Bài giảng An toàn bảo mật HTTT: Tổng quan về an toàn và bảo mật hệ thống thông tin

19/09/2013

An toàn bảo mật HTTT

Chương 1 Tổng quan về an toàn bảo mật HTTT

Mục tiêu môn học Giải thích các khái niệm về an toàn bảo mật cho các HTTT, trên cơ sở là hạ tầng công nghệ thông tin

Page 2

Fundamentals of Information Systems Security

19/09/2013

Các khái niệm (cid:1) An ninh hay là an toàn bảo mật (cid:1) Thông tin (cid:1) Các thuộc tính của thông tin (cid:1) Tài sản

Page 3

Fundamentals of Information Systems Security

Các khái niệm (cid:1) Khái niệm về tính bảo mật, tính toàn vẹn và

tính sẵn sàng (CIA)

(cid:1) Các giải pháp an ninh theo lớp được thực

hiện trên bẩy vùng (domain) của một hạ tầng IT điển hình

(cid:1) Các nguy cơ phổ biến đối với từng vùng bảo

mật

(cid:1) Khung chính sách cho an ninh IT (cid:1) Tác động của chuẩn phân loại dữ liệu đối

với bẩy vùng đã mô tả

Page 3

Fundamentals of Information Systems Security

19/09/2013

KHÁM PHÁ: CÁC KHÁI NIỆM

Page 4

Fundamentals of Information Systems Security

Giới thiệu về ISS

ISS (An ninh Hệ thống thông tin)

Information Systems (Hệ thống thông tin)

Information (Thông tin)

Page 5

Fundamentals of Information Systems Security

19/09/2013

An ninh

(cid:1) An ninh – bảo đảm không thể gây hại đến hoạt động và thuộc tính của một đối tượng nào đó, kể cả cấu trúc và thành phần của nó

(cid:1) An ninh của một đối tượng có thể phân chia thành nhiều dạng khác nhau. Một trong những dạng đó là an ninh thông tin (bảo vệ thông tin và những hoạt động với thông tin)

An ninh thông tin

(cid:1) Về phạm vi: an ninh thông tin xét theo các mức cá nhân, tổ chức (doanh nghiệp) và quốc gia (cid:1) “An ninh thông tin” – trạng thái được bảo vệ của thông tin và vật mang tin (thuộc sở hữu cá nhân, tổ chức, hệ thống và các phương pháp bảo đảm sự tiếp nhận, xử lý, lưu trữ,lan truyền và sử dụng thông tin) trước các nguy cơ khác nhau

19/09/2013

An ninh thông tin (tiếp)

(cid:1) Nguồn gốc các nguy cơ có thể biết trước (ăn

cắp thông tin), có thể không biết trước (không rõ mục tiêu của tội phạm)

(cid:1) Bảo đảm an ninh thông tin có thể thực hiện bằng những “biện pháp” và “công cụ” khác nhau (tổ chức, kỹ năng …)

(cid:1) Tập hợp tất cả các biện pháp và phương pháp bảo đảm an ninh thông tin tạo thành hệ thống bảo vệ thông tin

Mục đích bảo vệ thông tin

(cid:1) Ngăn ngừa mất mát, gây nhiễu, tung tin … (cid:1) Ngăn ngừa đe dọa an ninh của cá nhân, xã hội, quốc gia (cid:1) Ngăn ngừa những hoạt động trái phép nhằm tiêu hủy, gây nhiễu, sao chép, gây tắc nghẽn thông tin; ngăn ngừa các dạng quấy rối vào tài nguyên thông tin và hệ thống thông tin

(cid:1) Bảo vệ quyền công dân về sự riêng tư và tính bảo mật

của dữ liệu cá nhân trong các hệ thống thông tin

(cid:1) Bảo vệ bí mật quốc gia, tính bảo mật của thôg tin văn

bản tương ứng với quy định của luật pháp

(cid:1) Bảo đảm quyền lợi của các chủ thể trong quá trình truyền thông, chế tác, sản xuất và sử dụng hệ thống thông

19/09/2013

VAI TRÒ THÔNG TIN VỚI CÁ NHÂN

SV nêu ví dụ?

