intTypePromotion=1

Bài giảng An toàn bảo mật thông tin doanh nghiệp

Chia sẻ: Codon_11 Codon_11 | Ngày: | Loại File: PDF | Số trang:11

0
241
lượt xem
28
download

Bài giảng An toàn bảo mật thông tin doanh nghiệp

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng An toàn bảo mật thông tin doanh nghiệp với mục tiêu cung cấp những kiến thức cơ bản về an toàn và bảo mật thông tin cho hệ thống thông tin doanh nghiệp; cung cấp thông tin về các nguy cơ tấn công và phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp;... Mời các bạn cùng tìm hiểu và tham khảo nội dung thông tin tài liệu.

Chủ đề:
Lưu

Nội dung Text: Bài giảng An toàn bảo mật thông tin doanh nghiệp

  1. Bài giảng An toàn và bảo mật thông tin doanh nghiệp  Mục đích của môn học  Cung cấp những kiến thức cơ bản về an toàn và bảo mật thông tin cho HTTT doanh nghiệp  Cung cấp thông tin về các nguy cơ tấn công và phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp Bộ môn CNTT  Giới thiệu một số ứng dụng của công nghệ trong Khoa Hệ thống thông tin Kinh tế đảm an toàn và bảo mật thông tin doanh nghiệp 9/10/2014 Bộ môn CNTT 1 9/10/2014 Bộ môn CNTT 2  Yêu cầu cần đạt được  Môn học gồm 2 tín chỉ (45 tiết) phân phối như  Nắm vững các kiến thức cơ bản về an toàn và sau: bảo mật thông tin doanh nghiệp  Nội dung lý thuyết và thảo luận 30 tiết (15 buổi)  Có kiến thức về các nguy cơ tấn công và và các phương pháp đảm bảo an toàn cho hệ thống  Thời gian: 11 tuần lý thuyết, 1 kiểm tra và 3 thảo thông tin doanh nghiệp luận  Sử dụng được một số ứng dụng đã có trong việc  Email: hoint2002@gmail.com đảm bảo an toàn thông tin doanh nghiệp  Bài giảng: http://nguyenthihoi.com 9/10/2014 Bộ môn CNTT 3 9/10/2014 Bộ môn CNTT 4  Chương 1:  [1] Giáo trình An toàn dữ liệu, Bộ môn CNTT, Đại ▪ Tổng quan về an toàn và bảo mật thông tin doanh nghiệp học Thương Mại, 2007.  Chương 2:  [2] Phan Đình Diệu, Lý thuyết mật mã và an toàn ▪ Các hình thức tấn công vào thông tin doanh nghiệp thông tin, Đại học Quốc gia Hà Nội, 1999.  Chương 3:  [3] William Willi St lli Stallings, C t Cryptography h anddNNetwork t k ▪ Các phương pháp phòng tránh và khắc phục Security Principles and Practices, Fourth Edition,  Chương 4: Prentice Hall, 2005 ▪ Các hệ mã hóa  [4] Man Young Rhee. Internet Security:  Chương 5: Cryptographic principles, algorithms and protocols. ▪ Ứng dụng công nghệ trong an toàn và bảo mật thông tin John Wiley & Sons, 2003. 9/10/2014 Bộ môn CNTT 5 9/10/2014 Bộ môn CNTT 6 Nguyễn Thị Hội - Bộ môn CNTT 1
