Nó làm việc với máy chủ khóa công khai PGP gọi là PGP Global Directory để tìm kiếm khóa của người nhận và có khả năng gửi thư điện tử an toàn ngay cả khi không tìm thấy khóa của người nh
Trang 1Câu 14: Mục đích của giao thức HTTPS là gì?
là một sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet Giao thức HTTPS thường được dùng trong các giao dịch nhậy cảm cần tính bảo mật cao
sử dụng HTTPS
1 Client gửi request cho một secure page (có URL bắt đầu với https://)
2 Server gửi lại cho client certificate của nó.
3 Client (web browser) tiến hành xác thực certificate này bằng cách kiểm tra (verify) tính
hợp lệ của chữ ký số của CA được kèm theo certificate
Giả sử certificate đã được xác thực và còn hạn sử dụng hoặc client vẫn cố tình truy cập mặc dù Web browser đã cảnh báo rằng không thể tin cậy được certificate này (do là dạng self-signed SSL certificate hoặc certificate hết hiệu lực, thông tin trong certificate không đúng) thì mới xảy ra bước 4 sau
4 Client tự tạo ra ngẫu nhiên một symmetric encryption key (hay session key), rồi
sử dụngpublic key (lấy trong certificate) để mã hóa session key này và gửi về cho server.
5 Server sử dụng private key (tương ứng với public key trong certificate ở trên) để giải mã ra
session key ở trên
6 Sau đó, cả server và client đều sử dụng session key đó để mã hóa/giải mã các thông điệp
trong suốt phiên truyền thông
Và tất nhiên, các session key sẽ được tạo ra ngẫu nhiên và khác nhau trong mỗi phiên làm việc với server Ngoài encryption thì cơ chế hashing sẽ được sử dụng để đảm bảo
tính Integrity cho các thông điệp được trao đổi.
HTTPS là một giao thức phổ biến trên Internet và rất cần thiết để đảm bảo an toàn, tin cậy cho môi trường Web
Câu 15: Mục đích của giao thức PGP là gì?
Mục tiêu ban đầu của PGP nhằm vào mật mã hóa nội dung các thông điệp thư điện tử và các tệp đính kèm cho người dùng phổ thông Bắt đầu từ 2002, các sản phẩm PGP đã được đa dạng hóa thành một tập hợp ứng dụng mật mã và có thể được đặt dưới sự quản trị của một máy chủ Các ứng dụng PGP giờ đây bao gồm: thư điện tử, chữ ký số, mật mã hóa ổ đĩa cứng máy tính xách tay, bảo mật tệp và thư mục, bảo mật các phiên trao đổi IM, mật mã hóa luồng chuyển tệp, bảo vệ các tệp và thư mục lưu trữ trên máy chủ mạng
Trang 2Phiên bản PGP Desktop 9.x dành cho máy để bàn bao gồm các tính năng: thư điện tử, chữ ký số, bảo mật IM, mật mã hóa ổ đĩa cứng máy tính xách tay, bảo mật tệp và thư mục, tệp nén tự giải mã, xóa file an toàn Các tính năng riêng biệt được cấp phép theo các cách khác nhau tùy theo yêu cầu Phiên bản PGP Universal 2.x dành cho máy chủ cho phép triển khai ứng dụng tập trung, thiết lập chính sách an ninh và lập báo cáo Phần mềm này được dùng để mật mã hóa thư điện tử một cách
tự động tại cổng ra vào (gateway) và quản lý các phần mềm máy khách PGP Desktop 9.x Nó làm việc với máy chủ khóa công khai PGP (gọi là PGP Global Directory) để tìm kiếm khóa của người nhận và có khả năng gửi thư điện tử an toàn ngay cả khi không tìm thấy khóa của người nhận bằng cách sử dụng phiên làm việc HTTPS
