Tiêu chí đánh giá các sản phẩm an toàn thông tin
Đó có thể là các sản phẩm, hệ thống chuyên sâu về an ninh, an toàn như hệ thống tường lửa (firewall), hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System), thẻ thông minh (Smart Card), ứng dụng mã hóa ổ đĩa,… hoặc những sản phẩm quen thuộc hơn như một hệ thống máy tính chuyên dụng, hệ quản trị cơ sở dữ liệu (DBMS - Database Management System), hệ điều hành (OS - Operating System), trình chủ web (Web Server),… Khái niệm sản phẩm IS chỉ mang tính tương đối, nó dùng để nói đến bất kỳ sản phẩm nào có khả năng bảo vệ sự an toàn cho thông tin và dữ liệu của người dùng cuối.
Ban đầu, hoạt động đánh giá sản phẩm IS chủ yếu được áp dụng trong lĩnh vực liên quan đến an ninh quốc gia. Ví dụ, Hoa Kỳ đã thực hiện đánh giá độ tin cậy cho các hệ thống máy tính sử dụng ở Bộ Quốc phòng từ những năm đầu thập niên 80 của thế kỷ trước. Tuy nhiên, cùng với sự phát triển và phổ biến các sản phẩm IS thì việc đánh giá đã được mở rộng hơn cho nhiều khu vực khác, chẳng hạn cho nhu cầu sử dụng trong kinh tế - xã hội. Bài viết này giới thiệu sơ lược quá trình hình thành một số tiêu chí dùng để đánh giá các sản phẩm IS trên thế giới. Trong đó sẽ chú trọng vào các nội dung liên quan đến một bộ tiêu chí đang được phát triển và sử dụng rộng rãi trên thế giới được gọi là “Tiêu chí chung cho việc đánh giá an toàn công nghệ thông tin” (Common Criteria for Information Technology Security Evaluation), bộ tiêu chí này còn biết đến với cái tên quen thuộc hơn là “Tiêu chí chung” hay “CC”.
1. Sơ lược một số tiêu chí dùng để đánh giá sản phẩm IS trên thế giới.
Để thực hiện hoạt động đánh giá các sản phẩm IS thì việc xây dựng hệ thống tiêu chí (criteria) đánh giá có lẽ là một trong những khâu quan trọng nhất. Bên cạnh việc phát triển tiêu chí đánh giá và chuẩn hóa thành các tiêu chuẩn (standard), cũng cần phải hình thành hệ thống các quy định về mặt luật pháp và hệ thống các phòng thử nghiệm. Nói chung, các quá trình này được phát triển ở từng quốc gia, vào từng giai đoạn có sự khác nhau đáng kể và phần lớn chịu sự chi phối của tình hình phát triển khoa học – công nghệ cũng như nhu cầu sử dụng các sản phẩm cần được đánh giá của mỗi quốc gia. Các vấn đề liên quan đến hoạt động đánh giá sản phẩm IS là tương đối rộng. Ở đây, chúng tôi chỉ đề cập đến một số vấn đề về hệ thống tiêu chí dùng để đánh giá các sản phẩm IS. Trước hết là một số khảo cứu về quá trình hình thành và phát triển các hệ tiêu chí đánh giá sản phẩm IS trên thế giới.
Năm 1983, Bộ Quốc phòng Hoa Kỳ (DoS - U.S. Department of Defense) đã ban hành “Tiêu chí đánh giá hệ thống máy tính tin cậy” - TCSEC (Trusted Computer System Evaluation Criteria) hay vẫn được gọi là “Sách Da cam”. Tiêu chí này được xây dựng nhằm đưa ra các yêu cầu để bảo đảm về phần cứng, phần mềm và các đảm bảo đặc biệt khác của hệ thống máy tính cũng như đưa ra phương pháp luận (methodology) để phân tích mức độ hỗ trợ của chính sách an toàn trong các hệ thống máy tính dùng trong Bộ Quốc phòng Hoa Kỳ.
Sau khi “Sách Da cam” được ban hành thì các nước châu Âu cũng đề xuất ban hành “Tiêu chí đánh giá An toàn Công nghệ thông tin” - ITSEC (Information Technology Security Evaluation Criteria). Tiêu chí này được 4 nước Anh, Pháp, Đức và Hà Lan xây dựng vào tháng 6/1991. Theo tiêu chí này, độ an toàn của một sản phẩm IS được chia làm 3 mức: cơ sở, trung bình và cao. Độ an toàn ở mức cơ sở nếu phương tiện bảo vệ có khả năng chống lại các tấn công ngẫu nhiên đơn lẻ. Độ an toàn ở mức trung bình nếu các phương tiện bảo vệ có khả năng chống lại các tội phạm có tài nguyên và khả năng hạn chế. Độ an toàn ở mức cao nếu các phương tiện bảo vệ có khả năng vượt trội hơn các tội phạm có trình độ nghiệp vụ cao, nghĩa là các đối tượng này ít có khả năng tấn công các hệ thống dạng này.
