Bài giảng An toàn bảo mật mạng do ThS. Trần Đắc Tốt biên soạn, trong chương 6 của bài giảng sẽ giới thiệu về Chuẩn an toàn thông tin, với nội dung trình bày cụ thể: pháp luật về an toàn thông tin, Bộ tiêu chuẩn ISO/IEC 2700x và các bộ tiêu chuẩn khác. Để biết rõ hơn về nội dung chi tiết, mời các bạn cùng tham khảo bài giảng.
Trang 2NỘI DUNG MÔN HỌC
Chương 1: Tổng quan an toàn và bảo mật thông tin mạngmáy tính
Chương 2: Tấn công mạng máy tính
Chương 3: Công nghệ Firewall
Chương 4: Hệ thống phát hiện và phòng chống xâm nhập(IDS&IPS)
Chương 5: An ninh mạng WLAN (IEEE 802.11)
Trang 3Các nội dung trình bày
1 Pháp luật về an toàn thông tin
2 Bộ tiêu chuẩn ISO/IEC 2700x
3 Các bộ tiêu chuẩn khác
Trang 41 Pháp luật về an toàn thông tin
Với việc kết nối máy tính vào mạng, con người có thể
mở rộng phạm vi hoạt động của mình thì điều đó cũng
có nghĩa là những tác hại có thể được nhân lên quamạng Vì thế trong một xã hội "nối mạng", mọi cá nhânphải nhận thức được trách nhiệm với cộng đồng
Pháp luật về ATTT là các quy định, nghị định, chính sáchnhằm đưa ra các yêu cầu và luật về đảm bảo ATTT
Trang 51.1 Tin tặc, tội phạm kỹ thuật
Tin tặc (Hacker): Là một người hay nhóm người sử dụng sự hiểu biết của mình về cấu trúc máy tính, hệ điều hành, mạng, các ứng dụng trong cơ sở HTTT để tìm lỗi, lỗ hỗng, điểm yếu an toàn của nó và tìm cách xâm nhập, thay đổi hay chỉnh sửa HTTT với mục đích tốt xấu khác nhau.
Trang 6Tin tặc, tội phạm kỹ thuật (tiếp)
Có hai loại Hacker:
Hacker mũ trắng là những người mà hành động tấn công, xâm nhập và thay đổi, chỉnh sửa hệ thống phần cứng, phần mềm với mục đích tìm
ra các lỗi, lỗ hổng, điểm yếu bảo mật và đưa ra giải pháp ngăn chặn và bảo vệ hệ thống chẳng hạn như những nhà phân tích An ninh mạng.
Trang 7Tin tặc, tội phạm kỹ thuật (tiếp)
Hacker mũ đen là những người mà hành động tấn công, xâm nhập, thay đổi, chỉnh sửa hệ thống phần cứng, phần mềm với mục đích phá hoại, hoặc vi phạm pháp luật.
Trang 81.2 Một số tội phạm tin học liên quan đến
Trang 9Một số tội phạm tin học liên quan đến lạm
dụng Internet (tiếp)
Spamming (thư rác) và việc vi phạm tính riêng tư củangười khác: Email là hệ thống giúp marketting rất tốt vớikhả năng quảng bá nhanh chóng và rộng rãi Tuy nhiên
có những người lạm dụng hệ thống email để quấy rối,
đe dọa, xúc phạm đến người khác
Nhiều nước đang xem xét những đạo luật liên quan đếnspamming có được phép hay không Ở Việt nam, nạnspamming đang bùng nổ rất mạnh mẽ
Trang 10Một số tội phạm tin học liên quan đến lạm
dụng Internet (tiếp)
Tấn công từ chối dịch vụ
Phát tán hoặc gieo rắc các tài liệu phản văn hoá, viphạm an ninh quốc gia: Internet là môi trường côngcộng, ai cũng có thể sử dụng Một số người lợi dụng khảnăng của Internet để phổ biến các tài liệu phản văn hoánhư kích động bạo lực, phổ biến văn hoá đồi truỵ, kíchđộng bạo loạn, kích động các xu hướng dân tộc hay tôngiáp cực đoan, hướng dẫn các phương pháp khủng bố
Trang 111.3 Vấn đề sở hữu trí tuệ và bản quyền
Luật bản quyền được quy định trong Bộ luật dân sự củanước Cộng hoà Xã hội chủ nghĩa Việt Nam
Về cơ bản, quyền tác giả (quyền tinh thần) được cấp chonhững người trực tiếp sáng tạo ra phần mềm; quyền sởhữu (quyền thương mại) được cấp cho người đầu tư;quyền sử dụng (licence) do chủ sở hữu cấp phép chongười sử dụng
Trang 12Vấn đề sở hữu trí tuệ và bản quyền (tiếp)
Về mặt luật, phần mềm hiện đang được đối xử như mộttác phẩm viết và còn rất nhiều điều bất cập Chắc chắnluật sở hữu trí tuệ phải được tiếp tục hoàn thiện, nhất làđối với phần mềm
