bài giảng môn an toàn và bảo mật thông tin

Internet Security: Cryptographic principles, algorithms and protocols.. Solomon, Fundamentals of Information Systems Security, Jones & Bartlettlearning, 2012.. Mattord, Principles of inf

Trang 1

An toàn và b o m t thông tin

B môn CNTT - Khoa HTTT Kinh t & TM T 1

– Khái ni m chung v an toàn và b o m t thông tin

• An toàn và b o m t thông tin

• Vai trò c a an toàn và b o m t thông tin

• Nguy c và phân lo i các nguy c

• Lu t, ngh đ nh v ATBM thông tin Vi t Nam

• Lu t và chính sách v ATBM thông tin qu c t

• nh h ng phát tri n v ATBM thông tin c a Vi t Nam

Trang 2

3 N i dung h c ph n (tt)

• Ch ng 2: Các hính th c t n công và r i ro c a h th ng

– 2.1 T ng quan v t n công h th ng thông tin

• 2.1.1 Khái ni m t n công và phân lo i

• 2.1.2 M t s ph ng th c t n công th đ ng

• 2.1.3 M t s ph ng th c t n công ch đ ng – 2.2 R i ro và đánh giá r i ro cho h th ng thông tin

• 2.2.1 Khái ni m r i ro c a h th ng

• 2 2 2 Xác 2.2.2 Xác đ nh r i ro và đánh giá đ nh r i ro và đánh giá

• 2.2.3 Các chi n l c và ph ng th c ki m soát r i ro – 2.2 Các hình th c t n công vào HTTT DN Vi t Nam hi n nay

• 2.2.1 T i ph m công ngh cao Vi t Nam

• 2.2.2 Các m i đe d a đ i v i HTTT doanh nghi p

• 2.2.3 Các ki u t n công vào HTTT doanh nghi p – 2.3 Nh ng xu h ng t n công trong t ng lai

• 3.2.1 Các khái ni m liên quan đ n mã hóa

• 3.2.3 Các thu t toán mã hóa đ i x ng

• 3.2.4 Các thu t toán mã hóa không đ i x ng

4) Man Young Rhee Internet Security: Cryptographic principles,

B môn CNTT - Khoa HTTT Kinh t & TM T

4) Man Young Rhee Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons, 2003.

5) David Kim, Michael G Solomon, Fundamentals of Information Systems Security, Jones & Bartlettlearning, 2012.

6) Michael E Whitman, Herbert J Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012.

7) Matt Bishop, Introduction to Computer Security, Prentice Hall,

2004.

10

T NG QUAN V AN TOÀN B O M T THÔNG TIN

• Khái ni m chung v an toàn và b o m t thông tin

– An toàn và b o m t thông tin – Vai trò c a an toàn và b o m t thông tin – Nguy c và phân lo i các nguy c – Phòng tránh và ph c h i thông tin

• M c tiêu và yêu c u c a an toàn và b o m t thông tin

M tiê

– M c tiêu – Yêu c u và quy trình chung – Mô hình an toàn và chính sách b o m t

• Chính sách pháp lu t c a nhà n c

– Lu t, ngh đ nh v ATBM thông tin Vi t Nam – Lu t và chính sách v ATBM thông tin qu c t – nh h ng phát tri n v ATBM thông tin c a Vi t Nam

Trang 3

Ch ng 1:

T NG QUAN V AN TOÀN B O M T THÔNG TIN

Khái ni m chung v an toàn và b o m t thông tin – An toàn và b o m t thông tin

– Vai trò c a an toàn và b o m t thông tin

– Phòng tránh và ph c h i thông tin

Ch ng 1: T NG QUAN V AN TOÀN B O M T THÔNG TIN

Khái ni m v an toàn và b o m t thông tin

– Gi m o– …

h i

• B o m t h th ng làgì?

– m b o tính bí m t– m b o tính toàn v n

m b o tính s n

B o m t h th ng thông tin

– m b o tính s nsàng

• B o m t HTTT là gì?

– Các công c ?– Các bi n pháp?

– Th c hi n nh thnào?