Với ứng dụng PGP Desktop 9.0 được quản lý bởi PGP Universal Server 2.0, tất cả các ứng dụng mật mã hóa PGP được dựa trên nền kiến trúc proxy mới Các phần mềm này giúp loại bỏ việc sử dụng các plug-in của thư điện tử và tránh cho người dùng việc sử dụng các ứng dụng khác Tất cả các hoạt động của máy chủ cũng như máy khách đều tự động tuân theo một chính sách an ninh PGP Universal server còn tự động hóa các quá trình tạo, quản lý và kết thúc các khóa chia sẻ giữa các ứng dụng PGP
Các phiên bản mới của PGP cho phép sử dụng cả 2 tiêu chuẩn: OpenPGP và S/MIME, cho phép trao đổi với bất kỳ ứng dụng nào tuân theo tiêu chuẩn của NIST
PGP sử dụng kết hợp mật mã hóa khóa công khai và thuật toán khóa đối xứng cộng thêm với hệ thống xác lập mối quan hệ giữa khóa công khai và chỉ danh người dùng (ID) Phiên bản đầu tiên của hệ thống này thường được biết dưới tên mạng lưới tín nhiệm dựa trên các mối quan hệ ngang hàng (khác với hệ thống X.509 với cấu trúc cây dựa vào các nhà cung cấp chứng thực số) Các phiên bản PGP về sau dựa trên các kiến trúc tương tự như hạ tầng khóa công khai
PGP sử dụng thuật toán mật mã hóa khóa bất đối xứng Trong các hệ thống này, người sử dụng đầu tiên phải có một cặp khóa: khóa công khai và khóa bí mật Người gửi sử dụng khóa công khai của người nhận để mã hóa một khóa chung (còn gọi là khóa phiên) dùng trong các thuật toán mật
mã hóa khóa đối xứng Khóa phiên này chính là khóa để mật mã hóa các thông tin được gửi qua lại trong phiên giao dịch Rất nhiều khóa công khai của những người sử dụng PGP được lưu trữ trên các máy chủ khóa PGP trên khắp thế giới (các máy chủ mirror lẫn nhau)
Người nhận trong hệ thống PGP sử dụng khóa phiên để giải mã các gói tin Khóa phiên này cũng được gửi kèm với thông điệp nhưng được mật mã hóa bằng hệ thống mật mã bất đối xứng và có thể tự giải mã với khóa bí mật của người nhận Hệ thống phải sử dụng cả 2 dạng thuật toán để tận dụng ưu thế của cả hai: thuật toán bất đối xứng đơn giản việc phân phối khóa còn thuật toán đối xứng có ưu thế về tốc độ (nhanh hơn cỡ 1000 lần)
Một chiến lược tương tự cũng được dùng (mặc định) để phát hiện xem thông điệp có bị thay đổi hoặc giả mạo người gửi Để thực hiện 2 mục tiêu trên người gửi phải ký văn bản với thuật
Trang 3toán RSA hoặc DSA Đầu tiên, PGP tính giá trị hàm băm của văn bản đó rồi tạo ra chữ ký số với khóa bí mật của người gửi và gửi cả văn bản và chữ kí số đến người nhận Khi nhận được văn bản, người nhận tính lại giá trị băm của văn bản đó đồng thời giải mã chữ ký số bằng khóa công khai của người gửi Nếu 2 giá trị băm này giống nhau thì có thể khẳng định (với xác suất rất cao) là văn bản chưa bị thay đổi kể từ khi gửi và người gửi đúng là người sở hữu khóa bí mật tương ứng
