Bài giảng An toàn bảo mật thông tin doanh nghiệp

Bài giảng An toàn bảo mật thông tin doanh nghiệp với mục tiêu cung cấp những kiến thức cơ bản về an toàn và bảo mật thông tin cho hệ thống thông tin doanh nghiệp; cung cấp thông tin về các nguy cơ tấn công và phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp;... Mời các bạn cùng tìm hiểu và tham khảo nội dung thông tin tài liệu.

Bộ môn CNTT Khoa Hệ thống thông tin Kinh tế

Cung cấp những kiến thức cơ bản về an toàn và bảo mật thông tin cho HTTT doanh nghiệp

Cung cấp thông tin về các nguy cơ tấn công vàCung cấp thông tin về các nguy cơ tấn công và phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp

Giới thiệu một số ứng dụng của công nghệ trong đảm an toàn và bảo mật thông tin doanh nghiệp

 Nắm vững các kiến thức cơ bản về an toàn và

bảo mật thông tin doanh nghiệp

 Có kiến thức về các nguy cơ tấn công và và cácCó kiến thức về các nguy cơ tấn công và và các

phương pháp đảm bảo an toàn cho hệ thống

thông tin doanh nghiệp

 Sử dụng được một số ứng dụng đã có trong việc

đảm bảo an toàn thông tin doanh nghiệp

sau:

Nội dung lý thuyết và thảo luận 30 tiết (15 buổi)

Thời gian: 11 tuần lý thuyết, 1 kiểm tra và 3 thảo luận

Email: hoint2002@gmail.com

Bài giảng: http://nguyenthihoi.com

Chương 1:

▪Tổng quan về an toàn và bảo mật thông tin doanh nghiệp

Chương 2:

▪Các hình thức tấn công vào thông tin doanh nghiệp

Chương 3:

Chương 3:

▪ Các phương pháp phòng tránh và khắc phục

 Chương 4:

▪Các hệ mã hóa

 Chương 5:

▪ Ứng dụng công nghệ trong an toàn và bảo mật thông tin

 [1] Giáo trình An toàn dữ liệu, Bộ môn CNTT, Đại

học Thương Mại, 2007

 [2] Phan Đình Diệu, Lý thuyết mật mã và an toàn thông tin, Đại học Quốc gia Hà Nội, 1999.

 [3] William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition,

Prentice Hall, 2005

 [4] Man Young Rhee Internet Security:

Cryptographic principles, algorithms and protocols

John Wiley & Sons, 2003

 1 Khái niệm

▪ An toàn và bảo mật thông tin

▪ Vai trò ATBM trong DN

▪ Các nguy cơ

▪ Phân loại các nguy cơ

▪ Các nguy cơ thực tế của doanh nghiệp Phòng tránh

▪ Phòng tránh

▪ Khắc phục

 2 Mục tiêu và yêu cầu của ATBMTTDN

▪ Mục tiêu

▪ Yêu cầu

▪ Quy trình

 3 Mô hình và định hướng ATBMTTDN

▪ Mô hình

▪ Định hướng

=> Thông tin không bị hỏng hóc, không bị sửa đổi và không bị mất mát

 Một hệ thống thông tin được coi là an toàn khi thông

tin không bị làm hỏng hóc, không bị sửa đổi, thay

đổi, sao chép hoặc xóa bỏ bởi người không được

phép

 Một hệ thống thông tin an toàn thì các sự cố có thể

xảy ra không thể làm cho hoạt động chủ yếu của nó

ngừng hẳn và chúng sẽ được khắc phục kịp thời

mà không gây thiệt hại đến mức độ nguy hiểm cho

chủ sở hữu

 Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn

và tính sẵn sàng của thông tin

Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi

những người được cấp quyền tương ứng

Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của

thông tin và thông tin chỉ được thay đổi bởi những người

được cấp quyền

Tính sẵn sàng của thông tin là những người được quyền

sử dụng có thể truy xuất thông tin khi họ cần”

 Hệ thống được coi là bảo mật (confident) nếu tính

riêng tư của nội dung thông tin được đảm bảo theo

đúng các tiêu chí trong một thời gian xác định

Những sản phẩm như Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng,

hệ điều hành…ệ

Những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ máy trạm…

Là những người sử dụng máy tính, những người làm việc với thông tin và sử dụng máy tính trong công việc của mình

9/10/2014 Bộ môn CNTT 13

So sánh 1 số nước: HQ: 62%, Singapore: 68%,

…

Về trang thiết bị:

Gần 70% số CQNN đã sử dụng firewall cứng

hoặc mềm

Hầu hết chưa trang bị thiết bị phát hiện và phòngHầu hết chưa trang bị thiết bị phát hiện và phòng

chống thâm nhập IDS, IPS

mềm diệt virus, nhưng đa số là phần mềm không

có bản quyền

 Vai trò:

