strict confidentiality
confidentiality obligations
confidentiality provisions
client confidentiality
confidentiality policy
confidentiality issues
Vấn đề bảo mật thông tin không chỉ đơn thuần là việc chống lại các cuộc tấn công từ hacker, ngăn chặn malware để đảm bảo thông tin không bị phá hủy hoặc bị tiết lộ ra ngoài… Hiểu rõ 3 mục tiêu của bảo mật ở trên là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toàn nhất có thể. Ba mục tiêu này còn được gọi là tam giác bảo mật C-I-A. Tính bí mật: Confidentiality Tính bí mật của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý, ví dụ như tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập thông tin đó từ xa qua môi trường mạng. Sau đây là một số cách thức như vậy: Khóa kín và niêm phong thiết bị.
Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc điểm về sinh trắc để xác thực.
Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép.
Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES, v.v..
Tính toàn vẹn: Integrity
Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính…) được cấp phép.
Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi. Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là đảm bảo thông tin không bị thay đổi (modify) là chưa đẩy đủ.
Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc của thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ một nguồn đáng tin cậy và ta gọi đó là tính “authenticity” của thông tin.
Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:
Thay đổi giao diện trang chủ của một website. Chặn đứng và thay đổi gói tin được gửi qua mạng. Chỉnh sửa trái phép các file được lưu trữ trên máy tính. Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị sai lệch. Tính sẵn sàng: Availability
Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những người được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.
Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế nào: Máy của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch làm bộ nhớ lưu trữ MAC address table của switch nhanh chóng bị đầy khiến switch không thể hoạt động bình thường được nữa. Đây cũng thuộc hình thức tấn công từ chối dịch vụ (DoS).
Để tăng khả năng chống trọi với các cuộc tấn công cũng như duy trì độ sẵn sàng của hệ thống ta có thể áp dụng một số kỹ thuật như: Load Balancing, Clustering, Redudancy, Failover…
continue to be ...
Tham khảo : //techzones.me/2019/08/07/tam-giac-bao-mat-cia/
Cùng một tác giả
10 4
Đây là chủ đề mình thích nhất, mỗi tuần mình dành ra 12h rãnh để viết 1 Dockerfile mình thích, sẵn để sau này có mà dùng không phải viết lại hiện ...
6 3
Nginx một web services khá mạnh cho hiện tượng C10k . Có rất nhiều cấu hình của nó mà mình đã xem qua . Đa phần sysadmin không tìm hiểu kỹ về nó , ...
5 0
Chào mừng bạn đến với Ngày 1 trong 100 ngày của DevOps, tôi muốn bắt đầu hành trình này với một trong những khái niệm quan trọng nhất trong Giám sá...
Bộ ba bảo mật thông tin của CIA (Bảo mật, Tính toàn vẹn và Tính khả dụng) là một mô hình chuẩn bảo mật thông tin được sử dụng để đánh giá bảo mật thông tin của một tổ chức. Bộ ba bảo mật thông tin của CIA thực hiện bảo mật bằng ba lĩnh vực chính liên quan đến hệ thống thông tin bao gồm bảo mật, tính toàn vẹn và tính sẵn sàng.
Techopedia giải thích Bộ ba bảo mật thông tin của CIA
Bộ ba bảo mật thông tin của CIA được tạo ra để cung cấp một tiêu chuẩn cơ bản để đánh giá và thực hiện bảo mật thông tin bất kể hệ thống và / hoặc tổ chức cơ bản. Ba mục tiêu cốt lõi có các yêu cầu và quy trình riêng biệt với nhau.
Bảo mật: Đảm bảo rằng dữ liệu hoặc hệ thống thông tin chỉ được truy cập bởi người có thẩm quyền. Id người dùng và mật khẩu, danh sách kiểm soát truy cập (ACL) và bảo mật dựa trên chính sách là một số phương pháp để đạt được tính bảo mật
Tính toàn vẹn: Tính toàn vẹn đảm bảo rằng dữ liệu hoặc hệ thống thông tin có thể được tin cậy. Đảm bảo rằng nó chỉ được chỉnh sửa bởi những người được ủy quyền và vẫn ở trạng thái ban đầu khi nghỉ ngơi. Thuật toán mã hóa và băm dữ liệu là các quá trình chính trong việc cung cấp tính toàn vẹn
Sẵn có: Dữ liệu và hệ thống thông tin có sẵn khi được yêu cầu. Bảo trì phần cứng, vá / nâng cấp phần mềm và tối ưu hóa mạng đảm bảo tính khả dụng
Khi phân tích một hệ thống bảo mật chúng ta cần phải có phương pháp luận. Có vùng dữ liệu yêu cầu tính mật của thông tin, có vùng dữ liệu cần tính toàn vẹn, tất cả các dữ
liệu đó đều phải được đáp ứng khi yêu cầu đó là tính sẵn sàng của hệ thống.
- Tính mật của thông tin (Confidentiality)
- Tính toàn vẹn thông tin (Integrity)
- Tính sẵn sàng của hệ thống (Availability)
Là ba góc của tam giác bảo mật CIA của một đối tượng cần bảo vệ.
Tính mật của thông tin là mức độ bảo mật cần thiết nhằm đảm bảo những dữ liệu quan
trọng không bị rò rỉ hay lộ thông tin.
Kẻ tấn công có thể thực hiện nhiều phương thức nhằm đạt được mục đích là lấy những thông tin mong muốn. Những phương thức đó có thể là giám sát hệ thống mạng, lấy các file chứa mật khẩu, hay Social engineering. Thông tin có thể bị lộ do không sử dụng các phương thức mã hóa đủ mạnh khi truyền hay lưu trữ thông tin.
Tính mật của thông tin được đại diện bởi quyền READ.
b. Integrity
Tính toàn vẹn của thông tin là mức độ bảo mật cần thiết nhằm đảm bảo độ tin tưởng của thông tin không bị thay đổi hay chỉ được chỉnh sửa bởi người có thẩm quyền. Kẻ tấn công có thể thực hiện nhiều phương thức nhằm thay đổi những thông tin mong muốn. Những phương thức đó có thể là đột nhập vượt qua các quá trình xác thực, hoặc tấn công khai thác lỗ hổng bảo mật của hệ thống. Đây là mức độ bảo mật thông tin quan trọng, hàng năm có rất nhiều tổ chức doanh nghiệp bị tấn công khai thác lỗ hổng bảo mật và bị thay đổi dữ liệu.
Tính toàn vẹn của thông tin được đại diện bởi quyền MODIFY.
“Cho tôi truy cập dữ liệu của bạn Hãy bật máy tính của tôi lên trước đã”
Khả năng đáp ứng của thông tin là điều rất quan trọng, điều này thể hiện tính sẵn sàng phục vụ của các dịch vụ. Khả năng đáp ứng của hệ thống chịu ảnh hưởng bởi khá nhiều thành phần: có thể là phần cứng, phần mềm hay hệ thống Backup. Khả năng đáp ứng của hệ thống cần được tính đến dựa trên số người truy cập và mức
độ quan trọng của dữ liệu.
Các từ tìm kiếm:
- CIA là gì?
- What CIA?
- Tam giác bảo mật CIA
- Mô hình CIA