Trong quá trình mã hóa cũng như kiểm tra chữ ký, một điều vô cùng quan trọng là khóa công khai được sử dụng thực sự thuộc về người được cho là sở hữu nó Nếu chỉ đơn giản là download một khóa công khai từ đâu đó sẽ không thể đảm bảo được điều này PGP thực hiện việc phân phối khóa thông qua chứng thực số được tạo nên bởi những kỹ thuật mật mã sáo cho việc sửa đổi (không hợp pháp) có thể dễ dàng bị phát hiện Tuy nhiên chỉ điều này thôi thì chưa đủ vì nó chỉ ngăn chặn được việc sửa đổi sau khi chứng thực đã được tạo ra Người dùng còn cần phải được trang bị khả năng kiểm tra xem khóa công khai có thực sự thuộc về người được cho là sở hữu hay không Từ phiên bản đầu tiên, PGP đã có một cơ chế hỗ trợ điều này gọi là mạng lưới tín nhiệm Mỗi khóa công khai (rộng hơn là các thông tin gắn với một khóa hay một người) đều có thể được một bên thứ 3 xác nhận (theo cách điện tử)
Trong các đặc tả gần đây của OpenPGP, các chữ ký tin cậy có thể được sử dụng để tạo ra các nhà cung cấp chứng thực số (CA) Một chữ ký tin cậy có thể chứng tỏ rằng một khóa thực sự thuộc về một người sử dụng và người đó đáng tin cậy để ký xác nhận một khóa của mức thấp hơn Một chữ
ký có mức 0 tương đương với chữ ký trong mô hình mạng lưới tín nhiệm Chữ ký ở mức 1 tương đương với chữ ký của một CA vì nó có khả năng xác nhận cho một số lượng không hạn chế chữ ký
ở mức 0 Chữ ký ở mức 2 tương tự như chữ ký trong danh sách các CA mặc định trong Internet Explorer; nó cho phép người chủ tạo ra các CA khác
PGP cũng được thiết kế với khả năng hủy bỏ/thu hồi các chứng thực có khả năng đã bị vô hiệu hóa
Về một khía cạnh nào đó, điều này tương đương với danh sách chứng thực bị thu hồi của mô hình hạ tầng khóa công khai Các phiên bản PGP gần đây cũng hỗ trợ tính năng hạn sử dụng của chứng thực
Vấn đề xác định mối quan hệ giữa khóa công khai và người sở hữu không phải là vấn đề riêng của PGP Tất cả các hệ thống sử dụng cặp khóa công khai và khóa bí mật đều phải đối phó với vấn đề này và cho đến nay chưa có một giải pháp hoàn thiện nào được tìm ra Mô hình ban đầu của PGP trao cho quyền quyết định cuối cùng người sử dụng còn các mô hình PKI thì quy định tất cả các chứng thực phải được xác nhận (có thể không trực tiếp) bởi một nhà cung cấp chứng thực trung tâm
Câu 16: Mục đích của giao thức SSH là gì?
SSH là một giao thức mạng dùng để thiết lập kết nối mạng một cách bảo mật SSH hoạt động ở lớp trên trong mô hình phân lớp TCP/IP Các công cụ SSH (như là OpenSSH, ) cung cấp cho người dùng cách thức để thiết lập kết nối mạng được mã hoá để tạo một kênh kết nối riêng tư Hơn nữa tính năng
Trang 4tunneling của các công cụ này cho phép chuyển tải các giao vận theo các giao thức khác Do vậy có thể thấy khi xây dựng một hệ thống mạng dựa trên SSH, chúng ta sẽ có một hệ thống mạng riêng ảo VPN đơn giản.
SSH là một chương trình tương tác giữa máy chủ và máy khách có sử dụng
cơ chế mã hoá đủ mạnh nhằm ngăn chặn các hiện tượng nghe trộm, đánh cắp thông tin trên đường truyền Các chương trình trước đây: telnet, rlogin không sử dụng phương pháp mã hoá Vì thế bất cứ ai cũng có thể nghe trộm thậm chí đọc được toàn bộ nội dung của phiên làm việc bằng cách sử dụng một số công cụ đơn giản Sử dụng SSH là biện pháp hữu hiệu bảo mật dữ liệu trên đường truyền từ hệ thống này đến hệ thống khác.
SSH là gì?