  2. Bài giảng An toàn và bảo mật thông tin doanh nghiệp  1. Khái niệm ▪ An toàn và bảo mật thông tin ▪ Vai trò ATBM trong DN ▪ Các nguy cơ ▪ Phân loại các nguy cơ ▪ Các nguy cơ thực tế của doanh nghiệp ▪ Phòng tránh ▪ Khắc phục  2. Mục tiêu và yêu cầu của ATBMTTDN ▪ Mục tiêu ▪ Yêu cầu ▪ Quy trình  3. Mô hình và định hướng ATBMTTDN ▪ Mô hình => Thông tin không bị hỏng hóc, không bị sửa đổi và ▪ Định hướng không bị mất mát 9/10/2014 Bộ môn CNTT 7 9/10/2014 Bộ môn CNTT 8  Một hệ thống thông tin được coi là an toàn khi thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép  Một hệ thống thố thông thô tin ti an toàn t à thì các á sự cố ố có ó thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. 9/10/2014 Bộ môn CNTT 9 9/10/2014 Bộ môn CNTT 10  Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn  Yếu tố công nghệ: và tính sẵn sàng của thông tin.  Những sản phẩm như Firewall, phần mềm phòng  Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng. chống virus, giải pháp mật mã, sản phẩm mạng,  Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của hệ ệ điều hành… thông tin và thông tin chỉ được thay đổi bởi những người  Những ứng dụng như: trình duyệt Internet và được cấp quyền. phần mềm nhận Email từ máy trạm…  Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần”  Yếu tố con người:  Hệ thống được coi là bảo mật (confident) nếu tính  Là những người sử dụng máy tính, những người riêng tư của nội dung thông tin được đảm bảo theo làm việc với thông tin và sử dụng máy tính trong đúng các tiêu chí trong một thời gian xác định. công việc của mình 9/10/2014 Bộ môn CNTT 11 9/10/2014 Bộ môn CNTT 12 Nguyễn Thị Hội - Bộ môn CNTT 2
  3. Bài giảng An toàn và bảo mật thông tin doanh nghiệp So sánh 1 số nước: HQ: 62%, Singapore: 68%, … 9/10/2014 Bộ môn CNTT 13 9/10/2014 Bộ môn CNTT 14  Về trang thiết bị:  Gần 70% số CQNN đã sử dụng firewall cứng hoặc mềm  Hầu hết chưa trang bị thiết bị phát hiện và phòng chống thâm nhập IDS, IPS  Hầu hết các CQNN và DNNN đều sử dụng phần mềm diệt virus, nhưng đa số là phần mềm không có bản quyền 9/10/2014 Bộ môn CNTT 15 9/10/2014 Bộ môn CNTT 16  Vai trò: - ATBM có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp - Thông tin là tài sản vô giá của các doanh nghiệp. - Rủi ro vềề thông tin của mỗi ỗ doanh nghiệp có thểể gây thất ấ thoát tiền ề bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp - Rủi ro thông tin doanh nghiệp ảnh hưởng uy tín & sự phát triển của doanh nghiệp nhưng lại là vấn đề rất khó tránh khỏi => ATBM không phải là công việc của riêng người làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp 9/10/2014 Bộ môn CNTT 17 9/10/2014 Bộ môn CNTT 18 Nguyễn Thị Hội - Bộ môn CNTT 3
  4. Bài giảng An toàn và bảo mật thông tin doanh nghiệp  Ngẫu nhiên (nguyên nhân khách quan) ▪ Thiên tai, hỏng vật lý, mất điện, …  Có chủ định (nguyên nhân chủ quan) ▪ Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có chủ ý, … 9/10/2014 Bộ môn CNTT 19 9/10/2014 Bộ môn CNTT 20 Từ con người: Tin tặc, phishing, pharming, … 9/10/2014 Bộ môn CNTT 21 9/10/2014 Bộ môn CNTT 22 Người đảm bảo an  a) Nguy cơ từ bên trong toàn thông tin phải  Nguy cơ do yếu tố kỹ thuật (thiết bị mạng, máy chủ, hệ luôn luôn cập nhật thống thông tin.., ) các kiến thức bảo  Nguy cơ do lập kế hoạch, triển khai, thực thi, vận mật ật mới ới hạn h chếhế hành(vòng đời) được các nguy cơ  Nguy cơ trong quy trình, chính sách an ninh bảo mật… tấn công ngày càng  Nguy cơ do yếu tố người: vận hành, đạo đức nghề gia tăng như ngày nghiệp nay! 9/10/2014 Bộ môn CNTT 23 9/10/2014 Bộ môn CNTT 24 Nguyễn Thị Hội - Bộ môn CNTT 4