TCSEC của Hoa Kỳ và ITSEC của châu Âu có ảnh hưởng thực sự tới các tiêu chuẩn và các phương pháp đánh giá độ an toàn cho các sản phẩm IS sau này. Cũng cần nói thêm một điều, ITSEC ra đời sau TCSEC và được xây dựng trên cơ sở TCSEC nên thực tế ITSEC không phải là tài liệu độc lập hoàn toàn mà có sự kế thừa và liên quan với TCSEC.
Năm 1992, Ủy ban Kỹ thuật Quốc gia Nga, trực thuộc Phủ Tổng thống Liên bang Nga đã ban hành các tài liệu hướng dẫn về các vấn đề bảo vệ chống lại các truy cập trái phép thông tin nhạy cảm. Nội dung của bộ tài liệu đề xuất hai nhóm tiêu chí an toàn: Các chỉ số về mức bảo vệ an toàn cho các phương tiện kỹ thuật tính toán chống lại các truy cập trái phép và các tiêu chí bảo vệ các hệ thống tự động hóa xử lý dữ liệu.
Dựa vào rất nhiều nghiên cứu về lĩnh vực an toàn thông tin trong những năm 80 và đầu những năm 90 cùng kinh nghiệm áp dụng “Sách Da cam”, Hoa Kỳ đã ban hành tiếp bộ “Tiêu chuẩn xử lý thông tin Liên bang” – FIPS (Federal Information Proccessing Standard). Bộ tiêu chuẩn này chứa nhiều tiêu chuẩn về lĩnh vực an toàn thông tin trong đó có “Tiêu chí Liên bang về an toàn công nghệ thông tin” - FCITS (Federal Criteria for Information Technology Security). Đối tượng cơ bản được đánh giá bởi tiêu chí này là các sản phẩm IS và các hệ thống xử lý thông tin. Một khái niệm mới và quan trọng lần đầu tiên được dùng là “Hồ sơ bảo vệ” - PP (Protection Profile). Tiêu chí này đánh dấu sự xuất hiện của một thế hệ mới các tài liệu tiêu chuẩn và hướng dẫn đánh giá trong lĩnh vực bảo mật và an toàn thông tin.
Tháng 1/1982, Canada đã cho ban hành “Tiêu chí Canada để đánh giá độ tin cậy của hệ thống máy tính” - CTCPEC (Canadian Trusted Computer Product Evaluation Criteria). Tiêu chí này đề xuất một thang đo chung để đánh giá độ an toàn của các hệ thống máy tính, cho phép so sánh các hệ thống xử lý thông tin mật về mức độ đảm bảo an toàn, tạo cơ sở cho việc sử dụng an toàn các hệ thống máy tính nhằm hướng dẫn cách xác định các thành phần chức năng của phương tiện bảo vệ khi thiết kế các hệ thống. Việc các nước trên thế giới sử dụng các tiêu chí khác nhau để đánh giá các sản phẩm IS đã dẫn đến một số khó khăn đáng kể. Đó là sự khác biệt về quan niệm rằng, một sản phẩm IS như thế nào thì được coi là an toàn và sự khác biệt về mặt kỹ thuật để thực hiện đánh giá một sản phẩm IS. Điều này dẫn đến, một sản phẩm được đánh giá ở các quốc gia khác nhau sẽ cho những kết quả không thống nhất và các kết quả này khó có thể được thừa nhận rộng rãi.
Tháng 6/1993, với mục đích khắc phục những khác biệt về quan niệm và kỹ thuật của các tiêu chí đánh giá mức độ an toàn cho các sản phẩm IS cũng như nhằm tạo ra một tiêu chuẩn quốc tế chung, một dự án xây dựng tiêu chí chung để đánh giá độ an toàn của các sản phẩm IS đã được thành lập. Đến năm 1996 thì “Tiêu chí chung” (CC) đã ra đời Phiên bản đầu tiên (phiên bản 1.0) dựa trên sự tổng hợp và tinh lọc các tiêu chí trước đó của Hoa Kỳ, Canada và châu Âu. Năm 1999 thì CC đã phát triển lên phiên bản 2.1 và chính thức trở thành tiêu chuẩn quốc tế ISO/IEC 15408:1999. Sau đó, năm 2005, ISO tiếp tục ban hành lại bộ tiêu chuẩn này thành ISO/IEC 15408:2005.
