Đà Nẵng, tháng 9 năm 2016 SỞ THÔNG TIN VÀ TRUYỀN THÔNG THÀNH PHỐ ĐÀ NẴNG TRUNG TÂM CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TÀI LIỆU ĐÀO TẠO VÀ NÂNG CAO NHẬN THỨC VỀ AN TOÀN AN NINH THÔNG TIN Dành cho đối[.]
Trang 1TÀI LIỆU ĐÀO TẠO VÀ NÂNG CAO NHẬN THỨC VỀ
AN TOÀN AN NINH THÔNG TIN
Dành cho đối tượng là cán bộ, công chức, viên chức và người lao động tại các tổ chức, cơ quan nhà nước trên địa
bàn thành phố Đà Nẵng
Trang 2BAN BIÊN SOẠN CHỦ BIÊN
THÀNH VIÊN BAN BIÊN SOẠN Thạc sĩ Lê Minh Chí
Trang 3MỤC LỤC
PHẦN I: GIỚI THIỆU VỀ TÌNH HÌNH ANTT TRÊN THẾ GIỚI VÀ TRONG
NƯỚC 1
1 Tổng quan về tình hình ATANTT thế giới 1
2 Tình hình ANTT trong nước 5
PHẦN II: CÁCH THỨC BẢO VỆ MÁY TÍNH CÁ NHÂN VÀ PHẦN MỀM 7
1 Những kiến thức cơ bản về an toàn thông tin 7
1.1 Khái niệm an toàn thông tin 7
1.2 Các nguyên tắc về ATTT 7
1.3 Lỗ hổng ATTT 10
1.4 Các tiêu chuẩn đảm bảo ATTT 12
2 An toàn cho máy tính cá nhân 14
2.1 An toàn thông tin trên thiết bị đầu cuối 14
2.1.1 Giới thiệu 14
2.1.2 Thách thức 14
2.1.3 Nguy cơ 14
2.1.4 An toàn thiết bị đầu cuối 15
2.2 An toàn truy cập Web 17
2.2.1 Khái niệm 17
2.2.2 Hoạt động của ứng dụng web 18
2.2.3 Những yếu tố cần bảo vệ khi duyệt web 18
2.2.4 Những mối nguy hiểm khi duyệt web 19
2.2.5 Kỹ thuật duyệt web an toàn 19
3 An toàn mật khẩu 21
4 An toàn khi sử dụng hệ thống email thành phố 24
4.1 Nguyên tắc sử dụng thư điện tử (email) an toàn 24
4.1.1 Khái niệm 24
4.1.2 Cách thức hoạt động 24
4.1.3 Một số lỗ hổng bảo mật với thư điện tử 24
Trang 44.1.4 Biện pháp phòng chống 25
4.2 Hướng dẫn sử dụng Outlook và Thunderbird 25
4.3 Lưu ý khi sử dụng email thành phố 25
5 Hướng dẫn cách xử lý một số trường hợp gây mất ATANTT 26
5.1 Sao lưu dữ liệu 26
5.2 Xử lý sự cố ANTT 27
5.2.1 Sự cố đối với các hệ thống CNTT tại đơn vị 27
5.2.1 Sự cố virus, mã độc thông thường 28
5.2.2 Sự cố mã độc Ransomware 28
PHẦN III: VIRUS VÀ MÃ ĐỘC 30
1 Giới thiệu về virus máy tính và mã độc 30
1.1 Virus máy tính 30
1.1.1 Giới thiệu Virus máy tính 30
1.1.2 Một số loại Virus máy tính 32
1.2 Các phần mềm mã độc 35
1.3 Trojan 37
1.3.1 Giới thiệu về Trojan: 37
1.3.2 Các dạng và cách hoạt động của Trojan 38
1.3.3 Những con đường lây nhiễm Trojan 39
1.3.4 Những cách nhận biết một máy bị nhiễm Trojans 39
1.3.5 Tìm hiểu một số loại Trojan 41
1.3.6 Cách phát hiện và phòng chống Trojan 43
1.3.7 Phát hiện Port sử dụng bởi Trojans 43
1.3.8 Cách phát hiện các chương trình đang chạy 44
1.3.9 Tìm một chương trình chạy lúc khởi động 45
1.4 Cách phòng chống Trojans 46
2 Các giải pháp phòng chống virus 46
2.1 Các con đường lây nhiễm Virus và việc phòng chống 46
2.2 Phòng chống virus cho đường kết nối ra internet 47
Trang 52.3 Phòng chống virus cho các máy chủ và máy trạm 48
3 Kỹ năng phòng chống mã độc 49
3.1 Kỹ năng phòng chống chương trình độc hại 49
3.2 Bảo vệ thông tin cá nhân 53
PHẦN IV: AN TOÀN KHI DUYỆT WEB VÀ THỰC HIỆN CÁC GIAO DỊCH TRỰC TUYẾN 55
1 An toàn khi sử dụng mạng không dây 55
1.1 Không sử dụng chuẩn bảo mật WEP 55
1.2 Không sử dụng chuẩn mã hóa WPA/WPA2-PSK trong môi trường doanh nghiệp 56
1.3 Triển khai chuẩn 802.11i 56
