Tổng quan về bảo mật thông tin

Chương 2: Tổ chức bảo mật Chương 3: Chính sách bảo mật Chương 4: Bảo mật dữ liệu và an tòan thông tin Chương 5: Bảo vệ hệ thống của tổ chức và mạng nội bộ Chương 6: Bảo mật thông tin tro

Ths Trần Văn Thanh E-mail: khoadtvt@hcm.vnn.vn

(Information Security)

N i dung môn h c ộ ọ

Chương 1: Tổng quan về bảo mật thông tin.

Chương 2: Tổ chức bảo mật

Chương 3: Chính sách bảo mật

Chương 4: Bảo mật dữ liệu và an tòan thông tin

Chương 5: Bảo vệ hệ thống của tổ chức và mạng nội bộ

Chương 6: Bảo mật thông tin trong thương mại điện tử

Đánh giá môn h c ọ

- Thi gi a kỳ : 30% - V n đáp (Đã có bài Thi gi a kỳ : 30% - V n đáp (Đã có bài ữ ữ ấ ấ

t p cho tham kh o tr ậ ả ướ c).

- Thi cu i kỳ: 70% - V n đáp : Xây d ng Thi cu i kỳ: 70% - V n đáp : Xây d ng ố ố ấ ấ ự ự chính sách b o m t thông tin c a website ả ậ ủ

Ch ng 4: B o m t d li u và an tòan thông ươ ả ậ ữ ệ

Ch ng 4: B o m t d li u và an tòan thông ươ ả ậ ữ ệ

Ch ng 6: B o m t thông tin trong th ng ươ ả ậ ươ

Ch ng 6: B o m t thông tin trong th ng ươ ả ậ ươ

m i đi n t ạ ệ ử

m i đi n t ạ ệ ử

B o m t thông tin là gì? ả ậ

• Thông tin (Information): Nh nh ng tài s n quan Thông tin (Information): Nh nh ng tài s n quan ưư ữữ ảả

tr ng khác c a doanh nghi p, thông tin c ng là m t ọ ủ ệ ủ ộ

tr ng khác c a doanh nghi p, thông tin c ng là m t ọ ủ ệ ủ ộ

tài s n.ả

tài s n.ả

• Thông tin có th t n t i d i nhi u d ng khác nhau, Thông tin có th t n t i d i nhi u d ng khác nhau, ể ồể ồ ạạ ướướ ềề ạạ

nh ng b t c d ng nào nó cũng đ c chia s , l u ư ấ ứ ở ạ ượ ẽ ư

nh ng b t c d ng nào nó cũng đ c chia s , l u ư ấ ứ ở ạ ượ ẽ ư

tr và c n đ c b o v ữ ầ ượ ả ệ

tr và c n đ c b o v ữ ầ ượ ả ệ

• B o m t thông tin là b o v thông tin tránh kh i các B o m t thông tin là b o v thông tin tránh kh i các ảả ậậ ảả ệệ ỏỏ

đe d a nh m đ m b o liên t c các h at đ ng kinh ọ ằ ả ả ụ ọ ộ

đe d a nh m đ m b o liên t c các h at đ ng kinh ọ ằ ả ả ụ ọ ộ

doanh, gi m thi u rũi ro, t i đa hóa ROI và các c h i ả ể ố ơ ộ

doanh, gi m thi u rũi ro, t i đa hóa ROI và các c h i ả ể ố ơ ộ

kinh doanh

Data = Golden + Diamon

CORE BUSINESS

PEOPLE

NETWORK

Securing The Enterprise

Mobile

User

Internal Network

Mainframes Servers

External Network

What to secure?

