KHÁI NIỆM ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN

Theo NIST đánh giá an toàn hệ thống thông tin (Information Security
Assessment) là quy trình xác định tính hiệu quả của một thực thể được đánh giá (ví
dụ: máy tính, hệ thống, mạng, quy trình vận hành, con người, …) đáp ứng các mục
tiêu an ninh cụ thể. Quy trình này tập trung vào 3 phương pháp chính: kiểm thử
(testing), kiểm tra (examination) và phỏng vấn (interviewing). Kiểm thử là thực
hiện giám định một hoặc nhiều đối tượng theo điều kiện quy định để so sánh kết
quả thực tế với dự kiến. Kiểm tra là quá trình xem xét, quan sát hoặc phân tích để
làm rõ, khẳng định và lấy bằng chứng. Phỏng vấn là tiến hành các cuộc thảo luận
với các cá nhân hoặc các nhóm trong một tổ chức để tìm hiểu, xác định vị trí của
các đối tượng liên quan tới an toàn thông tin. Kết quả của quá trình đánh giá được
sử dụng đễ hỗ trợ trong việc đưa ra các biện pháp kiểm soát hệ thống mạng một
cách hiệu quả nhất.
Theo SANS, đánh giá an toàn hệ thống thông tin là thước đo độ an toàn của
hệ thống hoặc tổ chức, hay còn hiểu là cách thức thực hiện an toàn thông tin. Đánh
giá an toàn là đánh giá dựa trên việc xác định các rủi ro, trong đó tập trung vào xác
định điểm yếu và các tác động tới hệ thống. Đánh giá an toàn dựa trên 3 phương
pháp chính, có liên quan đến nhau là: rà soát (reviewing), kiểm tra (examination)
và kiểm thử (testing). Sự kết hợp của 3 phương pháp này có thể đánh giá chính xác
các yếu tố về công nghệ, con người và quy trình xử lý an ninh của một hệ thống
mạng. Trong đó:
Phương pháp rà soát (Reviewing Method):
Phương pháp rà soát bao gồm các kỹ thuật xem xét thụ động và thực hiện
phỏng vấn, thường được thực hiện thủ công. Chúng giúp cho việc đánh giá các hệ
thống, ứng dụng, mạng, chính sách và các quy trình xử lý để phát hiện các điểm
yếu trong hệ thống. Những công việc cần thực hiện chủ yếu là xem xét lại tài liệu,
kiến trúc, tập hợp quy tắc và cấu hình hệ thống. Phương pháp này cho phép người
đánh giá có một cái nhìn sơ lược về mức độ, các thông tin quan trọng trong hệ
thống và nhu cầu đảm bảo an ninh mà hệ thống hướng tới.
Phương pháp kiểm tra (Examination Method):
 Kiểm tra là quy trình xem xét cụ thể tại tổ chức từ mức hệ thống/ mạng để
xác định các điểm yếu an ninh tồn tại trong hệ thống. Các công việc cụ thể như:
phân tích tường lửa, phân tích hệ thống phát hiện và ngăn chặn xâm nhập, phân
tích các bộ định tuyến, ... Nó cũng bao gồm việc dò quét điểm yếu trong các hệ
thống mạng. Những thông tin thu đươc từ phương pháp rà soát ở trên là nền tảng
cho việc kiểm tra được thực hiện dễ dàng và hiệu quả.
Phương pháp kiểm thử (Testing Method):
Kiểm thử (hay còn gọi là kiểm thử xâm nhập – penetration testing) là một
quy trình trong đó người kiểm thử đóng vai trò như kẻ tấn công thực hiện các
phương pháp tìm kiếm lỗ hổng bảo mật trong mạng để thực hiện xâm nhập tới hệ
thống hoặc mạng. Các thông tin từ quá trình rà soát, kiểm tra cũng góp phần rất
quan trọng cho việc kiểm thử chính xác. Hình 1.1 mô tả mối quan hệ giữa các
phương pháp:

