nhập môn an toàn thông tin « kimchidhcns blog

Các tính chất cần thiết để một hệ thống đảm bảo an toàn thông tin... Các phương pháp đảm bảo an toàn thông tin..[r]

1

NỘI DUNG

Tổng quan về CSDL quan hệ - Các khái niệm cơ bản

1

Data (dữ liệu) và information (thông tin)

Database System

Các khái niệm và các định nghĩa

cơ bản

• Data: s bi u di n c a các đ i t ự biểu diễn của các đối tượng và sự kiện (văn bản, ểu diễn của các đối tượng và sự kiện (văn bản, ễn của các đối tượng và sự kiện (văn bản, ủa các đối tượng và sự kiện (văn bản, ối tượng và sự kiện (văn bản, ượng và sự kiện (văn bản, ng và s ki n (văn b n, ự biểu diễn của các đối tượng và sự kiện (văn bản, ện (văn bản, ản,

hình nh, âm thanh,…) đ ản, ượng và sự kiện (văn bản, c ghi nh n, có ý nghĩa không rõ ận, có ý nghĩa không rõ ràng và đ ượng và sự kiện (văn bản, ư c l u tr trên các ph ữ trên các phương tiện của máy tính ương tiện của máy tính ng ti n c a máy tính ện (văn bản, ủa các đối tượng và sự kiện (văn bản,

 D li u có c u trúc: s , ngày, chu i ký t , … ữ trên các phương tiện của máy tính ện (văn bản, ấu trúc: số, ngày, chuỗi ký tự, … ối tượng và sự kiện (văn bản, ỗi ký tự, … ự biểu diễn của các đối tượng và sự kiện (văn bản,

 D li u không có c u trúc: hình nh, âm thanh, đo n ữ trên các phương tiện của máy tính ện (văn bản, ấu trúc: số, ngày, chuỗi ký tự, … ản, ạn phim, …

• Information: d li u đã đữ trên các phương tiện của máy tính ện (văn bản, ượng và sự kiện (văn bản, ử c x lý đ làm tăng s hi u ểu diễn của các đối tượng và sự kiện (văn bản, ự biểu diễn của các đối tượng và sự kiện (văn bản, ểu diễn của các đối tượng và sự kiện (văn bản,

bi t c a ng ết của người sử dụng ủa các đối tượng và sự kiện (văn bản, ười sử dụng ử ụng i s d ng.

Data (dữ liệu) và information (thông tin)

Hệ thống thông tin

• H th ng thông tin (Information Systems) ệ thống thông tin (Information Systems) ống thông tin (Information Systems)

• Là m t h th ng g m con ngột hệ thống gồm con người, dữ liệu và những hoạt ện (văn bản, ối tượng và sự kiện (văn bản, ồm con người, dữ liệu và những hoạt ười sử dụng.i, d li u và nh ng ho t ữ trên các phương tiện của máy tính ện (văn bản, ữ trên các phương tiện của máy tính. ạn

đ ng x lý d li u và thông tin trong m t t ch c ột hệ thống gồm con người, dữ liệu và những hoạt ử ữ trên các phương tiện của máy tính ện (văn bản, ột hệ thống gồm con người, dữ liệu và những hoạt ổ chức ức

• Tài s n c a h th ng thông tin bao g m: ản của hệ thống thông tin bao gồm: ủa hệ thống thông tin bao gồm: ệ thống thông tin bao gồm: ống thông tin bao gồm: ồm:

 Ph n c ng ần Thị Kim Chi ức

 Ph n m m ần Thị Kim Chi ềm

 D li u ữ trên các phương tiện của máy tính ện (văn bản,

 Truy n thông gi a các máy tính c a h th ng ềm ữ trên các phương tiện của máy tính ủa các đối tượng và sự kiện (văn bản, ện (văn bản, ối tượng và sự kiện (văn bản,

 Môi tr ười sử dụng ng làm vi c ện (văn bản,

 Con ng ười sử dụng i

Tr n Th Kim Chi ần Thị Kim Chi ị Kim Chi 1-5

Tr n Th Kim Chi ần Thị Kim Chi ị Kim Chi 1-7

• An toàn thông tin bao hàm m t lĩnh v c r ng l n các ho t ột hệ thống gồm con người, dữ liệu và những hoạt ự biểu diễn của các đối tượng và sự kiện (văn bản, ột hệ thống gồm con người, dữ liệu và những hoạt ớn các hoạt ạn

