Tweet
- Giới thiệu:
Khi mạng lưới ngày càng được kết nối chặt chẽ hơn, cùng với nhu cầu ngày càng tăng về làm việc lai, "mang theo thiết bị cá nhân" (BYOD) và Vạn vật kết nối (IoT), thì tầm quan trọng của việc cung cấp các dịch vụ bảo mật trên mạng và các thiết bị đầu cuối (endpoint) cũng tăng lên. Bảo mật thông tin là một phần thiết yếu của an ninh mạng và được định nghĩa là việc bảo vệ thông tin (dữ liệu) và hệ thống thông tin khỏi truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hủy trái phép nhằm đảm bảo tính bảo mật, tính toàn vẹn và tính khả dụng. Là một kỹ sư bảo mật mạng, bạn phải quen thuộc với các nguyên tắc và thuật ngữ bảo mật thông tin.
Bảo mật thông tin không chỉ đơn thuần là một công nghệ bảo mật cụ thể, mà là một chiến lược bao gồm con người, quy trình, chính sách và công cụ cần thiết để phát hiện, ngăn chặn, ghi lại và giảm thiểu các mối đe dọa. Con người, quy trình, chính sách và công cụ đều là những mảnh ghép quan trọng, có vai trò ngang nhau trong việc thiết lập hệ thống bảo mật thông tin hiệu quả.
Sau khi hoàn thành khóa học này, bạn sẽ học được:
- Các khái niệm về bảo mật thông tin: Hiểu rõ các nguyên tắc cơ bản bảo vệ thông tin khỏi truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hủy trái phép.
- Cách xác định tài sản, lỗ hổng và biện pháp đối phó: Nhận dạng các tài sản cần bảo vệ, các lỗ hổng tiềm ẩn và các biện pháp để đảm bảo tính bảo mật, tính toàn vẹn và tính khả dụng của hệ thống thông tin và dữ liệu.
- Cách quản lý rủi ro mất an toàn bảo mật: Hiểu và áp dụng các phương pháp quản lý rủi ro mất tính bảo mật, tính toàn vẹn hoặc tính khả dụng của hệ thống thông tin và dữ liệu.
- Khái niệm đánh giá lỗ hổng (vulnerability assessment): Biết cách kiểm tra và đánh giá mức độ an toàn của hệ thống thông tin, từ đó xác định các lỗ hổng bảo mật.
- Cách sử dụng Hệ thống chấm điểm lỗ hổng thông dụng (CVSS): Dùng CVSS để hiểu rõ mức độ nguy hiểm của từng lỗ hổng, từ đó đưa ra các biện pháp xử lý phù hợp.
Cùng với sự gia tăng kết nối giữa các mạng, tầm quan trọng của việc cung cấp các dịch vụ bảo mật mạng cũng tăng lên. Trong môi trường thương mại, khả năng kết nối không còn là lựa chọn, và những rủi ro tiềm ẩn của việc kết nối không vượt quá lợi ích. Do đó, các dịch vụ bảo mật phải cung cấp khả năng bảo vệ đầy đủ cho các công ty hoạt động trong một môi trường tương đối mở.
Có thể đưa ra một số giả định về các mạng máy tính ngày nay:
- Mạng lưới hiện đại rất lớn và được kết nối chặt chẽ. Điều này khiến chúng dễ bị truy cập hơn, kẻ tấn công có thể dễ dàng kết nối hoặc truy cập từ xa vào các mạng này.
- Việc sử dụng rộng rãi TCP/IP để kết nối mạng làm tăng khả năng xảy ra các cuộc tấn công trên các mạng lớn, được kết nối mạnh mẽ như internet, sử dụng một tập hợp chung các giao thức công khai và được biết đến rộng rãi.
- Các hệ thống máy tính và ứng dụng được kết nối với các mạng này ngày càng phức tạp. Do đó, việc phân tích, bảo mật và kiểm tra an ninh của hệ thống máy tính, hệ điều hành chạy chúng và các ứng dụng của chúng trở nên khó khăn hơn. Khi các hệ thống và ứng dụng này được kết nối với các mạng lớn, rủi ro đối với chúng sẽ tăng lên đáng kể.
- Tính bảo mật (Confidentiality): Đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể xem thông tin nhạy cảm.
