Slide Bảo mật thông tin

Bài thuyết trình gồm 4 phần chính:I. Thực trạng bảo mật thông tinII. Định nghĩa bảo mật thông tinIII. Quản trị bảo mậtIV. Các lỗ hỏng trong bảo mậtI. Thực trạng bảo mật thông tin 1. Các loại hình tấn công mạng chủ yếua. Hacker:Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng kiến thức của bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau. Có 3 loại hacker: Hacker mũ trắng Hacker mũ đen Ngoài ra còn có hacker  mũ xanh, mũ xám1. Các loại hình tấn công mạng chủ yếub. Virus máy tính:Virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình nên thường virus có các hành động như: cho một chương trình không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng…Những virus mới được viết trong thời gian gần đây đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm Chiếm trên 90% số virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thế giới. 

BẢO MẬT THÔNG TIN

BẢO MẬT THÔNG TIN

I Thực trạng bảo mật thông tin

1 Các loại hình tấn công mạng chủ yếu

a Hacker:

máy tính, mạng máy tính và dùng kiến thức của

bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau

I Thực trạng bảo mật thông tin

1 Các loại hình tấn công mạng chủ yếu

b Virus máy tính:

www.themegallery.com

 Virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình nên thường virus có các hành động như: cho một chương trình không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng…

 Những virus mới được viết trong thời gian gần đây đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm

 Chiếm trên 90% số virus đã được phát

hiện là nhắm vào hệ thống sử dụng hệ

điều hành họ Windows chỉ đơn giản bởi

hệ điều hành này được sử dụng nhiều

nhất trên thế giới. 

I Thực trạng bảo mật thông tin

1 Các loại hình tấn công mạng chủ yếu

c Sâu máy tính(Worm):

tìm cách lan truyền qua hệ thống mạng.

điệp để mở cửa hậu máy tính trên các máy tính bị

nhiễm

www.themegallery.com

I Thực trạng bảo mật thông tin

1 Các loại hình tấn công mạng chủ yếu

d Thư rác, thư điện tử:

Là các thư điện tử vô bổ thường chứa các loại quảng cáo được gửi một cách vô tội vạ và nơi nhận là một danh sách rất dài gửi từ các cá nhân hay các nhóm người và chất lượng của loại thư này thường thấp.

www.themegallery.com

I Thực trạng bảo mật thông tin

2 Các loại phần mềm

www.themegallery.com

Keylogger: Là phần mềm ghi lại chuỗi phím gõ của người

dùng.

Rootkit: Là một bộ công cụ phần mềm dành cho việc che giấu các tiến trình đang chạy, các file hoặc dữ liệu hệ thống

Phần mềm ác tính (malware): Là một loại phần mềm hệ thống do các tay tin tặc hay các kẻ nghịch ngợm tạo ra

nhằm gây hại cho các máy tính

Phần mềm tống tiền (ransomware): Là loại phần mềm dung một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá

nhân và đòi tiền chuộc thì mới khôi phục lại

Phần mềm gián điệp (spyware): Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại

I Thực trạng bảo mật thông tin

I Thực trạng bảo mật thông tin

3 Thực trạng

a Tình hình Thế Giới

www.themegallery.com

Năm 2007: “Xung đột mạng” ở Estonia

Năm 2008: Mạng lưới tuyệt mật của

Mỹ bị xâm nhập

Năm 2009: “Sâu”

Stuxnet tấn công nhà máy hạt nhân

của Iran

Năm 2012: Iran phản công Năm 2014: Sony “thất thủ”

Năm 2015: Vụ bê bối từ trang web

“ngoại tình”

Ashley Madison

Năm 2016: Hòm thư của Hillary Clinton bị hacker đột nhập

I Thực trạng bảo mật thông tin

3 Thực trạng

www.themegallery.com

Trong nửa đầu tháng 9/2014, đã có tổng cộng 1.039 website của Việt Nam bị tấn công, đây là con số cao nhất trong năm

