Bảo mật dữ liệu là gì? Các nghiên cứu khoa học liên quan

Khái niệm về bảo mật dữ liệu

Bảo mật dữ liệu (Data Security) là tập hợp các nguyên tắc, công nghệ, quy trình quản trị và biện pháp kiểm soát nhằm đảm bảo dữ liệu được bảo vệ khỏi truy cập, sửa đổi, tiết lộ hoặc phá hoại trái phép. Khái niệm này áp dụng cho mọi loại dữ liệu, từ dữ liệu cá nhân, thông tin tài chính, dữ liệu y tế cho tới thông tin sở hữu trí tuệ của doanh nghiệp. Việc bảo mật dữ liệu không chỉ liên quan đến yếu tố kỹ thuật mà còn bao gồm cả quản trị, đào tạo nhân sự và tuân thủ pháp luật.

Trong môi trường số hóa hiện nay, dữ liệu trở thành tài sản chiến lược. Việc để lộ hoặc mất mát dữ liệu có thể gây thiệt hại nghiêm trọng về tài chính, uy tín và cả khía cạnh pháp lý. Theo NIST, bảo mật dữ liệu phải được đảm bảo ở tất cả các giai đoạn của vòng đời dữ liệu: tạo lập, lưu trữ, xử lý, truyền tải và hủy bỏ.

Các thành phần chính của bảo mật dữ liệu bao gồm:

• Bảo mật vật lý: bảo vệ hệ thống lưu trữ dữ liệu khỏi truy cập vật lý trái phép.
• Bảo mật mạng: ngăn chặn truy cập trái phép qua môi trường mạng.
• Bảo mật ứng dụng: bảo vệ dữ liệu khỏi khai thác thông qua các phần mềm hoặc hệ thống ứng dụng.
• Bảo mật con người: giảm thiểu rủi ro từ yếu tố con người thông qua đào tạo và kiểm soát truy cập.

Các nguyên tắc cơ bản của bảo mật dữ liệu

Bảo mật dữ liệu dựa trên ba nguyên tắc cốt lõi thường được gọi là CIA Triad: Confidentiality (Bảo mật), Integrity (Toàn vẹn) và Availability (Sẵn sàng). Đây là nền tảng cho mọi chiến lược bảo mật, từ quy mô cá nhân đến cấp độ doanh nghiệp và tổ chức toàn cầu.

Confidentiality liên quan đến việc đảm bảo chỉ những cá nhân hoặc hệ thống được ủy quyền mới có quyền truy cập dữ liệu. Biện pháp bao gồm:

• Mã hóa dữ liệu khi lưu trữ và truyền tải.
• Xác thực đa yếu tố (MFA).
• Phân quyền truy cập chi tiết dựa trên vai trò (RBAC) hoặc thuộc tính (ABAC).

Integrity đảm bảo dữ liệu không bị thay đổi trái phép. Một cách kỹ thuật để kiểm chứng là sử dụng hàm băm mật mã: $h(m) \neq h(m')$ nếu dữ liệu $m$ đã bị thay đổi thành $m'$. Chuẩn SHA-256 hoặc SHA-3 thường được sử dụng cho mục đích này.

Availability đảm bảo dữ liệu luôn sẵn sàng khi cần thiết. Biện pháp bao gồm:

• Sao lưu dữ liệu định kỳ và lưu trữ ở nhiều vị trí.
• Hệ thống dự phòng (redundancy) và cân bằng tải (load balancing).
• Biện pháp phòng chống tấn công từ chối dịch vụ (DDoS).

Nguyên tắc	Mục tiêu	Ví dụ biện pháp
Confidentiality	Ngăn truy cập trái phép	Mã hóa AES, MFA, RBAC
Integrity	Bảo vệ khỏi thay đổi dữ liệu	SHA-256, chữ ký số
Availability	Dữ liệu khả dụng liên tục	Sao lưu, chống DDoS

Các mối đe dọa đối với bảo mật dữ liệu

Mối đe dọa có thể xuất phát từ nhiều nguồn, bao gồm tấn công có chủ đích từ bên ngoài, lỗi hệ thống, thiên tai hoặc hành vi sơ suất, cố ý từ bên trong tổ chức. Theo CISA, các mối đe dọa ngày càng tinh vi, sử dụng nhiều kỹ thuật kết hợp để gây ra thiệt hại lớn.

