Bài giảng An toàn bảo mật mạng: Chương 6 - ThS. Trần Đắc Tốt

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM

AN TOÀN BẢO MẬT MẠNG (Network Security)

Giảng viên: Ths. Trần Đắc Tốt – Khoa CNTT Email: tottd@cntp.edu.vn Website: www.oktot.com Facebook: https://www.facebook.com/oktotcom/

Chuẩn an toàn thông tin

1

NỘI DUNG MÔN HỌC

Chương 1: Tổng quan an toàn và bảo mật thông tin mạng

Chương 2: Tấn công mạng máy tính.

máy tính.

Chương 4: Hệ thống phát hiện và phòng chống xâm nhập

Chương 3: Công nghệ Firewall.

Chương 5: An ninh mạng WLAN (IEEE 802.11).

(IDS&IPS).

Chương 6: Chuẩn an toàn thông tin.

Chuẩn an toàn thông tin

2

Các nội dung trình bày

1. Pháp luật về an toàn thông tin

2. Bộ tiêu chuẩn ISO/IEC 2700x

3. Các bộ tiêu chuẩn khác

Chuẩn an toàn thông tin

3

1. Pháp luật về an toàn thông tin

Với việc kết nối máy tính vào mạng, con người có thể

có nghĩa là những tác hại có thể được nhân lên qua

mở rộng phạm vi hoạt động của mình thì điều đó cũng

mạng. Vì thế trong một xã hội "nối mạng", mọi cá nhân

phải nhận thức được trách nhiệm với cộng đồng.

Pháp luật về ATTT là các quy định, nghị định, chính sách

nhằm đưa ra các yêu cầu và luật về đảm bảo ATTT.

Chuẩn an toàn thông tin

4

1.1. Tin tặc, tội phạm kỹ thuật

Tin tặc (Hacker): Là một người hay nhóm

người sử dụng sự hiểu biết của mình về cấu

trúc máy tính, hệ điều hành, mạng, các ứng

dụng trong cơ sở HTTT ... để tìm lỗi, lỗ hỗng,

điểm yếu an toàn của nó và tìm cách xâm

nhập, thay đổi hay chỉnh sửa HTTT với mục

đích tốt xấu khác nhau.

Chuẩn an toàn thông tin

5

Tin tặc, tội phạm kỹ thuật (tiếp)

Có hai loại Hacker:

Hacker mũ trắng là những người mà hành động

tấn công, xâm nhập và thay đổi, chỉnh sửa hệ

thống phần cứng, phần mềm với mục đích tìm

ra các lỗi, lỗ hổng, điểm yếu bảo mật và đưa ra

giải pháp ngăn chặn và bảo vệ hệ thống chẳng

hạn như những nhà phân tích An ninh mạng.

Chuẩn an toàn thông tin

6

Tin tặc, tội phạm kỹ thuật (tiếp)

Hacker mũ đen là những người mà hành

động tấn công, xâm nhập, thay đổi, chỉnh

sửa hệ thống phần cứng, phần mềm với

mục đích phá hoại, hoặc vi phạm pháp

luật.

Chuẩn an toàn thông tin

7

1.2. Một số tội phạm tin học liên quan đến lạm dụng Internet

Mạo danh, xâm nhập máy tính trái phép để

đánh cắp và huỷ hoại thông tin.

Lừa đảo qua mạng (Phishing): Là loại

lừa đảo

hấp dẫn nhất với tin tặc và trở thành hiểm hoạ

đe doạ thương mại điện tử, làm giảm lòng tin

vào các giao dịch điện tử.

Chuẩn an toàn thông tin

8

Một số tội phạm tin học liên quan đến lạm dụng Internet (tiếp)

Spamming (thư rác) và việc vi phạm tính riêng tư của

khả năng quảng bá nhanh chóng và rộng rãi. Tuy nhiên

người khác: Email là hệ thống giúp marketting rất tốt với

có những người lạm dụng hệ thống email để quấy rối,

đe dọa, xúc phạm đến người khác.

Nhiều nước đang xem xét những đạo luật liên quan đến

spamming có được phép hay không. Ở Việt nam, nạn

spamming đang bùng nổ rất mạnh mẽ.