Nhằm nâng cao hiệu quả hoạt động với thông tin, con người dùng các thiết bị hỗ trợ:

VAI TRÒ THÔNG TIN ĐỐI VỚI TỔ CHỨC, DOANH NGHIỆP • Mỗi doanh nghiệp, tổ chức được xem là một hệ thống (sự liên kết nhân lực, vật lực để tiến đến mục đích chung)

HỆ QUẢN TRỊ

ĐỐI TƯỢNG QUẢN TRỊ

MỤC TIÊU

19/09/2013

KHÁI QUÁT HỆ THỐNG THÔNG TIN DOANH NGHIỆP

ĐE DỌA

CƠ HỘI

NGUYÊN VẬT LiỆU

CÔNG CỤ, NGUYÊN VẬT LIỆU …

Mục tiêu doanh nghiệp là tìm kiếm lợi nhuận

CẤU TRÚC HỆ THỐNG THÔNG TIN DOANH NGHIỆP THEO QUAN ĐIỂM TỔ CHỨC

HTTT KẾ TOÁN

HTTT KINH DOANH

HTTT

HTTT SẢN XUẤT

HTTT

HTTT NHÂN SỰ

HTTT KHO

Hệ thống thông tin doanh nghiệp bao gồm nhiều HTTT con. Mỗi HTTT này phục vụ hoạt động của một phòng, ban …và có sự trao đổi thông tin nội bộ và với bên ngoài

19/09/2013

HỆ THỐNG THÔNG TIN QUỐC GIA

(cid:1) Thông tin cấp quốc gia nhằm phục vụ các hoạt động mức nhà nước.(an ninh xã hội, bảo vệ môi trường, giáo dục, sức khỏe cộng đồng …) (cid:1) Mục tiêu các hoạt động của nhà nước có thể

là :

- Tăng trưởng kinh tế - Hòa bình, ổn định xã hội - Thỏa mãn (hạnh phúc) của dân chúng…

HỆ THỐNG THÔNG TIN QUỐC GIA

SẢN PHẨM

BANK

NÔNG NGHIỆP KHAI THÁC

CÔNG NGHIỆP DỊCH VỤ

NGUYÊN VẬT LIỆU

LUẬT PHÁP

GIAO THÔNG

THUẾ

LỆ PHÍ

AN NINH

CHÍNH SÁCH KINH TẾ

QUÂN ĐỘI

…

GIÁO DỤC

NHÀ NƯỚC

Hệ thống thông tin quốc gia cũng được phân chia theo mục tiêu của các bộ, ngành …

19/09/2013

KẾT LUẬN VỀ HTTT

(cid:1) Hệ thống thông tin có thể xem xét ở các mức :

cá nhân, doanh nghiệp, nhà nước

(cid:1) Hệ thống thông tin của một chủ thể đảm bảo

hiệu quả hoạt động của chủ thể đó

(cid:1) An ninh thông tin của một hệ thống chính là bảo vệ quyền lợi của hệ thống đó đối với tài nguyên thông tin, hạ tầng thông tin, quyền về thông tin, các hoạt động về thông tin …

CẤU TRÚC KHÁI NIỆM “AN NINH THÔNG TIN”

An ninh thông tin – Đảm bảo không bị gây hại đến các tính chất của đối tượng được bảo vệ, tài nguyên thông tin và hạ tầng thông tin

Các nguy cơ về an ninh thông tin

Đảm bảo an ninh thông tin

Đối tượng an ninh thông tin - các tính chất đối tượng, tài nguyên thông tin và hạ tầng thông tin

Hoạt động

Trang thiết bị

Nhân lực

19/09/2013

THÔNG TIN VÀ THUỘC TÍNH CỦA THÔNG TIN

KHÁI NIỆM THÔNG TIN

Thông tin – Mô tả, giải trình, trình bày, giãi bày, bày tỏ, tỏ bày, giãi tỏ, diễn đạt (cid:2) mang lại hiểu biết cho con người

19/09/2013

Thông tin – để hiểu sâu và tổng quát không thể hiểu theo một quan điểm Từ THÔNG TIN có thể hiểu khác nhau trong kỹ thuật, khoa học và trong ngữ cảnh cuộc sống Ví dụ 1 : Report (CNTT) = báo cáo Thế thì báo cáo của bộ trưởng máy tính có viết được không? Lý do? Ví dụ 2: máy tính dự báo đồng xu tung lên khi rơi xuống mặt bàn có 2 trường hợp. Vậy trong cuộc sống có trường hợp nào nữa không? (SV)

Học ít quên ít, học nhiều quên nhiều ! Vậy cần học bao nhiêu???