- Tính toàn vẹn (Integrity): Đảm bảo rằng chỉ những đối tượng được ủy quyền mới có thể thay đổi thông tin nhạy cảm. Tính toàn vẹn cũng có thể đảm bảo tính xác thực của dữ liệu.
- Tính sẵn sàng (Availability): Đảm bảo người dùng được ủy quyền có thể truy cập liên tục vào các tài nguyên và dữ liệu máy tính quan trọng.
Tam giác CIA: Ba trụ cột của bảo mật thông tin
Ba trụ cột bảo mật thông tin (CIA triad): tính bảo mật (Confidentiality), tính toàn vẹn (Integrity), và tính sẵn sàng (Availability) là những khái niệm cơ bản trong an ninh thông tin. Đây là ba yếu tố quan trọng mà mỗi tổ chức cần bảo vệ cho hệ thống thông tin của mình.
1. Tính bảo mật (Confidentiality): Ngăn chặn việc tiết lộ thông tin nhạy cảm cho những người không được ủy quyền. Ví dụ: Mã hóa dữ liệu khi truyền trên mạng để đảm bảo tính bảo mật.
2. Tính toàn vẹn (Integrity): Ngăn chặn việc sửa đổi trái phép thông tin, đảm bảo tính chính xác của dữ liệu. Ví dụ: Sử dụng hàm băm mật mã như Secure Hash Algorithm 1 (SHA-1) hoặc Secure Hash Algorithm 2 (SHA-2) để đảm bảo tính toàn vẹn dữ liệu.
3. Tính sẵn sàng (Availability): Ngăn chặn việc mất quyền truy cập vào tài nguyên và thông tin, đảm bảo thông tin luôn sẵn sàng sử dụng khi cần. Ví dụ: Tấn công DoS (Denial of Service) là một trong các loại tấn công bảo mật nhằm ngăn chặn quyền truy cập vào tài nguyên hệ thống thông tin. Các phương pháp bảo vệ chống lại việc mất tính sẵn sàng bao gồm triển khai hệ thống chịu lỗi, dự phòng và sao lưu dữ liệu.
Câu hỏi:
Which security property guarantees that sensitive information is changed only by an authorized party?
• accountability
• availability
• confidentiality
• integrity
• visibility
What are the three basic security requirements of network security? (Choose three.)
• accountability
• availability
• confidentiality
• cryptography
• integrity
• visibility
• hashing
- Tài sản, lỗ hổng và biện pháp đối phó
Trong môi trường an ninh hiện tại, các mục tiêu kinh doanh và quản lý rủi ro ảnh hưởng đến nhu cầu bảo mật mạng. Nói cách khác, rủi ro đo lường tác động của các mối đe dọa có thể khai thác các lỗ hổng của tài sản mà bạn đang cố gắng bảo vệ.
Tài sản (Asset): Bất cứ thứ gì có giá trị đối với một tổ chức. Ví dụ, thông tin hoặc hệ thống máy tính có thể được coi là tài sản. Biết được tài sản bạn đang cố gắng bảo vệ, bao gồm giá trị, vị trí và mức độ phơi bày, sẽ giúp bạn xác định hiệu quả hơn thời gian, công sức và tiền bạc cần thiết để bảo vệ chúng.
Lỗ hổng (Vulnerability): Điểm yếu trong hệ thống hoặc thiết kế của nó có thể bị mối đe dọa lợi dụng. Lỗ hổng đôi khi được tìm thấy trong chính các giao thức, như trong trường hợp một số lỗ hổng bảo mật trong TCP/IP. Thông thường, lỗ hổng nằm trong hệ điều hành và ứng dụng.
Mối đe dọa (Threat): Bất kỳ nguy hiểm tiềm ẩn nào đối với tài sản. Mối đe dọa trở thành hiện thực khi ai đó hoặc thứ gì đó xác định được một lỗ hổng cụ thể và khai thác nó, tạo ra sự phơi bày. Nếu lỗ hổng tồn tại về mặt lý thuyết nhưng chưa bị khai thác, thì mối đe dọa vẫn đang tiềm ẩn và chưa trở thành hiện thực. Thực thể lợi dụng lỗ hổng được gọi là tác nhân đe dọa (threat agent) hoặc vector đe dọa (threat vector).