Các vùng c n m b o an toàn thông tin trong HTTT

– Vùng ng i dùng (User domain)

– Vùng máy tr m (Workstation domain)

– Vùng m ng LAN (LAN domain)

– Vùng LAN-to-WAN (LAN-to-WAN domain)

– Vùng WAN (WAN domain)

– Vùng truy nh p t xa (Remote Access domain)

– Vùng h th ng/ ng d ng (Systems/Applications

domain)

Các vùng c nđ m b o an toàn thông tin trong HTTT

Trang 4

• Vì sao ATBM TT có vai trò quan tr ng ?

• Giá tr c a thông tin?

• L i th c nh tranh c a t ch c ?

Vai trò c a an toàn và b o m t thông tin

• Uy tín th ng hi u và s phát tri n?

• …

• Nguy c và phân lo i các nguy c

– Phân lo i các nguy c

• Ng u nhiên

Nguy c m t an toàn và b o m t thông tin

• Ng u nhiên

• Có ch đ nh

– Nguyên nhân?

Ví d các nguy c c xem xét trong h th ng t

https://www.complianceforge.com(2016)

• Nguy c trong DN hi n nay:

– T các y u t k thu t ?– Do l p k ho ch, tri n khai, th c thi, v n hành ?– Do quy trình, chính sách an ninh b o m t ?

– Do y u t ng i ? – Do h t ng CNTT? H t ng truy n thông?

– Do th m ho t thiên nhiên ho c con ng i

Khái ni m chung v an toàn và b o m t thông tin

• Th ng kê 09/2014 c a http://www.edelman.com

Ch ng 1: T NG QUAN V AN TOÀN B O M T THÔNG

Trang 5

• Phòng tránh là gì?

– Khái ni m

– Bi n pháp th c hi n

• K thu t

• Kh c ph c

– Kh c ph c là gì?

– Vì sao c n kh c ph c?

– Các bi n pháp k thu t?

• M c tiêu c a ATBM TT– Phát hi n các nguy c– Nghiên c u các bi n pháp ng n ch n– Nghiên c u và càiđ t các bi n pháp ph c h i

M c tiêu và yêu c u c a an toàn b o m t thông tin

Trang 6

– Phát hi n vi ph m tính toàn v n?

– Phát hi n vi ph m tính s n sàng?

– Phát hi n các gian l n trong giao d ch?

Xác đ nh

ánh giá

• Mô hình b o m t theochi u sâu

– T ngoài vào trong– T m c th pđ n m ccao

– T m c t ng quátđ nchi ti t

• Các m c b o v

trong mô hình theo

chi u sâu

– Các bi n pháp?

Chuy n i liên quan à

Bên th ba áng tin

Bên nh n

Kênh thô ti

Mô hình an toàn trong truy n thông tin

Trang 7

• Chính sách b o m t theo l p

– L p an ninh c quan/t ch c (Plant Security)

• L p b o v v t lý

• L p chính sách & th t c đ m b o ATTT– L p an ninh m ng (Network Security)

• L p an ninh cho t ng thành ph n m ng

• T ng l a, m ng riêng o (VPN)– L p an ninh h th ng (System Security)

Chính sách pháp lu t c a nhà n c v an toàn b o m t thông tin

Lu t s : 103/2016/QH13: Lu t báo chí– Lu t s : 051/2005/QH11: Lu t giao d chđi n t– Lu t s : 041/2009/QH12: Lu t vi n thông– Lu t s : 059/2010/QH12: Lu t b o v ng i tiêudùng

– Lu t s : 005/2011/QH13: Lu t c y u– Lu t s : 016/2012/QH13: Lu t qu ng cáo– Lu t s : 067/2006/QH11: Lu t Công ngh thông tin

B môn CNTT - Khoa HTTT Kinh t & TM T 39 B môn CNTT - Khoa HTTT Kinh t & TM T 40

• Tham kh o t : http://www.right2info.org

– Principles on National Security and the Right to

Information (Các nguyên t c cho an ninh qu c gia vàquy n thông tin)

– Các nguyên t c nàyđã đ c phát tri n nh m h ng

d n nh ng ng i tham gia so n th o, s ađ i ho c

th c thi lu t pháp ho c cácđi u kho n liên quan đ n

th m quy n c a chính ph đ gi l i thông tin đ m

b o an ninh qu c gia ho cđ tr ng ph t vi c ti t lthông tin c a các t ch c, cá nhân

