• Thứ Hai, 16/02/2009 15:02 (GMT+7)

    Lựa chọn công nghệ an toàn thông tin

    Một trong những vấn đề được nhiều người quan tâm là việc lựa chọn chuẩn ATTT cho tổ chức, DN. Tạp chí TGVT giới thiệu ý kiến của TS.Vũ Quốc Thành, phó chủ tịch kiêm tổng thư ký hiệp hội ATTT (VNISA) về vấn đề này.

    Đa dạng kỹ thuật ATTT

    Ông Vũ Quốc Thành

     

    Theo ông Vũ Quốc Thành, nói về công nghệ ATTT trước hết phải đề cập đến 4 lĩnh vực gồm: Xác thực, phân quyền, quản trị và kiểm định. Trên thế giới hiện có khoảng 136 biện pháp bao gồm cả biện pháp kỹ thuật và không kỹ thuật đã được tổng kết. Điều này cho thấy các kỹ thuật về ATTT rất đa dạng và càng khiến việc lựa chọn công nghệ ATTT phù hợp cho tổ chức, DN và CPĐT thêm khó khăn.

    Nguyên tắc nền móng giúp lựa chọn sản phẩm ATTT dựa trên ý tưởng cơ bản của ISO. Cụ thể, phải dựa trên những phân tích về rủi ro mất ATTT được đánh giá qua 3 yếu tố: Giá trị tài nguyên, độ nguy hiểm của các điểm yếu và xác suất bị tấn công vào các điểm yếu đó. Chỉ số quân bình của 3 yếu tố này giúp chúng ta xác định được rủi ro của hệ thống và rủi ro đó không chỉ định tính mà có thể định lượng mất bao nhiêu tiền.


     
    Lựa chọn một sản phẩm ATTT phải dựa trên 5 nguyên tắc: Quản lý rủi ro; Sản phẩm đó hỗ trợ tuân thủ quy chế chính sách; Sản phẩm đó hỗ trợ tuân thủ chuẩn; Có kiểm định hay khuyến cáo của các tổ chức uy tín; được thử nghiệm và kiểm định thực tế tại môi trường của tổ chức, DN.

    Khi đã xác định được rủi ro, chúng ta tiến tới phân tích hiệu quả để đảm bảo lựa chọn được biện pháp kỹ thuật cần thiết nhưng giá phải trả thấp hơn rủi ro mà tổ chức, DN có thể gặp phải. Tuy nhiên, đối với chính phủ điện tử (CPĐT), có thể có một số rủi ro không thể đánh giá bằng tiền. Đó là chính phủ đứng trước rủi ro mất niềm tin của cộng đồng nếu hệ thống của CPĐT mất an toàn. Thứ hai, khi hệ thống mất an toàn thì an ninh quốc gia cũng có thể bị ảnh hưởng. Thứ ba là việc sử dụng trái phép vô tình hay cố ý của các nhân viên chính phủ đối với các thông tin đã được thu thập thông qua CPĐT cũng là một rủi ro lớn. Vì vậy, việc lựa chọn kiểm soát cho CPĐT còn liên quan đến nhiều yếu tố khác.

    Nguyên tắc thứ hai để lựa chọn sản phẩm ATTT có thể dựa trên một số tiêu chí khác, trong đó sản phẩm phải đủ mạnh để chống lại những tấn công mà hệ thống cần bảo vệ là quan trọng hàng đầu. Việc lựa chọn nhà sản xuất cũng cần xem xét trên các tiêu chí: uy tín, kinh nghiệm, chiến lược trong tương lai...

    Để lựa chọn được giải pháp an ninh tích hợp (Unified Threads Management – UTM), ông Thành cho biết, có 2 vấn đề cần quan tâm là “báo động giả” và bỏ qua không phát hiện những tấn công thật. Để đánh giá chính xác mức độ tấn công và đưa ra cảnh báo đúng lúc, tổ chức, DN phải có các nhà tư vấn giúp đỡ. Cần phân biệt giữa một thiết bị UTM với một thiết bị mà bản chất chỉ là tích hợp các công nghệ ATTT như tường lửa, chống virus... Đối với từng hãng lại có UTM khác nhau do có công ty mạnh về firewall, có công ty lại mạnh về chống virus và họ chỉ có thể phát triển theo thế mạnh này.

    Đức Minh (ghi)

    ID: B0902_59