2014

Còn trong 9 tháng đầu năm

2014, đã có 4.767 websites của Việt Nam

bị tấn công, tăng gấp đôi

so với các năm

từ 2011-2013

Năm 2014 đến nay có đến hơn 2,5 triệu hành vi dò quét, tấn công có mức độ nguy hiểm cao vào cổng thông tin của TP.HCM

Trong khoảng thời gian từ 26/8/2014 đến 17/11/2014 có đến 2.500 website của các cơ quan nhà nước bị tấn công(gov.vn)

II Định nghĩa bảo mật thông tin

Bảo mật thông tin

(information security)

• Là lĩnh vực liên quan đến việc xử lý ngăn ngừa và phát hiện những hành động bất hợp pháp/trái phép của người dùng

II Định nghĩa bảo mật thông tin

• Bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép.

• Tuỳ theo tính chất của thông tin mà mức độ bí mật của chúng có khác nhau

• Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố tách rời: sự tồn tại của thông tin và nội dung của thông tin đó

• Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu

• Tính toàn vẹn được xét trên 2 khía cạnh:toàn vẹn về nội dung và toàn vẹn về nguồn gốc.

• Sự tòan vẹn về nguồn gốc thông tin trong một số ngữ cảnh còn có ý nghĩa tương đương với sự đảm bảo tính không thể chối cãi (non-repudiation) của hệ thống thông tin.

• Là tính sẵn sàng của thông tin cho các nhu cầu truy xuất hợp lệ.

• Tính khả dụng là một yêu cầu rất quan trọng của hệ thống

• Tính khả dụng được xem là nền tảng của một hệ thống bảo mật

II Định nghĩa bảo mật thông tin

www.themegallery.com

2 Những đặc trưng của một hệ thống bảo

mật thông tin

Thương mại điện tử thêm một yếu tố nữa:

Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã làm

Trên thực tế, kỹ thuật mật mã được triển khai rộng rãi để đảm bảo tính bí mật và toàn vẹn của thông

tin được lưu trữ hay truyền nhận nhưng kỹ thuật này không bảo đảm cho tính sẵn sàng của hệ thống.

II Định nghĩa bảo mật thông tin

www.themegallery.com

3 Các mục tiêu của bảo mật

Để thực hiện mô hình CIA, người quản trị hệ thống cần định

nghĩa các trạng thái an toàn của hệ thống thông qua chính

sách bảo mật, sau đó thiết lập các cơ chế bảo mật để bảo vệ

chính sách đó Một hệ thống lý tưởng là hệ thống:

 Có chính sách xác định một cách chính xác và đầy đủ các

trạng thái an toàn của hệ thống;

 Có cơ chế thực thi đầy đủ và hiệu quả các quy định trong

chính sách

II Định nghĩa bảo mật thông tin

www.themegallery.com

3 Các mục tiêu của bảo mật

Xây dựng một hệ thống bảo mật, thì mục tiêu đặt

ra cho cơ chế được áp dụng phải bao gồm 3 phần

như sau:

II Định nghĩa bảo mật thông tin

www.themegallery.com

-mục tiêu thiết kế bao gồm các cơ chế nhằm chặn đứng các vi phạm đang diễn ra

(response) hoặc khắc phục hậu quả của vi phạm một cách nhanh chóng nhất với mức độ thiệt hại thấp nhất

(recovery) -phần quan trọng trong các cơ chế phục hồi là việc nhận diện sơ hở của hệ thống và điều chỉnh những

sơ hở đó

Phục hồi:

-Mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính sách đã và đang xảy

ra trên hệ thống -Thực hiện các cơ chế phát hiện rất phức tạp, phải dựa trên nhiều kỹ thuật

và nhiều nguồn thông tin khác nhau,chủ yếu dựa vào việc theo dõi và phân tích các thông tin trong nhật ký hệ thống (system log)

và dữ liệu đang lưu thôngtrên mạng (network traffic) để tìm ra các dấu hiệu của vi phạm

Phát hiện:

-Mục tiêu thiết kế

là ngăn chặn các vi phạm đối với chính sách

-Các cơ chế an toàn(securemecha nism) hoặc cơ chế chínhxác(precisem echanism) được thiết kế với mục tiêu ngăn chặn.