đ ng trong m t t ch c Nó bao g m c nh ng s n ph m ột hệ thống gồm con người, dữ liệu và những hoạt ột hệ thống gồm con người, dữ liệu và những hoạt ổ chức ức ồm con người, dữ liệu và những hoạt ản, ữ trên các phương tiện của máy tính ản, ẩm

và nh ng quy trình nh m ngăn ch n truy c p trái phép, ữ trên các phương tiện của máy tính ằm ngăn chặn truy cập trái phép, ặn truy cập trái phép, ận, có ý nghĩa không rõ

hi u ch nh, xóa thông tin và d li u.ện (văn bản, ỉnh, xóa thông tin và dữ liệu ữ trên các phương tiện của máy tính ện (văn bản,

• M c đích là đ m b o m t môi trụng ản, ản, ột hệ thống gồm con người, dữ liệu và những hoạt ười sử dụng.ng thông tin tin c y, an ận, có ý nghĩa không rõ toàn và trong s ch cho m i thành viên và t ch c trong xã ạn ọi thành viên và tổ chức trong xã ổ chức ức

h i.ột hệ thống gồm con người, dữ liệu và những hoạt

Tr n Th Kim Chi ần Thị Kim Chi ị Kim Chi 1-9

• Hai nguyên t c c a an toàn b o m t thông ắc của an toàn bảo mật thông ủa các đối tượng và sự kiện (văn bản, ản, ận, có ý nghĩa không rõ tin:

• Vi c th m đ nh v b o m t ph i đ khó và c n ện (văn bản, ẩm ị Kim Chi ềm ản, ận, có ý nghĩa không rõ ản, ủa các đối tượng và sự kiện (văn bản, ần Thị Kim Chi tính t i t t c các ớn các hoạt ấu trúc: số, ngày, chuỗi ký tự, … ản, tình hu ng ối tượng và sự kiện (văn bản, và kh năng t n ản, ấu trúc: số, ngày, chuỗi ký tự, … công có th đ ểu diễn của các đối tượng và sự kiện (văn bản, ượng và sự kiện (văn bản, c th c hi n ự biểu diễn của các đối tượng và sự kiện (văn bản, ện (văn bản,

• Tài s n ph i đ ản, ản, ượng và sự kiện (văn bản, c b o v cho t i khi h t gía tr ản, ện (văn bản, ớn các hoạt ết của người sử dụng. ị Kim Chi

s d ng ho c h t ý nghĩa bí m t ử ụng ặn truy cập trái phép, ết của người sử dụng ận, có ý nghĩa không rõ

Đảm bảo an toàn thông tin

là gì?

• Đ m b o ATTT ản của hệ thống thông tin bao gồm: ản của hệ thống thông tin bao gồm: là đ m b o an toàn kỹ thu t cho ho t ản, ản, ận, có ý nghĩa không rõ ạn

đ ng c a các c s HTTT, trong đó bao g m đ m b o an ột hệ thống gồm con người, dữ liệu và những hoạt ủa các đối tượng và sự kiện (văn bản, ơng tiện của máy tính ở HTTT, trong đó bao gồm đảm bảo an ồm con người, dữ liệu và những hoạt ản, ản, toàn cho c ph n c ng và ph n m m ho t đ ng theo các ản, ần Thị Kim Chi ức ần Thị Kim Chi ềm ạn ột hệ thống gồm con người, dữ liệu và những hoạt tiêu chu n kỹ thu t do nhà nẩm ận, có ý nghĩa không rõ ướn các hoạt c ban hành; ngăn ng a kh ừa khả ản, năng l i d ng m ng và các c s HTTT đ th c hi n các ợng và sự kiện (văn bản, ụng ạn ơng tiện của máy tính ở HTTT, trong đó bao gồm đảm bảo an ểu diễn của các đối tượng và sự kiện (văn bản, ự biểu diễn của các đối tượng và sự kiện (văn bản, ện (văn bản, hành vi trái phép; đ m b o các tính ch t bí m t, toàn v n, ản, ản, ấu trúc: số, ngày, chuỗi ký tự, … ận, có ý nghĩa không rõ ẹn,

s n sàng c a thông tin trong l u tr , x lý và truy n d n ẵn sàng của thông tin trong lưu trữ, xử lý và truyền dẫn ủa các đối tượng và sự kiện (văn bản, ư ữ trên các phương tiện của máy tính ử ềm ẫn trên m ng.ạn