Biện pháp đối phó (Countermeasure): Biện pháp phòng ngừa nhằm giảm thiểu rủi ro tiềm ẩn. Biện pháp đối phó giảm thiểu rủi ro bằng cách loại bỏ hoặc giảm thiểu lỗ hổng, hoặc bằng cách giảm khả năng kẻ tấn công có thể khai thác rủi ro thành công.
Phân loại Tài sản
Trong quá trình thiết kế mạng an toàn, bạn cần cân nhắc các yếu tố quan trọng sau:
- Nhu cầu kinh doanh: Tổ chức của bạn muốn sử dụng mạng để làm gì?
- Phân tích rủi ro: Cân bằng giữa rủi ro và chi phí như thế nào?
- Chính sách bảo mật: Bạn cần có những chính sách, tiêu chuẩn và hướng dẫn nào để đáp ứng các nhu cầu kinh doanh và rủi ro?
- Thực tiễn bảo mật tốt nhất: Thực tiễn bảo mật tốt nhất đáng tin cậy, dễ hiểu và được khuyến khích là gì?
- Vận hành bảo mật: Các hoạt động này bao gồm phản hồi sự cố, giám sát, bảo trì và kiểm tra hệ thống để tuân thủ.
Phân loại thông tin đôi khi là yêu cầu theo quy định và có thể có các vấn đề trách nhiệm liên quan đến việc chăm sóc dữ liệu đúng cách. Bằng cách phân loại dữ liệu chính xác, người giám hộ dữ liệu có thể áp dụng các kiểm soát bảo mật, toàn vẹn và khả dụng phù hợp để bảo mật dữ liệu một cách đầy đủ, dựa trên các yêu cầu về quy định, trách nhiệm và đạo đức. Khi một công ty nghiêm túc đánh giá việc phân loại, điều đó cho thấy với mọi người rằng công ty coi trọng bảo mật thông tin.
Các phương thức và nhãn được áp dụng cho dữ liệu khác nhau trên toàn thế giới, nhưng một số mẫu chung nổi lên. Sau đây là cách phân loại dữ liệu phổ biến mà nhiều tổ chức chính phủ sử dụng, bao gồm các tổ chức quân sự:
- Không mật: Đây là dữ liệu có ít hoặc không có yêu cầu về bảo mật, toàn vẹn hoặc khả dụng, do đó, nỗ lực bảo mật cho dữ liệu này là không đáng kể.
- Mẫn cảm nhưng không mật (SBU): Đây là dữ liệu có thể gây xấu hổ nếu bị tiết lộ, nhưng trong trường hợp đó, sẽ không xảy ra vi phạm bảo mật nghiêm trọng.
- Mật: Đây là dữ liệu phải tuân thủ các yêu cầu bảo mật. Đây là mức phân loại dữ liệu thấp nhất trong sơ đồ này.
- Bí mật: Đây là dữ liệu mà bạn nỗ lực đáng kể để giữ an toàn. Số lượng cá nhân có quyền truy cập vào dữ liệu này thường ít hơn đáng kể so với số người được phép truy cập vào dữ liệu mật.
- Tuyệt mật: Đây là dữ liệu mà bạn nỗ lực rất lớn và đôi khi phải chịu chi phí đáng kể để đảm bảo tính bí mật của nó. Thông thường, chỉ có một số ít cá nhân được truy cập vào dữ liệu tuyệt mật, dựa solely on the condition that they have a need to know (nhu cầu biết) về dữ liệu này.
Công khai: Đây là dữ liệu được hiển thị trong tài liệu tiếp thị hoặc trên các trang web công khai.
Mẫn cảm: Dữ liệu trong phân loại này tương tự như phân loại SBU trong mô hình của chính phủ. Một số sự xấu hổ có thể xảy ra nếu dữ liệu này bị tiết lộ, nhưng sẽ không xảy ra vi phạm bảo mật nghiêm trọng.
Riêng tư: Đây là dữ liệu quan trọng đối với một tổ chức, do đó, cần nỗ lực để duy trì tính bí mật và chính xác của dữ liệu này.
Mật: Đây là dữ liệu mà các công ty nỗ lực cao nhất để giữ an toàn. Bí mật thương mại và hồ sơ nhân sự của nhân viên là những ví dụ về dữ liệu mà các công ty thường phân loại là mật.