Ngăn chặn:

III Quản trị bảo mật

www.themegallery.com

1.Khái niệm:

Là việc một tổ chức sử dụng các phương thức để lập kế

hoạch, tập hợp, tạo mới, tổ chức, sử dụng, kiểm soát, phổ

biến và loại bỏ một cách hiệu quả các thông tin của tổ chức

đó

III Quản trị bảo mật

www.themegallery.com

1.Khái niệm:

Thông qua quản trị bảo mật thông tin, tổ chức có thể đảm bảo

rằng giá trị của các thông tin đó được xác lập và sử dụng tối đa

để hỗ trợ cho các hoạt động trong nội bộ tổ chức cũng như góp

phần nâng cao hiệu quả của bộ phận cung cấp thông tin

Các quy tắc trong bảo mật thông tin:

Phải suy nghĩ lại về cách thức xử lý thông tin cũng như cách thức phổ biến và thu thập thông tin cần mới mẻ hơn

Cần phải có sự chia sẻ thông tin nhiều hơn nữa giữa các tổ

III Quản trị bảo mật

www.themegallery.com

 Các thành phần trong lập kế hoạch bảo mật thông

tin:Chính sách an toàn thông tin,Tổ chức an toàn thông

tin,Quản lý tài sản

 Triển khai:

- Chính sách an toàn thông tin:

mục tiêu cung cấp định hướng và sự hỗ

trợ

- Tổ chức an toàn thông tin: mục

tiêu là đưa ra mô hình, cách thức tổ chức

các bộ phận cần thiết để đảm bảo việc

xây dựng, triển khai và thực hiện tuân

thủ các chính sách ATTT, duy trì ATTT và

các phương tiện xử lý thông tin của

doanh nghiệp được truy cập, xử lý,

truyền thông, hoặc được quản lý bởi các

tổ chức bên ngoài

- Quản lý tài sản: mục tiêu nhằm

đạt được và duy trì việc bảo vệ phù hợp

các tài sản của tổ chức

2 Lập kế hoạch bảo mật thông tin

III Quản trị bảo mật

www.themegallery.com

3 Lập kế hoạch dự phòng

Thảm họa đối với các hệ thống thông

tin có thể do nhiều nguyên nhân khác

nhau, dẫn đến tình trạng hệ thống

thông tin bị hư hỏng, tê liệt hoặc phải

ngừng hoạt động trong một thời gian

dài

Một kế hoạch dự phòng thảm họa CNTT

hoàn chỉnh bao gồm các chính sách, cơ cấu

tổ chức, cơ sở hạ tầng, các quy định, quy

trình và thủ tục, kế hoạch này sẽ chỉ hoàn

thiện khi tất cả các phần của bản kế hoạch

được cụ thể  hoá và được gắn kết lại với

nhau thành một chỉnh thể thống nhất

Kế hoạch phải được phát triển cùng với sự mở rộng về môi trường kinh doanh, mục tiêu kinh doanh cũng như những biến động trong môi trường CNTT

III Quản trị bảo mật

www.themegallery.com

4 Chính sách bảo mật thông tin

 Chính sách bảo mật toàn doanh nghiệp là tài liệu cấp cao đặc thù, tập hợp các luật đặc biệt của tổ chức, doanh nghiệp như những yêu cầu, quy định mà những người của tổ chức, doanh nghiệp đó phải thực hiện để đạt được các mục tiêu về an toàn thông tin, sẽ là tiền đề để doanh

nghiệp xây dựng các giải pháp bảo mật, xây dựng những quy trình đảm bảo an toàn hệ thống, đưa ra các hướng dẫn thực hiện, gắn kết yếu tố con người, quản trị, công nghệ để thực hiện mục tiêu an toàn hệ thống