  5. Bài giảng An toàn và bảo mật thông tin doanh nghiệp  Hơn 71% các tổ chức cho phép nhân viên dùng thiết bị di động trong khi làm việc  Trên thế giới có hơn 2 tỷ chiếc smartphone đang hoạt động  Trong T đó có ó 68,8% 68 8% dùng dù Android, A d id 18.8% 18 8% dùng dù Apple, 4,5% dùng RIM và 5,8% dùng OS khác trong khi đó Malware tấn công vào OS thì có đến 79% tấn công vào Android, 19% vào Symbian và 2% vào các OS khác  Hơn 350.000 mã độc tấn công vào OS trong 12 phút, 1.000.000 mã độc tấn công OS trong 13’ 9/10/2014 Bộ môn CNTT 25 9/10/2014 Bộ môn CNTT 26 9/10/2014 Bộ môn CNTT 27 9/10/2014 Bộ môn CNTT 28 9/10/2014 Bộ môn CNTT 29 9/10/2014 Bộ môn CNTT 30 Nguyễn Thị Hội - Bộ môn CNTT 5
  6. Bài giảng An toàn và bảo mật thông tin doanh nghiệp  B) Nguy cơ từ môi trường bên ngoài  Phòng tránh là cách thức sử dụng các - Môi trường: hạ tầng năng lượng, truyền thông, thảm phương pháp, phương tiện, kỹ thuật nhằm hoạ từ thiên nhiên hoặc con người ngăn ngừa và giảm bớt các rủi ro mà hệ g p càng - Các doanh nghiệp g lớn càng g là mục tiêu của thống gặp phải nhiều đối tượng tấn công từ trong nước và quốc tế.  Phân loại:  Phòng tránh từ bên trong ▪ Yếu tố con người, hệ mã hóa, phần cứng, phần mềm, …  Phòng tránh từ bên ngoài ▪ Yếu tố con người, mã độc, Internet, … 9/10/2014 Bộ môn CNTT 31 9/10/2014 Bộ môn CNTT 32  Khắc phục hậu quả là sử dụng các phương  3 Mục tiêu cơ bản pháp, phương tiện và kỹ thuật nhằm phục hồi  Phát hiện các lỗ hổng của hệ thống thông lại tài nguyên hệ thống và các hoạt động chủ tin, dự đoán trước những nguy cơ tấn công yếu của nó  Ngăn chặn những hành động gây mất ấ an  Phân loại: toàn thông tin từ bên trong cũng như bên  Phục hồi dữ liệu: ngoài ▪ Backup, Recovery data, …  Phục hồi ứng dụng:  Phục hồi tổn thất khi hệ thống thông tin bị ▪ Backup, phần cứng, phần mềm chuyên dụng, … tấn công 9/10/2014 Bộ môn CNTT 33 9/10/2014 Bộ môn CNTT 34  4 Yêu cầu  Tính bí mật (Secrecy) ▪ Đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị xâm phạm bởi những người không được phép  Tính toàn vẹn (Integrity): Tính tin cẩn Bảo mật Tính toàn vẹn ▪ Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu.  Tính sẵn sàng (Availability): Tính sẵn sàng ▪ Dữ liệu phải luôn trong trạng thái sẵn sàng.  Tính tin cậy (Confidentiality) ▪ Thông tin người dùng nhận được là đúng 9/10/2014 Bộ môn CNTT 35 9/10/2014 Bộ môn CNTT 36 Nguyễn Thị Hội - Bộ môn CNTT 6
