệ thống và người dùng đầu cuối của chức năng.
▪
Duy trì kế hoạch bảo mật hệ thống và đảm bảo rằng hệ thống đã được
triển khai và vận hành theo các yêu cầu bảo mật đã thống-nhất.
▪
Đảm bảo rằng người dùng hệ thống và nhân viên hỗ trợ được đào tạo thích
hợp về bảo mật, chẳng hạn như hướng dẫn về các quy tắc hành vi (hoặc
AUP).
▪
Cập nhật kế hoạch bảo mật hệ thống bất cứ khi nào diễn ra một thay đổi
quan trọng.
▪
Hỗ trợ xác định, triển khai và đánh giá các biện pháp kiểm soát bảo mật
chung.
Thông thường, chủ sở hữu hệ thống và chủ sở hữu dữ liệu là cùng một người,
nhưng đôi khi cũng có thể là người khác, chẳng hạn như một trưởng bộ phận
khác (DH). Ví dụ, hãy xem xét một máy chủ web được sử dụng cho thương mại
điện tử đang có tương tác với một máy chủ cơ sở dữ liệu ở phía-sau (back-end).
Bộ phận phát triển phần mềm có thể thực hiện việc phát triển cơ sở dữ liệu và
quản trị cơ sở dữ liệu cho cơ sở dữ liệu và máy chủ cơ sở dữ liệu, nhưng bộ
phận CNTT sẽ duy trì máy chủ web. Trong trường hợp này, DH của bộ phận phát
413 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
triển phần mềm là chủ sở hữu hệ thống cho máy chủ cơ sở dữ liệu và DH CNTT
là chủ sở hữu hệ thống cho máy chủ web. Tuy nhiên, nếu các nhà phát triển
phần mềm làm việc trong bộ phận CNTT, DH CNTT sẽ là chủ sở hữu hệ thống cho
cả hai hệ thống.
Chủ sở hữu hệ thống chịu trách nhiệm cho việc đảm bảo rằng dữ liệu được xử lý
trên hệ thống vẫn được bảo mật. Điều này bao gồm việc xác định mức dữ liệu
cao nhất mà hệ thống đang xử lý. Sau đó, chủ sở hữu hệ thống đảm bảo rằng
hệ thống được dán nhãn một cách chính xác và có các biện pháp kiểm soát bảo
mật thích hợp để bảo vệ dữ liệu. Chủ sở hữu hệ thống tương tác với chủ sở hữu
dữ liệu để đảm bảo rằng dữ liệu được bảo vệ khi ở trạng thái nghỉ trên hệ thống,
khi truyền đi giữa các hệ thống và đang được sử dụng bởi các ứng dụng hoạt
động trên hệ thống.
Chủ sở hữu hệ thống và chủ sở hữu dữ liệu là nhân sự cấp cao trong một tổ
chức. Do đó, các nhóm quản lý thường bao gồm chủ sở hữu hệ thống và dữ liệu.
Điều này đặc biệt hữu ích khi một hệ thống có một chủ sở hữu đối với hệ thống
và một chủ sở hữu khác đối với dữ liệu.
Chủ sở hữu Doanh nghiệp/Nhiệm vụ
Vai trò chủ sở hữu doanh nghiệp/nhiệm vụ được nhìn nhận một cách khác nhau
trong các tổ chức khác nhau. NIST SP 800-18 đề cập đến chủ sở hữu doanh
nghiệp/nhiệm vụ với tư cách là một nhà quản lý chương trình hoặc chủ sở hữu
hệ thống thông tin. Do đó, trách nhiệm của chủ sở hữu doanh nghiệp/nhiệm vụ
có thể trùng lặp với trách nhiệm của chủ sở hữu hệ thống hoặc có vai trò tương
tự.
Chủ sở hữu doanh nghiệp có thể sở hữu các quy trình sử dụng hệ thống được
quản lý bởi các tổ chức khác. Ví dụ, bộ phận bán hàng có thể là chủ sở hữu
doanh nghiệp, nhưng bộ phận CNTT và bộ phận phát triển phần mềm có thể là
chủ sở hữu hệ thống đối với các hệ thống được sử dụng trong quy trình bán
hàng. Hãy tưởng tượng rằng bộ phận bán hàng tập trung vào bán hàng trực
tuyến bằng cách sử dụng trang web thương mại điện tử và trang web truy cập
vào một máy chủ cơ sở dữ liệu phía-sau. Như trong ví dụ trước, bộ phận CNTT
quản lý máy chủ web với tư cách là chủ sở hữu hệ thống của nó, và bộ phận
414 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
phát triển phần mềm duy trì máy chủ cơ sở dữ liệu với tư cách là chủ sở hữu hệ
thống của nó. Mặc dù bộ phận bán hàng không sở hữu các hệ thống này, nhưng
bộ phận này sở hữu các quy trình kinh doanh t ạo ra doanh s ố bán hàng bằng
cách sử dụng các hệ thống này.
Trong các doanh nghiệp, chủ sở hữu doanh nghiệp có trách nhiệm đảm bảo rằng
các hệ thống mang lại giá trị cho tổ chức. Điều này nghe có vẻ hiển nhiên. Tuy
nhiên, hãy so sánh điều này với các bộ phận CNTT. Nếu có bất kỳ cuộc tấn công
hoặc vụ vi phạm dữ liệu thành công nào, lỗi có thể thuộc về họ [các bộ phận
CNTT]. Các bộ phận CNTT thường đề xuất các biện pháp kiểm soát bảo mật hoặc
các hệ thống không mang lại giá trị tức thì cho tổ chức nhưng làm giảm rủi ro
tổng thể. Chủ sở hữu doanh nghiệp chịu trách nhiệm đánh giá các đề xuất này
và có thể quyết định rằng tổn thất tiềm ẩn liên quan đến rủi ro mà họ loại bỏ
sẽ nhỏ hơn tổn thất doanh thu mà những rủi ro sẽ gây ra.
Một cách khác để xem xét điều này là bằng cách so sánh xung đ ột giữa các trung
tâm chi phí và trung tâm lợi nhuận. Bộ phận CNTT không tạo ra doanh thu. Thay
vào đó, nó là một trung tâm chi phí gây ra chi phí. Ngược lại, phía kinh doanh
tạo ra doanh thu là trung tâm lợi nhuận. Chi phí do bộ phận CNTT tạo ra có thể
giảm rủi ro, nhưng chúng ăn mòn l ợi nhuận do phía kinh doanh tạo ra. Phía
doanh nghiệp có thể xem bộ phận IT đang tiêu tiền, làm giảm lợi nhuận và khó
tạo ra lợi nhuận hơn cho doanh nghiệp. Tương tự, bộ phận CNTT có thể nghĩ
rằng phía doanh nghiệp không quan tâm đến việc giảm thiểu rủi ro, ít nhất là
cho đến khi một sự cố bảo mật tốn kém xảy ra.
Các tổ chức thường triển khai các phương pháp quản trị CNTT như Mục tiêu Kiểm
soát đối với Thông tin và Công nghệ Liên quan (COBIT). Những phương pháp này
giúp chủ sở hữu doanh nghiệp và chủ sở hữu nhiệm vụ cân bằng các yêu cầu
kiểm soát bảo mật với các nhu cầu kinh doanh hoặc nhu cầu nhiệm vụ. Mục tiêu
chung là cung cấp một ngôn ngữ chung mà tất cả các bên liên quan có thể sử
dụng để đáp ứng các nhu cầu về bảo mật và nhu cầu về kinh doanh.
Bộ Xử lý Dữ liệu và Người Kiểm soát Dữ liệu
Nói chung, một bộ xử lý dữ liệu là bất kỳ hệ thống nào được sử dụng để xử lý
dữ liệu. Tuy nhiên, trong bối cảnh của GDPR, bộ xử lý dữ liệu có một ý nghĩa cụ
415 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thể hơn. GDPR định nghĩa một bộ xử lý dữ liệu là “một cá nhân về mặt bản chất
hoặc pháp lý, cơ quan công quyền, cơ quan chính phủ hoặc cơ quan khác, đang
xử lý dữ liệu cá nhân chỉ thay mặt cho người kiểm soát dữ liệu”.
Theo ngữ cảnh này, người kiểm soát dữ liệu là cá nhân hoặc thực thể kiểm soát
quá trình xử lý dữ liệu. Người kiểm soát dữ liệu quyết định những dữ liệu nào
được xử lý, tại sao dữ liệu này nên được xử lý và cách thức nó được xử lý.
Ví dụ, một công ty đang thu thập thông tin cá nhân của nhân viên để tính lương
là một người kiểm soát dữ liệu. Nếu họ chuyển những thông tin này cho một
công ty bên-thứ-ba để xử lý tính lương, công ty tính lương là người xử lý dữ
liệu. Trong ví dụ này, công ty tính lương (người xử lý dữ liệu) không được sử
dụng dữ liệu cho bất kỳ việc gì khác ngoài việc xử lý bảng tính lương theo chỉ
đạo của người kiểm soát dữ liệu.
GDPR hạn chế việc truyền dữ liệu cho các quốc gia nằm ngoài EU. Các công ty
vi phạm các quy tắc về quyền riêng tư trong GDPR có thể đối mặt với các khoản
phạt lên đến 4% doanh thu toàn cầu của họ. Thật không may, nó chứa đầy ngôn
ngữ của luật sư, gây ra nhiều thách thức cho các tổ chức. Ví dụ, điều khoản 107
bao gồm một mệnh đề đơn sau đây:
Do đó, việc chuyển giao dữ liệu cá nhân cho quốc gia thứ ba hoặc
tổ chức quốc tế đó nên được nghiêm cấm, trừ khi các yêu cầu trong
Quy định này liên quan đến việc chuyển giao tuân theo các biện pháp
bảo vệ thích hợp, bao gồm các quy tắc ràng buộc của công ty và các
vi phạm đối với các tình huống cụ thể được thực hiện.
Kết quả là nhiều tổ chức đã tạo ra những vai trò chuyên trách, chẳng hạn như
chuyên viên bảo mật dữ liệu, để giám sát việc kiểm soát dữ liệu và đảm bảo tổ
chức tuân thủ tất cả các luật lệ và quy định có liên quan. GDPR đã bắt buộc vai
trò của chuyên viên bảo vệ dữ liệu cho bất kỳ tổ chức nào phải tuân thủ GDPR.
Cá nhân với vai trò này chịu trách nhiệm cho việc đảm bảo tổ chức đang áp dụng
luật lệ để bảo vệ dữ liệu riêng tư của các cá nhân.
416 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Người Bảo quản Dữ liệu
Chủ sở hữu dữ liệu thường ủy thác các nhiệm vụ hàng-ngày cho người bảo quản
dữ liệu. Người bảo quản giúp bảo vệ tính toàn vẹn và bảo mật của dữ liệu bằng
cách đảm bảo rằng dữ liệu đã được lưu trữ và bảo vệ một cách đúng đắn. Ví dụ,
người bảo quản sẽ đảm bảo rằng dữ liệu được sao lưu bằng cách tuân theo các
nguyên tắc trong chính sách sao lưu. Nếu quản trị viên đã thiết lập cấu hình
kiểm toán dữ liệu, người bảo quản cũng sẽ duy trì các nhật ký này.
Trong thực tế, nhân sự trong bộ phận CNTT hoặc các quản trị viên bảo mật hệ
thống thường là người bảo quản. Họ có thể là các quản trị viên giống nhau chịu
trách nhiệm chỉ định các quyền đối với dữ liệu.
Quản trị viên
Bạn sẽ thường nghe thấy thuật ngữ (các) quản trị viên. Tuy nhiên, thuật ngữ
này có nghĩa là những điều khác nhau trong các ngữ cảnh khác nhau. Nếu Sally
đăng nhập vào tài khoản Quản trị viên trong hệ thống Windows, cô ấy là một
quản
trị
viên.
Tương
tự,
bất
kỳ
ai
được
thêm
vào
nhóm
Quản
trị
viên
(Administrators) trong Windows cũng là một quản trị viên.
Tuy nhiên, rất nhiều tổ chức xem bất kỳ ai có những đặc quyền được nâng cao
là những quản trị viên, thậm chí ngay cả khi họ không có toàn bộ đặc quyền
quản trị viên. Ví dụ, nhân viên hỗ trợ dịch vụ được cấp một số đặc quyền được
nâng cao để thực hiện công việc của họ nhưng không được cấp toàn bộ đặc
quyền quản trị viên. Theo ngữ cảnh này, thỉnh thoảng họ được gọi là các quản
trị viên. Trong bối cảnh các vai trò dữ liệu, một quản trị viên dữ liệu có thể là
một người bảo quản dữ liệu hoặc một ai đó trong một vai trò dữ liệu khác.
Người dùng và Đối tượng
Người dùng là bất kỳ cá nhân nào truy cập vào dữ liệu thông qua hệ thống máy
tính để hoàn thành nhiệm vụ công việc. Người dùng chỉ nên có quyền truy cập
vào dữ liệu mà họ cần để thực hiện các nhiệm vụ công việc của mình. Bạn cũng
có thể coi người dùng là nhân viên hoặc người dùng đầu cuối.
Người dùng thuộc một loại đối tượng rộng hơn, được thảo luận kỹ hơn trong
Chương 8, “Các Nguyên tắc về Mô hình, Thiết kế và Năng lực Bảo mật” và Chương
417 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
13. Một chủ thể là bất kỳ thực thể nào truy cập vào một đối tượng như tập tin
hoặc thư mục. Chủ thể có thể là người dùng, các chương trình, quy trình, d ịch
vụ, máy tính hoặc bất kỳ thứ gì khác có thể truy cập vào tài nguyên.
GDPR xác định một chủ thể dữ liệu (data chủ thể) (không chỉ một chủ thể) là
một người có thể được xác định thông qua một bộ nhận dạng, chẳng hạn như
tên, mã số nhận dạng hoặc các phương tiện khác. Ví dụ, nếu một tập tin bao
gồm PII về Sally Smith thì Sally Smith là ch ủ thể dữ liệu.
Sử dụng các Đường cơ sở Bảo mật
Một khi một tổ chức đã xác định và phân loại được tài sản của mình, thông
thường tổ chức sẽ muốn bảo mật chúng. Đó là nơi các đường cơ sở bảo mật xuất
hiện. Các đường cơ sở cung cấp một điểm khởi đầu và đảm bảo một tiêu chuẩn
bảo mật tối thiểu. Một đường cơ sở phổ biến mà các tổ chức sử dụng là tạo hình
ảnh. Chương 16 sẽ trình bày sâu hơn về việc tạo ra hình ảnh trong bối cảnh
quản lý cấu hình. Như phần giới thiệu, quản trị viên thiết lập cấu hình một hệ
thống duy nhất với các cài đặt mong muốn, chụp nó lại dưới dạng một hình ảnh,
sau đó triển khai hình ảnh này cho các hệ thống khác. Điều này đảm bảo rằng
các hệ thống được triển khai với một trạng thái bảo mật tương tự, giúp bảo vệ
tính riêng tư của dữ liệu.
Sau khi triển khai các hệ thống ở một trạng thái bảo mật, các quy trình kiểm
toán sẽ kiểm tra hệ thống một cách định kỳ để đảm bảo chúng luôn ở trạng thái
bảo mật. Ví dụ, Microsoft Group Policy có th ể kiểm tra hệ thống một cách định
kỳ và áp dụng lại các cài đặt để phù hợp với đường cơ sở.
NIST SP 800-53 Rev. 5, “Các Biện pháp kiểm soát Bảo mật và Quyền riêng tư
dành cho các Hệ thống và Tổ chức Thông tin”, đề cập đến các đường cơ sở kiểm
soát bảo mật và xác định chúng như một tập hợp các biện pháp kiểm soát bảo
mật tối thiểu được xác định cho một hệ thống thông tin. Nó nhấn mạnh rằng một
bộ kiểm soát bảo mật duy nhất không áp dụng cho tất cả các tình huống. Tuy
nhiên, bất kỳ tổ chức nào cũng có thể chọn một tập hợp các đường cơ sở kiểm
soát bảo mật và điều chỉnh đường cơ sở theo nhu cầu của mình. NIST SP 80053B, “Đường cơ sở Kiểm soát dành cho Hệ thống Thông tin và Tổ chức”, bao gồm
một danh sách toàn diện các biện pháp kiểm soát bảo mật và đã xác định nhiều
418 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
trong số chúng để đưa vào các đường cơ sở khác nhau. Cụ thể, họ đưa ra bốn
đường cơ sở dựa trên tác động tiềm tàng đối với sứ mệnh của tổ chức nếu mất
tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng của một hệ thống. Bốn đường cơ
sở bao gồm:
Các Đường cơ sở có Tác-động-Thấp Các biện pháp kiểm soát trong
đường cơ sở này được khuyến nghị nếu việc mất tính bảo mật, tính toàn
vẹn hoặc tính sẵn sàng sẽ có tác động thấp đến sứ mệnh của tổ chức.
Các Đường cơ sở có Tác-động-Trung-bình Các biện pháp kiểm soát
trong đường cơ sở này được khuyến nghị nếu việc mất tính bảo mật, tính
toàn vẹn hoặc tính sẵn sàng sẽ có tác động trung bình đến sứ mệnh của
tổ chức.
Các Đường cơ sở có Tác-động-Cao Các biện pháp kiểm soát trong đường
cơ sở này được khuyến nghị nếu việc mất tính bảo mật, tính toàn vẹn hoặc
tính sẵn sàng sẽ có tác động lớn đến sứ mệnh của tổ chức.
Các Đường cơ sở Kiểm soát Quyền riêng tư Đường cơ sở này cung cấp
một đường cơ sở khởi đầu cho bất kỳ hệ thống nào đang xử lý PII. Các tổ
chức có thể kết hợp đường cơ sở này với một trong số các đường cơ sở
khác.
Những đường cơ sở này đề cập đến tác động tiềm ẩn trong trường hợp xấu-nhất
nếu hệ thống bị xâm nhập và vi phạm dữ liệu xảy ra. Ví dụ, hãy tưởng tượng
một hệ thống đã bị xâm phạm. Bạn sẽ cố gắng dự đoán tác động của sự xâm
phạm đối với tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống và
bất kỳ dữ liệu nào mà nó đang nắm giữ:
▪
Nếu xâm phạm này khiến dữ liệu về quyền riêng tư bị xâm phạm, bạn sẽ
cân nhắc việc bổ sung thêm các biện pháp kiểm soát bảo mật được xác
định là các hạng mục đường cơ sở kiểm soát quyền riêng tư vào đường cơ
sở của mình.
▪
Nếu tác động là thấp, bạn sẽ cân nhắc việc bổ sung thêm các biện pháp
kiểm soát bảo mật được xác định là các kiểm soát tác động thấp vào đường
cơ sở của bạn.
419 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Nếu tác động của xâm phạm này là trung bình, bạn sẽ cân nhắc bổ sung
thêm các biện pháp kiểm soát bảo mật được xác định là có tác động trung
bình, ngoài các kiểm soát có tác động thấp.
▪
Nếu tác động là cao, bạn sẽ cân nhắc thêm tất cả các biện pháp kiểm soát
được liệt kê là có tác động cao ngoài các kiểm soát tác động thấp và tác
động trung bình.
Cần lưu ý rằng nhiều mục trong các danh sách này là những thông lệ bảo mật
cơ bản. Ngoài ra, việc triển khai các nguyên tắc bảo mật cơ bản như nguyên tắc
đặc quyền ít nhất sẽ không gây ngạc nhiên cho bất kỳ ai đang về nghiên cứu kỳ
thi CISSP. Tất nhiên, chỉ vì đây là các phương pháp bảo mật cơ bản không có
nghĩa là các tổ chức sẽ triển khai chúng. Thật không may, nhiều tổ chức vẫn
chưa phát hiện ra hoặc thực thi những điều cơ bản.
So sánh Việc Điều chỉnh và Xác lập phạm vi
Sau khi lựa chọn một đường cơ sở kiểm soát, các tổ chức sẽ tinh chỉnh nó bằng
các quy trình điều chỉnh và xác định phạm vi. Một phần quan trọng của quá trình
điều chỉnh là việc liên kết các biện pháp kiểm soát với các yêu cầu bảo mật cụ
thể của tổ chức. Để so sánh, hãy nghĩ đến một người thợ may quần áo, người
thay đổi hoặc sửa quần áo. Nếu một người mua một bộ quần áo ở một cửa hàng
bán lẻ cao-cấp, một người thợ may sẽ điều chỉnh bộ quần áo này để vừa vặn với
người đó. Tương tự, việc điều chỉnh một đường cơ sở đảm bảo nó phù hợp với
tổ chức.
Điều chỉnh đề cập đến việc sửa đổi danh sách các biện pháp kiểm soát bảo mật
trong một đường cơ sở để phù hợp với sứ mệnh của tổ chức. NIST SP 800-53B
chính thức định nghĩa nó là “một phần của quy trình quản lý rủi ro trên phạm vi
toàn-tổ-chức bao gồm việc lập khung, đánh giá, phản hồi và giám sát các rủi ro
về quyền riêng tư và bảo mật thông tin” và chỉ ra rằng nó bao gồm những hoạt
động sau:
▪
Xác định và chỉ định các biện pháp kiểm soát chung,
▪
Áp dụng các cân nhắc về phạm vi,
▪
Lựa chọn các biện pháp kiểm soát bù trừ,
▪
Chỉ định giá trị của biện pháp kiểm soát.
420 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Đường cơ sở đã được chọn có thể không bao g ồm các biện pháp kiểm soát thường
được triển khai. Tuy nhiên, chỉ vì kiểm soát bảo mật không có trong đường cơ
sở không có nghĩa là nó nên b ị loại bỏ. Ví dụ, hãy tưởng tượng rằng một trung
tâm dữ liệu bao gồm các máy quay video để quan sát lối vào bên ngoài, lối ra
bên trong và mọi hàng máy chủ, nhưng đường cơ sở chỉ đề xuất một máy quay
video quan sát lối vào bên ngoài. Trong quá trình điều chỉnh, nhân viên sẽ đánh
giá các camera phụ này và xác định xem chúng có cần thiết hay không. Họ có
thể quyết định loại bỏ một số để tiết kiệm chi phí hoặc giữ lại chúng.
Một tổ chức có thể quyết định rằng một tập hợp các biện pháp kiểm soát cơ bản
áp dụng hoàn hảo cho các máy tính ở vị trí trung tâm của họ, nhưng một số biện
pháp kiểm soát không phù hợp hoặc không khả thi ở một vị trí văn phòng ở xa.
Trong tình huống này, tổ chức có thể chọn các biện pháp kiểm soát an ninh bù
trừ để điều chỉnh đường cơ sở cho phù hợp với địa điểm từ xa. Ví dụ khác, hãy
tưởng tượng chính sách khóa tài khoản được đặt để khóa người dùng nếu họ
nhập sai mật khẩu năm lần. Trong ví dụ này, giá trị của biện pháp kiểm soát là
5, nhưng quá trình điều chỉnh có thể thay đổi giá trị đó thành 3.
Xác định phạm vi là một phần của quy trình điều chỉnh và đề cập đến việc xem
xét một danh sách các biện pháp kiểm soát bảo mật cơ bản và chỉ chọn những
kiểm soát áp dụng cho hệ thống CNTT mà bạn đang cố gắng bảo vệ. Hoặc, theo
cách đơn giản nhất, các quy trình xác đ ịnh phạm vi loại bỏ các biện pháp kiểm
soát đã được khuyến nghị trong một đường cơ sở. Ví dụ, nếu một hệ thống không
cho phép bất kỳ hai người nào đăng nhập đồng thời thì sẽ không cần áp dụng
biện pháp kiểm soát phiên đồng thời. Trong phần này của quá trình điều chỉnh,
tổ chức xem xét mọi biện pháp kiểm soát trong đường cơ sở và bảo vệ một cách
mạnh mẽ (bằng văn bản) bất kỳ quyết định nào để bỏ qua một kiểm soát ra khỏi
đường cơ sở.
Lựa chọn các Tiêu chuẩn
Khi lựa chọn các biện pháp kiểm soát bảo mật trong phạm vi một đường cơ sở,
hoặc nói cách khác, các tổ chức cần phải đảm bảo rằng các biện pháp kiểm soát
đó tuân thủ các tiêu chuẩn bảo mật bên ngoài. Các yếu tố bên ngoài thường xác
định các yêu cầu bắt buộc đối với một tổ chức. Ví dụ, Tiêu chuẩn Bảo mật Dữ
421 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
liệu Ngành Thẻ Thanh toán (PCI DSS) xác đ ịnh các yêu cầu mà doanh nghiệp
phải tuân theo để xử lý các thẻ tín dụng trọng yếu. Tương tự, các tổ chức thu
thập hoặc xử lý dữ liệu thuộc về công dân EU bắt buộc phải tuân thủ các yêu
cầu trong GDPR.
Rõ ràng, không phải tất cả các tổ chức đều phải tuân thủ các tiêu chuẩn này.
Các tổ chức không xử lý giao dịch thẻ tín dụng không cần tuân thủ PCI DSS.
Tương tự, các tổ chức không thu thập hoặc xử lý dữ liệu của công dân của Liên
minh Châu Âu không cần phải tuân thủ các yêu cầu của GDPR. Các tổ chức cần
xác định các tiêu chuẩn để áp dụng và đảm bảo rằng các biện pháp kiểm soát
bảo mật mà họ lựa chọn hoàn toàn tuân thủ các tiêu chuẩn này.
Ngay cả khi tổ chức của bạn không bắt buộc phải tuân thủ một tiêu chuẩn cụ
thể về mặt pháp lý thì việc sử dụng một tiêu chuẩn cộng đồng được thiết kế tốt
có thể sẽ hữu ích. Ví dụ, các tổ chức chính phủ Hoa Kỳ được yêu cầu tuân thủ
nhiều tiêu chuẩn được công bố bởi các tài liệu NIST SP 800. Những tài liệu tương
tự này được sử dụng bởi rất nhiều tổ chức trong khu vực tư nhân để giúp họ
phát triển và triển khai các tiêu chuẩn bảo mật của riêng họ.
Tóm tắt
Bảo mật tài sản tập trung vào việc thu thập, xử lý và bảo vệ thông tin trong
toàn bộ vòng đời của nó. Điều này bao gồm những thông tin nhạy cảm được lưu
trữ hoặc xử lý trên hệ thống máy tính hoặc được truyền tải qua mạng và những
tài sản được sử dụng trong các quy trình này. Thông tin nh ạy cảm là bất kỳ
thông tin nào mà một tổ chức giữ kín và có thể bao gồm nhiều cấp độ phân loại.
Các phương pháp phá hủy phù hợp đảm bảo rằng dữ liệu không thể được truy
xuất lại sau khi đã phá hủy.
Các phương pháp bảo vệ dữ liệu bao gồm quản lý quyền kỹ thuật số (DRM) và
sử dụng trung gian bảo mật truy cập đám mây (CASB) khi sử dụng tài nguyên
đám mây. Các phương pháp DRM cố gắng bảo vệ các tài liệu có bản quyền. CASB
là phần mềm được đặt một cách logic giữa người dùng và tài nguyên dựa-trênđám-mây. Nó có thể đảm bảo rằng các tài nguyên đám mây có cùng s ự bảo vệ
với các tài nguyên trong một mạng. Các thực thể phải tuân thủ GDPR của Liên
422 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
minh Châu Âu sử dụng các phương pháp bảo vệ dữ liệu bổ sung như biệt danh,
mã hóa và ẩn danh.
Các cá nhân có thể đảm nhiệm nhiều vai trò khác nhau khi xử lý dữ liệu. Chủ sở
hữu dữ liệu chịu trách nhiệm cuối cùng trong việc phân loại, ghi nhãn và bảo vệ
dữ liệu. Chủ sở hữu hệ thống chịu trách nhiệm về hệ thống xử lý dữ liệu. GDPR
xác định người kiểm soát dữ liệu, người xử lý dữ liệu và người bảo quản dữ liệu.
Người kiểm soát dữ liệu quyết định dữ liệu nào cần được xử lý và xử lý như thế
nào. Người kiểm soát d ữ liệu có thể thuê một bên thứ ba để xử lý dữ liệu và
trong bối cảnh này, bên thứ ba là người xử lý dữ liệu. Người xử lý dữ liệu chịu
trách nhiệm bảo vệ tính riêng tư của dữ liệu và không được sử dụng dữ liệu đó
cho bất kỳ mục đích nào khác ngoài s ự chỉ dẫn của người kiểm soát dữ liệu.
Người bảo quản được giao trách nhiệm hàng-ngày đối với việc lưu trữ và bảo vệ
dữ liệu một cách đúng đắn.
Các đường cơ sở bảo mật cung cấp một tập hợp các biện pháp kiểm soát bảo
mật mà một tổ chức có thể triển khai như một điểm khởi đầu an toàn. Một số ấn
phẩm (chẳng hạn như NIST SP 800-53B) xác định các đường cơ sở kiểm soát bảo
mật. Tuy nhiên, những đường cơ sở này không áp dụng như nhau cho tất cả các
tổ chức. Thay vào đó, các t ổ chức sử dụng các kỹ thuật xác định phạm vi và
điều chỉnh để xác định các biện pháp kiểm soát an ninh cần triển khai sau khi
lựa chọn các đường cơ sở. Ngoài ra, các tổ chức đảm bảo rằng họ triển khai các
biện pháp kiểm soát bảo mật theo yêu cầu của các tiêu chuẩn bên ngoài áp dụng
cho tổ chức của họ.
Những điều thiết yếu cho Kỳ thi
Hiểu được tầm quan trọng của phân loại tài sản và dữ liệu. Chủ sở
hữu dữ liệu chịu trách nhiệm cho việc xác định phân loại dữ liệu và tài
sản và đảm bảo rằng dữ liệu và hệ thống được đánh dấu một cách thích
hợp. Ngoài ra, chủ sở hữu dữ liệu xác định các yêu cầu để bảo vệ dữ liệu
ở các mức phân loại khác nhau, chẳng hạn như mã hóa dữ liệu nhạy cảm
ở trạng thái đang được lưu trữ và khi truyền tải. Phân loại dữ liệu thường
được xác định trong các chính sách bảo mật hoặc chính sách dữ liệu.
423 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Xác định được PII và PHI. Thông tin nhân dạng cá nhân (PII) là bất kỳ
thông tin nào có thể nhận dạng một cá nhân. Thông tin về sức khỏe được
bảo vệ (PHI) là bất kỳ thông tin liên quan đến sức khỏe nào có thể liên
quan đến một cá nhân cụ thể. Nhiều luật và quy định bắt buộc bảo vệ PII
và PHI.
Biết được cách quản lý thông tin nhạy cảm. Thông tin nhạy cảm là bất
kỳ loại thông tin nào đã được phân loại, và việc quản lý thích hợp giúp
ngăn chặn việc tiết lộ trái phép dẫn đến mất tính bảo mật. Quản lý thích
hợp bao gồm đánh dấu, xử lý, lưu trữ và phá hủy thông tin nhạy cảm. Hai
lĩnh vực mà các tổ chức thường bỏ sót là bảo vệ đầy đủ phương tiện dự
phòng chứa thông tin nhạy cảm và làm sạch phương tiện hoặc thiết bị khi
nó kết thúc vòng đời.
Mô tả được ba trạng thái của dữ liệu. Ba trạng thái dữ liệu là ở trạng
thái đang lưu trữ, đang truyền tải và đang được sử dụng. Dữ liệu ở trạng
thái đang lưu trữ là bất kỳ dữ liệu nào được lưu trữ trên phương tiện như
ổ cứng hoặc phương tiện bên ngoài. Dữ liệu đang truyền tải là bất kỳ dữ
liệu nào đang được truyền qua mạng. Các phương pháp mã hóa b ảo vệ dữ
liệu ở trạng thái lưu trữ và đang truyền tải. Dữ liệu đang được sử dụng
đề cập đến dữ liệu trong bộ nhớ và được sử dụng bởi một ứng dụng. Các
ứng dụng nên xóa bộ đệm bộ nhớ để xóa dữ liệu sau khi nó không còn cần
thiết nữa.
Xác định được DLP. Hệ thống ngăn chặn mất dữ liệu (DLP) phát hiện và
ngăn chặn các nỗ lực xâm nhập dữ liệu bằng cách quét các tập tin chưa
được mã hóa và tìm kiếm các từ khóa và hình mẫu dữ liệu. Hệ thống dựatrên-mạng (bao gồm cả hệ thống dựa-trên-đám-mây) quét các tập tin trước
khi chúng rời khỏi mạng. Hệ thống dựa-trên-điểm-đầu-cuối ngăn người
dùng sao chép hoặc in một số tập tin.
So sánh được các phương pháp phá h ủy dữ liệu. Xóa (erasing) một
tập tin sẽ không xóa nó. Làm sạch phương tiện sẽ ghi đè lên nó bằng các
ký tự hoặc các bit. Thanh lọc lặp lại quá trình xóa nhiều lần và xóa dữ
liệu để phương tiện có thể được tái sử dụng. Khử từ xóa dữ liệu ra khỏi
424 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
băng từ và ổ đĩa cứng từ tính, nhưng nó không ảnh hưởng đến phương
tiện quang học hoặc SSD. Các phương pháp phá hủy bao gồm đốt, nghiền,
băm nhỏ và phân hủy.
Mô tả được dữ liệu còn lại. Dữ liệu còn lại là dữ liệu vẫn còn trên
phương tiện sau khi lẽ ra đã bị xóa. Ổ đĩa cứng đôi khi giữ lại từ thông
dư có thể đọc được bằng các công cụ tiên tiến. Các công cụ nâng cao có
thể đọc không gian chùng trên một ổ đĩa, đó là không gian chưa được sử
dụng trong các cụm (cluster). Việc xóa (erasing) dữ liệu trên đĩa khiến dữ
liệu vẫn còn tồn tại.
Hiểu được chính sách lưu giữ hồ sơ. Các chính sách lưu giữ hồ sơ đảm
bảo rằng dữ liệu được giữ ở trạng thái có thể sử dụng được khi nó được
cần đến và được phá hủy khi không còn cần thiết nữa. Nhiều luật và quy
định bắt buộc việc lưu giữ dữ liệu trong một khoảng thời gian cụ thể,
nhưng trong trường hợp không có quy định chính thức, các tổ chức chỉ
định khoảng thời gian lưu giữ trong một chính sách. Dữ liệu về dấu vết
kiểm toán cần được lưu giữ đủ lâu để tái tạo lại các sự cố trong quá khứ,
nhưng tổ chức phải xác định xem họ muốn điều tra xa đến mức nào. Một
xu hướng hiện nay ở nhiều tổ chức là giảm trách nhiệm pháp lý bằng cách
thực hiện các chính sách lưu giữ ngắn với email.
Biết được sự khác biệt giữa EOL và EOS. Ngày hết-hạn-sử-dụng (EOL)
là ngày do nhà cung cấp thông báo khi ngừng bán sản phẩm. Tuy nhiên,
nhà cung cấp vẫn hỗ trợ cho sản phẩm sau khi đã EOL. Hết-hạn-hỗ-trợ
(EOS) xác định ngày nhà cung cấp sẽ không hỗ trợ cho sản phẩm nữa.
Giải thích được DRM. Các phương pháp quản lý quyền kỹ thuật số (DRM)
đem lại khả năng bảo vệ bản quyền cho các tác phẩm có bản quyền. Mục
đích là để ngăn chặn việc sử dụng, sửa đổi và phân phối trái phép các tác
phẩm có bản quyền.
Giải thích được CASB. Một trung gian bảo mật truy cập đám mây (CASB)
được đặt một cách logic giữa người dùng và tài nguyên đám mây. Nó có
425 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thể áp dụng các biện pháp kiểm soát bảo mật nội bộ cho tài nguyên đám
mây. Thành phần CASB có thể được đặt tại-chỗ hoặc trên đám mây.