SSH là một chương trình tương tác giữa máy chủ và máy khách có sử dụng cơ chế mã hoá đủ mạnh nhằm ngăn chặn các hiện tượng nghe trộm, đánh cắp thông tin trên đường truyền Các chương trình trước đây: telnet, rlogin không sử dụng phương pháp mã hoá Vì thế bất cứ ai cũng có thể nghe trộm thậm chí đọc được toàn bộ nội dung của phiên làm việc bằng cách sử dụng một số công cụ đơn giản Sử dụng SSH là biện pháp hữu hiệu bảo mật dữ liệu trên đường truyền từ hệ thống này đến hệ thống khác
Cách thức làm việc của SSH
SSH làm việc thông qua 3 bước đơn giản:
Định danh host - xác định định danh của hệ thống tham gia phiên làm việc SSH
Mã hoá - thiết lập kênh làm việc mã hoá
Chứng thực - xác thực người sử dụng có quyền đăng nhập hệ thống
Định danh host
Việc định danh host được thực hiện qua việc trao đổi khoá Mỗi máy tính có hỗ trợ kiểu truyền thông SSH có một khoá định danh duy nhất Khoá này gồm hai thành phần: khoá riêng và khoá công cộng Khoá công cộng được sử dụng khi cần trao đổi giữa các máy chủ với nhau trong phiên làm việc SSH, dữ liệu sẽ được mã hoá bằng khoá công khai và chỉ có thể giải mã bằng khoá riêng Khi
có sự thay đổi về cấu hình trên máy chủ: thay đổi chương trình SSH, thay đổi cơ bản trong hệ điều hành, khoá định danh cũng sẽ thay đổi Khi đó mọi người sử dụng SSH để đăng nhập vào máy chủ này đều được cảnh báo về sự thay đổi này Khi hai hệ thống bắt đầu một phiên làm việc SSH, máy chủ sẽ gửi khoá công cộng của nó cho máy khách Máy khách sinh ra một khoá phiên ngẫu nhiên
và mã hoá khoá này bằng khoá công cộng của máy chủ, sau đó gửi lại cho máy chủ Máy chủ sẽ giải mã khoá phiên này bằng khoá riêng của mình và nhận được khoá phiên Khoá phiên này sẽ là khoá sử dụng để trao đổi dữ liệu giữa hai máy Quá trình này được xem như các bước nhận diện máy chủ và máy khách
Mã hoá
Trang 5Sau khi hoàn tất việc thiết lập phiên làm việc bảo mật (trao đổi khoá, định danh), quá trình trao đổi
dữ liệu diễn ra thông qua một bước trung gian đó là mã hoá/giải mã Điều đó có nghĩa là dữ liệu gửi/ nhận trên đường truyền đều được mã hoá và giải mã theo cơ chế đã thoả thuận trước giữa máy chủ và máy khách Việc lựa chọn cơ chế mã hoá thường do máy khách quyết định Các cơ chế mã hoá thường được chọn bao gồm: 3DES, IDEA, và Blowfish Khi cơ chế mã hoá được lựa chọn, máy chủ và máy khách trao đổi khoá mã hoá cho nhau Việc trao đổi này cũng được bảo mật dựa trên đinh danh bí mật của các máy Kẻ tấn công khó có thể nghe trộm thông tin trao đổi trên đường truyền vì không biết được khoá mã hoá Các thuật toán mã hoá khác nhau và các ưu, nhược điểm của từng loại:
3DES (cũng được biết như Triple-DES) phương pháp mã hoá mặc định cho SSH
IDEA—Nhanh hơn 3DES, nhưng chậm hơn Arcfour và Blowfish
Arcfour—Nhanh, nhưng các vấn đề bảo mật đã được phát hiện
Blowfish—Nhanh và bảo mật, nhưng các phương pháp mã hoá đang được cải tiến
Chứng thực
Việc chứng thực là bước cuối cùng trong ba bước, và là bước đa dạng nhất Tại thời điểm này, kênh trao đổi bản thân nó đã được bảo mật Mỗi định danh và truy nhập của người sử dụng có thể được cung cấp theo rất nhiều cách khác nhau Chẳng hạn, kiểu chứng thực rhosts có thể được sử dụng, nhưng không phải là mặc định; nó đơn giản chỉ kiểm tra định danh của máy khách được liệt
kê trong file rhost (theo DNS và địa chỉ IP) Việc chứng thực mật khẩu là một cách rất thông dụng để định danh người sử dụng, nhưng ngoài ra cũng có các cách khác: chứng thực RSA, sử dụng ssh-keygen và ssh-agent để chứng thực các cặp khoá
Câu 18: Mục đích của mã hóa là gì?
