Trước các thông tin dồn dập trong năm 2013 về các sự
việc nổi bật có liên quan tới các vụ gián điệp thông
tin như vụ tiết lộ gián điệp của đơn
vị APT1 của Trung Quốc và vụ
giám sát ồ ạt của Cơ quan An ninh Quốc gia Mỹ (NSA),
nhiều quốc gia trên thế giới cũng như ở Việt Nam đã
và đang có những thay đổi cả trong các chính sách lẫn
trong triển khai công việc thực tiễn hàng ngày để cải
thiện an ninh an toàn thông tin cho các hệ thống của quốc
gia mình.
Tháng 09/2013, Chính phủ Ấn Độ, Bộ Công nghệ Thông tin
và Truyền thông, Cục Công nghệ Điện tử và Thông tin,
đã xuất bản tài liệu “Khung
áp dụng phần mềm nguồn mở trong các hệ thống điều
hành điện tử” với nhiều khuyến cáo triển khai
thực tiễn nhiều khía cạnh có liên quan tới PMNM. Một
trong những khía cạnh đó là an ninh trong PMNM.
Dưới đây đưa ra những nội dung về khía cạnh an ninh
trong PMNM của tài liệu nêu trên, với lưu ý rằng tài
liệu ra đời 3 tháng sau khi sự kiện giám sát ồ ạt của
Cơ quan An ninh Quốc gia Mỹ - NSA (National Security Agency) đã
bị tiết lộ, bắt đầu từ đầu tháng 06/2013, và Ấn
Độ cũng là một quốc gia nằm trong tầm ngắm của sự
giám sát ồ ạt đó.
A. Hệ thống PMNM dựa vào nhiều người sử
dụng
Các hệ
thống PMNM hầu hết dựa vào mô hình UNIX với nhiều
người sử dụng và sẵn sàng với mạng. Vì điều này,
chúng đi với một cấu trúc an ninh và sự cho phép mạnh.
Hệ quả là, các chỗ bị tổn thương trong hầu hết các
ứng dụng chỉ tạo ra một lỗ hổng an ninh có giới hạn
trong các hệ thống PMNM. Hơn nữa, tính sẵn sàng của mã
nguồn đối với các hệ thống PMNM giúp cho các lập
trình viên phát hiện ra và sửa các chỗ bị tổn thương,
thường trước khi một lỗi có thể bị khai thác. Hầu
hết các giải pháp và ứng dụng Internet dựa vào PMNM và
cả các Tiêu chuẩn Mở; ví dụ, TCP/IP, HTTP, DNS, SMTP &
IMAP.
B. Chỗ
bị tổn thương và các sửa lỗi
Các lỗi
ẩn dấu và các chỗ bị tổn thương về an ninh khó tồn
tại hơn trong PMNM so với PMNĐ. Bất kỳ nhà cung cấp dịch
vụ nào cũng có thể tham gia vào để sửa các lỗi và
chỗ bị tổn thương trong PMNM so với kịch bản của
người sử dụng mang ơn nhà cung cấp PMNĐ. Nói chung, PMNM
nổi tiếng có tiềm năng về chu kỳ phát hành nhanh hơn,
các sửa lỗi và an ninh của PMNM là tốt hơn; điều này
thường là vì việc sửa các chỗ bị tổn thương về an
ninh thường xuyên của cộng đồng PMNM tương ứng. Các
thực tiễn về an ninh thường được các cơ quan dịch vụ
hỗ trợ thương mại hỗ trợ mà cũng hỗ trợ cả sự
bồi thường; điều này có một tác động mạnh mẽ lên
sự triển khai các hệ thống dựa vào PMNM.
C. An
ninh quốc gia và PMNM
Sự quan
tâm về an ninh như các cửa hậu hoặc các lỗ hổng giấu
giếm trong phần mềm đã khuyến khích nhiều tổ chức
chuyển sang PMNM. Sự hồ nghi các phần mềm nước ngoài
dạng “các hộp đen” mà không thể kiểm toán được
đã được xem như là một trong những lý do Trung Quốc,
Nhật và Hàn Quốc áp dụng PMNM của họ và như một
trong những lý do vì sao các Chính phủ khác đang xem xét
PMNM.
D. Thiết
lập an ninh chuyên nghiệp với PMNM
Các hệ
thống PMNM có xu hướng sẽ thường là an ninh hơn và sẽ
được thậm chí các ngân hàng, các công ty tài chính và
bảo hiểm sử dụng.
Các tổ
chức cần đảm bảo rằng mức độ tinh thông đúng tồn
tại với tất cả các dạng các nhà cung cấp hỗ trợ,
bao gồm cả các chuyên gia trong nội bộ. Các dịch vụ hỗ
trợ và duy trì phù hợp sẽ được làm cho sẵn sàng cho
PMNM như trong trường hợp của PMNĐ, để giảm thiểu các
rủi ro.
Như là
lớp đầu tiên, một nhóm cốt lõi trung ương các cao thủ
có đạo đức liên tục xem xét các chỗ bị tổn thương
và các lỗ hổng vòng lặp của các giải pháp PMNM. Nhóm
này nên có liên hệ với các cộng đồng, cung cấp các
bản vá / cập nhật an ninh sao cho người sử dụng không
cần lo về sự triển khai của PMNM. Như là lớp thứ 2,
các giải pháp PMNM có thể để mở cho cộng đồng nghiên
cứu hàn lâm, các sinh viên Khoa học Máy tính để kiểm
thử an ninh các giải pháp PMNM đó và các vấn đề có
thể sẽ được sử dụng cho các dự án của sinh viên để
có được các giải pháp.