Nhiều yếu tố liên quan đến quyết định phân loại loại dữ liệu cụ thể. Các yếu tố này bao gồm, nhưng không giới hạn ở:
- Giá trị: Giá trị là tiêu chí quan trọng nhất. Không phải tất cả dữ liệu đều có giá trị như nhau. Giá trị của dữ liệu có thể dựa trên chi phí để mua hoặc phát triển tài sản, chi phí thay thế, giá trị của nó như sở hữu trí tuệ hoặc giá mà người khác sẵn sàng trả (ví dụ như giá trị của nó đối với kẻ thù hoặc đối thủ cạnh tranh).
- Tuổi thọ: Đối với nhiều loại dữ liệu, tầm quan trọng của nó thay đổi theo thời gian. Ví dụ, một vị tướng sẽ thực hiện các biện pháp nghiêm ngặt để hạn chế quyền truy cập vào các bí mật quân sự trong thời chiến, nhưng sau khi chiến tranh kết thúc, thông tin dần dần trở nên ít hữu ích hơn và cuối cùng được gỡ mật.
- Thời gian hữu ích: Thông thường, dữ liệu chỉ có giá trị trong một khoảng thời gian nhất định và sau khi khoảng thời gian đó kết thúc, không cần phải giữ bí mật dữ liệu nữa. Một ví dụ về loại dữ liệu này là thông tin mật về sản phẩm của một công ty. Thời gian hữu ích của bí mật thương mại của sản phẩm thường hết hạn khi công ty ngừng bán sản phẩm đó.
- Tính liên quan cá nhân: Dữ liệu thuộc loại này thường liên quan đến yếu tố cá nhân. Hầu hết dữ liệu của chính phủ về nhân viên bao gồm thông tin cá nhân về những người đó. Các biện pháp được thực hiện để bảo vệ dữ liệu này, thường cho đến khi người đó qua đời.
Để một hệ thống phân loại hoạt động hiệu quả, các vai trò khác nhau phải được thực hiện. Các vai trò phổ biến nhất trong hệ thống này như sau:
- Chủ sở hữu (Owner): Chủ sở hữu là người chịu trách nhiệm cuối cùng về thông tin, thường là thành viên của ban lãnh đạo cấp cao, người phụ trách một đơn vị kinh doanh. Chủ sở hữu phân loại dữ liệu và thường chọn người giám hộ dữ liệu, đồng thời hướng dẫn các hoạt động của người giám hộ. Điều quan trọng là chủ sở hữu phải định kỳ xem xét lại dữ liệu được phân loại vì chủ sở hữu cuối cùng chịu trách nhiệm về dữ liệu.
- Người giám hộ (Custodian): Người giám hộ thường là thành viên của đội ngũ CNTT, chịu trách nhiệm hàng ngày về việc bảo trì dữ liệu. Do chủ sở hữu dữ liệu không nhất thiết phải có kiến thức kỹ thuật, nên chủ sở hữu xác định các biện pháp kiểm soát bảo mật, nhưng người giám hộ sẽ đánh dấu, sao lưu và bảo mật dữ liệu để thực thi các biện pháp kiểm soát bảo mật này.
- Người dùng (User): Người dùng không chịu trách nhiệm về việc phân loại dữ liệu hoặc thậm chí bảo trì dữ liệu được phân loại. Tuy nhiên, người dùng có trách nhiệm sử dụng dữ liệu theo đúng quy trình vận hành được thiết lập, sao cho họ duy trì tính bảo mật của dữ liệu trong thời gian nắm giữ.
Cũng rất quan trọng để hiểu những điểm yếu trong các biện pháp đối phó bảo mật và quy trình vận hành. Hiểu được những điểm yếu này sẽ dẫn đến kiến trúc bảo mật hiệu quả hơn. Khi phân tích lỗ hổng hệ thống, việc phân loại chúng thành các nhóm sẽ giúp hiểu rõ hơn lý do phát sinh của chúng.
Bạn có thể phân loại các lỗ hổng chính của hệ thống và tài sản theo các nhóm rộng:
- Lỗi chính sách (Policy flaws): Lỗ hổng do chính sách bảo mật không phù hợp hoặc thiếu sót.
- Lỗi thiết kế (Design errors): Lỗ hổng do thiết kế hệ thống bảo mật không an toàn.