Remote User

Databases

Partners

B o m t thông tin là gì? ả ậ

• B o m t thông tin ph i đ m b o:B o m t thông tin ph i đ m b o:ảả ậậ ảả ảả ảả

-Tính b o m t: C n ph i h n ch s truy xu t đ n các Tính b o m t: C n ph i h n ch s truy xu t đ n các ảả ậậ ầầ ả ạả ạ ế ựế ự ấấ ếế

đ i t ng (thông tin, quy trình) ố ượ

đ i t ng (thông tin, quy trình) ố ượ

-Tính tòan v n d li u: Giám sát s thay đ i Tính tòan v n d li u: Giám sát s thay đ i ẹẹ ữ ệữ ệ ựự ổổ

-Tính s n sàng:Tính s n sàng:ẳẳ

-Tính đúng pháp lu t:Thông tin đ c t p h p, đ c x Tính đúng pháp lu t:Thông tin đ c t p h p, đ c x ậậ ượượ ậậ ợợ ượượ ửử

lý và s d ng đúng quy đ nh pháp lu t ử ụ ị ậ

lý và s d ng đúng quy đ nh pháp lu t ử ụ ị ậ

T i sao ph i b o m t thông tin ? ạ ả ả ậ

• Vi c s d ng r ng rãi các thông tin đi n t Vi c s d ng r ng rãi các thông tin đi n t ệệ ử ụử ụ ộộ ệệ ửử

• Các thông tin c a doanh nghi p bao g m :Thông tin Các thông tin c a doanh nghi p bao g m :Thông tin ủủ ệệ ồồ

k tóan, khách hàng, s n ph m, h p đ ng, báo cáo tài ế ả ẩ ợ ồ

k tóan, khách hàng, s n ph m, h p đ ng, báo cáo tài ế ả ẩ ợ ồ

chính…

•Các đ i th c nh tranh s làm gì khi có đ c nh ng Các đ i th c nh tranh s làm gì khi có đ c nh ng ốố ủ ạủ ạ ẽẽ ượượ ữữthông tin trên?

• Đ m b o s tin c y c a khách hàngĐ m b o s tin c y c a khách hàngảả ảả ựự ậậ ủủ

T i sao ph i b o m t thông tin ? ạ ả ả ậ

81%; t bên ngòai: 13%; c u nhân viên: 6%.ừ ự

- Các l ai t i ph m máy tính: ăn tr m ti n: 44%; phá Các l ai t i ph m máy tính: ăn tr m ti n: 44%; phá ọọ ộộ ạạ ộộ ềề

h y ph n m m: 16%; tr m thông tin: 16%; thay đ i d ủ ầ ề ộ ổ ữ

h y ph n m m: 16%; tr m thông tin: 16%; thay đ i d ủ ầ ề ộ ổ ữ

li u: 12%; t n công các d ch v : 10%; xâm ph m đ i ệ ấ ị ụ ạ ờ

li u: 12%; t n công các d ch v : 10%; xâm ph m đ i ệ ấ ị ụ ạ ờ

t : 2% ư

t : 2% ư

There is a Growing Need for Security…

Security Technologies – Which One?

Các d ng nhu c u b o m t ? ạ ầ ả ậ

• S b o m t.S b o m t.ự ảự ả ậậ

• Xác minh/Tính xác th cXác minh/Tính xác th cựự

•Ch u trách nhi m/Ki m tra-Giám sátCh u trách nhi m/Ki m tra-Giám sátịị ệệ ểể

• Đi u khi n vi c truy c pĐi u khi n vi c truy c pềề ểể ệệ ậậ

• S dùng l i d li u.S dùng l i d li u.ựự ạ ữ ệạ ữ ệ

•Tính chính xác/ Tòan v n d li uTính chính xác/ Tòan v n d li uẹẹ ữ ệữ ệ

•An tòan trong trao đ i d li uAn tòan trong trao đ i d li uổ ữ ệổ ữ ệ

•Tính s n sàng d li u và các d ch vTính s n sàng d li u và các d ch vẳẳ ữ ệữ ệ ịị ụụ