Qua quá trình phát triển, rất nhiều phiên bản của CC đã ra đời để khắc phục dần những điểm không thích hợp trong công tác đánh giá cũng như nhằm tương thích với tình hình phát triển công nghệ thông tin trên thế giới. CC phiên bản 3.1 được khuyến cáo sử dụng để đánh giá các sản phẩm IS kể từ đầu năm 2007.
2. Tiêu chí chung và hoạt động thừa nhận lẫn nhau
2.1. Tiêu chí chung
Các nội dung liên quan đến hoạt động đánh giá sản phẩm IS theo Tiêu chí chung là tương đối rộng. Ở đây, chúng tôi chỉ đề cập đến một số khái niệm chính của CC để có thể hình dung khái quát về hệ thống tiêu chí này.
Theo CC, việc đánh giá các sản phẩm IS dựa trên 7 mức an toàn cơ bản gọi là “Mức đảm bảo đánh giá” - EAL (Evalution Assurance Level). Kết quả đánh giá đạt mức càng cao thể hiện rằng quá trình đánh giá càng được tin cậy. Khi một sản phẩm IS nếu được đánh giá ở mức càng cao thì càng nhiều chỉ tiêu sẽ được xem xét trong quá trình đánh giá và bên phát triển sản phẩm sẽ được yêu cầu cung cấp thêm các tài liệu và bằng chứng đánh giá theo cấp độ tăng dần. Có hai khái niệm quan trọng trong CC là “Hồ sơ bảo vệ” (PP) kế thừa từ FCIST của Hoa Kỳ và “Chỉ tiêu an toàn” - ST (Security Target). PP đưa ra các nội dung an toàn cho một chủng loại sản phẩm IS nhất định nào đó trong khi ST lại đưa ra nội dung an toàn cho một sản phẩm IS cụ thể.
Nội dung cụ thể của từng phiên bản CC có sự khác nhau tương đối. Lý do của sự sửa đổi về mặt nội dung cho từng phiên bản có lẽ là để đáp ứng tốt nhất tình hình phát triển công nghệ thông tin và tình hình đánh giá sản phẩm IS trong từng giai đoạn. Thông thường, phiên bản sau sẽ khắc phục các điểm yếu của phiên bản trước và có sự lược bỏ, thêm mới một số khái niệm và thành phần. Tuy nhiên, ở tất cả các phiên bản, bộ Tiêu chí chung đều bao gồm 3 phần.
CC Phần 1, Giới thiệu chung và Mô hình tổng quan: đưa ra những định nghĩa, thuật ngữ và khái niệm cơ sở. Nội dung của phần này chủ yếu đề cập đến các khái niệm như: sản phẩm (Product), đối tượng được đánh giá - TOE (Target Of Evaluation), gói (Package), EAL, PP, ST, yêu cầu an toàn - SR (Security Requirement) và nguyên tắc phân lớp các yêu cầu an toàn,... Phần này cũng mô tả khuôn mẫu chi tiết để viết một bản PP/ST cũng như cách thức lựa chọn hoặc xây dựng mới các yêu cầu an toàn không có trong CC.
CC Phần 2, Các yêu cầu chức năng an toàn: phần này đưa ra một tập các “Yêu cầu chức năng an toàn” - SFR (Security Functionality Requirement) làm khuôn mẫu để xây dựng các tài liệu PP/ST và dùng cho các đánh giá viên đối chiếu trong quá trình thực hiện đánh giá. Có thể xem CC Phần 2 như là bộ “từ điển” chứa các SFR được phân lớp thành nhiều lĩnh vực. Dựa vào bộ từ điển này, tác giả PP/ST có thể lựa chọn các yêu cầu chức năng an toàn phù hợp với sản phẩm của họ hoặc phối hợp giữa chúng để tạo nên các PP/ST cho sản phẩm mà họ cần đánh giá.
CC Phần 3, Các yêu cầu đảm bảo an toàn: phần này đưa ra một tập các “Yêu cầu đảm bảo an toàn” - SAR (Security Assuarance Requirement) để xây dựng các PP/ST cũng như hướng dẫn công tác đánh giá dành cho đánh giá viên. Tương tự như CC Phần 2, tập các SAR đưa ra ở CC Phần 3 cũng có thể xem như một bộ “từ điển” để tác giả PP/ST chọn lựa khi xây dựng PP/ST cho sản phẩm mà họ cần đánh giá.
