Bảo mật thông tin là gì? Bảo mật thông tin là bảo vệ thông tin dữ liệu cá nhân, tổ chức nhằm tránh khỏi sự ” đánh cắp, ăn cắp” bởi những kẻ xấu hoặc tin tặc. An ninh thông tin cũng giống như sự bảo mật an toàn thông tin nói chung. Việc bảo mật tốt những dữ liệu & thông tin sẽ tránh những nguy cơ không đáng có cho chính cá nhân & doanh nghiệp của bạn.
Bảo mật thông tin là gì?
Bảo mật thông tin là hoạt động duy trì tính bảo mật, tính vẹn toàn & tính sẵn sàng cho tất cả thông tin. Ba yếu tố này luôn đi cùng nhau & không thể tách rời.
- Tính bảo mật: bảo đảm mọi thông tin quan trọng không bị rò rỉ hay đánh cắp. Thông tin chỉ được phép truy cập bởi những người đã được cấp phép.
- Tính toàn vẹn: đảm bảo thông tin không bị thay đổi hoặc chỉ được phép chỉnh sửa bởi người có thẩm quyền. Ngoài những điều ấy ra, tính toàn vẹn còn đảm bảo thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi.
- Tính sẵn sàng: bảo đảm thông tin có thể sẽ được truy cập bởi những người có quyền bất cứ khi nào họ muốn.
5 nguyên tắc trong bảo mật thông tin
Tam giác CIA (Confidenttiality, integrity, availability) là khái niệm cơ bản, cốt lõi của an toàn thông tin.
Có rất là nhiều cuộc tranh cãi về việc mở rộng tam giác này thành nhiều yếu tố hơn. Những nguyên lý như: tính trách nhiệm (Accountability) đôi khi được đề nghị chèn vào nguyên lý cơ bản. Thực tế đã chỉ ra rằng VD như tính không thể chối cãi (Non – Repudiation) không thể biểu diễn bởi tam giác trên, & với sự phát triển của hệ thống máy tính như vào thời điểm hiện tại, vấn đề pháp lý (Legality) cũng biến thành một nhân tố vô cùng quan trọng.
Sau đây sẽ là từng khía cạnh của tam giác CIA và một vài thuộc tính khác trong an toàn thông tin mạng.
1. Tính bí mật
Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không được xác thực hoặc để lọt vào các hệ thống khác. Ví dụ: một giao dịch tín dụng qua mạng internet, số thẻ tín dụng được gửi từ người mua hàng đến người bán, và từ người bán đến nhà phân phối dịch vụ thẻ tín dụng. Hệ thống sẽ cố hết sức thực hiện tính bí mật bằng cách mã hóa số thẻ trong suốt quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log tệp, sao lưu (backup), in hóa đơn…) và bằng cách giới hạn truy tìm những nơi mà nó được lưu lại. Nếu một bên không được xác thực (ví dụ người dùng không có trong giao dịch, hacker…) lấy số thẻ này bằng bất kì cách nào, thì tính bí mật không còn nữa.
Tính bí mật rất quan trọng (nhưng chưa đủ) để trì sự riêng tư của người có thông tin được hệ thống lưu giữ.
>>> Xem thêm: Bảo mật tên miền là gì? Tại sao cần phải bảo mật tên miền
2. Tính vẹn toàn
Trong an toàn thông tin, vẹn toàn có nghĩa rằng dữ liệu không thể bị chỉnh sửa mà không bị phát hiện. Nó khác với tính vẹn toàn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như là một trường hợp đáng chú ý của tính nhất quán như được hiểu trong hô hình cổ điển ACID (tính nguyên tử (atomicity), tính nhất quán (consistency), tính tính cách ly (isolation), tính bền vững (durability) – là một tập các tính chất cam đoan rằng cơ sở dữ liệu đáng tin cậy) của xử lý giao dịch. Tính vẹn toàn bị xâm phạm khi một thông điệp bị chỉnh sửa trong giao dịch. Hệ thống thông tin an toàn luôn cung cấp các thông điệp vẹn toàn & bí mật.
3. Tính sẵn sàng
Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải luôn luôn sẵn sàng khi quan trọng. Điều đấy có nghĩa rằng hệ thống tính toán dùng để lưu trữ và xử lý thông tin, có một hệ thống điều khiển bảo mật sử dụng để bảo vệ nó, và kênh kết nối sử dụng để truy tìm nó phải luôn hoạt động chính xác. Hệ thống có tính sẵn sàng cao hướng tới sự sẵn sàng ở mọi thời điểm, hạn chế được những nguy cơ cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… đảm bảo tính sẵn sàng cũng có nghĩa là tránh được tấn công từ chối dịch vụ.
4. Tính xác thực
Trong hoạt động tính toán, bán hàng qua mạng và an toàn thông tin, tính xác thực là hết sức quan trọng để đảm bảo rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu (tài liệu điện tử hoặc tài liệu cứng) đều là thật (genuine). Nó cũng thiết yếu cho việc xác nhận rằng các bên liên quan biết họ là ai trong hệ thống.