19/09/2013

ĐỊNH NGHĨA THÔNG TIN

Thông tin – Sự mô tả về các đối tượng các các hiện tượng của môi trường xung quanh, các thông số, tính chất, trạng thái của chúng, được dùng để cung cấp cho một hệ thống thông tin nào đó (cơ thể sống, thiết bị điều khiển …) trong quá trình sống và làm việc

Chỉ có thuốc XERADION

Có thuốc OMVODICO không em?

Không có anh ơi!

Cùng một bản tin nhưng có thể cung cấp lượng tin khác nhau cho những người khác nhau …

…phụ thuộc vào kinh nghiệm, trình độ nhận thức, mức độ quan tâm

19/09/2013

Thông tin phải có giá trị sử dụng, tức là có NHU CẦU về nó. Nếu không ai cần cả thì đấy là THÔNG TIN VÔ NGHĨA

“Sáng mai mặt trời sẽ mọc”

Thiết bị kỹ thuật CNTT không chứa thông tin, mà chỉ chứa các ký tự và quy luật ghép nối để có thể hiển thị thông tin (dữ liệu và thuật toán) Thông tin có thể tồn tại dưới dạng -Câu chữ, hình ảnh… -Tín hiệu ánh sáng, âm thanh… -Sóng radio -Mùi vị

Sự vật, quá trình, hiện tượng vật chất và không vật chất được gọi là đối tượng thông tin (quan điểm mô tả thuộc tính)

19/09/2013

Có thể làm gì với thông tin???

Tạo ra

Tiếp nhận

Kết hợp

Lưu trữ Tìm kiếm

Truyền đi

Nhân bản

Xử lý

Cảm nhận

Chuẩn hóa

Phân chia

Đo lường

Sử dụng

Phân phối

Yêu cầu

Phá hủy

Ghi nhớ

Chuyển đổi

Thu lượm

v.v.v

Tất cả các thao tác trên được gọi là quá trình thông tin

THẢO LUẬN NHÓM

Hãy đưa ra các ví dụ thực tế tương ứng với các thao tác thông tin. Kể ra các lý do có thể làm suy giảm chất lượng thông tin trong từng thao tác, cách phòng chống?

Minh họa : Thao tác nhân bản (copy) : Cuốn vở dưới gầm bàn được copy trái phép lên tờ giấy trên mặt bàn trong giờ kiểm tra

19/09/2013

Khoai có chất lượng, vậy thông tin có không? Có đánh giá được không?

Chất lượng khoai lang phụ thuộc vào các yếu tố nào? Có đo được không?

Các thuộc tính của thông tin

Thông tin rất cần thiết để giúp ta ra quyết định đúng đắn. Bởi vậy cần xét đến thuộc tính của thông tin, nghĩa là dấu hiệu chất lượng thông tin

• Mức giá trị • Tính tức thời • Tính dễ hiểu • Tính sẵn sàng • Tính ngắn gọn … • Tính khách quan • Độ tin cậy • Mức đầy đủ • Độ chính xác • Độ sẵn sàng • Tính phù hợp • Tính hữu ích

19/09/2013

Tính khách quan của thông tin. Thông tin là sự thể hiện thế giới xung quanh, mà thế giới này tồn tại không phụ thuộc vào nhận thức và nguyện vọng của con người

Ví dụ: Trên đường có một ổ gà thì mưa hay nắng, sang hay tối nó đều tồn tại. Ai không nhận thấy mà cứ lao vào nó sẽ bị thiệt hại

Độ tin cậy của thông tin. Thông tin tin cậy là thông tin phản ánh đúng sự việc và giúp con người ra quyết định đúng. Thông tin khách quan luôn đáng tin cậy. Thông tin chủ quan (do người tạo ra) có thể tin cậy, có thể không đáng tin Ngoài ra độ tin cậy của thông tin có thể suy giảm do: -Chủ động bóp méo (1/4) -Nhiễu gây thay đổi nội dung (đường truyền) -….