Tr n Th Kim Chi ần Thị Kim Chi ị Kim Chi 1-11

• Tính bí m t (Confidentiality) ật (Confidentiality) : b o v d li u không b ản, ện (văn bản, ữ trên các phương tiện của máy tính ện (văn bản, ị Kim Chi

l ra ngoài m t cách trái phép ột hệ thống gồm con người, dữ liệu và những hoạt ột hệ thống gồm con người, dữ liệu và những hoạt

• Ví d : Trong h th ng qu n lý sinh viên, m t sinh ụng. ện (văn bản, ối tượng và sự kiện (văn bản, ản, ột hệ thống gồm con người, dữ liệu và những hoạt

viên đượng và sự kiện (văn bản, c phép xem thông tin k t qu h c t p c a ết của người sử dụng ản, ọi thành viên và tổ chức trong xã ận, có ý nghĩa không rõ ủa các đối tượng và sự kiện (văn bản, mình nh ng không đư ượng và sự kiện (văn bản, c phép xem k t qu h c t pết của người sử dụng ản, ọi thành viên và tổ chức trong xã ận, có ý nghĩa không rõ

c a sinh viên khác ủa các đối tượng và sự kiện (văn bản,

Tr n Th Kim Chi ần Thị Kim Chi ị Kim Chi 1-13

Các nguyên tắc nền tảng của

an toàn thông tin

• Tính toàn v n (Integrity) ẹn (Integrity) : Ch nh ng ng ỉnh, xóa thông tin và dữ liệu. ữ trên các phương tiện của máy tính. ười sử dụng. i dùng đ ượng và sự kiện (văn bản, ủa các đối tượng và sự kiện (văn bản, c y quy n m i đ ềm ớn các hoạt ượng và sự kiện (văn bản, c phép ch nh s a ỉnh, xóa thông tin và dữ liệu ử

d li u ữ trên các phương tiện của máy tính ện (văn bản,

• Ví d : Trong h th ng qu n lý sinh viên, không cho ụng ện (văn bản, ối tượng và sự kiện (văn bản, ản, phép sinh viên đượng và sự kiện (văn bản, c phép t thay đ i thông tin k t ự biểu diễn của các đối tượng và sự kiện (văn bản, ổ chức ết của người sử dụng

qu h c t p c a mình ản, ọi thành viên và tổ chức trong xã ận, có ý nghĩa không rõ ủa các đối tượng và sự kiện (văn bản,

Các nguyên tắc nền tảng của

an toàn thông tin

• Tính s n sàng (Availability) ẵn sàng (Availability) : Đ m b o d li u ản, ản, ữ trên các phương tiện của máy tính ện (văn bản, luôn s n sàng khi nh ng ng ẵn sàng của thông tin trong lưu trữ, xử lý và truyền dẫn ữ trên các phương tiện của máy tính ười sử dụng i dùng ho c ng ặn truy cập trái phép, ức

d ng đ ụng ượng và sự kiện (văn bản, ủa các đối tượng và sự kiện (văn bản, c y quy n yêu c u ềm ần Thị Kim Chi

• Ví d : Trong h th ng qu n lý sinh viên, c n đ m b o ụng ện (văn bản, ối tượng và sự kiện (văn bản, ản, ần Thị Kim Chi ản, ản,

r ng sinh viên có th truy v n thông tin k t qu h c ằm ngăn chặn truy cập trái phép, ểu diễn của các đối tượng và sự kiện (văn bản, ấu trúc: số, ngày, chuỗi ký tự, … ết của người sử dụng ản, ọi thành viên và tổ chức trong xã

t p c a mình b t c lúc nào ận, có ý nghĩa không rõ ủa các đối tượng và sự kiện (văn bản, ấu trúc: số, ngày, chuỗi ký tự, … ức

Tr n Th Kim Chi ần Thị Kim Chi ị Kim Chi 1-15

Các nguyên tắc nền tảng của

an toàn thông tin

• Tính ch ng thoái thác (Non-repudiation) ống thông tin (Information Systems) : Kh ản, năng ngăn ch n vi c t ch i m t hành vi đã làm ặn truy cập trái phép, ện (văn bản, ừa khả ối tượng và sự kiện (văn bản, ột hệ thống gồm con người, dữ liệu và những hoạt