• PART I: GENERAL PRINCIPLES– Principle 1: Right to Information– Principle 2: Application of these Principles– Principle 3: Requirements for Restricting the Right to Information on National Security Grounds

Information on National Security Grounds– Principle 3: Requirements for Restricting the Right to Information on National Security Grounds

– Principle 5: No Exemption for Any Public Authority– Principle 6: Access to Information by Oversight Bodies– Principle 7: Resources

– Principle 8: States of Emergency

Trang 8

• PART II: INFORMATION THAT MAY BE WITH HELD ON NATIONAL

SECURITY GROUNDS, AND INFORMATION THAT SHOULD BE

DISCLOSED

– Principle 9: Information That Legitimately May Be

Withheld

– Principle 10: Categories of Information with a High

Presumption or Overriding Interest in Favour of

• C Structures and Powers of Government

• D Decisions to Use Military Force or Acquire Weapons of Mass Destruction

• E Surveillance

• PART IIIA: RULES REGARDING LASSIFICATION AND DECLASSIFICATION OF INFORMATION

– Principle 11: Duty to State Reasons for Classifying Information

– Principle 12: Public Access to Classification Rules

– Principle 13: Authority to Classify– Principle 14: Facilitating Internal Challenges to Classification

– Principle 15: Duty to Preserve, Manage, and Maintain National Security Information

– Principle 16: Time Limits for Period of Classification– Principle 17: Declassification Procedures

• PART IIIB: RULES REGARDING HANDLING OF

REQUESTS FOR INFORMATION

– Principle 18: Duty to Consider Request Even if Information Has

Been Classified

– Principle 19: Duty to Confirm or Deny

– Principle 20: Duty to State Reasons for Denial in Writing

– Principle 21: Duty to Recover or Reconstruct Missing Information

P i i l 22 D t t Di l P t f D t

– Principle 22: Duty to Disclose Parts of Documents

– Principle 23: Duty to Identify Information Withheld

– Principle 24: Duty to Provide Information in Available Formats

– Principle 25: Time Limits for Responding to Information Requests

– Principle 26: Right to Review of Decision Withholding Information

• PART IV: JUDICIAL ASPECTS OF NATIONAL SECURITY AND RIGHT TO INFORMATION

– Principle 27: General Judicial Oversight Principle– Principle 28: Public Access to Judicial ProcessesPrinciple 29: Party Access to Information in Criminal

– Principle 29: Party Access to Information in Criminal Proceedings

– Principle 30: Party Access to Information in Civil Cases

• PART V: BODIES THAT OVERSEE THE SECURITY

SECTOR

– Principle 31: Establishment of Independent Oversight Bodies

– Principle 32: Unrestricted Access to Information Necessary for

Fulfillment of Mandate

– Principle 33: Powers and Resources and Procedures Necessary to

Ensure Access to Information

– Principle 34: Transparency of Independent Oversight Bodies

– Principle 35: Measures to Protect Information Handled by Security

Sector Oversight Bodies

– Principle 36: Authority of the Legislature to Make Information Public

• PART VI: PUBLIC INTEREST DISCLOSURE BY PUBLIC PERSONNEL

– Principle 37: Categories of Wrongdoing– Principle 38: Grounds, Motivation, and Proof for Disclosures of Information Showing Wrongdoing– Principle 39: Procedures for Making and Responding to

P t t d Di l I t ll t O i ht B di

Protected Disclosures Internally or to Oversight Bodies– Principle 40: Protection of Public Disclosures– Principle 41: Protection against Retaliation for Making Disclosures of Information Showing Wrongdoing– Principle 42: Encouraging and Facilitating Protected Disclosures