19/09/2013

Mức đầy đủ của thông tin Thông tin được xem là đầy đủ, nếu như con người có thể hiểu nó để ra quyết định đúng.

Đau bụng uống nhân sâm

thì chết

Tính giá trị và không có giá trị của thông tin - Giữa hai thuộc tính trên không có ranh giới vì giá trị thông tin tùy thuộc theo nhu cầu của từng người cụ thể -Tính hữu ích của một thông tin tùy thuộc vào nhiệm vụ, mà nếu thiếu thông tin đó không thể thực hiện nó được - Đối với phương tiện kỹ thuật thì việc xem xét tính hữu ích của thông tin là vô nghĩa, vì máy móc chỉ thực hiện nhiệm vụ mà con người giao cho nó.

19/09/2013

Độ chính xác – Thể hiện sai số của sự mô tả với hiện tượng, sự vật, trạng thái thực tế

Độ chính xác cao thì lượng tin lớn, chi phí tạo ra, xử lý, truyền đi của thông tin lớn => phải xác định sai số cho phép

VD:Trong ngôn ngữ C++, 10 chia 3 =??? Int Long Float Double ….

Tính sẵn sàng (tức thời) của thông tin Đây là đặc tính rất quan trọng, thực tế trong thời đại này

Sẵn sàng – cần là có ngay Tức thời – Đúng với thời điểm

Thông tin cũ giá trị sử dụng thấp. Càng lưu nhiều thông tin cũ càng khó tìm được thông tin cần thiết nhanh nhất VD:- nhiều quần áo quá, lúc cần bộ đó tìm không kịp - Nhiều phiên bản thiết kế quá, dễ nhầm lẫn

19/09/2013

Tổng kết về thuộc tính thông tin

Bất kỳ thông tin nào đều có tính khách quan, độ tin cậy, đầy đủ, mức dễ hiểu và tính hữu ích. Nếu xem xét dưới góc độ cá nhân (xã hội) sẽ có thêm các thuộc tính khác nữa: 1.Tính ngữ nghĩa (ý nghĩa) 2. Thể hiện bằng ngôn ngữ khác nhau 3. Tính tăng trưởng (tích lũy nhiều, nhỏ để đưa ra thông tin khái quát, thông tin mới…) 4. Thông tin càng cũ thì giá trị càng suy giảm 5. Tính logic, tính ngắn gọn, dễ hiển thị, mã hóa …

Các thuộc tính của thông tin

Khách quan

Chủ quan

Độ tin cậy

Độ không tin cậy

Tính đầy đủ

Tính thiếu sót

Sẵn sàng, tức thời

Không sẵn sàng (cũ, chậm)

Giá trị, hữu ích

Vô ích

Dễ hiểu

Khó hiểu

19/09/2013

THẢO LUẬN NHÓM

Hãy đưa ra các ví dụ thực tế trong doanh nghiệp tương ứng với các thuộc tính thông tin. Với mỗi ví dụ đó hãy đưa ra biện pháp nhằm tăng cường hiệu quả sử dụng thông tin

Ví dụ tính khách quan : Giá nguyên vật liệu tăng không phụ thuộc vào sự tồn tại của doanh nghiệp. Muốn có hiệu quả sản suất kinh doanh tốt doanh nghiệp phải đầu tư các kênh thông tin hữu dụng. Ví dụ Peru mất mùa cá thì giá bột cá trên thế giới sẽ tăng (báo chí)

CÁC THUỘC TÍNH CỦA THÔNG TIN BẢO MẬT

• Xây dựng hệ thống an ninh thông tin trong doanh nghiệp thường bắt đầu từ việc phân tích các rủi ro (chiếm nhiều công sức nhất)

Nhà máy này có những nguy cơ nào? Chừng này bảo vệ đã đủ chưa?

19/09/2013

Một trong những công đoạn của phân tích rủi ro chính là kiểm tra, rà soát toàn bộ các quá trình và hoạt động nhằm tìm ra các khe hở, các lỗ hổng. Đánh giá xác suất bị khai thác và thiệt hại có thể xảy ra từ đó.