•Giá tr c a thông tin và các quy trình nên đ Giá tr c a thông tin và các quy trình nên đ ị ủ ị ủ ượ ượ c c

bi t, phân tích môi tr ế ườ ng rũi ro hi n t i, t đó ệ ạ ừ

bi t, phân tích môi tr ế ườ ng rũi ro hi n t i, t đó ệ ạ ừ

(quá nhi u vi c h n ch ng ề ệ ạ ế ườ i dùng, chi phí cao)

và b o m t quá th p (không h n ch ng ả ậ ấ ạ ế ườ i dùng,

và b o m t quá th p (không h n ch ng ả ậ ấ ạ ế ườ i dùng,

nhi u m i nguy hi m, chi phí th p) ề ố ể ấ

nhi u m i nguy hi m, chi phí th p) ề ố ể ấ

Evaluating Authentication

Types

Source: Gartner Group

Cost of Deployment

Plain passwords, no enforced policy

T i sao c n có chính sách b o m t ? ạ ầ ả ậ

• Chính sách b o m t là k thu t ngăn ch n b o v Chính sách b o m t là k thu t ngăn ch n b o v ảả ậậ ỹỹ ậậ ặặ ảả ệệcác quy trình và d li u quan tr ng c a công ty Đó là ữ ệ ọ ủ

các quy trình và d li u quan tr ng c a công ty Đó là ữ ệ ọ ủ

vi c truy n đ t các chu n b o m t đ n ng i dùng, ệ ề ạ ẩ ả ậ ế ườ

vi c truy n đ t các chu n b o m t đ n ng i dùng, ệ ề ạ ẩ ả ậ ế ườ

nhà qu n lý, nhân viên k thu t Chính sách b o m t ả ỹ ậ ả ậ

nhà qu n lý, nhân viên k thu t Chính sách b o m t ả ỹ ậ ả ậ

ph i đ m b o:ả ả ả

ph i đ m b o:ả ả ả

– Đo l ng m c đ b o m t c a h th ng hi n t i.Đo l ng m c đ b o m t c a h th ng hi n t i ườ ườ ứ ứ ộ ả ộ ả ậ ậ ủ ủ ệ ệ ố ố ệ ệ ạ ạ

– Xác đ nh ph ng th c giao ti p v i các đ i tác bên ngòai Xác đ nh ph ng th c giao ti p v i các đ i tác bên ngòai ị ị ươ ươ ứ ứ ế ế ớ ớ ố ố

– Có các th t c pháp lý b t bu c đ b o v d li u c a nhân Có các th t c pháp lý b t bu c đ b o v d li u c a nhân ủ ụ ủ ụ ắ ắ ộ ộ ể ả ể ả ệ ữ ệ ệ ữ ệ ủ ủ viên và khách hàng

– Tuân theo các chu n b o m t qu c t Tuân theo các chu n b o m t qu c t ẩ ẩ ả ả ậ ậ ố ố ế ế

Ví d v chu n b o m t c a Anh ụ ề ẩ ả ậ ủ

• Các tài li u v chính sách b o m t thông tin Các tài li u v chính sách b o m t thông tin ệ ệ ề ề ả ả ậ ậ

• Phân c p các trách nhi m b o m tPhân c p các trách nhi m b o m t ấ ấ ệ ệ ả ả ậ ậ

• Chính sách giáo d c và đào t o b o m t thông tinChính sách giáo d c và đào t o b o m t thông tin ụ ụ ạ ạ ả ả ậ ậ

• Các báo cáo liên quan đ n b o m tCác báo cáo liên quan đ n b o m t ế ế ả ả ậ ậ

• H th ng giám sát Virus H th ng giám sát Virus ệ ệ ố ố

• Quy trình k h ach đ m b o liên t c kinh doanh Quy trình k h ach đ m b o liên t c kinh doanh ế ọ ế ọ ả ả ả ả ụ ụ

• Giám sát vi c b o v b n quy n Giám sát vi c b o v b n quy n ệ ệ ả ả ệ ả ệ ả ề ề

• Đ m b o an tòan tòan b d li u c a công tyĐ m b o an tòan tòan b d li u c a công ty ả ả ả ả ộ ữ ệ ộ ữ ệ ủ ủ

• Th c hi n đúng các quy ch b o v d li uTh c hi n đúng các quy ch b o v d li u ự ự ệ ệ ế ả ế ả ệ ữ ệ ệ ữ ệ

• Th c hi n đúng các chính sách b o m tTh c hi n đúng các chính sách b o m t ự ự ệ ệ ả ả ậ ậ

Ph ng pháp Bottom-Up ươ

• Hi u chính sách hi n t i, c u trúc m ng, các th t c h at Hi u chính sách hi n t i, c u trúc m ng, các th t c h at ể ể ệ ệ ạ ạ ấ ấ ạ ạ ủ ụ ủ ụ ọ ọ