Chương 3/1
Câu 19: Mục đích của chữ kí điện tử là gì?
Chương 3/3
Câu 20: Hãy so sánh Firewall và Next Generation Firewall?
Câu 22: Endpoint Protection là gì? Hãy vẽ sơ đồ triển khai Endpoint Protection và trình bày những tính năng của giải pháp này? (chương
¾)
Endpoint Protection là công nghệ bảo mật đầu cuối (User, Computer, Application, Data và Device)
Tại cần nên sử dụng Enpoint Protection:
Quản lý tập trung các mối đe dọa ở Endpoint
Phù hợp cho mô hinh mạng bảo mật theo chiều sâu (phân lớp)
Trang 6 Giúp quản lý mạng tốt hơn
Câu 23: Unified Threat Management là gì? Hãy vẽ sơ đồ triển khai Unified Threat Management và trình bày những tính năng của giải pháp này?(chương 3/14)
UTM là một giải pháp bảo mật toàn diện đã được chuẩn hoá trong lĩnh vực bảo mật mạng máy tính chống lại các mối hiểm nguy hay hacker trên mạng Internet và mạng nội bộ Là bao gồm tất cả các tính năng tường lửa (Firewall)
được tập trung vào một thiết bị duy nhất (thuật ngữ gọi là Firewall Single UTM Appliance), và thực hiện rất nhiều
tính năng như: bảo mật mạng (Network Firewalling), ngăn ngừa và phòng chống xâm nhập (Network Intrusion
Prevention), IPS - Intrusion Prevention System, IDS - Intrusion Detection System, theo mẫu (UTM Appliance) hoặc tự động nhận biết xâm nhập, phòng chống Spam (Anti-spam gateway), VPN - Virtual Private Network( Mạng riêng ảo), SSL VPN, tính năng lọc nội dung Internet (Content Filtering), cân bằng tải mạng máy tính (Load Balancing), quản lý băng thông mạng (QoS, Bandwitdh managerment) và cuối cùng là báo cáo cũng như cảnh báo tất cả về tình
trạng an toàn của mạng máy tính.
Câu 24: Trong ISO 27001, hãy vẽ sơ đồ hoạt động của bộ máy ISMS?
Trang 7 Xác định phạm vi xây dựng hệ thống ISMS sao cho phù hợp nhất với doanh nghiệp (hoạt động kinh doanh, vị thế của doanh nghiệp, tài sản doanh nghiệp).
Những gì không thực hiện được cần giải thích rõ ràng trong tài liệu Statement of Applicability (SOA)
Câu 25: Có bao nhiêu khía cạnh liên quan đến bảo mật hệ thống được nêu trong ISO27002? Hãy liệt kê những khía cạnh bảo mật đó?
