Tổng quan về an toàn bảo mật Hệ thống thông tin

Các giải pháp an ninh theo lớp được thực hiện trên bẩy vùng domain của một hạ tầng IT điển hình Các nguy cơ phổ biến đối với từng vùng bảo mật Khung chính sách cho an ninh IT Tác độ

An toàn bảo mật HTTT

Chương 1 Tổng quan về an toàn bảo mật HTTT

© 2012 Jones and Bartlett Learning, LLC www.jblearning.com

Mục tiêu môn học

Giải thích các khái niệm về an toàn bảo mật

cho các HTTT, trên cơ sở là hạ tầng công

nghệ thông tin

Các giải pháp an ninh theo lớp được thực

hiện trên bẩy vùng (domain) của một hạ tầng

IT điển hình

Các nguy cơ phổ biến đối với từng vùng bảo

mật

Khung chính sách cho an ninh IT

Tác động của chuẩn phân loại dữ liệu đối

với bẩy vùng đã mô tả

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 3

KHÁM PHÁ:CÁC KHÁI NIỆM

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 4

Giới thiệu về ISS

ISS

Information Systems

Information

(Thông tin) (Hệ thống thông tin) (An ninh Hệ thống thông tin)

An ninh – bảo đảm không thể gây hại đến hoạt động và

thuộc tính của một đối tượng nào đó, kể cả cấu trúc và

thành phần của nó

An ninh của một đối tượng có thể phân chia thành

nhiều dạng khác nhau Một trong những dạng đó là an

ninh thông tin (bảo vệ thông tin và những hoạt động

với thông tin)

An ninh

Về phạm vi: an ninh thông tin xét theo các mức

cá nhân, tổ chức (doanh nghiệp) và quốc gia

“An ninh thông tin” – trạng thái được bảo vệ

của thông tin và vật mang tin (thuộc sở hữu cá

nhân, tổ chức, hệ thống và các phương pháp

bảo đảm sự tiếp nhận, xử lý, lưu trữ,lan truyền

và sử dụng thông tin) trước các nguy cơ khác

nhau

An ninh thông tin

Nguồn gốc các nguy cơ có thể biết trước (ăn

cắp thông tin), có thể không biết trước (không

rõ mục tiêu của tội phạm)

Bảo đảm an ninh thông tin có thể thực hiện

bằng những “biện pháp” và “công cụ” khác

nhau (tổ chức, kỹ năng …)

Tập hợp tất cả các biện pháp và phương pháp

bảo đảm an ninh thông tin tạo thành hệ thống

bảo vệ thông tin

An ninh thông tin (tiếp)

Ngăn ngừa mất mát, gây nhiễu, tung tin …

Ngăn ngừa đe dọa an ninh của cá nhân, xã hội, quốc gia

Ngăn ngừa những hoạt động trái phép nhằm tiêu hủy,

gây nhiễu, sao chép, gây tắc nghẽn thông tin; ngăn ngừa

các dạng quấy rối vào tài nguyên thông tin và hệ thống

thông tin

Bảo vệ quyền công dân về sự riêng tư và tính bảo mật

của dữ liệu cá nhân trong các hệ thống thông tin

Bảo vệ bí mật quốc gia, tính bảo mật của thôg tin văn

bản tương ứng với quy định của luật pháp

Bảo đảm quyền lợi của các chủ thể trong quá trình

truyền thông, chế tác, sản xuất và sử dụng hệ thống

Mục đích bảo vệ thông tin

VAI TRÒ THÔNG TIN VỚI CÁ NHÂN

Nhằm nâng cao hiệu quả hoạt động với thông

tin, con người dùng các thiết bị hỗ trợ:

11

SV nêu ví dụ?