Lỗ hổng hệ thống được xem là các sự kiện có thể dẫn đến sự phá hủy một trong những tính chất an ninh của thông tin đang được xử lý: - Tính sẵn sàng - Tính toàn vẹn - Tính bảo mật

(Ví dụ: hư hỏng phương tiện kỹ thuật hoặc

lỗi nhập liệu bằng tay trong máy tính trong trường hợp không có kiểm soát từ bên ngoài.)

19/09/2013

An ninh thông tin: trạng thái thông tin, các phương tiện kỹ thuật và công nghệ xử lý được thể hiện bằng các thuộc tính : bảo mật, toàn vẹn và sẵn sàng.

Tam giác CIA

Availability

Page 6

Fundamentals of Information Systems Security

19/09/2013

Tính bảo mật

Cơ quan quản lý chủ động đưa ra giới hạn quyền truy cập đối với từng thông tin và đảm bảo hệ thống không cung cấp thông tin đến những người không có quyền truy cập đến thông tin đó.

Tính bảo mật

Personal Data and Information • Credit card account numbers and bank account numbers • Social Security numbers and address information

specifications

Intellectual Property • Copyrights, patents, and secret formulas • Source code, customer databases, and technical

Page 7

Fundamentals of Information Systems Security

National Security • Military intelligence • Homeland security and government-related information

19/09/2013

Tính toàn vẹn Đảm bảo thông tin đúng, không bị lỗi và chính xác.

(cid:1) Usernames and passwords

(cid:1) Patents and copyrights (cid:1) Source code

(cid:1) Diplomatic information (cid:1) Financial data

Page 8

Fundamentals of Information Systems Security

Tính sẵn sàng

Đảm bảo khả năng truy cập tức thời của các chủ thể có nhu cầu đến thông tin của họ và sự chuẩn bị của các phương tiện tương ứng tham gia phục vụ nhu cầu của chủ thể.

19/09/2013

YẾU TỐ PHẠM VI

• Khi xem xét an ninh của hệ thống thông tin phải xét đến yếu tố phạm vi (môi trường trong, ngoài), các mối quan hệ giữa các thành phần (tương tác, trao đổi). Bởi vậy tính chất “được bảo vệ” trở thành một trong những thuộc tính quan trọng của hệ thống thông tin. • Được bảo vệ - khả chống lại các tác động từ

bên ngoài để giữ nguyên các thuộc tính

• (tương ứng trong vật lý : độ cứng, độ đàn hồi)

Mức ổn định của phần mềm

Độ ổn định của thông tin

Xuất hiện khi tương tác với các yếu tố trong

Mức ổn định của trang thiết bị

An ninh thông tin (Tính chất HTTT)

Xuất hiện khi tương tác với môi trường ngoài

Thông tin được bảo vệ (Tính chất hệ thống bảo vệ thông tin)

Bảo mật

Toàn vẹn

Sẵn sàng

Các thuộc tính cơ bản của thông tin

19/09/2013

THẢO LUẬN NHÓM

• Doanh nghiệp luôn có nhiều phòng ban chức năng, mỗi phòng ban có nhiều mối quan hệ công việc với các đối tác khác. Hãy đưa ra các giải pháp để đảm bảo các mối quan hệ này không bị thất lạc khi có sự thay đổi về nhân sự ở các phòng ban !

Đạo đức trong ISS (cid:1) ISS là cuộc đấu tranh kinh điển giữa “cái

tốt và cái xấu”

(cid:1) Không có luật, quy định hay quy tắc để quản lý không gian mạng ở mức độ toàn cầu.

(cid:1) Chính phủ Mỹ và ban kiến trúc Internet đã xây dựng chính sách sử dụng Internet chung

(cid:1) Các chuyên gia an ninh được quan tâm

Page 10

Fundamentals of Information Systems Security

và là “người tốt”.