Xét về mặt cấu trúc thì CC Phần 2 và CC Phần 3 có sự giống nhau tương đối. Các yêu cầu an toàn được tổ chức ở dạng phân lớp. CC phân chia các yêu cầu an toàn theo mức độ nhỏ dần là lớp (Class), họ (Family), thành phần (Component) và phần tử (Element). Phần tử chính là sự phân chia nhỏ nhất và chi tiết nhất cho các yêu cầu an toàn.
Xét về mặt nội dung thì CC Phần 2 và CC Phần 3 hướng đến hai khía cạnh hoàn toàn khác nhau. CC Phần 2 dùng để diễn tả tính năng an toàn của sản phẩm. Các lớp liên quan đến chức năng an toàn của sản phẩm được đưa vào CC Phần 2 bao gồm các lĩnh vực như: kiểm toán, truyền thông, hỗ trợ mật mã, định danh và xác thực, tính riêng tư, quản lý an toàn, sử dụng tài nguyên, đường dẫn/kênh truyền tin cậy, bảo vệ dữ liệu người dùng,... Trong khi đó, CC Phần 3 lại hướng đến việc đánh giá sản phẩm. Nó đưa ra các lớp liên quan đến các lĩnh vực như: đánh giá PP, đánh giá ST, quá trình phát triển sản phẩm, tài liệu hướng dẫn, hỗ trợ vòng đời, kiểm thử sản phẩm, phân tích điểm yếu,... Có 3 nhóm đối tượng chính quan tâm đến Tiêu chí chung là: Những người liên quan đến việc thực hiện một cuộc đánh giá (Đánh giá viên, Cơ quan cấp chứng nhận, Cơ quan giám sát đánh giá); Những người phát triển sản phẩm và những khách hàng đang tìm kiếm sản phẩm phù hợp với mục đích sử dụng của họ.
Ngoài việc ban hành bộ Tiêu chí chung, thì một bộ tài liệu hướng dẫn quá trình đánh giá các sản phẩm IS theo Tiêu chí chung gọi là “Phương pháp luận chung để đánh giá các sản phẩm an toàn CNTT” CEM (Common Methodology for Information Technology Security Evaluation) cũng đã được xây dựng và ban hành tương ứng với từng phiên bản. Vào năm 2005, tổ chức ISO cũng đã ban hành CEM thành tiêu chuẩn quốc tế ISO/IEC 18045:2005.
Hình 1 – Quá trình hình thành Tiêu chí chung
CEM là tài liệu “phương pháp luận” nên nội dung của nó trình bày cụ thể các phương pháp để một Đánh giá viên (Evaluator) thực hiện các bước đánh giá sản phẩm IS tuân theo CC. Nội dung chính của CEM được xây dựng dựa theo các lớp đảm bảo đưa ra bởi CC Phần 3. CC Phần 3 chỉ đưa ra các yêu cầu đảm bảo an toàn (SAR) mà các sản phẩm hướng đến còn CEM đưa ra cách thức cụ thể mà các đánh giá viên cần thực hiện để biết được các yêu cầu đảm bảo đó có đạt được hay không. Đối tượng quan tâm đến CEM chủ yếu là các Đánh giá viên và những người thực hiện công tác tổ chức cho một quá trình đánh giá. Tuy nhiên, Nhà phát triển (Developer) sản phẩm cũng có thể tham khảo CEM để chuẩn bị các nội dung cần thiết cho một quá trình đánh giá nhằm đảm bảo sản phẩm của họ sẽ đáp ứng được các yêu cầu đòi hỏi từ bên thực hiện đánh giá.
2.2. Hoạt động thừa nhận lẫn nhau về Tiêu chí chung
Bên cạnh sự ra đời Tiêu chí chung thì một tổ chức quốc tế về lĩnh vực này là “Tổ chức thừa nhận lẫn nhau về tiêu chí chung” (CCRA - Common Criteria Recognition Arrangement) đã được thành lập. Mặc dù đã có những định hướng về việc thành lập tổ chức từ năm 1993 nhưng tháng 1/1995 thì dự án thành lập CCRA mới chính thức đi vào hoạt động. Đến tháng 10/2000 thì bộ máy CCRA mới chính thức kiện toàn.