-ATBM có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp

- Thông tin là tài sản vô giá của các doanh nghiệp

- Rủi ro về thông tin của mỗi doanh nghiệp có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp

- Rủi ro thông tin doanh nghiệp ảnh hưởng uy tín & sự phát triển của doanh nghiệp nhưng lại là vấn đề rất khó tránh khỏi

=> ATBM không phải là công việc của riêng người làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp

Ngẫu nhiên (nguyên nhân khách quan)

▪Thiên tai, hỏng vật lý, mất điện, …

Có chủ định (nguyên nhân chủ quan)

▪Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệpTin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp

có chủ ý, …

Từ con người:

Tin tặc, phishing, pharming, …

Người đảm bảo an toàn thông tin phải luôn luôn cập nhật các kiến thức bảo

mật mới hạn chế được các nguy cơ tấn công ngày càng gia tăng như ngày nay!

Nguy cơ do yếu tố kỹ thuật (thiết bị mạng, máy chủ, hệ thống thông tin , )

 Nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành(vòng đời)

 Nguy cơ trong quy trình, chính sách an ninh bảo mật…

 Nguy cơ do yếu tố người: vận hành, đạo đức nghề nghiệp

 Hơn 71% các tổ chức cho phép nhân viên dùng

thiết bị di động trong khi làm việc

 Trên thế giới có hơn 2 tỷ chiếc smartphone đang

hoạt động

 Trong đó có 68,8% dùng Android, 18.8% dùng

Apple, 4,5% dùng RIM và 5,8% dùng OS khác trong

khi đó Malware tấn công vào OS thì có đến 79% tấn

công vào Android, 19% vào Symbian và 2% vào các

OS khác

 Hơn 350.000 mã độc tấn công vào OS trong 12

phút, 1.000.000 mã độc tấn công OS trong 13’

B) Nguy cơ từ môi trường bên ngoài

-Môi trường: hạ tầng năng lượng, truyền thông, thảm

hoạ từ thiên nhiên hoặc con người

-Các doanh nghiệp càng lớn càng là mục tiêu củag p g g

nhiều đối tượng tấn công từ trong nước và quốc tế

phương pháp, phương tiện, kỹ thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải

Phòng tránh từ bên trong

▪Yếu tố con người, hệ mã hóa, phần cứng, phần mềm, …

Phòng tránh từ bên ngoài

▪Yếu tố con người, mã độc, Internet, …

pháp, phương tiện và kỹ thuật nhằm phục hồi

lại tài nguyên hệ thống và các hoạt động chủ

yếu của nó

Phục hồi dữ liệu:

▪Backup, Recovery data, …

Phục hồi ứng dụng:

▪Backup, phần cứng, phần mềm chuyên dụng, …

3 Mục tiêu cơ bản

tin, dự đoán trước những nguy cơ tấn công

ấ

toàn thông tin từ bên trong cũng như bên ngoài

tấn công

 4 Yêu cầu

Tính bí mật (Secrecy)

▪ Đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị

xâm phạm bởi những người không được phép

Tính toàn vẹn (Integrity):

Tính toàn vẹn (Integrity):

▪ Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở

hữu

Tính sẵn sàng (Availability):

▪ Dữ liệu phải luôn trong trạng thái sẵn sàng

Tính tin cậy (Confidentiality)

▪ Thông tin người dùng nhận được là đúng

Tính sẵn sàng

‐ Doanh nghiệp phải đảm bảo 

đầy đủ các yếu tố của mô 

hình C‐I‐A: Confidentiality, 

Integrity, Availability

‐ Xây dựng trung tâm dự 

phòng thông tin trong tổng 

thể an ninh hệ thống phần 

nào đảm bảo tính liên tục 

(Availability) 

Xác định

Đánh giá

Giám sát rủi ro

Lựa chọn giải pháp

 Xác định

Bảo vệ cho ai? Bảo vệ cái gì? Bảo vệ như thế nào? =>

Rất quan trọng

 Đánh giá

Đ á biệ há ? Đá h iá hiệ ă hi hí độ

Đưa ra các biện pháp? Đánh giá hiệu năng, chi phí, độ an

toàn, …

 Lựa chọn giải pháp

Từ bước đánh giá lựa chọn giải pháp tối ưu có thể

 Giám sát rủi ro

Luôn luôn giám sát hoạt động => Xác định nguy cơ =>

…=> …=>

 A Mô hình đảm bảo an toàn trên máy đầu cuối

MỨC MẠNG MỨC VẬT LÝ

TÀI NGUYÊN

 Chống nguy cơ mất mát dữ liệu qua đường vật lý

 Đánh giá độ chịu đựng của hệ thống dữ liệu trước những sự cố bất ngờ

 Quản lý các truy nhập mức vật lý vào phần cứng lưu trữ

 Quản lý hoạt động của các thiết bị cần bảo vệ và thiết bị bảovệ để đảm bảo sự hoạt động của dữ liệu một cách ổn đinh

thi trong máy

Các file log dùng để theo dõi hoạt động của Các file log dùng để theo dõi hoạt động của

hệ thống

(trình diệt Virus, tường lửa)