• Ví d : Trong h th ng qu n lý sinh viên, có kh năng ụng ện (văn bản, ối tượng và sự kiện (văn bản, ản, ản, cung c p b ng ch ng đ ch ng minh m t hành vi sinh ấu trúc: số, ngày, chuỗi ký tự, … ằm ngăn chặn truy cập trái phép, ức ểu diễn của các đối tượng và sự kiện (văn bản, ức ột hệ thống gồm con người, dữ liệu và những hoạt viên đã làm, nh đăng ký h c ph n, h y h c ph n ư ọi thành viên và tổ chức trong xã ần Thị Kim Chi ủa các đối tượng và sự kiện (văn bản, ọi thành viên và tổ chức trong xã ần Thị Kim Chi

Các nguyên tắc nền tảng của

an toàn thông tin

Các nguy cơ mất ATTT

• C s h t ng m ng ơ sở hạ tầng mạng ở hạ tầng mạng ạ tầng mạng ầng mạng ạ tầng mạng : C s h t ng không đ ng b , ơng tiện của máy tính ở HTTT, trong đó bao gồm đảm bảo an ạn ần Thị Kim Chi ồm con người, dữ liệu và những hoạt ột hệ thống gồm con người, dữ liệu và những hoạt không đ m b o yêu c u thông tin đản, ản, ần Thị Kim Chi ượng và sự kiện (văn bản, c truy n trong h ềm ện (văn bản,

th ng an toàn và thông su t.ối tượng và sự kiện (văn bản, ối tượng và sự kiện (văn bản,

• Thông tin: D li u ch a đữ trên các phương tiện của máy tính ện (văn bản, ư ượng và sự kiện (văn bản, c mô hình hóa và chu n ẩm hóa theo tiêu chu n v m t t ch c và m t kỹ thu t ẩm ềm ặn truy cập trái phép, ổ chức ức ặn truy cập trái phép, ận, có ý nghĩa không rõ

Y u t pháp lý ch a đết của người sử dụng ối tượng và sự kiện (văn bản, ư ượng và sự kiện (văn bản, c trú tr ng trong truy n đ a ọi thành viên và tổ chức trong xã ềm ưcác d li u trên m ng, nghĩa là các d li u đữ trên các phương tiện của máy tính ện (văn bản, ạn ữ trên các phương tiện của máy tính ện (văn bản, ượng và sự kiện (văn bản, c truy n ềm

đi trên m ng ph i đ m b o tính h p pháp v m t t ạn ản, ản, ản, ợng và sự kiện (văn bản, ềm ặn truy cập trái phép, ổ chức

ch c và m t kỹ thu t.ức ặn truy cập trái phép, ận, có ý nghĩa không rõ

An toàn thông tin 17

Các nguy cơ mất ATTT

• Công nghệ thống thông tin (Information Systems) : Ch a chu n hóa cho các lo i công ngh , mô ư ẩm ạn ện (văn bản, hình ki n trúc tham chi u nh m đ m b o cho tính ết của người sử dụng ết của người sử dụng ằm ngăn chặn truy cập trái phép, ản, ản,

tương tiện của máy tính.ng h p, tính s d ng l i đợng và sự kiện (văn bản, ử ụng ạn ượng và sự kiện (văn bản, c, tính m , an ninh, m ở HTTT, trong đó bao gồm đảm bảo an ở HTTT, trong đó bao gồm đảm bảo an

r ng theo ph m vi, tính riêng t vào trong HTTT.ột hệ thống gồm con người, dữ liệu và những hoạt ạn ư

• Con ng ười : S hi u bi t c a nh ng ng i ự biểu diễn của các đối tượng và sự kiện (văn bản, ểu diễn của các đối tượng và sự kiện (văn bản, ết của người sử dụng ủa các đối tượng và sự kiện (văn bản, ữ trên các phương tiện của máy tính ười sử dụng.i tr c ti p ự biểu diễn của các đối tượng và sự kiện (văn bản, ết của người sử dụng

qu n lý, v n hành các HTTT, xây d ng và phát tri n h ản, ận, có ý nghĩa không rõ ự biểu diễn của các đối tượng và sự kiện (văn bản, ểu diễn của các đối tượng và sự kiện (văn bản, ện (văn bản,

th ng ph n m m, h th ng thông tin còn ch a đ ng ối tượng và sự kiện (văn bản, ần Thị Kim Chi ềm ện (văn bản, ối tượng và sự kiện (văn bản, ư ồm con người, dữ liệu và những hoạt

