Bài giảng An toàn hệ thống thông tin

Mục tiêu bài giảng nhằm giúp người học hiểu biết và vận dụng thực tiễn các vấn đề trong an toàn: mối đe dọa, biện pháp ngăn chặn
ánh giá độ an toàn của các hệ thống thông tin; hướng đến quy tắc xây dựng chính sách an toàn cho các hệ thống thông tin; cài đặt các giải thuật mật mã, phương thức và giao thức bảo mật an toàn hệ thống thông tin.

Hải V Phạm

Bộ môn HTTT – Viện CNTT&TT

ại học Bác Khoa Hà Nội

Tên học phần:

An toàn Hệ thống Thông tin

Thời lượng: 12 buổi (x 4 tiết)

Thời khóa biểu: 1 buổi / tuần

ánh giá:

◦ iểm quá trình (0,3): bài tập về nhà và bài tập nhóm

(viết chương trình, cấu hình hệ thống bảo mật)

◦ iểm cuối kỳ (0,7): thi viết kết thúc học phần

Introduction to Computer Security

Matt Bishop

Security in Computing, Fourth Edition

Charles P Pfleeger,Shari Lawrence Pfleeger

Handbook of Applied Cryptography

A Menezes, P van Oorschot and S Vanstone

An toàn & Bảo mật Thông tin

TS Nguyễn Khánh Văn

Các Bài giảng về An toàn Máy tính

H Berkerley, MIT, H Edinburgh

http://msande91si.stanford.edu

Hiểu biết và vận dụng thực tiễn các vấn đề

trong an toàn: mối đe dọa, biện pháp ngăn

chặn

ánh giá độ an toàn của các hệ thống thông

tin

Hướng đến quy tắc xây dựng chính sách an

toàn cho các hệ thống thông tin

Cài đặt các giải thuật mật mã, phương thức

và giao thức bảo mật an toàn hệ thống thông

tin

Thiệt hại an toàn HTTT

Thiệt hại thời gian:

Thiệt hại kinh tế: ~ tỷ USD hàng năm

1 Vi rút

2 Từ chối dịch vụ

Tài sản: phần cứng, phần mềm, dữ liệu

Mối đe dọa: phá hoại, can thiệp, sửa đổi

Biện pháp ngăn chặn: mã hóa, kiểm soát

thông qua phần mềm/phần cứng/các chính

sách

10 Principles of Information Security - Chapter 1

Các mục tiêu:

Tính bí mật (Confidentiality) – người sở hữu

dữ liệu không muốn dữ liệu / thông tin bị đọc

bất hợp pháp

Tính toàn vẹn (Integrity) – dữ liệu / thông tin

phải không được sửa đổi bất hợp pháp

Tính sẵn sàng (Availability) – đảm bảo những

người có quyềnsẽ truy cập dữ liệu / thông tin

thành công

Phần mềm ác tính (Malware)

Phishing

Pharming

Spam

Từ chối dịch vụ (Denial of service)

Truy nhập trái phép (Unauthorized access)

Giao dịch gian lận (Fraudulent transaction)

…

5

Xem trộm thông tin (Release of Message

Content)

Khóa

…

Mô hình phòng chống xâm nhập và phá hoại

hệ thống

Mô hình bảo mật truyền thông tin trên mạng

truy cập và mã hóa

truy cập và các ràng buộc toàn vẹn về ngữ nghĩa

hồi (recovery mechanism) và dùng kỹ thuật dò

tìm tấn công từ chối dịch vụ (DoS)

HànhHành đđđộngngng ccccụ thththể::::

◦ ưa ra chính sách bảo mật.

◦ Lựa chọn cơ chế thỏa mãn chính sách.

◦ ảm bảo rằng cả cơ chế lẫn chính sách đề ra là vững

chắc

Mật mã học

An toàn phần mềm

An toàn hệ điều hành

An toàn cơ sở dữ liệu

An toàn mạng, Web

Mật mã học

◦ Hệ Mật mã không khóa

◦ Hệ Mật mã khóa bí mật

◦ Hệ Mật mã khóa công khai

◦ Hàm băm, chữ ký số

◦ Quản lý khóa, giao thức mật mã,…

An toàn phần mềm

◦ Các mối đe dọa

◦ Các biện pháp an toàn

Soát lỗi

Kiểm định

Lập trình an toàn

An toàn hệ điều hành

◦ Các mối đe dọa

◦ Các biện pháp an toàn

Phân quyền, iều khiển truy nhập, Trusted computing