  7. Bài giảng An toàn và bảo mật thông tin doanh nghiệp ‐ Doanh nghiệp phải đảm bảo  đầy đủ các yếu tố của mô  Xác định hình C‐I‐A: Confidentiality,  Integrity, Availability. Đánh giá ‐ Xây dựng trung tâm dự  phòng thông tin trong tổng  thể an ninh hệ thống phần  Lựa chọn nào đảm bảo tính liên tục  giải pháp (Availability)  Giám sát rủi ro 9/10/2014 Bộ môn CNTT 38  Xác định  Bảo vệ cho ai? Bảo vệ cái gì? Bảo vệ như thế nào? => Rất quan trọng  Đánh giá  Đưa Đ ra các á biện biệ pháp? há ? Đánh Đá h giá iá hiệu hiệ năng, ă chi hi phí, hí độ an toàn, …  Lựa chọn giải pháp  Từ bước đánh giá lựa chọn giải pháp tối ưu có thể  Giám sát rủi ro  Luôn luôn giám sát hoạt động => Xác định nguy cơ => …=> …=> 9/10/2014 Bộ môn CNTT 39 9/10/2014 Bộ môn CNTT 41 9/10/2014 Bộ môn CNTT 42 Nguyễn Thị Hội - Bộ môn CNTT 7
  8. Bài giảng An toàn và bảo mật thông tin doanh nghiệp  A. Mô hình đảm bảo an toàn trên máy đầu cuối  Chống nguy cơ mất mát dữ liệu qua đường vật lý  Đánh giá độ chịu đựng của hệ thống dữ liệu MỨC VẬT LÝ MỨC MẠNG trước những sự cố bất ngờ.  Quản lý các truy nhập mức vật lý vào phần cứng lưu trữ  Quản lý hoạt động của các thiết bị cần bảo vệ và TÀI NGUYÊN thiết bị bảovệ để đảm bảo sự hoạt động của dữ liệu một cách ổn đinh. MỨC DỮ LiỆU MỨC HỆ ĐiỀU HÀNH 9/10/2014 Bộ môn CNTT 43 9/10/2014 Bộ môn CNTT 44  Tạo và phân quyền người dùng  Sử dụng các thiết bị phần cứng chuyên dụng  Kiểm soát các chương trình đang được thực để ngăn chặn sự xâm nhập trái phép từ thi trong máy Internet  Các file log dùng để theo dõi hoạt động của  Dùng các cơ chế quản lý và phân quyền hệ thống người sử dụng  Các chức năng bảo mật được tích hợp sẵn  Sử dụng các giao thức bảo mật trên mạng (trình diệt Virus, tường lửa)  Các phần mềm chống xâm nhập trái phép cũng như dò tìm Virus 9/10/2014 Bộ môn CNTT 45 9/10/2014 Bộ môn CNTT 46  Mã hóa dữ liệu: Bên thứ ba đáng tin  Dữ liệu được lưu trữ dưới dạng bản mã.  Phân quyền người dùng: Bên nhận Chuyển y đổi Chuyển y đổi  Phân ra nhiều mức người sử dụng khác nhau. nhau Thông báo an toàn n Thông báo an toàn n liên quan Kênh liên quan Thiết lập các cơ chế sao lưu dữ liệu đến an toàn thông tin đến an toàn Thông báo  Thông báo  Thiết lập cơ chế backup, lưu trên nhiều Server  Sử dụng các chương trình bảo mật thư Thông tin Thông tin mụcvà file bí mật bí mật  Dùng NTFS, hệ điều hành LINUX, .. Đối thủ 9/10/2014 Bộ môn CNTT 47 9/10/2014 Bộ môn CNTT 48 Nguyễn Thị Hội - Bộ môn CNTT 8
  9. Bài giảng An toàn và bảo mật thông tin doanh nghiệp 1. Nâng cao nhận thức về ATBM TT cho doanh nghiệp 2. Ban hành các chính sách ATBM 3. Tổ chức thực hiện & kiểm tra, kiểm soát 49 9/10/2014 Bộ môn CNTT 50 9/10/2014 Bộ môn CNTT 51 9/10/2014 Bộ môn CNTT 52  1.ATTTs là một trụ cột để phát triển CNTT, CPĐT…  Một trong 5 trụ cột (hạ tầng, công nghiệp, ứng dụng, nguồn nhân lực, ATTTs)  Điều kiện tiên quyết để PT ƯD CNTT  2.ATTTs là một bộ phận của QPANQG  Địa bàn hoạt động do thám, tội phạm, khủng bố, chiến tranh  Tác hại lớn