1.2. TẦM QUAN TRỌNG CỦA ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG
TIN

Việc thực hiện đánh giá an toàn nhằm xác định mức độ an ninh hiện tại của
hệ thống thông tin trong một tổ chức. Điều này cho phép tổ chức có một cái nhìn
toàn diện về các mối nguy hại tồn tại trong hệ thống mạng của mình; đồng thời có
các giải pháp khắc phục, cải tiến hệ thống thông tin tiếp cận tới các mục tiêu an
ninh tổ chức đề ra và giảm thiểu các rủi ro không đáng có. Dưới đây sẽ mô tả cụ
thể hơn về các vấn đề an ninh tới hệ thống mạng của tổ chức:
Đánh giá an toàn hệ thống thông tin cho phép trả lời các câu hỏi như sau:
 Các thông tin quan trọng là gì?
 Hệ thống thông tin đã triển khai các giải pháp đảm bảo an ninh nào?
 Tình hình an ninh thông tin hiện tại là như thế nào?
 Có cần thêm các biện pháp để đối phó với vấn đề đảm bảo an ninh
thông tin hay không?
  Vấn đề nào cần ưu tiên trong lộ trình xử lý để đảm bảo an toàn thông
tin một cách đầy đủ?
Như vậy, khi thực hiện đánh giá an ninh các tổ chức không chỉ nắm được
tình hình chung về các khía cạnh an toàn trong hệ thống mạng của tổ chức mình
mà còn xác định được các thông tin quan trọng, ưu tiên để xử lý phù hợp nhằm
đảm bảo xây dựng các giải pháp an ninh một cách đầy đủ và thống nhất.

1.3. PHƯƠNG PHÁP LUẬN ĐÁNH GIÁ AN TOÀN THÔNG TIN

Để thực hiện đánh giá an toàn thông tin một cách tối ưu và đúng đắn, người
đánh giá cần phải có một phương pháp luận cụ thể. Phương pháp luận đánh giá nên
được lập thành tài liệu và nên tái thực hiện theo nhiều phiên bản bởi vì:
 Cung cấp tính thống nhất và có cấu trúc cho việc kiểm thử an toàn, từ
đó có thể giảm thiểu rủi ro trong quá trình đánh giá.
 Giúp dễ dàng trong việc chuyển giao quy trình đánh giá nếu có sự thay
đổi nhân sự đánh giá.
 Chỉ ra những hạn chế về tài nguyên kết hợp với các đánh giá an toàn.
Bởi vì đánh giá an toàn thông tin cần các vấn đề như thời gian, nhân lực,
phần cứng, phần mềm; song đây lại là một trong những yếu tố làm hạn chế tới cách
thức cũng như tần suất đánh giá. Chính vì thế, việc xác định phương thức đánh giá,
xác định kiểu kiểm thử và kiểm tra, và có một phương pháp luật phù hợp sẽ giúp
giảm thiểu được các hạn chế ở trên, đồng thời cũng giảm bớt chi phí cho việc thực
hiện đánh giá.
Xây dựng phương pháp luận đánh giá an toàn thông tin theo các giai đoạn sẽ
mang lại rất nhiều các ưu điểm và cung cấp một cấu trúc, điểm dừng tự nhiên cho
quá trình chuyển đổi nhân viên. Phương pháp luận cần chứa tối thiểu các pha như
sau:
1. Lập kế hoạch: Pha này đóng vai trò quan trọng góp phần giúp cho
quá trình đánh giá thành công. Trong pha này, các thông tin cần thiết
để phục vụ quá trình đánh giá sẽ được thu thập, chẳng hạn như các tài
sản, mối đe dọa đối với tài sản và các biện pháp kiểm soát an toàn
 được sử dụng nhằm giảm thiểu các mối đe dọa đó. Ngoài ra, người
đánh giá cũng có thể hình dung được phương pháp tiếp cận đánh giá
trong pha này. Một đánh giá an toàn nên được coi như bất kì một dự
án nào khác với một kế hoạch quản lý dự án để chỉ ra các mục tiêu,
mục đích, phạm vi, yêu cầu, các vai trò và trách nhiệm của nhóm,
những hạn chế, yếu tố thành công, giả định, tài nguyên, thời gian và
các phân phối.

2. Thực thi: Mục tiêu chính cho giai đoạn thực thi là xác định các lỗ
hổng và xác nhận chúng khi thích hợp. Pha này cần phải chỉ ra các
hoạt động liên quan tới phương pháp và kỹ thuật đánh giá đã được dự
kiến. Mặc dù các hoạt động cụ thể của pha này khác nhau tùy theo
kiểu đánh giá nhưng khi hoàn thành pha này thì người đánh giá sẽ
phải xác định hệ thống, mạng và các lỗ hổng.

3. Hậu thực thi: Giai đoạn hậu thực thi tập trung vào việc phân tích các
lỗ hổng đã được xác định để biết được nguyên nhân thực sự, đưa ra
các khuyến cáo giảm nhẹ lỗ hổng và phát triển báo cáo cuối cùng.