Chuẩn an toàn thông tin

9

Một số tội phạm tin học liên quan đến lạm dụng Internet (tiếp)

Tấn công từ chối dịch vụ.

phạm an ninh quốc gia: Internet là môi trường công

Phát tán hoặc gieo rắc các tài liệu phản văn hoá, vi

cộng, ai cũng có thể sử dụng. Một số người lợi dụng khả

năng của Internet để phổ biến các tài liệu phản văn hoá

như kích động bạo lực, phổ biến văn hoá đồi truỵ, kích

động bạo loạn, kích động các xu hướng dân tộc hay tôn

giáp cực đoan, hướng dẫn các phương pháp khủng bố.

Chuẩn an toàn thông tin

10

1.3. Vấn đề sở hữu trí tuệ và bản quyền

Luật bản quyền được quy định trong Bộ luật dân sự của

Về cơ bản, quyền tác giả (quyền tinh thần) được cấp cho

nước Cộng hoà Xã hội chủ nghĩa Việt Nam.

những người trực tiếp sáng tạo ra phần mềm; quyền sở

hữu (quyền thương mại) được cấp cho người đầu tư;

quyền sử dụng (licence) do chủ sở hữu cấp phép cho

người sử dụng.

Chuẩn an toàn thông tin

11

Vấn đề sở hữu trí tuệ và bản quyền (tiếp)

Về mặt luật, phần mềm hiện đang được đối xử như một

luật sở hữu trí tuệ phải được tiếp tục hoàn thiện, nhất là

tác phẩm viết và còn rất nhiều điều bất cập. Chắc chắn

đối với phần mềm.

Tình trạng dùng phần mềm sao chép không có bản

quyền rất phổ biến không chỉ riêng ở các nước đang

phát triển. Ngay ở Mỹ cũng có đến 1/3 số phần mềm

được dùng không có bản quyền.

Chuẩn an toàn thông tin

12

Vấn đề sở hữu trí tuệ và bản quyền (tiếp)

Theo thống kê của các tổ chức có trách nhiệm tình trạng

cho những người

làm phần mềm nhiều tỷ đô la môĩ

dùng phần mềm không có bản quyền đã gây thiệt hại

năm.

Các nhà sản xuất phần mềm đã tìm các phương pháp

chống sao chép nhưng "không lại" được với dân tin tặc.

Cho đến nay, chưa một phần mềm nào của Việt Nam

chống được nạn bẻ khoá.

Chuẩn an toàn thông tin

13

1.4. Luật tội phạm tin học ở Việt Nam

Bất cứ một nước phát triển nào cũng phải có quy định

phạm tin học.

dưới dạng các văn bản pháp luật để chống lại các tội

Ở Việt Nam, nhận thức được tính nghiêm trọng của các

tội phạm tin học, Quốc hội Cộng hoà Xã hội Chủ nghĩa

Việt Nam đã ban hành một số điều luật chống tội phạm

tin học trong bộ luật hình sự (13/1/2000).

Chuẩn an toàn thông tin

14

Luật tội phạm tin học ở Việt Nam (tiếp)

Điều224. Tội tạo ra và lan truyền, phát tán

các chương trình virus tin học

Điều225. Tội vi phạm các quy định về vận

hành, khai thác và sử dụng mạng máy tính

điện tử

Điều226. Tội sử dụng trái phép thông tin

trên mạng và trong máy tính

Chuẩn an toàn thông tin

15

Luật tội phạm tin học ở Việt Nam (tiếp)

Nghị định 55/2001/NĐ-CP

Ngày 23/8/2001 Chính phủ ban hành

nghị định 55/2001/NĐ-CP quy định

một số mức xử phạt các vi phạm khi

sử dụng Internet.

Chuẩn an toàn thông tin

16

2. Bộ tiêu chuẩn ISO/IEC 2700x

Tiêu chuẩn về quản lý an toàn thông tin có bộ

ISO/IEC 2700x cung cấp các hướng dẫn và các vấn

đề liên quan trong hệ thống quản lý an toàn thông

ISO/IEC 27000:2009 -Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

ISO/IEC 27001:2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu

ISO/IEC 27002:2005 -Quy tắc thực hành quản lý an toàn thông tin

ISO/IEC 27003:2010 -Hướng dẫn thực thi hệ thống quản lý an toàn thông tin

ISO/IEC 27004:2009 - Quản lý an toàn thông tin - Đo lường

ISO/IEC 27005:2011-Quản lý rủi ro an toàn thông tin

….

tin:

Chuẩn an toàn thông tin

17

2. Bộ tiêu chuẩn ISO/IEC 2700x

Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầu đảm

bảo an toàn của các sản phẩm và hệ thống công nghệ thông tin và các

biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn.