đến cộng đồng, đồng ảnh hưởng đến KT, KT ANQG, ANQG TTATXH  Bảo đảm an toàn thông tin liên lạc, giữ gìn bí mật quốc gia  Giữ gìn bí mật kinh tế, đảm báo phát triển bền vững  Bảo vệ chủ quyền QG trọng không gian số  3.ATTTs là một ngành kinh tế công nghiệp, dịch vụ công nghệ cao  Giá trị kinh tế cao, tăng trưởng nhanh (28%)  Đầu tư đắt tiền, đòi hỏi tính hiệu quả cao  Đòi hỏi trình độ cao về phát triển KHCN và nhân lực 9/10/2014 Bộ môn CNTT 53 9/10/2014 Bộ môn CNTT 54 Nguyễn Thị Hội - Bộ môn CNTT 9
  10. Bài giảng An toàn và bảo mật thông tin doanh nghiệp  4.ATTTs là một lĩnh vực đặc thù ưu tiên sản phẩm, tổ chức nội địa  Kế thừa tri thức tinh hoa quốc tế, phát huy nội lực - ATBM có vai trò đối với phát triển bền vững của  Dịch vụ, hệ thống, công cụ, con người đòi hổi độ tin cậy cao doanh nghiệp  5.ATTTs là một lĩnh vực nóng trong đối ngoại  Xu hướng đồng thuận, hợp tác >< đấu tranh, do thám mạng - ATBM không phải là công việc của riêng người làm  Công ước Châu Âu về chống tội phạm mạng CNTT trong doanh nghiệp mà là của tất cả mọi thành  Chiến lược quốc tế về không gian mạng của Mỹ, Anh,… viên trong tổ chức  Hội thảo quốc tế về không gian mạng: Đa số các nước có quan điểm đối thoại, - Doanh nghiệp cần có chính sách đầu tư thích đáng xây dựng các quy tắc ứng xử, đồng thuận  Quan điểm “tự do internet” nhưng phải đảm bảo an ninh quốc gia và an toàn cho ATBM TTDN cho người dân  6. ATTTs là sự nghiệp của toàn xã hội  CQ QLNN, thực thi & BV PL là nòng cốt + LL KHCN + cộng đồng + Xã hội hóa + nâng cao thường xuyên nhận thức 9/10/2014 Bộ môn CNTT 55 56 •Rà soát, chỉnh sửa và hoàn thiện các quy định • Thực hiện lộ trình áp dụng các tiêu chuẩn ATBM nghiệp vụ theo hướng ứng dụng công nghệ cao • Từng đơn vị cụ thể hoá thành chính sách ATBM •Tiếp tục hoàn thiện các quy định về an ninh, bảo riêng & tổ chức thực hiện mật hệ thống thông tin trong các đơn vị sản xuất kinh • Các đơn vị thường xuyên tổ chức kiểm tra,đánh giá doanh về mức độ ATBM của doanh nghiệp mình nhằm phát • Từng bước xây dựng các các tiêu chuẩn chung đối hiện kịp thời và tăng cường mức độ đảm bảo ATTT với một hệ thống thông tin trong các đơn vị sản xuất cho doanh nghiệp kinh doanh • Xây dựng quy chế xử lý rủi ro ứng dụng CNTT. 57 58 9/10/2014 Bộ môn CNTT 59 9/10/2014 Bộ môn CNTT 60 Nguyễn Thị Hội - Bộ môn CNTT 10
  11. Bài giảng An toàn và bảo mật thông tin doanh nghiệp 9/10/2014 Bộ môn CNTT 61 9/10/2014 Bộ môn CNTT 62  Trình bày các khái niệm về an toàn thông tin và bảo mật thông tin  Vai trò của ATBM TT trong DN  Các nguy cơ tấn công vào HTTT của DN  Các yêu cầu cũng như mục tiêu của việc đảm bảo an toàn và bảo mật thông tin  Quy trình và mô hình đảm bảo ATBM TT  Định hướng để tăng cường ATBMTT trong DN 9/10/2014 Bộ môn CNTT 63 9/10/2014 Bộ môn CNTT 64 Nguyễn Thị Hội - Bộ môn CNTT 11
ADSENSE
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2