Xác định được biệt danh. Sử dụng biệt danh là quá trình thay thế một
số thành phần dữ liệu bằng biệt danh hoặc bí danh. Nó xóa dữ liệu riêng
tư để một tập dữ liệu có thể được chia sẻ. Tuy nhiên, dữ liệu gốc vẫn có
sẵn trong một tập dữ liệu riêng biệt.
Xác định được mã thông báo. Sử dụng mã thông báo thay thế các phần
tử dữ liệu bằng một chuỗi ký tự hoặc mã thông báo. Bộ xử lý thẻ tín dụng
thay thế dữ liệu thẻ tín dụng bằng mã thông báo và bên thứ ba giữ ánh
xạ tới dữ liệu gốc và mã thông báo.
Xác định được ẩn danh. Tính năng ẩn danh thay thế dữ liệu quyền riêng
tư bằng dữ liệu hữu ích nhưng không chính xác. T ập dữ liệu có thể được
chia sẻ và sử dụng cho mục đích phân tích, nhưng ẩn danh sẽ loại bỏ danh
tính cá nhân. Ẩn danh là vĩnh viễn.
Biết được trách nhiệm của các vai trò dữ liệu. Chủ sở hữu dữ liệu là
người chịu trách nhiệm phân loại, ghi nhãn và bảo vệ dữ liệu. Chủ sở hữu
hệ thống chịu trách nhiệm về hệ thống xử lý dữ liệu. Các chủ sở hữu doanh
nghiệp và nhiệm vụ sở hữu các quy trình và đ ảm bảo rằng các hệ thống
mang lại giá trị cho tổ chức. Người kiểm soát dữ liệu quyết định dữ liệu
nào cần được xử lý và được xử lý như thế nào. Người xử lý dữ liệu thường
là các thực thể bên thứ ba xử lý dữ liệu cho một tổ chức theo chỉ đạo của
người kiểm soát dữ liệu. Quản trị viên cấp quyền truy cập vào dữ liệu dựa
trên các nguyên tắc do chủ sở hữu dữ liệu cung cấp. Người dùng hoặc chủ
thể truy cập dữ liệu trong khi thực hiện các tác vụ công việc. Một người
bảo quản có trách nhiệm bảo vệ và lưu trữ dữ liệu hàng ngày.
Biết được về đường cơ sở kiểm soát bảo mật. Đường cơ sở kiểm soát
bảo mật cung cấp danh sách các biện pháp kiểm soát mà một tổ chức có
thể áp dụng để làm đường cơ sở. Không phải tất cả các đường cơ sở đều
áp dụng cho tất cả các tổ chức. Các tổ chức áp dụng các kỹ thuật xác định
426 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
phạm vi và điều chỉnh để điều chỉnh đường cơ sở phù hợp với nhu cầu của
họ.
Bài tập Viết
1.
Hãy mô tả dữ liệu nhạy cảm.
2.
Hãy xác định sự khác biệt giữa EOL và EOS.
3.
Hãy xác định cách sử dụng phổ biến của sử dụng biệt danh, sử dụng
mã thông báo và sử dụng ẩn danh.
4.
Hãy mô tả sự khác biệt giữa việc xác định phạm vi và điều chỉnh.
Câu hỏi Đánh giá
1.
Những gì sau đây mang lại sự bảo vệ tốt nhất chống lại việc mất tính
bảo mật đối với dữ liệu nhạy cảm?
A. Các nhãn dữ liệu.
B. Phân loại dữ liệu.
C. Xử lý dữ liệu.
D. Các phương pháp khử từ dữ liệu.
2.
Các quản trị viên thường xuyên sao lưu dữ liệu trên tất cả các máy chủ
trong tổ chức của bạn. Họ chú thích một bản sao lưu trữ với máy chủ
mà nó đến từ đó và ngày nó được tạo ra, và chuyển nó đến một kho
lưu trữ không được quản lý. Sau đó, họ phát hiện ra rằng có ai đó đã
làm rò rỉ các email nhạy cảm được gửi giữa các giám đốc điều hành
trên Internet. Các nhân viên an ninh đã phát hiện ra một số băng lưu
trữ bị mất và những đoạn băng này có thể bao gồm các email bị rò rỉ.
Trong số các lựa chọn sau đây, điều gì có thể ngăn chặn sự mất mát
này mà không phải hy sinh tính bảo mật?
A. Đánh dấu phương tiện lưu trữ ngoại biên.
B. Không lưu trữ dữ liệu ngoại biên.
C. Phá hủy các bản sao lưu ngoại biên.
D. Sử dụng một cơ sở lưu trữ an toàn ngoại biên.
3.
Các uản trị viên đã sử dụng băng từ để sao lưu các máy chủ trong tổ
chức của bạn. Tuy nhiên, tổ chức đang chuyển đổi sang một hệ thống
sao lưu khác, lưu trữ các bản sao lưu trên ổ đĩa. Giai đo ạn cuối cùng
427 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
trong vòng đời của băng từ đã được sử dụng làm phương tiện sao lưu
là gì?
A. Khử từ.
B. Phá hủy.
C. Hủy phân loại.
D. Lưu giữ.
4.
Bạn đang cập nhật chính sách dữ liệu của tổ chức và bạn muốn xác
định trách nhiệm của các vai trò khác nhau. Vai trò d ữ liệu nào dưới
đây chịu trách nhiệm cho việc phân loại dữ liệu?
A. Người kiểm soát.
B. Người bảo quản.
C. Chủ sở hữu.
D. Người dùng.
5.
Bạn được giao nhiệm vụ cập nhật chính sách dữ liệu của tổ chức và bạn
cần xác định trách nhiệm của các vai trò khác nhau. Vai trò dữ liệu nào
chịu trách nhiệm triển khai các biện pháp bảo vệ được xác định bởi
chính sách bảo mật?
A. Người bảo quản dữ liệu.
B. Người dùng dữ liệu.
C. Người xử lý dữ liệu.
D. Người kiểm soát dữ liệu.
6.
Một công ty duy trì một máy chủ thương mại điện tử được sử dụng để
bán các sản phẩm kỹ thuật số qua Internet. Khi khách hàng mua hàng,
máy chủ sẽ lưu trữ những thông tin sau về người mua: tên, địa chỉ
thực, địa chỉ email và dữ liệu thẻ tín dụng. Bạn được thuê với tư cách
là một nhà tư vấn bên ngoài và khuyên họ thay đổi các phương pháp
của mình. Công ty có thể thực hiện điều nào dưới đây để tránh một lỗ
hổng bảo mật rõ ràng?
A. Ẩn danh.
B. Giả ẩn danh.
C. Chuyển địa điểm công ty.
D. Giới hạn việc thu thập.
428 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
7.
Bạn đang thực hiện đánh giá hàng năm về chính sách dữ liệu của công
ty mình và bạn bắt gặp một số tuyên bố khó hiểu liên quan đến nhãn
bảo mật. Những thông tin nào dưới đây bạn có thể chèn vào để mô tả
chính xác việc dán nhãn bảo mật?
A. Ghi nhãn bảo mật chỉ cần thiết trên các phương tiện kỹ thuật số.
B. Nhãn bảo mật xác định việc phân loại dữ liệu.
C. Nhãn bảo mật chỉ cần thiết đối với các tài sản phần cứng.
D. Nhãn bảo mật không bao giờ được sử dụng cho dữ liệu không nhạy
cảm.
8.
Một tập tin cơ sở dữ liệu bao gồm thông tin nhận dạng cá nhân (PII)
về một số cá nhân, bao gồm cả Karen C. Park. Giá trị nào sau đây là
giá trị nhận dạng tốt nhất cho hồ sơ về Karen C. Park?
A. Người kiểm soát dữ liệu.
B. Chủ thể của dữ liệu.
C. Người xử lý dữ liệu.
D. Chủ thể dữ liệu.
9.
Các quản trị viên thường xuyên sao lưu tất cả các máy chủ email trong
công ty của bạn và họ thường xuyên xóa các email tại-chỗ cũ hơn sáu
tháng để tuân thủ chính sách bảo mật của tổ chức. Họ giữ một bản sao
lưu tại chỗ và gửi một bản sao đến một trong các kho lưu trữ của công
ty để lưu trữ dài-hạn. Sau đó, họ phát hiện ra rằng ai đó đã làm rò rỉ
các email nhạy cảm được gửi giữa các giám đốc điều hành hơn ba năm
trước. Trong số các lựa chọn sau, chính sách nào đã bị bỏ qua và cho
phép vi phạm dữ liệu này?
A. Phá hủy phương tiện lưu trữ.
B. Lưu giữ hồ sơ.
C. Quản lý cấu hình.
D. Đánh số phiên bản.
10.
Một giám đốc điều hành đang xem xét các vấn đề về quản trị và tuân
thủ và đảm bảo chính sách bảo mật hoặc dữ liệu sẽ giải quyết chúng.
Biện pháp kiểm soát bảo mật nào sau đây có nhiều khả năng được thúc
đẩy bởi một yêu cầu pháp lý?
A. Dữ liệu còn lại.
429 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
B. Phá hủy hồ sơ.
C. Vai trò người dùng dữ liệu.
D. Lưu giữ dữ liệu.
11.
Tổ chức của bạn đang quyên tặng một số máy tính cho một trường học
địa phương. M ột số máy tính này bao g ồm ổ đĩa thể rắn (SSD). Lựa
chọn nào sau đây là phương pháp h ủy dữ liệu đáng tin cậy nhất trên
các ổ SSD này?
A. Xóa (erasing).
B. Khử từ (degaussing).
C. Xóa (deleting)
D. Thanh lọc (purging).
12.
Một kỹ thuật viên chuẩn bị tháo ổ đĩa ra khỏi một số máy tính. Người
giám sát của anh ấy đã yêu cầu anh ấy đảm bảo rằng các ổ đĩa không
còn chứa bất kỳ dữ liệu nhạy cảm nào. Phương pháp nào sau đây sẽ
đáp ứng yêu cầu của người giám sát?
A. Ghi đè các đĩa nhiều lần.
B. Định dạng đĩa.
C. Khử từ các đĩa.
D. Chống phân mảnh đĩa.
13.
Bộ phận CNTT đang cập nhật ngân sách cho năm sau và h ọ muốn có đủ
tiền để làm mới phần cứng cho một số hệ thống cũ hơn. Thật không
may, ngân sách bị hạn chế. Điều nào sau đây nên được ưu tiên hàng
đầu?
A. Hệ thống có ngày kết-thúc-vòng-đời (EOL) xảy ra trong năm tiếp
theo.
B. Hệ thống được sử dụng để ngăn ngừa mất dữ liệu.
C. Hệ thống được sử dụng để xử lý dữ liệu nhạy cảm.
D. Các hệ thống có ngày kết-thúc-hỗ-trợ (EOS) diễn ra vào năm sau.
14.
Các nhà phát triển đã tạo ra một ứng dụng thường xuyên xử lý dữ liệu
nhạy cảm. Dữ liệu được mã hóa và lưu trữ trong một cơ sở dữ liệu. Khi
ứng dụng xử lý dữ liệu, nó sẽ truy xuất dữ liệu từ cơ sở dữ liệu, giải
mã để sử dụng và lưu trữ trong bộ nhớ. Phương pháp nào sau đây có
thể bảo vệ dữ liệu trong bộ nhớ sau khi ứng dụng sử dụng nó?
430 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
A. Mã hóa nó bằng mã hóa không đối xứng.
B. Mã hóa nó trong cơ sở dữ liệu.
C. Thực hiện chống mất dữ liệu.
D. Xóa bộ nhớ đệm.
15.
Chính sách bảo mật của tổ chức của bạn quy định việc sử dụng mã hóa
đối xứng cho dữ liệu nhạy cảm được lưu trữ trên máy chủ. Nguyên tắc
nào dưới đây đang được họ triển khai?
A. Bảo vệ dữ liệu ở trạng thái đang được lưu trữ.
B. Bảo vệ dữ liệu khi truyền tải.
C. Bảo vệ dữ liệu đang được sử dụng.
D. Bảo vệ vòng đời dữ liệu.
16.
Một quản trị viên đang có kế hoạch triển khai một máy chủ cơ sở dữ
liệu và muốn đảm bảo nó được bảo mật. Cô ấy xem xét danh sách các
kiểm soát bảo mật cơ bản và xác định các kiểm soát bảo mật áp dụng
cho máy chủ cơ sở dữ liệu này. Điều này được gọi là gì?
A. Tokenization.
B. Định phạm vi.
C. Lựa chọn tiêu chuẩn.
D. Hình ảnh.
17.
Một tổ chức đang có kế hoạch triển khai một trang thương mại điện tử
được lưu trữ trên một trang trại web. Các quản trị viên CNTT đã xác
định một danh sách các biện pháp kiểm soát bảo mật mà họ cho rằng
sẽ mang lại sự bảo vệ tốt nhất cho dự án này. Các nhà quản lý hiện
đang xem xét danh sách và loại bỏ mọi biện pháp kiểm soát bảo mật
không phù hợp với sứ mệnh của tổ chức. Điều này được gọi là gì?
A. Điều chỉnh.
B. Làm sạch.
C. Phân loại tài sản.
D. Giảm thiểu.
18.
Một tổ chức đang có kế hoạch sử dụng một nhà cung cấp đám mây để
lưu trữ một số dữ liệu. Các nhà quản lý muốn đảm bảo rằng tất cả các
chính sách bảo mật dựa trên dữ liệu được triển khai trong mạng nội bộ
431 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
của tổ chức cũng có thể được triển khai trên đám mây. Điều nào dưới
đây sẽ hỗ trợ mục đích này?
A. CASB.
B. DLP.
C. DRM.
D. EOL.
19.
Các nhà quản lý lo ngại rằng người dùng có thể vô tình truyền dữ liệu
nhạy cảm ra bên ngoài tổ chức. Họ muốn thực hiện một phương pháp
để phát hiện và ngăn chặn điều này xảy ra. Cách nào sau đây có thể
phát hiện dữ liệu nhạy cảm, gửi đi dựa trên các hình mẫu dữ liệu cụ
thể và là lựa chọn tốt nhất để đáp ứng các yêu cầu này?
A. Phần mềm chống phần mềm độc hại.
B. Hệ thống ngăn ngừa mất dữ liệu.
C. Hệ thống quản lý sự kiện và thông tin bảo mật.
D. Hệ thống ngăn chặn xâm nhập.
20.
Một nhà phát triển phần mềm đã tạo ra một ứng dụng và muốn bảo vệ
nó bằng các công nghệ DRM. Cô ấy có khả năng bao gồm những thứ
nào sau đây nhất? (Hãy chọn ba).
A. Cấp phép ảo.
B. Xác thực trực tuyến liên tục.
C. Tự động hết hạn.
D. Đường mòn kiểm toán liên tục.
432 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C h ư ơn g 6
M ậ t m ã h ọ c v à c á c T h u ậ t t o á n K h óa Đ ố i
xứng
CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM:
✓
Lĩnh vực 3.0: Công nghệ và Kiến trúc Bảo mật
▪
3.5 Đánh giá và giảm thiểu các lỗ hổng của kiến trúc, thiết kế và
các thành phần giải pháp bảo mật
▪
▪
3.5.4 Các hệ thống mật mã
3.6 Lựa chọn và xác định các giải pháp mật mã
▪
3.6.1 Vòng đời mật mã (ví dụ, khóa, lựa chọn thuật toán)
▪
3.6.2 Các phương pháp mật mã (ví dụ, đối xứng, bất đối xứng,
đường cong elliptic, lượng tử)
▪
3.6.6 Không-khước-từ
▪
3.6.7 Tính toàn vẹn (ví dụ, băm)
433 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mật mã mang lại tính bảo mật, tính toàn vẹn, xác thực và
không khước từ đối với thông tin nhạy cảm khi nó được lưu trữ (ở trạng thái
đang lưu trữ), di chuyển qua mạng (đang truyền/đang chuyển động) và tồn tại
trong bộ nhớ (đang sử dụng/đang xử lý). Mật mã là một công nghệ bảo mật cực
kỳ quan trọng được nhúng trong nhiều biện pháp kiểm soát được sử dụng để bảo
vệ thông tin khỏi bị hiển thị và sử dụng trái phép.
Trong những năm qua, các nhà toán học và khoa học máy tính đã phát triển một
loạt các thuật toán mật mã ngày càng phức tạp được thiết kế để gia tăng mức
độ bảo vệ cho dữ liệu. Trong khi các nhà mật mã đã dành thời gian phát triển
các thuật toán mã hóa mạnh mẽ thì các tin tặc ác ý và các chính phủ cũng dành
nhiều nguồn lực đáng kể để phá hoại chúng. Điều này dẫn đến một “cuộc chạy
đua vũ trang” trong mật mã và dẫn đến sự phát triển của các thuật toán cực kỳ
phức tạp đang được sử dụng ngày nay.
Chương này xem xét các khái niệm cơ bản của truyền thông mật mã và các
nguyên tắc cơ bản của hệ thống mật mã khóa riêng. Chương ti ếp theo tiếp tục
thảo luận về mật mã bằng cách kiểm tra các hệ thống mật mã khóa công khai và
các kỹ thuật khác nhau mà kẻ tấn công sử dụng để đánh bại mật mã.
Nền móng của Mật mã
Nghiên cứu về bất kỳ ngành khoa học nào đều phải bắt đầu bằng một cuộc thảo
luận về các nguyên tắc nền tảng mà nó (ngành khoa học) được xây dựng trên
đó. Những phần dưới đây trình bày về nền tảng này với việc xem xét những mục
đích của mật mã, một cái nhìn tổng quan về các khái niệm cơ bản của công nghệ
mật mã và xem xét các nguyên tắc toán học chính được sử dụng bởi các hệ thống
mật mã.
434 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mục đích của Mật mã
Những chuyên gia hành nghề bảo mật sử dụng các hệ thống mật mã để đáp ứng
4 mục đích mang tính nền tảng: tính bảo mật, tính toàn vẹn, tính xác thực và
không khước từ. Việc đạt được từng mục đích này đòi hỏi phải đáp ứng một số
các yêu cầu thiết kế, và không phải mọi hệ thống mật mã đều được dự định
nhằm đạt được cả 4 mục đích đó. Trong những phần tiếp theo, chúng ta sẽ xem
xét chi tiết về từng mục đích và đưa ra mô tả ngắn gọn về những yêu cầu về
mặt kỹ thuật cần thiết để đạt được nó.
Tính bảo mật
Tính bảo mật đảm bảo rằng dữ liệu vẫn giữ được sự riêng tư trong 3 tình huống
khác nhau: khi nó đang được lưu trữ, khi nó đang được truyền tải và khi nó đang
được sử dụng.
Tính bảo mật có lẽ là mục đích được trích dẫn một cách rộng rãi nhất của các
hệ thống mật mã – sự bảo tồn tính bí mật đối với những thông tin được lưu trữ,
hoặc đối với các giao tiếp giữa các cá nhân và các nhóm. Hai ki ểu hệ thống mật
mã chính thực thi tính bảo mật bao gồm:
▪
Hệ thống mật mã đối xứng sử dụng một khóa bí mật được chia sẻ cho tất
cả người dùng của hệ thống mật mã.
▪
Hệ thống mật mã bất đối xứng sử dụng các kết hợp riêng lẻ giữa các khóa
bí mật và khóa công khai đối với từng người dùng của hệ thống mật mã.
Cả hai khái niệm này sẽ được khám phá trong phần “Mật mã Hiện đại” ở đoạn
sau của chương.
Khi phát triển một hệ thống mật mã cho mục đích cung cấp tính bảo mật, bạn
phải suy nghĩ về 3 kiểu dữ liệu khác nhau mà chúng ta đã thảo luận trong Chương
5, “Bảo vệ Tính bảo mật của Tài sản”.
▪
Dữ liệu đang lưu trữ (at rest), hoặc dữ liệu được lưu trữ, lưu trú trong
một vị trí thường trực đang đợi được truy cập. Các ví dụ về dữ liệu đang
lưu trữ bao gồm dữ liệu được lưu trữ trên các ổ cứng, băng từ sao lưu,
dịch vụ lưu trữ đám mây, thiết bị USB, và các phương tiện lưu trữ khác.
435 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Dữ liệu đang di chuyển (in motion), hoặc dữ liệu trên cáp, là dữ liệu đang
được truyền tải qua một mạng giữa hai hệ thống. Dữ liệu đang di chuyển
có thể đi qua một mạng công ty, một mạng không dây, hoặc Internet.
▪
Dữ liệu đang sử dụng là dữ liệu được lưu trữ trong bộ nhớ hoạt động của
một hệ thống máy tính, nơi nó [dữ liệu] có thể được truy cập bởi một tiến
trình đang hoạt động trên hệ thống đó.
Khái niệm bảo vệ dữ liệu đang lưu trữ và dữ liệu đang truyền tải
thường được đề cập trong kỳ thi CISSP. Bạn cũng nên biết rằng
dữ liệu đang truyền tải cũng thường được gọi là dữ liệu trên cáp,
đề cập đến các loại cáp mạng đang mang tín hiệu giao tiếp dữ
liệu.
Mỗi tình huống này lại đặt ra những loại rủi ro bảo mật khác nhau mà mật mã
có thể bảo vệ để chống lại chúng. Ví dụ: dữ liệu đang di chuyển có thể dễ bị tấn
công kiểu nghe trộm, trong khi dữ liệu ở trạng thái nghỉ dễ bị đánh cắp các thiết
bị vật lý hơn. Dữ liệu đang được sử dụng có thể bị truy cập bởi các tiến trình
trái phép nếu Hệ điều hành không thực hiện việc cô lập tiến trình một cách đúng
đắn.
Tính toàn vẹn
Tính toàn vẹn đảm bảo rằng dữ liệu không bị thay đổi nếu không được cấp phép.
Nếu các cơ chế toàn vẹn được áp dụng, người nhận thông điệp có thể chắc chắn
rằng thông điệp nhận được giống với thông điệp đã được gửi đi. Tương tự, kiểm
tra tính toàn vẹn có thể đảm bảo rằng dữ liệu được lưu trữ đã không bị thay đổi
trong khoảng thời gian giữa thời điểm nó được tạo và thời điểm nó được truy
cập. Các biện pháp kiểm soát tính toàn vẹn giúp bảo vệ chống lại tất cả các hình
thức thay đổi, bao gồm việc cố tình chèn thông tin sai lệch bởi một bên thứ ba,
cố ý xóa một phần dữ liệu và vô tinh thay đổi do lỗi trong quá trình truyền.
Tính toàn vẹn của thông điệp được thực thi thông qua việc sử dụng các đồng
hóa thông điệp được mã hóa, còn được gọi là chữ ký kỹ thuật số, được tạo ra
khi truyền tải một thông điệp. Người nhận của thông điệp chỉ cần xác minh rằng
chữ ký số của thông điệp là hợp lệ, đảm bảo rằng thông điệp đã không bị thay
đổi trong khi chuyển tiếp. Tính toàn vẹn có thể được thực thi bởi cả những hệ
436 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thống mật mã khóa công khai và khóa bí mật. Khái niệm này sẽ được thảo luận
chi tiết trong Chương 7, “Ứng dụng PKI và Mật mã”. Việc sử dụng các hàm băm
mật mã để bảo vệ tính toàn vẹn của tập tin được thảo luận trong Chương 21,
“Mã Độc hại và các Cuộc tấn công Ứng dụng”.
Xác thực
Xác thực xác minh danh tính đã tuyên bố của người dùng hệ thống và là một
chức năng chính của hệ thống mật mã. Ví dụ, giả sử rằng Bob muốn thiết lập
một phiên giao tiếp với Alice và cả hai đều là những người tham gia vào một hệ
thống giao tiếp bí mật được chia sẻ. Alice có thể sử dụng kỹ thuật xác thực
phản-hồi-thách-thức để đảm bảo rằng Bob chính là người mà anh ta đã tuyên
bố.
Hình 6.1 cho thấy cách thức hoạt động của giao thức phản hồi thách thức này.
Trong ví dụ này, mã bí mật dùng chung được Alice và Bob sử dụng khá đơn giản
- chỉ đơn giản là đảo ngược các chữ cái của mỗi từ. Đầu tiên, Bob liên lạc với
Alice và xác định danh tính của mình. Alice sau đó gửi một thông điệp thách
thức cho Bob, yêu cầu anh ta mã hóa một thông điệp ngắn bằng mã bí mật chỉ
Alice và Bob mới biết. Bob trả lời bằng thông điệp được mã hóa. Sau khi Alice
xác minh rằng thông điệp được mã hóa là chính xác, cô ấy tin rằng bản thân Bob
thực sự đang ở đầu bên kia của kết nối.
HÌNH 6.1 Giao thức xác thực phản-hồi-thách-thức
437 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Không khước từ
Không khước từ cung cấp sự đảm bảo cho người nhận rằng thông điệp đã được
bắt nguồn bởi chính người gửi chứ không phải ai đó giả mạo là người gửi. Nó
cũng ngăn người gửi tuyên bố rằng họ chưa bao giờ gửi thông điệp ngay từ đầu
(còn được gọi là từ chối thông điệp). Khóa bí mật, hoặc khóa đối xứng, các hệ
thống mật mã (chẳng hạn như mật mã thay thế đơn giản) không cung cấp sự
đảm bảo không khước từ này. Nếu Jim và Bob tham gia vào m ột hệ thống liên
lạc khóa bí mật, cả hai đều đã có thể tạo ra cùng một thông điệp được mã hóa
bằng cách sử dụng khóa bí mật được chia sẻ của họ. Tính không khước từ chỉ
được cung cấp bởi khóa công khai, hoặc các hệ thống mật mã bất đối xứng, một
chủ đề được thảo luận chi tiết hơn trong Chương 7.
Các khái niệm về Mật mã
Cũng như với bất kỳ ngành khoa học nào, bạn phải làm quen với những thuật
ngữ nhất định trước khi nghiên cứu về mật mã học. Hãy cùng xem xét m ột số
những thuật ngữ chính được sử dụng để mô tả các mã và mật mã. Trước khi một
thông điệp được chuyển thành dạng mã, nó còn được gọi là một thông điệp bản
rõ (plaintext) và được đại diện bởi ký tự P khi các hàm mã hóa được mô tả.
Người gửi của một thông điệp sử dụng một thuật toán mã hóa để mã hóa thông
điệp bản rõ và tạo ra một thông điệp bản mã (ciphertext), được đại diện bởi ký
tự C. Thông điệp này được truyền đi bởi một vài phương tiện vật lý và điện tử
đến cho người nhận. Sau đó, người nhận sử dụng một thuật toán đã được chỉ
định trước để giải mã thông điệp bản mã này và trích xuất được phiên bản rõ.
(Để có một minh họa về quá trình này, hãy xem Hình 6.3 ở phần sau của chương
này).
Mọi thuật toán mã hóa đều dựa trên các khóa để duy trì tính bảo mật của chúng.
Đối với hầu hết, một khóa không hơn gì một con số. Nó thường là một số nhị
phân rất lớn, nhưng nó vẫn là một con số. Mọi thuật toán đều có một không gian
khóa cụ thể. Không gian khóa là phạm vi giá trị hợp lệ để sử dụng làm khóa cho
một thuật toán cụ thể. Một không gian khóa được xác định bởi kích thước bit
của nó. Kích thước bit không khác gì hơn số lượng bit nhị phân (0 và 1) trong
khóa. Không gian khóa chính là phạm vi giữa khóa có tất cả các số là 0 và khóa
có tất cả các số là 1. Hay nói một cách khác, không gian khóa là phạm vi các số
438 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
từ 0 đến 2n, trong đó n là kích thước bit của khóa. Vì vậy, một khóa 128-bit có
thể có giá trị từ 0 đến 2128 (khoảng 3,40282367 × 1038, một con số rất lớn!).
Điều tối quan trọng là phải bảo vệ sự an toàn của các khóa bí mật. Trên thực
tế, tất cả sự bảo mật mà bạn có được từ mật mã phụ thuộc vào khả năng của
bạn trong việc giữ các khóa được sử dụng ở chế độ riêng tư.
Nguyên tắc Kerckhoffs
Mọi mật mã đều dựa trên các thuật toán. Một thuật toán là một bộ các quy
tắc, thường là toán học, ra lệnh cho quá trình mã hóa và gi ải mã diễn ra như
thế nào. Hầu hết các nhà mật mã học đều tuân theo nguyên tắc Kerckhoffs,
một khái niệm làm cho các thuật toán được biết đến và công khai, cho phép
bất kỳ ai cũng có thể kiểm tra và thử nghiệm chúng. Cụ thể, nguyên tắc của
Kerckhoffs (còn được gọi là giả định của Kerckhoffs) là một hệ thống mật mã
phải được bảo mật ngay cả khi mọi thứ về hệ thống, ngoại trừ khóa, đều là
kiến thức công khai. Nguyên tắc có thể được tóm tắt là “Kẻ thù biết hệ thống”.
Một số lượng lớn các nhà mật mã tuân thủ nguyên tắc này, nhưng không phải
ai cũng đều đồng ý. Trên thực tế, một số người tin rằng bảo mật tổng thể tốt
hơn có thể được duy trì bằng cách giữ bí mật cả thuật toán và khóa. Những
người ủng hộ Kerckhoffs phản pháo lại rằng phương pháp tiếp cận ngược lại
bao gồm thực tiễn đáng ngờ về “bảo mật thông qua sự che đậy” và tin rằng
việc tiếp xúc công khai tạo ra nhiều hoạt động hơn và dễ dàng bộc lộ nhiều
điểm yếu hơn, dẫn đến việc từ bỏ các thuật toán không đủ mạnh và áp dụng
các thuật toán phù hợp nhanh chóng hơn.
Như bạn sẽ tìm hiểu trong chương này và chương tiếp theo, các loại thuật toán
khác nhau yêu cầu các loại khóa khác nhau. Trong các hệ thống mật mã khóa
riêng tư (hoặc khóa bí mật), tất cả những người tham gia sẽ sử dụng một khóa
chia sẻ duy nhất. Trong các hệ thống mật mã khóa công khai, mỗi người tham
gia sẽ có một cặp khóa riêng. Các khóa m ật mã đôi khi được gọi là các biến số
bí mật, đặc biệt là trong các ứng dụng của chính phủ Hoa Kỳ.
Nghệ thuật tạo ra và triển khai các mã và mật mã bí mật được gọi là mật mã
(cryptography). Thực tiễn này song song với nghệ thuật phân tích mã - nghiên
439 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
cứu các phương pháp để đánh bại mã và mật mã. Cùng với nhau, mật mã và phân
tích mật mã thường được gọi là mật mã học (cryptology). Các triển khai cụ thể
của một mã hoặc mật mã trong phần cứng và phần mềm được gọi là hệ thống
mật mã.
Tiêu chuẩn xử lý thông tin liên bang (FIPS) 140 –2, “Các Yêu cầu Bảo mật đối
với Mô-đun Mật mã”, xác định các yêu cầu phần cứng và phần mềm đối với môđun mật mã mà chính phủ liên bang sử dụng.
Toán học Mật mã
Mật mã học không khác với hầu hết các ngành khoa h ọc máy tính ở chỗ nó tìm
thấy nền tảng của nó trong khoa học về toán học. Để hiểu đầy đủ về mật mã,
trước tiên bạn phải hiểu những điều cơ bản của toán học nhị phân và các phép
toán logic được sử dụng để thao tác các giá trị nhị phân. Những phần dưới đây
trình bày một quan điểm ngắn gọn về một số khái niệm cơ bản nhất mà bạn nên
làm quen.
Có rất ít khả năng bạn sẽ được yêu cầu sử dụng trực tiếp toán
học mật mã trong kỳ thi. Tuy nhiên, việc nắm bắt tốt các nguyên
tắc này là điều cực kỳ quan trọng để hiểu cách thức mà các chuyên
gia bảo mật áp dụng các khái niệm mật mã vào các vấn đề bảo
mật trong thế giới thực.
Toán học Boolean
Toán học Boolean xác định các quy tắc được sử dụng cho các bit và byte hình
thành nên hệ thần kinh của bất kỳ máy tính nào. Rất có khả năng bạn đã quen
thuộc với hệ thống thập phân. Nó là một hệ cơ số 10, trong đó một số nguyên
từ 0 đến 9 được sử dụng ở mỗi vị trí và m ỗi giá trị của mỗi vị trí là bội số của
10. Có thể sự phụ thuộc của chúng ta vào hệ thập phân có nguồn gốc sinh học
- con người có 10 ngón tay có thể dùng để đếm.
440 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Toán học Boolean thoạt đầu có thể rất khó hiểu, nhưng rất đáng
để đầu tư thời gian để tìm hiểu cách thức mà các hàm logic hoạt
động. Bạn cần biết những khái niệm này để thực sự hiểu hoạt
động bên trong của các thuật toán mật mã.
Tuơng tự, sự phụ thuộc của máy tính vào hệ thống Boolean cũng có nguồn gốc
điện tử. Trong một mạch điện tử, chỉ có hai trạng thái khả dĩ – bật (đại diện
cho sự có mặt của dòng điện) và tắt (đại diện cho sự không có mặt của dòng
điện [nghĩa là, không có điện]). Tất cả các phép tính được thực hiện bởi một
thiết bị điện phải được thể hiện bằng các thuật ngữ này, dẫn đến việc sử dụng
tính toán Boolean trong thi ết bị điện tử hiện đại. Nói chung, các nhà khoa học
máy tính gọi điều kiện “bật” là một giá trị đúng (true) và điều kiện “tắt” là một
giá trị sai (false).
Các Phép toán Logic
Toán học Boolean của ngành mật mã sử dụng một loạt các hàm logic khác nhau
để thao tác dữ liệu. Chúng ta sẽ cùng xem xét một cách ngắn gọn về những phép
toán này.
AND
Phép toán AND (được biểu thị bằng ký hiệu ^) kiểm tra xem liệu hai giá trị có
đúng hay không. Bảng 6.1 cho thấy một bảng chân trị minh họa tất cả bốn kết
quả đầu ra có thể có cho hàm AND. Trong bảng chân trị này, hai cột đầu tiên, X
và Y, hiển thị các giá trị đầu vào cho hàm AND. Hãy nhớ rằng, hàm AND chỉ nhận
hai biến làm đầu vào. Trong toán h ọc Boolean, chỉ có hai giá trị có thể có cho
mỗi biến này (0 = FALSE và 1 = TRUE), d ẫn đến bốn đầu vào có thể có cho hàm
AND. Cột X ^ Y hiển thị đầu ra của hàm AND cho các giá trị đầu vào được hiển
thị trong hai cột liền kề. Chính số khả năng hữu hạn này giúp máy tính cực kỳ
dễ dàng triển khai các chức năng logic trong phần cứng. Hãy lưu ý rằng trong
Bảng 6.1 rằng chỉ một tổ hợp đầu vào (trong đó cả hai đầu vào đều đúng) tạo
ra giá trị đầu ra là true.
441 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
BẢNG 6.1 Bảng chân trị của phép toán AND
X
Y
X ^ Y
0
0
0
0
1
0
1
0
0
1
1
1
Các phép toán logic thường được thực hiện trên toàn bộ các từ Boolean hơn là
các giá trị đơn lẻ. Hãy cùng xem xét ví dụ sau:
X:
01101100
Y:
10100111
---------------X ^ Y:
00100100
Hãy lưu ý rằng hàm AND được tính toán bằng cách so sánh các giá trị của X và
Y trong từng cột. Kết quả đầu ra chỉ là đúng tại các cột có cả giá trị X lẫn Y đều
là đúng.
OR
Phép toán OR (đại diện bằng ký hiệu v) kiểm tra xem liệu có ít nhất một trong
số các đầu vào là đúng hay không. Hãy tham khảo bảng chân trị trong Bảng 6.2
để biết tất cả các giá trị có thể có của hàm OR. Hãy lưu ý rằng lần duy nhất hàm
OR trả về giá trị sai là khi cả hai giá trị đầu vào đều sai.