ĐỐI TƯỢNG QUẢN TRỊ

VAI TRÒ THÔNG TIN ĐỐI VỚI TỔ

CHỨC, DOANH NGHIỆP

• Mỗi doanh nghiệp, tổ chức được xem là một

hệ thống (sự liên kết nhân lực, vật lực để tiến

đến mục đích chung)

HỆ QUẢN TRỊ

MỤC TIÊU

KHÁI QUÁT HỆ THỐNG THÔNG TIN

CẤU TRÚC HỆ THỐNG THÔNG TIN DOANH

NGHIỆP THEO QUAN ĐIỂM TỔ CHỨC

HTTT

KẾ TOÁN HTTT

KINH DOANH

HTTT SẢN XUẤT HTTT

HTTT NHÂN SỰ

HTTT HTTT KHO

Hệ thống thông tin doanh nghiệp bao gồm nhiều HTTT con Mỗi

HTTT này phục vụ hoạt động của một phòng, ban …và có sự

trao đổi thông tin nội bộ và với bên ngoài

HỆ THỐNG THÔNG TIN QUỐC GIA

Thông tin cấp quốc gia nhằm phục vụ các hoạt

động mức nhà nước.(an ninh xã hội, bảo vệ

môi trường, giáo dục, sức khỏe cộng đồng …)

Mục tiêu các hoạt động của nhà nước có thể

là :

- Tăng trưởng kinh tế

- Hòa bình, ổn định xã hội

- Thỏa mãn (hạnh phúc) của dân chúng…

HỆ THỐNG THÔNG TIN QUỐC GIA

CÔNG NGHIỆP

DỊCH VỤ

NÔNG NGHIỆP KHAI THÁC

SẢN PHẨM

NGUYÊN VẬT LIỆU

GIAO THÔNG CHÍNH SÁCH KINH TẾ GIÁO DỤC

…

Hệ thống thông tin quốc gia cũng được phân chia theo mục

tiêu của các bộ, ngành …

KẾT LUẬN VỀ HTTT

Hệ thống thông tin có thể xem xét ở các mức :

cá nhân, doanh nghiệp, nhà nước

Hệ thống thông tin của một chủ thể đảm bảo

hiệu quả hoạt động của chủ thể đó

An ninh thông tin của một hệ thống chính là

bảo vệ quyền lợi của hệ thống đó đối với tài

nguyên thông tin, hạ tầng thông tin, quyền về

thông tin, các hoạt động về thông tin …

CẤU TRÚC KHÁI NIỆM “AN NINH THÔNG TIN”

An ninh thông tin – Đảm bảo không bị gây hại đến các

tính chất của đối tượng được bảo vệ, tài nguyên thông tin

và hạ tầng thông tin

Đối tượng an ninh

thông tin - các tính

chất đối tượng, tài

nguyên thông tin và hạ

tầng thông tin

Các nguy cơ

về an ninh thông tin

Đảm bảo an ninh thông tin

THÔNG TIN VÀ THUỘC TÍNH CỦA THÔNG TIN

KHÁI NIỆM THÔNG TIN

Thông tin – Mô tả, giải trình, trình bày, giãi bày,

bày tỏ, tỏ bày, giãi tỏ, diễn đạt  mang lại hiểu

biết cho con người

Thông tin – để hiểu sâu và tổng quát không

thể hiểu theo một quan điểm

Từ THÔNG TIN có thể hiểu khác nhau trong

kỹ thuật, khoa học và trong ngữ cảnh cuộc

sống

Ví dụ 1 : Report (CNTT) = báo cáo

Thế thì báo cáo của bộ trưởng máy tính có

viết được không? Lý do?

Ví dụ 2: máy tính dự báo đồng xu tung lên khi

rơi xuống mặt bàn có 2 trường hợp Vậy

trong cuộc sống có trường hợp nào nữa

không? (SV)

Học ít quên ít, học nhiều quên nhiều !

Vậy cần học bao nhiêu???

ĐỊ NH NGHĨA THÔNG TIN

Thông tin – Sự mô tả về các đối tượng các các hiện

tượng của môi trường xung quanh, các thông số,

tính chất, trạng thái của chúng, được dùng để cung

cấp cho một hệ thống thông tin nào đó (cơ thể sống,

thiết bị điều khiển …) trong quá trình sống và làm

việc

Cùng một bản tin nhưng có thể cung cấp

lượng tin khác nhau cho những người khác

nhau …

Có thuốc OMVODICO không em?

Không có anh ơi!