1.4 Triển khai NAP hoặc NAC 58
1.5 Không nên tin tưởng vào các SSID ẩn 58
1.6 Không nên tin tưởng chức năng lọc địa chỉ MAC 59
1.7 Triển khai các thành phần bảo mật mạng vật lý 60
1.8 Lưu ý khi sử dụng mạng không dây công cộng 60
1.8.1 Tắt chức năng chia sẻ file và đặt chế độ mạng công cộng 60
1.8.2 Sử dụng mạng riêng ảo 61
1.8.3 Sử dụng HTTPS 63
1.8.4 Kiểm tra, cập nhật ứng dụng 63
1.8.5 Kích hoạt tính năng xác thực kép 63
2 Phòng chống thư rác 64
2.1 Giới thiệu 64
2.2 Giải pháp phòng chống thư rác 64
3 Hướng dẫn sử dụng mạng xã hội an toàn 66
3.1 Giới thiệu 66
3.2 Các mối đe dọa trên mạng xã hội 67
3.3 Quản lý thông tin cá nhân 67
3.4 Sử dụng mạng xã hội an toàn 68
Trang 64 Tổ chức thi trực tuyến trên Cổng đào tạo trực tuyến công ích thành phố tại địa chỉ daotao.danang.gov.vn 68
Trang 7PHẦN I: GIỚI THIỆU VỀ TÌNH HÌNH ANTT TRÊN THẾ GIỚI VÀ
TRONG NƯỚC
1 Tổng quan về tình hình ATANTT thế giới
Phần này trình bày một số số liệu thống kê hiện nay về tình hình an toàn, an ninh thông tin để có cái nhìn rõ ràng về các nguy cơ hiện nay liên quan đến an ninh thông tin
- Theo thống kê của Mandiant, công ty chuyên nghiên cứu về bảo mật và các thể loại tấn công mạng cao cấp của Mỹ, trung bình mỗi ngày trên môi trường Internet phát sinh một số lượng lớn các mã độc và websites độc hại, bao gồm:
- Khoảng 315000 tập tin độc hại được phát tán ra môi trường Internet
- Có hơn 9500 websites độc hại xuất hiện trên Internet
- Riêng đối với lĩnh vực năng lực và các chương trình hạt nhân của chính phủ
Mỹ, mỗi ngày có hơn 50.000 nỗ lực tấn công vào từ các hacker trên khắc thế giới
- Khoảng 82000 – 200000 mã độc mới xuất hiện trên Internet
(Ghi chú: Mandiant là công ty chuyên nghiên cứu về lĩnh vực ANTT của hãng bảo mật FireEye – Mỹ, đặc biệt trong các loại hình tấn công mạng công nghệ cao FireEye cũng đã chỉ ra mục tiêu và thủ phạm của nhiều cuộc tấn công âm thầm trên thế giới và sự tồn tại của các nhóm hacker bí mật, ví dụ nhóm APT30 của chính phủ Trung Quốc, được phát hiện sau hơn 10 năm tồn tại và xâm nhập vào nhiều hệ thống của nhiều chính phủ trên thế giới)
Trang 8Hình 1:Một số số liệu thống kê của Mandiant đến 12/2014
Về các loại phương thức tấn công ANTT trên Internet, năm 2015 vừa qua chủ yếu vẫn tập trung vào 2 loại chính đó là tấn công từ chối dịch vụ DDoS và tấn công truy vấn cơ sở dữ liệu SQL Injection Một số thể loại tấn công thông dụng khác như thay đổi giao diện trang web (tấn công defacement), tấn công vào tài khoản người dùng (account hijacking) nằm trong danh sách các thể loại tấn công khá phổ biến
Trang 9Hình 2: Các phương thức tấn công ANTT năm 2015
Qua khảo sát của Mandiant, về động cơ của tấn công mạng trong năm 2015 được chia làm 4 nhóm chính sau đây:
Hình 3: Thống kê các mục đích tấn công ANTT
Về các lĩnh vực là mục tiêu ưu thích của hacker, chủ yếu vẫn nằm trong khối các công ty công nghiệp và khối chính phủ
Trang 10Hình 4: Thống kê các mục tiêu bị tấn công trong năm 2015