BẢNG 6.2 Bảng chân trị của phép toán OR
X
Y
X v Y
0
0
0
0
1
1
1
0
1
1
1
1
442 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Chúng tôi sẽ lại sử dụng cùng một ví dụ mà chúng tôi đã sử dụng trong phần
trước để minh họa cho bạn về kết quả đầu ra là gì nếu X và Y được đưa vào hàm
OR thay vì hàm AND:
X:
01101100
Y:
10100111
---------------X ^ Y:
11101111
NOT
Phép toán NOT (đại diện bằng ký hiệu ~) chỉ đơn giản là đảo ngược giá trị của
một biến số đầu vào. Hàm này chỉ hoạt động với một biến số tại một thời điểm.
Bảng 6.3 minh họa cho bảng chân trị của hàm NOT.
BẢNG 6.2 Bảng chân trị của phép toán OR
X
~X
0
1
1
0
Trong ví dụ này, bạn lấy giá trị của X từ ví dụ trước đó và chạy hàm NOT đối
với nó:
X:
01101100
--------------~X:
10010011
OR Loại trừ
Hàm logic sau cùng mà bạn sẽ xem xét trong chương này có lẽ là hàm quan trọng
nhất và được sử dụng nhiều nhất trong các ứng dụng mật mã – hàm OR loại trừ
(hay XOR). Nó được gọi là hàm XOR trong tài liệu toán học và thường được biểu
thị bằng ký hiệu ⊕. Hàm XOR trả về giá trị đúng khi chỉ một trong các giá trị
đầu vào là đúng. Nếu cả hai giá trị đều là sai hoặc cả hai giá trị đều là đúng thì
443 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
kết quả đầu ra của hàm XOR là sai. Bảng 6.4 cung cấp bảng chân trị cho phép
toán XOR.
X
Y
X ⊕ Y
0
0
0
0
1
1
1
0
1
1
1
0
Phép toán dưới đây minh họa các giá trị X và Y khi chúng được sử dụng như là
đầu vào của hàm XOR:
X:
01101100
Y:
10100111
----------------
X ⊕ Y:
11001011
Hàm Modulo
Hàm modulo cực kỳ quan trọng trong lĩnh vực mật mã. Hãy nhớ lại những ngày
đầu tiên khi bạn lần đầu tiên học phép chia. Tại thời điểm đó, bạn chưa quen
với các số thập phân và được bù đắp bằng cách hiển thị giá trị còn lại mỗi khi
bạn thực hiện một phép toán chia. Về bản chất, máy tính cũng không hiểu được
hệ thập phân và các giá trị còn lại này đóng một vai trò quan trọng khi máy tính
thực hiện nhiều hàm toán học. Hàm modulo, khá đơn giản, là giá trị phần dư còn
lại sau khi thực hiện phép toán chia.
Hàm modulo cũng quan trọng đối với mật mã như các phép toán
logic. Hãy chắc chắn rằng bạn đã quen thuộc với chức năng của
nó và có thể thực hiện các phép toán mô-đun đơn giản.
Hàm modulo thường được biểu diễn trong phương trình bằng từ viết tắt “mod”,
mặc dù đôi khi nó cũng được biểu diễn bằng toán tử %. Dưới đây là một số đầu
vào và đầu ra cho hàm modulo:
444 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
8 mod 6 = 2
6 mod 8 = 6
10 mod 3 = 1
10 mod 2 = 0
32 mod 8 = 0
32 mod 26 = 6
Chúng ta sẽ gặp lại hàm này trong Chương 7 khi chúng ta khám phá thuật toán
mã hóa khóa công khai RSA (đư ợc đặt tên theo Ron Rivest, Adi Shamir và Leonard
Adleman, những người đã phát minh ra nó).
Các Hàm Một-Chiều
Hàm một chiều là một phép toán dễ dàng tạo ra các giá trị đầu ra cho mỗi tổ
hợp đầu vào khả dĩ nhưng không thể truy xuất các giá trị đầu vào. Tất cả các
hệ thống mật mã khóa công khai đều dựa trên một số loại hàm một-chiều. Tuy
nhiên, trên thực tế, người ta chưa bao giờ chứng minh được rằng bất kỳ hàm cụ
thể nào đã biết thực sự chỉ là một chiều. Các nhà mật mã học dựa vào các hàm
mà họ tin là một chiều, nhưng luôn có khả năng chúng có thể bị phá vỡ bởi các
chuyên gia phân tích mật mã trong tương lai.
Đây là một ví dụ. Hãy tưởng tượng rằng bạn có một chức năng nhân ba số lại
với nhau. Nếu bạn hạn chế các giá trị đầu vào ở các số có một chữ số, thì vấn
đề tương đối đơn giản là thiết kế ngược lại hàm này và xác định các giá trị đầu
vào có thể có bằng cách xem số ở kết quả đầu ra. Ví dụ: giá trị đầu ra 15 được
tạo ra bằng cách sử dụng các giá trị đầu vào 1, 3 và 5. Tuy nhiên, giả sử bạn
hạn chế giá trị đầu vào ở các số nguyên tố có năm chữ số. Vẫn khá đơn giản để
có được giá trị đầu ra bằng cách sử dụng máy vi tính hoặc một máy tính tốt,
nhưng kỹ-thuật-đảo-ngược không hoàn toàn đơn giản như vậy. Bạn có thể tìm
ra ba số nguyên tố nào đã được sử dụng để nhận được giá trị đầu ra là
10,718,488,075,259 không? Không đơn giản như vậy nhỉ? (Hóa ra, con số này là
tích của các số nguyên tố 17,093; 22,441; và 27,943.) Thực tế có 8,363 số
nguyên tố năm chữ số, vì vậy bài toán này có thể bị tấn công bằng máy tính và
thuật toán cưỡng-bức, nhưng không có cách nào dễ dàng để tìm ra nó trong đầu
bạn, đó là điều chắc chắn!
Nonce
Mật mã học thường đạt được sức mạnh bằng cách bổ sung thêm tính ngẫu nhiên
vào quá trình mã hóa. Một phương pháp mà điều này được thực hiện là thông
qua việc sử dụng một nonce. Số nonce là một số ngẫu nhiên hoạt động như một
445 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
biến giữ chỗ trong các hàm toán học. Khi hàm được thực thi, số nonce được thay
thế bằng một số ngẫu nhiên được tạo ra tại thời điểm xử lý để sử dụng một lần.
Số nonce phải là một số duy nhất mỗi khi nó được sử dụng. Một trong những ví
dụ dễ nhận biết hơn về nonce là véc-tơ khởi tạo (IV), một chuỗi bit ngẫu nhiên
có cùng độ dài với kích thước khối (lượng dữ liệu sẽ được mã hóa trong mỗi thao
tác) và được XOR với thông điệp. IV được sử dụng để tạo ra bản mã duy nhất
mỗi khi cùng một thông điệp được mã hóa bằng cùng một khóa.
Bằng chứng Không-Kiến-thức (Zero-Knowledge Proof)
Một trong những lợi ích của mật mã được tìm thấy trong cơ chế chứng minh kiến
thức của bạn về một sự kiện cho một bên thứ ba mà không tiết lộ sự thật cho
bên thứ ba đó. Điều này thường được thực hiện với mật khẩu và các trình xác
thực bí mật khác.
Ví dụ kinh điển về một bằng chứng không-kiến-thức liên quan đến hai cá nhân:
Peggy và Victor. Peggy biết mật khẩu của một cánh cửa bí mật nằm bên trong
một hang động tròn, như trong Hình 6.2. Victor mu ốn mua mật khẩu từ Peggy,
nhưng anh ấy muốn Peggy chứng minh rằng cô ấy biết mật khẩu trước khi trả
tiền cho cô ấy. Peggy không muốn cho Victor biết mật khẩu vì sợ rằng sau này
anh ta sẽ không trả tiền. Bằng chứng không-kiến-thức có thể giải quyết tình
huống khó xử của họ.
Victor có thể đứng ở lối vào hang động và nhìn Peggy đi vào trên đường 1. Sau
đó Peggy đi tới cửa và mở nó ra bằng mật khẩu. Tiếp theo, cô đi qua cánh cửa
và quay trở lại bằng con đường 2. Victor thấy cô rời khỏi con đường 1 và quay
trở lại con đường 2, chứng tỏ rằng cô phải biết mật khẩu chính xác để mở cửa.
Bằng chứng không-kiến-thức xuất hiện trong mật mã trong trường hợp một cá
nhân muốn chứng minh kiến thức về một thực tế (chẳng hạn như mật khẩu hoặc
khóa) mà không thực sự tiết lộ thông tin đó cho cá nhân kia. Điều này có thể
được thực hiện thông qua các phép toán phức tạp, chẳng hạn như logarit rời rạc
và lý thuyết đồ thị.
446 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
HÌNH 6.2
Cánh cửa thần kỳ
Kiến thức Phân tách
Khi thông tin hoặc đặc quyền cần thiết để thực hiện một hoạt động được phân
chia cho nhiều người dùng, sẽ không một người nào có đủ đặc quyền để xâm
phạm tính bảo mật của môi trường. Sự tách biệt các nhiệm vụ và sự kiểm soát
hai-người được chứa trong một giải pháp duy nhất được gọi là kiến thức phân
tách.
Ví dụ tốt nhất về kiến thức phân tách được tìm thấy trong khái niệm về ký quỹ
khóa. Trong một thỏa thuận ký quỹ khóa, một khóa mật mã được lưu trữ với một
bên thứ ba để được bảo quản an toàn. Khi đáp ứng các trường hợp nhất định,
bên thứ ba có thể sử dụng khóa ký quỹ để khôi phục quyền truy cập của người
dùng được cấp phép hoặc tự giải mã tài liệu. Bên thứ ba này được gọi là tác
nhân khôi phục.
Trong các thỏa thuận chỉ sử dụng một tác nhân khôi phục ký quỹ khóa duy nhất,
sẽ có cơ hội để gian lận và lạm dụng đặc quyền này, vì tác nhân khôi phục duy
nhất có thể đơn phương quyết định việc giải mã thông tin. M of N Control yêu
cầu số lượng tối thiểu các tác nhân (M) trong tổng số các tác nhân (N) làm việc
cùng với nhau để thực hiện các nhiệm vụ bảo-mật-cao. Vì vậy, việc triển khai
447 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
các biện pháp kiểm soát ba (M) trong số tám (N) sẽ yêu cầu ba người trong số
tám người với nhiệm vụ công việc được giao là nhân viên khôi phục khóa ký quỹ
làm việc cùng nhau để rút một khóa duy nhất ra khỏi cơ sở dữ liệu ký quỹ khóa
(do đó cũng minh họa rằng M luôn nhỏ hơn hoặc bằng N).
Hàm Hoạt động
Bạn có thể đo lường sức mạnh của hệ thống mật mã bằng cách đo lường nỗ lực
về mặt chi phí và/hoặc thời gian bằng cách sử dụng một hàm hoạt động hoặc hệ
số hoạt động. Thông thường, thời gian và nỗ lực cần thiết để thực hiện một cuộc
tấn công kiểu cưỡng-bức hoàn chỉnh chống lại hệ thống mã hóa là những gì mà
hàm hoạt động thể hiện. Bảo mật và sự bảo vệ được cung cấp bởi một hệ thống
mật mã tỷ lệ thuận với giá trị của hàm/hệ số hoạt động. Kích thước của hàm
hoạt động phải phù hợp với giá trị tương đối của tài sản được bảo vệ. Hàm hoạt
động chỉ cần lớn hơn một chút so với giá trị thời gian của tài sản đó. Nói cách
khác, tất cả bảo mật, bao gồm cả mật mã, phải tiết-kiệm-chi-phí và có hiệu-quảchi-phí. Không tốn nhiều công sức để bảo vệ tài sản hơn mức được bảo đảm,
nhưng hãy đảm bảo cung cấp đủ khả năng bảo vệ. Như vậy, nếu thông tin mất
giá trị theo thời gian thì hàm hoạt động chỉ cần đủ lớn để đảm bảo bảo vệ cho
đến khi hết giá trị của dữ liệu.
Ngoài việc hiểu rõ khoảng thời gian mà dữ liệu sẽ có giá trị, các chuyên gia bảo
mật lựa chọn hệ thống mật mã phải hiểu các công nghệ mới nổi có thể có tác
động như thế nào đến những nỗ lực bẻ khóa mật mã. Ví dụ: các nhà nghiên cứu
có thể phát hiện ra một lỗ hổng trong thuật toán mật mã vào năm tới khiến
thông tin được bảo vệ bằng thuật toán đó không còn an toàn nữa. Tương tự,
những tiến bộ công nghệ trong điện toán song song dựa trên đám mây và điện
toán lượng tử có thể khiến cho những nỗ lực kiểu cưỡng-bức trở nên khả thi hơn
nhiều.
Mật mã
Hệ thống mật mã từ lâu đã được sử dụng bởi các cá nhân và chính phủ quan tâm
đến việc bảo tồn tính bí mật của thông tin liên lạc của họ. Trong các phần tiếp
theo, chúng tôi sẽ trình bày định nghĩa về mật mã và khám phá một số loại mật
mã phổ biến tạo nên nền tảng của mật mã hiện đại. Điều quan trọng cần nhớ là
448 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
những khái niệm này trông có vẻ hơi cơ bản, nhưng khi được sử dụng kết hợp,
chúng có thể là những đối thủ đáng gờm và khiến các chuyên gia phân tích mật
mã phải thất vọng trong nhiều giờ liền.
Codes so với Ciphers
Mọi người thường sử dụng hai từ mã (code) và mật mã (cipher) thay thế cho
nhau, nhưng xét về mặt kỹ thuật, chúng là không thể thay thế cho nhau. Có
những khác biệt quan trọng giữa hai khái niệm. Mã, là hệ thống mật mã của các
ký hiệu đại diện cho các từ hoặc cụm từ, đôi khi là bí mật, nhưng chúng không
nhất thiết phải mang lại tính bảo mật. Một ví dụ phổ biến về mã là “hệ thống
10” về giao tiếp được sử dụng bởi các cơ quan thực thi pháp luật. Theo hệ thống
này, câu “Tôi đã nhận được thông tin liên lạc của bạn và hiểu được nội dung”
được thể hiện bằng cụm từ mã “10-4”. Semaphores và mã Morse cũng là nh ững
ví dụ về mã. Những mã này thường được công chúng biết đến và mang đến sự
dễ dàng trong giao tiếp. Một số mã là bí mật. Chúng có thể chuyển tải thông tin
bí mật bằng cách sử dụng một sổ mã bí mật mà ý nghĩa của mã chỉ có người gửi
và người nhận biết. Ví dụ, một điệp viên có thể truyền tải câu “Con đại bằng đã
hạ cánh” để báo cáo về sự xuất hiện của máy bay địch.
Nói một cách khác đi, mật mã (cipher) luôn là phương tiện để che giấu ý nghĩa
thực sự của một thông điệp. Chúng sử dụng nhiều kỹ thuật khác nhau để thay
đổi và/hoặc sắp xếp lại các ký tự hoặc các bit của một thông điệp để đạt được
tính bảo mật. Mật mã chuyển đổi thông điệp từ bản rõ sang bản mã trên cơ sở
bit (nghĩa là, một chữ số duy nhất của mã nhị phân), cơ sở ký tự (nghĩa là một
ký tự đơn của một thông điệp ASCII) hoặc cơ sở khối (nghĩa là, một phân đoạn
của một thông điệp có độ-dài-cố-định, thường được biểu thị bằng số lượng của
các bit). Những phần dưới đây trình bày một số mật mã phổ biến được sử dụng
ngày nay.
Một cách dễ dàng để phân biệt giữa mã và mật mã là nhớ rằng mã
hoạt động trên các từ và cụm từ, trong khi mật mã hoạt động trên
các ký tự, bit và khối riêng lẻ
449 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mật mã Chuyển vị (Transposition Cipher)
Mật mã chuyển vị sử dụng một thuật toán mã hóa để sắp xếp lại các chữ cái của
một thông điệp bản rõ, tạo thành thông điệp bản mã. Thuật toán giải mã chỉ
đơn giản là đảo ngược phép biến đổi mã hóa để trích xuất thông điệp ban đầu.
Trong ví dụ về giao thức phản-hồi-thách-thức trong Hình 6.1 trước đó của chương
này, một mật mã chuyển vị đơn giản đã được sử dụng để đảo ngược các chữ cái
của thông báo để apple trở thành elppa. Mật mã chuyển vị có thể phức tạp hơn
nhiều. Ví dụ: bạn có thể sử dụng một từ khóa để thực hiện chuyển vị cột. Trong
ví dụ sau đây, chúng tôi đang cố gắng mã hóa thông điệp “Các máy bay chiến
đấu sẽ tấn công các căn cứ của đối phương vào buổi trưa” bằng cách sử dụng
khóa bí mật là từ attacker. Bước đầu tiên của chúng ta là lấy các chữ cái của từ
khóa và đánh số chúng theo thứ tự bảng chữ cái. Lần xuất hiện đầu tiên của chữ
A nhận giá trị 1, lần xuất hiện thứ hai được đánh số 2. Chữ cái tiếp theo trong
dãy [theo thứ tự trong bảng chữ cái tiếng Anh], C, được đánh số 3, v.v… Việc
này dẫn đến chuỗi sau:
A T T A C K E R
1 7 8 2 3 5 4 6
Tiếp theo, các ký tự của thông diệp được viết theo thứ tự bên dưới các ký tự
của từ khóa
A T T A C K E R
1 7 8 2 3 5 4 6
T H E F I G H T
E R S W I L L S
T R I K E T H E
E N E M Y B A S
E S A T N O O N
Cuối cùng, người gửi viết thư bằng cách đọc xuống từng cột, thứ tự các cột được
đọc tương ứng với các số được ấn định trong bước đầu tiên. Điều này sẽ tạo ra
bản mã sau:
T E T E E F WWK MT IIE Y N H LH AO T S E S NHR R NSE S IE A
450 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tại đầu cuối, người nhận sẽ tái tạo lại ma trận 8-cột bằng cách sử dụng bản mã
và cùng một từ khóa và sau đó chỉ đơn giản là đọc thông điệp bản rõ qua các
dòng.
Mật mã Thay thế
Mật mã thay thế sử dụng thuật toán mã hóa để thay thế mỗi ký tự hoặc bit của
thông điệp bản rõ bằng một ký tự khác. Một trong những mật mã thay thế được
biết đến sớm nhất đã được Julius Caesar sử dụng để liên lạc với Cicero ở Rome
trong khi ông ta chinh phục châu Âu. Caesar biết rằng có một số rủi ro khi gửi
thông điệp - một trong những người đưa tin có thể là gián điệp của đối phương
hoặc có thể bị phục kích khi đang trên đường đi đến các lực lượng đã được triển
khai. Vì lý do đó, Caesar đã phát tri ển một hệ thống mật mã ngày nay được gọi
là mật mã Caesar. Hệ thống này cực kỳ đơn giản. Để mã hóa một thông điệp,
bạn chỉ cần chuyển mỗi chữ cái trong bảng chữ cái sang bên phải ba vị trí. Ví
dụ: A sẽ trở thành D và B sẽ trở thành E. Nếu bạn đi đến cuối bảng chữ cái trong
quá trình này, bạn chỉ cần quay ngược lại để X trở thành A, Y trở thành B và Z
trở thành C. Vì lý do này, mật mã Caesar còn được gọi là mật mã ROT3 (hoặc
Rotate 3). Mật mã Caesar là một mật mã thay thế dạng một bảng-chữ-cái-đơnlẻ.
Mặc dù mật mã Caesar sử dụng bước dịch chuyển là 3 nhưng mật
mã dịch chuyển tổng quát hơn sử dụng cùng một thuật toán để
dịch chuyển bất kỳ số ký tự nào mà người dùng mong muốn. Ví
dụ, mật mã ROT12 sẽ biến A thành M, B thành N, v.v…
Dưới đây là một ví dụ về một mật mã Caesar đang hoạt động. Dòng đầu tiên
chứa câu gốc và dòng thứ hai hiển thị câu đó trông như thế nào khi nó được mã
hóa bằng mật mã Caesar.
THE
DIE
HAS
BEEN CAST
WKH
GLH
KDV
EHHQ FDVW
Để giải mã thông điệp, bạn đơn giản chỉ cần dịch chuyển từng ký tự về bên trái
ba vị trí.
451 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mặc dù mật mã Caesar dễ sử dụng nhưng nó cũng rất dễ bị bẻ
khóa. Nó dễ bị tấn công bởi một kiểu tấn công được gọi là phân
tích tần suất. Các chữ cái phổ biến nhất trong tiếng Anh là E, T,
A, O, N, R, I, S và H. Một kẻ tấn công đang tìm cách phá mật mã
kiểu Caesar đã mã hóa một thông điệp được viết bằng tiếng Anh
chỉ cần tìm các chữ cái phổ biến nhất trong văn bản được mã hóa
và thử nghiệm với sự thay thế của các chữ cái phổ biến này để
giúp xác định hình mẫu.
Bạn có thể biểu thị mật mã ROT3 bằng các thuật ngữ toán học bằng cách chuyển
đổi từng chữ cái sang phần thập phân tương đương của nó (trong đó A là 0 và
Z là 25). Sau đó, bạn có thể thêm 3 vào mỗi ký tự bản rõ để xác định bản mã.
Bạn tính toán kết quả chung quanh bằng cách sử dụng hàm modulo đã được thảo
luận trong phần “Toán học Mật mã” ở phần trước đó của chương này. Sau đó,
hàm mã hóa cuối cùng cho mật mã Caesar là:
C = (P + 3) mod 26
Hàm giải mã tương ứng sẽ là:
P = (C – 3) mod 26
Như với mật mã chuyển vị, có nhiều mật mã thay thế phức tạp hơn các ví dụ
được cung cấp trong chương này. Mật mã thay thế polyalphabetic sử dụng nhiều
bảng chữ cái trong cùng một thông điệp để gây cản trở nỗ lực giải mã. Một trong
những ví dụ đáng chú ý nhất của hệ thống mật mã thay thế polyalphabetic là
mật mã Vigenère. Mật mã Vigenère sử dụng một biểu đồ mã hóa/giải mã duy
nhất, như được hiển thị dưới đây.
452 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
|ABCDEFGHIJKLMNOPQRSTUVWXYZ
----------------------------A|ABCDEFGHIJKLMNOPQRSTUVWXYZ
B|BCDEFGHIJKLMNOPQRSTUVWXYZA
C|CDEFGHIJKLMNOPQRSTUVWXYZAB
D|DEFGHIJKLMNOPQRSTUVWXYZABC
E|EFGHIJKLMNOPQRSTUVWXYZABCD
F|FGHIJKLMNOPQRSTUVWXYZABCDE
G|GHIJKLMNOPQRSTUVWXYZABCDEF
H|HIJKLMNOPQRSTUVWXYZABCDEFG
I|IJKLMNOPQRSTUVWXYZABCDEFGH
J|JKLMNOPQRSTUVWXYZABCDEFGHI
K|KLMNOPQRSTUVWXYZABCDEFGHIJ
L|LMNOPQRSTUVWXYZABCDEFGHIJK
M|MNOPQRSTUVWXYZABCDEFGHIJKL
N|NOPQRSTUVWXYZABCDEFGHIJKLM
O|OPQRSTUVWXYZABCDEFGHIJKLMN
P|PQRSTUVWXYZABCDEFGHIJKLMNO
Q|QRSTUVWXYZABCDEFGHIJKLMNOP
R|RSTUVWXYZABCDEFGHIJKLMNOPQ
S|STUVWXYZABCDEFGHIJKLMNOPQR
T|TUVWXYZABCDEFGHIJKLMNOPQRS
U|UVWXYZABCDEFGHIJKLMNOPQRST
V|VWXYZABCDEFGHIJKLMNOPQRSTU
W|WXYZABCDEFGHIJKLMNOPQRSTUV
X|XYZABCDEFGHIJKLMNOPQRSTUVW
Y|YZABCDEFGHIJKLMNOPQRSTUVWX
Z|ZABCDEFGHIJKLMNOPQRSTUVWXY
Hãy lưu ý rằng biểu đồ chỉ đơn giản là bảng chữ cái được viết lặp lại (26 lần)
dưới tiêu đề chính, dịch chuyển một chữ cái mỗi lần. Bạn sẽ cần đến một chìa
khóa để sử dụng hệ thống Vigenère. Ví dụ, khóa có thể là MILES. Sau đó, bạn
sẽ thực hiện quá trình mã hóa như sau:
453 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
1. Viết ra bản rõ.
2. Ngay bên dưới, viết ra khóa mã hóa, lặp lại khóa nhiều lần nếu cần thiết
để xác lập nên một dòng văn bản có cùng độ dài với bản rõ.
3. Chuyển từng vị trí của mỗi ký tự từ bản rõ thành bản mã
a. Định vị cột đứng đầu bởi ký tự rõ ràng đầu tiên (A),
b. Tiếp theo, định vị dòng đứng đầu bởi ký tự đầu tiên của khóa (S)
[tác giả nhầm ký tự đầu tiên của khóa – là ký tự M],
c. Cuối cùng, định vị nơi hai mục trên giao nhau, viết ra ký tự (S) [tác
giả nhầm ký tự đầu tiên của khóa – là ký tự M] xuất hiện ở đó. Đây
chính là bản mã cho vị trí của ký tự đó.
4. Lặp lại các bước từ 1 đến 3 cho từng ký tự trong bản rõ. Kết quả được
minh họa trong Bảng 6.5.
(nôm na: cột sẽ được xác định bằng từ của bản rõ, hàng sẽ dùng khóa – người
dịch)
BẢNG 6.5 Sử dụng hệ thống Vigenère
Giai đoạn xử lý
Ký tự
Bản rõ
L
A
U
N
C
H
N
O
W
Khóa
M
I
L
E
S
M
I
L
E
Bản mã
X
I
F
R
U
T
V
Z
A
Mặc dù sự thay thế polyalphabetic bảo vệ chống lại phân tích tần số trực tiếp,
nhưng nó dễ bị tổn thương bởi hình thức phân tích tần số bậc-hai được gọi là
phân tích chu kỳ, là một quá trình kiểm tra tần suất dựa trên việc sử dụng lại
khóa.
Bảng Một-Lần (One-Time Pads)
Bảng một-lần là một loại mật mã thay thế cực kỳ mạnh mẽ. Các bảng một lần sử
dụng một bảng chữ cái thay thế khác nhau cho mỗi chữ cái của thông điệp văn
bản rõ. Chúng có thể được biểu diễn bằng hàm mã hóa dưới đây, trong đó K là
khóa mã hóa được sử dụng để mã hóa ký tự bản rõ P thành ký tự mã hóa C:
454 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C = (P + K) mod 26
Thông thường, bảng một-lần được viết như là một dãy số rất dài để gắn vào
hàm.
Các bảng một-lần còn được gọi là mật mã Vernam, được đặt theo
tên gọi của người phát minh ra nó, Gilbert Sandford Vernam c ủa
AT & T Bell Labs.
Ưu điểm tuyệt vời của bảng một-lần là khi được sử dụng đúng cách, chúng là
một lược đồ mã hóa không thể phá vỡ. Không có mô hình lặp lại của các chữ cái
thay thế, khiến cho các nỗ lực phân tích mật mã trở nên vô ích. Tuy nhiên, m ột
số yêu cầu cần phải được đáp ứng để đảm bảo tính toàn vẹn của thuật toán:
▪
Bảng một-lần phải được tạo ra một cách ngẫu nhiên. Việc sử dụng một
cụm từ hoặc một đoạn văn trong sách sẽ cung cấp khả năng để các chuyên
gia phân tích mật mã có thể phá mã.
▪
Bảng một-lần phải được bảo vệ về mặt vật lý để chống lại sự tiết lộ. Nếu
kẻ thù có m ột bản sao của bảng, chúng có thể dễ dàng giải mã các thông
điệp được mã hóa.
Tại thời điểm này, bạn có thể nghĩ rằng mật mã Caesar, mật mã
Vigenère và bảng một-lần nghe rất giống nhau. Chính xác! Sự
khác biệt duy nhất là chiều dài khóa. Mật mã chuyển Caesar sử
dụng một khóa có độ dài bằng một, mật mã Vigenère sử dụng một
khóa dài hơn (thường là một từ hoặc câu) và bảng một-lần sử
dụng một khóa dài bằng chính thông điệp đó.
▪
Mỗi bảng một-lần chỉ được sử dụng một lần. Nếu các bảng này được sử
dụng lại, các chuyên gia phân tích mật mã có thể so sánh các điểm tương
đồng trong nhiều thông điệp được mã hóa bằng cùng một bảng và có thể
xác định các giá trị khóa đã được sử dụng. Trên thực tế, một thực tiễn
phổ biến khi sử dụng các bảng giấy là phá hủy trang có chứa vật liệu khóa
sau khi nó được sử dụng để ngăn việc tái sử dụng.
455 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Khóa ít nhất phải dài bằng với thông điệp được mã hóa. Điều này là do
mỗi ký tự của khóa chỉ được sử dụng để mã hóa một ký tự của thông báo.
Các yêu cầu bảo mật bảng một-lần này là kiến thức cần thiết cho
bất kỳ chuyên gia bảo mật mạng nào. Thông thường, mọi người
cố gắng triển khai hệ thống mật mã bảng một-lần nhưng không
đáp ứng được một hoặc nhiều yêu cầu cơ bản này. Hãy đọc để
biết ví dụ về việc toàn bộ hệ thống mã của Liên Xô đã bị hỏng vì
sự bất cẩn trong lĩnh vực này như thế nào.
Nếu bất kỳ một trong những yêu cầu này không được đáp ứng, bản chất không
thể xuyên thủng của bảng một-lần sẽ ngay lập tức bị phá vỡ. Trên thực tế, một
trong những thành công tình báo quan trọng của Hoa Kỳ là khi các chuyên gia
phân tích mật mã phá vỡ một hệ thống mật mã tối mật của Liên Xô dựa vào việc
sử dụng các bảng một-lần. Trong dự án này, có tên gọi là mã VENONA, một mô
hình theo cách thức Liên Xô đã tạo ra các giá trị khóa được sử dụng trong các
bảng của họ đã bị phát hiện. Sự tồn tại của mẫu này đã vi phạm yêu cầu đầu
tiên của hệ thống mật mã bảng một-lần: các khóa phải được tạo ra một cách
ngẫu nhiên mà không sử dụng bất kỳ mẫu lặp lại nào. Toàn bộ dự án VENONA
gần đây đã được giải mật và được công bố rộng rãi trên trang web của Cơ quan
An
ninh
Quốc
gia
Hoa
Kỳ
tại địa
chỉ
URL www.nsa.gov/about/cryptologic-
heritage/historicalfigurespublications/Publishers/coldwar/asset/files/venona_story.pdf.
Các bảng một-lần đã được sử dụng trong suốt lịch sử để bảo vệ các thông tin
liên lạc cực kỳ nhạy cảm. Trở ngại lớn đối với việc sử dụng rộng rãi chúng là sự
khó khăn trong việc tạo ra, phân phối và bảo vệ các khóa dài cần thiết. Trên
thực tế, các bảng một-lần chỉ có thể được sử dụng cho các thông điệp ngắn, vì
độ dài của các khóa.
456 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Nếu bạn thích thú với việc tìm hiểu thêm về các bảng một-lần, sẽ
có một mô tả tuyệt vời về nó cùng với những hình ảnh và ví dụ
tại www.cryptomuseum.com/crypto/otp/index.html .
Mật mã Khóa đang Hoạt động
Có rất nhiều lỗ hổng mật mã xoay quanh độ dài bị hạn chế của khóa mật mã.
Như bạn đã tìm hiểu trong phần trước, các bảng một-lần tránh những lỗ hổng
này bằng cách sử dụng một khóa có chiều dài ít nhất bằng với chiều dài của
thông điệp. Tuy nhiên, các bảng một-lần rất khó triển khai vì chúng đòi hỏi sự
trao đổi về mặt vật lý của các bảng.
Một giải pháp phổ biến cho tình huống khó xử này là sử dụng mật mã khóa đang
hoạt động (còn được gọi là mật mã sách (book cipher). Trong mật mã này, khóa
mã hóa dài như chính thông điệp và thường được chọn từ một cuốn sách, tờ báo
hoặc tạp chí thông thường. Ví dụ, người gửi và người nhận có thể đồng ý trước
để sử dụng văn bản của một chương từ Moby-Dick, bắt đầu bằng đoạn thứ ba,
làm khóa. Cả hai sẽ chỉ đơn giản sử dụng nhiều ký tự liên tiếp nếu cần thiết để
thực hiện các hoạt động mã hóa và giải mã.
Hãy xem một ví dụ. Giả sử bạn muốn mã hóa thông điệp “Richard sẽ giao gói
hàng bí mật cho Matthew ở trạm xe buýt vào ngày mai” (Richard will deliver the
secret packet to Matthew at the bus station tomorrow ) bằng cách sử dụng khóa
vừa mô tả. Thông điệp này có độ dài 66 ký tự, vì vậy bạn sẽ sử dụng 66 ký tự
đầu tiên của khóa đang hoạt động: “With much interet I sat watching him.
Savage though he was, and hideously marred”. Sau đó, bất kỳ thuật toán nào
cũng có thể được sử dụng để mã hóa bản rõ bằng cách sử dụng khóa này. Hãy
xem ví dụ về phép toán modulo 26, chuyển đổi mỗi chữ cái thành số tương đương
với số thập phân, cộng bản rõ vào khóa và sau đó thực hiện thao tác modulo 26
để tạo ra bản mã. Nếu bạn gán cho chữ A giá trị 0 và chữ Z giá trị 25 thì Bảng
6.6 cho thấy hoạt động mã hóa cho hai từ đầu tiên của bản mã.
457 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
BẢNG 6.6 Cách hoạt động của mã hóa
Thành phần của phép toán
x
x
x
x
x
x
x
x
x
x
x
Bản rõ
R
I
C
H
A
R
D
W
I
L
L
Khóa
W
I
T
H
M
U
C
H
I
N
T
Bản rõ bằng số
17
8
2
7
0
17
3
22
8
11
11
Khóa bằng số
22
8
19
7
12
20
2
7
8
13
19
Bản mã bằng số
13
16
21
14
12
11
5
3
16
24
4
Bản mã
N
Q
V
O
M
L
F
D
Q
Y
E
Khi người nhận nhận được bản mã, họ sẽ sử dụng cùng một khóa và sau đó trừ
khóa ra khỏi bản mã, thực hiện một phép toán module 26, và sau đó chuyển đổi
bản rõ kết quả trở lại dưới dạng các ký tự chữ cái.
Mật mã Khối
Mật mã khối hoạt động trên các “đoạn (chunk)” hoặc khối (block), của một thông
điệp và áp dụng thuật toán mã hóa cho toàn bộ khối thông điệp cùng một lúc.
Mật mã chuyển vị là ví dụ về mật mã khối. Thuật toán đơn giản được sử dụng
trong thuật toán phản-hồi-thách-thức lấy toàn bộ một từ và đảo ngược các chữ
cái của nó. Mật mã chuyển vị dạng cột phức tạp hơn hoạt động trên toàn bộ
thông điệp (hoặc một phần của thông điệp) và mã hóa nó bằng cách sử dụng
thuật toán chuyển vị và một từ khóa bí mật. Hầu hết các thuật toán mã hóa hiện
đại đều thực hiện một số loại mật mã khối.
Mật mã Luồng
Mật mã luồng hoạt động trên một ký tự hoặc bit của thông điệp (hoặc luồng dữ
liệu) tại một thời điểm. Mật mã Caesar là một ví dụ về mật mã luồng. Bảng mộtlần cũng là một mật mã luồng vì thuật toán hoạt động trên từng chữ cái của
458 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thông điệp bản rõ một cách độc lập. Mật mã luồng cũng có thể hoạt động như
một loại mật mã khối. Trong các hoạt động như vậy, có một bộ đệm lấp đầy dữ
liệu thời-gian-thực, sau đó được mã hóa thành m ột khối và truyền đến người
nhận.