- Điểm yếu của giao thức (Protocol weaknesses): Lỗ hổng tồn tại trong các giao thức truyền thông mạng.
- Lỗ hổng phần mềm (Software vulnerabilities): Lỗi lập trình hoặc lỗ hổng bảo mật trong phần mềm.
- Cấu hình sai (Misconfiguration): Lỗ hổng do hệ thống được cấu hình không đúng cách.
- Mã độc hại (Hostile code): Lỗ hổng do nhiễm mã độc hại vào hệ thống.
- Yếu tố con người (Human factor): Lỗ hổng do sai sót của con người trong quá trình vận hành hệ thống.
Mỗi thiết bị đầu cuối (endpoint) đều có thể bị lỗ hổng (do lỗ hổng phần mềm hoặc hệ điều hành). Các bản vá cho phần mềm và hệ điều hành sẽ khắc phục những lỗ hổng bảo mật này. Việc cập nhật các bản vá mới nhất cho các thiết bị đầu cuối là điều cần thiết để đảm bảo an toàn cho mạng của bạn. Thực hành này đóng vai trò là tuyến phòng thủ đầu tiên và cuối cùng chống lại các lỗ hổng bảo mật, dù là lỗ hổng hiện có hay mới xuất hiện.
Có một số nỗ lực từ ngành công nghiệp nhằm mục đích phân loại các mối đe dọa cho công chúng. Dưới đây là một số danh mục công khai, được biết đến rộng rãi có thể được sử dụng làm mẫu cho việc phân tích lỗ hổng:
- Common Vulnerabilities and Exposures (CVE): Là một từ điển thông tin công khai về lỗ hổng và phơi bày bảo mật. Bạn có thể tìm thấy nó tại http://cve.mitre.org/. Cơ sở dữ liệu này cung cấp các định danh chung cho phép trao đổi dữ liệu giữa các sản phẩm bảo mật, cung cấp điểm tham chiếu cơ sở để đánh giá phạm vi bao phủ của các công cụ và dịch vụ.
- National Vulnerability Database (NVD): Là kho lưu trữ dữ liệu quản lý lỗ hổng theo tiêu chuẩn của chính phủ Hoa Kỳ. Dữ liệu này cho phép tự động hóa việc quản lý lỗ hổng, đo lường bảo mật và tuân thủ. NVD bao gồm các cơ sở dữ liệu về danh sách kiểm tra bảo mật, lỗ hổng phần mềm liên quan đến bảo mật, cấu hình sai, tên sản phẩm và số liệu tác động. Bạn có thể tìm thấy cơ sở dữ liệu này tại http://nvd.nist.gov.
Sau khi bạn đã phân loại và tính toán tài sản và lỗ hổng, mối đe dọa là thành phần quan trọng nhất cần hiểu. Khi các vector đe dọa được xem xét, các tổ chức dựa vào các biện pháp kiểm soát khác nhau để thực hiện phòng thủ nhiều lớp, như một phần trong kiến trúc bảo mật của họ. Có một số cách để phân loại các biện pháp kiểm soát bảo mật này.
Một trong những cách này dựa trên bản chất của chính biện pháp kiểm soát:
- Kiểm soát hành chính (Administrative): Những biện pháp kiểm soát này chủ yếu bao gồm các chính sách và quy trình. Ví dụ, đào tạo nhận thức bảo mật, chính sách và tiêu chuẩn bảo mật, kiểm soát thay đổi và cấu hình, kiểm tra và đánh giá bảo mật, kiểm tra lý lịch của nhà thầu và nhân viên, v.v.
- Kiểm soát kỹ thuật (Technical): Đây là những biện pháp kiểm soát liên quan đến thiết bị điện tử, phần cứng, phần mềm, v.v. Có nhiều ví dụ: tường lửa, cảm biến hệ thống ngăn chặn xâm nhập (IPS), Mạng riêng ảo (VPN), sinh trắc học, v.v.
- Kiểm soát vật lý (Physical): Đây là các biện pháp kiểm soát chủ yếu là cơ học hoặc bảo vệ cơ sở hạ tầng vật lý. Ví dụ như bộ nguồn không bị gián đoạn (UPS), hệ thống chữa cháy, hệ thống luân chuyển khí tích cực, khóa cửa và nhân viên bảo vệ.