để ngăn chặn sự xâm nhập trái phép từ Internet

Dùng các cơ chế quản lý và phân quyền Dùng các cơ chế quản lý và phân quyền người sử dụng

cũng như dò tìm Virus

 Dữ liệu được lưu trữ dưới dạng bản mã

Phân ra nhiều mức người sử dụng khác nhau

Phân ra nhiều mức người sử dụng khác nhau

Thiết lập cơ chế backup, lưu trên nhiều Server

mụcvà file

Dùng NTFS, hệ điều hành LINUX,

Bên thứ ba đáng tin

Bên nhận

Thông tin

bí mật

y liên quan đến an toàn

Thông tin

bí mật

y liên quan đến an toàn

Đối thủ Kênh thông tin

1.Nâng cao nhận thức về ATBM TT cho

doanh nghiệp

 1.ATTTs là một trụ cột để phát triển CNTT, CPĐT…

 Một trong 5 trụ cột (hạ tầng, công nghiệp, ứng dụng, nguồn nhân lực, ATTTs)

 Điều kiện tiên quyết để PT ƯD CNTT

 2.ATTTs là một bộ phận của QPANQG

 Địa bàn hoạt động do thám, tội phạm, khủng bố, chiến tranh Tác hại lớn đến cộng đồng ảnh hưởng đến KT ANQG TTATXH

 Tác hại lớn đến cộng đồng, ảnh hưởng đến KT, ANQG, TTATXH

 Bảo đảm an toàn thông tin liên lạc, giữ gìn bí mật quốc gia

 Giữ gìn bí mật kinh tế, đảm báo phát triển bền vững

 Bảo vệ chủ quyền QG trọng không gian số

 3.ATTTs là một ngành kinh tế công nghiệp, dịch vụ công nghệ cao

 Giá trị kinh tế cao, tăng trưởng nhanh (28%)

 Đầu tư đắt tiền, đòi hỏi tính hiệu quả cao

 Đòi hỏi trình độ cao về phát triển KHCN và nhân lực

 4.ATTTs là một lĩnh vực đặc thù ưu tiên sản phẩm, tổ chức nội địa

 Kế thừa tri thức tinh hoa quốc tế, phát huy nội lực

 Dịch vụ, hệ thống, công cụ, con người đòi hổi độ tin cậy cao

 5.ATTTs là một lĩnh vực nóng trong đối ngoại

 Xu hướng đồng thuận, hợp tác >< đấu tranh, do thám mạng

 Công ước Châu Âu về chống tội phạm mạng

 Công ước Châu Âu về chống tội phạm mạng

 Chiến lược quốc tế về không gian mạng của Mỹ, Anh,…

 Hội thảo quốc tế về không gian mạng: Đa số các nước có quan điểm đối thoại,

xây dựng các quy tắc ứng xử, đồng thuận

 Quan điểm “tự do internet” nhưng phải đảm bảo an ninh quốc gia và an toàn

cho người dân

 6 ATTTs là sự nghiệp của toàn xã hội

 CQ QLNN, thực thi & BV PL là nòng cốt + LL KHCN + cộng đồng + Xã hội

hóa + nâng cao thường xuyên nhận thức

-ATBM có vai trò đối với phát triển bền vững của doanh nghiệp

-ATBM không phải là công việc của riêng người làm CNTT trong doanh nghiệp mà là của tất cả mọi thành CNTT trong doanh nghiệp mà là của tất cả mọi thành viên trong tổ chức

-Doanh nghiệp cần có chính sách đầu tư thích đáng cho ATBM TTDN

56

•Rà soát, chỉnh sửa và hoàn thiện các quy định

nghiệp vụ theo hướng ứng dụng công nghệ cao

•Tiếp tục hoàn thiện các quy định về an ninh, bảo

mật hệ thống thông tin trong các đơn vị sản xuất kinh

doanh

•Từng bước xây dựng các các tiêu chuẩn chung đối

với một hệ thống thông tin trong các đơn vị sản xuất

kinh doanh

•Xây dựng quy chế xử lý rủi ro ứng dụng CNTT

57

•Thực hiện lộ trình áp dụng các tiêu chuẩn ATBM

•Từng đơn vị cụ thể hoá thành chính sách ATBM riêng & tổ chức thực hiện

•Các đơn vị thường xuyên tổ chức kiểm tra,đánh giá

về mức độ ATBM của doanh nghiệp mình nhằm phát hiện kịp thời và tăng cường mức độ đảm bảo ATTT cho doanh nghiệp

58

9/10/2014 Bộ môn CNTT 61 9/10/2014 Bộ môn CNTT 62

và bảo mật thông tin

bảo an toàn và bảo mật thông tin

DN