Trong những năm qua, trên thế giới đã xảy ra một số sự kiện ANTT quan trọng, được mô tả ở hình ảnh bên dưới, từ sự phát hiện quân đoàn 61398 được xác định là của chính phủ Trung Quốc chuyên tấn công theo hình thức APT, sự cố đánh cắp dữ liệu của hãng Sony Picture, lỗi bảo mật nghiêm trọng trong hệ điều hành Linux (HeartBleed) cho đến vụ Edward Snowden bóc trần chương trình gián điệp nghe lén và theo dõi của chính phủ Mỹ
Trang 11Hình 5: Các sự kiến ANTT nổi bật trong 10 năm từ 2003 đến 2014
Hình 6: Một số sự cố ANTT nổi bật thế giới và thiệt hại
2 Tình hình ANTT trong nước
Tại Việt Nam, tình hình ANTT cũng diễn biến phức tạp Theo thống kê của VNCert – Trung tâm ứng cứu khẩn cấp máy tính Việt Nam, trong năm 2014 ghi nhận:
- 10.037 cuộc tấn công và các websites của Việt Nam (bao gồm nhiều tên miền như com.vn, vn, gov.vn, …)
- 8.291 cuộc tấn công thay đổi giao diện website (tấn công defacement)
- 3.34 triệu địa chỉ IP được ghi nhận nằm trong mạng BotNet
Cũng theo báo cáo của VNCert, Việt Nam nằm trong top 6 nước trên thế giới
về tỷ lệ lây nhiễm mã độc Đặc biệt từ năm 2013, khi virus ransomware bắt đầu
Trang 12xuất hiện thì Việt Nam tăng 500% tỷ lệ lây nhiễm Về tình hình gởi thư rác, Việt Nam đứng thứ 3 thế giới về tỷ lệ phát tán thư rác ra môi trường Internet
Trong tuần đầu tháng 03/2016, Trung tâm VNCERT thông báo đã ghi nhận cách thức tấn công mới của tin tặc nhằm vào các cơ quan tổ chức có sử dụng các hòm thư điện tử nội bộ Với cách tấn công mới này, tin tặc sẽ giả mạo một địa chỉ điện tử có đuôi là @tencongty.com.vn để gửi thư điện tử có kèm mã độc đến các người dùng trong công ty đó
(Ghi chú: virus ransomware là loại hình virus tấn công phá hoại dữ liệu và đòi tiền chuộc, hiện đang rất phổ biến trên Internet từ năm 2013 Loại hình virus này rất khó để khắc phục sự cố một khi đã bị xâm nhập Vì vậy phương thức hiệu
quả nhất vẫn là “Phòng Chống ngay từ ban đầu để không bị tấn công xâm nhập”)
Để qua mặt các hệ thống dò quét mã độc, các mã độc thường được nén lại dưới định dạng zip hoặc zar Qua phân tích của chuyên gia VNCERT với một sự
cố cho thấy, tệp tin chứa mã độc zip chứa bên trong các tệp tin thực thi như js (đây là một tệp tin Javascript) hoặc tệp tin văn bản như doc, xls , khi người dùng mở tập tin này mã độc sẽ được kích hoạt và tự động tải tập tin mã độc
mã hóa tài liệu và tự thực thi trên máy Với trường hợp mã độc mã hóa tài liệu thì
mã độc sẽ tiến hành mã hoá nội dung toàn bộ các dữ liệu trên máy nạn nhân với thuật toán mã hóa mạnh để không thể giải mã được với mục đích bắt cóc dữ liệu trên máy để tống tiền nạn nhân Với việc giả mạo chính các địa chỉ thư điện tử của đơn vị sẽ làm cho người dùng khó phát hiện các thư giả mạo dẫn đến số lượng các máy tính bị lây nhiễm mã độc mã hóa dữ liệu có thể tăng cao
Hiện nay hệ thống thư điện tử công vụ của thành phố Đà Nẵng cũng đang bị phát tán mã độc Ransomware này (bắt đầu từ 14/3), hệ thống đã thiết lập một số chính sách để hạn chế việc lây nhiễm mã độc này thông qua email
Trang 13PHẦN II: CÁCH THỨC BẢO VỆ MÁY TÍNH CÁ NHÂN VÀ PHẦN MỀM
1 Những kiến thức cơ bản về an toàn thông tin
1.1 Khái niệm an toàn thông tin