Nhầm lẫn và Lan truyền
Các thuật toán mật mã dựa trên hai hoạt động cơ bản để ẩn giấu các thông điệp
bản rõ – sự nhầm lẫn và lan truyền. Sự nhầm lẫn xảy ra khi mối quan hệ giữa
bản rõ và khóa phức tạp đến mức kẻ tấn công không thể chỉ tiếp tục thay đổi
bản rõ và phân tích bản mã thu được để xác định khóa. Sự lan truyền xảy ra khi
một sự thay đổi trong bản rõ dẫn đến nhiều thay đổi lan truyền khắp bản mã. Ví
dụ, hãy xem xét một thuật toán mật mã trước tiên thực hiện một phép thay thế
phức tạp và sau đó sử dụng phép chuyển vị để sắp xếp lại các ký tự của bản mã
được thay thế. Trong ví d ụ này, sự thay thế tạo ra sự nhầm lẫn và sự chuyển vị
tạo ra sự lan truyền.
Mật mã Hiện đại
Các hệ thống mật mã hiện đại sử dụng các thuật toán phức tạp về mặt tính toán
và những khóa mật mã dài để đáp ứng những mục đích về tính bảo mật, toàn
vẹn, xác thực và không khước từ của mật mã. Những phần dưới đây đề cập đến
những vai trò của khóa mật mã trong thế giới của dữ liệu bảo mật và xem xét 3
kiểu thuật toán được sử dụng phổ biến ngày nay: các thuật toán mã hóa đối
xứng, thuật toán mã hóa bất đối xứng, và thuật toán băm.
Khóa Mật mã
Trong những ngày đầu tiên của mật mã, một trong những nguyên tắc chủ yếu là
“bảo mật thông qua sự ẩn giấu”. Một số nhà mật mã nghĩ rằng cách tốt nhất để
giữ an toàn cho một thuật toán mã hóa là che giấu các chi tiết của thuật toán
đối với người ngoài. Các hệ thống mật mã cũ đòi hỏi các bên giao tiếp phải giữ
bí mật với các bên thứ ba về thuật toán đã được sử dụng để mã hóa và giải mã
thông điệp. Bất kỳ sự tiết lộ nào về thuật toán đều có thể dẫn đến việc kẻ thù
xâm phạm toàn bộ hệ thống.
Các hệ thống mật mã hiện đại không dựa vào tính bí mật của các thuật toán của
chúng. Trên thực tế, các thuật toán cho hầu hết các hệ thống mật mã được phổ
459 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
biến rộng rãi để công chúng xem xét trong các tài li ệu kèm theo và trên Internet.
Việc đưa ra các thuật toán để công chúng xem xét kỹ lưỡng thực sự cải thiện
tính bảo mật của chúng. Việc phân tích rộng rãi các thuật toán của cộng đồng
bảo mật máy tính cho phép những người thực hành phát hiện và sửa chữa các lỗ
hổng bảo mật tiềm ẩn và đảm bảo rằng các thuật toán mà họ sử dụng để bảo vệ
thông tin liên lạc của họ càng an toàn càng tốt.
Thay vì dựa vào các thuật toán bí mật, các hệ thống mật mã hiện đại dựa vào
tính bí mật của một hoặc nhiều khóa mật mã được sử dụng để cá nhân hóa thuật
toán cho người dùng hoặc nhóm người dùng cụ thể. Hãy nhớ lại cuộc thảo luận
về mật mã chuyển vị mà một từ khóa được sử dụng với chuyển vị cột để hướng
dẫn các nỗ lực mã hóa và giải mã. Thuật toán được sử dụng để thực hiện chuyển
vị cột đã được biết đến khá nhiều - bạn chỉ cần đọc chi tiết về nó trong quyển
sách này! Tuy nhiên, chuyển vị cột có thể được sử dụng để giao tiếp an toàn
giữa các bên miễn là một từ khóa được chọn mà người ngoài sẽ không đoán
được. Miễn là tính bảo mật của từ khóa này vẫn được duy trì, việc các bên thứ
ba biết chi tiết của thuật toán không thành vấn đề.
Mặc dù bản chất công khai của thuật toán không vi phạm tính bảo
mật của chuyển vị cột nhưng phương pháp này gây ra m ột vài
điểm yếu cố hữu khiến cho nó dễ bị tổn thương trước phân tích
mật mã. Do đó, đây là một công nghệ không phù hợp để sử dụng
trong giao tiếp bảo mật hiện đại.
Trong phần thảo luận về các bảng một-lần trước đây trong chương này, b ạn đã
hiểu được rằng sức mạnh chủ yếu của thuật toán bảng một-lần bắt nguồn từ
thực tế rằng nó sử dụng một khóa cực kỳ dài. Trên thực tế, đối với thuật toán
đó, khóa có chiều dài ít nhất bằng với chiều dài của thông điệp. Hầu hết các hệ
thống mật mã hiện đại không sử dụng các khóa quá dài, nhưng độ dài của khóa
vẫn là một yếu tố cực kỳ quan trọng trong việc xác định sức mạnh của hệ thống
mật mã và khả năng về việc mã hóa sẽ không bị xâm phạm thông qua các kỹ
thuật phân tích mã. Những khóa dài hơn đem lại mức bảo mật cao hơn bằng cách
gia tăng kích thước của không gian khóa, khiến cho các cuộc tấn công kiểu
cưỡng-bức trở nên khó khăn hơn.
460 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Sự gia tăng nhanh chóng của năng lực tính toán cho phép bạn sử dụng các khóa
ngày càng dài trong những nỗ lực mật mã của mình. Tuy nhiên, năng lực tính
toán tương tự cũng nằm trong tay các chuyên gia phân tích mã đang cố gắng
đánh bại các thuật toán mà bạn sử dụng. Do đó, điều thiết yếu là bạn phải vượt
qua đối thủ bằng cách sử dụng các khóa đủ dài để đánh bại những nỗ lực phân
tích mật mã hiện đại. Ngoài ra, nếu bạn muốn cải thiện cơ hội để dữ liệu của
mình vẫn an toàn trước quá trình phân tích mật mã trong tương lai, bạn phải cố
gắng sử dụng các khóa sẽ vượt xa mức gia tăng được dự kiến về khả năng phân
tích trong suốt khoảng thời gian mà dữ liệu phải được giữ an toàn [nghĩa là độ
dài khóa phải đủ để đảm bảo cho sự an toàn của dữ liệu trong khoảng thời gian
được yêu cầu trước khi nó bị phân tích]. Ví dụ, sự ra đời của điện toán lượng tử
có thể biến đổi mật mã, khiến cho các hệ thống mật mã hiện tại trở nên không
còn bảo mật, như đã được thảo luận trước đó trong chương này.
Khi Tiêu chuẩn Mã hóa Dữ liệu (DES) ra đời năm 1975, khóa 56-bit được coi là
đủ để duy trì tính bảo mật của bất kỳ dữ liệu nào. Tuy nhiên, hiện nay đã có sự
đồng tình rộng rãi rằng thuật toán DES 56-bit không còn bảo mật vì những tiến
bộ trong kỹ thuật phân tích mật mã và sức mạnh của các siêu máy tính. Các hệ
thống mật mã hiện đại sử dụng ít nhất một khóa 128-bit để bảo vệ dữ liệu khỏi
những con mắt tò mò. Hãy nhớ rằng, độ dài của khóa liên quan trực tiếp đến
chức năng hoạt động của hệ thống mật mã: khóa càng dài thì hệ thống mật mã
càng khó bị phá vỡ.
Ngoài việc chọn các khóa dài và sẽ vẫn an toàn trong khoảng thời gian dự kiến
mà thông tin sẽ được giữ bí mật, bạn cũng nên thực hiện một số phương pháp
quản lý khóa khác như dưới đây:
▪
Luôn luôn lưu trữ khóa bí mật một cách bảo mật và, nếu bạn phải truyền
chúng qua mạng, hãy thực hiện điều này theo cách bảo vệ chúng khỏi bị
tiết lộ trái phép.
▪
Chọn các khóa bằng phương pháp tiếp cận có độ ngẫu nhiên nhiều nhất có
thể, tận dụng toàn bộ không gian khóa.
▪
Hủy khóa bảo mật khi không còn cần thiết.
461 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Các Thuật toán Khóa Đối xứng
Các thuật toán khóa đối xứng dựa vào một khóa mã hóa “bí mật được chia sẻ”
được phân phối cho mọi thành viên tham gia vào giao ti ếp. Khóa này được sử
dụng bởi tất cả các bên để mã hóa và giải mã thông điệp, do đó, cả người gửi
và người nhận đều sở hữu một bản sao của khóa được chia sẻ. Người gửi mã hóa
bằng khóa bí mật được chia sẻ và người nhận cũng giải mã bằng chính khóa này.
Khi các khóa kích-thước-lớn được sử dụng, mã hóa đ ối xứng sẽ rất khó bị phá
vỡ. Nó chủ yếu được ửs dụng để thực hiện mã hóa hàng loạt và chỉ cung cấp
dịch vụ bảo vệ tính bảo mật. Mật mã khóa đối xứng cũng có thể được gọi là mật
mã khóa bí mật và mật mã khóa riêng tư. Hình 6.3 minh họa cho các quá trình
mã hóa và giải mã bằng khóa đối xứng (với “C” đại diện cho một thông điệp bản
mã và “P” đại diện cho một thông điệp bản rõ).
HÌNH 6.3
Mật mã khóa đối xứng
Nếu bạn thấy rằng minh đang bị bối rối về sự khác biệt giữa mật
mã đối xứng và bất đối xứng, có thể sẽ rất hữu ích khi nhớ rằng
“same” là từ đồng nghĩa với “đối xứng” và “different” là t ừ đồng
nghĩa với bất đối xứng. Trong mật mã đối xứng, thông điệp được
mã hóa và giải mã bằng cùng một khóa, trong khi trong m ật mã
không đối xứng, mã hóa và giải mã sử dụng các khóa khác nhau
(nhưng có liên quan với nhau).
462 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Trong một số trường hợp, mật mã đối xứng có thể được sử dụng với các khóa
tạm thời chỉ tồn tại trong một phiên duy nhất. Trong những trường hợp đó, khóa
bí mật còn được gọi là một khóa phù du (ephemeral key). Ví dụ phổ biến nhất
về điều này là giao thức Bảo mật Lớp Truyền tải (TLS), vốn sử dụng mật mã bất
đối xứng để thiết lập một kênh được bảo mật và sau đó chuyển sang mật mã đối
xứng sử dụng một khóa phù du. Bạn sẽ tìm hiểu nhiều hơn về chủ đề này trong
Chương 7.
Việc sử dụng thuật ngữ khóa riêng tư có thể khá khó khăn vì nó
là một phần của ba thuật ngữ khác nhau có hai ý nghĩa khác nhau.
Bản thân thuật ngữ khóa riêng tư luôn có nghĩa là khóa riêng tư
từ cặp khóa của mật mã khóa công khai (hay còn g ọi là bất đối
xứng). Tuy nhiên, cả mật mã khóa riêng tư lẫn khóa riêng tư được
chia sẻ đều đề cập đến mật mã đối xứng. Nghĩa của từ riêng tư
được kéo dài để chỉ hai người chia sẻ một bí mật mà họ giữ kín.
(Ý nghĩa thực sự của riêng tư là chỉ một người duy nhất có bí mật
được giữ bí mật.) Hãy đảm bảo giữ đúng những thuật ngữ khó
hiểu này trong quá trình nghiên c ứu của bạn.
Mật mã khóa đối xứng có một vài điểm yếu như sau:
Phân phối khóa là một vấn đề lớn Các bên phải có một phương pháp
được bảo mật để trao đổi khóa bí mật trước khi thiết lập nên giao tiếp với
một giao thức khóa đối xứng. Nếu một kênh điện tử bảo mật không sẵn
có, một phương pháp phân phối khóa ngoại tuyến phải thường được sử
dụng (nghĩa là, trao đổi ngoài-dải-tần).
Mật mã khóa đối xứng không triển khai tính không khước từ. Bởi vì
bất kỳ bên nào đang tham gia giao tiếp cũng có thể mã hóa và giải mã
thông điệp với khóa bí mật được chia sẻ, do đó không có cách nào chứng
minh được một thông điệp nhất định có nguồn gốc từ đâu.
Thuật toán không có khả năng mở rộng. Sẽ cực kỳ khó khăn cho các
nhóm lớn để giao tiếp bằng cách sử dụng mật mã khóa đối xứng. Giao tiếp
463 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
riêng tư an toàn giữa các cá nhân trong nhóm có thể đạt được chỉ khi từng
tổ hợp người dùng chia sẻ một khóa riêng tư.
Các khóa phài thường xuyên được tạo lại. Mỗi khi có một bên rời khỏi
nhóm, tất cả các khóa đã được biết bởi từng bên phải được hủy bỏ. Trong
các hệ thống mã hóa tự động, các khóa có thể được tạo lại dựa trên khoảng
thời gian đã trôi qua, lượng dữ liệu đã được trao đổi, hoặc thực tế là một
phiên không hoạt động hoặc bị kết thúc.
Sức mạnh chủ yếu của mật mã khóa đối xứng là tốc độ tuyệt vời mà tại đó nó
có thể hoạt động. Mã hóa khóa đối xứng rất nhanh, thường nhanh hơn từ 1,000
đến 10,000 lần so với các thuật toán bất đối xứng. Do bản chất của toán học
liên quan, mật mã khóa đối xứng cũng tự nhiên cho phép triển khai phần cứng,
tạo cơ hội cho các hoạt động tốc-độ-cao-hơn và các nhiệm vụ mã hóa hàng loạt.
Phần “Mật mã Đối xứng”, ở phần sau của chương này, đem đến một cái nhìn chi
tiết về các thuật toán khóa bí mật chính đang được sử dụng ngày nay.
Các Thuật toán Khóa Bất đối xứng
Các thuật toán khóa bất đối xứng cung cấp một giải pháp cho những điểm yếu
của mã hóa khóa đối xứng. Các thuật toán khóa công khai là ví dụ phổ biến nhất
về các thuật toán bất đối xứng. Trong những hệ thống này, mỗi người dùng sẽ
có hai khóa: một khóa công khai, được chia sẻ với mọi người dùng, và một khóa
riêng tư, vốn được giữ bí mật và chỉ có người dùng biết. Nhưng đây là một điểm
khác biệt: các khóa đối diện nhau và có liên quan phải được sử dụng song song
để mã hóa và giải mã. Nói cách khác, nếu khóa công khai mã hóa một thông
điệp, thì chỉ khóa riêng tư tương ứng mới có thể giải mã nó và ngược lại.
Hình 6.4 minh họa cho thuật toán được sử dụng để mã hóa và giải mã thông
điệp trong hệ thống mật mã khóa công khai (với “C” đại diện cho thông điệp bản
mã và “P” đại diện cho thông điệp văn bản rõ). Hãy cùng xem xét ví dụ này. Nếu
Alice muốn gửi thông điệp cho Bob bằng cách sử dụng mật mã khóa công khai,
cô ấy sẽ tạo ra thông điệp và sau đó mã hóa nó bằng khóa công khai của Bob.
Cách duy nhất khả dĩ để giải mã bản mã này là sử dụng khóa riêng tư c ủa Bob
và người dùng duy nhất có quyền truy cập vào khóa đó là Bob. Do đó, Alice thậm
464 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
chí không thể tự mình giải mã thông điệp sau khi cô ấy đã mã hóa nó. Nếu Bob
muốn gửi thư trả lời cho Alice, anh ấy chỉ cần mã hóa thư bằng khóa công khai
của Alice và sau đó Alice đọc thư bằng cách giải mã bằng khóa riêng tư của cô.
HÌNH 6.4 Mật mã khóa bất đối xứng
Kịch bản trong Thế giới Thực
Các yêu cầu đối với Khóa
Trong một lớp mà một trong số các tác giả đã giảng dạy gần đây, một sinh viên muốn
xem xét một minh họa về vấn đề về khả năng mở rộng tương ứng với các thuật toán
mã hóa bất đối xứng. Thực tế là các hệ thống mật mã đối xứng yêu cầu mỗi cặp của
bên giao tiếp tiềm năng phải có một khóa riêng tư được chia sẻ khiến cho thuật toán
không thể thay đổi được. Tổng số khóa cần thiết để kết nối hoàn toàn mà n bên sử
dụng mật mã đối xứng được tính theo công thức sau:
Số lượng các Khóa =
𝑛(𝑛−1)
2
465 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bây giờ, điều này nghe có vẻ không quá tệ (và nó không dành cho các hệ thống nhỏ),
nhưng hãy xem xét các số liệu được hiển thị trong Bảng 6.7. Rõ ràng, tập hợp càng
lớn thì hệ thống mật mã đối xứng càng ít có kh ả năng phù hợp để đáp ứng nhu c ầu
của nó.
BẢNG 6.7 So sánh khóa đối xứng và bất đối xứng
Số bên tham gia
Số lượng khóa đối xứng
Số
lượng
khóa
cần thiết
xứng cần thiết
2
1
4
3
3
6
4
6
8
5
10
10
10
45
20
100
4,950
200
1,000
499,500
2,000
10,000
49,995,000
20,000
bất
đối
Các thuật toán khóa bất đối xứng cũng mang lại sự hỗ trợ cho công nghệ chữ ký
kỹ thuật số. Về cơ bản, nếu Bob muốn bảo đảm với người dùng khác ràng một
thông điệp với tên của anh ấy đã thực sự được gửi đi bởi anh ấy thì trước tiên,
anh tạo ra một đồng hóa thông điệp bằng cách sử dụng một thuật toán băm (bạn
sẽ tìm hiểu sâu thêm về các thuật toán băm ở phần tiếp theo). Sau đó, Bob mã
hóa đồng hóa đó bằng cách sử dụng khóa riêng tư của mình. Bất kỳ người dùng
nào muốn xác minh chữ ký đơn giản chỉ cần giải mã bản đồng hóa bằng cách sử
dụng khóa công khai của Bob và sau đó xác minh rằng đồng hóa thông điệp đã
được giải mã là chính xác. Chương 7 gi ải thích chi tiết hơn về quá trình này.
466 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Dưới đây là một danh sách những sức mạnh chủ yếu của mật mã khóa bất đối
xứng:
Việc bổ sung thêm người dùng mới chỉ đòi hỏi sự tạo ra thêm chỉ
một cặp khóa riêng-tư-công-khai. Cặp khóa tương tự này được sử dụng
để giao tiếp với tất cả những người sử dụng hệ thống mật mã bất đối
xứng. Điều này khiến cho thuật toán có khả năng mở rộng cực kỳ cao.
Người dùng có thể được loại bỏ một cách dễ dàng hơn khỏi các hệ
thống bất đối xứng. Hệ thống mật mã bất đối xứng cung cấp cơ chế thu
hồi khóa cho phép hủy khóa, loại bỏ người dùng khỏi hệ thống một cách
hiệu quả.
Việc tạo lại khóa chỉ bắt buộc khi khóa riêng tư của người dùng bị
xâm phạm. Nếu một người dùng rời khỏi cộng đồng, quản trị viên hệ
thống chỉ cần làm mất hiệu lực các khóa của người dùng đó. Không có
khóa nào khác bị xâm phạm và do đó, không cần tái tạo khóa đối với bất
kỳ người dùng nào khác.
Mã hóa khóa bất đối xứng có thể cung cấp tính toàn vẹn, xác thực
và không khước từ. Nếu người dùng không chia sẻ khóa cá nhân của họ
với các cá nhân khác, thông điệp do người dùng đó ký có thể được hiển
thị là chính xác và từ một nguồn cụ thể và không thể khước từ sau đó.
Mật mã bất đối xứng có thể được sử dụng để tạo ra chữ ký điện tử cung
cấp tính năng không khước từ, như được thảo luận trong Chương 7.
Phân phối khóa là một quá trình đơn giản. Người dùng muốn tham gia
vào hệ thống chỉ cần cung cấp khóa công khai của họ cho bất kỳ ai mà họ
muốn giao tiếp. Không có phương pháp nào mà theo đó khóa cá nhân có
thể được lấy từ khóa công khai.
Không cần phải có liên kết giao tiếp từ trước tồn tại. Hai cá nhân có
thể bắt đầu giao tiếp một cách an toàn ngay từ khi họ bắt đầu giao tiếp.
Mật mã bất đối xứng không yêu cầu mối quan hệ tồn tại từ trước để cung
cấp cơ chế bảo mật cho việc trao đổi dữ liệu.
467 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Điểm yếu chính của mật mã khóa công khai là tốc độ hoạt động của nó khá chậm.
Vì lý do này, rất nhiều ứng dụng đòi hỏi truyền tải an toàn một lượng lớn dữ
liệu sử dụng mật mã khóa công khai để thiết lập một kết nối sau đó trao đổi một
khóa bí mật đối xứng. Phương pháp tiếp cận kết hợp mật mã đối xứng và bất đối
xứng còn được gọi là mật mã hỗn hợp.
Bảng 6.8 so sánh các hệ thống mật mã đối xứng và bất đối xứng. Sự kiểm tra kỹ
lưỡng bảng này cho thấy rằng điểm yếu trong một hệ thống được khớp với điểm
mạnh trong hệ thống kia.
BẢNG 6.8 So sánh các hệ thống mật mã đối xứng và bất đối xứng
Đối xứng
Bất đối xứng
Khóa được chia sẻ duy nhất
Các bộ cặp khóa
Trao đổi ngoài-dải-tần
Trao đổi trong-dải-tần
Không có khả năng mở rộng
Có khả năng mở rộng
Nhanh
Chậm
Mã hóa hàng loạt
Các khối nhỏ dữ liệu, chữ ký kỹ thuật số, phong bì
kỹ thuật số, chứng nhận kỹ thuật số
Tính bảo mật
Tính bảo mật, tính toàn vẹn (thông qua băm), tính
xác thực, không khước từ (thông qua các chữ ký kỹ
thuật số)
Chương 7 cung cấp những chi tiết kỹ thuật về các thuật toán mã
hóa khóa công khai và một số ứng dụng của chúng.
Các Thuật toán Băm
Trong phần trước đó, bạn đã tìm hiểu được rằng các hệ thống mã hóa khóa có
thể cung cấp tính năng chữ ký số khi được sử dụng cùng với một bản đồng hóa
thông điệp. Đồng hóa thông điệp (còn được gọi là giá trị băm hoặc dấu vân tay)
là bản tóm tắt nội dung của thông điệp (không giống như tổng kiểm tra tập tin)
468 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
được tạo ra bởi một thuật toán băm. Rất khó, nếu không muốn nói là không thể,
để lấy được một thông điệp từ một hàm băm lý tưởng, và có rất ít khả năng hai
thông điệp sẽ tạo ra cùng một giá trị băm. Các trường hợp trong đó một hàm
băm tạo ra cùng một giá trị cho hai phương pháp khác nhau được gọi là xung
đột, và sự tồn tại của xung đột thường dẫn đến việc phản đối thuật toán băm.
Chương 7 cung cấp thêm các chi tiết về các thuật toán băm hiện đại và giải thích
cách thức chúng được sử dụng để cung cấp khả năng chữ ký kỹ thuật số như thế
nào, giúp đáp ứng các mục đích của mật mã về tính toàn vẹn và không khước
từ.
Mật mã Đối xứng
Bạn đã tìm hiểu về những khái niệm cơ bản làm nền tảng cho mật mã khóa đối
xứng, mật mã khóa bất đối xứng, và các hàm băm. Trong những phần tiếp theo,
chúng ta sẽ tiếp tục đào sâu thêm về một số hệ thống mật mã đối xứng phổ
biến.
Các Chế độ Hoạt động của Mật mã
Các chế độ hoạt động của mật mã mô tả những cách thức khác nhau mà các
thuật toán mật mã có thể biến đổi dữ liệu để đạt được độ phức tạp đủ để bảo
vệ chống lại cuộc tấn công. Các chế độ hoạt động chính là chế độ Sổ Mã Điện
tử (Electronic Code Book - ECB), chế độ Chuỗi Khối Mật mã (Cipher Block
Chaining - CBC), chế độ Phản hồi Mật mã (Cipher Feedback - CFB), chế độ Phản
hồi Đầu ra (Output Feedback - OFB), chế độ Bộ đếm (Counter - CTR), Chế độ bộ
đếm Galois (Galois/Counter - GCM), và Bộ đếm với chế độ Mã Xác thực Thông
điệp Chuỗi Khối Mật mã (Cipher Block Chaining Message Authentication Code CCM).
Chế độ Sổ Mã Điện tử
Chế độ Sổ Mã Điện tử (ECB) là chế độ đơn giản nhất để tìm hiểu và cũng ít bảo
mật nhất. Mỗi lần thuật toán xử lý một khối 64-bit, nó chỉ đơn giản là mã hóa
khối bằng cách sử dụng khóa bí mật đã được chọn. Điều này có nghĩa là nếu như
thuật toán gặp cùng một khối nhiều lần, nó sẽ tạo ra các khối được mã hóa giống
nhau. Nếu kẻ thù nghe trộm được thông tin liên lạc, chúng có thể chỉ cần xây
dựng một “quyển sách mã” gồm tất cả các giá trị đã được mã hóa có thể có. Sau
469 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
khi thu thập đủ số lượng khối, các kỹ thuật phân tích mật mã có thể được sử
dụng để giải mã một số khối và phá vỡ lược đồ mã hóa.
Lỗ hổng này khiến cho việc sử dụng chế độ ECB trên bất kỳ đường truyền tải
ngắn nhất nào là không thực tế. Trong sử dụng hàng ngày, ECB chỉ được sử dụng
để trao đổi một lượng nhỏ dữ liệu, chẳng hạn như các khóa và tham số được sử
dụng để bắt đầu các chế độ mật mã khác cũng như các ô trong một cơ sở dữ
liệu.
Chế độ chuỗi khối mật mã
Trong chế độ chuỗi khối mật mã (CBC), mỗi khối chưa được mã hóa được XOR
với khối bản mã ngay trước nó trước khi nó được mã hóa. Quá trình giải mã chỉ
đơn giản là giải mã bản mã và đảo ngược hoạt động XOR. CBC triển khai một IV
và XOR nó với khối đầu tiên của thông điệp, tạo ra một đầu ra duy nhất mỗi khi
hoạt động được thực hiện. IV phải được gửi đến người nhận, có thể bằng cách
đặt IV ngay trước của bản mã hoàn chỉnh ở dạng đơn giản hoặc bằng cách bảo
vệ nó bằng mã hóa chế độ ECB sử dụng cùng một khóa được sử dụng cho thông
điệp. Một lưu ý quan trọng khi sử dụng chế độ CBC là lỗi lan truyền - nếu một
khối bị hư hỏng trong quá trình truyền tải thì không thể giải mã khối đó và cả
khối tiếp theo.
Chế độ Phản hồi Mật mã
Chế độ phản hồi mật mã (CFB) là phiên bản mật mã luồng của CBC. Nói cách
khác, CFB hoạt động dựa trên dữ liệu được tạo ra theo thời gian thực. Tuy nhiên,
thay vì chia một thông điệp thành các khối, nó sử dụng bộ đệm bộ nhớ có cùng
kích thước khối. Khi bộ đệm đầy, nó sẽ được mã hóa và sau đó được gửi đến
người nhận. Sau đó, hệ thống sẽ đợi bộ đệm tiếp theo được lấp đầy khi dữ liệu
mới được tạo ra trước khi đến lượt nó được mã hóa và sau đó được truyền đi.
Ngoài sự thay đổi từ dữ liệu có trước sang dữ liệu thời gian thực, CFB hoạt động
theo cùng một kiểu như CBC. Nó sử dụng IV và sử dụng chuỗi.
Chế độ Phản hồi Đầu ra
470 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Trong Chế độ Phản hồi đầu ra (OFB), mật mã hoạt động theo kiểu gần giống như
ở chế độ CFB. Tuy nhiên, thay vì XOR một phiên bản đã được mã hóa của khối
bản mã trước đó, OFB XOR bản rõ với một giá trị gốc. Đối với khối được mã hóa
đầu tiên, một véc-tơ khởi tạo được sử dụng để tạo giá trị gốc. Giá trị gốc trong
tương lai được lấy bằng cách chạy thuật toán trên giá trị gốc trước đó. Ưu điểm
chính của chế độ OFB là không có chức năng chuỗi và các lỗi truyền dẫn không
lan truyền để gây ảnh hưởng đến việc giải mã các khối trong tương lai.
Chế độ Bộ đếm
Chế độ bộ đếm (CTR) sử dụng mật mã luồng tương tự như được sử dụng trong
chế độ CFB và OFB. Tuy nhiên, thay vì tạo ra giá trị gốc cho mỗi hoạt động mã
hóa/giải mã từ kết quả của các giá trị gốc trước đó, nó sử dụng một bộ đếm đơn
giản tăng dần cho mỗi hoạt động. Như với chế độ OFB, lỗi không lan truyền
trong chế độ CTR.
Chế độ CTR cho phép bạn chia một hoạt động mã hóa hoặc giải
mã thành nhiều bước độc lập. Điều này khiến cho chế độ CTR phù
hợp nhất để sử dụng trong tính toán song song.
Chế độ Bộ đếm/Galois
Chế độ Bộ đếm/Galois (GCM) sử dụng chế độ mã hóa CTR tiêu chuẩn và bổ sung
thêm các biện pháp kiểm soát tính xác thực của dữ liệu vào hỗn hợp, cung cấp
cho người nhận sự đảm bảo về tính toàn vẹn của dữ liệu đã nhận được. Điều này
được thực hiện bằng cách thêm các thẻ xác thực (authentication tag) vào quá
trình mã hóa
Chế độ Mã Xác thực Thông điệp Chuỗi Khối Mật mã
Tương tự như GCM, Bộ đếm với Chế độ Mã Xác thực Thông điệp Chuỗi Khối Mật
mã (CCM) kết hợp một chế độ bảo mật với một quy trình xác thực dữ liệu. Trong
trường hợp này, mật mã CCM kết hợp chế độ Bộ đếm (CTR) đối với tính bảo mật
và thuật toán Mã Xác thực Thông điệp Chuỗi Khối Mật mã (CBC-MAC) để xác thực
dữ liệu.
CCM chỉ được sử dụng với mật mã khối có độ dài khối 128-bit và yêu cầu sử
dụng một nonce cần phải được thay đổi cho mỗi lần truyền tải.
471 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Cả hai chế độ GCM và CCM đều bao gồm xác thực dữ liệu bên cạnh
tính năng bảo mật. Do đó, chúng còn được gọi là các chế độ xác
thực bảo mật. Các chế độ ECB, CBC, CFB, và CTR chỉ cung cấp
tính bảo mật và do đó, được gọi là các chế độ không xác thực.
Tiêu chuẩn Mã hóa Dữ liệu
Chính phủ Hoa Kỳ đã công bố Tiêu chuẩn Mã hóa Dữ liệu năm 1977 như một hệ
thống mật mã tiêu chuẩn được đề xuất cho tất cả các thông tin liên lạc của chính
phủ. Do những sai sót trong thuật toán, các nhà mật mã và chính phủ liên bang
đã không còn coi DES là an toàn nữa. Nhiều người tin rằng các cơ quan tình báo
thường xuyên giải mã được thông tin mã hóa bằng DES. DES đã được thay thế
bởi Tiêu chuẩn Mã hóa Nâng cao vào tháng 12 năm 2001. Điều quan trọng là
phải hiểu được DES vì nó là nền tảng cơ bản của Triple DES (3DES), một thuật
toán mã hóa mạnh hơn (nhưng vẫn chưa đủ mạnh) được thảo luận trong phần
tiếp theo.
DES là một mật mã khối 64-bit có 5 chế độ hoạt động: chế độ Sổ Mã Điện tử
(ECB), chế độ Chuỗi Khối Mật mã (CBC), chế độ Phản hồi Mật mã (CFB), chế độ
Phản hồi Đầu ra (OFB) và chế độ Bộ đếm (CTR). Tất cả các chế độ DES hoạt
động trên bản rõ 64-bit tại một thời điểm để tạo ra các khối bản mã 64-bit. Khóa
được DES sử dụng có độ dài 56-bit.
DES sử dụng một chuỗi dài các phép toán OR (XOR) đ ộc quyền để tạo ra bản
mã. Quá trình này được lặp lại 16 lần cho mỗi hoạt động mã hóa/giải mã. Mỗi
lần lặp lại thường được gọi là một vòng mã hóa, giải thích cho tuyên bố rằng
DES thực hiện 16 vòng mã hóa. Mỗi vòng tạo ra một khóa mới sau đó được sử
dụng làm đầu vào cho các vòng tiếp theo.
Như đã được đề cập, DES sử dụng khóa 56-bit để điều khiển quá
trình mã hóa và giải mã. Tuy nhiên, bạn có thể đọc được trong
một số tài liệu nói rằng DES sử dụng khóa 64-bit. Đây không phải
là sự mâu thuẫn - có một cách giải thích hoàn toàn hợp lý. Đặc
tả kỹ thuật DES yêu cầu khóa 64-bit. Tuy nhiên, trong số 64-bit
đó, chỉ có 56-bit thực sự chứa thông tin về khóa. 8-bit còn lại
472 | P a g e
được cho là chứa thông tin chẵn lẻ để đảm bảo rằng 56-bit còn
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
lại là chính xác. Tuy nhiên, trong th ực tế, những bit chẵn lẻ đó
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
hiếm khi được sử dụng. Bạn nên lưu con số 56-bit vào bộ nhớ của
mình.
Ba lần DES
Như đã được đề cập trong các phần trước đây, khóa 56-bit của Tiêu chuẩn Mã
hóa Dữ liệu (DES) không còn được coi là thích hợp khi đối mặt với các kỹ thuật
phân tích mật mã hiện đại và sức mạnh của các siêu máy tính. Tuy nhiên, m ột
phiên bản dã được điều chỉnh của DES, Triple DES (3DES), sử dụng cùng một
thuật toán để tạo ra mã hóa mạnh hơn nhưng điều đó cũng vẫn không còn được
coi là đủ để đáp ứng các yêu cầu hiện đại. Vì lý do này, chúng ta nên tránh mã
hóa 3DES, mặc dù nó vẫn được hỗ trợ bởi khá nhiều sản phẩm.
Có một số biến thể khác nhau của 3DES sử dụng số lượng các khóa độc lập khác
nhau. Hai biến thể đầu tiên, DES-EDE3 và DES EEE-3 sử dụng 3 khóa độc lập:
K1, K2 và K3. Sự khác biệt giữa hai biến thể này là các phép toán đã được sử
dụng, vốn được thể hiện bằng ký tự E đối với mã hóa, và ký tự D đối với giải
mã. DES-EDE3 mã hóa dữ liệu bằng K1, giải mã bản mã kết quả bằng K2 và sau
đó mã hóa tiếp văn bản đó bằng K3. DES-EDE3 có thể được thể hiện bằng cách
sử dụng ký hiệu sau, trong đó E(K, P) đại diện cho mã hóa bản rõ P bằng khóa
K, và D(K, P) đại diện cho giải mã bản mã C bằng khóa K: E(K1, D(K2, E (K3,
P))).
DES-EEE3, nói cách khác, mã hóa d ữ liệu với cả ba khóa theo trình tự lần lượt,
và có thể được thể hiện bằng: EK1, E(K2, E(K3, P))).
Nếu bạn đang tự băn khoăn rằng tại sao lại có hoạt động giải mã
ở giữa chế độ EDE thì đó là một tác phẩm phức tạp của quy trình
được sử dụng để tạo ra thuật toán và cung cấp khả năng tương
thích ngược với DES. Mã hóa và giải mã là các hoạt động có thể
đảo ngược, vì vậy mặc dù chức năng giải mã được sử dụng, nó
vẫn có thể được coi là một vòng mã hóa.