-Bảo đảm an ninh thông tin được hiểu là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin
Ba tính chất này được viết tắt bằng nhóm từ tiếng Anh: C.I.A, trong đó C là tính bí mật (Confidentiality); I
là tính toàn vẹn (Integrity); và A là tính sẵn sàng (Availability)
Tính bí mật đảm bảo rằng chỉ người được phép mới có thể truy cập thông tin
Tính toàn vẹn đảm bảo sự chính xác và đầy đủ của thông tin và các phương pháp xử lý thông tin Tính sẵn sàng đảm bảo người sử dụng được phép có thể truy cập thông tin và các tài sản tương ứng khi cần
Ba thuộc tính này luôn luôn là các tiêu chuẩn để kiểm chứng mức độ bảo đảm an ninh của thông tin và
hệ thống thông tin
Vdu:
-Tập trung vào các giải pháp kỹ thuật nên các tổ chức đã bỏ qua yếu tố con người và quy trình nghiệp vụ, chưa có các chính sách toàn diện về an ninh thông tin, và cơ cấu tổ chức chuyên trách về an ninh thông tin nên dù được đầu tư tương đối lớn nhưng các hệ thống thông tin vẫn tồn tại nhiều điểm yếu gây mất
an ninh thông tin Dưới đây là một số trường hợp cụ thể:
Trang 8+Trường hợp thứ nhất liên quan đến việc cấp tài khoản dịch vụ Mỗi thành viên của đơn vị được cấp 1 tài khoản sử dụng dịch vụ mạng (gồm username và password), để có thể truy cập mạng và sử dụng các dịch vụ được phân quyền như mail, dịch vụ truyền tệp, khai thác CSDL, truy cập từ xa, truy cập Internet +Trường hợp thứ hai liên quan đến vận hành và quản lý Trung tâm dữ liệu (DC), hệ thống máy chủ là
“trái tim” của mạng máy tính Để bảo vệ cho “trái tim” này, các đơn vị đã đầu tư rất lớn để xây dựng DC với hệ thống UPS, sàn nâng, hệ thống làm mát, hệ thống cảnh báo và chữa cháy, hệ thống phát hiện chất lỏng, camera giám sát, cửa từ Tuy nhiên DC ở một số đơn vị vẫn có điểm yếu có thể dẫn đến sự
cố nghiêm trọng Trong một DC hiện đại bao giờ cũng có hệ thống máy phát điện dự phòng, khi điện nguồn bị ngắt thì nó sẽ tự động chạy, phát điện cung cấp cho nguồn nuôi DC hoạt động liên tục
+Trường hợp thứ ba là sự cố xảy ra trong ngành Ngân hàng Đó là việc một nhân viên công ty, sử dụng thẻ ATM của giám đốc (thẻ này có số dư bằng 0) đã “vô tư” rút hàng trăm lần, với tổng số tiền lên đến hàng tỷ đồng mới bị phát hiện Sở dĩ sự cố trên không bị phát hiện sớm do các nhân viên của 2 ngân hàng đã không tuân thủ quy trình đối chiếu chéo
Những ví dụ trên cho thấy nếu các tổ chức có thể đầu tư rất lớn vào hạ tầng kỹ thuật nhưng coi nhẹ yếu
tố tổ chức, quy trình nghiệp vụ cũng như không thường xuyên kiểm tra tính tuân thủ nội quy, quy chế thì những sự cố mất an ninh thông tin rất nghiêm trọng vẫn có thể xẩy ra
ISO 27002 bao gồm 134 biện pháp cho an ninh thông tin và được chia thành 11 nhóm mục
tiêu như sau:
Chính sách an ninh thông tin (Information security policy): chỉ thị và hướng dẫn
về an ninh thông tin
Tổ chức an ninh thông tin (Organization of information security): tổ chức biện
pháp an ninh và qui trình quản lý.
Quản lý tài sản (Asset management): trách nhiệm và phân loại giá trị thông tin
An ninh tài nguyên con người (Human resource security) : bảo đảm an ninh
An ninh vật lý và môi trường (Physical and environmental security)
Quản lý vận hành và trao đổi thông tin (Communications and operations management)
Kiểm soát truy cập (Access control)
Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems acquisition, development and maintenance)
Quản lý sự cố mất an ninh thông tin (Information security incident management)
Quản lý duy trì khả năng tồn tại của doanh nghiệp (Business continuity management)
Tuân thủ các quy định pháp luật (Compliance)
Câu 26: Bạn hãy trình bày những vấn để liên quan đến Access
Control?