– Principle 43: Public Interest Defence for Public Personnel

Trang 9

• PART VII: LIMITS ON MEASURES TO SANCTION OR

RESTRAIN THE DISCLOSURE OF INFORMATION TO

THE PUBLIC

– Principle 44: Protection against Penalties for Good Faith,

Reasonable Disclosure by Information Officers

– Principle 45: Penalties for Destruction of, or Refusal to Disclose,

Information

– Principle 46: Limitations on Criminal Penalties for the Disclosure

of Information by Public Personnel

– Principle 47: Protection against Sanctions for the Possession

and Dissemination of Classified Information by Persons Who

Are Not Public Personnel

– Principle 48: Protection of Sources

– Principle 49: Prior Restraint

• PART VIII: CONCLUDING PRINCIPLES

– Principle 50: Relation of These Principles to Other Standards

• ANNEX A: PARTNER ORGANIZATIONS

– ATTTs là m t tr c t đ phát tri n CNTT, CP T…

– ATTTs là m t b ph n c a QPANQG

– ATTTs là m t ngành kinh t công nghi p, d ch v công

ngh cao

– ATTTs là m t l nh v c đ c thù u tiên s n ph m, t ch c

n i đ a

– ATTTs là m t l nh v c nóng trong đ i ngo i

– ATTTs là s nghi p c a toàn xã h i

K t thúc ch ng I

• Trình bày các khái ni m v an toàn thông tin ? b o m t h th ng thông tin?

• Nêu và phân tích vai trò c a ATBM TT trong DN?

• Nguy c là gì? Trình bày các lo i nguy c m t ATTT ?

• Các nguy c t n công vào HTTT c a DN ?

• M c tiêu c a an toàn b o m t thông tin?

• Các yêu c u an toàn và b o m t thông tin?

• Phân tích quy trình chung đ m b o ATBM TT ?

• Trình bày và phân tích mô hình truy n thông tin an toàn?

• Chính sách và pháp lu t Vi t Nam v i ATBM TT?

• Chính sách và pháp lu t qu c t trong đ m b o ATTT?

• nh h ng phát tri n ATTT c a Vi t Nam?

• Vì sao ATTT và BM h th ng thông tin là không th thi u trong th i

– 2.1 T ng quan v t n công h th ng thông tin

• 2.1.1 Khái ni m t n công và phân lo i

• 2.1.2 M t s ph ng th c t n công th đ ng

• 2.1.3 M t s ph ng th c t n công ch đ ng – 2.2 R i ro và đánh giá r i ro cho h th ng thông tin

• 2.2.1 Khái ni m r i ro c a h th ng

• 2.2.2 Xác 2.2.2 Xác đ nh r i ro và đánh giá đ nh r i ro và đánh giá

• 2.2.3 Các chi n l c và ph ng th c ki m soát r i ro – 2.2 Các hình th c t n công vào HTTT DN Vi t Nam hi n nay

• 2.2.1 T i ph m công ngh cao Vi t Nam

• 2.2.2 Các m i đe d a đ i v i HTTT doanh nghi p

• 2.2.3 Các ki u t n công vào HTTT doanh nghi p – 2.3 Nh ng xu h ng t n công trong t ng lai

Trang 10

Ch ng 2:

Các hình th c t n công và r i ro c a h th ng

T ng quan v t n công h th ng thông tin

• Security analyst: nhân viên phân tích an ninh

• Vulnerability analyst: nhân viên phân tích l h ng an ninh

• Artifact analyst: nhân viên phân tích hi n v t.

Ch ng 2:

7 b c c b n c a m t cu c t n công hi n nay

57

 K ch b n

 Thu th p thông tin

 Thu th p các thông tin xa h n

Trang 11

Ch ng 2:

Phân tích l u l ng

D li u truy n t Bob > Alice (D li u ã mã hóa), Darth l y c d li u

nh ng không hi u > phân tích lu ng thông tin phán oán

61

Ch ng 2:

M ng LAN M ng không dây (Wireless LAN)

Gi m o Darth gi m o thông i p c a Bob r i g i cho Alice, Ch áp

d ng v i m ng b o m t kém, không có mã hóa hay xác th c

64

Ch ng 2:

Thay i thông i p Thông i p t Bob b Darth ch n l i, s a i r i m i g i l i cho Alice

=> Alice không bi t thông i p ã b s a i

65

Ch ng 2:

T n công làm trDarth l y c 1 gói tin t Bob, i 1 th i gian nào ó r i g i

Trang 12

• M t s công c và k thu t h tr t n

công:

– Công c quét l h ng (Vulnerability scanners)

– Công c quét c ng d ch v (Port scanners)

Ch ng 2:

Công c quét c ng d ch v (Port scanners)– Công c nghe lén (Sniffers)