An toàn thông tin có nghĩa là phải tổ chức việc xử lý, ghi nhớ và trao đổi thông tin sao cho tính bí mật, toàn vẹn và sẵn sàng được bảo đảm ở mức độ đầy đủ Vấn đề an toàn thông tin được xem là một trong những vấn đề được quan tâm hàng đầu của xã hội, có ảnh hưởng rất nhiều đến hầu hết các ngành khoa học tự nhiên,
kỹ thuật, khoa học xã hội và kinh tế
Ngày nay, ngoài thuật ngữ về an toàn thông tin thì người ta vẫn dùng thuật ngữ an toàn thông tin số Đây là thuật ngữ dùng để chỉ việc bảo vệ thông tin số và các hệ thống thông tin chống lại các nguy cơ tự nhiên, các hành động truy cập, sử dụng, phát tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm bảo đảm cho các
hệ thống thông tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy Nội dung của an toàn thông tin số bao gồm bảo vệ an toàn mạng và hạ tầng thông tin, an toàn máy tính, dữ liệu và ứng dụng công nghệ thông tin
1.2 Các nguyên tắc về ATTT
Một thông tin được gọi là an toàn khi nó thỏa mãn ba tiêu chí là tính bí mật, tính toàn vẹn và tính sẵn sàng, ba tiêu chí này đứng trên ba đỉnh của một tam giác đều, hay còn được gọi là mô hình tam giác bảo mật C–I–A (Confidentiality, Integrity, Availability)
Trang 14Hình 7: Tam giác bảo mật CIATính bí mật (Confidentiality): Bí mật là sự ngăn ngừa việc tiết lộ trái phép những thông tin quan trọng, nhạy cảm Đó là khả năng đảm bảo mức độ bí mật cần thiết được tuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với người dùng không được cấp phép Đối với an toàn thông tin thì tính bí mật rõ ràng là điều đầu tiên được nói đến và nó thường xuyên bị tấn công nhất
Tính toàn vẹn (Integrity): Toàn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thông tin và hệ thống Có ba mục đích chính của việc đảm bảo tính toàn vẹn:
− Ngăn cản sự làm biến dạng nội dung thông tin của những người sử dụng không được phép
− Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc không chủ tâm của những người sử dụng được phép
− Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài
Tính sẵn sàng (Availability): Tính sẵn sàng bảo đảm các người sử dụng hợp pháp của hệ thống có khả năng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong hệ thống và tới mạng Tính sẵn sàng có liên quan đến độ tin cậy của
Trang 15Tùy thuộc vào ứng dụng và hoàn cảnh cụ thể, mà một trong ba nguyên tắc này sẽ quan trọng hơn những cái khác, chẳng hạn đối với lĩnh vực dược phẩm thì tính bí mật là quan trọng, đối với lĩnh vực tài chính và ngân hàng thì tính toàn vẹn
là quan trọng, đối với thương mại điện tử là tính sẵn sàng
Đây là ba nguyên tắc cốt lõi dẫn đường cho tất cả các hệ thống an toàn Mô hình này cung cấp một công cụ đo (tiêu chuẩn để đánh giá) đối với các biện pháp thực hiện an ninh thông tin Mọi vi phạm bất kỳ một trong ba nguyên tắc này đều
có thể gây hậu quả nghiêm trọng đối với tất cả các thành phần có liên quan và có thể gây mất an toàn thông tin
Một mô hình rất quan trọng khác có liên quan trực tiếp đến quá trình phát triển và triển khai các chính sách về an ninh của mọi tổ chức là mô hình bộ ba an ninh D – P – R (Detection, Prevention, Response) Ba khía cạnh của mô hình này là
sự phát hiện, sự ngăn chặn và sự phản ứng