Những quốc gia thuộc tổ chức CCRA có sự thừa nhận lẫn nhau về việc sử dụng Tiêu chí chung trong công tác đánh giá các sản phẩm an toàn CNTT. Đối với tất cả các nước là thành viên chính thức của CCRA thì sản phẩm được đánh giá ở một số quốc gia sẽ được thừa nhận ở các quốc gia khác. Điều này nhằm giảm thiểu số lần đánh giá lại, tiết kiệm được về tài nguyên và nhân lực. Hiện tại (năm 2008) có 23 quốc gia thuộc CCRA, trong đó có 11 quốc gia là thành viên có thẩm quyền cấp chứng nhận – CAP (Certificate Authorizing Participants) bao gồm Úc + New Zealand, Canada, Pháp, Đức, Hàn Quốc, Nhật Bản, Na Uy, Tây Ban Nha, Anh và Hoa Kỳ, Hà Lan và 13 quốc gia là thành viên công nhận chứng chỉ - CCP (Certificate Consuming Participants) bao gồm Áo, Cộng hòa Séc, Đan Mạch, Phần Lan, Hy Lạp, Ấn Độ, Israen, Ý, Singapo, Thụy Điển, Thổ Nhĩ Kỳ, Hungary và Malayxia. Những quốc gia thuộc nhóm thứ nhất là những nước đã được CCRA thừa nhận về hệ thống đánh giá sản phẩm IS mà nước đó đã xây dựng được bao gồm hệ thống phòng thử nghiệm, hệ thống quy định và luật pháp liên quan đến đánh giá, hệ thống lược đồ đánh giá và cấp chứng nhận. Các sản phẩm được đánh giá bởi những quốc gia này sẽ được thừa nhận ở tất cả các nước là thành viên của CCRA. Những quốc gia thuộc nhóm thứ hai là các nước thừa nhận sản phẩm đã được đánh giá bởi các quốc gia thuộc nhóm thứ nhất nhưng chưa đủ điều kiện để được các quốc gia khác thừa nhận về hệ thống đánh giá và cấp chứng nhận của mình.
Ngoài những nước đã gia nhập CCRA và những nước đang xúc tiến để gia nhập CCRA thì nhiều quốc gia khác cũng đã xây dựng và duy trì hệ thống đánh giá sản phẩm IS trong nước theo một hướng riêng mà điển hình là Liên bang Nga, Trung Quốc. Tuy nhiên, xu thế chung của các nước trên thế giới vẫn là xây dựng và điều chỉnh các hoạt động đánh giá sản phẩm IS trong nước tuân theo Tiêu chí chung và xúc tiến gia nhập CCRA nhằm hướng đến xu thế hội nhập toàn cầu.
3. Thay lời kết
Việc tìm hiểu sơ bộ quá trình hình thành và phát triển các tiêu chí đánh giá sản phẩm IS trên thế giới và một số khái niệm chính liên quan đến Tiêu chí chung, cho thấy hoạt động đánh giá sản phẩm IS đã được nhiều quốc gia quan tâm từ rất sớm, nhất là các nước phát triển. Hiện nay, một tổ chức thừa nhận lẫn nhau về Tiêu chí chung được thành lập và hoạt động khá hiệu quả. Phần lớn các nước có nền công nghệ thông tin phát triển đều đã gia nhập CCRA. Ngoài các nước đã gia nhập CCRA, một số nước khác cũng đã nhìn thấy lợi ích từ việc tham gia CCRA, nên đang cố gắng cải thiện tình hình đánh giá sản phẩm IS trong nước để thúc đẩy gia nhập CCRA. Đối với Việt Nam, chúng ta đứng trước hai chọn lựa. Một là không đứng ngoài xu thế chung của nhiều nước trên thế giới, hướng nguồn lực chuẩn bị công tác đánh giá sản phẩm IS theo Tiêu chí chung, thúc đẩy hoạt động đánh giá trong nước, hợp tác và nhờ sự trợ giúp từ bên ngoài để đáp ứng các điều kiện tiến đến nộp đơn xin gia nhập CCRA; Hai là tự phát triển một hệ thống đánh giá sản phẩm IS theo một hướng đi riêng. Hướng đi thứ nhất có lẽ là phù hợp với hoàn cảnh nước ta và xu thế hội nhập quốc tế hiện nay hơn. Dù là đi theo hướng nào thì vấn đề tiêu chí đánh giá sản phẩm IS cũng cần phải được xác định sớm, sau đó là công cuộc phát triển nguồn lực, đầu tư trang thiết bị và công nghệ theo hướng đã chọn cần được quan tâm đúng mức .