Tình trạng dùng phần mềm sao chép không có bảnquyền rất phổ biến không chỉ riêng ở các nước đangphát triển Ngay ở Mỹ cũng có đến 1/3 số phần mềmđược dùng không có bản quyền
Trang 13Vấn đề sở hữu trí tuệ và bản quyền (tiếp)
Theo thống kê của các tổ chức có trách nhiệm tình trạngdùng phần mềm không có bản quyền đã gây thiệt hạicho những người làm phần mềm nhiều tỷ đô la môĩnăm
Các nhà sản xuất phần mềm đã tìm các phương phápchống sao chép nhưng "không lại" được với dân tin tặc.Cho đến nay, chưa một phần mềm nào của Việt Namchống được nạn bẻ khoá
Trang 141.4 Luật tội phạm tin học ở Việt Nam
Bất cứ một nước phát triển nào cũng phải có quy địnhdưới dạng các văn bản pháp luật để chống lại các tộiphạm tin học
Ở Việt Nam, nhận thức được tính nghiêm trọng của cáctội phạm tin học, Quốc hội Cộng hoà Xã hội Chủ nghĩaViệt Nam đã ban hành một số điều luật chống tội phạmtin học trong bộ luật hình sự (13/1/2000)
Trang 15Luật tội phạm tin học ở Việt Nam (tiếp)
Điều 224 Tội tạo ra và lan truyền, phát tán các chương trình virus tin học
Điều 225 Tội vi phạm các quy định về vận hành, khai thác và sử dụng mạng máy tính điện tử
Điều 226 Tội sử dụng trái phép thông tin trên mạng và trong máy tính
Trang 16Luật tội phạm tin học ở Việt Nam (tiếp)
Nghị định 55/2001/NĐ-CP
Ngày 23/8/2001 Chính phủ ban hành nghị định 55/2001/NĐ-CP quy định một số mức xử phạt các vi phạm khi
sử dụng Internet.
Trang 172 Bộ tiêu chuẩn ISO/IEC 2700x
Tiêu chuẩn về quản lý an toàn thông tin có bộ ISO/IEC 2700x cung cấp các hướng dẫn và các vấn
đề liên quan trong hệ thống quản lý an toàn thông tin:
ISO/IEC 27000 :2009 -Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
ISO/IEC 27001 :2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu
ISO/IEC 27002 :2005 -Quy tắc thực hành quản lý an toàn thông tin
ISO/IEC 27003 :2010 -Hướng dẫn thực thi hệ thống quản lý an toàn thông tin
ISO/IEC 27004 :2009 - Quản lý an toàn thông tin - Đo lường
Trang 182 Bộ tiêu chuẩn ISO/IEC 2700x
Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầu đảm bảo an toàn của các sản phẩm và hệ thống công nghệ thông tin và các biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn.
Bộ tiêu chuẩn này gồm có 3 phần:
ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình chung
ISO/IEC 15408-2:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng
an toàn
Trang 192 Bộ tiêu chuẩn ISO/IEC 2700x
Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ thông tin - Các kỹ thuật an toàn- Phương pháp ước lượng an toàn công nghệ thông tin Tiêu chuẩn này được sử dụng cùng với các tiêu chí đánh giá an toàn trong bộ ISO/IEC 15408
Trang 202 Bộ tiêu chuẩn ISO/IEC 2700x
Bộ tiêu chuẩn ISO/IEC TR19791:2010 - Công nghệ thông tin - Các kỹ thuật an toàn-Đánh giá an toàn các hệ thống hoạt động Tiêu chuẩn này cung cấp các hướng dẫn và tiêu chí cho việc ước lượng an toàn các hệ thống hoạt động Tiêu chuẩn này mở rộng hơn của ISO/IEC 15408, nó đề cập các khía cạnh quan trọng trong các hệ thống hoạt động mà trong
Trang 212 Bộ tiêu chuẩn ISO/IEC 2700x
Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các kháiniệm và tiêu chí cho việc so sánh và phân tích các phươngpháp đánh giá sự phù hợp bảo đảm an toàn Bộ tiêu chuẩnnày gồm 2 phần:
ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật antoàn - Khung bảo đảm an toàn công nghệ thông tin - Phần1: Giới thiệu và khái niệm
ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an
Trang 223 Các Bộ tiêu chuẩn khác
Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các kháiniệm và tiêu chí cho việc so sánh và phân tích các phươngpháp đánh giá sự phù hợp bảo đảm an toàn Bộ tiêu chuẩnnày gồm 2 phần:
ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật antoàn - Khung bảo đảm an toàn công nghệ thông tin - Phần1: Giới thiệu và khái niệm
ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an
Trang 234 Một số tiêu chuẩn đã được ban hành (VN)
TCVN 7326-1:2003 Thiết bị công nghệ thông tin An toàn Phần 1: Yêu cầu chung (IEC 60950-1:2001)
TCVN 7563-8:2005 Công nghệ thông tin Từ vựng Phần 8: An toàn (ISO/IEC 02382-8:1998)
TCVN 7562:2005 Công nghệ thông tin Mã thực hành quản lý an toàn thông tin (ISO/IEC 17799:2000)
TCVN 7635:2007 Kỹ thuật mã hoá, Chữ ký số
TCVN 7816:2007 Công nghệ thông tin Kỹ thuật mật mã thuật toán mã dữ liệu AES
Trang 244 Một số tiêu chuẩn đã được ban hành (VN)
TCVN 7817-3:2007 Công nghệ thông tin Kỹ thuật mật mã quản lý khoá Phần 3: Các cơ chế sử dụng kỹ thuật không đối xứng (ISO/IEC 11770- 3:1999)
TCVN 7817-1:2007 Công nghệ thông tin Kỹ thuật mật mã quản lý khoá Phần 1: Khung tổng quát (ISO/IEC 11770-1:1996)
TCVN 7818-1:2007 Công nghệ thông tin Kỹ thuật mật mã dịch vụ tem thời gian Phần 1: Khung tổng quát (ISO/IEC 18014-1:2002)
TCVN 7563-14:2009 Công nghệ thông tin Từ vựng Phần 14: Độ tin cậy, khả năng duy trì, tính sẵn có (ISO/IEC 2382-14:1997)
Trang 254 Một số tiêu chuẩn đã được ban hành (VN)
TCVN 8051-1:2009 Công nghệ thông tin Kỹ thuật an toàn An toàn mạng công nghệ thông tin Phần 1: Quản lý an toàn mạng (ISO/IEC 18028- 1:2008)
TCVN ISO/IEC 27001:2009 Công nghệ thông tin Hệ thống quản lý an toàn thông tin Các yêu cầu (ISO/IEC 27001:2005)
TCVN 8051-2:2009 Công nghệ thông tin Kỹ thuật an toàn An toàn mạng công nghệ thông tin Phần 2: Kiến trúc an toàn mạng (ISO/IEC 18028- 2:2006)
TCVN 7818-3:2010 Công nghệ thông tin Kỹ thuật an toàn Dịch vụ tem
Trang 264 Một số tiêu chuẩn đã được ban hành (VN)
TCVN 7817-4:2010 Công nghệ thông tin Kỹ thuật an toàn quản lý khoá Phần 4: Cơ chế dựa trên bí mật yếu (ISO/IEC 11770-4:2006)
TCVN 7817-2:2010 Công nghệ thông tin Kỹ thuật an toàn quản lý khoá Phần 2: Cơ chế sử dụng kỹ thuật đối xứng (ISO/IEC 11770-2:2008)
TCVN ISO/IEC 27002:2011 Công nghệ thông tin- Các kỹ thuật an Quy tắc thực hành quản lý an toàn thông tin (ISO/IEC 27002:2005)
toàn-TCVN 8709-1:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn công nghệ thông tin- Phần 1: Giới thiệu và mô hình tổng quát (ISO/IEC 15408-1:2009)
Trang 274 Một số tiêu chuẩn đã được ban hành (VN)
TCVN 8709-3:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn công nghệ thông tin- Phần 3: Các thành phần đảm bảo an toàn (ISO/IEC 15408-3:2008)
TCVN 9801-1:2013 Công nghệ thông tin Kỹ thuật an toànan toàn mạng Phần 1: tổng quan và khái niệm
TCVN 9965:2013 Công nghệ thông tin Kỹ thuật an toàn Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1
TCVN 9801-1:2013 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng quan và khái niệm (ISO/IEC 27033-1:2009)
Trang 284 Một số dự thảo tiêu chuẩn chưa được ban hành
Dự thảo TCVN (ISO/IEC 27033-2:2012)
Công nghệ Thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 3: Các kịch bản kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát (ISO/IEC 27033-3:2010)
Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý
an toàn thông tin - Đo lường (ISO/IEC 27004:2009)
Trang 294 Một số dự thảo tiêu chuẩn chưa được ban hành
Công nghệ thông tin - Các ký thuật an toàn - Hướng dẫn triểnkhai hệ thống quản lý an toàn thông tin (ISO/IEC27003:2010)
Công nghệ thông tin - Các ký thuật an toàn - Quản lý an toànthông tin cho truyền thông liên tổ chức, liên ngành (ISO/IEC27010:2012)
Dự thảo TCVN (ISO/IEC 27000:2009)
Dự thảo TCVN (ISO/IEC 27035:2011
Trang 30Câu hỏi ?
Ý kiến ?
Đề xuất ?