 Để xây dựng được một bộ chính sách bảo mật tốt, trước tiên chúng ta cần xác định được các tài nguyên trong hệ thống, đánh giá mức độ quan trọng, phân loại chúng, khi xác định được đủ các tài nguyên thì bộ chính sách viết ra mới bao quát được toàn bộ tất cả những gì cần phải bảo vệ

 Bước tiếp theo sẽ là đánh giá các chức năng, quy trình hoạt động sử

dụng các tài nguyên, sau đó, xác định tài nguyên nào cần bảo vệ Từ đó đưa ra các chính sách bảo mật bảo vệ các User đó

III Quản trị bảo mật

www.themegallery.com

CHIẾN LƯỢC BẢO MẬT HỆ THỐNG AAA

III Quản trị bảo mật

www.themegallery.com

CHIẾN LƯỢC BẢO MẬT HỆ THỐNG AAA

Chiến lược bảo mật hệ thống AAA (access control, authentication,

auditing) là chiến lược nền tảng nhất để thực thi các chính sách bảo mật trên một hệ thống

Cơ sở của chiến lược này như sau:

1-Quyền truy xuất đến tất cả các tài nguyên trong hệ thống được xác định một cách tường minh và gán cho các đối tượng xác định trong hệ thống

2-Mỗi khi một đối tượng muốn vào hệ thống để truy xuất các tài nguyên, nó phải được xác thực bởi hệ thống để chắc chắn rằng đây là một đối tượng có quyền truy xuất

3-Sau khi đã được xác thực, tất cả các thao tác của đối đượng đều phải được theo dõi để đảm bảo đối tượng không thực hiện quá quyền hạn của mình

III Quản trị bảo mật

www.themegallery.com

CHIẾN LƯỢC BẢO MẬT HỆ THỐNG AAA

Tóm lại, AAA là phương pháp tiếp cận cơ bản nhất để thực hiện một hệ thống bảo mật theo mô hình CIA

-Thiết lập các cơ chế điều khiển truy xuất cho từng đối tượng (Access control)

-Xác thực các đối tượng trước khi cho phép thao tác trên hệ thống

(Authentication)

-Theo dõi các thao tác của đối tượng trên hệ thống (Auditing)

3 lĩnh vực của AAA

III Quản trị bảo mật

Các nguyên tắc cơ bản sau đây cũng góp phần vào việc thực hiện

thành công một hệ thống ISMS:

III Quản trị bảo mật

www.themegallery.com

Nhận thức về sự cần thiết của an

toàn thông tin;

Phân công trách nhiệm cho an toàn

thông tin;

Kết hợp cam kết quản lý và lợi ích

của các bên liên quan;

Nâng cao giá trị xã hội;

Việc đánh giá rủi ro quyết định các biện pháp kiểm soát thích hợp để đạt được

mức độ chấp nhận rủi ro;

Hợp tác về an ninh như một yếu tố thiết yếu của mạng lưới thông tin và hệ thống;

Phòng chống hoạt động và phát hiện các sự cố an toàn thông tin;

Đảm bảo một cách tiếp cận toàn diện để

quản lý an toàn thông tin; và

Đánh giá lại liên tục an toàn thông tin và thực hiện các sửa đổi cho phù hợp.

III Quản trị bảo mật

www.themegallery.com

Xây dựng hệ thống bảo mật theo ISMS

 Đảm bảo rằng thông tin của mình được bảo vệ đầy đủ chống lại các mối đe dọa liên tục;

 Duy trì một bộ khung tổng thể, có cấu trúc để xác định

và đánh giá rủi ro an toàn thông tin, lựa chọn và áp dụng các biện pháp kiểm soát khả dụng, đo lường và cải

thiện hiệu quả của chúng;

 Liên tục cải thiện môi trường kiểm soát;

 Tuân thủ pháp luật và các quy định một cách hiệu quả

b Tại

sao lại là

ISMS?

