Thêm một tam giác bảo mật khác


Như trong entry này, tôi có đề cập đến ba mục tiêu chính cần đạt được trong công tác bảo mật cho một hệ thống thông tin và ba mục tiêu này tạo thành bộ ba (hay tam giác) bảo mật  C.I.A. Hôm nay, tôi sẽ nói về một tam giác bảo mật (security triangle) khác mà trong đó 3 thành tố của nó có mối liên hệ và ảnh hưởng tới nhau.

Hình trên cho biết 3 đặc tính cơ bản của một hệ thống thông tin và đó cũng là 3 yếu tố (tương ứng với 3 góc) của tam giác bảo mật S.F.U (hoặc S.F.E) mà tôi muốn nhắc đến trong bài này đó là:

  • Functionality: chức năng (mặt định lượng)
  • Security: tính bảo mật
  • Usability (hoặc Ease of Use): tính tiện dụng

Ở bên trong tam giác S.F.U này có một quả bóng nhỏ. Khi quả bóng này có thiên hướng di chuyển về một góc nào đó của tam giác thì có nghĩa rằng yếu tố tương ứng với góc đó được chú trọng, tăng cường và đồng thời 2 yếu tố còn lại sẽ bị coi nhẹ, suy giảm. Cụ thể:

  • Nếu nâng cao độ bảo mật cho hệ thống (quả bóng di chuyển về góc Security) cũng đồng nghĩa với việc người dùng phải chịu nhiều rằng buộc, trải qua nhiều bước kiểm tra an ninh khi muốn tiếp cận và sử dụng hệ thống (tức, tính Usability bị giảm đi) và số lượng các chức năng của hệ thống sẽ được giữ ở mức tối thiểu nhất có thể vì rõ ràng, càng nhiều chức năng thì hệ thống đó tiềm ẩn thêm những lỗ hổng có thể bị khai thác (tức, tính Functionalitybị giảm đi).
  • Nếu bổ sung thêm nhiều chức năng cho hệ thống (quả bóng di chuyển về góc Functionality) cũng đồng nghĩa việc hệ thống đó có thể chứa đựng nhiều lỗ hổng không lường trước được, các mối đe dọa và rủi ro tăng lên (tức, tính Security giảm đi) và rõ ràng, càng nhiều chức năng thì độ phức tạp khi sử dụng hệ thống tăng lên (tức, tính Usability giảm đi).
  • Cuối cùng, nếu muốn việc sử dụng hệ thống trở nên đơn giản, thuận tiện hơn (quả bóng di chuyển về góc Usability) thì buộc lòng ta phải giảm tinh giản, làm gọn các chức năng trong hệ thống (tức, tính Functionality giảm đi) và nới lỏng các biện pháp an ninh (tức, tính Security giảm đi).

Để dễ hiểu hơn, tôi xin lấy một ví dụ thế này. Bạn có một hệ thống E-commerce nhằm quảng bá cho các sản phẩm, dịch vụ của bạn và đồng thời cho phép khách hàng đặt hàng, thanh toán trực tuyến. Rõ ràng, khi giao dịch qua mạng Internet thế này thì yếu tố bảo mật phải được đặt lên hàng đầu nhằm tránh rủi ro, thiệt hại cho khách hàng và chính bạn khi xảy ra các sự cố an ninh như hệ thống bị tấn công khiến dữ liệu khách hàng, bí mật kinh doanh bị đánh cắp, thông tin giao dịch bị lộ, hay toàn bộ hệ thống bị tê liệt… Trước nguy cơ đó, để phòng chống với các mối đe dọa thì tất nhiên bạn sẽ đầu tư xây dựng và triển khai một loạt các cơ chế bảo vệ đa tầng (Defense-in-Depth) như:

  • Xác thực đa yếu tố (multi-factor) với smart card, mã PIN kết hợp với mật khẩu mạnh.
  • Mã hóa cho các phiên giao dịch với SSL Certificate.
  • Kiểm soát truy cập, giám sát, cảnh báo, phản ứng sử dụng firewall,VPN,  proxy, IDS/IPS, Anti-Virus,… cộng với các chính sách bảo mật nghiêm ngặt.
  • v.v..

Nhiêu đó thôi cũng đủ làm cho hệ thống tuy có an toàn hơn nhưng lại trở nên phức tạp hơn và gây bất tiện cho những người dùng với kiến thức bảo mật ít ỏi nhưng luôn mong mỏi được thoải mái, dễ dàng trong việc sử dụng dịch vụ, chức năng của hệ thống, đôi khi còn làm cho bản thân những người quản trị bảo mật cho hệ thống đó khó khăn trong việc điều hành, duy trì.

Ngoài tình huống trên, bạn có thể tự tìm hiểu thêm nhiều ví dụ khác minh họa cho ý nghĩa của tam giác bảo mật S.F.U.

Suy cho cùng, một giải pháp bảo mật tối ưu thì cần cân đối hài hòa giữa cả 3 yếu tố Security, Functionality và Usability. Khi đó, quả bóng kia sẽ ở tâm điểm của tam giác S.F.U.

–manthang

One comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s