đ ng, các đ i t ng tham gia s d ng ộ ố ượ ử ụ

đ ng, các đ i t ng tham gia s d ng ộ ố ượ ử ụ

• D đóan s l c các ki u t n công có th xãy ra cho công ty.D đóan s l c các ki u t n công có th xãy ra cho công ty ự ự ơ ượ ơ ượ ể ể ấ ấ ể ể

• L p ra danh sách các đi m y u và các kh năng b t n công đ L p ra danh sách các đi m y u và các kh năng b t n công đ ậ ậ ể ể ế ế ả ả ị ấ ị ấ ể ể

có th phòng chóng ể

có th phòng chóng ể

• Xác đ nh chính sách thông tin, phân l ai thông tin, nh n bi t Xác đ nh chính sách thông tin, phân l ai thông tin, nh n bi t ị ị ọ ọ ậ ậ ế ế

nh ng thông tin quan tr ng ữ ọ

nh ng thông tin quan tr ng ữ ọ

• Đ ra chính sách ng i dùng Đ ra chính sách ng i dùng ề ề ườ ườ

• Các h ng d n k thu t v cài đ t, b o trì c a h th ng m ng Các h ng d n k thu t v cài đ t, b o trì c a h th ng m ng ướ ướ ẫ ẫ ỹ ỹ ậ ậ ề ề ặ ặ ả ả ủ ủ ệ ệ ố ố ạ ạ

và các server Ki m tra th ng xuyên các h th ng ể ườ ệ ố

và các server Ki m tra th ng xuyên các h th ng ể ườ ệ ố

Ph ng pháp Top Down ươ

T NG QUAN Ổ

T NG QUAN Ổ

1 Phân tích tài s n: Nh ng cái gì c n đ c b o v ?Phân tích tài s n: Nh ng cái gì c n đ c b o v ?ảả ữữ ầầ ượượ ảả ệệ

- Các quy trình và thông tin (tài s n nào là quan tr ng c n Các quy trình và thông tin (tài s n nào là quan tr ng c n ả ả ọ ọ ầ ầ

đ c b o v ? Chúng đ c l u gi nh th nào trên máy ượ ả ệ ượ ư ữ ư ế

đ c b o v ? Chúng đ c l u gi nh th nào trên máy ượ ả ệ ượ ư ữ ư ế

tính?).

- M c đ b o m t ph i phù h p v i giá tr c a tài s n đó M c đ b o m t ph i phù h p v i giá tr c a tài s n đó ứ ứ ộ ả ộ ả ậ ậ ả ả ợ ợ ớ ớ ị ủ ị ủ ả ả

2 Phân tích các thói quen, chính sách, quy lu t b o Phân tích các thói quen, chính sách, quy lu t b o ậậ ảả

Ph ng pháp Top Down (tt) ươ

5 Phân tích các tác nhân gây nh h ng : Phân tích các tác nhân gây nh h ng : ảả ưởưở

• Nh ng cái gì c n đ c b o v ? Các nh h ng này Nh ng cái gì c n đ c b o v ? Các nh h ng này ữữ ầầ ượượ ảả ệệ ảả ưởưở

c n đ c phân tích b i các chuyên gia kinh t ầ ượ ở ế

c n đ c phân tích b i các chuyên gia kinh t ầ ượ ở ế

• Phân tích các nh h ng ng n h n và dài h n (0-5):Phân tích các nh h ng ng n h n và dài h n (0-5):ảả ưởưở ắắ ạạ ạạ

– Các nh h ng không đáng k Các nh h ng không đáng k ả ả ưở ưở ể ể

– Các tác đ ng ph , không nh h ng đ n các h at đ ng kinh Các tác đ ng ph , không nh h ng đ n các h at đ ng kinh ộ ộ ụ ụ ả ả ưở ưở ế ế ọ ọ ộ ộ

doanh chính.