19/09/2013

Compliance Laws Driving ISS

and

Health Insurance Portability Accountability Act (HIPAA)

Sarbanes-Oxley (SOX) Act

Children’s Internet Protection Act (CIPA)

Page 11

Fundamentals of Information Systems Security

Khung chính sách an ninh IT

CHÍNH SÁCH

A short written statement that defines a course of action that applies to the entire organization

Chuẩn

A detailed written definition of how software and hardware are to be used

Thủ tục

Written instructions for how to use the policy and standard

Suggested course of action for using the policy, standard, or procedure

Hướng dẫn

Page 12

Fundamentals of Information Systems Security

19/09/2013

Câu hỏi

• Các nhóm trình bày nguy cơ đối với hệ thống

thông tin của doanh nghiệp – Các thành phần hệ thống – Nguy cơ đối với từng thành phần

Bẩy vùng (domain) của một hạ tầng IT điển hình

Page 13

Fundamentals of Information Systems Security

19/09/2013

Các nguy cơ trong vùng Người dùng (cid:1) Người dùng thiếu nhận thức (cid:1) Người dùng thờ ơ với các chính sách (cid:1) Người dùng vi phạm các chính sách an toàn (cid:1) Người dùng sử dụng CD/DVD/USB chứa các file cá nhân

Page 14

Fundamentals of Information Systems Security

Các nguy cơ trong vùng Người dùng (tiếp) (cid:1) Người dùng tải ảnh, nhạc, phim (cid:1) Người dùng hủy các hệ thống, ứng

dụng, và dữ liệu

(cid:1) Nhân viên xấu phá hoại doanh nghiệp (cid:1) Nhân viên xấu hăm dọa tống tiền

Page 15

Fundamentals of Information Systems Security

hoặc ăn cắp

19/09/2013

Các nguy cơ trong vùng máy trạm (Workstation) (cid:1) Truy cập trái phép tới máy trạm (cid:1) Truy cập trái phép tới hệ thống, ứng dụng và dữ liệu (cid:1) Lỗ hổng trong hệ điều hành máy tính (cid:1) Lỗ hổng hay bản vá lỗi trong phần mềm ứng dụng của máy tính

Page 16

Fundamentals of Information Systems Security

Các nguy cơ trong vùng máy trạm (Workstation)(tiếp) (cid:1) Vi rút, mã độc và phần mềm có hại (cid:1) Người dùng sử dụng CD/DVD/USB chứa các

file cá nhân

Page 17

Fundamentals of Information Systems Security

(cid:1) Người dùng tải ảnh, nhạc, phim

19/09/2013

Các nguy cơ trong vùng mạng LAN (cid:1) Truy cập vật lý trái phép tới mạng LAN (cid:1) Truy cập trái phép tới các hệ thống, ứng dụng và dữ liệu (cid:1) Lỗ hổng trong hệ điều hành máy chủ trong mạng LAN (cid:1) Các lỗ hổng và cập nhật bản vá phần mềm ứng dụng máy chủ trong mạng LAN

Page 18

Fundamentals of Information Systems Security

Các nguy cơ trong vùng mạng LAN (tiếp)

Page 19

Fundamentals of Information Systems Security

(cid:1) Người dùng xấu trong mạng WLAN (cid:1) Bảo mật dữ liệu trong mạng WLAN (cid:1) Các chuẩn và hướng dẫn cấu hình máy chủ trong mạng LAN

19/09/2013

Các nguy cơ trong vùng mạng LAN-to-WAN (cid:1) Quét cổng và tìm kiếm trái phép (cid:1) Truy cập bất hợp pháp (cid:1) Lỗ hổng hệ điều hành các thiết bị mạng như Internet Protocol (IP) router, firewall

(cid:1) Người dùng trong mạng tải về các phần mềm không rõ từ các người không xác định

WAN

Page 20

Fundamentals of Information Systems Security

Các nguy cơ trong vùng mạng WAN (cid:1) Dữ liệu truy cập công cộng, mở (cid:1) Hầu hết dữ liệu được gửi dưới

dạng không mã hóa

(cid:1) Dễ bị tấn công do nghe lén (cid:1) Dễ bị thương tổn do các cuộc tấn

công gây hại

WAN

(cid:1) Dễ bị tổn thương do DOS và

Page 21

Fundamentals of Information Systems Security

DDOS

19/09/2013

WAN

Các nguy cơ trong vùng mạng WAN (tiếp) (cid:1) Dễ bị tổn thương do lỗi về dữ liệu hay thông tin (cid:1) Các ứng dụng không an toàn (cid:1) Hacker và các kẻ tấn công gửi qua email Trojans, worms, và các phần mềm độc hại khác một cách tự do, liên tục