473 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Về mặt toán học, DES-EEE3 và DES-EDE3 phải có độ dài khóa hiệu dụng là 168bit. Tuy nhiên, các cuộc tấn công đã biết chống lại thuật toán này làm giảm sức
mạnh hiệu quả xuống chỉ còn 112-bit.
DES-EEE3 là biến thể duy nhất của 3DES hiện được NIST coi là an toàn. Các biến
thể khác, DES-EDE1, DES-EEE2 và DES-EDE2, sử dụng một hoặc hai khóa, lặp lại
cùng một khóa nhiều lần, nhưng các chế độ này cũng không còn được coi là an
toàn nữa. Cũng cần lưu ý rằng NIST gần đây đã ngừng sử dụng tất cả các biến
thể 3DES và sẽ không cho phép sử dụng chúng trong các ứng dụng của chính
phủ liên bang vào cuối năm 2023.
Phần thảo luận này đặt ra một câu hỏi rõ ràng - điều gì đã xảy ra
với Double DES (2DES)? Bạn sẽ đọc trong Chương 7 rằng Double
DES đã được thử nghiệm nhưng nhanh chóng bị bỏ rơi khi người
ta chứng minh rằng một cuộc tấn công được gọi là cuộc tấn công
meet-in-the-middle khiến nó không an toàn hơn DES tiêu chuẩn.
Thuật toán Mã hóa Dữ liệu Quốc tế
Mật mã khối Thuật toán Mã hóa Dữ liệu Quốc tế (International Data Encryption
Algorithm - IDEA) được phát triển để giải quyết các phàn nàn về độ dài khóa
không đủ của thuật toán DES. Giống như DES, IDEA hoạt động trên các khối bản
rõ/bản mã 64-bit. Tuy nhiên, nó bắt đầu hoạt động với một khóa 128-bit. Khóa
này được chia nhỏ trong một chuỗi hoạt động thành 52 khóa con, mỗi khóa có
độ dài 16-bit. Sau đó, các khóa con hoạt động trên văn bản đầu vào bằng cách
sử dụng kết hợp các phép toán XOR và mô-đun (modulo) để tạo ra phiên bản
được mã hóa/giải mã của thông điệp đầu vào. IDEA có khả năng hoạt động trong
cùng 5 chế độ được DES sử dụng: ECB, CBC, CFB, OFB và CTR.
Tất cả tài liệu này về kích thước khối chiều dài khóa và số lượng
vòng mã hóa trông có vẻ nhàm chán một cách đáng sợ, tuy nhiên,
đây là tài liệu quan trọng, vì vậy hãy nhớ ôn tập về nó trong khi
chuẩn bị cho kỳ thi.
474 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Thuật toán IDEA đã được cấp bằng sáng chế cho các nhà phát triển Thụy Sĩ. Tuy
nhiên, bằng sáng chế đã hết hạn vào năm 2012 và nó hiện có sẵn để sử dụng
mà không bị hạn chế. Một cách triển khai phổ biến của IDEA được tìm thấy trong
gói email bảo mật Pretty Good Privacy (PGP) ph ổ biến của Phil Zimmerma n.
Chương 7 sẽ trình bày chi tiết hơn về PGP.
Blowfish
Mật mã khối Blowfish của Bruce Schneier là một giải pháp thay thế khác đối với
DES và IDEA. Cũng giống như những người tiền nhiệm của nó, Blowfish hoạt
động trên các khối văn bản 64-bit. Tuy nhiên, nó mở rộng sức mạnh khóa của
IDEA hơn nữa bằng cách cho phép sử dụng các khóa có độ dài thay đổi từ 32bit tương đối không an toàn đến 448-bit cực kỳ mạnh mẽ. Rõ ràng, các khóa dài
hơn sẽ làm tăng thời gian mã hóa/giải mã tương ứng. Tuy nhiên, các thử nghiệm
thời gian đã xác định Blowfish là một thuật toán nhanh hơn nhiều so với cả IDEA
và DES. Ngoài ra, Schneier đã phát hành Blowfish đ ể sử dụng công khai mà
không cần giấy phép. Mã hóa Blowfish được tích hợp vào một số sản phẩm phần
mềm thương mại và Hệ điều hành. Một số thư viện Blowfish cũng có sẵn cho các
nhà phát triển phần mềm.
Skipjack
Thuật toán Skipjack đã được chính phủ Hoa Kỳ phê duyệt để sử dụng trong Tiêu
chuẩn Xử lý Thông tin Liên bang (FIPS) 185, Tiêu chuẩn Mã hóa Ký quỹ (EES).
Giống như nhiều công cụ mã hóa khối khác, Skipjack hoạt động trên các khối
văn bản 64-bit. Nó sử dụng một khóa 80-bit và hỗ trợ bốn chế độ hoạt động như
được hỗ trợ bởi DES. Skipjack nhanh chóng được chính phủ Hoa Kỳ chấp nhận
và cung cấp các quy trình mật mã hỗ trợ các chip mã hóa Clipper và Capstone.
Tuy nhiên, Skipjack có thêm một bước ngoặt - nó hỗ trợ ký quỹ các khóa mã
hóa. Hai cơ quan chính phủ - Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) và
Bộ Ngân khố - nắm giữ một phần thông tin cần thiết để tạo lại khóa Skipjack.
Khi các cơ quan thực thi pháp luật có được cấp phép hợp pháp, họ sẽ liên hệ với
hai cơ quan này, lấy được các mảnh của khóa và có thể giải mã thông tin liên
lạc giữa các bên bị ảnh hưởng.
475 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Skipjack và chip Clipper đã không được cộng đồng mật mã nói chung chấp nhận
vì sự nghi ngờ của nó đối với các thủ tục ký quỹ được sử dụng trong chính phủ
Hoa Kỳ.
Mật mã Rivest
Ron Rivest, thuộc về Bảo mật Dữ liệu Rivest-Shamir-Adleman (RSA), đã tạo ra
một loạt các mật mã đối xứng trong nhiều năm được gọi là họ thuật toán Rivest
Ciphers (RC). Một số trong số này, RC4, RC5 và RC6, có t ầm quan trọng đặc biệt
ngày nay.
Mật mã Rivest 4 (RC4)
RC4 là một mật mã luồng được phát triển bởi Rivest vào năm 1987 và được sử
dụng rất rộng rãi trong suốt nhiều thập kỷ sau đó. Nó sử dụng một vòng mã hóa
duy nhất và cho phép sử dụng các khóa có độ dài thay đổi từ 40-bit đến 2,048bit. Việc áp dụng RC4 khá phổ biến vì nó được tích hợp vào các giao thức Quyền
Riêng tư Tương đương có Dây (WEP), Truy cập Wi-Fi được Bảo vệ (WPA), Lớp
Cổng Bảo mật (SSL) và Bảo mật Lớp Truyền tải (TLS).
Mật mã Rivest 5 (RC5)
RC5 là một mật mã khối với các kích thước khối khác nhau (32, 64 hoặc 128-bit)
sử dụng các khóa có kích thước nằm giữa 0 và 2,040-bit. Điều quan trọng cần
lưu ý là RC5 không đơn giản chỉ là phiên bản tiếp theo của RC4. Trên thực tế,
nó hoàn toàn không liên quan gì với mật mã RC4. Thay vào đó, RC5 là m ột cải
thiện trên một thuật toán cũ hơn được gọi là RC2 vốn đã không còn được coi là
an toàn nữa.
RC5 là đối tượng của những nỗ lực bẻ khóa kiểu cưỡng-bức [một kiểu tấn công
bằng cách thử tất cả các chuỗi mật khẩu khả thi để bẻ khóa – người dịch]. Một
nỗ lực quy-mô-lớn tận dụng tài nguyên máy tính cộng đồng khổng lồ đã bẻ khóa
một thông điệp được mã hóa bằng RC5 với khóa 64-bit, nhưng nỗ lực này đã mất
hơn bốn năm để bẻ khóa được một thông điệp.
Mật mã Rivest 6 (RC6)
Rc6 là một mật mã khối được phát triển như là phiên bản tiếp theo của RC5. Nó
sử dụng một kích thước khối 128-bit và cho phép sử dụng các khóa đối xứng
476 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
128, 192 hoặc 256-bit. Thuật toán này là một trong số các ứng cử viên để lựa
chọn làm Tiêu chuẩn Mã hóa Nâng cao (AES) được thảo luận trong phần tiếp
theo, nhưng nó đã không được chọn và không được sử dụng một cách phổ biến
ngày nay.
Tiêu chuẩn Mã hóa Nâng cao (AES)
Vào tháng Mười năm 2000, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ đã
thông báo rằng Rijndael (được phát âm là “rhine-doll”) đã được chọn để thay
thế cho DES. Vào tháng Mười một năm 2001, NIST phát hành FIPS 197, b ắt buộc
sử dụng AES/Rijndael để mã hóa tất cả dữ liệu nhạy cảm nhưng chưa được phân
loại của chính phủ Hoa Kỳ.
Mật mã Tiêu chuẩn Mã hóa Nâng cao (AES) cho phép s ử dụng ba cường độ của
khóa: 128-bit, 192-bit và 256-bit. AES chỉ cho phép xử lý các khối 128-bit, nhưng
Rijndael đã vượt quá thông số kỹ thuật này, cho phép các nhà m ật mã sử dụng
kích thước khối bằng với chiều dài của khóa. Số lượng vòng mã hóa phụ thuộc
vào độ dài khóa được chọn:
▪
Các khóa 128-bit yêu cầu 10 vòng mã hóa.
▪
Các khóa 192-bit yêu cầu 12 vòng mã hóa.
▪
Các khóa 256-bit yêu cầu 14 vòng mã hóa.
CAST
Thuật toán CAST là một họ khác của mật mã khối khóa đối xứng được tích hợp
vào một số giải pháp bảo mật. Thuật toán CAST sử dụng một mạng Feistel và có
thể có hai hình thức:
▪
CAST-128 sử dụng 12 hoặc 16 vòng mã hóa mạng Feistel với một kích
thước khóa giữa 40 và 128-bit trên các khối 64-bit của bản rõ.
▪
CAST-256 sử dụng 48 vòng mã hóa với một kích thước khóa 128, 160, 192,
224, hoặc 256-bit trên các khối 128-bit của bản rõ.
Thuật toán CAST-256 đã từng là một ứng cử viên cho Tiêu chuẩn Mã hóa Nâng
cao nhưng đã không được chọn cho mục đích đó.
Twofish
477 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Thuật toán Twofish được phát triển bởi Bruce Schneier (cũng là người tạo ra
Blowfish) là một trong số các thuật toán trong danh sách lọt vào vòng chung
kết của AES. Giống như Rijndael, Twofish là m ột mật mã khối. Nó hoạt động
trên các khối dữ liệu 128-bit và có khả năng sử dụng các khóa mật mã có độ
dài lên đến 256-bit.
Twofish sử dụng hai kỹ thuật không được phát hiện trong các thuật toán khác:
▪
Prewhitening bao gồm việc XOR bản rõ bằng một khóa con tách biệt
trước vòng mã hóa đầu tiên.
▪
Postwhitening sử dụng một hoạt động tương tự [prewhitening] sau vòng
mã hóa thứ 16.
So sánh các Thuật toán Mã hóa Đối xứng
Có rất nhiều thuật toán mã hóa đối xứng mà bạn cần phải làm quen với chúng.
Bảng 6.9 liệt kê một số thuật toán mã hóa đối xứng nổi tiếng cùng với kích thước
khối và kích thước khóa của chúng.
Thông tin trong Bảng 6.9 là một nguồn tuyệt vời cho kỳ thi CISSP.
Hãy chú tâm để ghi nhớ nó trước khi làm bài thi.
BẢNG 6.9 Biểu đồ ghi nhớ mã hóa đối xứng
Tên gọi
Kích thước khối
Kích thước khóa
Tiêu chuẩn Mã hóa Nâng cao (AES)
128
128, 192, 256
Rijndael
Biến đổi
128, 192, 256
Blowfish (thường được sử dụng trong SSH)
64
32 – 448
Tiêu chuẩn Mã hóa Dữ liệu (DES)
64
56
IDEA (được sử dụng trong PGP)
64
128
Mật mã Rivest 4 (RC4)
Bỏ qua (mật mã luồng)
40 – 2,048
Mật mã Rivest 5 (RC5)
32, 64, 128
0 – 2,040
Mật mã Rivest 6 (RC6)
128
128, 192, 256
478 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Skipjack
64
80
Triple DES (3DES)
64
112 hoặc 168
CAST-128
64
40 – 128
CAST-256
128
128, 160, 192, 224, 256
Twofish
128
1 - 256
Quản lý Khóa Đối xứng
Bởi vì các khóa mật mã chứa những thông tin thiết yếu đối với sự bảo mật của
các hệ thống mã hóa nên người sử dụng và quản trị hệ thống mật mã có trách
nhiệm thực hiện các biện pháp đặc biệt để bảo vệ tính an toàn của vật liệu làm
khóa. Các biện pháp bảo mật này được gọi chung là các thực tiễn quản lý khóa.
Chúng bao gồm các biện pháp bảo vệ xoay quanh việc tạo ra, phân phối, lưu trữ,
phá hủy, phục hồi và ký quỹ các khóa bí mật.
Tạo ra và Phân phối các Khóa Đối xứng
Như đã được đề cập trước đây, một trong những vấn đề chính làm nền tảng cơ
bản của các thuật toán mã hóa đối xứng là việc phân phối an toàn các khóa bí
mật cần thiết để vận hành các thuật toán. Ba phương pháp chính đư ợc sử dụng
để trao đổi khóa bí m ật một cách an toàn là phân phối ngoại tuyến, mã hóa khóa
công khai và thuật toán trao đổi khóa Diffie-Hellman.
Phân phối Ngoại tuyến
Phương pháp đơn giản nhất về mặt kỹ thuật
(nhưng không thuận tiện về mặt vật lý) liên quan đến việc trao đổi thực
tế của vật liệu khóa. Một bên cung cấp cho bên kia một trang giấy hoặc
một phần phương tiện lưu trữ có chứa khóa bí mật. Trong rất nhiều thiết
bị mã hóa phần cứng, vật liệu khóa này có dạng một thiết bị điện tử giống
như một khóa thực được đưa vào thiết bị mã hóa. Tuy nhiên, mọi phương
pháp phân phối khóa ngoại tuyến đều có những sai sót cố hữu của nó. Nếu
tài liệu khóa được gửi qua thư, nó có thể bị chặn lại. Điện thoại có thể bị
nghe lén. Giấy tờ có chứa khóa có thể vô tình bị vứt vào thùng rác hoặc
bị mất. Việc sử dụng phân phối ngoại tuyến khá là cồng kềnh đối với người
dùng đầu cuối, đặc biệt là khi họ ở những vị trí xa xôi về mặt địa lý.
479 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Mã hóa khóa công khai
Nhiều người giao tiếp muốn có được những
lợi ích về mặt tốc độ của mã hóa khóa bí mật mà không bị phiền nhiễu bởi
sự phân phối khóa phức tạp. Vì lý do này, nhiều người sử dụng mã hóa
khóa công khai để thiết lập một liên kết giao tiếp ban đầu. Khi liên kết đã
được thiết lập thành công và các bên hài lòng v ề danh tính của nhau, họ
sẽ trao đổi khóa bí mật qua liên kết khóa công khai an toàn này. Sau đó,
họ chuyển giao tiếp từ thuật toán khóa công khai sang thuật toán khóa bí
mật và tận hưởng tốc độ xử lý được gia tăng. Nói chung, mã hóa khóa bí
mật nhanh hơn hàng nghìn lần so với mã hóa khóa công khai.
Diffie-Hellman
Trong một số trường hợp, cả mã hóa khóa
công khai hay phân phối ngoại tuyến đều không đủ. Hai bên có thể cần
giao tiếp với nhau, nhưng họ không có phương tiện vật lý để trao đổi vật
liệu khóa và không có cơ sở hạ tầng khóa công khai để tạo điều kiện cho
việc trao đổi khóa bí mật. Trong những tình huống như vậy, các thuật toán
trao đổi khóa như thuật toán Diffie-Hellman được chứng minh là một cơ
chế cực kỳ hữu ích. Bạn sẽ tìm thấy một cuộc thảo luận đầy đủ về DiffieHellman trong Chương 7.
Lưu trữ và Phá hủy Khóa Đối xứng
Một thách thức lớn khác đối với việc sử dụng mật mã khóa đối xứng là tất cả
các khóa được sử dụng trong hệ thống mật mã đều phải được bảo mật. Điều này
bao gồm những thực tiễn tốt nhất sau đây về việc lưu trữ các khóa mã hóa:
▪
Không bao giờ lưu trữ một khóa mã hóa trên cùng một hệ thống có dữ liệu
được mã hóa. Điều này chỉ khiến cho công việc của kẻ tấn công trở nên
dễ dàng hơn!
▪
Đối với các khóa nhạy cảm, hãy cân nhắc việc đưa cho hai cá nhân khác
nhau giữ một nửa khóa. Sau đó, họ phải cộng tác để tái-tạo lại toàn bộ
khóa. Đây được gọi là nguyên tắc phân tách kiến thức (đã được thảo luận
trước đó cũng trong chương này).
Khi một người dùng biết về một khóa bí mật rời khỏi tổ chức hoặc không còn
được phép truy cập vào tài liệu được bảo vệ bằng khóa đó, các khóa phải được
480 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thay đổi và tất cả các tài liệu đã mã hóa phải được mã hóa lại bằng các khóa
mới.
Khi chọn một cơ chế lưu trữ khóa, bạn sẽ có hai tùy chọn chính có sẵn cho mình:
▪
Cơ chế lưu trữ dựa-trên-phần-mềm lưu trữ các khóa dưới dạng các đối
tượng kỹ thuật số trên hệ thống nơi chúng được sử dụng. Ví dụ, điều này
có thể liên quan đến việc lưu trữ khóa trên hệ thống tập tin cục bộ. Các
cơ chế dựa-trên-phần-mềm được tăng cường có thể sử dụng các ứng dụng
chuyên biệt để bảo vệ các khóa đó, bao gồm cả việc sử dụng mã hóa phụ
để ngăn chặn việc truy cập trái phép vào các khóa. Các phương pháp ti ếp
cận dựa-trên-phần-mềm thường khá đơn giản để triển khai nhưng gây ra
rủi ro về việc cơ chế phần mềm bị xâm phạm.
▪
Cơ chế lưu trữ dựa-trên-phần-cứng là các thiết bị phần cứng chuyên dụng
được sử dụng để quản lý các khóa mật mã. Đây có thể là các thiết bị cá
nhân, chẳng hạn như ổ đĩa flash hoặc thẻ thông minh lưu trữ khóa được
sử dụng bởi một cá nhân hoặc chúng có thể là các thiết bị doanh nghiệp,
được gọi là mô-đun bảo mật phần cứng (hardware security module - HSM),
quản lý khóa cho một tổ chức. Các phương pháp tiếp cận phần cứng phức
tạp hơn và tốn kém hơn để triển khai so với các phương pháp tiếp cận
phần mềm, nhưng chúng tăng cường thêm tính bảo mật.
Ký quỹ và Khôi phục Khóa
Mật mã là một công cụ mạnh mẽ. Cũng giống như hầu hết các công cụ, nó có
thể được sử dụng cho một số mục đích mang lại lợi ích, nhưng nó cũng có thể
được sử dụng với mục đích xấu. Để có thể xử lý sự phát triển bùng nổ của công
nghệ mật mã, các chính phủ trên toàn thế giới đã đưa ra các ý tưởng triển khai
các hệ thống ký quỹ khóa. Các hệ thống này cho phép chính phủ, trong những
trường hợp hạn chế, chẳng hạn như với lệnh của tòa án, lấy được khóa mật mã
được sử dụng cho một giao tiếp cụ thể từ một cơ sở lưu trữ trung tâm.
Hai phương pháp tiếp cận chính để ký quỹ khóa đã được đề xuất trong thập kỷ
qua bao gồm:
Hệ thống mật mã Công bằng (Fair Cryptosystems) Theo phương pháp
tiếp cận ký quỹ này, các khóa bí mật được sử dụng trong giao tiếp được
chia thành hai hoặc nhiều phần, mỗi phần được trao cho một bên thứ ba
481 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
độc lập. Bản thân mỗi phần này đều vô dụng nhưng chúng có thể được kết
hợp lại để lấy được khóa bí mật. Khi chính phủ có được quyền hợp pháp
để truy cập vào một khóa cụ thể, chính phủ sẽ cung cấp bằng chứng về
lệnh của tòa án cho mỗi bên thứ ba và sau đó tập hợp lại khóa bí mật.
Tiêu chuẩn Mã hóa Ký quỹ Phương pháp tiếp cận ký quỹ này cung cấp
cho chính phủ hoặc cơ quan khác được cấp phép một phương tiện công
nghệ để giải mã bản mã. Đó là phương pháp tiếp cận được đề xuất cho
chip Clipper.
Có rất ít khả năng các cơ quan quản lý của chính phủ sẽ vượt qua các rào cản
pháp lý và quyền riêng tư cần thiết để triển khai ký quỹ khóa trên cơ sở rộng
rãi. Công nghệ chắc chắn là sẵn có, nhưng công chúng có thể sẽ không bao giờ
chấp nhận sự xâm nhập tiềm tàng của chính phủ mà nó [công nghệ] tạo điều
kiện.
Tuy nhiên, vẫn có những cách sử dụng hợp pháp đối với việc ký quỹ khóa trong
một tổ chức. Các cơ chế ký quỹ và khôi phục khóa tỏ ra rất hữu ích khi một cá
nhân rời khỏi tổ chức và các nhân viên khác yêu cầu quyền truy cập vào dữ liệu
được mã hóa của họ hoặc khi một khóa chỉ đơn giản là bị đánh mất. Theo các
phương pháp tiếp cận này, các tác nhân khôi phục khóa (recovery agent - RA)
có khả năng khôi phục các khóa mã hóa được chỉ định cho người dùng cá nhân.
Tất nhiên, đây là một đặc quyền cực kỳ mạnh mẽ, vì RA có thể có quyền truy
cập vào khóa mã hóa của bất kỳ người dùng nào. Vì lý do này, nhiều tổ chức
chọn áp dụng một cơ chế được gọi là M of N Control để khôi phục khóa. Trong
cách tiếp cận này, có một nhóm các cá nhân với kích cỡ N [người] trong một tổ
chức được cấp đặc quyền RA. Nếu họ muốn khôi phục khóa mã hóa, một tập hợp
con gồm ít nhất M trong số họ phải đồng ý làm như vậy. Ví dụ, trong hệ thống
M-of-N Control nơi M = 12 và N = 3, có 12 tác nhân khôi ph ục được ủy quyền,
trong đó 3 tác nhân phải cộng tác với nhau để lấy được khóa mã hóa.
Vòng đời Mật mã
Ngoại trừ bảng một-lần, tất cả các hệ thống mật mã đều có tuổi thọ giới hạn.
Định luật Moore, một lập luận thường được trích dẫn về sự phát triển của sức
mạnh tính toán, tuyên bố rằng năng lực xử lý của một bộ vi xử lý hiện đại sẽ
482 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tăng gấp đôi trong khoảng hai năm một lần. Điều này có nghĩa là cuối cùng thì
các bộ xử lý sẽ đạt đến mức độ sức mạnh cần thiết để chỉ cần đoán các khóa mã
hóa được sử dụng cho một giao tiếp.
Các chuyên gia bảo mật phải lưu ý đến vòng đời của mật mã này khi lựa chọn
một thuật toán mã hóa và có các biện pháp kiểm soát quản trị thích hợp để đảm
bảo rằng các thuật toán, giao thức và độ dài khóa đã chọn là đủ để duy trì tính
toàn vẹn của hệ thống mật mã trong thời gian cần thiết để giữ cho thông tin nó
đang bảo vệ bí mật. Các chuyên gia bảo mật có thể sử dụng các biện pháp kiểm
soát quản trị giao thức và thuật toán sau:
▪
Chỉ định các thuật toán mật mã (chẳng hạn như AES, 3DES và RSA) có thể
được chấp nhận để sử dụng trong một tổ chức
▪
Xác định độ dài khóa có thể chấp nhận được để sử dụng với mỗi thuật
toán dựa trên độ nhạy cảm của thông tin được truyền tải.
▪
Liệt kê các giao thức giao dịch an toàn (chẳng hạn như TLS) có thể được
sử dụng.
Ví dụ: nếu bạn đang thiết kế một hệ thống mật mã để bảo vệ an ninh cho các
kế hoạch kinh doanh mà bạn dự kiến sẽ thực thi vào tuần tới, bạn không cần
phải lo lắng về rủi ro về mặt lý thuyết rằng một bộ xử lý có khả năng giải mã
chúng có thể được phát triển sau một thập kỷ kể từ bây giờ. Mặt khác, nếu bạn
đang bảo vệ tính bí mật của thông tin có thể được sử dụng để chế tạo bom hạt
nhân, thì gần như chắc chắn rằng bạn sẽ vẫn muốn thông tin đó được giữ bí mật
trong vòng 10 năm tới!
Tóm tắt
Các nhà mật mã học và chuyên gia phân tích mật mã đang ở trong một cuộc chạy
đua không-bao-giờ-kết-thúc để phát triển các hệ thống mật mã an toàn hơn và
các kỹ thuật phân tích mật mã tiên tiến được thiết kế để phá vỡ các hệ thống
đó.
Mật mã học có từ rất sớm từ thời Caesar và đã là một chủ đề nghiên cứu liên
tục trong rất nhiều năm. Trong chương này, b ạn đã tìm hiểu được một số khái
niệm cơ bản về lĩnh vực mật mã và có được sự hiểu biết cơ bản về những thuật
ngữ được sử dụng bởi các nhà mật mã.
483 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Chương này cũng xem xét những điểm giống và khác nhau giữa mật mã khóa đối
xứng (trong đó các bên giao tiếp sử dụng cùng một khóa) và mật mã khóa bất
đối xứng (trong đó mỗi bên giao tiếp có một cặp khóa công khai và khóa riêng
tư). Bạn đã biết cách băm có thể được sử dụng để đảm bảo tính toàn vẹn như
thế nào và cách băm đóng vai trò như thế nào trong quy trình chữ ký kỹ thuật
số để đảm bảo tính không khước từ.
Sau đó, chúng tôi đã phân tích một số thuật toán đối xứng hiện có và những
điểm mạnh và điểm yếu của chúng. Chúng tôi đã kết thúc chương bằng cách xem
xét vòng đời của mật mã và vai trò của quản trị giao thức/thuật toán trong bảo
mật doanh nghiệp.
Chương tiếp theo sẽ mở rộng cuộc thảo luận này để đề cập đến các thuật toán
mật mã khóa công khai hiện đại. Ngoài ra, một số kỹ thuật phân tích mật mã
phổ biến được sử dụng để đánh bại cả hai loại hệ thống mật mã cũng sẽ được
khám phá.
Những điều thiết yếu cho Kỳ thi
Hiểu được vai trò của tính bảo mật, tính toàn vẹn và không khước
từ trong các hệ thống mật mã. Bảo mật là một trong những mục đích
chính của mật mã. Nó bảo vệ tính bí mật của dữ liệu khi dữ liệu đang ở
trạng thái lưu trữ và khi truyền tải. Tính toàn vẹn mang lại cho người nhận
thông điệp sự đảm bảo rằng dữ liệu đã không bị thay đổi (cố ý hoặc vô ý)
giữa thời điểm nó được tạo ra và thời điểm nó được truy cập. Không khước
từ cung cấp bằng chứng không thể phủ nhận rằng người gửi thông điệp
thực sự là tác giả của nó. Nó ngăn người gửi sau đó từ chối rằng họ là
người đã gửi thông điệp ban đầu.
Biết được cách sử dụng các hệ thống mật mã để đạt được các mục
đích xác thực. Xác thực cung cấp sự đảm bảo về danh tính của người
dùng. Một lược đồ khả dĩ để sử dụng xác thực là giao thức phản-hồi-tháchthức, trong đó người dùng từ xa được yêu cầu mã hóa thông điệp bằng
một khóa chỉ các bên giao tiếp biết. Xác thực có thể đạt được với cả hai
hệ thống mật mã đối xứng và bất đối xứng.
484 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Làm quen với các thuật ngữ cơ bản về mật mã. Khi người gửi muốn
truyền một thông điệp riêng tư đến người nhận, người gửi sẽ lấy bản rõ
(chưa được mã hóa) thông điệp và mã hóa nó bằng cách sử dụng một thuật
toán và một khóa. Điều này tạo ra một thông điệp bản mã được truyền
đến người nhận. Sau đó, người nhận sử dụng một thuật toán và khóa tương
tự để giải mã bản mã và tạo lại thông điệp bản rõ ban đầu để xem.
Hiểu được sự khác biệt giữa mã và mật mã và giải thích được các
loại mật mã cơ bản. Mã là các hệ thống mật mã của các ký hiệu hoạt
động trên các từ hoặc cụm từ và đôi khi là bí mật nhưng không phải lúc
nào cũng cung cấp được tính bảo mật. Tuy nhiên, mật mã luôn được dùng
để che giấu ý nghĩa thực sự của một thông điệp. Hãy hiểu được cách hoạt
động của các loại mật mã sau: mật mã chuyển vị, mật mã thay thế (bao
gồm cả các bảng một-lần), mật mã luồng và mật mã khối.
Biết được các yêu cầu để sử dụng thành công bảng một-lần. Để bảng
một-lần thành công, khóa phải được tạo ra một cách ngẫu nhiên mà không
chứa bất kỳ mẫu nào đã biết. Khóa ít nhất phải dài bằng thông điệp được
mã hóa. Các bảng phải được bảo vệ để chống lại sự tiết lộ về mặt vật lý
và mỗi bảng chỉ được sử dụng một lần và sau đó được hủy bỏ.
Hiểu phân tách kiến thức. Phân tách kiến thức có nghĩa là thông tin
hoặc đặc quyền cần thiết để thực hiện một thao tác được chia cho nhiều
người dùng. Điều này đảm bảo rằng không một cá nhân nào có đ ủ đặc
quyền để xâm phạm tính bảo mật của môi trường. M of N Control là m ột
ví dụ về phân tách kiến thức được sử dụng trong khôi phục khóa và các
tác vụ nhạy cảm khác.
Hiểu được chức năng hoạt động (hệ số hoạt động). Chức năng công
việc, hoặc hệ số công việc, là một cách để đo lường sức mạnh của hệ
thống mật mã bằng cách đo lường nỗ lực về chi phí và/hoặc thời gian để
giải mã thông điệp. Thông thường, thời gian và nỗ lực cần thiết để thực
hiện một cuộc tấn công cưỡng-bức hoàn toàn chống lại hệ thống mã hóa
là những gì đại diện cho việc xếp hạng chức năng hoạt động. Mức bảo mật
485 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
và bảo vệ được cung cấp bởi một hệ thống mật mã tỷ lệ thuận với giá trị
của chức năng/hệ số hoạt động của nó.
Hiểu được tầm quan trọng của bảo mật khóa. Khóa mật mã cung cấp
yếu tố bí mật cần thiết cho một hệ thống mật mã. Các hệ thống mật mã
hiện đại sử dụng các khóa có độ dài ít nhất 128-bit để cung cấp sự bảo
mật đầy đủ.
Biết sự khác nhau giữa các hệ mật mã đối xứng và không đối xứng.
Hệ thống mật mã khóa đối xứng (hoặc hệ thống mật mã khóa bí mật) dựa
trên việc sử dụng một khóa bí mật dùng chung. Chúng nhanh hơn nhiều
so với các thuật toán bất đối xứng, nhưng chúng thiếu hỗ trợ về khả năng
mở rộng, phân phối khóa dễ dàng và không khước từ. Các hệ thống mật
mã không đối xứng sử dụng các cặp khóa công khai-riêng tư để liên lạc
giữa các bên nhưng hoạt động chậm hơn nhiều so với các thuật toán đối
xứng.
Có khả năng giải thích được các chế độ hoạt động cơ bản của các
hệ thống mật mã đối xứng. Các hệ thống mật mã đối xứng hoạt động ở
một số chế độ riêng biệt: chế độ Sổ Mã Điện tử (ECB), chế độ Chuỗi Khối
Mật mã (CBC), chế độ Phản hồi Mật mã (CFB), chế độ Phản hồi Đầu ra
(OFB), chế độ Bộ đếm (CTR), chế độ Galois/Bộ đếm (GCM ), và Bộ đếm với
chế độ Mã Xác thực Thông điệp Chuỗi Khối Mã hóa (CCM). Chế độ ECB
được coi là kém an toàn nhất và chỉ được sử dụng cho các thông điệp
ngắn. 3DES sử dụng ba lần lặp lại của DES với hai hoặc ba khóa khác nhau
để tăng sức mạnh khóa hiệu quả lên 112 hoặc 168-bit, tương ứng.
Biết được Tiêu chuẩn mã hóa nâng cao (AES). Tiêu chuẩn Mã hóa Nâng
cao (AES) sử dụng thuật toán Rijndael và là tiêu chuẩn của chính phủ Hoa
Kỳ để trao đổi an toàn những dữ liệu nhạy cảm nhưng chưa được phân
loại. AES sử dụng độ dài khóa 128, 192 và 256-bit và kích thước khối cố
định là 128-bit để đạt được mức độ bảo mật cao hơn nhiều so với mức độ
bảo mật được cung cấp bởi thuật toán DES cũ hơn.
486 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bài tập Viết
1.
Rào cản chính ngăn cản việc áp dụng rộng rãi các hệ thống mật mã
bảng một-lần để đảm bảo tính bảo mật của dữ liệu là gì?
2.
Hãy mã hóa thông điệp “Tôi sẽ vượt qua kỳ thi CISSP và được chứng
nhận vào tháng tới” bằng cách sử dụng chuyển vị cột với từ khóa
SECURE.
3.
Hãy giải mã thông điệp “F R Q J U D W X O D W L R Q V B R X J R W L
W” bằng cách sử dụng mật mã thay thế Caesar ROT3.
Câu hỏi Đánh giá
1.
Ryan đang chịu trách nhiệm cho việc quản lý các khóa mật mã được sử
dụng bởi tổ chức của anh ấy. Những mệnh đề nào duói đây là đúng về
cách anh ấy nên lựa chọn và quản lý các khóa đó (Hãy chọn mọi đáp
án đúng)?
A. Các khóa nên đủ dài để bảo vệ chống lại các cuộc tấn công trong
tương lai nếu dữ liệu vẫn được dự kiến là nhạy cảm.
B. Các khóa nên được chọn bằng cách sử dụng một phương pháp tiếp
cận để tạo ra chúng từ một hình mẫu có thể dự đoán được.
C. Các khóa nên được duy trì vô thời hạn.
D. Các khóa dài hơn cung cấp mức độ bảo mật cao hơn.
2.
Gần đây, John đã nhận được một email từ Bill. Mục đích mật mã nào sẽ
cần được đáp ứng để thuyết phục John rằng Bill thực sự là người đã
gửi thông điệp?
A. Không khước từ.
B. Bảo mật.
C. Tính sẵn sàng.
D. Tính toàn vẹn.
3.
Bạn đang triển khai mã hóa AES cho các tập tin mà tổ chức của bạn dự
định lưu trữ trong dịch vụ lưu trữ đám mây và muốn có mã hóa mạnh
nhất có thể. Bạn nên chọn độ dài khóa nào?
A. 192-bit.
B. 256-bit.
C. 512-bit.
487 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
D. 1,024-bit.
4.
Bạn đang tạo ra một sản phẩm bảo mật phải tạo điều kiện thuận lợi
cho việc trao đổi khóa mã hóa đối xứng giữa hai bên khi không có cách
nào để trao đổi khóa trực tiếp một cách an toàn. Bạn có thể sử dụng
thuật toán nào để tạo điều kiện cho việc trao đổi?
A. Rijndael.
B. Blowfish.
C. Verna.m
D. Diffie-Hellman.
5.