– Các h at đ ng kinh doanh không có giá tr v th i gian, l i Các h at đ ng kinh doanh không có giá tr v th i gian, l i ọ ọ ộ ộ ị ề ị ề ờ ờ ợ ợ

nhu n khi b m t, các thông tin v khách hàng không quan ậ ị ấ ề

nhu n khi b m t, các thông tin v khách hàng không quan ậ ị ấ ề

tr ng Và ng c l i… ọ ượ ạ

tr ng Và ng c l i… ọ ượ ạ – Các tác đ ng mà công ty có th v t qua ho c không… Các tác đ ng mà công ty có th v t qua ho c không… ộ ộ ể ượ ể ượ ặ ặ

What Are Business Risks?

Any factor that can inhibit or prevent the entity

from achieving its objectives

n o m ic

E co n o m ic

S ec u ri ty

P ri va

cy P ri va cy

Ph ng pháp Top Down (tt) ươ

6 Tính tóan r i ro: Tính tóan r i ro: ủủ

• Đi u gì s xãy ra khi có s đe d a (0-5) ? Các chuyên Đi u gì s xãy ra khi có s đe d a (0-5) ? Các chuyên ềề ẽẽ ựự ọọ

gia k thu t s có s đánh giá t t h n các chuyên gia ỹ ậ ẽ ự ố ơ

gia k thu t s có s đánh giá t t h n các chuyên gia ỹ ậ ẽ ự ố ơ

kinh tế

– S đe d a không ch c ch n xãy ra S đe d a không ch c ch n xãy ra ự ự ọ ọ ắ ắ ắ ắ

– S đe d a có th xãy ra ít nh t m t l n trong năm, trong S đe d a có th xãy ra ít nh t m t l n trong năm, trong ự ự ọ ọ ể ể ấ ấ ộ ầ ộ ầ

tháng, trong tu n, trong ngày ầ

tháng, trong tu n, trong ngày ầ

• Risk = impact * likelihood

– 0 ≤ Risk ≤ 25

– Giá tr r i ro có th ch p nh n đ c = 15 Giá tr r i ro có th ch p nh n đ c = 15 ị ủ ị ủ ể ể ấ ấ ậ ậ ượ ượ

Ph ng pháp Top Down (tt) ươ

7 Phân tích s ràng bu c: Phân tích s ràng bu c: ựự ộộ

• Các yêu c u pháp lý n m ngòai s đi u khi n c a b n Các yêu c u pháp lý n m ngòai s đi u khi n c a b n ầầ ằằ ựự ềề ểể ủủ ạạ

(lu t pháp, h p đ ng, tài chính, văn hóa t p th …)ậ ợ ồ ậ ể

(lu t pháp, h p đ ng, tài chính, văn hóa t p th …)ậ ợ ồ ậ ể

8 Quy t đ nh chi n l c phòng chóngQuy t đ nh chi n l c phòng chóngếế ịị ế ượế ượ

– Xác đ nh m c tiêu b o m t Xác đ nh m c tiêu b o m t ị ị ụ ụ ả ả ậ ậ

– Xác đ nh các bi n pháp phòng chóng (chính sách, vai trò, quy Xác đ nh các bi n pháp phòng chóng (chính sách, vai trò, quy ị ị ệ ệ

trình, trách nhi m, các bi n pháp k thu t) ệ ệ ỹ ậ

trình, trách nhi m, các bi n pháp k thu t) ệ ệ ỹ ậ – Có th các r i ro gi m xu ng đ n m c có th ch p nh n Có th các r i ro gi m xu ng đ n m c có th ch p nh n ể ể ủ ủ ả ả ố ố ế ế ứ ứ ể ể ấ ấ ậ ậ

đ c, nh ng chi phí đ th c hi n nó thì sao? ượ ư ể ự ệ

đ c, nh ng chi phí đ th c hi n nó thì sao? ượ ư ể ự ệ – N u r i ro v n còn thì có th s d ng d ch v b o hi m kinh N u r i ro v n còn thì có th s d ng d ch v b o hi m kinh ế ế ủ ủ ẫ ẫ ể ử ụ ể ử ụ ị ị ụ ả ụ ả ể ể