- Ngăn ngừa (Preventive): Những biện pháp kiểm soát này nhằm ngăn chặn mối đe dọa tiếp xúc với lỗ hổng. Ví dụ như tường lửa, khóa vật lý và chính sách bảo mật.
- Phát hiện (Detective): Những biện pháp kiểm soát này xác định rằng mối đe dọa đã xâm nhập vào mạng hoặc hệ thống. Ví dụ như giám sát và tương quan nhật ký, IPS và camera giám sát. Lưu ý rằng bằng cách phát hiện mối đe dọa bằng IPS, nó cũng đóng vai trò phát hiện.
- Sửa chữa (Corrective): Những biện pháp kiểm soát này nhằm giảm thiểu hoặc giảm nhẹ tác động của mối đe dọa đang biểu hiện. Ví dụ như quy trình dọn virus hoặc cập nhật chữ ký IPS sau khi bùng phát sâu.
- Phục hồi (Recovery): Các biện pháp kiểm soát này nhằm đưa hệ thống trở lại hoạt động sau sự cố. Hầu hết các hoạt động khôi phục thảm họa nằm trong loại này, mặc dù nó thường được coi là một tập hợp con của các biện pháp kiểm soát khắc phục.
- Răn de (Deterrent): Các biện pháp kiểm soát này nhằm ngăn chặn các vi phạm bảo mật. Các biện pháp kiểm soát này có thể được coi là một tập hợp con của các biện pháp kiểm soát phòng ngừa. Ví dụ như biển báo ("Cấm vào") hoặc chỉ cần sự hiện diện của các biện pháp kiểm soát như camera giám sát.
- Tránh rủi ro (Risk avoidance): Tránh rủi ro có nghĩa là không thực hiện một hoạt động có thể mang lại rủi ro. Ví dụ như không tải xuống tệp đính kèm email để tránh nhiễm phần mềm độc hại. Điều này có vẻ là câu trả lời phù hợp cho tất cả các rủi ro, nhưng tránh rủi ro cũng đồng nghĩa với việc bỏ lỡ lợi ích tiềm năng mà việc chấp nhận (giữ) rủi ro có thể cho phép. Ví dụ, không khởi nghiệp để tránh rủi ro thua lỗ đồng nghĩa với việc bạn cũng bỏ lỡ khả năng kiếm lợi nhuận.
- Giảm thiểu rủi ro (Risk reduction): Còn được gọi là "tối ưu hóa", giảm thiểu liên quan đến việc giảm mức độ nghiêm trọng của mất mát hoặc khả năng xảy ra mất mát. Rủi ro được giảm thiểu ở các cấp độ khác nhau dựa trên hiệu quả của kiểm soát. Hầu hết các biện pháp kiểm soát kỹ thuật an toàn thông tin đều thuộc loại này.
- Chia sẻ hoặc chuyển giao rủi ro (Risk sharing or transfer): Chia sẻ hoặc chuyển giao liên quan đến việc chia sẻ gánh nặng thua lỗ hoặc lợi ích thu được với một bên khác. Thuật ngữ "chuyển giao rủi ro" thường được sử dụng thay thế cho chia sẻ rủi ro, mặc dù trong thực tế, việc chuyển giao rủi ro cho công ty bảo hiểm hoặc gia công có thể dẫn đến thua lỗ nếu công ty đó ngừng hoạt động. Trong hầu hết các trường hợp, người mua bảo hiểm thường chịu trách nhiệm pháp lý về các tổn thất được chuyển giao.
- Giữ lại hoặc chấp nhận rủi ro (Risk retention or acceptance): Giữ lại liên quan đến việc chấp nhận tổn thất hoặc lợi ích thu được từ rủi ro khi nó xảy ra. Giữ lại thường có nghĩa là bạn đã lập ngân sách cho tổn thất hoặc lợi ích từ rủi ro. Loại kiểm soát bảo mật này là một chiến lược khả thi đối với những rủi ro nhỏ, trong trường hợp chi phí bảo hiểm rủi ro theo thời gian sẽ lớn hơn tổng số tổn thất gánh chịu. Giữ lại cũng quản lý giá trị của tài sản bạn đang cố gắng bảo vệ và các quy tắc cơ bản của quản lý rủi ro. Chi phí bảo vệ tài sản thường không được vượt quá giá trị của tài sản.