Có một vài phương pháp luận được chấp nhận để thực hiện các kiểu đánh
giá an toàn thông tin khác nhau. Chẳng hạn NIST đã đưa ra một phương pháp luận
– Hướng dẫn đánh giá các biện pháp kiểm soát an toàn trong hệ thống thông tin
liên bang (NIST - SP 800-53A). Tài liệu này cung cấp các gợi ý cho việc đánh giá
tính hiệu quả của các biện pháp kiểm soát an toàn đã nêu trong NIST SP 800-53.
Hay một phương pháp luận được sử dụng rộng rãi khác là phương pháp mở kiểm
thử an toàn thủ công (Open Source Security Testing Methodology Manual -
OSSTMM). Bởi vì có rất nhiều lí do để tiến hành đánh giá nên một tổ chức có thể
muốn sử dụng nhiều phương pháp luận. Dưới đây chúng ta sẽ xem xét kỹ hơn về
một số phương pháp luận được ứng dụng rộng rãi trong đánh giá an toàn hệ thống
thông tin là:
 Phương pháp đánh giá an toàn hệ thống thông tin – ISSAF

 Phương pháp mở đánh giá an toàn thủ công – OSSTMM

  Dự án mở về bảo mật ứng dụng Web – OWASP

 ISSAF
- ISSAF là phương pháp đánh giá an toàn hệ thonng tin của tổ chức OISSG, ra
đời năm 2003. Khung làm việc của nó được phân vào một số loại lĩnh vực giải
quyết các đánh giá an ninh theo một trình tự.
- ISSAF phát triển tập trung vào hai lĩnh vực:
 Quản lý: Thực hiện quản lý nhóm công việc và các kinh nghiệm
thực tế tốt nhất phảo được tuân thủ trong suốt quá trình đánh giá.
 Kỹ thuật: Thực hiện bộ quy tắc cốt lõi, thủ tục cần tuân thủ và tạo
ra một quy trình đánh giá an ninh đầy đủ.
- Về mặt kỹ thuật, ISSAF xây dựng một loại các phương pháp đánh giá cho
từng thành phần của hệ thống CNTT như:
 Đánh giá an toàn mật khẩu.
 Đánh giá an toàn các thiết bị mạng: switch, router, firewall, IDS,
VPN, anti-virus, SAN, WLAN …;
 Đánh giá an toàn các máy chủ: Windows, Linux, Novell, Web
server;
 Đánh giá an toàn ứng dụng web, mã nguồn, CSDL
 Đánh giá an toàn phi công nghệ như an ninh vật lý, kỹ nghệ xã hội.
- Về phương thức làm việc, ISSAF bao gồm 3 giai đoạn tiếp cận và 9 bước đánh
giá
 Giai đoạn 1: Lên kế hoạch và chuẩn bị
 Đây là giai đoạn trao đổi thông tin ban đầu, lập kế hoạch và chuẩn
bị cho đánh giá.
 Ký thỏa thuận đánh giá chính thức làm cơ sở pháp lý.
 Xác định thời gian và khoảng thời gian đánh giá, nhóm tham gia
đánh giá, hướng leo thang …
 Giai đoạn 2: Đánh giá.
 Đây là giai đoạn thực sự thực hiện đánh giá. Trong giai đoạn này,
một cách tiếp cận theo lớp được tuân thủ. Có 9 lớp đánh giá bao gồm.
 Lớp 1: Thu thập thông tin.
 Lớp 2: Lập bản đồ mạng.
 Lớp 3: Xác định lỗ hổng.
 Lớp 4: Xâm nhập.
 Lớp 5: Trung cập & leo thang đặc quyền.
 Lớp 6: Liệt kê thêm.
 Lớp 7: Thỏa hiệp user/site từ xa.
 Lớp 8: Duy trì truy cập.
 Lớp 9: Xóa dấu vết.
 Giai đoạn 3: Báo cáo, dọn dẹp và hủy hậu quả.
 Bao gồm báo cáo bằng lời nói (thực hiện khi có việc đột xuất
hoặc vấn dề quan trọng khi đánh giá an toàn) và báo cáo cuối
cùng thực hiện sau khi hoàn thành tất cả các bước đánh giá được
xác định trong phạm vi công viêc.
 Cuối cùng là dọn dẹp hậu quả, tât cả các thông tin được tạo ra
hoặc được lưu trữ trên hệ thống đánh giá cần được loại bỏ khỏi hệ
thống
 OWASP
- OWASP là viết tắt của Open Application Security Project.
- Cung cấp miễn phí các công cụ và những tiêu chuẩn về ATTT hàng đầu thế
giới.
- Các thư viện và tiêu chuẩn trong việc kiểm soát, quản lý an toàn thông tin.
- Cung cấp những tài liệu hàng đầu về bảo mật ứng dụng, pentest, kiểm tra mã
nguồn và lập trình một cách an toàn nhất.
- Cung cấp chi tiết những kỹ thuật đánh giá giúp pentester tiết kiệm thời gian,
