Bài giảng An toàn bảo mật thông tin doanh nghiệp

Bài giảng An toàn và bảo mật thông tin doanh nghiệp

 Mục đích của môn học

 Cung cấp những kiến thức cơ bản về an toàn và

bảo mật thông tin cho HTTT doanh nghiệp Cung cấp thông tin về các nguy cơ tấn công và  Cung cấp thông tin về các nguy cơ tấn công và phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp

Bộ môn CNTT Khoa Hệ thống thông tin Kinh tế

 Giới thiệu một số ứng dụng của công nghệ trong đảm an toàn và bảo mật thông tin doanh nghiệp

 Yêu cầu cần đạt được

 Môn học gồm 2 tín chỉ (45 tiết) phân phối như

 Nắm vững các kiến thức cơ bản về an toàn và

9/10/2014 Bộ môn CNTT 1 9/10/2014 Bộ môn CNTT 2

sau:  Nội dung lý thuyết và thảo luận 30 tiết (15 buổi)  Thời gian: 11 tuần lý thuyết, 1 kiểm tra và 3 thảo

luận

bảo mật thông tin doanh nghiệp  Có kiến thức về các nguy cơ tấn công và và các Có kiến thức về các nguy cơ tấn công và và các phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp

 Sử dụng được một số ứng dụng đã có trong việc

 Email: hoint2002@gmail.com  Bài giảng: http://nguyenthihoi.com

đảm bảo an toàn thông tin doanh nghiệp

 Chương 1:

 [1] Giáo trình An toàn dữ liệu, Bộ môn CNTT, Đại

▪ Tổng quan về an toàn và bảo mật thông tin doanh nghiệp

học Thương Mại, 2007.

 Chương 2:

 [2] Phan Đình Diệu, Lý thuyết mật mã và an toàn

▪ Các hình thức tấn công vào thông tin doanh nghiệp

 Chương 3:  Chương 3:

d N t

St lli

▪ Các phương pháp phòng tránh và khắc phục

 Chương 4:

thông tin, Đại học Quốc gia Hà Nội, 1999. [3] Willi  [3] William Stallings, Cryptography and Network k C t Security Principles and Practices, Fourth Edition, Prentice Hall, 2005

▪ Các hệ mã hóa

 [4] Man Young Rhee. Internet Security:

 Chương 5:

▪ Ứng dụng công nghệ trong an toàn và bảo mật thông tin

Cryptographic principles, algorithms and protocols. John Wiley & Sons, 2003.

9/10/2014 Bộ môn CNTT 3 9/10/2014 Bộ môn CNTT 4

9/10/2014 Bộ môn CNTT 5 9/10/2014 Bộ môn CNTT 6

Nguyễn Thị Hội - Bộ môn CNTT

1 Bài giảng An toàn và bảo mật thông tin doanh nghiệp

 1. Khái niệm

▪ An toàn và bảo mật thông tin ▪ Vai trò ATBM trong DN ▪ Các nguy cơ ▪ Phân loại các nguy cơ ▪ Các nguy cơ thực tế của doanh nghiệp ▪ Phòng tránh Phòng tránh ▪ Khắc phục

 2. Mục tiêu và yêu cầu của ATBMTTDN

▪ Mục tiêu ▪ Yêu cầu ▪ Quy trình

 3. Mô hình và định hướng ATBMTTDN

▪ Mô hình ▪ Định hướng

=> Thông tin không bị hỏng hóc, không bị sửa đổi và không bị mất mát

t à thì á

thô

 Một hệ thống thông tin được coi là an toàn khi thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép Một hệ thố  Một hệ thống thông tin an toàn thì các sự cố có thể ố ó thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.