Page 22

Fundamentals of Information Systems Security

(cid:1)

Internet

(cid:1) (cid:1)

Các nguy cơ trong vùng Truy cập từ xa (cid:1) Tấn công vét cạn ID người dùng và mật khẩu (cid:1) Tấn công điều khiển truy cập và login hệ thống nhiều lần Truy cập từ xa bất hợp pháp tới hệ thống IT, ứng dụng và dữ liệu Dữ liệu bí mật bị lộ từ xa Lộ dữ liệu do xung đột giữa các chuẩn phân loại dữ liệu

Page 23

Fundamentals of Information Systems Security

19/09/2013

Các nguy cơ trong vùng Hệ thống/Ứng dụng (cid:1) Truy cập trái phép tới trung tâm dữ liệu, phòng

máy và các hộp dây

(cid:1) Các máy chủ khó quản lý yêu cầu độ sẵn

(cid:1)

sàng cao Quản lý điểm yếu các hệ điều hành máy chủ

(cid:1) An ninh cho các môi trường ảo của

(cid:1)

điện toán đám mây Dữ liệu lỗi hoặc bị ngắt

Cloud Computing

Page 24

Fundamentals of Information Systems Security

KHÁM PHÁ: QUY TRÌNH

Page 25

Fundamentals of Information Systems Security

19/09/2013

Thực hiện tam giác CIA

Tính bảo mật

AUP chính sách sử dụng hợp lý

Page 26

Fundamentals of Information Systems Security

Chính sách nhận thức về an toàn an ninh Điều khiển truy cập nâng cao

Thực hiện tam giác CIA (tiếp)

AUP Đánh giá và theo dõi các nguy cơ Chính sách nhận thức an toàn an ninh Đánh giá và quản lý điểm yếu Điều khiển truy cập nâng cao Chính sách bảo vệ tài sản

Page 27

Fundamentals of Information Systems Security

Tính toàn vẹn

19/09/2013

Thực hiện tam giác CIA (tiếp)

Chuẩn phân loại dữ liệu AUP Đánh giá và theo dõi các nguy cơ Chính sách nhận thức an toàn an ninh

Đánh giá và quản lý điểm yếu

Điều khiển truy cập nâng cao

Chính sách bảo vệ tài sản

Page 28

Fundamentals of Information Systems Security

Tính sẵn sàng

KHÁM PHÁ: ROLES

Page 29

Fundamentals of Information Systems Security

19/09/2013

Ai thực hiện tam giác CIA?

Page 30

Fundamentals of Information Systems Security

Sẵn sàng (cid:1) Quản trị IT (cid:1) Quản trị mạng (cid:1) Nhà cung cấp thứ 3, ví dụ công ty viễn thông Toàn vẹn (cid:1) Người dùng (cid:1) Quản trị IT (cid:1) Quản trị mạng (cid:1) Nhân lực (cid:1) Quản lý cấp cao Bảo mật (cid:1) Người dùng (cid:1) Quản trị IT (cid:1) Quản trị mạng (cid:1) Nhân lực (cid:1) Quản lý cấp cao

Tổng kết (cid:1) Các từ khóa gắn với ISS có: rủi ro, nguy cơ, và điểm yếu. (cid:1) Chiến lược an ninh phân lớp bảo vệ CIA của hạ tầng IT. (cid:1) Khung chính sách IT có các chính sách, chuẩn, thủ tục và hướng dẫn. (cid:1) Chuẩn phân loại dữ liệu định nghĩa cách thức dữ liệu được xử lý trong hạ tầng IT.