t ? ế

t ? ế – Xem xét l i chi n l cXem xét l i chi n l cạ ạ ế ượ ế ượ

Ph ng pháp Top Down (tt) ươ

9 Th c hi nTh c hi nựự ệệ

– Th c hi n chính sách b o m t và các h ng d n, cũng nh Th c hi n chính sách b o m t và các h ng d n, cũng nh ự ự ệ ệ ả ả ậ ậ ướ ướ ẫ ẫ ư ư

h th ng phân l ai thông tin ệ ố ọ

h th ng phân l ai thông tin ệ ố ọ – Xác đ nh t ch c b o m t Ng i s d ng, nhà qu n tr , Xác đ nh t ch c b o m t Ng i s d ng, nhà qu n tr , ị ị ổ ổ ứ ứ ả ả ậ ậ ườ ườ ử ụ ử ụ ả ả ị ị

qu n lý c n ph i xác đ nh rõ ràng vai trò/trách nhi m và ả ầ ả ị ệ

qu n lý c n ph i xác đ nh rõ ràng vai trò/trách nhi m và ả ầ ả ị ệ

nh n th c v chúng ậ ứ ề

nh n th c v chúng ậ ứ ề – V n hành th V n hành th ậ ậ ử ử

– Co gi n h th ng b o m t Co gi n h th ng b o m t ả ả ệ ệ ố ố ả ả ậ ậ

10 Cân đ i l i chi n l c b o m t và các r i ro (2 năm Cân đ i l i chi n l c b o m t và các r i ro (2 năm ố ạố ạ ếế ượượ ảả ậậ ủủ

m t l n) ộ ầ

m t l n) ộ ầ

Ph ng pháp Top Down (tt) ươ

THREATS + IMPACT + LIKELIHOOD = RISK

• S đe d a đ c chia thành các l ai: t ng S đe d a đ c chia thành các l ai: t ng ự ự ọ ọ ượ ượ ọ ọ ổ ổ

quát, nh n d ng, xác th c, tính s n sàng, tính ậ ạ ự ẳ

quát, nh n d ng, xác th c, tính s n sàng, tính ậ ạ ự ẳ

riêng t , tính tòan v n, tính chính xác, giám ư ẹ

riêng t , tính tòan v n, tính chính xác, giám ư ẹ

sát truy c p, s không th a nh n, lu t pháp ậ ự ừ ậ ậ

sát truy c p, s không th a nh n, lu t pháp ậ ự ừ ậ ậ

• Các yêu c u pháp lý n m ngòai s đi u khi n Các yêu c u pháp lý n m ngòai s đi u khi n ầ ầ ằ ằ ự ự ề ề ể ể

c a b n (lu t pháp, h p đ ng, tài chính, văn ủ ạ ậ ợ ồ

c a b n (lu t pháp, h p đ ng, tài chính, văn ủ ạ ậ ợ ồ

hóa t p th …) ậ ể

hóa t p th …) ậ ể

Threat : General Impact

(ref.)

Impact (0-5)

Likeli-hood (0-5)

1.Lỗi do con người:

Sự phá hủy ngẫu nhiên, sửa đổi, thông tin được phân

lọai không đúng

các hướng dẫn kỹ thuật, thiếu nguyên tắc, thiếu hiểu

3 Tấn công bằng cách sử dụng kỹ thuật quan hệ xã hội

nhà quản trị đưa cho chúng username/pass…

Threat : General Impact (ref.) Impact (0-5) Likeli-hood (0-5)

4 Sử dụng sai niềm tin và đặc ân

5 Các máy tính, thiết bị đầu cuối sử dụng không có bản quyền

6 Sự pha trộn giữa kiểm tra và dữ liệu sản xuất hoặc môi trường

7 Sử dụng các phần cứng và phần mềm không có bản quyền

8 Bom giờ: Các chương trình phần mềm phá hủy hệ thống bằng hình thức

hẹn giờ

9 Lỗi do thiết kế hệ điều hành: Hệ thống có mức bảo mật thấp

10 Lỗi thiết kế giao thức: Các giao thứckhông được thiết kế mức bảo vệ

cao:

đổi hoặc sao chép trong khi truyền thông

11 Logic bomb: Các phần mềm có chứa các điều kiện phá hủy

12 Viruses (in programs, documents and email attachments)