Chỉ có thuốc XERADION

…phụ thuộc vào kinh nghiệm, trình

độ nhận thức, mức độ quan tâm

Thông tin phải có giá trị sử dụng, tức là có NHU

CẦU về nó Nếu không ai cần cả thì đấy là THÔNG

TIN VÔ NGHĨA

“Sáng mai mặt trời sẽ mọc”

Thiết bị kỹ thuật CNTT không chứa thông tin,

mà chỉ chứa các ký tự và quy luật ghép nối

để có thể hiển thị thông tin (dữ liệu và thuật

Sự vật, quá trình, hiện tượng vật chất và

không vật chất được gọi là đối tượng thông

tin (quan điểm mô tả thuộc tính)

Có thể làm gì với thông tin???

Tất cả các thao tác trên được gọi là quá trình

thông tin

THẢO LUẬN NHÓM

28

Hãy đưa ra các ví dụ thực tế tương ứng với

các thao tác thông tin Kể ra các lý do có thể

làm suy giảm chất lượng thông tin trong từng

thao tác, cách phòng chống?

Minh họa :

Thao tác nhân bản

(copy) : Cuốn vở dưới

gầm bàn được copy trái

phép lên tờ giấy trên

mặt bàn trong giờ kiểm

tra

Chất lượng khoai lang phụ thuộc vào các yếu tố

nào? Có đo được không?

Khoai có chất lượng, vậy thông tin có không?

Có đánh giá được không?

Các thuộc tính của thông tin

Thông tin rất cần thiết để giúp ta ra quyết định

đúng đắn

Bởi vậy cần xét đến thuộc tính của thông tin,

nghĩa là dấu hiệu chất lượng thông tin

Tính khách quan của thông tin

Thông tin là sự thể hiện thế giới xung quanh,

mà thế giới này tồn tại không phụ thuộc vào

nhận thức và nguyện vọng của con người

Ví dụ: Trên đường

có một ổ gà thì

mưa hay nắng, sang

hay tối nó đều tồn

tại Ai không nhận

thấy mà cứ lao vào

nó sẽ bị thiệt hại

Độ tin cậy của thông tin

Thông tin tin cậy là thông tin phản ánh đúng sự

việc và giúp con người ra quyết định đúng

Thông tin khách quan luôn đáng tin cậy

Thông tin chủ quan (do người tạo ra) có thể

tin cậy, có thể không đáng tin

Ngoài ra độ tin cậy của thông tin có thể suy

giảm do:

-Chủ động bóp méo (1/4)

-Nhiễu gây thay đổi nội dung (đường truyền)

-…

Mức đầy đủ của thông tin

Thông tin được xem là đầy đủ, nếu như con

người có thể hiểu nó để ra quyết định đúng

Đau bụng uống nhân sâm

thì chết

Tính giá trị và không có giá trị của thông

tin

- Giữa hai thuộc tính trên không có ranh

giới vì giá trị thông tin tùy thuộc theo nhu

cầu của từng người cụ thể

-Tính hữu ích của một thông tin tùy thuộc

vào nhiệm vụ, mà nếu thiếu thông tin đó

không thể thực hiện nó được

- Đối với phương tiện kỹ thuật thì việc xem

xét tính hữu ích của thông tin là vô nghĩa,

vì máy móc chỉ thực hiện nhiệm vụ mà

con người giao cho nó

Độ chính xác – Thể hiện sai số của sự mô tả

với hiện tượng, sự vật, trạng thái thực tế

Độ chính xác cao thì lượng tin lớn, chi phí tạo

ra, xử lý, truyền đi của thông tin lớn

=> phải xác định sai số cho phép

VD:Trong ngôn ngữ C++, 10 chia 3 =???