Bộ tiêu chuẩn này gồm có 3 phần:

ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí

đánh giá cho an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình

chung

ISO/IEC 15408-2:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí

đánh giá cho an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng

an toàn

ISO/IEC 15408-3:2008 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí

đánh giá cho an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo

an toàn

Chuẩn an toàn thông tin

18

2. Bộ tiêu chuẩn ISO/IEC 2700x

Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ

thông tin - Các kỹ thuật an toàn- Phương pháp ước

lượng an toàn công nghệ thông tin. Tiêu chuẩn này

được sử dụng cùng với các tiêu chí đánh giá an toàn

trong bộ ISO/IEC 15408

Chuẩn an toàn thông tin

19

2. Bộ tiêu chuẩn ISO/IEC 2700x

Bộ tiêu chuẩn ISO/IEC TR19791:2010 - Công nghệ

thông tin - Các kỹ thuật an toàn-Đánh giá an toàn

các hệ thống hoạt động. Tiêu chuẩn này cung cấp

các hướng dẫn và tiêu chí cho việc ước lượng an toàn

các hệ thống hoạt động. Tiêu chuẩn này mở rộng

hơn của ISO/IEC 15408, nó đề cập các khía cạnh

quan trọng trong các hệ thống hoạt động mà trong

tiêu chuẩn ISO/IEC 15408 không được đề cập.

Chuẩn an toàn thông tin

20

2. Bộ tiêu chuẩn ISO/IEC 2700x

Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái

niệm và tiêu chí cho việc so sánh và phân tích các phương

pháp đánh giá sự phù hợp bảo đảm an toàn. Bộ tiêu chuẩn

này gồm 2 phần:

ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an

toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần

1: Giới thiệu và khái niệm

ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an

2: Các phân tích

toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần

Chuẩn an toàn thông tin

21

3. Các Bộ tiêu chuẩn khác

Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái

niệm và tiêu chí cho việc so sánh và phân tích các phương

pháp đánh giá sự phù hợp bảo đảm an toàn. Bộ tiêu chuẩn

này gồm 2 phần:

ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an

toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần

1: Giới thiệu và khái niệm

ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an

2: Các phân tích

toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần

Chuẩn an toàn thông tin

22

4. Một số tiêu chuẩn đã được ban hành (VN)

TCVN 7326-1:2003 Thiết bị công nghệ thông tin. An toàn. Phần 1: Yêu cầu

chung (IEC 60950-1:2001)

TCVN 7563-8:2005 Công nghệ thông tin. Từ vựng. Phần 8: An toàn

(ISO/IEC 02382-8:1998)

TCVN 7562:2005 Công nghệ thông tin. Mã thực hành quản lý an toàn

thông tin (ISO/IEC 17799:2000)

TCVN 7635:2007 Kỹ thuật mã hoá, Chữ ký số

TCVN 7816:2007 Công nghệ thông tin. Kỹ thuật mật mã thuật toán mã dữ

liệu AES

TCVN 7818-2:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời

gian. Phần 2: Cơ chế token độc lập (ISO/IEC 18014-2:2002)

Chuẩn an toàn thông tin

23

4. Một số tiêu chuẩn đã được ban hành (VN)

TCVN 7817-3:2007 Công nghệ thông tin. Kỹ thuật mật mã quản lý khoá.

Phần 3: Các cơ chế sử dụng kỹ thuật không đối xứng (ISO/IEC 11770-

3:1999)

TCVN 7817-1:2007 Công nghệ thông tin. Kỹ thuật mật mã quản lý khoá.