Điều gì xảy ra khi mối quan hệ giữa bản rõ và khóa phức tạp đến mức
kẻ tấn công không thể tiếp tục thay đổi bản rõ và phân tích bản mã đã
thu được để xác định khóa? (Hãy chọn tất cả các đáp án đúng).
A. Mơ hồ.
B. Chuyển vị.
C. Tính đa hình.
D. Sự lan truyền.
6.
Randy đang triển khai hệ thống mật mã dựa trên AES để sử dụng trong
tổ chức của mình. Anh muốn tìm hiểu rõ hơn về cách anh ta có thể sử
dụng hệ thống mật mã này để đạt được mục đích của mình. Mục đích
nào sau đây có thể đạt được với AES? (Hãy chọn tất cả các đáp án
đúng).
A. Không khước từ.
B. Tính bảo mật.
C. Tính xác thực.
D. Tính toàn vẹn.
7.
Brian bắt gặp dữ liệu được mã hóa do những kẻ tấn công đang giao
tiếp với nhau để lại trên một trong các hệ thống của mình. Anh đã thử
bất kỳ kỹ thuật phân tích mật mã nào và không thể giải mã được dữ
liệu. Anh ấy tin rằng dữ liệu có thể được bảo vệ bằng một hệ thống
không thể phá vỡ. Khi được triển khai một cách chính xác, hệ thống
mật mã duy nhất được biết là không thể phá vỡ là gì?
A. Mật mã chuyển vị.
B. Mật mã thay thế.
488 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C. Tiêu chuẩn mã hóa nâng cao.
D. Bảng một-lần.
8.
Helen đang có kế hoạch sử dụng một bảng một-lần để đáp ứng yêu cầu
mật mã duy nhất trong tổ chức của cô ấy. Cô đang cố gắng xác định
các yêu cầu đối với việc sử dụng hệ thống mật mã này. Điều nào dưới
đây là các yêu cầu đối với việc sử dụng bảng một-lần? (Hãy chọn tất
cả các đáp án đúng).
A. Khóa mã hóa phải có độ dài ít nhất bằng một nửa độ dài của thông
điệp được mã hóa.
B. Khóa mã hóa phải được tạo ra một cách ngẫu nhiên.
C. Mỗi bảng một-lần chỉ được sử dụng một lần.
D. Bảng một-lần phải được bảo vệ về mặt vật lý để không bị tiết lộ.
9.
Brian quản lý một hệ thống mật mã đối xứng được sử dụng bởi 20 người
dùng, mỗi người trong số họ có khả năng giao tiếp riêng tư với bất kỳ
người dùng nào khác. Một trong những người dùng đó đã mất quyền
kiểm soát tài khoản của họ và Brian tin rằng khóa của người dùng đã
bị xâm phạm. Anh ta phải thay bao nhiêu khóa?
A. 1.
B. 2.
C. 19.
D. 190.
10.
Loại mật mã nào sau đây hoạt động trên những mảnh lớn của một thông
điệp hơn là các ký tự hoặc bit riêng lẻ của một thông điệp?
A. Mật mã luồng.
B. Mật mã Caesar.
C. Mật mã khối.
D. Mật mã ROT3.
11.
James là quản trị viên cho hệ thống mật mã khóa đối xứng của tổ chức
của anh ấy. Anh cấp khóa cho người dùng mỗi khi họ có nhu cầu. Mary
và Beth gần đây đã tiếp cận với anh và trình bày về nhu cầu có thể
trao đổi các tập tin được mã hóa một cách an toàn. James phải tạo ra
bao nhiêu khóa?
A. Một.
489 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
B. Hai.
C. Ba.
D. Bốn.
12.
Dave đang phát triển một hệ thống ký quỹ khóa đòi hỏi nhiều người
mới lấy được khóa nhưng không phụ thuộc vào việc mọi người tham gia
phải có mặt. Anh ấy đang sử dụng loại kỹ thuật nào?
A. Phân tách kiến thức.
B. M of N Control.
C. Chức năng hoạt động.
D. Bằng chứng không-kiến-thức.
13.
Điều gì được sử dụng để làm gia tăng sức mạnh của mật mã bằng cách
tạo ra một bản mã duy nhất mỗi khi cùng một thông điệp được mã hóa
bằng cùng một khóa?
A. Véc-tơ khởi tạo.
B. Mật mã Vigenère.
C. Steganography.
D. Mật mã luồng.
14.
Tammy đang chọn một chế độ hoạt động cho một hệ thống mật mã đối
xứng mà cô ấy sẽ sử dụng trong tổ chức của mình. Cô ấy muốn chọn
một chế độ có khả năng cung cấp cả tính bảo mật lẫn tính xác thực của
dữ liệu. Chế độ nào sẽ đáp ứng tốt nhất nhu cầu của cô ấy?
A. ECB.
B. GCM.
C. OFB.
D. CTR.
15.
Julie đang thiết kế một hệ thống bảo mật cao và lo ngại về việc lưu trữ
dữ liệu không được mã hóa trong RAM. Cô ấy đang cân nhắc trường
hợp sử dụng nào?
A. Dữ liệu đang chuyển động.
B. Dữ liệu ở trạng thái lưu trữ.
C. Dữ liệu đang bị phá hủy.
D. Dữ liệu đang sử dụng.
490 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
16.
Renee đã tiến hành kiểm kê các thuật toán mã hóa được sử dụng trong
tổ chức của mình và nhận thấy rằng họ đang sử dụng tất cả các thuật
toán dưới đây. Thuật toán nào trong số những thuật toán này nên bị
loại bỏ? (Hãy chọn tất cả các đáp án đúng).
A. AES.
B. DES.
C. 3DES.
D. RC5.
17.
Chế độ thuật toán mã hóa nào sau đây mắc phải đặc tính không mong
muốn của lỗi lan truyền giữa các khối?
A. Sách Mã Điện tử.
B. Chuỗi Khối Mật mã.
C. Phản hồi Đầu ra.
D. Bộ đếm.
18.
Phương pháp phân phối khóa nào dưới đây là cồng kềnh nhất khi người
dùng ở các vị trí địa lý khác nhau?
A. Diffie-Hellman.
B. Mã hóa khóa công khai.
C. Ngoại tuyến.
D. Ký quỹ.
19.
Victoria đang chọn một thuật toán mã hóa để sử dụng trong tổ chức
của mình và muốn chọn thuật toán đối xứng an toàn nhất từ danh sách
những thuật toán được hỗ trợ bởi gói phần mềm mà cô ấy định sử dụng.
Nếu gói hỗ trợ các thuật toán sau, lựa chọn nào sẽ là lựa chọn tốt
nhất?
A. AES-256.
B. 3DES.
C. RC4.
D. Skipjack.
20.
Viện Jones có sáu nhân viên và đang sử dụng hệ thống mã hóa khóa
đối xứng để đảm bảo bí mật thông tin liên lạc. Nếu mỗi nhân viên cần
giao tiếp một cách riêng tư với mọi nhân viên khác, thì sẽ cần bao
nhiêu khóa?
491 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
A. 1.
B. 6.
C. 15.
D. 30.
492 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
C h ư ơn g 7
P K I v à C á c Ứ n g d ụ n g M ã h óa
CHỦ ĐỀ CỦA KỲ THI CISSP ĐƯỢC ĐỀ CẬP TRONG CHƯƠNG NÀY BAO G ỒM:
✓
Lĩnh vực 3.0: Bảo mật và Quản lý Rủi ro
▪
3.5 Đánh giá và giảm thiểu các lỗ hổng của kiến trúc, thiết kế và
các thành phần giải pháp bảo mật
▪
▪
3.5.4 Các hệ thống mật mã
3.6 Lựa chọn và xác định các giải pháp mật mã
▪
3.6.1 Vòng đời mật mã (ví dụ, khóa, lựa chọn thuật toán)
▪
3.6.2 Các phương pháp mật mã (ví dụ, đối xứng, bất đối xứng,
đường cong elliptic, lượng tử)
▪
▪
3.6.3 Cơ sở hạ tầng Khóa Công khai (PKI)
▪
3.6.4 Thực tiễn quản lý khóa
▪
3.6.5 Chữ ký và chứng thư kỹ thuật số
▪
3.6.6 Không-khước-từ
▪
3.6.7 Tính toàn vẹn (ví dụ, băm)
3.7 Hiểu được các phương pháp tấn công phân tích mật mã
▪
3.7.1 Brute force
▪
3.7.2 Chỉ văn bản mật mã
▪
3.7.3 Văn bản rõ đã biết
▪
3.7.4 Phân tích tần suất
▪
3.7.5 Văn bản rõ đã chọn
▪
3.7.6 Triển khai các cuộc tấn công
▪
3.7.7 Kênh-cạnh-bên (side-channel)
▪
3.7.8 Chèn lỗi
▪
3.7.9 Thời lượng
▪
3.7.10 Người-trung-gian (MITM)
493 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Trong Chương 6, “Mật mã và các Thuật toán Khóa Đối
xứng”, chúng tôi đã giới thiệu các khái niệm mật mã cơ bản và khám phá nhiều
hệ thống mật mã khóa riêng tư. Các hệ thống mật mã đối xứng được thảo luận
trong chương đó cung cấp giao tiếp nhanh chóng và an toàn nhưng gây ra thách
thức đáng kể trong việc trao đổi khóa giữa các bên trước đây không liên quan.
Chương này khám phá thế giới của mật mã bất đối xứng (hoặc khóa công khai)
và cơ sở hạ tầng khóa công khai (PKI) hỗ trợ giao tiếp an toàn giữa các cá nhân
không nhất thiết phải biết về nhau trước khi giao tiếp. Các thuật toán bất đối
xứng cung cấp cơ chế trao đổi khóa thuận tiện và có thể mở rộng cho số lượng
rất lớn người dùng, giải quyết hai thách thức quan trọng nhất đối với người sử
dụng hệ thống mật mã đối xứng.
Chương này cũng khám phá một số ứng dụng thực tế của mật mã bất đối xứng:
bảo mật các thiết bị di động, email, truyền thông web và két nối mạng. Chương
này kết thúc với việc kiểm tra một loạt các cuộc tấn công mà những cá nhân ác
ý có thể sử dụng để xâm phạm các hệ thống mật mã yếu.
Mã hóa Bất đối xứng
Phần “Mật mã Hiện đại” trong Chương 6 đã giới thiệu các nguyên tắc cơ bản
đằng sau mật mã khóa riêng tư (đ ối xứng) và công khai (bất đối xứng). Bạn đã
tìm hiểu được rằng các hệ thống mật mã khóa đối xứng đòi hỏi cả hai bên của
giao tiếp phải sở hữu cùng một khóa bí mật được chia sẻ, gây ra vấn đề phân
phối khóa một cách an toàn. Bạn cũng biết được rằng các hệ thống mật mã bất
đối xứng tránh được trở ngại này bằng cách sử dụng các cặp khóa công khai và
riêng tư để tạo điều kiện giao tiếp an toàn mà không cần các hệ thống phân
phối khóa quá phức tạp.
494 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Trong các phần tiếp theo, chúng ta sẽ khám phá các khái niệm về mật mã khóa
công khai một cách chi tiết hơn và xem xét ba trong số các hệ thống mật mã bất
đối xứng phổ biến hơn được sử dụng ngày nay: Rivest-Shamir-Adleman (RSA),
Diffie-Hellman, ElGamal và mật mã đường cong elliptic (ECC). Chúng ta cũng s ẽ
khám phá thế giới mới nổi của mật mã lượng tử.
Các Khóa Công khai và Riêng tư
Hãy nhớ lại ở Chương 6 rằng các hệ thống mật mã khóa công khai chỉ định cho
mỗi người dùng một cặp khóa: khóa công khai và khóa riêng tư. Như tên gọi của
nó hàm ý, người sử dụng hệ thống mật mã khóa công khai làm cho khóa công
khai của họ có sẵn miễn phí cho bất kỳ ai mà họ muốn giao tiếp. Việc các bên
thứ ba chỉ sở hữu khóa công khai không gây ra bất kỳ điểm yếu nào cho hệ thống
mật mã. Mặt khác, khóa riêng tư được dành riêng cho mục đích sử dụng duy
nhất của cá nhân sở hữu khóa. Người dùng thông thường không nên chia sẻ khóa
riêng của họ với bất kỳ người dùng hệ thống mật mã nào khác, ngoài các thỏa
thuận ký quỹ và khôi phục khóa.
Giao tiếp thông thường giữa những người sử dụng hệ thống mật mã khóa công
khai tuân theo quy trình được trình bày trong Hình 7.1.
HÌNH 7.1 Mã hóa khóa công khai
495 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Hãy lưu ý rằng quá trình này không đòi hỏi việc chia sẻ các khóa riêng tư. Người
gửi mã hóa bản rõ (P) bằng khóa công khai của người nhận để tạo ra bản mã
(C). Khi người nhận mở thông điệp bản mã, họ sẽ giải mã nó bằng cách sử dụng
khóa riêng của họ để xem thông điệp văn bản rõ ban đầu.
Khi người gửi mã hóa thông điệp bằng khóa công khai của người nhận, không
người dùng nào (kể cả người gửi) có thể giải mã thư đó mà không biết khóa cá
nhân của người nhận (nửa sau của cặp khóa công-khai-riêng-tư được sử dụng
để tạo ra thông điệp). Đây chính là vẻ đẹp của mật mã khóa công khai - các
khóa công khai có thể được chia sẻ một cách tự do bằng cách sử dụng giao tiếp
không an toàn và sau đó được sử dụng để tạo các kênh giao tiếp an toàn giữa
những người dùng trước đây chưa biết nhau.
Bạn cũng đã biết trong chương trước rằng mật mã khóa công khai đòi hỏi mức
độ phức tạp tính toán cao hơn. Các khóa đư ợc sử dụng trong hệ thống khóa công
khai phải dài hơn khóa được sử dụng trong hệ thống khóa riêng tư để tạo ra các
hệ thống mật mã có độ mạnh tương đương.
Do các yêu cầu về mặt tính toán cao liên quan đến mật mã khóa
công khai, các kiến trúc sư thường thích sử dụng mật mã đối xứng
trên bất kỳ thứ gì khác ngoài những thông điệp ngắn. Ở phần sau
của chương này, bạn sẽ tìm hiểu cách mật mã hỗn hợp sẽ kết hợp
các lợi ích của mật mã đối xứng và bất đối xứng lại với nhau như
thế nào.
RSA
Hệ thống mật mã khóa công khai nổi tiếng nhất được đặt theo tên của người
sáng tạo ra nó. Năm 1977, Ronald Rivest, Adi Shamir và Leonard Adleman đ ề
xuất thuật toán khóa công khai RSA, và thuật toán này vẫn là một tiêu chuẩn
trên toàn thế giới cho đến ngày nay. Họ đã được cấp bằng sáng chế cho thuật
toán của mình và thành lập một liên doanh thương m ại được gọi là Bảo mật RSA
để phát triển các triển khai chính thống của công nghệ bảo mật của họ. Ngày
nay, thuật toán RSA đã được phát hành trong phạm vi công cộng và được sử
dụng rộng rãi để giao tiếp một cách an toàn.
496 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Thuật toán RSA phụ thuộc vào độ khó tính toán vốn có trong việc tính tích của
các số nguyên tố lớn. Mỗi người sử dụng hệ thống mật mã tạo ra một cặp khóa
công khai và khóa riêng bằng cách sử dụng thuật toán được mô tả trong các
bước sau:
1. Chọn hai số nguyên tố lớn (mỗi số gồm xấp xỉ 200 chữ số), được gán nhãn
là p và q.
2. Tính tích của hai số đó: n = p * q.
3. Chọn một số e thỏa mãn hai yêu cầu sau:
a. e nhỏ hơn n.
b. e và (p - 1)(q - 1) tương quan nguyên tố - nghĩa là hai số không có
thừa số chung nào khác ngoài 1.
4. Tìm một số d sao cho ed = 1 mod ((p - 1) (q - 1)).
5. Phân phối e và n làm khóa công khai cho tất cả người sử dụng hệ thống
mật mã. Giữ bí mật d làm khóa riêng tư.
Nếu Alice muốn gửi một thông điệp được mã hóa cho Bob, cô ấy sẽ tạo ra bản
mã (C) từ bản rõ (P) bằng công thức sau (trong đó e là khóa công khai của Bob
và n là tích của p và q được tạo ra trong quá trình tạo khóa ):
C = P <sup> e </sup> mod n
Khi Bob nhận được thông điệp, anh ấy thực hiện phép tính sau để lấy ra thông
điệp bản rõ:
P = C <sup> d </sup> mod n
Merkle-Hellman Knapsack
Một thuật toán bất đối xứng ban đầu khác, thuật toán Merkle-Hellman Knapsack,
được phát triển vào năm sau khi RSA đư ợc công bố rộng rãi. Giống như RSA, nó
dựa trên sự khó khăn khi thực hiện các phép tính phân tích thừa số, nhưng nó
dựa trên một thành phần của lý thuyết tập hợp được gọi là các tập hợp siêu tăng
hơn là vào các số nguyên tố lớn. Merkle–Hellman đã được chứng minh là không
hiệu quả khi nó bị phá vỡ vào năm 1984.
497 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tầm quan trọng của Độ dài Khóa
Độ dài của khóa mật mã có lẽ là tham số bảo mật quan trọng nhất có thể được
thiết lập tùy theo quyết định của quản trị viên bảo mật. Điều quan trọng là phải
hiểu các khả năng của thuật toán mã hóa của bạn và chọn được một độ dài khóa
cung cấp được mức độ bảo vệ thích hợp. Phán đoán này có thể được thực hiện
bằng cách cân nhắc độ khó của việc đánh bại một độ dài khóa nhất định (được
đo bằng lượng thời gian xử lý cần thiết để đánh bại hệ thống mật mã) so với tầm
quan trọng của dữ liệu.
Nói chung, dữ liệu của bạn càng quan trọng thì bạn nên sử dụng khóa càng mạnh
để bảo vệ dữ liệu đó. Tính kịp thời của dữ liệu cũng là một yếu tố quan trọng cần
xem xét. Bạn phải tính đến sự phát triển nhanh chóng của năng lực tính toán định luật Moore cho rằng sức mạnh tính toán tăng gấp đôi khoảng mỗi hai năm
một lần. Nếu các máy tính hiện tại mất một năm thời gian xử lý để phá vỡ mã của
bạn thì sẽ chỉ mất ba tháng nếu nỗ lực đó được thực hiện với công nghệ hiện đại
trong khoảng bốn năm. Nếu bạn mong đợi rằng dữ liệu của mình vẫn còn nhạy
cảm vào thời điểm đó, bạn nên chọn một khóa mật mã dài hơn nhiều sẽ vẫn giữ
được sự an toàn trong tương lai.
Ngoài ra, vì những kẻ tấn công hiện có thể tận dụng tài nguyên điện toán đám
mây, chúng có khả năng tấn công dữ liệu được mã hóa một cách hiệu quả hơn.
Đám mây cho phép những kẻ tấn công thuê sức mạnh tính toán có khả năng mở
rộng, bao gồm các đơn vị xử lý đồ họa mạnh mẽ (GPU) trên cơ sở mỗi giờ và giảm
giá đáng kể khi sử dụng quá công suất trong giờ thấp điểm. Điều này mang lại
khả năng tính toán mạnh mẽ nằm trong tầm ngắm của nhiều kẻ tấn công.
Độ mạnh của các độ dài khóa khác nhau cũng khác nhau r ất nhiều tùy theo hệ
thống mật mã bạn đang sử dụng. Các độ dài khóa được hiển thị trong bảng sau
cho ba hệ thống mật mã đều cung cấp sự bảo vệ như nhau do có sự khác biệt
trong cách thức các thuật toán sử dụng vật liệu khóa:
Hệ thống mã hóa
Độ dài khóa
Đối xứng
128-bit
RSA
3,072-bit
Đường cong elliptic
256-bit
498 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
ElGamal
Trong Chương 6, bạn đã tìm hiểu cách thuật toán Diffie-Hellman sử dụng số
nguyên lớn và số học mô-đun để tạo điều kiện trao đổi an toàn các khóa bí mật
qua các kênh giao tiếp không an toàn. Vào năm 1985, Tiến sĩ Taher Elgamal đã
xuất bản một bài báo mô tả cách các nguyên tắc toán học đằng sau thuật toán
trao đổi khóa Diffie-Hellman có thể được mở rộng để hỗ trợ toàn bộ hệ thống
mật mã khóa công khai được sử dụng để mã hóa và giải mã thông điệp.
Vào thời điểm phát hành, một trong những lợi thế chính của ElGamal so với thuật
toán RSA là nó đã được phát hành công khai cho công chúng. Elgamal đã không
nhận được bằng sáng chế về phần mở rộng của Diffie-Hellman, và nó có sẵn để
sử dụng miễn phí, không giống như công nghệ RSA đã được cấp bằng sáng chế
sau đó. (RSA đã phát hành thuật toán của nó công khai cho công chúng vào năm
2000.)
Tuy nhiên, ElGamal cũng có một nhược điểm lớn – thuật toán tăng gấp đôi kích
cỡ của bất kỳ thông điệp nào mà nó mã hóa. Điều này gây khó khăn đáng kể khi
phải mã hóa một lượng lớn dữ liệu phải được gửi qua mạng.
Đường cong Elliptic
Trong cùng năm mà ElGamal công b ố thuật toán của mình, hai nhà toán học
khác, Neal Koblitz từ Đại học Washington và Victor Miller t ừ IBM, đã độc lập đề
xuất việc áp dụng mật mã đường cong elliptic (ECC).
Bất kỳ đường cong elliptic nào cũng có th ể được xác định bằng phương trình
sau:
y<sup>2</sup> = x<sup>3</sup> + ax + b
Trong phương trình này, x, y, a và b đều là số thực. Mỗi đường cong elliptic có
một nhóm đường cong elliptic tương ứng được tạo thành từ các điểm trên đường
cong elliptic cùng với điểm O, nằm ở vô cùng. Hai điểm trong cùng một nhóm
đường cong elliptic (P và Q) có thể được thêm vào cùng với một thuật toán cộng
đường cong elliptic. Thao tác này được diễn đạt khá đơn giản như sau:
P + Q
499 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bài toán này có thể được mở rộng liên quan đến phép nhân bằng cách giả sử
rằng Q là bội của P, nghĩa là như sau:
Q = xP
Những khái niệm toán học đứng sau mật mã đường cong elliptic
khá phức tạp và nằm ngoài phạm vi của cuốn sách này. Tuy nhiên,
khi chuẩn bị cho kỳ thi CISSP, bạn nên làm quen với thuật toán
đường cong elliptic và các ứng dụng tiềm năng của nó. Nếu bạn
quan tâm đến việc tìm hiểu toán học chi tiết đằng sau các hệ
thống mật mã đường cong elliptic, sẽ có một hướng dẫn tuyệt vời
tại địa chỉ trang web www.certicom.com/content/certicom/en/ecc tutorial.html.
Các nhà khoa học máy tính và toán h ọc tin rằng rất khó tìm thấy x, ngay cả khi
P và Q đã được biết trước. Bài toán khó này, được gọi là bài toán logarit rời rạc
đường cong elliptic, là cơ sở của mật mã đường cong elliptic. Nhiều người tin
rằng bài toán này khó giải hơn cả bài toán thừa số nguyên tố mà hệ thống mật
mã RSA dựa trên đó và bài toán logarit rời rạc tiêu chuẩn được Diffie-Hellman
và ElGamal sử dụng. Điều này được minh họa bằng dữ liệu được hiển thị trong
bảng trong thanh bên “Tầm quan trọng của Độ dài Khóa”, trong đó lưu ý rằng
khóa RSA 3,072-bit tương đương về mặt mật mã với khóa hệ thống mật mã đường
cong elip 256-bit.
Trao đổi Khóa Diffie-Hellman
Trong Chương 6, bạn đã học cách mà thuật toán Diffie-Hellman trở thành một
phương pháp tiếp cận trao đổi khóa cho phép hai cá nhân tạo khóa bí mật dùng
chung qua một kênh giao tiếp không an toàn như thế nào. Với kiến thức về mật
mã bất đối xứng, giờ đây chúng ta có thể đi sâu hơn một chút vào chi tiết về
cách thức hoạt động thực sự của thuật toán này, vì trao đổi khóa Diffie-Hellman
là một ví dụ về mật mã khóa công khai.
Vẻ đẹp của thuật toán này nằm ở khả năng hai người dùng tạo ra một bí mật
được chia sẻ mà cả hai đều biết nhưng không bao giờ thực sự truyền đi bí mật
đó. Do đó, họ có thể sử dụng mật mã khóa công khai để tạo ra khóa bí mật được
500 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
chia sẻ mà sau đó họ sử dụng để giao tiếp với thuật toán mã hóa đối xứng. Đây
là một ví dụ về cách tiếp cận được gọi là mật mã hỗn hợp, mà chúng ta sẽ thảo
luận chi tiết hơn ở phần sau của chương này.
Thuật toán Diffie-Hellman hoạt động bằng cách sử dụng toán học về các số
nguyên tố, tương t ự như thuật toán RSA. Hãy tưởng tượng rằng Richard và Sue
muốn giao tiếp qua một kết nối bảo mật, được mã hóa nhưng họ ở những vị trí
khác nhau và không có khóa bí mật dùng chung. Richard hoặc Sue có thể đơn
giản tạo ra một khóa như vậy, nhưng sau đó họ sẽ không có cách nào để chia
sẻ nó với nhau mà không để lộ nó để có thể bị nghe trộm. Vì vậy, thay vào đó,
họ sử dụng thuật toán Diffie-Hellman, theo quy trình sau:
1. Richard và Sue đồng ý về hai số lớn: p (là số nguyên tố) và g (là số
nguyên), sao cho 1 <g <p.
2. Richard chọn một số nguyên lớn ngẫu nhiên r và thực hiện phép tính sau:
R = gr mod p
3. Sue chọn một số nguyên ngẫu nhiên lớn s và thực hiện phép tính sau:
S = gs mod p
4. Richard gửi R cho Sue và Sue gửi S cho Richard.
5. Sau đó Richard thực hiện phép tính này:
K = Sr mod p
6. Sau đó Sue thực hiện phép tính này:
K = Rs mod p
Tại thời điểm này, Richard và Sue đều có cùng giá trị là K, và có thể sử dụng
giá trị này để liên lạc khóa bí mật giữa hai bên.
Điều quan trọng cần lưu ý là Diffie-Hellman không phải là một giao thức mã hóa.
Về mặt kỹ thuật, nó là một giao thức trao đổi khóa. Tuy nhiên, nó thường được
sử dụng để tạo khóa bí mật dùng chung để sử dụng trong Bảo mật Lớp Truyền
tải (TLS), nơi nó được gọi là DHE hoặc EDH. Chúng ta sẽ thảo luận về việc sử
dụng Diffie-Hellman ở phần sau của chương này.
501 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Thuật toán trao đổi khóa Diffie-Hellman dựa trên việc sử dụng các
số nguyên tố lớn. Thuật toán trao đổi khóa ECDHE là một biến thể
của phương pháp tiếp cận này để sử dụng bài toán đường cong
elliptic để thực hiện một tiến trình thỏa thuận khóa tương tự.
Mật mã Lượng tử
Điện toán lượng tử là một lĩnh vực nghiên cứu lý thuyết tiên tiến trong ngành
khoa học máy tính và vật lý. Lý thuyết đằng sau chúng là chúng ta có th ể sử
dụng các nguyên tắc của cơ học lượng tử để thay thế các bit nhị phân 1 và 0
của máy tính kỹ thuật số bằng các bit lượng tử đa chiều được gọi là qubit.
Điện toán lượng tử vẫn là một lĩnh vực mới nổi, và hiện tại, máy tính lượng tử
chỉ giới hạn trong nghiên cứu về mặt lý thuyết. Chưa có ai phát triển được cách
triển khai thực tế của một máy tính lượng tử hữu ích. Điều đó nói lên rằng nếu
máy tính lượng tử xuất hiện, chúng sẽ có tiềm năng cách mạng hóa thế giới khoa
học máy tính bằng cách cung cấp nền tảng công nghệ cho những máy tính mạnh
nhất từng được phát triển. Những máy tính đó sẽ nhanh chóng áp dụng nhiều
nguyên tắc của an ninh mạng hiện đại.
Tác động đáng kể nhất của điện toán lượng tử đối với thế giới mật mã nằm ở
khả năng máy tính lượng tử có thể giải quyết các vấn đề hiện không thể giải
quyết được trên các máy tính hiện đại. Khái niệm này được gọi là ưu thế lượng
tử và, nếu đạt được, có thể dễ dàng giải quyết các vấn đề thừa số hóa mà nhiều
thuật toán mã hóa bất đối xứng cổ điển dựa vào. Nếu điều này xảy ra, nó có thể
khiến cho các thuật toán phổ biến như RSA và Diffie -Hellman trở thành không
an toàn.
Tuy nhiên, các máy tính lượng tử cũng có thể được sử dụng để tạo ra các thuật
toán mật mã mới hơn và phức tạp hơn. Các hệ thống mật mã lượng tử này có
khả năng chống lại các cuộc tấn công lượng tử hơn và có thể mở ra một kỷ
nguyên mật mã mới. Các nhà nghiên cứu đã phát triển các triển khai trong phòng
thí nghiệm về phân phối khóa lượng tử (QKD), một phương pháp tiếp cận sử
dụng tính toán lượng tử để tạo ra khóa bí mật được chia sẻ giữa hai người dùng,
502 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
tương tự như mục tiêu của thuật toán Diffie-Hellman. Giống như mật mã lượng
tử nói chung, QKD vẫn chưa đạt đến giai đoạn sử dụng trong thực tế.
Mật mã Hậu-Lượng tử (Post-Quantum)
Ý nghĩa thiết thực nhất của điện toán lượng tử ngày nay là các chuyên gia an
ninh mạng nên nhận thức được về khoảng thời gian mà thông tin của họ sẽ
vẫn giữ được tính nhạy cảm. Có khả năng kẻ tấn công có thể giữ lại các bản
sao bị đánh cắp của dữ liệu mã hóa trong một khoảng thời gian dài và sau đó
sử dụng các phát triển trong tương lai trong lĩnh vực điện toán lượng tử để
giải mã dữ liệu đó. Nếu dữ liệu vẫn còn nhạy cảm tại thời điểm đó, tổ chức có
thể bị tổn thương. Điểm quan trọng nhất ở đây đối với các chuyên gia bảo mật
là ngày nay họ phải suy nghĩ về tính bảo mật của dữ liệu hiện tại của họ trong
một thế giới hậu-lượng-tử. Ngoài ra, rất có thể các ứng dụng thực tế lớn đầu
tiên của điện toán lượng tử đối với các cuộc tấn công phân tích mật mã có thể
sẽ xảy ra trong bí mật. Một cơ quan tình báo hoặc nhóm khác khám phá ra một
phương tiện thiết thực để phá vỡ mật mã hiện đại sẽ được hưởng lợi nhiều
nhất nếu họ giữ bí mật khám phá đó và sử dụng nó cho lợi ích của riêng họ.
Thậm chí có thể là những khám phá như vậy đã xảy ra trong bí mật!
Các Hàm Băm
Ở phần sau của chương này, bạn sẽ tìm hiểu về cách thức mà hệ thống mật mã
triển khai các chữ ký kỹ thuật số để cung cấp bằng chứng rằng một thông điệp
có nguồn gốc từ một người dùng cụ thể của hệ thống mật mã và để đảm bảo
rằng thông điệp đó đã không bị sửa đổi khi chuyển tiếp giữa hai bên. Trước khi
bạn có thể hoàn toàn hiểu khái niệm đó, trước tiên chúng ta phải giải thích khái
niệm về hàm băm. Chúng ta sẽ khám phá những điều cơ bản về hàm băm và xem
xét một số hàm băm phổ biến được sử dụng trong các thuật toán chữ ký kỹ thuật
số hiện đại.
Các hàm băm có một mục đích rất đơn giản - chúng nhận một thông điệp có thể
khá dài và tạo ra một giá trị đầu ra duy nhất bắt nguồn từ nội dung của thông
điệp đó. Giá trị này thường được gọi là đồng hóa thông điệp. Người gửi tin nhắn
503 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
có thể tạo ra thông điệp và truyền đến người nhận cùng với thông điệp đầy đủ
vì hai lý do.
Đầu tiên, người nhận có thể sử dụng cùng một hàm băm để tính toán lại đồng
hóa thông điệp từ toàn bộ thông điệp. Sau đó, họ có thể so sánh bản đồng hóa
thông điệp đã tính toán với bản đồng hóa đã được truyền để đảm bảo rằng thông
điệp do người khởi tạo gửi đi là thông điệp mà người nhận đã nhận được. Nếu
nội dung của đồng hóa thông điệp không khớp, điều đó có nghĩa là thông báo
đã bị sửa đổi bằng cách nào đó khi đang chuy ển tiếp. Điều quan trọng cần lưu
ý là các thông điệp phải giống hệt nhau để các đồng hóa trùng khớp. Nếu các
thông điệp thậm chí có sự khác biệt nhỏ về khoảng trắng, dấu câu hoặc nội
dung, thì các giá trị đồng hóa thông điệp sẽ hoàn toàn khác nhau. Không thể
cho biết mức độ khác biệt giữa hai thông điệp bằng cách so sánh các đồng hóa.
Ngay cả một sự khác biệt nhỏ cũng sẽ tạo ra các giá trị đồng hóa hoàn toàn
khác nhau.
Thứ hai, đồng hóa thông điệp có thể được sử dụng để triển khai một thuật toán
chữ ký kỹ thuật số. Khái niệm này được đề cập trong phần “Chữ ký Kỹ thuật số”,
nằm ở phần sau của chương này.
Trong hầu hết các trường hợp, một đồng hóa thông điệp là 128-bit hoặc lớn hơn.
Tuy nhiên, giá trị một-chữ-số có thể được sử dụng để thực hiện hàm chẵn lẻ,
giá trị tổng kiểm tra một-chữ-số hoặc cấp-thấp được sử dụng để cung cấp một
điểm xác minh riêng lẻ. Trong hầu hết các trường hợp, bản đồng hóa thông điệp
càng dài thì việc xác minh tính toàn vẹn của nó càng đáng tin cậy.
Theo RSA Security, có năm yêu c ầu cơ bản đối với một hàm băm mật mã:
▪
Đầu vào có thể có độ dài bất kỳ.
▪
Đầu ra có độ dài cố định.
▪
Hàm băm tương đối dễ tính toán cho bất kỳ đầu vào nào.
▪
Hàm băm là một-chiều (nghĩa là cực kỳ khó để xác định đầu vào khi được
cung cấp cùng với đầu ra). Các hàm một-chiều và sự hữu ích của chúng
trong mật mã được mô tả trong Chương 6.
▪
Hàm băm có khả năng chống xung đột (nghĩa là cực kỳ khó để tìm được
hai thông điệp tạo ra cùng một giá trị băm).
504 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Điểm mấu chốt là rằng các hàm băm tạo ra một giá trị đại diện duy nhất cho dữ
liệu trong thông điệp ban đầu nhưng không thể được đảo ngược, hay còn gọi là
“hủy băm (de-hashed)”. Quyền truy cập vào giá trị băm không cho phép ai đó
xác định nội dung thông điệp gốc thực sự chứa gì. Quyền truy cập vào cả thông
điệp gốc và giá trị được băm ban đầu cho phép ai đó xác minh được rằng thông
điệp đã không thay đổi kể từ khi hàm băm đầu tiên được tạo bằng cách tạo ra
một hàm băm mới và so sánh cả hai. Nếu hàm băm khớp nghĩa là hàm băm đã
được chạy trên cùng một dữ liệu đầu vào, vì vậy dữ liệu đầu vào không thay đổi.