5. Tính không thể chối cãi
Không thể chối cãi có nghĩa rằng một bên giao dịch không thể phủ nhận việc họ đã thực hiện giao dịch với các bên khác. Ví dụ: trong khi giao dịch mua hàng qua mạng, khi khách hàng đã gửi số thẻ tín dụng cho bên bán, đã thanh toán thành công, thì bên bán không thể phủ nhận việc họ đã nhận được tiền, (trừ trường hợp hệ thống không bảo đảm tính an toàn thông tin trong giao dịch).
>>> Xem thêm: Tại sao cần phải bảo trì máy tính thường xuyên ?
Mục đích và nguyên tắc của bảo mật thông tin
Muốn xây dựng được một hệ thống an toàn bảo mật thông tin hiệu quả, trước hết bạn phải cần nắm được mục tiêu & nguyên tắc của bảo mật thông tin là gì?
Mục tiêu của việc bảo mật thông tin
Có 4 mục tiêu mà bất cứ hệ thống an toàn thông tin nào cũng phải nắm được, đó chính là:
- Ngăn chặn: Cài đặt các cách thức làm để ngăn chặn sự tấn công từ tác nhân vật lý, các tác nhân kỹ thuật hoặc các hành vi vi phạm chính sách bảo mật.
- Phát hiện: Rất nhanh nhận thấy các hành vi vi phạm ảnh hưởng tới cá nhân/ hệ thống.
- Phục hồi: Sửa chữa, khắc phục hậu quả đúng lúc để bảo đảm tất cả mọi thứ hoạt động thông thường. Bên cạnh đấy, bạn cũng cần đánh giá được hành vi vi phạm để không bị lặp lại trong tương lai.
- Hoạt động: Và mục đích khổng lồ nhất của bảo mật thông tin là gì? Đó chính là đảm bảo hệ thống, cá nhân luôn ở tình trạng tốt nhất, không thể bị ảnh hưởng khá nhiều bởi các phần mềm độc hại.
Những nguyên tắc khi xây dựng hệ thống bảo mật thông tin trong doanh nghiệp
Thông tin luôn phải giữ nguyên vẹn
Chúng tôi hiểu rằng việc bảo mật thông tin trong doanh nghiệp không phải đơn giản, quan trọng là tại các công ty lớn khi có thể có đến hàng trăm nghìn đầu dữ liệu được truy xuất mỗi ngày. Lúc này bắt buộc hệ thống của bạn phải cần tuân thủ theo các quy tắc dưới đây để bảo bảo việc bảo mật hoạt động hiệu quả nhất:
- Nguyên tắc CIA: Là nguyên tắc đảm bảo đủ 3 tính chất của việc bảo vệ thông tin là tính bảo mật (Confidentiality); tính sẵn sàng (Availability); tính nguyên vẹn và tính không thể từ chối (Integrity and non – repudiation).
- Nguyên tắc 3A (Authentication, Authorization, Accounting): cho phép các chuyên viên bảo mật nhận biết biết được các thông tin thiết yếu về tình hình cũng như mức độ an toàn trong mạng, cùng lúc đó có thể xác thực – phân quyền – tính cước người dùng;
- Nguyên tắc giá trị thông tin: Trong các hệ thống, bạn không thể cam đoan rằng có thể bảo mật tuyệt đối toàn bộ các thông tin. Bởi thế, bạn phải cần phân chia mức độ thông tin dựa trên cấp độ quan trọng để có kế hoạch xây dựng hệ thống bảo mật thích hợp.
- Nguyên tắc đặc quyền tối thiểu: Nguyên tắc này quy định rằng một chủ thể chỉ nên có đặc quyền quan trọng để thực hiện nhiệm vụ quan trọng của mình mà không nên được cấp các quyền bổ sung không thiết yếu. điều này sẽ giúp hạn chế sự rò rỉ thông tin không thiết yếu.
Và bên cạnh đấy còn rất nhiều nguyên tắc khác mà bạn có thể tham khảo để bảo mật thông tin như nguyên tắc hệ thống, nguyên tắc mở, nguyên tắc tường minh, nguyên tắc phòng thủ chiều sâu… Tuỳ từng hệ thống & mục tiêu bảo vệ mà người sử dụng có thể ứng dụng các nguyên tắc khác nhau và phối kết hợp để đảm bảo hiệu quả cao nhất.
Kết
Hy vọng bài content trên đã giúp cho bạn có cái nhìn đa chiều hơn về bảo mật thông tin là gì cũng như mối nguy hại thường trực của việc bị tấn công thông tin.
Nhật Minh – Tổng hợp và bổ sung
tvcntt.hunre.edu.vn, securitybox.vn, bmdsolutions.vn
Bình luận về chủ đề post