- xii Chương 1 Tổng quan về đánh giá an toàn hệ thống thông tin. - Khái niệm đánh giá an toàn hệ thống thông tin. - Tầm quan trọng của đánh giá an toàn hệ thống thông tin. - Phương pháp luận đánh giá an toàn thông tin. - Các kỹ thuật đánh giá. - 121 Chương 5 Lập kế hoạch đánh giá an toàn hệ thống thông tin. - Xây dựng chính sách đánh giá an ninh. - Lựa chọn và xác định kỹ thuật đánh giá. - Các vấn đề liên quan tới chuẩn bị (hậu cần) đánh giá. - Lựa chọn đánh giá viên. - Phát triển kế hoạch đánh giá. - 141 Chương 6 Thực hiện đánh giá an toàn hệ thống thông tin. - Đánh giá. - 153 Chương 7 Các hoạt động sau đánh giá. - Thông tin chung về hệ thống đánh giá. - Cấu trúc hệ thống đánh giá. - Đánh giá kết quả. - Phương pháp đánh giá an toàn thông tin. - Cấu trúc Website đánh giá. - Cấu trúc mạng đánh giá. - Trong đó, một vấn đề có tính then chốt là đánh giá và kiểm định an toàn cho các hệ thống thông tin. - Chương 6: Thực hiện đánh giá an toàn hệ thống thông tin Sau giai đoạn lập kế hoạch, người đánh giá cần có các hoạt động đánh giá cụ thể. - Một giải pháp hữu hiệu nhất trong việc xác định rủi ro là xác định các điểm yếu thông qua quá trình đánh giá an toàn hệ thống thông tin. - Đánh giá an toàn dựa trên 3 phương pháp chính, có liên quan đến nhau là: rà soát (reviewing), kiểm tra (examination) và kiểm thử (testing). - Phương pháp đánh giá an toàn thông tin 1.2. - TẦM QUAN TRỌNG CỦA ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN Việc thực hiện đánh giá an toàn nhằm xác định mức độ an ninh hiện tại của hệ thống thông tin trong một tổ chức. - Mục tiêu an toàn của tổ chức Đánh giá an toàn hệ thống thông tin cho phép trả lời các câu hỏi như sau. - Cung cấp tính thống nhất và có cấu trúc cho việc kiểm thử an toàn, từ đó có thể giảm thiểu rủi ro trong quá trình đánh giá. - Có một vài phương pháp luận được chấp nhận để thực hiện các kiểu đánh giá an toàn thông tin khác nhau. - Bởi vì có rất nhiều lí do để tiến hành đánh giá nên một tổ chức có thể muốn sử dụng nhiều phương pháp luận. - Dưới đây chúng ta sẽ xem xét kỹ hơn về một số phương pháp luận được ứng dụng rộng rãi trong đánh giá an toàn hệ thống thông tin là. - đánh giá an ninh máy chủ: Windows, Linux, Novell, Web Server. - Có chín lớp đánh giá bao gồm. - Phương pháp đánh giá an toàn ứng dụng web của OWASP dựa trên tiếp cận hộp đen. - Mô hình đánh giá bao gồm. - Người đánh giá: Thực hiện các hoạt động đánh giá. - Áp dụng: Đánh giá hộp đen. - CÁC KỸ THUẬT ĐÁNH GIÁ Có rất nhiều các kỹ thuật kiểm tra và kiểm thử an toàn có thể được sử dụng để đánh giá an toàn của hệ thống và mạng. - 17 Chương 2 RÀ SOÁT HỆ THỐNG Rà soát (hay còn gọi là đánh giá lại) là giai đoạn đầu tiên cần thực hiện trong quy trình đánh giá an toàn hệ thống thông tin. - Dưới đây là một số thông tin nhật ký hữu dụng khi thực hiện đánh giá an toàn hệ thống thông tin mà người đánh giá cần xem xét. - Người đánh giá cũng có thể kiểm tra những file cấu hình hệ thống đã được lưu trữ sẵn trong các tập tin khác nhau trong các hệ điều hành. - Đặt phía trước hệ thống hoặc ứng dụng quan trọng để đánh giá hoạt động của nó. - Rà soát cấu hình hệ Đánh giá độ mạnh trong việc cấu hình hệ thống. - Quét lỗ hổng bảo mật có thể. - Người đánh giá còn có thể thực hiện việc dò quét trên từng máy chủ riêng biệt. - Hầu hết các công cụ quét lỗ hổng cho phép người đánh giá lựa chọn mức độ quét. - Các chuyên gia khuyến cáo người đánh giá nên thực hiện quét toàn diện nếu có thể. - Dưới đây là một số lưu ý trong môi trường của tổ chức khi lên kế hoạch đánh giá an toàn mạng không dây. - Những thông tin này có thể được sử dụng để đánh giá sự an toàn môi trường mạng không dây và xác định nhưng thiết bị giả mạo và mạng tùy biến không dây được phát hiện ra từ thiết bị quét. - Để có thể đánh giá được độ an toàn của các thiết bị không dây, người đánh giá có thể sử dụng các công cụ với các kịch bản khai thác có sẵn. - Đôi khi, người đánh giá chỉ có thể xâm nhập 61 vào bộ định tuyến đầu tiên của tổ chức mục tiêu. - Thông thường, người đánh giá có thể sử dụng Nmap trong các trường hợp. - Đây là một công cụ rất hữu ích khi thực hiện đánh giá an