NHỮNG NGUYÊN TẮC CƠ BẢN 3.. XÂY DỰNG MÔ HÌNH PHÒNG THỦ 4.. NHỮNG NGUYÊN TẮC CƠ BẢN • Nguyên tắc CIA - Tính bảo mật Confidentiality - Tính sẵn sàng Availability - Tính nguyên vẹn
Trang 1i
Trình bày: TS Võ Văn Khang
Trang 2NỘI DUNG
1 THÁCH THỨC VỀ ATTT 2013
2 NHỮNG NGUYÊN TẮC CƠ BẢN
3 XÂY DỰNG MÔ HÌNH PHÒNG THỦ
4 XỬ LÝ CÁC HIỂM HỌA
Trang 31 THÁCH THỨC ATTT 2013
• Sponsored - Espionage
- Mua chuộc nhân sự
- Mua bán thông tin
• DDOS
- Botnet
- Spyware
• Cloud Migration
- Mobile Access, users devices
- Social Network
Trang 4Sophistication of Hacker Tools
Packet Forging/
Spoofing
2000
1980
Password Guessing
Self Replicating Code
Password Cracking
Exploiting Known Vulnerabilities
Disabling Audits
Back Doors
Hijacking Sessions
Sweepers
Sniffers Stealth Diagnostics
Technical Knowledge Required
High
DDOS
New Internet Worms
4
1 THÁCH THỨC ATTT 2013
Trang 52 NHỮNG NGUYÊN TẮC CƠ BẢN
• Nguyên tắc CIA
- Tính bảo mật (Confidentiality)
- Tính sẵn sàng ( Availability)
- Tính nguyên vẹn và khả năng không thể từ chối (Integrity and non - repudiation)
• Nguyên tắc giá trị thông tin
- Không có hệ thống an toàn tuyệt đối
• Nguyên tắc thời gian sống của thông tin
- Claude E Shannon
Trang 62 NHỮNG NGUYÊN TẮC CƠ BẢN
• Nguyên tắc 3A
- Authentication
- Authorization
- Accounting
• Murphy’s Law
- Edward A Murphy – 1949
“If ―‖‗‛‟‣․‥‱there ―‖‗‛‟‣․‥‱are ―‖‗‛‟‣․‥‱two ―‖‗‛‟‣․‥‱or ―‖‗‛‟‣․‥‱more ―‖‗‛‟‣․‥‱ways ―‖‗‛‟‣․‥‱to ―‖‗‛‟‣․‥‱do ―‖‗‛‟‣․‥‱something, ―‖‗‛‟‣․‥‱ and one of those ways can result in a
catastrophe, ―‖‗‛‟‣․‥‱then ―‖‗‛‟‣․‥‱someone ―‖‗‛‟‣․‥‱will ―‖‗‛‟‣․‥‱do ―‖‗‛‟‣․‥‱it”
Trang 72 NHỮNG NGUYÊN TẮC CƠ BẢN
• Common mistakes
- ATTT và chiến lược, phương thức kinh doanh sản xuất
- Tính tóan sai về khấu hao đầu tư
- Đánh giá sai về đối tượng và điểm yếu kỹ thuật
- Không có chính sách về ATTT
Trang 82 NHỮNG NGUYÊN TẮC CƠ BẢN
Trang 93 MÔ HÌNH PHÒNG THỦ
Internet
Telecommuters
Mobile
Users
Branch Office
Business Partner
Internet-Based Extranet (VPN )
PSTN
Internet-Based Intranet (VPN)
Branch Office
Open Network
Trang 103 MÔ HÌNH PHÒNG THỦ
Trang 113 MÔ HÌNH PHÒNG THỦ
1 Đánh giá và phân loại dữ liệu
2 Xây dựng Security Policy
3 Hệ thống hóa thiết bị hạ tầng, quy hoạch kết nối
4 Lên kế hoạch các công cụ, ứng dụng sẽ triển khai, so sách với chiến lược kinh doanh
5 Thiết kế chi tiết hệ thống
6 Đánh giá về bảo mật
7 Xử lý điểm yếu
8 Đánh giá chỉnh sửa Policy (PDCA)
Trang 12Security Policy
OS, Update Mngt, Authentication, SIEM
Firewall, VPN, Routers
Lock, Camera VLAN, IPS/IDS
Application Control, Antivirus
Access Control, Encryption, backup
Physical
Perimeter
Internal
Host
Application
Data
3 MÔ HÌNH PHÒNG THỦ
ISMS, ISO 2700x
Trang 133 MÔ HÌNH PHÒNG THỦ
Trang 143 MÔ HÌNH PHÒNG THỦ
Trang 154 XỬ LÝ RỦI RO
Những rủi ro có xác suất xảy ra và mang lại tác hại cho hệ thống trong tương lai được xếp loại:
• High Risk – là rủi ro có xác suất cao và thiệt hại lớn
• Medium Risk – xác xuất thấp hoặc thiệt hại nhỏ
• Low Risk – Khó xảy ra và thiệt hại không đáng kể
Trang 164 XỬ LÝ RỦI RO
Risk management là quá trình bao gồm 4 bước cơ bản sau:
• risk assessment – Đánh giá rủi ro,
• risk acceptance – Nhận diện rủi ro,
• risk treatment – Sử lý rủi ro,
• risk communication – Theo dõi, thông báo
risk assessment bao gồm 2 kỹ thuật:
• Phân tích rủi ro (risk analysis)
• Đo lường rủi ro (risk evaluation)
Trang 174 XỬ LÝ RỦI RO
Risk treatment – là quá trình đưa ra quyết định xử lý từng
rủi ro và có ít nhất 4 lựa chọn sau:
• accept the risk – chấp nhận
• avoid the risk – Ngăn ngừa
• transfer the risk – Chuyển đổi
• reduce the risk – Giảm thiểu
Trang 18vovankhang@gmail.com