Trong các phần sau, chúng ta sẽ xem xét một số thuật toán băm phổ biến: Thuật
toán Băm An toàn (Secure Hash Algorithm - SHA), Đồng hóa Thông điệp 5
(Message Digest 5 - MD5) và Đồng hóa Thông điệp RIPE (RIPE Message Digest RIPEMD). Mã xác thực thông điệp băm (Hash Message Authentication Code HMAC) cũng được thảo luận ở phần sau của chương này.
Rất nhiều thuật toán băm đã không được xác định trong bài thi,
nhưng ngoài SHA, MD5, RIPEMD và HMAC, bạn nên nhận biết được
HAVAL. Băm Độ dài Biến đổi (Hash of Variable Length - HAVAL) là
một phiên bản sửa đổi của MD5. HAVAL sử dụng các khối 1,024
bit và tạo ra các giá trị băm 128, 160, 192, 224 và 256-bit.
SHA
Thuật toán Băm An toàn (SHA) và các thuật toán kế thừa của nó, SHA-1, SHA-2
và SHA-3, là những hàm băm tiêu chuẩn của chính phủ được xúc tiến bởi Viện
Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) và được chỉ định trong một ấn
phẩm chính thức của chính phủ - Tiêu chuẩn Băm An toàn (Secure Hash Standard
- SHS), hay còn được gọi là Tiêu chuẩn Xử lý Thông tin Liên bang (Federal
Information Processing Standard - FIPS) 180.
SHA-1 nhận đầu vào có độ dài hầu như bất kỳ (trong thực tế, có giới hạn lên
đến khoảng 2,097,152 terabyte trên thu ật toán) và t ạo ra một bản đồng hóa
thông điệp 160-bit. Thuật toán SHA-1 xử lý một thông điệp trong các khối 512bit. Do đó, nếu độ dài thông điệp không phải là bội số của 512, thuật toán SHA
505 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
sẽ chèn thêm vào thông điệp bằng dữ liệu bổ sung cho đến khi độ dài đạt đến
bội số cao nhất tiếp theo của 512.
Các cuộc tấn công phân tích mật mã đã chứng minh rằng có những điểm yếu
trong thuật toán SHA-1 và do đó, NIST không còn sử dụng SHA-1 nữa và không
còn khuyến nghị sử dụng nó cho bất kỳ mục đích nào, bao gồm cả chữ ký điện
tử và chứng nhận kỹ thuật số. Các trình duyệt web đã ngừng hỗ trợ SHA-1 vào
năm 2017.
Để thay thế, NIST đã công bố tiêu chuẩn SHA-2, có bốn biến thể chính:
▪
SHA-256 tạo bản đồng hóa thông điệp 256-bit sử dụng kích thước khối
512-bit.
▪
SHA-224 sử dụng một phiên bản được cắt ngắn của hàm băm SHA-256,
giảm 32-bit để tạo ra bản đồng hóa thông điệp 224-bit sử dụng kích thước
khối 512-bit.
▪
SHA-512 tạo ra một đồng hóa thông điệp 512-bit sử dụng kích thước khối
1,024-bit.
▪
SHA-384 sử dụng một phiên bản được cắt ngắn của hàm băm SHA-512,
giảm 128-bit để tạo ra bản đồng hóa thông điệp 384-bit sử dụng kích
thước khối 1,024-bit.
Mặc dù trông có vẻ tầm thường nhưng bạn nên dành thời gian để
ghi nhớ kích thước của các đồng hóa thông điệp được tạo ra bởi
mỗi một trong các thuật toán băm được mô tả trong chương này.
Nói chung, cộng đồng mật mã thường coi các thuật toán SHA-2 là an toàn, nhưng
về mặt lý thuyết, chúng cũng mắc phải điểm yếu tương tự như thuật toán SHA1. Vào năm 2015, chính phủ liên bang đã công bố việc phát hành thuật toán
Keccak như là tiêu chuẩn SHA-3. Bộ SHA-3 đã được phát triển để thay thế cho
hàm băm SHA-2, cung cấp các biến thể và độ dài băm giống nhau bằng cách sử
dụng một thuật toán tính toán khác. SHA-3 cung cấp mức độ bảo mật tương tự
như SHA-2, nhưng nó chậm hơn SHA-2, vì vậy SHA-3 không thường được sử dụng
ngoài một số trường hợp chuyên biệt mà thuật toán được triển khai một cách
hiệu quả trong phần cứng.
506 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
MD5
Thuật toán băm Đồng hóa Thông điệp 2 (Message Digest 2 - MD2) được phát
triển bởi Ronald Rivest (Rivest trong Rivest, Shamir và Adleman) vào năm 1989
để cung cấp một hàm băm an toàn cho bộ xử lý 8-bit. Năm 1990, Rivest đã nâng
cao thuật toán đồng hóa thông điệp của mình để hỗ trợ bộ xử lý 32-bit và tăng
mức độ bảo mật với phiên bản có tên gọi MD4.
Năm 1991, Rivest phát hành phiên bản tiếp theo của thuật toán đồng hóa thông
điệp của mình, mà ông gọi là MD5. Nó cũng xử lý các khối thông điệp 512-bit,
nhưng nó sử dụng bốn vòng tính toán riêng biệt để tạo ra một bản đồng hóa có
cùng độ dài như các thuật toán MD2 và MD4 (128-bit). MD5 có các yêu cầu đệm
giống như MD4 - độ dài của thông điệp phải ít hơn 64-bit so với bội số của 512bit.
MD5 triển khai các tính năng bảo mật bổ sung làm giảm đáng kể tốc độ tạo ra
đồng hóa thông điệp. Thật không may, các cuộc tấn công phân tích mật mã đã
chứng minh rằng giao thức MD5 có thể bị xung đột, ngăn cản việc sử dụng nó
để đảm bảo tính toàn vẹn của thông điệp. Cụ thể, Arjen Lenstra và những người
khác đã chứng minh vào năm 2005 rằng có thể tạo hai chứng nhận kỹ thuật số
từ các khóa công khai khác nhau có cùng m ột băm MD5.
Một số công cụ và hệ thống vẫn dựa vào MD5, vì vậy bạn có thể thấy nó được
sử dụng ngày nay, nhưng bây giờ tốt hơn nhiều là dựa vào các thuật toán băm
an toàn hơn, chẳng hạn như SHA-2.
RIPEMD
Chuỗi hàm băm Đồng hóa Thông điệp RIPE (RIPE Message Digest - RIPEMD) là
một sự thay thế cho họ SHA được sử dụng trong một số ứng dụng, chẳng hạn
như triển khai tiền điện tử Bitcoin.
Họ các hàm băm này chứa một loạt các chức năng ngày càng phức tạp:
▪
RIPEMD đã tạo ra một bản đồng hóa 128-bit và chứa một số lỗi cấu trúc
khiến nó không an toàn.
▪
RIPEMD-128 đã thay thế RIPEMD, đồng thời tạo ra một bản đồng hóa 128bit, nhưng nó cũng được xem là không còn an toàn.
507 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
RIPEMD-160 là sự thay thế cho RIPEMD-128 vẫn được bảo mật cho đến
ngày nay và được sử dụng phổ biến nhất trong các biến thể RIPEMD. Nó
tạo ra một giá trị băm 160-bit.
Bạn cũng có thể sẽ nhìn thấy các tham chiếu đến RIPEMD-256 và
RIPEMD-320. Các chức năng này thực sự dựa trên RIPEMD-128 và
RIPEMD-160, tương ứng. Chúng không bổ sung thêm bất kỳ bảo
mật nào, chúng chỉ đơn giản là tạo ra các giá trị băm dài hơn cho
các trường hợp cần giá trị dài hơn. RIPEMD-256 có cùng mức bảo
mật với RIPEMD-128, trong khi RIPEMD-320 có cùng mức bảo mật
với RIPEMD-160. Điều này dẫn đến tình huống nghe có vẻ bất
thường khi RIPEMD-160 là bảo mật, nhưng RIPEMD-256 thì không.
So sánh Độ dài Giá trị Thuật toán Băm
Bảng 7.1 liệt kê các thuật toán băm nổi tiếng và độ dài giá trị băm kết quả của
chúng tính bằng bit. Hãy đánh dấu trang này để ghi nhớ.
BẢNG 7.1 Biểu đồ ghi nhớ thuật toán băm
Tên
Độ dài giá trị băm
HAVAL
128, 160, 192, 224 và 256-bit
HMAC
Thay đổi
MD5
128
SHA-1
160
SHA2-224/SHA3-224
224
SHA2-256/SHA3-256
256
SHA2-384/SHA3-384
384
SHA2-512/SHA3-512
512
RIPEMD-128
128
RIPEMD-160
160
RIPEMD-256
256 (nhưng bảo mật tương đương 128)
RIPEMD-320
320 (nhưng bảo mật tương đương 160)
508 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Các Chữ ký Kỹ thuật số
Khi bạn đã chọn được một hàm băm mật mã và thuật toán mật mã hợp lý, bạn
có thể sử dụng nó để triển khai hệ thống chữ ký kỹ thuật số. Cơ sở hạ tầng chữ
ký kỹ thuật số có hai mục đích riêng biệt:
▪
Các thông điệp được ký kỹ thuật số đảm bảo với người nhận rằng thông
điệp thực sự đến từ người gửi đã tuyên bố quyền sở hữu. Chúng [các thông
điệp được ký kỹ thuậ số] đang thực thi việc không khước từ (nghĩa là,
chúng ngăn không cho người gửi sau đó tuyên bố rằng thông điệp là giả
mạo).
▪
Các thông điệp được ký bằng kỹ thuật số đảm bảo với người nhận rằng tin
nhắn đã không bị thay đổi khi đang truyền đi giữa người gửi và người
nhận. Điều này bảo vệ chống lại cả sửa đổi ác ý (bên thứ ba thay đổi ý
nghĩa của thông điệp) và sửa đổi không chủ đích (do lỗi trong quá trình
liên lạc, chẳng hạn như nhiễu điện).
Các thuật toán chữ ký kỹ thuật số dựa trên sự kết hợp của hai khái niệm chính
đã được đề cập trong chương này - mật mã khóa công khai và các hàm băm.
Nếu Alice muốn ký điện tử một thông điệp mà cô ấy đang gửi cho Bob, cô ấy sẽ
thực hiện những hành động sau:
1. Alice tạo ra một bản đồng hóa thông điệp (tức là băm) của thông điệp văn
bản rõ ban đầu bằng cách sử dụng một trong các thuật toán băm mật mã,
chẳng hạn như SHA2-512.
2. Alice sau đó chỉ mã hóa bản đồng hóa thông điệp bằng khóa riêng tư của
cô ấy. Đồng hóa thông điệp được mã hóa này chính là chữ ký kỹ thuật số.
3. Alice nối tiếp bản đồng hóa thông điệp đã được ký vào thông điệp bản rõ.
4. Alice truyền thông điệp đã được nối tới Bob.
Khi Bob nhận được thông điệp đã được ký điện tử, anh ta sẽ đảo ngược quy trình
như sau:
1. Bob giải mã chữ ký kỹ thuật số bằng khóa công khai của Alice.
2. Bob sử dụng cùng một hàm băm để tạo ra một bản đồng hóa thông điệp
về bản rõ đầy đủ nhận được từ Alice.
509 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
3. Sau đó, Bob so sánh bản đồng hóa thông điệp đã giải mã mà anh nhận
được từ Alice với bản đồng hóa thông điệp mà anh tự tính toán. Nếu hai
bản đồng hóa trùng khớp, anh ấy có thể yên tâm rằng thông điệp anh nhận
được là do Alice gửi. Nếu chúng không khớp thì hoặc là thông điệp đã
không được gửi bởi Alice hoặc thông điệp đã bị sửa đổi khi đang truyền
tải.
Các chữ ký kỹ thuật số được sử dụng cho nhiều mục đích hơn chỉ
là các thông điệp. Các nhà cung cấp phần mềm thường sử dụng
công nghệ chữ ký kỹ thuật số để xác thực các bản phân phối mã
mà bạn tải xuống từ Internet, chẳng hạn như các applet và các
bản vá lỗi phần mềm.
Hãy lưu ý rằng quá trình ký kỹ thuật số không cung cấp tính bảo mật trong và
về bản thân nó. Nó chỉ đảm bảo rằng những mục đích của mật mã về tính toàn
vẹn, xác thực và không khước từ được đáp ứng. Hãy phân tích về điều đó. Nếu
băm được tạo bởi người gửi và băm được tạo bởi người nhận khớp nhau, thì
chúng ta biết rằng hai thông điệp đã được băm giống hệt nhau và chúng ta có
tính toàn vẹn. Nếu chữ ký kỹ thuật số đã được xác minh bằng khóa công khai
của người gửi thì chúng ta biết rằng nó được tạo ra bằng khóa riêng tư của
người gửi đó. Khóa riêng tư đó chỉ nên được biết bởi người gửi, do đó, việc xác
minh chứng minh cho người nhận rằng chữ ký đến từ người gửi, cung cấp sự xác
thực nguồn gốc. Sau đó, người nhận (hoặc bất kỳ ai khác) có thể chứng minh
quy trình đó với bên thứ ba, cung cấp sự không khước từ.
Tuy nhiên, nếu Alice cũng muốn đảm bảo tính bí mật của thông điệp của cô ấy
gửi cho Bob, cô ấy có thể thêm một bước vào quy trình tạo thông điệp. Sau khi
thêm bản đồng hóa thông điệp đã được ký vào thông điệp bản rõ, Alice có thể
mã hóa toàn bộ thông điệp bằng khóa công khai của Bob. Khi Bob nhận được tin
nhắn, anh ấy sẽ giải mã nó bằng khóa riêng tư của mình trước khi làm theo các
bước vừa nêu.
510 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
HMAC
Thuật toán mã xác thực thông điệp đã băm (HMAC) triển khai một phần chữ ký
kỹ thuật số - nó đảm bảo tính toàn vẹn của thông điệp trong quá trình truyền
tải, nhưng tuy nhiên, nó không mang lại tính năng không khước từ.
Tôi Nên Sử dụng Khóa Nào?
Nếu bạn chưa quen với mật mã khóa công khai, việc lựa chọn chính xác khóa
cho các ứng dụng khác nhau có thể khá khó hiểu. Mã hóa, giải mã, ký thông
điệp và xác minh chữ ký đều sử dụng cùng một thuật toán với các đầu vào
khóa khác nhau. Dưới đây là một số quy tắc đơn giản để giúp bạn ghi nhớ
những khái niệm này khi chuẩn bị cho kỳ thi CISSP:
▪
Nếu bạn muốn mã hóa một thông điệp bí mật, hãy sử dụng khóa công
khai của người nhận.
▪
Nếu bạn muốn giải mã một thông điệp bí mật được gửi cho bạn, hãy sử
dụng khóa riêng tư của bạn.
▪
Nếu bạn muốn ký kỹ thuật số một tin nhắn bạn đang gửi cho người khác,
hãy sử dụng khóa riêng tư của bạn.
▪
Nếu bạn muốn xác minh chữ ký trên thông điệp do người khác gửi, hãy
sử dụng khóa công khai của người gửi.
Bốn quy tắc này là các nguyên tắc cốt lõi của mật mã khóa công khai và chữ
ký kỹ thuật số. Nếu bạn hiểu được từng nguyên tắc, bạn đã có một khởi đầu
tuyệt vời!
HMAC có thể được kết hợp với bất kỳ thuật toán tạo đồng hóa thông điệp tiêu
chuẩn nào, chẳng hạn như MD5, SHA-2, hoặc SHA-3, bằng cách sử dụng một
khóa bí mật được chia sẻ. Do đó, chỉ các bên đang giao tiếp biết được khóa mới
có thể tạo hoặc xác minh chữ ký kỹ thuật số. Nếu người nhận giải mã đồng hóa
thông điệp nhưng không thể so sánh thành công nó với một đồng hóa thông điệp
được tạo từ thông điệp bản rõ, điều đó có nghĩa là thông điệp đã bị thay đổi
trong quá trình chuyển tiếp.
511 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bởi vì HMAC dựa trên một khóa bí mật được chia sẻ, nó không cung cấp bất kỳ
chức năng không khước từ nào (như đã đề cập trước đây). Tuy nhiên, nó hoạt
động theo cách hiệu quả hơn so với tiêu chuẩn chữ ký kỹ thuật số được mô tả
trong phần sau và có thể phù hợp với các ứng dụng trong đó mật mã khóa đối
xứng là thích hợp. Nói tóm lại, nó đại diện cho một nửa điểm giữa việc sử dụng
thuật toán đồng hóa thông điệp không được mã hóa và các thuật toán chữ ký kỹ
thuật số tốn kém về mặt tính toán dựa trên mật mã khóa công khai.
Tiêu chuẩn Chữ ký Kỹ thuật số
Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ chỉ định các thuật toán chữ ký
kỹ thuật số được chính phủ liên bang sử dụng trong Tiêu chuẩn Xử lý Thông tin
Liên bang (FIPS) 186-4, còn được gọi là Tiêu chuẩn Chữ ký Kỹ thuật số (Digital
Signature Standard - DSS). Tài liệu này quy định rằng tất cả các thuật toán chữ
ký số được liên bang phê duyệt phải sử dụng hàm băm SHA-3.
DSS cũng chỉ định các thuật toán mã hóa có thể được sử dụng để hỗ trợ cho cơ
sở hạ tầng chữ ký kỹ thuật số. Có ba thuật toán mã hóa tiêu chuẩn hiện đã được
phê duyệt:
▪
Thuật toán Chữ ký Kỹ thuật số (Digital Signature Algorithm - DSA) như
được chỉ định trong FIPS 186-4. Thuật toán này là một biến thể của một
thuật toán được phát triển bởi Tiến sĩ Taher Elgamal, người sáng tạo ra
hệ thống mật mã bất đối xứng ElGamal đã được thảo luận trước đó trong
chương này.
▪
Thuật toán Rivest–Shamir–Adleman (RSA), như được chỉ định trong ANSI
X9.31.
▪
DSA Đường cong Elliptic (ECDSA), như đư ợc chỉ định trong ANSI X9.62.
Khi quyển sách này được xuất bản vào năm 2021, phiên bản tiếp
theo của Tiêu chuẩn Chữ ký Kỹ thuật số, FIPS 186-5, vẫn đang ở
dạng bản thảo. Dự thảo đề xuất loại bỏ DSA như một thuật toán
đã được phê duyệt, giữ lại RSA và ECDSA, đồng thời thêm Thuật
toán Chữ ký Kỹ thuật số Edwards-Curve (EdDSA) vào DSS.
512 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Cơ sở hạ tầng Khóa Công khai
Điểm mạnh chính của mã hóa khóa công khai là khả năng của nó trong việc tạo
điều kiện giao tiếp giữa các bên trước đây chưa từng biết đến nhau. Điều này
trở nên khả thi nhờ vào hệ thống phân cấp các mối quan hệ đáng tin cậy của cơ
sở hạ tầng khóa công khai (PKI). Những sự tín nhiệm này cho phép kết hợp mật
mã bất đối xứng với mật mã đối xứng cùng với băm và chứng nhận kỹ thuật số,
mang lại cho chúng ta mật mã kết hợp.
Trong các phần tiếp theo, bạn sẽ tìm hiểu về các thành phần cơ bản của cơ sở
hạ tầng khóa công khai và những khái niệm mật mã khiến giao tiếp an toàn trên
toàn cầu trở nên khả thi. Bạn sẽ tìm hiểu thành phần của chứng nhận kỹ thuật
số, vai trò của tổ chức phát hành chứng nhận và quy trình được sử dụng để tạo
ra và hủy chứng nhận.
Các Chứng nhận
Các chứng nhận kỹ thuật số cung cấp cho các bên đang giao tiếp sự đảm bảo
rằng những người mà họ đang giao tiếp thực sự chính là người mà họ tuyên bố.
Chứng nhận kỹ thuật số về cơ bản là một bản sao được xác thực của khóa công
khai của một cá nhân. Khi người dùng xác minh rằng chứng nhận đã được ký bởi
tổ chức phát hành chứng nhận (CA) đáng tin cậy, họ biết rằng khóa công khai
là hợp pháp.
Chứng nhận kỹ thuật số chứa thông tin nhận dạng cụ thể và việc xây dựng chúng
được điều chỉnh bởi một tiêu chuẩn quốc tế - X.509. Các chứng nhận tuân theo
X.509 chứa những dữ liệu sau:
▪
Phiên bản X.509 mà chứng nhận đang tuân theo,
▪
Mã số sê-ri (từ người tạo chứng nhận),
▪
Bộ định danh thuật toán chữ ký (chỉ định kỹ thuật được sử dụng bởi cơ
quan cấp chứng nhận để ký điện tử nội dung của chứng nhận),
▪
Tên người cấp chứng nhận (nhận dạng của cơ quan cấp chứng nhận đã
phát hành chứng nhận),
▪
Thời hạn có hiệu lực (chỉ định ngày và giờ - ngày và giờ bắt đầu và ngày
giờ hết hạn - trong thời gian chứng nhận có hiệu lực),
513 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Tên chủ thể (chứa tên chung [common name - CN] của chứng nhận cũng
như tên phân biệt [distinguished name - DN] của thực thể sở hữu khóa
công khai có trong chứng nhận),
▪
Khóa công khai của chủ thể (phần cốt lõi của chứng nhận - khóa công khai
thực tế mà chủ sở hữu chứng nhận sử dụng để thiết lập giao tiếp an toàn).
Chứng nhận có thể được cấp cho nhiều mục đích khác nhau. Chúng bao gồm việc
cung cấp sự đảm bảo cho các khóa công khai của:
▪
Các máy tính/máy móc,
▪
Người dùng cá nhân,
▪
Địa chỉ email,
▪
Nhà phát triển (chứng nhận ký-mã).
Chủ đề của chứng nhận có thể bao gồm ký tự đại diện trong tên chứng nhận,
cho biết rằng chứng nhận cũng tốt cho các miền phụ. Ký tự đại diện được chỉ
định bằng ký tự dấu hoa thị (*). Ví dụ: chứng nhận ký tự đại diện được cấp cho
*.example.org sẽ hợp lệ cho tất cả các miền sau:
▪
example.org,
▪
www.example.org,
▪
mail.example.org,
▪
secure.example.org
Các chứng nhận wildcard chỉ hợp lệ cho một cấp độ miền phụ. Do
đó, chứng nhận *.example.org sẽ không hợp lệ cho miền phụ
www.cissp.example.org.
Các Cơ quan cấp Chứng nhận
Cơ quan cấp chứng nhận (CA) là chất keo kết dính cơ sở hạ tầng khóa công khai
lại với nhau. Các tổ chức trung lập này cung cấp dịch vụ công chứng chứng nhận
kỹ thuật số. Để có được chứng nhận kỹ thuật số từ một CA có uy tín, bạn phải
chứng minh danh tính của mình để làm hài lòng CA. Danh sách dưới đây bao gồm
một số CA chính cung cấp chứng nhận số được chấp nhận rộng rãi:
▪
Symantec,
▪
IdenTrust,
514 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Amazon Web Service,
▪
GlobalSign,
▪
Comodo,
▪
Certum,
▪
GoDaddy,
▪
DigiCert,
▪
Secom,
▪
Entrust,
▪
Actalis,
▪
Trustwave.
Không có gì ngăn cản bất kỳ tổ chức nào khỏi việc chỉ đơn giản thiết lập cửa
hàng như một CA. Tuy nhiên, các chứng nhận do CA cấp chỉ đủ tốt bằng sự tin
tưởng được đặt vào CA đã cấp chúng. Đây là một mục quan trọng cần xem xét
khi nhận chứng nhận kỹ thuật số từ bên thứ ba. Nếu bạn không nhận ra và tin
tưởng vào tên của CA đã cấp chứng nhận thì bạn hoàn toàn không nên đặt niềm
tin vào chứng nhận. PKI dựa trên một hệ thống phân cấp của các mối quan hệ
đáng tin cậy. Nếu bạn thiết lập cấu hình trình duyệt của mình để tin cậy một
CA, nó sẽ tự động tin cậy tất cả các chứng nhận kỹ thuật số do CA đó cấp. Các
nhà phát triển trình duyệt định cấu hình trước các trình duyệt để tin tưởng các
CA chính để tránh gây ra gánh nặng này cho người dùng.
Let’s Encrypt! Là một CA nổi-tiếng bởi vì họ cung cấp các chứng
nhận miễn phí trong một nỗ lực khuyến khích sử dụng mã hóa.
Bạn
có
thể
tìm
hiểu
thêm
về
dịch
vụ
miễn
phí
này
tại
letsencrypt.org.
Cơ quan đăng ký (registration authorities - RA) hỗ trợ CA cho gánh nặng xác
minh danh tính của người dùng trước khi cấp chứng nhận kỹ thuật số. Họ không
trực tiếp tự cấp chứng nhận nhưng đóng vai trò rất quan trọng trong quá trình
cấp chứng nhận, cho phép CA xác thực danh tính người dùng từ xa.
Cơ quan cấp chứng nhận phải bảo vệ các khóa riêng tư của họ một cách cẩn thận
để duy trì các mối quan hệ đáng tin cậy của họ. Để làm được điều này, họ thường
515 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
sử dụng một CA ngoại tuyến để bảo vệ chứng nhận gốc của họ, chứng nhận cấpcao-nhất cho toàn bộ PKI của họ. CA ngoại tuyến này bị ngắt kết nối khỏi mạng
và tắt nguồn cho đến khi nó được cần đến. CA ngoại tuyến sử dụng chứng nhận
gốc để tạo ra các CA trung gian cấp dưới đóng vai trò là CA trực tuyến được sử
dụng để cấp chứng nhận trên cơ sở thường xuyên.
Trong mô hình tin cậy CA, việc sử dụng một loạt các CA trung gian còn được gọi
là chuỗi chứng nhận. Để xác thực chứng nhận, trước tiên, trình duyệt xác minh
danh tính của (các) CA trung gian, sau đó theo dõi đư ờng dẫn tin cậy trở lại CA
gốc đã biết, xác minh danh tính của từng liên kết trong chuỗi tin cậy.
Cơ quan cấp chứng nhận không cần phải là nhà cung cấp dịch vụ bên-thứ-ba.
Nhiều tổ chức vận hành CA nội bộ cung cấp chứng nhận tự ký để sử dụng trong
tổ chức. Các chứng nhận này sẽ không được trình duyệt của người dùng bên
ngoài tin cậy, nhưng các hệ thống nội bộ có thể được thiết lập cấu hình để tin
cậy CA nội bộ, giúp tiết kiệm chi phí lấy chứng nhận từ một CA bên-thứ-ba.
Vòng đời Chứng nhận
Những khái niệm kỹ thuật đứng sau cơ sở hạ tầng khóa công khai tương đối đơn
giản. Trong các phần tiếp theo, chúng tôi sẽ đề cập đến các quy trình được sử
dụng bởi các cơ quan cấp chứng nhận để tạo ra, xác thực và thu hồi các chứng
nhận máy khách.
Đăng ký (Enrollment)
Khi bạn muốn lấy chứng nhận kỹ thuật số, trước tiên bạn phải chứng minh danh
tính của mình với CA theo một cách nào đó, quá trình này được gọi là đăng ký.
Như đã được đề cập trong phần trước, điều này đôi khi liên quan đến việc xuất
hiện thực tế trước một đại lý của cơ quan cấp chứng nhận với các tài liệu nhận
dạng thích hợp. Một số cơ quan cấp chứng nhận cung cấp các phương tiện xác
minh khác, bao gồm việc sử dụng dữ liệu báo cáo tín dụng và xác minh danh
tính bởi các nhà lãnh đạo cộng đồng đáng tin cậy.
Khi bạn đã làm hài lòng cơ quan cấp chứng nhận về danh tính của mình, bạn
cung cấp cho họ khóa công khai của mình dưới dạng yêu cầu ký chứng nhận
(certificate signing request - CSR). Tiếp theo, CA tạo ra chứng nhận kỹ thuật số
516 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
X.509 chứa thông tin nhận dạng của bạn và một bản sao khóa công khai của
bạn. Sau đó, CA ký kỹ thuật số vào chứng nhận bằng khóa riêng tư của CA và
cung cấp cho bạn bản sao chứng nhận kỹ thuật số đã được ký của bạn. Sau đó,
bạn có thể phân phối chứng nhận này một cách an toàn cho bất kỳ ai mà bạn
muốn giao tiếp một cách bảo mật.
Cơ quan cấp chứng nhận cấp các loại chứng nhận khác nhau tùy thuộc vào mức
độ xác minh danh tính mà họ thực hiện. Chứng nhận đơn giản và phổ biến nhất
là chứng nhận Xác thực miền (Domain Validation - DV), trong đó CA chỉ cần xác
minh rằng chủ thể của chứng nhận có quyền kiểm soát tên miền. Chứng nhận
Xác thực Mở rộng (Extended Validation - EV) cung cấp mức độ đảm bảo cao hơn
và CA thực hiện các bước để xác minh rằng chủ sở hữu chứng nhận là một doanh
nghiệp hợp pháp trước khi phát hành chứng nhận.
Xác minh (Verification)
Khi bạn nhận được một chứng nhận kỹ thuật số từ người nào đó mà bạn muốn
giao tiếp, bạn xác minh chứng nhận bằng cách kiểm tra chữ ký kỹ thuật số của
CA bằng khóa công khai của CA. Sau đó, bạn phải kiểm tra thời hạn hiệu lực của
chứng nhận để đảm bảo rằng ngày hiện tại là sau ngày bắt đầu của chứng nhận
và chứng nhận vẫn chưa bị hết hạn. Cuối cùng, bạn phải kiểm tra và đảm bảo
rằng chứng nhận không bị thu hồi bằng cách sử dụng danh sách thu hồi chứng
nhận (certificate revocation list - CRL) hoặc Giao thức Trạng thái Chứng nhận
Trực tuyến (Online Certificate Status Protocol - OCSP). Tại thời điểm này, bạn
có thể giả định rằng khóa công khai được liệt kê trong chứng nhận là xác thực,
miễn là nó đáp ứng các yêu cầu sau:
▪
Chữ ký kỹ thuật số của CA là xác thực.
▪
Bạn tin tưởng vào CA.
▪
Chứng nhận không được liệt kê trên CRL.
▪
Chứng nhận thực sự chứa dữ liệu bạn đang tin tưởng.
Điểm cuối cùng là một hạng mục tinh tế nhưng vô cùng quan trọng. Trước khi
bạn tin tưởng một phần của thông tin nhận dạng về ai đó, hãy đảm bảo rằng nó
thực sự đã được bao gồm trong chứng nhận. Nếu chứng nhận chứa địa chỉ email
(billjones@foo.com) nhưng không phải là tên gọi của một cá nhân, bạn chỉ có
thể chắc chắn rằng khóa công khai chứa trong đó được liên kết với địa chỉ email
517 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
đó. CA không đưa ra bất kỳ xác nhận nào về danh tính thực tế của tài khoản
email billjones@foo.com. Tuy nhiên, n ếu chứng nhận có tên Bill Jones cùng với
một địa chỉ và số điện thoại thì CA cũng đang xác nhận thông tin đó.
Các thuật toán xác minh chứng nhận kỹ thuật số được tích hợp vào một số ứng
dụng email và trình duyệt web phổ biến, vì vậy, bạn sẽ không cần phải tham gia
thường xuyên vào các chi tiết của quy trình. Tuy nhiên, điều quan trọng là phải
có hiểu biết vững chắc về các chi tiết kỹ thuật diễn ra phía sau hậu trường để
đưa ra những đánh giá bảo mật phù hợp cho tổ chức của bạn. Đó cũng là lý do
mà khi mua chứng nhận, bạn nên chọn CA được nhiều người tin tưởng. Nếu một
CA không được bao gồm hoặc sau đó bị lấy ra khỏi danh sách CA được tin cậy
bởi trình duyệt chính, điều đó sẽ hạn chế đáng kể tính hữu ích của chứng nhận
của bạn.
Năm 2017, một lỗi bảo mật đáng kể đã xảy ra trong ngành chứng nhận kỹ thuật
số. Symantec, thông qua một loạt công ty liên kết, đã phát hành một số chứng
nhận kỹ thuật số không đáp ứng các tiêu chuẩn bảo mật của ngành. Để đáp lại,
Google thông báo r ằng trình duyệt Chrome sẽ không còn tin tưởng vào chứng
nhận Symantec nữa. Do đó, Symantec đã bán đ ứt hoạt động kinh doanh pháthành-chứng-nhận của mình cho DigiCert, công ty đã đ ồng ý xác nhận hợp lệ các
chứng nhận trước khi phát hành. Điều này chứng tỏ tầm quan trọng của việc xác
nhận các yêu cầu chứng nhận một cách thích hợp. Một loạt các sơ suất trông có
vẻ nhỏ trong quy trình có thể hủy hoại hoạt động kinh doanh của một CA!
Phương pháp tiếp cận ghim chứng nhận (certificate pinning) hướng dẫn các trình
duyệt đính kèm một chứng nhận vào một chủ đề trong một khoảng thời gian dài.
Khi các trang web sử dụng tính năng ghim chứng nhận, trình duyệt sẽ liên kết
trang web đó với khóa công khai của chúng. Điều này cho phép người dùng hoặc
quản trị viên nhận ra và can thiệp nếu một chứng nhận bất ngờ thay đổi.
Thu hồi (Revocation)
Đôi khi, một cơ quan chứng nhận cần phải thu hồi một chứng nhận. Việc này có
thể xảy ra vì một trong số các nguyên nhân sau:
▪
Chứng nhận đã bị xâm phạm (ví dụ, chủ sở hữu của chứng nhận đã vô tình
vứt bỏ chứng nhận của mình),
518 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
▪
Chứng nhận đã được cấp sai (ví dụ: CA đã cấp nhầm chứng nhận mà không
có xác minh thích hợp).
▪
Các chi tiết của chứng nhận đã thay đổi (ví dụ, tên của chủ thể đã thay
đổi).
▪
Tình hình bảo mật đã thay đổi (ví dụ, chủ thể không còn được sử dụng bởi
tổ chức đang bảo trợ cho chứng nhận).
Thời gian gia hạn yêu cầu thu hồi là thời gian phản hồi tối đa mà
theo đó CA sẽ thực hiện bất kỳ yêu cầu thu hồi nào. Điều này
được định nghĩa trong
Tuyên bố về Hành nghề Chứng nhận
(Certificate Practice Statement - CPS). CPS nêu rõ các phương
thức mà CA sử dụng khi cấp hoặc quản lý chứng nhận.
Bạn có thể sử dụng 3 kỹ thuật để xác minh tính xác thực của các chứng nhận và
xác định các chứng nhận đã bị thu hồi:
Danh sách Thu hồi Chứng nhận
Các danh sách thu hồi chứng nhận
(CRLs) được duy trì bởi các cơ quan cấp chứng nhận khác nhau và chứa
các số sê-ri của những chứng nhận đã từng được phát hành bởi một CA và
đã bị thu hồi, cùng với ngày giờ mà sự thu hồi có hiệu lực. Bất lợi lớn đối
với các danh sách thu hồi chứng nhận là rằng chúng phải được tải về và
tham-chiếu-chéo định kỳ, tạo ra một khoảng thời gian trễ giữa thời điểm
một chứng nhận bị thu hồi và thời điểm người dùng đầu cuối được thông
báo về việc thu hồi.
Giao thức Trạng thái Chứng nhận Trực tuyến (OCSP) Giao thức này
loại bỏ độ trễ vốn có trong việc sử dụng danh sách thu hồi chứng nhận
bằng cách cung cấp một phương tiện để xác minh các chứng nhận theo
thời gian thực. Khi một ứng dụng máy khách nhận được chứng nhận, nó
sẽ gửi một yêu cầu OCSP đến máy chủ OCSP của CA. Sau đó, máy chủ sẽ
phản hồi với trạng thái hợp lệ, không hợp lệ hoặc không xác định. Trình
duyệt sử dụng thông tin này để xác định xem liệu chứng nhận có hợp lệ
hay không.