có cách thức tiến hành kiểm tra hiệu quả
- Hỗ trợ các công cụ kiểm thử cho web app tự động như: WebScarab, Wapiti,
JbroFuzz, SQLix.
- Quy tình đánh giá gồm 11 công việc (mục)
 Information Gathering.
 Thu thập thông tin về đối tượng, thông tin về server.
 Bước này quan trọng bởi khi đã xác định được hính xác thông tin
liên quan sẽ hình thành kịch bản để các Pentester có thể tấn công
khai thác những lỗi liên quan đến webserver mà không cần quan
tâm tới ứng dụng đang chạy có an toàn hay không.
 Configuration and Deployment Management Testing.
 Cần đánh giá về hệ thống máy chủ, không chỉ dừng ở bước đánh
giá ứng dụng, ta cần phải đánh giá cả nền tảng mà các ứng dụng
chạy trên đó bởi nó có thể gây nguy hại không chỉ đến web mà còn
đến cả hệ thống server.
 Hình thức kiểm tra được sử dụng là whitebox và graybox.
 Identify Management Testing.
 Sau khi đã thu thập xong thông tin về ứng dụng. Bước tiếp theo là
nhận định khả năng có lỗi nằm ở đâu.
 Xác định những điểm để thực hiện tấn công được.
 Kiểm tra lại cách thức tạo tài khoản trong ứng dụng, logic trong xử
lý và các quyền của người dùng.
 Authentication Testing.
 Kiểm tra bảo mật với chức năng đăng nhập là vấn đề cực kỳ quan
trọng, phải đảm bảo việc đăng nhập cần sự an toàn và đúng với ý
định của nhà phát hành ứng dụng.
 Authorization Testing.
 Sau khi đăng nhập vào hệ thống, kiểm tra tính logic đã cấp đầy đỉ
và đúng các chức năng của ứng dụng cho user đã đăng nhập hay
chưa. Khả năng vượt qua cơ chế bảo mật để leo thang đặc quyền,
cần đảm bảo và giới hạn quyền cho các user.
 Session Management Testing.
 Kiểm tra phiên đăng nhập.
 Input Validation Testing.
  Thực hiển kiểm tra các biến nhập liệu khả năng inject vào các biến
đầu vào này. Không bao giờ tin tưởng hoàn toàn người dùng, đó là
1 phương châm rất quan trọng đối với lập trình viên. Việc kiểm tra
dữ liệu được nhập vào từ người dùng là công việc vô cùng quan
trọng.
 Testing for Error Handing.
 KIểm tra xử lý lỗi của ứng dụng. Thông tin về lỗi cũng là 1 nguồn
thu thập dữ liệu cho hacker có thể tấn công vào website.
 Những lúc đó ứng dụng cần có cơ chế xử lý để không gặp phải
hiện tượng tự nhiên “lăn đùng” ra chết mà quản trị không hay chết
khi nào và vì sao lại chết.
 Testing for weak Cryptography.
 Kiểm tra mã hóa thông tin trên đường truyền. Đối với đối tượng là
những website thương mại điện tử hay giao dịch thì việc kiểm tra,
mã hóa đường truyền là một vấn đề hết sức quan trọng.
 Bussiness Logic Testing.
 Kiểm tra về tính logic nghiệp vụ của ứng dụng.
 Kiểm tra này giúp kiểm định xem xử lý của ứng dụng đã hợp với
logic và chức năng của ứng dụng hay không.
 Client Side Testing.
 Kiểm tra việc thực thi mã trên máy người dùng. Response nhận từ
server sẽ được brower hiển thị cho người dùng. Ngoài mã html ra
còn có mã JavaScript.
Báo cáo kết quả đánh giá ATTT.
- Tổng hợp thông tin.
 Các rủi ro xác định thông qua đánh giá.
 Chúng ta cần tổng hợp thông tin từ tất cả các bước của quá trình thực
hiện đánh giá, và sắp xếp theo các danh mục khác nhau để tiện cho việc
lập báo cáo sau này
 Phân loại rủi ro.
  Việc phân loại rủi ro sẽ giúp cho bản báo cáo được cụ thể và rõ ràng
hơn.
 3 loại rủi ro:
 Rủi ro mức cao
 Rủi ro mức trung bình
 Rủi ro mức thấp
- Viết báo cáo kết quả đánh giá.
 Thông tin chung về hệ thống đánh giá
 Cấu trúc hệ thống đánh giá
 Các rủi ro mức cao, trung bình, thấp.
 Tổng hợp đánh giá và đề xuất giải pháp.