Int

Long

Float

Double …

Tính sẵn sàng (tức thời) của thông tin

Đây là đặc tính rất quan trọng, thực tế trong

thời đại này

Sẵn sàng – cần là có ngay

Tức thời – Đúng với thời điểm

Thông tin cũ giá trị sử dụng thấp Càng lưu

nhiều thông tin cũ càng khó tìm được thông

tin cần thiết nhanh nhất

VD:- nhiều quần áo quá, lúc cần bộ đó tìm

không kịp

- Nhiều phiên bản thiết kế quá, dễ nhầm lẫn

Tổng kết về thuộc tính thông tin

Bất kỳ thông tin nào đều có tính khách quan,

độ tin cậy, đầy đủ, mức dễ hiểu và tính hữu

ích Nếu xem xét dưới góc độ cá nhân (xã hội)

sẽ có thêm các thuộc tính khác nữa:

1.Tính ngữ nghĩa (ý nghĩa)

2 Thể hiện bằng ngôn ngữ khác nhau

3 Tính tăng trưởng (tích lũy nhiều, nhỏ để đưa

ra thông tin khái quát, thông tin mới…)

4 Thông tin càng cũ thì giá trị càng suy giảm

Vô ích Khó hiểu

THẢO LUẬN NHÓM

Hãy đưa ra các ví dụ thực tế trong doanh

nghiệp tương ứng với các thuộc tính thông tin

Với mỗi ví dụ đó hãy đưa ra biện pháp nhằm

tăng cường hiệu quả sử dụng thông tin

Ví dụ tính khách quan : Giá nguyên vật liệu

tăng không phụ thuộc vào sự tồn tại của

doanh nghiệp Muốn có hiệu quả sản suất

kinh doanh tốt doanh nghiệp phải đầu tư các

kênh thông tin hữu dụng Ví dụ Peru mất mùa

cá thì giá bột cá trên thế giới sẽ tăng (báo chí)

CÁC THUỘC TÍNH CỦA THÔNG

TIN BẢO MẬT

• Xây dựng hệ thống an ninh thông tin trong

doanh nghiệp thường bắt đầu từ việc phân

tích các rủi ro (chiếm nhiều công sức nhất)

Một trong những công đoạn của phân tích rủi ro

chính là kiểm tra, rà soát toàn bộ các quá trình

(Ví dụ: hư hỏng phương tiện kỹ thuật hoặc

lỗi nhập liệu bằng tay trong máy tính trong

trường hợp không có kiểm soát từ bên ngoài.)

An ninh thông tin: trạng thái thông tin, các

phương tiện kỹ thuật và công nghệ xử lý được

thể hiện bằng các thuộc tính : bảo mật, toàn vẹn

Cơ quan quản lý chủ động đưa ra giới hạn

quyền truy cập đối với từng thông tin và đảm

bảo hệ thống không cung cấp thông tin đến

những người không có quyền truy cập đến

thông tin đó

45

Tính bảo mật

Tính bảo mật

Personal Data and Information

• Credit card account numbers and bank account numbers

• Social Security numbers and address information

Intellectual Property

• Copyrights, patents, and secret formulas

• Source code, customer databases, and technical specifications

National Security

• Military intelligence

• Homeland security and government-related information

Đảm bảo khả năng truy cập tức thời của các chủ

thể có nhu cầu đến thông tin của họ và sự chuẩn

bị của các phương tiện tương ứng tham gia

phục vụ nhu cầu của chủ thể

48

Tính sẵn sàng

• Khi xem xét an ninh của hệ thống thông tin

phải xét đến yếu tố phạm vi (môi trường

trong, ngoài), các mối quan hệ giữa các thành

phần (tương tác, trao đổi) Bởi vậy tính chất

“được bảo vệ” trở thành một trong những

thuộc tính quan trọng của hệ thống thông tin

• Được bảo vệ - khả chống lại các tác động từ

bên ngoài để giữ nguyên các thuộc tính

• (tương ứng trong vật lý : độ cứng, độ đàn hồi)

Mức ổn định của phần mềm Mức ổn định

của trang thiết bị

Các thuộc tính cơ bản của thông tin

Bảo mật Toàn vẹn Sẵn sàng

THẢO LUẬN NHÓM

• Doanh nghiệp luôn có nhiều phòng ban chức

năng, mỗi phòng ban có nhiều mối quan hệ

công việc với các đối tác khác Hãy đưa ra các

giải pháp để đảm bảo các mối quan hệ này

không bị thất lạc khi có sự thay đổi về nhân sự

ở các phòng ban !