Page 31

Fundamentals of Information Systems Security

19/09/2013

KHÁM PHÁ: Các dạng phương tiện kỹ thuật chuyên dụng

Page 29

Fundamentals of Information Systems Security

1.Thiết bị nghe trộm : nghe trộm các cuộc nói

chuyện trong nhà, ngoài trời

- Ghi âm mang theo - Đặt trước máy ghi truyền ra ngoài - Thu thập âm thanh tản mát, lọc nhiễu và tăng

cường tín hiệu

- Thu âm định hướng - Kỹ thuật thu âm bằng laser nhờ dao động trên

gương cửa sổ phòng hội thoại …

19/09/2013

2. Hệ thống chụp ảnh, quay phim và quang học

chuyên dụng

- Bí mật quan sát (ngày, đêm) - Đọc và sao chép tài liệu từ xa - Nhận dữ liệu qua kênh vận chuyển (dạng hàng

hóa, khối lượng sản xuất …)

Hành động này thường sử dụng các thiết bị quan sát chuyên dụng, thiết bị nhìn đêm, máy quay phim ẩn, máy ảnh kích thước nhỏ

3. Kỹ thuật nghe trộm điện thoại - Đầu tiếp nhận gắn trực tiếp hoặc gián tiếp vào đường truyền riêng - Không chế đường truyền lớn, ghi lại toàn bộ

và lọc âm nhờ máy tính

19/09/2013

4. Phương tiện chuyên dụng để chiếm hữu và

ghi nhận thông tin trên đường truyền dữ liệu

Mỗi kênh liên lạc hiện đại đều có một loại thiết bị chuyên dùng tương ứng - Quan sát màn hình - Chiếm hữu thông tin trên đường truyền trong

tòa nhà hoặc giữa các tòa nhà

- Kỹ thuật chiếm hữu thông tin điện thoại di động, tin nhắn, fax,mạng máy tính, kênh chuyên dụng

5. Thiết bị chuyên dùng để trộm cắp thông tin qua đường bưu chính Bí mật tiếp cận và xem trộm thư, cần thiết có thể ghi lại hoặc làm giả tài liệu. - Thiết bị chuyên dùng có thể là : thiết bị mở

bao và phục hồi

- Thiết bị đọc qua lớp bảo vệ (quang điện, hóa

chất)

- Con dấu …

19/09/2013

6.Phương tiện kỹ thuật chuyên dùng để bí mật

nghiên cứu đối tượng và tài liệu - Thiết bị pháp y (phục hồi, lấy mẫu …) - Phát hiện các bằng chứng - Dấu vân tay …

7.Phương tiện kỹ thuật để bí mật xâm nhập và theo dõi kho xưởng, phương tiện vận tải và các đối tượng khác

- Thiết bị để cắt và lắp ráp chuyên dùng - Thiết bị phá khóa bảo vệ - Thiết bị hỗ trợ vượt qua lớp bảo vệ, tê liệt hệ

thống tín hiệu báo động ….

19/09/2013

8. Thiết bị chuyên dụng để bí mật kiểm tra

chuyển động của các phương tiện vận tải và các đối tượng khác

Mục tiêu chính là ứng dụng thiết bị dạng này bí mật gắn vào đối tượng hoặc con người cần theo dõi nhằn xác định lộ trình hoặc vị trí - Định vị vệ tinh - Định hướng và khoảng cách so với mốc

19/09/2013

9. Thiết bị chuyên dùng để bí mật tiếp nhận (hoặc hủy diệt) thông tin từ phương tiện dùng để lưu trữ, xử lý và truyền tin

- Thiết bị dò và bắt tín hiệu gài vào hệ thống

tính toán, modem nhằm lấy mật khẩu, dữ liệu

- Thiết bị kiểm tra và phân tích mẫu thu được từ hệ thống điện toán và mạng máy tính - Thiết bị để copy nhanh thông tin từ đĩa từ

hoặc hủy dữ liệu …

19/09/2013

10.Thiết bị chuyên dùng để ngầm xác định con

người

- Máy phân tích stress, mất tập trung, say xỉn … - Thiết bị theo dõi y sinh, hóa sinh nhân viên - Thiết bị xác định giọng nói, chữ ký, vân tay

THẢO LUẬN NHÓM

(cid:3)Bạn và em bạn cùng vào Sài gòn đi học, bạn có trách nhiệm giám sát giúp đỡ em. Gần đây, đi học về là em vào phòng, cắm đầu vào máy tính, hay mượn tiền, học hành xa sút … Hỏi không nói.

(cid:3)Muốn biết nguyên nhân nhưng không để cho em biết, bạn có thể dùng các phương pháp nào để thu thập thông tin tìm nguyên nhân ?