toàn cho Web. - Kiểu kiểm thử này cho phép đánh giá toàn bộ mạng hoặc tình hình an toàn hệ thống. - TỔNG KẾT Mỗi kỹ thuật đánh giá an toàn hệ thống thông tin để xác định điểm yếu mục tiêu đều có điểm mạnh và điểm yếu riêng. - Các yêu cầu của tổ chức muốn đánh giá. - Đánh giá thường xuyên. - Thời điểm tốt nhất để bắt đầu đánh giá là định lượng phân loại hệ thống và các yêu cầu liên quan đến đánh giá an toàn thông tin. - Sự phức tạp của vật được đánh giá. - ví dụ, có thể mất hàng giờ để đánh giá viên có kinh nghiệm xét duyệt tài liệu an toàn an ninh đầy đủ của hệ thống. - Đối với một số kỹ thuật kiểm thử, tổ chức có thể xác định quan điểm của đánh giá viên (ví dụ: bên trong hay bên ngoài, bí mật hay công khai) và lựa chọn các kỹ thuật liên quan. - Các yếu tố để đánh giá khi thực hiện các quyết định bao gồm. - Các kỹ thuật kết hợp thường được sử dụng để có thể có được một kết quả đánh giá an toàn hơn trong khi vẫn duy trì được mức độ rủi ro chấp nhận được đối với hệ thống mạng. - Xác định điểm yếu công nghệ trong kiến trúc và cấu hình an toàn của hệ thống trong khi giảm thiểu rủi ro từ chính việc đánh giá. - Đánh giá khả năng của các tấn công tới hệ thống. - Đánh giá viên cần biết về các kỹ thuật, công nghệ mới mà một kẻ tấn công có thể sử dụng để thực hiện xâm nhập. - Trách nhiệm của đánh giá viên gồm. - Phát triển xây dựng kế hoạch đánh giá với những người quản trị hệ thống, các nhân viên an toàn an ninh hệ thống thông tin (ISSO) và các CISO. - Khi thực hiện kiểm tra, đánh giá viên thường làm việc trực tiếp. - Với các đánh giá được thực hiện bởi bên thứ 3, tổ chức có thể cần phải xác định mức độ truy cập vật lý phù hợp (ví dụ như: không giới hạn, hoặc bị giám sát). - Đánh giá viên có thể yêu cầu các mức độ truy cập khác nhau tới mạng phụ thuộc vào công cụ mà họ sử dụng. - Việc đánh giá kỹ thuật có thể được thực hiện từ bên ngoài phạm vi mạng của tổ chức theo một số kịch bản. - Hệ thống phục vụ cho đánh giá có thể bao gồm các máy chủ, máy trạm hoặc máy tính xách tay. - Tuy nhiên nên đánh giá cẩn thận mỗi công cụ trước khi sử dụng trong việc kiểm thử. - Trong trường hợp này, người đánh giá có thể vô hiệu hóa các kiểm soát an ninh khi sử dụng công cụ. - Xác định phương pháp đánh giá kiểm soát an ninh. - Xác định các kiểm soát an ninh và các cải tiến kiểm soát trong việc đánh giá. - Phạm vi của đánh giá là gì. - Logic của đánh giá là gì. - Mỗi tổ chức cần xác định giữa việc sử dụng kế hoạch đánh giá và ROE. - Các hoạt động chính trong giai đoạn lập kế hoạch đánh giá an toàn hệ thống thông tin bao gồm. - Phát triển công nghệ: Đánh giá viên cần phải cập nhật công cụ và các công nghệ kiểm thử. - Thu thập dữ liệu Đội kiểm thử cần phải thu thập các thông tin có liên quan cho việc đánh giá trong suốt quá trình đánh giá. - Các loại thông tin mà người đánh giá cần thu thập bao gồm. - Bản ghi hoạt động được sử dụng để phát triển bản báo cáo kết quả đánh giá. - Kế hoạch đánh giá và ROE. - Báo cáo kết quả đánh giá. - Kế hoạch đánh giá và ROE cũng cần xác định các yêu cầu hủy bỏ cho mỗi lần kiểm thử cụ thể. - TỔNG HỢP THÔNG TIN Sau khi thực hiện đánh giá, đánh giá viên có thể thu được thông tin về các rủi ro có thể xảy đến đối với hệ thống. - Tùy từng hệ thống đánh giá mà các đánh giá viên có được các kết quả khác nhau. - Kết quả đánh giá an ninh được sử dụng trong những việc sau. - Để đánh giá trạng thái thực thi của các yêu cầu bảo mật hệ thống. - Trong báo cáo đánh giá, người đánh giá cần có các thông tin như sau. - Thông tin chung về hệ thống đánh giá Đây là các thông tin về hệ thống đánh giá, như. - Cấu trúc hệ thống đánh giá Đây là các thông tin về sơ đồ cấu trúc hệ thống đánh giá. - Cấu trúc mạng đánh giá 159 7.2.3. - Tiêu chí đánh giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System Evaluation Criteria). - Đối tượng đánh giá theo CC là sản phẩm và hệ thống thông tin (có thể đã ở dạng thành phẩm hoặc đang được thiết kế) được ký hiệu là TOE (Target of Evaluation). - Việc đánh giá cũng có thể được thực hiện bởi nhóm kiểm định hoặc các cơ quan có thẩm quyền. - Nếu cần, có thể phát triển kế hoạch đánh giá để bổ sung cho ROE