Access Control là hệ thống kiểm soát ra vào cửa hoặc lối đi thông qua việc xác thực vân tay, thẻ cảm
ứng, mật khẩu, khuôn mặt, …trên thiết bị nhận dạng Việc kiểm soát có thể thực hiện đơn lẻ, hoặc kết hợp
Hệ thống kiểm soát vào ra
hoạt động dựa trên công nghệ nhận dạng (thẻ hoặc vân tay) và kiểm tra mật khẩu, ID (đã được cài đặt) của tất cả những cá nhân, những người ra vào qua hệ thống kiểm soát:
Trang 9 Mỗi thành viên sẽ được cấp 1 số ID cụ thể bằng thẻ hoặc bằng chính dấu vân tay của mình làm số
ID Hệ thống kiểm soát vào ra sẽ quản lý và phân quyền dựa trên số ID đã cấp
Tất cả những lần vào ra của mỗi thành viên sẽ được lưu lại đầu đọc kiểm soát (Số ID của cá nhân, ngày giờ vào/ra, cổng, cửa vào/ra, tình trạng vào/ra)…
Trong đó:
Bộ điều khiển (Controller): Có nhiệm vụ lưu trữ dữ liệu, kiểm tra tính hợp lệ của thẻ, vân tay để điều khiển khóa mở cửa Dữ liệu hợp lệ thì đầu đọc chính sẽ cho phép mở cửa ra.
Đầu đọc phụ (Reader): Nhận tín hiệu quẹt thẻ hoặc vân tay và gửi về cho bộ điều khiển kiểm tra Nếu
dữ liệu gửi về kiểm tra là hợp lệ, đầu đọc chính sẽ cho phép mở cửa.
Khóa Lock: Dùng để đóng mở cửa khi tín hiệu hợp lệ Có 2 loại khóa( khóa má từ - dùng đóng mở 1 chiều và khóa chốt thả- dùng đóng mở 2 chiều).
Nút ấn EXIT (Exit button): Dùng để mở cửa khi khách đến công tác, lễ tân có thể dùng nút bấm để
mở cửa cho khách vào hoặc dùng thay thế đầu đọc phụ khi chỉ cần quản lý 1 chiều vào.
Cảm biến cửa (Door sensor): Báo trạng thái cửa đóng hay mở.
Ứng dụng hệ thống kiểm soát vào ra
Cấp quyền & thời gian ra vào cửa/ khu vực.
Đảm bảo an ninh cho nhân viên trong công ty, ngăn ngừa kẻ xấu xâm nhập với mục đích xấu như trộm cướp, phá hoại.
Đảm bảo an toàn cho tài sản của công ty Nếu xảy ra mất mát có thể dựa vào dữ liệu ra vào để truy cứu trách nhiệm.Phát hiện những xâm nhập bất hợp pháp, báo động trong trường hợp khẩn cấp để có hành động kịp thời như đập phá, hỏa hoạn.
Câu 28: Bạn hãy trình bày những vấn để liên quan đến Phycial Security?