– Công c ghi phím gõ (Keyloggers)

T nhi u n i ng lo t g i

ào t các gói tin v i s l ng

r t l n

 M c ích chi m d ng tài nguyên, làm quá t i ng truy n c a m t m c tiêu xác

• Các Master => chi m quy n đi u

khi n các Slave => các Master s

yêu c u Slave g i các gói tin =>

- Reflector nh n các gói tin => tr

l i theo đ a ch trong gói tin => vô

Trang 13

– T n công ki u Social Engineering

– T n công phising, pharming

CÁC NGUY C TRONG H TH NG

Ch ng 2:

B n đ lây nhi m mã đ c và virus trên th

gi i quý III/2016

Vi t Nam trên b n đ t n công n m 08/2017

Trang 14

• C u trúc tiêu chu n ISO/IEC 27001: 2013

– i u kho n 10 - C i ti n h th ng theo nguyên

t c P-D-C-A (Plan – Do – Check – Action)

Quy trình ISMS Quy trình qu n lý r i ro an toàn thông tin

L p k ho ch

Thi t l p ng c nh ánh giá r i ro Phát tri n k ho ch x lý r i ro

Ch ng 2: Các hình th c t n công và r i ro c a h th ng

R i ro và ánh giá r i ro cho HTTT (ISO 27001:2013)

TCVN ISO/IEC XXXX:2012 ISMS và quy trình qu n lý r i ro an toàn thông tin (ISRM)

Phát tri n k ho ch x lý r i ro

Ch p nh n r i ro

Th c hi n Tri n khai k ho ch x lý r i ro

Ki m tra Liên t c giám sát và soát xét r i ro

Hành đ ng Duy trì và c i ti n QT qu n lý r i ro an toàn thông tin

• ánh giá r i ro

– Nh n bi t r i ro

• Xác đ nh nguyên nhân, ngu n phát sinh r i ro

• Các tài s n trong ph m vi đã đ c thi t l p

• Ph ng pháp phân tích r i ro

• ánh giá các h u qu

• ánh giá kh n ng x y ra s c

• Xác đ nh m c đ r i ro– c l ng r i ro

• DS các r i ro cùng v i các m c đ giá tr đ c đ nh rõ và các tiêu chí c l ng r i ro

• Các tiêu chí c l ng r i ro và các tiêu chí ch p nh n r i ro

• Quy trình tri n khai ISMS Vi t Nam

Ki m soát r i ro cho HTTT (ISO 27001:2013)

Ch ng 2:

Các hình th c t n công vào HTTT hi n nay

Trang 15

Ch ng 2:

• T i ph m công ngh cao Vi t Nam

– Khái ni m– Th c tr ng

đã c nh báo và kh c ph c đ c 3.885 s c– VNCERT c ng ghi nh n 1.451.997 l t đ a ch IP c n c

Ch ng 2:

b nhi m mã đ c và n m trong các m ng Botnet trong đó

g i c nh báo cho 3.779 l t đ a ch IP c a các c quan nhà

n c; đi u ph i, yêu c u ng n ch n 7.540 đ a ch máy ch

đi u khi n m ng Botnet và bóc g mã đ c t i 1.200.000 đ a

ch IP t i các máy b nhi m thu c qu n lý c a các doanh nghi p ISP

– VNCERT ph i h p v i các t ch c qu c t x lý và ng n

ch n 200 website gi m o (gi m o gi y phép do B TT&TT

c p, gi m o webmail c a VNN, VDC, gi m o website Ngân hàng Nhà n c…)

Ch ng 2:

Các ki u t n công h th ng thông tin

Ch ng 2:

– T n công b đ ng (Passive attack)– T n công r i rác (Distributed attack)– T n công Phishing

– T n công các h th ngđi u ph i sân bay (Hijack attack)

Ch ng 2:

Các xu h ng t n công b ng k thu t

attack)– T n công khai thác (Exploit attack)– T n công gây tràn b đ m (Buffer overflow attack)– T n công t ch i d ch v ( Denial of service attack)– T n công ki u ng iđ ng gi a - Man-in-the-Middle Attack

– T n công phá mã khóa (Compromised-Key Attack)

Định dạng
Số trang	31
Dung lượng	2,6 MB