Các loại mối đe dọa phổ biến:

• Phần mềm độc hại (malware): virus, trojan, ransomware.
• Tấn công mạng (cyber attacks): DDoS, tấn công xen giữa (MITM), SQL injection.
• Lừa đảo (phishing): email hoặc trang web giả mạo nhằm đánh cắp thông tin.
• Rò rỉ dữ liệu (data leakage): do cấu hình sai hoặc bị khai thác.
• Mối đe dọa nội bộ (insider threats): nhân viên hoặc đối tác lợi dụng quyền truy cập.

Ví dụ về tác động:

Mối đe dọa	Ví dụ thực tế	Hậu quả
Ransomware	WannaCry (2017)	Mã hóa dữ liệu, yêu cầu tiền chuộc
Phishing	Email giả mạo ngân hàng	Đánh cắp thông tin đăng nhập
DDoS	Tấn công Dyn DNS (2016)	Ngừng hoạt động hàng loạt dịch vụ

Kỹ thuật mã hóa dữ liệu

Mã hóa là kỹ thuật biến đổi dữ liệu từ dạng dễ đọc sang dạng không thể hiểu được nếu không có khóa giải mã hợp lệ. Đây là lớp phòng thủ trọng yếu để bảo vệ dữ liệu khi lưu trữ và truyền tải. Có hai loại mã hóa chính:

• Đối xứng (Symmetric): Sử dụng cùng một khóa để mã hóa và giải mã. Ví dụ: AES-256.
• Bất đối xứng (Asymmetric): Sử dụng cặp khóa công khai và khóa bí mật. Ví dụ: RSA, ECC.

RSA dựa trên bài toán phân tích số nguyên lớn: $n = p \cdot q$ với $p, q$ là các số nguyên tố lớn. Tính bảo mật dựa vào độ khó của việc phân tích $n$ thành các thừa số nguyên tố.

So sánh một số thuật toán:

Thuật toán	Loại	Độ bảo mật	Tốc độ	Ứng dụng
AES-256	Đối xứng	Cao	Rất nhanh	Bảo vệ dữ liệu lưu trữ
RSA-2048	Bất đối xứng	Cao	Chậm hơn AES	Trao đổi khóa, chữ ký số
ECC	Bất đối xứng	Rất cao	Trung bình	Mã hóa cho thiết bị IoT

Kiểm soát truy cập dữ liệu

Kiểm soát truy cập dữ liệu (Data Access Control) là tập hợp các cơ chế nhằm quyết định ai hoặc hệ thống nào được phép truy cập vào dữ liệu cụ thể, ở mức độ nào và trong hoàn cảnh nào. Đây là một trong những thành phần trọng yếu giúp ngăn ngừa rủi ro từ cả nguồn bên ngoài lẫn nội bộ.

Có bốn mô hình kiểm soát truy cập phổ biến:

1. DAC (Discretionary Access Control): Chủ sở hữu dữ liệu toàn quyền cấp hoặc thu hồi quyền truy cập cho người khác. Ưu điểm là linh hoạt nhưng dễ dẫn đến mất kiểm soát quyền.
2. MAC (Mandatory Access Control): Quyền truy cập được quyết định bởi hệ thống dựa trên các nhãn bảo mật và cấp độ bảo mật. Thường áp dụng trong môi trường quân sự hoặc chính phủ.
3. RBAC (Role-Based Access Control): Quyền truy cập dựa trên vai trò của người dùng trong tổ chức. Mô hình này được NIST khuyến nghị sử dụng.
4. ABAC (Attribute-Based Access Control): Quyền truy cập được xác định dựa trên nhiều thuộc tính như vị trí, thời gian, loại thiết bị, và ngữ cảnh hoạt động.

Để quản lý truy cập hiệu quả, tổ chức nên áp dụng nguyên tắc least privilege — người dùng chỉ có quyền cần thiết tối thiểu để hoàn thành nhiệm vụ. Đồng thời, cần triển khai xác thực đa yếu tố (MFA) để giảm nguy cơ xâm nhập bất hợp pháp.

Mô hình	Đặc điểm	Ưu điểm	Hạn chế
DAC	Quyền do chủ sở hữu quyết định	Linh hoạt	Dễ mất kiểm soát
MAC	Hệ thống áp đặt quyền dựa trên cấp độ bảo mật	Rất an toàn	Ít linh hoạt
RBAC	Quyền dựa trên vai trò	Dễ quản lý	Khó tùy biến theo ngữ cảnh
ABAC	Quyền dựa trên thuộc tính và ngữ cảnh	Linh hoạt, chi tiết	Phức tạp trong triển khai

Giám sát và phát hiện xâm nhập

Giám sát và phát hiện xâm nhập (Intrusion Detection and Prevention) giúp tổ chức theo dõi hoạt động trên hệ thống, phát hiện dấu hiệu bất thường và ngăn chặn hành vi xâm nhập. Hệ thống này bao gồm:

• IDS (Intrusion Detection System): Giám sát và cảnh báo khi phát hiện hành vi bất thường.
• IPS (Intrusion Prevention System): Tự động chặn hoặc vô hiệu hóa hành vi xâm nhập ngay khi phát hiện.