Ghim chứng nhận Vấn đề chính với OCSP là nó đặt một gánh nặng đáng
kể lên các máy chủ OCSP do cơ quan cấp chứng nhận vận hành. Các máy
519 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
chủ này phải xử lý các yêu cầu từ mỗi khách truy cập vào một trang web
hoặc người dùng khác của chứng nhận số, xác minh rằng chứng nhận hợp
lệ và không bị thu hồi.
Ghim chứng nhận (certificate stapling) là một phần mở rộng cho Giao thức
Trạng thái Chứng nhận Trực tuyến giúp giảm bớt một số gánh nặng cho
các cơ quan cấp chứng nhận theo giao thức nguyên thủy. Khi người dùng
truy cập vào một trang web và bắt đầu một kết nối an toàn, trang web sẽ
gửi chứng nhận của nó đến người dùng đầu cuối, và người này thường sẽ
chịu trách nhiệm liên hệ với máy chủ OCSP để xác minh tính hợp lệ của
chứng nhận. Trong tính năng ghim chứng nhận, máy chủ web liên hệ với
chính bản thân máy chủ OCSP và nhận được phản hồi có chữ ký và được
đánh dấu thời gian từ máy chủ OCSP, sau đó nó [phản hồi] sẽ được đính
kèm hoặc ghim vào chứng nhận kỹ thuật số. Sau đó, khi người dùng yêu
cầu kết nối web an toàn, máy chủ web sẽ gửi chứng nhận với phản hồi
OCSP đã được ghim cho người dùng. Tiếp theo, trình duyệt của người dùng
xác minh rằng chứng nhận là xác thực và cũng xác nhận rằng phản hồi
OCSP được ghim là chính hãng và mới gần đây. Vì CA đã ký vào phản hồi
OCSP nên người dùng biết rằng đó là từ cơ quan cấp chứng nhận và dấu
thời gian cung cấp cho người dùng sự đảm bảo rằng CA gần đây đã xác
thực chứng nhận. Từ đó, giao tiếp có thể tiếp tục như bình thường.
Việc tiết kiệm thời gian diễn ra khi người dùng tiếp theo truy cập trang
web. Máy chủ web có thể chỉ cần sử dụng lại chứng chỉ đã được ghim mà
không cần phải liên hệ lại với máy chủ OCSP. Miễn là dấu thời gian đủ
mới, người dùng sẽ chấp nhận chứng chỉ được ghim mà không cần phải
liên hệ lại với máy chủ OCSP của CA. Thông thường các chứng chỉ ghim có
thời hạn hiệu lực là 24 giờ. Điều này làm giảm gánh nặng cho máy chủ
OCSP từ việc xử lý một yêu cầu cho mỗi người dùng trong suốt một ngày,
có thể là hàng triệu yêu cầu, đến xử lý một yêu cầu cho mỗi chứng chỉ
mỗi ngày. Đó là một mức giảm đáng kể.
520 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Định dạng Chứng nhận
Các chứng nhận kỹ thuật số được lưu trữ dưới dạng các tập tin, và các tập tin
này có nhiều định dạng khác nhau, cả nhị phân lẫn dựa-trên-văn-bản:
▪
Định dạng nhị phân phổ biến nhất là định dạng Quy tắc Mã Phân biệt
(Distinguished Encoding Rules – DER). Các chứng nhận DER thường được
lưu trữ trong các tập tin với phần mở rộng .der, .crt hoặc .cer.
▪
Định dạng chứng nhận Thư được Tăng cường Quyền riêng tư (Privacy
Enhanced Mail – PEM) là một phiên bản văn bản ASCII của định dạng DER.
Các chứng nhận PEM thường được lưu trữ trong các tập tin với phần mở
rộng .pem hoặc .crt.
Có thể bạn đã nắm bắt được thực tế rằng phần mở rộng tập tin
.crt được sử dụng cho cả tập tin DER nhị phân lẫn tập tin PEM
văn bản. Điều đó rất khó hiểu! Bạn nên nhớ rằng bạn không thể
biết một chứng nhận CRT là nhị phân hay văn bản nếu không thực
sự xem nội dung của tập tin.
▪
Định dạng Trao đổi Thông tin Cá nhân (Personal Information Exchange –
PFX) được sử dụng phổ biến bởi các hệ thống Windows. Các chứng nhận
PFX có thể được lưu trữ dưới dạng nhị phân, sử dụng phần mở rộng tập
tin .pfx hoặc .p12.
▪
Các hệ thống Windows cũng sử dụng các chứng nhận P7B, vốn được lưu
trữ dưới dạng văn bản ASCII.
Bảng 7.2 cung cấp một bản tóm tắt về các định dạng chứng nhận.
BẢNG 7.2 Các định dạng chứng nhận kỹ thuật số
Tiêu chuẩn
Định dạng
Phần mở rộng tập tin
Quy tắc Mã Phân biệt (DER)
Nhị phân
.der, .crt, .cer
Thư được Tăng cường Quyền Riêng tư (PEM)
Văn bản
.pem, .crt
Trao đổi Thông tin Cá nhân (PFX)
Nhị phân
.pfx, .p12
P7B
Văn bản
.p7b
521 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Quản lý Khóa Bất đối xứng
Khi làm việc trong phạm vi cơ sở hạ tầng khóa công khai, bạn phải tuân theo
một số yêu cầu thực tiễn tốt nhất để duy trì tính bảo mật của giao tiếp của bạn.
Đầu tiên, hãy chọn hệ thống mã hóa của bạn một cách khôn ngoan. Như bạn đã
tìm hiểu được trước đây, “bảo mật thông qua sự mơ hồ” không phải là một
phương pháp tiếp cận thích hợp. Hãy chọn một hệ thống mã hóa với một thuật
toán trong lĩnh vực công cộng đã được các chuyên gia trong ngành ki ểm tra một
cách kỹ lưỡng. Hãy cảnh giác với các hệ thống sử dụng phương pháp tiếp cận
“hộp-đen” và duy trì rằng tính bí mật của thuật toán của họ là rất quan trọng
đối với tính toàn vẹn của hệ thống mật mã.
Bạn cũng phải chọn các khóa của mình theo cách thích hợp. Hãy sử dụng độ dài
khóa cân bằng giữa các yêu cầu bảo mật của bạn với các cân nhắc về hiệu suất.
Ngoài ra, hãy đảm bảo rằng khóa của bạn thực sự ngẫu nhiên. Bất kỳ hình mẫu
nào có trong khóa đều làm gia tăng khả năng kẻ tấn công có thể phá mã mã hóa
của bạn và làm suy giảm tính bảo mật của hệ thống mật mã của bạn.
Khi sử dụng mã hóa khóa công khai, hãy gi ữ bí mật khóa riêng tư của bạn! Đừng
bao giờ, trong bất kỳ trường hợp nào, cho phép b ất kỳ ai khác truy cập vào khóa
cá nhân của bạn. Hãy nhớ rằng, việc cho phép ai đó truy cập thậm chí chỉ một
lần sẽ xâm phạm vĩnh viễn mọi giao tiếp diễn ra (trong quá khứ, hiện tại hoặc
tương lai) bằng cách sử dụng khóa đó và cho phép bên thứ ba mạo danh bạn
thành công.
Hãy loại bỏ khóa khi chúng còn đang trong vòng đời hoạt động hữu ích. Nhiều
tổ chức có các yêu cầu luân chuyển khóa bắt buộc để bảo vệ chống lại sự xâm
nhập phạm chưa bị phát hiện. Nếu bạn không có chính sách chính th ức mà bạn
phải tuân theo, hãy chọn khoảng thời gian thích hợp dựa trên tần suất bạn sử
dụng khóa của mình. Bạn có thể muốn thay đổi cặp khóa của mình vài tháng một
lần, nếu thực tế.
Hãy sao lưu khóa của bạn! Nếu bạn mất tập tin chứa khóa cá nhân của mình do
hỏng dữ liệu, thảm họa hoặc các trường hợp khác, chắc chắn bạn sẽ muốn có
sẵn một bản sao lưu. Bạn có thể muốn tạo ra bản sao lưu của riêng mình hoặc
522 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
sử dụng dịch vụ ký quỹ khóa để duy trì bản sao lưu cho bạn. Trong cả hai trường
hợp, hãy đảm bảo rằng bản sao lưu được xử lý một cách an toàn. Xét cho cùng,
nó cũng quan trọng như tập tin khóa chính của bạn!
Các mô-đun bảo mật phần cứng (HSM) cũng mang lại một cách hiệu quả để quản
lý các khóa mã hóa. Các thiết bị phần cứng này lưu trữ và quản lý các khóa mã
hóa một cách an toàn, giúp con người không cần phải thao tác trực tiếp với các
khóa đó. Rất nhiều trong số chúng cũng có khả năng cải thiện hiệu quả của các
hoạt động mật mã, trong một quá trình được gọi là tăng tốc phần cứng. HSM có
phạm vi và độ phức tạp từ các thiết bị rất đơn giản, chẳng hạn như YubiKey, lưu
trữ các khóa được mã hóa trên ổ USB cho mục đích sử dụng cá nhân cho đến các
sản phẩm doanh nghiệp phức tạp hơn nằm trong trung tâm dữ liệu. HSM bao
gồm các cơ chế chống-giả-mạo để ngăn việc người nào đó có quyền truy cập vật
lý vào thiết bị truy cập vào tài liệu mật mã mà thiết bị đang duy trì. Các nhà
cung cấp dịch vụ đám mây, chẳng hạn như Amazon và Microsoft, cũng cung cấp
HSM dựa trên đám mây để cung cấp việc quản lý khóa an toàn cho các dịch vụ
cơ sở hạ tầng như-một-dịch-vụ (IaaS).
Mã hóa Hỗn hợp
Giờ đây, bạn đã tìm hiểu được về hai loại chính của các hệ thống mật mã: thuật
toán đối xứng và bất đối xứng. Bạn cũng đã tìm hiểu về những ưu điểm và nhược
điểm chính của từng loại. Đứng đầu trong số này là sự thật rằng các thuật toán
đối xứng nhanh nhưng gây ra những thách thức về phân phối khóa và, mặc dù
các thuật toán bất đối xứng giải quyết được vấn đề phân phối khóa, chúng cũng
chậm và đòi hỏi nhiều về mặt tính toán. Nếu bạn đang lựa chọn giữa các phương
pháp này, bạn buộc phải đưa ra quyết định giữa sự tiện lợi và tốc độ.
Mật mã hỗn hợp kết hợp mật mã đối xứng và bất đối xứng để đạt được lợi ích
về phân phối khóa của hệ thống mật mã không đối xứng với tốc độ của thuật
toán đối xứng. Những cách tiếp cận này hoạt động bằng cách thiết lập kết nối
ban đầu giữa hai thực thể giao tiếp bằng cách sử dụng mật mã không đối xứng.
Kết nối đó chỉ được sử dụng cho một mục đích duy nhất: trao đổi khóa bí mật
được chia sẻ được tạo ra một cách ngẫu nhiên, còn được gọi là khóa phù du.
Sau đó, hai bên trao đổi bất kỳ dữ liệu nào họ muốn bằng cách sử dụng khóa bí
523 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
mật đã được chia sẻ với một thuật toán đối xứng. Khi phiên giao tiếp kết thúc,
họ loại bỏ khóa phù du và sau đó lặp lại quy trình tương tự nếu họ muốn giao
tiếp lại sau đó.
Vẻ đẹp tinh tế của cách tiếp cận này là nó sử dụng mật mã không đối xứng để
phân phối khóa, một nhiệm vụ chỉ yêu cầu mã hóa một lượng nhỏ dữ liệu. Sau
đó, nó chuyển sang thuật toán đối xứng nhanh hơn cho phần lớn dữ liệu được
trao đổi.
Bảo mật Lớp Truyền tải (TLS) là ví dụ nổi tiếng nhất về mật mã kết hợp và chúng
ta sẽ thảo luận về cách tiếp cận đó ở phần sau của chương này.
Mã hóa Được áp dụng
Cho đến thời điểm này, bạn đã tìm hiểu được nhiều điều về nền tảng của mật
mã, hoạt động bên trong của các thuật toán mật mã khác nhau và việc sử dụng
cơ sở hạ tầng khóa công khai để phân phối thông tin nhận dạng bằng chứng
nhận kỹ thuật số. Giờ đây, bạn sẽ cảm thấy thoải mái với những kiến thức cơ
bản về mật mã và sẵn sàng chuyển sang các ứng dụng cấp-cao-hơn của công
nghệ này để giải quyết các vấn đề giao tiếp hàng ngày.
Trong những phần tiếp theo, chúng ta sẽ tìm hiểu việc sử dụng mật mã để bảo
mật dữ liệu ở trạng thái đang lưu trữ, chẳng hạn như dữ liệu được lưu trữ trên
các thiết bị di động, cũng như dữ liệu đang chuyển tiếp, bằng cách sử dụng các
kỹ thuật bao gồm email bảo mật, thông tin liên lạc web được mã hóa và mạng.
Các Thiết bị Di động
Ngày nay, bản chất phổ biến khắp nơi của máy tính xách tay, điện thoại thông
minh và máy tính b ảng mang đến những rủi ro mới cho thế giới điện toán. Những
thiết bị đó thường chứa thông tin có độ nhạy cảm cao, nếu bị mất hoặc bị đánh
cắp, có thể gây ra thiệt hại nghiêm trọng cho tổ chức và khách hàng, nhân viên
và các chi nhánh của tổ chức đó. Vì lý do này, nhiều tổ chức chuyển sang mã
hóa để bảo vệ dữ liệu trên các thiết bị này trong trường hợp chúng bị thất lạc.
Phiên bản hiện tại của các Hệ điều hành phổ biến hiện nay bao gồm khả năng
mã hóa ổ đĩa giúp dễ dàng áp dụng và quản lý mã hóa trên các thiết bị di động.
Ví dụ: Microsoft Windows bao gồm công nghệ BitLocker và Hệ thống tập tin mã
524 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
hóa (Encrypting File System - EFS), macOS bao gồm mã hóa FileVault và gói mã
nguồn mở VeraCrypt cho phép mã hóa đĩa trên các hệ thống Linux, Windows và
Mac.
Mô-đun Nền tảng Đáng tin cậy (Trusted Platform Module)
Những máy tính hiện đại thường bao gồm một thành phần mã hóa chuyên biệt
còn được gọi là một Mô-đun Nền tảng Đáng tin cậy (TPM). TPM là một con chip
nằm trên bo mạch chủ của thiết bị. TPM phục vụ cho một số mục đích, bao
gồm lưu trữ và quản lý các khóa được sử dụng cho các giải pháp mã hóa toànbộ-đĩa (FDE). TPM cung cấp cho Hệ điều hành quyền truy cập đến các khóa
chỉ khi người dùng được xác thực thành công. Điều này ngăn chặn một ai đó
lấy ổ đĩa ra khỏi thiết bị và gắn nó vào một thiết bị khác để truy cập vào
những dữ liệu trong đĩa.
Một loạt các công cụ thương mại khác nhau đang sẵn có để cung cấp các tính
năng và năng lực quản lý bổ sung. Những điểm khác biệt chính giữa các công cụ
này là cách thức mà chúng bảo vệ các khóa được lưu trữ trong bộ nhớ, bất kể
chúng cung cấp tính năng mã hóa toàn-bộ-đĩa hay mã hóa chỉ-phân-vùng-đĩa, và
bất kể chúng tích hợp với các Mô-đun Nền tảng Đáng tin cậy (TPM) để mang lại
tính năng bảo mật bổ sung hay không. Bất kỳ nỗ lực nào để lựa chọn phần mềm
mã hóa nên bao gồm một phân tích về mức độ cạnh tranh của các lựa chọn thay
thế khác dựa trên những đặc điểm này.
Đừng bỏ quên các điện thoại thông minh khi phát triển chính sách
mã hóa thiết bị di động của bạn. Hầu hết các nền tảng điện thoại
thông minh và máy tính bảng lớn đều bao gồm tính năng cấp-độdoanh-nghiệp để hỗ trợ việc mã hóa dữ liệu được lưu trữ trên
điện thoại.
Email
Rất nhiều lần, chúng tôi đã từng đề cập rằng bảo mật nên hiệu-quả-về-chi-phí.
Khi nói đến email, tính đơn giản là lựa chọn hiệu-quả-về-chi-phí nhất, nhưng đôi
khi các chức năng mật mã cung cấp các dịch vụ bảo mật cụ thể mà bạn không
525 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
thể tránh sử dụng. Vì việc đảm bảo bảo mật cũng hiệu-quả-về-chi-phí, nên dưới
đây là một số quy tắc đơn giản về mã hóa email:
▪
Nếu bạn cần bảo mật khi gửi thông điệp email, hãy mã hóa thông điệp.
▪
Nếu thông điệp của bạn phải duy trì tính toàn v ẹn, bạn phải băm thông
điệp.
▪
Nếu thông điệp của bạn cần tính xác thực, tính toàn vẹn và/hoặc không
khước từ, bạn nên ký kỹ thuật số vào thông điệp.
▪
Nếu thông điệp của bạn cần tính bảo mật, tính toàn vẹn, xác thực nguồn
gốc và không khước từ, bạn nên mã hóa và ký kỹ thuật số vào thông điệp.
Trách nhiệm của người gửi luôn là sử dụng các cơ chế thích hợp để đảm bảo
rằng bảo mật (nghĩa là tính bảo mật, tính toàn vẹn, xác thực, và không khước
từ) của thông điệp hoặc của quá trình truyền tải được duy trì.
Phạm vi đề cập của email trong chương này tập trung vào việc sử
dụng mật mã để cung cấp thông tin liên lạc an toàn giữa hai bên.
Bạn sẽ tìm thấy nhiều nội dung hơn về các chủ đề bảo mật email
trong Chương 12, “Giao tiếp An toàn và Các cuộc tấn công Mạng”.
Một trong những cách áp dụng được yêu cầu nhiều nhất của mật mã là mã hóa
và ký thông điệp email. Cho đến gần đây, email được mã hóa đòi hỏi sử dụng
phần mềm phức tạp và bất tiện, do đó yêu cầu sự can thiệp thủ công và các thủ
tục trao đổi khóa phức tạp. Sự chú trọng ngày càng tăng về bảo mật trong những
năm gần đây dẫn đến việc triển khai công nghệ mã hóa mạnh mẽ trong các gói
email chính thống. Tiếp theo, chúng ta sẽ xem xét một số tiêu chuẩn email an
toàn đang được sử dụng rộng rãi ngày nay.
Pretty Good Privacy
Hệ thống bảo mật email Pretty Good Privacy (PGP) c ủa Phil Zimmerman xuất hiện
trong lĩnh vực bảo mật máy tính vào năm 1991. Nó kết hợp hệ thống phân cấp
CA được mô tả trước đó trong chương này với khái niệm “trang web của sự tin
cậy” - nghĩa là, bạn phải trở nên đáng tin cậy bởi một hoặc nhiều người dùng
PGP để bắt đầu sử dụng hệ thống. Sau đó, bạn chấp nhận phán quyết của họ về
tính hợp lệ của những người dùng bổ sung và, nói cách khác, hãy tin tưởng vào
526 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
một “web” đa cấp của những người dùng giảm dần từ các phán đoán tin cậy ban
đầu của bạn.
PGP ban đầu gặp phải một số trở ngại đối với việc sử dụng rộng rãi. Trở ngại
khó khăn nhất là các quy định xuất khẩu của chính phủ Hoa Kỳ, vốn coi công
nghệ mã hóa giống như bom đạn và cấm phân phối công nghệ mã hóa mạnh ra
bên ngoài Hoa Kỳ. May mắn thay, hạn chế này đã được bãi bỏ và PGP có thể
được phân phối tự do đến hầu hết các quốc gia khác.
PGP có sẵn trong hai phiên bản: sản phẩm thương mại hiện được bán bởi
Symantec và một biến thể mã nguồn mở được gọi là OpenPGP. Các sản phẩm này
cho phép sử dụng các thuật toán mã hóa hiện đại, các hàm băm và các tiêu
chuẩn chữ ký trong khuôn khổ PGP.
Thông điệp PGP thường được gửi đi dưới định dạng văn-bản-mã-hóa để tạo điều
kiện tương thích với các hệ thống email khác. Dưới đây là một ví dụ về cách một
thông điệp đã được mã hóa trông như thế nào khi được gửi bằng PGP:
-----BEGIN PGP MESSAGE----hQGMAyHB9q9kWbl7AQwAmgyZoaXC2Xvo3jrVIWains3/UvUImp3YebcEmlLK+26oT
NGBSNi5jLi2A62e8TLGbPkJv5vN3JZH4F27ZvYIhqANwk2nTI1sE0bA2Rlw6PcXCUoo
GhNY/rmmWTLvWNVRdSXZj2i28fk2gi2QjlrEwYLkKJdUxzKldSLht+Bc+V2NbvQrTzJ0
LmRq9FKvZ4lz5v7Qj/f1GdKF/5HCTthUWxJMxxuSzCp46rFR6sKAQXGtHdi2IzrroyQL
R23HO6KuleisGf1X2wzfWENlXMUNGNLxPi2YNvo3MaFMMw3o1dFZj28p tpCH8eGOVI
Aa05ZNnCk2a6alqTf9aKH8932uCS/AcYG3xqVcRCz7qyaLqD5NFg4GXq10KD8Jo1VP/
HncOx7/39MGRDuzJqFieQzsVo0uCwVB2zJYC0SeJyMHkyDTaAxz4HMQxzm8FubreTf
isXKuUfPbYAuT855kc2iBKTGo9Cz1WjhQo6mveI6hvu0qYUaX5sGgfbD4bzCMFJj0nU
BUdMni0jqHJ2XuZerEd8m0DioUOBRJybLlohtRkikGzra/ +WGE1ckQmzch5LDPdIEZp
hvV+5/DbhHdhxN7QMWe6ZkaADAZRgu77tkQK6cQvrBPZdk22uS0vzdwzJzzvybspzq
1HkjD+aWR9CpSZ9mukZPXew==7NWG
-----END PGP MESSAGE-----
527 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Tương tự, các thông điệp đã được ký kỹ thuật số cũng bao gồm đoạn văn bản
của thông điệp tiếp theo là một chữ ký PGP. Và đây là một ví dụ:
-----BEGIN PGP SIGNED MESSAGE----Hash: SHA256
I am enjoying my preparation for the CISSP exam.
-----BEGIN PGP SIGNATURE ----iQGzBAEBCAAdFiEE75kumjjPhsn37slI+Cb2Pddh6OYFAmAF4FMACgkQ+Cb2Pddh6O
ba4gv8D4ybEtYidHdlfDYfbF+wYAz8JZ0Mw //f41iwkBG6BO6RtKtNPV202Ngb3Uxqjo
dy48ndmDM4q60x3EMy+97ZXNoZL7fY5vv2viDa1so4BqevtRKYe6sfjxMgXImhPVxUk
nWhJUlUopQvsetBe51nqiqhpVONx/GRDXR9gdmGO89gD7XSCy0vHhEWAuoBVNBjb
XqmxWdBPdrGcA9zFhdvxzmc6iI4zYe2mQxk1Nt1K6PRXNGjJLIxqchLsD7rLVYG1I7+
CLGYreJH0siW0Xltbr96qT++1u4tMo1ng1UraoB21zTPVcHA0pJuDLrlXB0GFxVbDHpt
tOhYDPFZPk4NpzztDuAeNCA5/Oi3JJMjzBRrRuoIH7abmePXqc0Bl1/DAbbiYd5uX01i
8ejIveLoeb4OZfLZH/j+bJZT5762Wx0DwkVtm8smk6nl+whpAZb5MV6SaS1xEcsRpU
+w/O61OPteZ6eIHkU9pDu0yXM6IdtfRpqEw3LKVN/MzblGsAq4=GXp+
-----END PGP SIGNATURE----Ví dụ trước gửi thông điệp đi dưới dạng văn bản rõ với chữ ký PGP được gắn
thêm vào phía dưới. Nếu bạn bổ sung thêm mã hóa để bảo vệ tính bí mật của
thư thì mã hóa sẽ được áp dụng sau khi thư đã được ký kỹ thuật số, tạo ra kết
quả giống với bất kỳ thư được mã hóa nào khác. Ví dụ: đây là cùng một tin nhắn
được ký kỹ thuật số với mã hóa được thêm vào:
-----BEGIN PGP MESSAGE----owEBBwL4/ZANAwAIAfgm9j3XYejmAaxAYgh0ZXN0LnR4dGAF4N1JIGFtIGVuam95a
W5nIG15IHByZXBhcmF0aW9uIGZvciB0aGUgQ0lTU1AgZXhhbS4KC okBswQAAQgAH
RYhBO+ZLpo4z4bJ9+7JSPgm9j3XYejmBQJgBeDdAAoJEPgm9j3XYejmLfoL/RRWoD
Ul+AeZGffqwnYiJH2gB+Tn+pLjnXAhdf/YV4OsWEsjqKBvItctgcQuSOFJzuO+jNgoCA
Fryi6RrwJ6dTh3F50QJYyJYlgIXCbkyVlaV6hXCZWPT40Bk/pI+HX9A6l4J272xabjFf6
3/HiIEUJDHg/9u8FXKVvBImV3NuMMjJEqx9Rcivwvp Pn6YLJJ1MWyzlUhu3sUIGDWNl
ArJ4SdskfY32hWAvHkgOAY8JSYmG6L6SVhvbRgv3d+rOOlutqK4bVIO+fKMvxycnluP
528 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
uwmVH99I1Ge8p1ciOMYCVg0dBEP/DeoFlQ4tvKMCPJG0w0EZgLgKyKQpjmNU9BheG
vIfzRt1dKYeMx7lGZPlu7rr1Fk0oX/yMiaePWy5NYE2O5ID6op9EcJImcMn8wmPM9YT
ZbmcfcumSpaG1i0EzzAT5eMXn3BoDij1 2JJrkCCbhYy34u2CFR4WycGIIoFHV4RgKqu
5TTuV+SCc//vgBaN20Qh9p7gRaNfOxHspto6fA===oTCB
-----END PGP MESSAGE----Như bạn có thể thấy được, không thể nói rằng tin nhắn này đã được ký kỹ thuật
số cho đến khi nó được giải mã.
Nhiều nhà cung cấp thương mại cũng cung cấp các dịch vụ email dựa-trên-PGP
như các dịch vụ email đám mây dựa-trên-web, các ứng dụng dành cho thiết bị
di động hoặc các plugin webmail. Các dịch vụ này thu hút quản trị viên và người
dùng cuối vì chúng loại bỏ sự phức tạp của việc thiết lập cấu hình và duy trì
chứng chỉ mã hóa và cung cấp cho người dùng dịch vụ email bảo mật được quản
lý. Một số sản phẩm trong danh mục này bao gồm ProtonMail, StartMail,
Mailvelope, SafeGmail và Hushmail.
S/MIME
Giao thức Tiện ích mở rộng Thư Internet An toàn/Đa năng (S/MIME) đã nổi lên
như một tiêu chuẩn thực tế cho email được mã hóa. S/MIME sử dụng thuật toán
mã hóa RSA và đã nhận được sự ủng hộ của các công ty lớn trong ngành, bao
gồm cả RSA Security. S/MIME đã được tích hợp trong một lượng lớn các sản
phẩm thương mại, bao gồm:
▪
Microsoft Outlook và Office 365 ,
▪
Apple Mail,
▪
Phiên bản Google G Suite Enterprise .
S/MIME dựa trên việc sử dụng chứng nhận X.509 để trao đổi các khóa mật mã.
Các khóa công khai có trong các ch ứng nhận này được sử dụng cho chữ ký kỹ
thuật số và để trao đổi các khóa đối xứng được sử dụng cho các phiên giao tiếp
dài hơn. Người dùng nhận được thông điệp được ký bằng S/MIME sẽ có thể xác
minh thông điệp đó bằng cách sử dụng chứng nhận kỹ thuật số của người gửi.
Người dùng muốn sử dụng S/MIME để bảo mật hoặc muốn tạo thư được ký kỹ
thuật số của riêng họ phải có chứng nhận của riêng họ.
529 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bất chấp sự hỗ trợ mạnh mẽ của ngành đối với tiêu chuẩn S/MIME, những hạn
chế về mặt kỹ thuật đã ngăn cản việc áp dụng rộng rãi tiêu chuẩn này. Mặc dù
các ứng dụng thư trên máy tính để bàn hỗ trợ email S/MIME, các hệ thống email
dựa-trên-web chính thống không hỗ trợ nó ngay tức khắc (bắt buộc phải sử dụng
các tiện ích mở rộng của trình duyệt).
Các Ứng dụng Web
Mã hóa đã được sử dụng rộng rãi để bảo vệ các giao dịch web. Điều này chủ yếu
là do phong trào mạnh mẽ đối với thương mại điện tử và mong muốn của cả nhà
cung cấp và người tiêu dùng thương mại điện tử để trao đổi thông tin tài chính
một cách an toàn (chẳng hạn như thông tin thẻ tín dụng) qua web. Chúng ta sẽ
xem xét hai công nghệ chịu trách nhiệm cho biểu tượng ổ khóa nhỏ trong trình
duyệt web - Lớp cổng bảo mật (SSL) và Bảo mật lớp truyền tải (TLS).
Lớp Cổng Bảo mật (SSL)
Ban đầu, SSL được phát triển bởi Netscape để cung cấp mã hóa máy khách/máy
chủ cho lưu lượng web được gửi bằng Giao thức Truyền Siêu văn bản An toàn
(HTTPS). Qua nhiều năm, các nhà nghiên cứu về bảo mật đã phát hiện ra một
số lỗ hổng nghiêm trọng trong giao thức SSL khiến nó không còn an toàn để
được sử dụng ngày nay. Tuy nhiên, SSL đóng vai trò là n ền tảng kỹ thuật cho
người kế nhiệm của nó, Bảo mật Lớp Truyền tải (TLS), vẫn được sử dụng rộng
rãi cho đến ngày nay.
Mặc dù TLS đã tồn tại trong hơn một thập kỷ nhưng nhiều
người vẫn gọi nó một cách nhầm lẫn là SSL. Khi bạn nghe ai
đó sử dụng thuật ngữ SSL thì đây là điểm cờ đỏ mà bạn phải
điều tra thêm để đảm bảo rằng họ đang thực sự sử dụng TLS
hiện đại và an toàn chứ không phải SSL đã lỗi thời.
530 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bảo mật Lớp Truyền tải (TLS)
TLS dựa vào việc trao đổi các chứng nhận kỹ thuật số của máy chủ để thương
lượng các tham số mã hóa/giải mã giữa trình duyệt và máy chủ web. Mục tiêu
của TLS là tạo ra các kênh giao tiếp an toàn luôn mở trong toàn bộ phiên duyệt
web. Nó phụ thuộc vào sự kết hợp của mật mã đối xứng và bất đối xứng. Các
bước sau có liên quan:
1. Khi người dùng truy cập vào một trang web, trình duyệt truy xuất chứng
nhận của máy chủ web và trích xuất khóa công khai của máy chủ từ đó.
2. Trình duyệt tạo ra một khóa đối xứng ngẫu nhiên (được gọi là khóa phù
du), sử dụng khóa công khai của máy chủ để mã hóa nó và gửi khóa đối
xứng đã được mã hóa này đến máy chủ.
3. Máy chủ giải mã khóa đối xứng bằng khóa riêng của nó và hai hệ thống
trao đổi tất cả các thông điệp trong tương lai bằng cách sử dụng khóa mã
hóa đối xứng.
Cách tiếp cận này cho phép TLS tận dụng được chức năng nâng cao của mật mã
bất đối xứng trong khi mã hóa và giải mã phần lớn dữ liệu được trao đổi bằng
thuật toán đối xứng nhanh hơn.
Khi TLS lần đầu tiên được đề xuất thay thế cho SSL, không phải tất cả các trình
duyệt đều hỗ trợ cho cách tiếp cận hiện đại hơn này. Để dễ dàng chuyển đổi,
các phiên bản đầu tiên của TLS đã hỗ trợ việc hạ cấp giao tiếp xuống thành SSL
v3.0 khi cả hai bên không hỗ trợ TLS. Tuy nhiên, vào năm 2011, TLS v1.2 đã
loại bỏ khả năng tương thích ngược này.
Vào năm 2014, một cuộc tấn công được gọi là Padding Oracle On Downgraded
Legacy Encryption (POODLE) đã ch ứng minh một lỗ hổng đáng kể trong cơ chế
dự phòng SSL 3.0 của TLS. Trong nỗ lực khắc phục lỗ hổng này, nhiều tổ chức
đã bỏ hoàn toàn hỗ trợ SSL và hiện chỉ dựa vào bảo mật TLS.
Phiên bản nguyên thủy của TLS, TLS 1.0, chỉ đơn giản là một cải tiến cho tiêu
chuẩn SSL 3.0. TLS 1.1, được phát triển vào năm 2006 dưới dạng bản nâng cấp
lên từ TLS 1.0, cũng chứa các lỗ hổng bảo mật đã biết. TLS 1.2, được phát hành
vào năm 2008, hiện được coi là tùy chọn an toàn tối thiểu. TLS 1.3, được phát
hành vào năm 2018, cũng an toàn và b ổ sung thêm các cải tiến về mặt hiệu suất.
531 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Điều quan trọng là phải hiểu rằng bản thân TLS không phải là một thuật toán
mã hóa. Nó là một khuôn khổ mà theo đó các thuật toán mã hóa khác có thể
hoạt động. Do đó, việc chỉ xác minh rằng hệ thống đang sử dụng phiên bản TLS
an toàn là không đủ. Các chuyên gia bảo mật cũng phải đảm bảo rằng các thuật
toán đang được sử dụng với TLS cũng được bảo mật.
Mỗi hệ thống hỗ trợ TLS cung cấp một danh sách các bộ mật mã mà nó hỗ trợ.
Đây là sự kết hợp của các thuật toán mã hóa mà nó sẵn sàng sử dụng cùng nhau
và những danh sách này được hai hệ thống sử dụng để xác định một tùy chọn
an toàn mà cả hai hệ thống đều hỗ trợ. Bộ mật mã cấu thành từ bốn thành phần:
▪
Thuật toán trao đổi khóa sẽ được sử dụng để trao đổi khóa phù du. Ví dụ:
một máy chủ có thể hỗ trợ RSA, Diffie-Hellman (viết tắt là DH) và Elliptic
Curve Diffie Hellman (viết tắt là ECDH).
▪
Thuật toán xác thực sẽ được sử dụng để chứng minh danh tính của máy
chủ và/hoặc máy khách. Ví dụ: một máy chủ có thể hỗ trợ RSA, DSA và
ECDSA.
▪
Thuật toán mã hóa hàng loạt sẽ được sử dụng để mã hóa đối xứng. Ví dụ:
một máy chủ có thể hỗ trợ nhiều phiên bản AES và 3DES.
▪
Thuật toán băm sẽ được sử dụng để tạo ra các đồng hóa thông điệp. Ví
dụ: một máy chủ có thể hỗ trợ các phiên bản khác nhau của thuật toán
SHA.
Bộ mật mã thường được biểu thị bằng các chuỗi dài kết hợp từng phần tử trong
số bốn yếu tố này.
Ví dụ, bộ mật mã:
TLS_DH_RSA_WITH_AES_256_CBC_SHA384 có nghĩa là
máy chủ hỗ trợ TLS bằng cách sử dụng trao đổi khóa Diffie-Hellman (DH). Trong
bộ mật mã này, nó sẽ thực hiện xác thực bằng giao thức RSA và sẽ thực hiện mã
hóa hàng loạt bằng chế độ AES CBC với khóa 256-bit. Quá trình băm sẽ diễn ra
bằng cách sử dụng thuật toán SHA-384.
532 | P a g e
Chuyên gia Bảo mật Hệ thống Thông tin được Chứng nhận – CISSP
Chuyển ngữ: Nhóm dịch Quản trị và Bảo mật Hệ thống
Bạn cũng có thể nhìn thấy các bộ mật mã sử dụng các thuậ
Download
Study collections