Chương 1: Tổng quan• Các thành phần cơ bản của An toàn BM HTTT • Các mối đe dọa • Chính sách và kỹ thuật • Sự tin cậy • Vấn đề nghiệp vụ • Vấn đề con người... Chính sách và kỹ thuật• Chí
Trang 1Chương 1: Tổng quan
• Các thành phần cơ bản của An toàn BM HTTT
• Các mối đe dọa
• Chính sách và kỹ thuật
• Sự tin cậy
• Vấn đề nghiệp vụ
• Vấn đề con người
Trang 2Các thành phần cơ bản
• Bảo mật - Confidentiality
– Keeping data and resources hidden
• Toàn vẹn - Integrity
– Data integrity (integrity)
– Origin integrity (authentication)
• Khả dụng - Availability
– Enabling access to data and resources
Trang 3Các mối đe dọa
• Tiết lộ - Disclosure
– Snooping
• Lừa đảo - Deception
– Modification, spoofing, repudiation of origin, denial of receipt
• Phá hoại - Disruption
– Modification
• Cướp đoạt - Usurpation
– Modification, spoofing, delay, denial of service
Trang 4Chính sách và kỹ thuật
• Chính sách cho biết cái gì được phép và
không được phép trong hệ thống
– This defines “security” for the site/system/etc.
• Kỹ thuật làm cho các chính sách trở nên có hiệu lực
• Tổng hợp các chính sách
– If policies conflict, discrepancies may create
security vulnerabilities
Trang 5Mục tiêu của An toàn BM
• Ngăn chặn - Prevention
– Prevent attackers from violating security policy
• Phát hiện - Detection
– Detect attackers’ violation of security policy
• Phục hồi - Recovery
– Stop attack, assess and repair damage
– Continue to function correctly even if attack
succeeds
Trang 6Các loại kỹ thuật An toàn BM
set of reachable states set of secure states
Trang 7Xây dựng hệ thống tin cậy
• Đặc tả - Specification
– Requirements analysis
– Statement of desired functionality
• Thiết kế - Design
– How system will meet specification
• Thực thi - Implementation
– Programs/systems that carry out design
Trang 8Vấn đề tác nghiệp
• Cost-Benefit Analysis
– Is it cheaper to prevent or recover?
• Risk Analysis
– Should we protect something?
– How much should we protect this thing?
• Laws and Customs
– Are desired security measures illegal?
– Will people do them?
Trang 9Vấn đề con người
• Organizational Problems
– Power and responsibility
– Financial benefits
• People problems
– Outsiders and insiders
– Social engineering
Trang 10Gắn kết các vấn đề
Threats
Policy
Specification
Design
Implementation
Operation
Trang 11Key Points
• Policy defines security, and mechanisms
enforce security
– Confidentiality
– Integrity
– Availability
• Trust and knowing assumptions
• Importance of assurance
• The human factor