Công cụ phổ biến:

• Snort — IDS mã nguồn mở, phân tích gói tin và phát hiện các mẫu tấn công đã biết.
• Suricata — Tích hợp khả năng phân tích sâu gói tin, hỗ trợ đa luồng, thích hợp cho hệ thống lớn.
• Zeek (Bro) — Tập trung vào phân tích hành vi mạng và ghi log chi tiết cho mục đích điều tra.

Ngoài IDS/IPS, việc giám sát cần tích hợp hệ thống SIEM (Security Information and Event Management) để thu thập, phân tích và tương quan dữ liệu từ nhiều nguồn, từ đó phát hiện mối đe dọa tiềm ẩn.

Sao lưu và khôi phục dữ liệu

Sao lưu và khôi phục dữ liệu (Backup and Disaster Recovery) là biện pháp duy trì tính sẵn sàng và khả năng phục hồi sau sự cố. Dữ liệu cần được sao lưu định kỳ và lưu trữ tại nhiều vị trí, bao gồm cả vị trí ngoại vi hoặc đám mây.

Các phương pháp sao lưu:

• Sao lưu toàn bộ (Full Backup): Lưu trữ toàn bộ dữ liệu. An toàn nhưng tốn dung lượng và thời gian.
• Sao lưu gia tăng (Incremental Backup): Chỉ lưu các thay đổi kể từ lần sao lưu gần nhất. Tiết kiệm tài nguyên nhưng cần chuỗi sao lưu để khôi phục.
• Sao lưu vi sai (Differential Backup): Lưu các thay đổi kể từ lần sao lưu toàn bộ gần nhất.

Kế hoạch khôi phục sau thảm họa (Disaster Recovery Plan - DRP) cần xác định:

• Điểm khôi phục mục tiêu (Recovery Point Objective - RPO).
• Thời gian khôi phục mục tiêu (Recovery Time Objective - RTO).
• Quy trình khôi phục hệ thống và dữ liệu.

Tuân thủ pháp luật và tiêu chuẩn

Tuân thủ các tiêu chuẩn và quy định pháp lý giúp tổ chức tránh rủi ro pháp lý, tăng cường uy tín và nâng cao hiệu quả bảo mật. Một số tiêu chuẩn nổi bật:

• ISO/IEC 27001 — Hệ thống quản lý an toàn thông tin.
• GDPR — Quy định bảo vệ dữ liệu chung của EU.
• NIST Cybersecurity Framework — Khung quản lý an ninh mạng.

Việc tuân thủ thường bao gồm:

• Chính sách và quy trình bảo mật rõ ràng.
• Đánh giá định kỳ mức độ tuân thủ.
• Đào tạo nhận thức bảo mật cho nhân viên.

Xu hướng bảo mật dữ liệu

Công nghệ mới đang thay đổi cách thức bảo vệ dữ liệu. Một số xu hướng quan trọng:

• Zero Trust Architecture: Không tin tưởng mặc định bất kỳ người dùng hoặc thiết bị nào, luôn xác thực và kiểm soát liên tục.
• Mật mã hậu lượng tử (Post-Quantum Cryptography): Nghiên cứu thuật toán mã hóa chống lại các tấn công từ máy tính lượng tử, như đề xuất của ETSI.
• AI trong bảo mật: Phân tích dữ liệu lớn và học máy để phát hiện bất thường theo thời gian thực.
• Bảo mật dữ liệu trong môi trường đa đám mây: Triển khai kiểm soát đồng nhất trên nhiều nền tảng đám mây khác nhau.

Tài liệu tham khảo

1. National Institute of Standards and Technology (NIST)
2. Cybersecurity and Infrastructure Security Agency (CISA)
3. ISO/IEC 27001 - Information Security Management
4. ETSI - Quantum-Safe Cryptography
5. NIST - Role-Based Access Control (RBAC)
6. General Data Protection Regulation (GDPR)
7. OWASP Foundation