Phần 1: Khung tổng quát (ISO/IEC 11770-1:1996)

TCVN 7818-1:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời

gian. Phần 1: Khung tổng quát (ISO/IEC 18014-1:2002)

TCVN 7563-14:2009 Công nghệ thông tin. Từ vựng. Phần 14: Độ tin cậy,

khả năng duy trì, tính sẵn có (ISO/IEC 2382-14:1997)

Chuẩn an toàn thông tin

24

4. Một số tiêu chuẩn đã được ban hành (VN)

TCVN 8051-1:2009 Công nghệ thông tin. Kỹ thuật an toàn. An toàn mạng

công nghệ thông tin. Phần 1: Quản lý an toàn mạng (ISO/IEC 18028-

1:2008)

TCVN ISO/IEC 27001:2009 Công nghệ thông tin. Hệ thống quản lý an toàn

thông tin. Các yêu cầu (ISO/IEC 27001:2005)

TCVN 8051-2:2009 Công nghệ thông tin. Kỹ thuật an toàn. An toàn mạng

công nghệ thông tin. Phần 2: Kiến trúc an toàn mạng (ISO/IEC 18028-

2:2006)

TCVN 7818-3:2010 Công nghệ thông tin. Kỹ thuật an toàn. Dịch vụ tem

thời gian. Phần 3: Cơ chế tạo thẻ liên kết (ISO/IEC 18014-3:2009)

Chuẩn an toàn thông tin

25

4. Một số tiêu chuẩn đã được ban hành (VN)

TCVN 7817-4:2010 Công nghệ thông tin. Kỹ thuật an toàn quản lý khoá.

Phần 4: Cơ chế dựa trên bí mật yếu (ISO/IEC 11770-4:2006)

TCVN 7817-2:2010 Công nghệ thông tin. Kỹ thuật an toàn quản lý khoá.

Phần 2: Cơ chế sử dụng kỹ thuật đối xứng (ISO/IEC 11770-2:2008)

TCVN ISO/IEC 27002:2011 Công nghệ thông tin- Các kỹ thuật an toàn-

Quy tắc thực hành quản lý an toàn thông tin (ISO/IEC 27002:2005)

TCVN 8709-1:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu

chí đánh giá an toàn công nghệ thông tin- Phần 1: Giới thiệu và mô hình

tổng quát (ISO/IEC 15408-1:2009)

TCVN 8709-2:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu

chí đánh giá an toàn công nghệ thông tin- Phần 2: Các thành phần chức

Chuẩn an toàn thông tin

26

năng an toàn (ISO/IEC 15408-2:2008)

4. Một số tiêu chuẩn đã được ban hành (VN)

TCVN 8709-3:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu

chí đánh giá an toàn công nghệ thông tin- Phần 3: Các thành phần đảm

bảo an toàn (ISO/IEC 15408-3:2008)

TCVN 9801-1:2013 Công nghệ thông tin. Kỹ thuật an toànan toàn mạng.

Phần 1: tổng quan và khái niệm

TCVN 9965:2013 Công nghệ thông tin. Kỹ thuật an toàn. Hướng dẫn tích

hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1

TCVN 9801-1:2013 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn

mạng - Phần 1: Tổng quan và khái niệm (ISO/IEC 27033-1:2009)

TCVN 10295:2016 Công nghệ thông tin- Các kỹ thuật an toàn- Quản lý rủi

ro an toàn thông tin (ISO/IEC 27005:2011)

Chuẩn an toàn thông tin

27

4. Một số dự thảo tiêu chuẩn chưa được ban hành

Dự thảo TCVN (ISO/IEC 27033-2:2012)

Công nghệ Thông tin - Kỹ thuật an toàn - An toàn

mạng - Phần 3: Các kịch bản kết nối mạng tham

chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm

soát (ISO/IEC 27033-3:2010)

Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý

an toàn thông tin - Đo lường (ISO/IEC 27004:2009)

Chuẩn an toàn thông tin

28

4. Một số dự thảo tiêu chuẩn chưa được ban hành

Công nghệ thông tin - Các ký thuật an toàn - Hướng dẫn triển

khai hệ thống quản lý an toàn thông tin (ISO/IEC

27003:2010)

Công nghệ thông tin - Các ký thuật an toàn - Quản lý an toàn

thông tin cho truyền thông liên tổ chức, liên ngành (ISO/IEC

27010:2012)

Dự thảo TCVN (ISO/IEC 27000:2009)

Dự thảo TCVN (ISO/IEC 27035:2011

Chuẩn an toàn thông tin

29

Câu hỏi ?

Ý kiến ?

Đề xuất ?

Chuẩn an toàn thông tin

30