ISS là cuộc đấu tranh kinh điển giữa “cái

tốt và cái xấu”

Không có luật, quy định hay quy tắc để

quản lý không gian mạng ở mức độ toàn

Compliance Laws Driving ISS

Health Insurance Portability

Sarbanes-Oxley (SOX) Act Children’s Internet Protection Act (CIPA)

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 11

Khung chính sách an ninh IT

A short written statement that defines a course of action that applies to the entire organization

A detailed written definition of how software and hardware are to be used

Câu hỏi

• Các nhóm trình bày nguy cơ đối với hệ thống

thông tin của doanh nghiệp

– Các thành phần hệ thống

– Nguy cơ đối với từng thành phần

Bẩy vùng (domain) của một hạ

tầng IT điển hình

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 13

Các nguy cơ trong vùng Người

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 14

Các nguy cơ trong vùng Người

dùng (tiếp)

Người dùng tải ảnh, nhạc, phim

Người dùng hủy các hệ thống, ứng

dụng, và dữ liệu

Nhân viên xấu phá hoại doanh nghiệp

Nhân viên xấu hăm dọa tống tiền

hoặc ăn cắp

Các nguy cơ trong vùng máy

trạm (Workstation)

Truy cập trái phép tới máy trạm

Truy cập trái phép tới hệ thống, ứng

dụng và dữ liệu

Lỗ hổng trong hệ điều hành máy tính

Lỗ hổng hay bản vá lỗi trong phần

mềm ứng dụng của máy tính

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 16

Các nguy cơ trong vùng máy

trạm (Workstation)(tiếp)

Vi rút, mã độc và phần mềm có hại

Người dùng sử dụng CD/DVD/USB chứa các

file cá nhân

Người dùng tải ảnh, nhạc, phim

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 17

Các nguy cơ trong vùng mạng

LAN

Truy cập vật lý trái phép tới mạng LAN

Truy cập trái phép tới các hệ

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 18

Các nguy cơ trong vùng

mạng LAN (tiếp)

Người dùng xấu trong mạng WLAN

Bảo mật dữ liệu trong mạng WLAN

Các chuẩn và hướng dẫn cấu hình

máy chủ trong mạng LAN

Các nguy cơ trong vùng mạng

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 20

Các nguy cơ trong vùng mạng

WAN

Dữ liệu truy cập công cộng, mở

Hầu hết dữ liệu được gửi dưới

Các nguy cơ trong vùng mạng

WAN (tiếp)

Dễ bị tổn thương do lỗi về dữ liệu hay thông

tin

Các ứng dụng không an toàn

Hacker và các kẻ tấn công gửi qua

email Trojans, worms, và các phần

mềm độc hại khác một cách tự do,

liên tục

WAN

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 22

Các nguy cơ trong vùng Truy

cập từ xa

Tấn công vét cạn ID người dùng và mật khẩu

Tấn công điều khiển truy cập và login hệ

thống nhiều lần

Truy cập từ xa bất hợp pháp tới hệ thống

IT, ứng dụng và dữ liệu

Dữ liệu bí mật bị lộ từ xa

Lộ dữ liệu do xung đột giữa các chuẩn

phân loại dữ liệu

Internet

Các nguy cơ trong vùng Hệ

điện toán đám mây

Dữ liệu lỗi hoặc bị ngắt

Thực hiện tam giác CIA

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 26

Thực hiện tam giác CIA (tiếp)

Thực hiện tam giác CIA (tiếp)

Ai thực hiện tam giác CIA?

Chiến lược an ninh phân lớp bảo vệ

CIA của hạ tầng IT

Khung chính sách IT có các chính sách,

chuẩn, thủ tục và hướng dẫn

Chuẩn phân loại dữ liệu định nghĩa cách

thức dữ liệu được xử lý trong hạ tầng IT

KHÁM PHÁ:

Các dạng phương tiện

kỹ thuật chuyên dụng

Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 29

1.Thiết bị nghe trộm : nghe trộm các cuộc nói

chuyện trong nhà, ngoài trời

- Ghi âm mang theo

- Đặt trước máy ghi truyền ra ngoài

- Thu thập âm thanh tản mát, lọc nhiễu và tăng

cường tín hiệu

- Thu âm định hướng

- Kỹ thuật thu âm bằng laser nhờ dao động trên

gương cửa sổ phòng hội thoại …