III Quản trị bảo mật

www.themegallery.com

Xây dựng hệ thống bảo mật theo ISMS

c Thiết lập, giám sát, duy trì và cải thiện một hệ thống

III Quản trị bảo mật

www.themegallery.com

CƠ CHẾ BẢO MẬT THÔNG TIN

1 KIỂM SOÁT TRUY CẬP

a Khái niệm: là một phần của một hệ thống an ninh chung mà tập trung vào việc quản lý tất cả các lối vào một cơ sở hoặc phòng cụ thể

III Quản trị bảo mật

www.themegallery.com

CƠ CHẾ BẢO MẬT THÔNG TIN

1 KIỂM SOÁT TRUY CẬP

b Lợi ích chính của một hệ thống kiểm soát truy cập

 Phòng chống - Kiểm soát truy cập quyền của người sử dụng để

ngăn chặn hành vi trộm cắp trước khi nó có thể xảy ra. 

 Bảo mật - Đặt báo động, thông báo hoặc trầm khóa khu vực để

giữ cho doanh nghiệp của bạn an toàn trong mọi tình huống. 

 Tầm nhìn - Chạy một loạt các báo cáo để biết những người truy

cập những gì và khi nào. 

 Peace of Mind - Biết rằng tài sản kinh doanh và nhân viên của

bạn được bảo vệ.

III Quản trị bảo mật

www.themegallery.com

CƠ CHẾ BẢO MẬT THÔNG TIN

2 Tường lửa

Tường lửa là rào chắn nhằm ngăn chặn người dùng mạng Internet

truy cập các thông tin không mong muốn

Chức năng chính của Firewall

 Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra

Internet). 

 Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). 

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. 

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. 

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng. 

 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

III Quản trị bảo mật

phân loại theo tiêu chí rằng tường lửa theo dõi

trạng thái của các kết nối mạng hay chỉ quan

tâm đến từng gói tin một cách riêng rẽ

III Quản trị bảo mật

www.themegallery.com

CƠ CHẾ BẢO MẬT THÔNG TIN

3 Hệ thống phát hiện xâm nhập

Là một hệ thống phòng chống, nhằm phát hiện các hành động tấn công vào một mạng

Chức năng: phòng chống cho một hệ thống máy

tính bằng cách phát hiện các dấu hiệu tấn công và

có thể đẩy lùi nó

III Quản trị bảo mật

III Quản trị bảo mật

www.themegallery.com

ĐẠO ĐỨC NGHỀ NGHIỆP

Đạo đức trong bảo mật thông tin

Năm quy tắc đạo đức trong an toàn thông tin

Giúp đỡ những người có tinh thần học hỏi

Tránh những điều có hại

Không phát tán những thông tin nguy hiểm

Sử dụng có chừng mực

Giữ bí mật

IV Các lỗ hỏng trong bảo mật

www.themegallery.com

1 Các nguyên nhân và các loại lỗ hỏng

a Yếu tố con người:

các doanh nghiệp và tổ chức thường quá chú trọng đến vấn đề đầu

tư vào công nghệ, phần cứng phần mềm tiên tiến nhằm giải quyết các vấn đề bảo mật

Trong khi đó, yếu tố con người thường

bị bỏ qua.

Các nhân viên trong doanh nghiệp khi được yêu cầu nhập mật khảu thì họ thường thích để trống hoặc

gõ địa chỉ nhà, ngày sinh vào nên việc bảo mật không đảm bảo

Ở hệ thống quản trị dữ liệu này thì nhân viên trong công

ty sẽ không bận tâm đến việc quản

lý và lưu trữ dữ liệu

vì hệ thống sẽ

tự động lưu trữ và sắp xếp ngăn nắp.

Cần phải có một sự cân đối giữa yếu

tố con người, chính sách, quy trình và công nghệ trong việc quản lý bảo mật nhằm giảm thiểu các nguy cơ nảy sinh trong môi trường kinh doanh số một cách hiệu quả nhất

Việc mã hóa không còn an toàn và sử dụng các phần mềm chất lượng không tốt cũng khiến cho số doanh nghiệp bị tấn công tăng lên