Các liên
quan tới an ninh khác đối với PMNM hầu hết là y hệt
như với PMNĐ; ví dụ, các phiên bản PMNM cũ hơn nào đó
có thể lỗi thời và có thể không được hỗ trợ giống
như trong trường hợp của PMNĐ. Phải tiếp cận trên cơ
sở từng trường hợp một.
E.
Một số chỉ dẫn chung về an ninh
Mỗi chỉ
dẫn chung bên dưới đều đi kèm với một sản phẩm
PMNM cụ thể được khuyến cáo để sử dụng, dù các
PMNM đó thường không phải là duy nhất có khả năng được
xem xét để sử dụng.
- Bảo vệ mạng với một tường lửa mạnh: Một phát tán Linux được tăng cường an ninh (PMNM như Smooth wall) cung cấp các hoạt động tường lửa của phần cứng sống còn như việc khóa các cổng, đưa vào danh sách đen các địa chỉ IP, bảo vệ chống virus... có thể được cân nhắc; cùng lúc, nó dễ dàng để sử dụng.
- Truy cập từ xa có an ninh: Nhiều lúc, được yêu cầu làm việc thông qua một giải pháp có an ninh (PMNM như Open VPN) từ các địa điểm ở xa với sự kiểm soát và giao diện đồ họa người sử dụng – GUI (Graphic User Interface) được bản địa hóa để dễ sử dụng.
- Đảm bảo an ninh cho dữ liệu trong các máy tính để bàn & xách tay cục bộ với việc mã hóa: Có rủi ro của việc khai thác các dữ liệu nhạy cảm nằm trong các máy tính để bàn và xách tay cục bộ từ những người không có thẩm quyền. Giải pháp phổ biến được khuyến cáo là sử dụng giải pháp mã hóa (PMNM như True Crypt) sao cho thậm chí nếu có một sự truy cập vật lý tới hệ thống cục bộ từ những người không có thẩm quyền, thì nội dung không thể sử dụng được nếu không có khóa số theo yêu cầu.
- Đảm bảo an ninh cho các điểm truy cập WiFi: Các điểm truy cập WiFi được yêu cầu phải được bảo vệ bằng việc sử dụng giải pháp phù hợp (PMNM như WPA2 với máy chủ xác thực RADIUS) để có mạng an toàn cho tổ chức; giải pháp đó cho phép những người sử dụng có thẩm quyền đăng nhập vào dễ dàng với tên và mật khẩu trong khi ẩn dấu được các khóa mã của mình khỏi những người sử dụng đầu cuối.
- Áp dụng thực tiễn tốt nhất cho quản trị hệ thống:
- Tất cả những người sử dụng nên sử dụng các mật khẩu mạnh. Sự xác thực mạnh nhiều yếu tố nên được kích hoạt với các kết hợp mật khẩu một lần - OTP (One Time Password), chữ ký số, vân tay sinh học... Nếu các xác thực y hệt được lặp đi lặp lại trong nhiều ứng dụng, thì giải pháp xác thực đăng nhập duy nhất - SSO (Single Sign On) (như hệ thống xác thực tập trung - CAS (Central Authentication System) có thể được sử dụng.
- Chỉ các dịch vụ được yêu cầu nên được gọi tới trong các hệ thống, đặc biệt ở trung tâm dữ liệu; đó là, giải pháp theo đó không được yêu cầu cho việc quản lý hệ thống hiện hành nên được tắt. Tương tự, việc giám sát các lưu ký và các thư mục tệp nên được thực hiện bằng việc sử dụng giải pháp phù hợp (PMNM như Mon) cho bất kỳ hoạt động đáng ngờ nào trên cơ sở thường xuyên; các cảnh báo được tự động và các cuộc thăm dò ý kiến có thể được kích hoạt.
- Cơ chế sao lưu và phục hồi thảm họa phù hợp (các vị trí cục bộ / ở xa) sẽ được kích hoạt. Tương tự, sự tạo ra các tệp lưu ký ở mức ứng dụng sẽ được kích hoạt ở các máy chủ ở xa.
- Truy cập Internet có an ninh từ intranet thông qua Ủy quyền (Proxy) web: Một ủy quyền web (PMNM như Squid) nên được làm cho sẵn sàng để định tuyến, lọc & giám sát truy cập web và cũng để ngăn chặn việc tải về phần mềm độc hại.
F.
Khuyến cáo
An ninh
các giải pháp PMNM đối với các kho PMNM có thể được
cải thiện bằng việc tạo ra 2 lớp cơ chế kiểm toán
nội bộ & bên ngoài và cơ chế bổ sung theo cấu trúc
được đề xuất.
G.
Kết luận
Những
giải thích, chỉ dẫn và khuyến cáo về khía cạnh an
ninh các hệ thống PMNM được nêu ở trên trong chính sách
của Chính phủ Ấn Độ trong điều hành các hệ thống
điện tử là những câu trả lời mẫu mực để đáp lại
những chuyện hoang đường thường thấy khi nói về an
ninh các hệ thống PMNM. Những gì đã xảy ra trong vụ
giám sát ồ ạt của NSA đang nói cho chính phủ các nước
một điều ngược lại: Xây dựng hệ thống an ninh an
toàn thông tin dựa vào các phần mềm nguồn đóng, sở
hữu độc quyền, ví dụ cụ thể như xây
dựng hệ thống an ninh an toàn thông tin dựa trên hệ điều
hành Microsoft Windows, là tương tự như xây nhà trên
bãi mìn, không
có bất kỳ sự an ninh an toàn nào!.
Trần Lê
Bài đăng
trên tạp chí Tin học và Đời sống, số tháng 3/2014,
trang 38-39.
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.