9/10/2014 Bộ môn CNTT 7 9/10/2014 Bộ môn CNTT 8

 Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn

 Yếu tố công nghệ:

và tính sẵn sàng của thông tin.  Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi

 Những sản phẩm như Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành…

ệ

 Những ứng dụng như: trình duyệt Internet và

những người được cấp quyền tương ứng. Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của  Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.

phần mềm nhận Email từ máy trạm…

 Tính sẵn sàng của thông tin là những người được quyền

 Yếu tố con người:

sử dụng có thể truy xuất thông tin khi họ cần”

 Hệ thống được coi là bảo mật (confident) nếu tính

riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định.

 Là những người sử dụng máy tính, những người làm việc với thông tin và sử dụng máy tính trong công việc của mình

9/10/2014 Bộ môn CNTT 9 9/10/2014 Bộ môn CNTT 10

9/10/2014 Bộ môn CNTT 11 9/10/2014 Bộ môn CNTT 12

Nguyễn Thị Hội - Bộ môn CNTT

2 Bài giảng An toàn và bảo mật thông tin doanh nghiệp

So sánh 1 số nước: HQ: 62%, Singapore: 68%, …

 Về trang thiết bị:

 Gần 70% số CQNN đã sử dụng firewall cứng

hoặc mềm Hầu hết chưa trang bị thiết bị phát hiện và phòng  Hầu hết chưa trang bị thiết bị phát hiện và phòng chống thâm nhập IDS, IPS

 Hầu hết các CQNN và DNNN đều sử dụng phần mềm diệt virus, nhưng đa số là phần mềm không có bản quyền

9/10/2014 Bộ môn CNTT 13 9/10/2014 Bộ môn CNTT 14

 Vai trò:

- ATBM có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp

- Thông tin là tài sản vô giá của các doanh nghiệp.

ề

ỗ

ể

ấ

ề

- Rủi ro về thông tin của mỗi doanh nghiệp có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp

- Rủi ro thông tin doanh nghiệp ảnh hưởng uy tín & sự phát triển của doanh nghiệp nhưng lại là vấn đề rất khó tránh khỏi

=> ATBM không phải là công việc của riêng người làm

CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp

9/10/2014 Bộ môn CNTT 15 9/10/2014 Bộ môn CNTT 16

9/10/2014 Bộ môn CNTT 17 9/10/2014 Bộ môn CNTT 18

Nguyễn Thị Hội - Bộ môn CNTT

3 Bài giảng An toàn và bảo mật thông tin doanh nghiệp

 Ngẫu nhiên (nguyên nhân khách quan)

▪ Thiên tai, hỏng vật lý, mất điện, …

 Có chủ định (nguyên nhân chủ quan)

Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp ▪ Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có chủ ý, …

9/10/2014 Bộ môn CNTT 19 9/10/2014 Bộ môn CNTT 20

Từ con người:

Tin tặc, phishing, pharming, …

 a) Nguy cơ từ bên trong

9/10/2014 Bộ môn CNTT 21 9/10/2014 Bộ môn CNTT 22

ật ới h

 Nguy cơ do yếu tố kỹ thuật (thiết bị mạng, máy chủ, hệ thống thông tin.., )  Nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành(vòng đời)  Nguy cơ trong quy trình, chính sách an ninh bảo mật…  Nguy cơ do yếu tố người: vận hành, đạo đức nghề nghiệp

Người đảm bảo an toàn thông tin phải luôn luôn cập nhật các kiến thức bảo mật mới hạn chế hế được các nguy cơ tấn công ngày càng gia tăng như ngày nay!

9/10/2014 Bộ môn CNTT 23 9/10/2014 Bộ môn CNTT 24

Nguyễn Thị Hội - Bộ môn CNTT

4 Bài giảng An toàn và bảo mật thông tin doanh nghiệp

 Hơn 71% các tổ chức cho phép nhân viên dùng

thiết bị di động trong khi làm việc

 Trên thế giới có hơn 2 tỷ chiếc smartphone đang

 Trong đó có 68,8% dùng Android, 18.8% dùng

đó ó 68 8% dù

A d id 18 8% dù

hoạt động T Apple, 4,5% dùng RIM và 5,8% dùng OS khác trong khi đó Malware tấn công vào OS thì có đến 79% tấn công vào Android, 19% vào Symbian và 2% vào các OS khác