đ u và ch a theo quy chu n c a các c quan t ch c đó.ềm ư ẩm ủa các đối tượng và sự kiện (văn bản, ơng tiện của máy tính ổ chức ức

Các nguy cơ mất ATTT

Quy trình, qu n lý ản lý :

•Ch a chu n hóa qui trình nghi p v trong v n hành HTTT.ư ẩm ện (văn bản, ụng ận, có ý nghĩa không rõ

•Ch a chu n hóa các th t c hành chính, các qui đ nh pháp lý ư ẩm ủa các đối tượng và sự kiện (văn bản, ụng ị Kim Chitrong vi c đ m b o ATTT.ện (văn bản, ản, ản,

•T ch c qu n lý thay đ i h th ng, ng d ng ch a đúng ổ chức ức ản, ổ chức ện (văn bản, ối tượng và sự kiện (văn bản, ức ụng ưcách, ch a chu n hóa và có ch tài mang tính b t bu c th c ư ẩm ết của người sử dụng ắc của an toàn bảo mật thông ột hệ thống gồm con người, dữ liệu và những hoạt ự biểu diễn của các đối tượng và sự kiện (văn bản,

hi n.ện (văn bản,

•Nh v y đ đ m b o ATTT thì các c quan t ch c ph i làm ư ận, có ý nghĩa không rõ ểu diễn của các đối tượng và sự kiện (văn bản, ản, ản, ơng tiện của máy tính ổ chức ức ản,

t t và h n ch t i đa 5 y u t trên.ối tượng và sự kiện (văn bản, ạn ết của người sử dụng ối tượng và sự kiện (văn bản, ết của người sử dụng ối tượng và sự kiện (văn bản,

An toàn thông tin 19

Các phương pháp đảm bảo an toàn thông tin

• Các bi n pháp công ngh (Technology): ệ thống thông tin bao gồm: ệ thống thông tin bao gồm: Bao hàm t t c các bi n pháp ph n c ng, các ph n ấu trúc: số, ngày, chuỗi ký tự, … ản, ện (văn bản, ần Thị Kim Chi ức ần Thị Kim Chi

m m, ph n s n cũng nh các kỹ thu t công ngh ềm ần Thị Kim Chi ụng ư ận, có ý nghĩa không rõ ện (văn bản, liên quan đ ượng và sự kiện (văn bản, c áp d ng nh m đ m các yêu c u an ụng ằm ngăn chặn truy cập trái phép, ản, ần Thị Kim Chi toàn c a thông tin trong các tr ng thái c a nó ủa các đối tượng và sự kiện (văn bản, ạn ủa các đối tượng và sự kiện (văn bản,

An toàn thông tin 21

Các phương pháp đảm bảo an

toàn thông tin

• Các bi n pháp v chính sách và t ch c (Policy ệ thống thông tin bao gồm: ề chính sách và tổ chức (Policy ổ chức (Policy ức (Policy

& Practices): Đ a ra các chính sách, quy đ nh, ư ị Kim Chi

ph ương tiện của máy tính ng th c th c thi ức ự biểu diễn của các đối tượng và sự kiện (văn bản,

• Th c t cho th y, ATTT không ch đ n thu n là ự biểu diễn của các đối tượng và sự kiện (văn bản, ết của người sử dụng ấu trúc: số, ngày, chuỗi ký tự, … ỉnh, xóa thông tin và dữ liệu ơng tiện của máy tính ần Thị Kim Chi

v n đ thu c ph m trù công ngh , kỹ thu t H ấu trúc: số, ngày, chuỗi ký tự, … ềm ột hệ thống gồm con người, dữ liệu và những hoạt ạn ện (văn bản, ận, có ý nghĩa không rõ ện (văn bản,

th ng chính sách và ki n trúc t ch c đóng m t ối tượng và sự kiện (văn bản, ết của người sử dụng ổ chức ức ột hệ thống gồm con người, dữ liệu và những hoạt vai trò h u hi u trong vi c đ m b o an toàn thông ữ trên các phương tiện của máy tính ện (văn bản, ện (văn bản, ản, ản, tin.

Các phương pháp đảm bảo an toàn thông tin