Chương 1 "Tổng quan về an ninh thông tin" pdf

Tính bí mật CGiới hạn các đối tượng được phép truy xuất đến các tài nguyên hệ thống.. Cơ chế đảm bảo bí mật:  Quản lý truy xuất Access Control  Mật mã hóa Encrypion... Tính hòan thiệ

Tổng quan về bảo mật

thông tin

Nội dung

1. Mô hình bảo mật cổ điển

3. Chuẩn an ninh thông tin ISO 27001

4. Các nguy cơ bảo mật hệ thống hiện

nay

Bảo mật thông tin

Information

security

Computer security

Network security

Tính bí mật (C)

Giới hạn các đối tượng được phép truy xuất đến các tài nguyên hệ thống

 Bí mật về nội dung thông tin

 Bí mật về sự tồn tại thông tin.

Cơ chế đảm bảo bí mật:

 Quản lý truy xuất (Access Control)

 Mật mã hóa (Encrypion)

Tính sẵn sàng (A)

Thông tin sẵn sàng cho các truy xuất

hợp lệ Là đặc trưng cơ bản nhất của

Tính hòan thiện của CIA

Không đảm bảo “không từ chối hành vi” (non-repudiation)

Không thể hiện tính “sở hữu”

Không có sự tương quan với mô hình

hệ thống mở OSI

=> Cần xây dựng mô hình mới

Chiến lược AAA (RFC 3127)

Các cơ chế nhằm xây dựng hệ thống bảo mật theo mô hình CIA

 Access Control

 Authentication

 Auditing

 Phân biệt với thuật ngữ AAA của Cisco

(Authentication, Authorization, Accounting)

Access Control

 MAC (Mandatory Access Control)

 Quản lý truy xuất bắt buộc, dùng chung cho toàn bộ hệ thống

 DAC (Discretionary Access Control)

 Quyền truy xuất được gán tùy theo sở hữu của tài nguyên

 RBAC (Role-based Access Control)

 Quyền truy xuất gán theo vai trò trong hệ thống

User / password

 Cleartext, Challenge/response, Kerberos, …

Biometric

 Vân tay, võng mạc, …

Certificates

 Smart card

Triển khai giải pháp bảo mật

Điều kiện để tấn công xảy ra:

 Threats + Vulnerability

Cơ sở triển khai giải pháp:

 Chính sách an ninh thông tin

 Hiệu quả kinh tế của hệ thống thông tin

 R  Q: Hệ thống tuyệt đối an tòan

 Nếu tồn tại trạng thái r  R sao cho rQ: hệ

thống không an tòan

Security mechanism

 Tập các biện pháp kỹ thuật hoặc thủ

tục được triển khai để đảm bảo thực thi chính sách Ví dụ:

 Dùng cơ chế cấp quyền trên partition

Xây dựng hệ thống bảo mật

Định nghĩa chính sách

Triển khai

cơ chế

Mô hình bảo mật X.800

(ITU_T)

Xem xét vấn đề bảo mật trong tương quan với mô hình hệ thống mở OSI theo 3 phương diện:

Security attack

Passive attacks:

 Tiết lộ thông tin

 Phân tích lưu lượng

Active attacks:

 Thay đổi thông tin

 Từ chối dịch vụ

ISO 27001

Dựa trên khái niệm hệ thống quản lý

an ninh thông tin ISMS

Quy trình PDCA

ISO 27001 requirements

 Đánh giá các rủi ro về an ninh thông tin

 Chính sách an ninh thông tin

 Tổ chức của hệ thống an ninh thông tin

 Tổ chức quản lý tài sản trong đơn vị

 Đảm bảo an ninh nguồn nhân lực

 An ninh môi trường và thiết bị làm việc

 Quản lý truyền thông (trong đó có an ninh hệ thống mạng)

 Quản lý truy xuất tài nguyên thông tin

 Quản lý các sự cố của hệ thống thông tin.

Các nguy cơ bảo mật hệ thống trong thực tế

Tấn công hệ thống thông tin

Dựa vào sơ hở của hệ thống

Dựa vào lỗ hổng của giao thức

Tấn công vào cơ chế bảo mật

Tấn công từ chối dịch vụ (DoS/DDoS)