 Hơn 350.000 mã độc tấn công vào OS trong 12 phút, 1.000.000 mã độc tấn công OS trong 13’

9/10/2014 Bộ môn CNTT 25 9/10/2014 Bộ môn CNTT 26

9/10/2014 Bộ môn CNTT 27 9/10/2014 Bộ môn CNTT 28

9/10/2014 Bộ môn CNTT 29 9/10/2014 Bộ môn CNTT 30

Nguyễn Thị Hội - Bộ môn CNTT

5 Bài giảng An toàn và bảo mật thông tin doanh nghiệp

 B) Nguy cơ từ môi trường bên ngoài

 Phòng tránh là cách thức sử dụng các

phương pháp, phương tiện, kỹ thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải thống gặp phải

- Môi trường: hạ tầng năng lượng, truyền thông, thảm hoạ từ thiên nhiên hoặc con người g g - Các doanh nghiệp càng lớn càng là mục tiêu của nhiều đối tượng tấn công từ trong nước và quốc tế.

 Phân loại:

 Phòng tránh từ bên trong

▪ Yếu tố con người, hệ mã hóa, phần cứng, phần mềm, …

 Phòng tránh từ bên ngoài

▪ Yếu tố con người, mã độc, Internet, …

 Khắc phục hậu quả là sử dụng các phương

9/10/2014 Bộ môn CNTT 31 9/10/2014 Bộ môn CNTT 32

 3 Mục tiêu cơ bản

 Phát hiện các lỗ hổng của hệ thống thông tin, dự đoán trước những nguy cơ tấn công

ấ

pháp, phương tiện và kỹ thuật nhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó yếu của nó  Phân loại:

 Phục hồi dữ liệu:

 Ngăn chặn những hành động gây mất an toàn thông tin từ bên trong cũng như bên ngoài

▪ Backup, Recovery data, …

 Phục hồi tổn thất khi hệ thống thông tin bị

 Phục hồi ứng dụng:

tấn công

▪ Backup, phần cứng, phần mềm chuyên dụng, …

 4 Yêu cầu

 Tính bí mật (Secrecy)

▪ Đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị

xâm phạm bởi những người không được phép

 Tính toàn vẹn (Integrity):  Tính toàn vẹn (Integrity):

9/10/2014 Bộ môn CNTT 33 9/10/2014 Bộ môn CNTT 34

Tính tin cẩn Tính tin cẩn

Bảo mật

Tính toàn vẹn

▪ Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở

hữu.

 Tính sẵn sàng (Availability):

Tính sẵn sàng

▪ Dữ liệu phải luôn trong trạng thái sẵn sàng.

 Tính tin cậy (Confidentiality)

▪ Thông tin người dùng nhận được là đúng

9/10/2014 Bộ môn CNTT 35 9/10/2014 Bộ môn CNTT 36

Nguyễn Thị Hội - Bộ môn CNTT

6 Bài giảng An toàn và bảo mật thông tin doanh nghiệp

Xác định

Đánh giá

Lựa chọn giải pháp

‐ Doanh nghiệp phải đảm bảo đầy đủ các yếu tố của mô hình C‐I‐A: Confidentiality, Integrity, Availability. Xây dựng trung tâm dự ‐ Xây dựng trung tâm dự phòng thông tin trong tổng thể an ninh hệ thống phần nào đảm bảo tính liên tục (Availability)