Sự phát hiện (Detection): Nó cung cấp mức độ an ninh cần thiết nào đó để thực hiện các biện pháp ngăn chặn sự khai thác các lỗ hổng Trong khi phát triển các giải pháp an ninh mạng, các tổ chức cần phải nhấn mạnh vào các biện pháp ngăn chặn hơn là vào sự phát hiện và sự phản ứng vì sẽ là dễ dàng, hiệu quả và có giá trị nhiều hơn để ngăn chặn một sự vi phạm an ninh hơn là thực hiện phát hiện hoặc phản ứng với nó
Trang 16Sự ngăn chặn (Prevention): Cần có các biện pháp cần thiết để thực hiện phát hiện các nguy cơ hoặc sự vi phạm an ninh trong trường hợp các biện pháp ngăn chặn không thành công Một sự vi phạm được phát hiện sớm sẽ dễ dàng hơn để làm mất tác hại và khắc phục nó Như vậy, sự phát hiện không chỉ được đánh giá về mặt khả năng, mà còn về mặt tốc độ, tức là phát hiện phải nhanh
Sự phản ứng (Response): Phải phát triển một kế hoạch để đưa ra phản ứng phù hợp đối với một số lỗ hổng an ninh Kế hoạch phải được viết thành văn bản và phải xác định ai là người chịu trách nhiệm cho các hành động nào và khi thay đổi các phản ứng và các mức độ cần tăng cường Tính năng phản ứng của một hệ thống
an ninh không chỉ là năng lực, mà còn là vấn đề tốc độ
Ngày nay các cuộc tấn công mạng rất đa dạng, sẽ không thể đoán chắc được chúng sẽ xảy ra khi nào, ở đâu, dạng nào và hậu quả của chúng Để đảm bảo an ninh cho một mạng thì cần:
Mối đe dọa (Threats): một mối đe dọa là bất kỳ điều gì mà có thể phá vỡ tính
bí mật, tính toàn vẹn hoặc tính sẵn sàng của một hệ thống mạng Sự đe dọa có thể nhiều hình thức và nhiều nguồn khác nhau, chẳng hạn như: mã độc, đối tượng bên trong tổ chức, thiên tai, cháy, nổ, khủng bố và dịch bệnh
Lỗ hổng (Vulnerabilities): một lỗ hổng là một điểm yếu vốn có trong thiết
kế, cấu hình hoặc thực hiện của một mạng mà có thể gây cho nó khả năng đối đầu
Trang 17với một mối đe dọa Lỗ hổng sẽ luôn luôn tồn tại và hiện hữu trong các hệ thống và
là cửa ngõ nơi mà sự đe dọa thể hiện Lỗ hổng ở đây không chỉ là những lỗ hổng trong phần mềm mà có thể là sai sót trong quá trình cấu hình, thiết kế bảo mật kém
Sự rủi ro (Risk): là độ đo đánh giá lỗ hổng kết hợp với các mối đe dọa dẫn
tới khả năng bị kẻ xấu khai thác thành công Sự rủi ro sẽ là tổ hợp của mối đe dọa
Nếu như người đó mắc phải nhiều lỗ hổng nhưng mối đe dọa là không đáng
kể thì sự rủi ro cũng là trung bình Ngược lại, nếu như sự đe dọa cao và lỗ hổng đối với mối đe dọa đó là cao thì dẫn đến sự rủi ro rất cao
Có thể hình dung sự rủi ro theo sơ đồ như sau:
Sự rủi ro (Risk) = Mối đe dọa (Threats) x Lỗ hổng (Vulnerabilities)
Trang 181.4 Các tiêu chuẩn đảm bảo ATTT
Bộ tiêu chuẩn ISO/IEC 27000 gồm các tiêu chuẩn sau:
− ISO/IEC 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)
− ISO/IEC 27001:2005 các yêu cầu đối với hệ thống quản lý an toàn thông tin
− ISO/IEC 27002:2007 qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất
− ISO/IEC 27003:2007 các hướng dẫn áp dụng
− ISO/IEC 27004:2007 đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS
− ISO/IEC 27005 quản lý rủi ro an toàn thông tin
− ISO/IEC 27006 hướng dẫn cho dịch vụ khôi phục thông tin sau thảm họa của công nghệ thông tin và viễn thông