-Physical Security
Áp dụng các rào cản vật lý và các thủ tục điều khiển để kiểm tra mức độ phòng ngừa và bảo
vệ chống lại hiểm hoạ đối với tài nguyên hoặc thông tin
-An toàn vật lý (Physical Security) là việc bảo vệ phần cứng, hệ thống mạng, chương trình và dữ liệu khỏi các mối nguy hiểm vật lý có thể gây ảnh hưởng đến hoạt động của hệ thống
Ví dụ: hỏa hoạn có thể gây tổn hại đến các máy tính và hệ thống mạng
-Trung tâm dữ liệu (data center): nơi tập trung lưu trữ và xử lý dữ liệu, và cần được bảo vệ nghiêm ngặt khỏi các mối nguy hiểm
-Cần xác định tất cả các mối nguy hiểm và lên kế hoạch để quản lý chúng
Các mối nguy hiểm vật lý gồm:
Hỏa hoạn và cháy nổ
Nhiệt độ và độ ẩm
Thiên tai: ngập lụt, bão, sấm chớp, động đất
Sập nhà , Hóa chất , Mất điện , Mất tín hiệu liên lạc
Thiết bị hỏng
Các phần tử phá hoại: nhân viên bên trong, kẻ trộm
-Kiểm soát an toàn vật lý
Trang 10+Quản lý hành chính (Administrative control): sử dụng các chính sách/luật để định nghĩa cách vận hành
hệ thống thông tin đúng, an toàn và bảo mật
Quản lý truy cập vật lý (Physical access control): sử dụng các công cụ kiểm soát việc ra vào giữa môi trường bên ngoài và hệ thống thông tin như hàng rào, khóa cửa, bảo vệ, …
Quản lý kỹ thuật (Technical control): sử dụng các phần mềm, phần cứng hỗ trợ bảo vệ an toàn cho các tài sản của công ty/tổ chức
+Quản lý truy cập vật lý (Physical access control): sử dụng các công cụ kiểm soát việc ra vào giữa môi trường bên ngoài và hệ thống thông tin như hàng rào, khóa cửa, bảo vệ, …
Quản lý kỹ thuật (Technical control): sử dụng các phần mềm, phần cứng hỗ trợ bảo vệ an toàn cho các tài sản của công ty/tổ chức
-Lựa chọn vị trí an toàn để xây dựng các trung tâm dữ liệu Khu vực xung quanh Các yếu tố thiên tai: lũ lụt, động đất, bão,… Thiết kế hợp lý và an toàn: Vị trí đặt server CSDL, hệ thống điện, báo cháy, Bố trí ánh sáng, cửa ra vào …
-Đảm bảo chỉ có những người có quyền mới được vào các khu vực nhạy cảm như: chỗ server CSDL, hệ thống mạng, điện, …
Sử dụng các công cụ: Cổng, rào , Nhân viên bảo vệ, Khóa, Thiết bị theo dõi, phát hiện các xâm phạm
Hệ thống phát hiện xâm nhập bao gồm các bộ cảm ứng phát hiện chuyển động, thiết bị báo động Khi bộ cảm ứng phát hiện có sự xâm nhập sẽ kích hoạt thiết bị báo động Thiết bị theo dõi (như camera) dùng
để quan sát hiệu quả các tài sản của công ty/tổ chức: Theo dõi từ xa
Phân chia các khu vực trong công ty/tổ chức dựa theo mức độ chứa các thông tin, thiết bị quan trọng Phân vùng Khu vực chung: nhân viên và khách Khu vực hạn chế: nhân viên Khu vực nhạy cảm: nhân viên
có đủ quyền
Thẻ nhân viên Xác thực và định danh Thẻ thông minh: có dải từ tính (magnetic stripe) hoặc con chip lưu thông tin nhân viên Được dùng trong các thiết bị tự động Thẻ thông thường: lưu thông tin dạng in ấn
Quản lý kỹ thuật
Phát hiện sự xâm nhập: Kiểm soát truy cập vật lý Hệ thống tự động nhận diện các hoạt động bất thườngTheo dõi và lưu trữ thông tin truy cập (access log) Theo dõi di chuyển của nhân viên, các thiết bị
mà nhân viên đó sử dụng Thẻ thông minh còn có khả năng ghi lại những truy cập của một nhân viên vào một khu vực nhạy cảm
Quản lý con người
Con người là mắc xích yếu nhất trong quá trình bảo mật thông tin Đào tạo tránh rủi ro trong thao tác sai Nhập, sửa, xóa sai dữ liệu Sử dụng các thiết bị không đúng cách: gây sai dữ liệu, hỏng hóc Nhận diện các phần mềm, trang web gây hại Các thao tác cơ bản khi xảy ra lỗi
Trách nhiệm tự quản lý thông tin cá nhân và bảo mật công việc Tự quản máy tính cá nhân, password, thẻ nhân viên, giấy tờ,… Giữ bí mật các công việc nhạy cảm, Social engineering Tránh kẻ tấn công từ bên trong: Tuyển chọn nhân viên, Chính sách đãi ngộ nhân viên, Hệ thống theo dõi, chống thoái thác