Giám sát rủi ro

 Xác định

 Bảo vệ cho ai? Bảo vệ cái gì? Bảo vệ như thế nào? =>

Rất quan trọng

 Đưa ra các biện pháp? Đánh giá hiệu năng, chi phí, độ an

há ? Đá h iá hiệ

hi hí độ

á biệ

 Đánh giá Đ toàn, …

 Lựa chọn giải pháp

 Từ bước đánh giá lựa chọn giải pháp tối ưu có thể

 Giám sát rủi ro

 Luôn luôn giám sát hoạt động => Xác định nguy cơ =>

…=> …=>

9/10/2014 Bộ môn CNTT 38

9/10/2014 Bộ môn CNTT 39

9/10/2014 Bộ môn CNTT 41 9/10/2014 Bộ môn CNTT 42

Nguyễn Thị Hội - Bộ môn CNTT

7 Bài giảng An toàn và bảo mật thông tin doanh nghiệp

 A. Mô hình đảm bảo an toàn trên máy đầu cuối

 Chống nguy cơ mất mát dữ liệu qua đường vật lý  Đánh giá độ chịu đựng của hệ thống dữ liệu

MỨC MẠNG

trước những sự cố bất ngờ.

MỨC VẬT LÝ

 Quản lý các truy nhập mức vật lý vào phần cứng

lưu trữ

TÀI NGUYÊN

 Quản lý hoạt động của các thiết bị cần bảo vệ và thiết bị bảovệ để đảm bảo sự hoạt động của dữ liệu một cách ổn đinh.

MỨC DỮ LiỆU

MỨC HỆ ĐiỀU HÀNH

 Sử dụng các thiết bị phần cứng chuyên dụng

 Tạo và phân quyền người dùng  Kiểm soát các chương trình đang được thực

9/10/2014 Bộ môn CNTT 43 9/10/2014 Bộ môn CNTT 44

thi trong máy Các file log dùng để theo dõi hoạt động của  Các file log dùng để theo dõi hoạt động của hệ thống

để ngăn chặn sự xâm nhập trái phép từ Internet Dùng các cơ chế quản lý và phân quyền  Dùng các cơ chế quản lý và phân quyền người sử dụng

 Các chức năng bảo mật được tích hợp sẵn

(trình diệt Virus, tường lửa)

 Sử dụng các giao thức bảo mật trên mạng  Các phần mềm chống xâm nhập trái phép

cũng như dò tìm Virus

9/10/2014 Bộ môn CNTT 45 9/10/2014 Bộ môn CNTT 46

Bên thứ ba đáng tin

 Mã hóa dữ liệu:

 Dữ liệu được lưu trữ dưới dạng bản mã.

Bên nhận

 Phân quyền người dùng:

y

 Phân ra nhiều mức người sử dụng khác nhau.  Phân ra nhiều mức người sử dụng khác nhau

Kênh thông tin

Chuyển đổi liên quan đến an toàn

 Thiết lập các cơ chế sao lưu dữ liệu

 Thiết lập cơ chế backup, lưu trên nhiều Server

o á b g n ô h T

 Sử dụng các chương trình bảo mật thư

n n à o t n a o á b g n ô h T

Thông tin bí mật

Đối thủ

mụcvà file  Dùng NTFS, hệ điều hành LINUX, ..

9/10/2014 Bộ môn CNTT 47 9/10/2014 Bộ môn CNTT 48

Nguyễn Thị Hội - Bộ môn CNTT

8 Bài giảng An toàn và bảo mật thông tin doanh nghiệp

1. Nâng cao nhận thức về ATBM TT cho doanh nghiệp

2. Ban hành các chính sách ATBM

3. Tổ chức thực hiện & kiểm tra, kiểm soát

49 9/10/2014 Bộ môn CNTT 50

 1.ATTTs là một trụ cột để phát triển CNTT, CPĐT…

 Một trong 5 trụ cột (hạ tầng, công nghiệp, ứng dụng, nguồn nhân lực,

ATTTs)

 Điều kiện tiên quyết để PT ƯD CNTT  2.ATTTs là một bộ phận của QPANQG

 Địa bàn hoạt động do thám, tội phạm, khủng bố, chiến tranh  Tác hại lớn đến cộng đồng, ảnh hưởng đến KT, ANQG, TTATXH Tác hại lớn đến cộng đồng ảnh hưởng đến KT ANQG TTATXH  Bảo đảm an toàn thông tin liên lạc, giữ gìn bí mật quốc gia  Giữ gìn bí mật kinh tế, đảm báo phát triển bền vững  Bảo vệ chủ quyền QG trọng không gian số

 3.ATTTs là một ngành kinh tế công nghiệp, dịch vụ công nghệ cao

 Giá trị kinh tế cao, tăng trưởng nhanh (28%)  Đầu tư đắt tiền, đòi hỏi tính hiệu quả cao  Đòi hỏi trình độ cao về phát triển KHCN và nhân lực

9/10/2014 Bộ môn CNTT 51 9/10/2014 Bộ môn CNTT 52

9/10/2014 Bộ môn CNTT 53 9/10/2014 Bộ môn CNTT 54

Nguyễn Thị Hội - Bộ môn CNTT

9 Bài giảng An toàn và bảo mật thông tin doanh nghiệp

 4.ATTTs là một lĩnh vực đặc thù ưu tiên sản phẩm, tổ chức nội địa

 Kế thừa tri thức tinh hoa quốc tế, phát huy nội lực  Dịch vụ, hệ thống, công cụ, con người đòi hổi độ tin cậy cao

 5.ATTTs là một lĩnh vực nóng trong đối ngoại

 Xu hướng đồng thuận, hợp tác >< đấu tranh, do thám mạng  Công ước Châu Âu về chống tội phạm mạng  Công ước Châu Âu về chống tội phạm mạng  Chiến lược quốc tế về không gian mạng của Mỹ, Anh,…  Hội thảo quốc tế về không gian mạng: Đa số các nước có quan điểm đối thoại,

xây dựng các quy tắc ứng xử, đồng thuận

- ATBM có vai trò đối với phát triển bền vững của doanh nghiệp - ATBM không phải là công việc của riêng người làm CNTT trong doanh nghiệp mà là của tất cả mọi thành CNTT trong doanh nghiệp mà là của tất cả mọi thành viên trong tổ chức - Doanh nghiệp cần có chính sách đầu tư thích đáng cho ATBM TTDN

 Quan điểm “tự do internet” nhưng phải đảm bảo an ninh quốc gia và an toàn

cho người dân

 6. ATTTs là sự nghiệp của toàn xã hội

 CQ QLNN, thực thi & BV PL là nòng cốt + LL KHCN + cộng đồng + Xã hội

hóa + nâng cao thường xuyên nhận thức

• Thực hiện lộ trình áp dụng các tiêu chuẩn ATBM

• Rà soát, chỉnh sửa và hoàn thiện các quy định nghiệp vụ theo hướng ứng dụng công nghệ cao

• Từng đơn vị cụ thể hoá thành chính sách ATBM riêng & tổ chức thực hiện

• Tiếp tục hoàn thiện các quy định về an ninh, bảo mật hệ thống thông tin trong các đơn vị sản xuất kinh doanh doanh

• Các đơn vị thường xuyên tổ chức kiểm tra,đánh giá về mức độ ATBM của doanh nghiệp mình nhằm phát hiện kịp thời và tăng cường mức độ đảm bảo ATTT cho doanh nghiệp

• Từng bước xây dựng các các tiêu chuẩn chung đối với một hệ thống thông tin trong các đơn vị sản xuất kinh doanh

• Xây dựng quy chế xử lý rủi ro ứng dụng CNTT.

9/10/2014 Bộ môn CNTT 55 56

57 58

9/10/2014 Bộ môn CNTT 59 9/10/2014 Bộ môn CNTT 60

Nguyễn Thị Hội - Bộ môn CNTT

10 Bài giảng An toàn và bảo mật thông tin doanh nghiệp

 Trình bày các khái niệm về an toàn thông tin

9/10/2014 Bộ môn CNTT 61 9/10/2014 Bộ môn CNTT 62

và bảo mật thông tin

 Vai trò của ATBM TT trong DN  Các nguy cơ tấn công vào HTTT của DN Các nguy cơ tấn công vào HTTT của DN  Các yêu cầu cũng như mục tiêu của việc đảm