Bài giảng An toàn hệ thống thông tin: Chương 1 - Nguyễn Thị Hạnh
lượt xem 4
download
Bài giảng An toàn hệ thống thông tin: Chương 1 Tổng quan về an toàn hệ thống thông tin cung cấp cho người học những kiến thức như: An toàn hệ thống thông tin; Mục tiêu an toàn toàn hệ thống thông tin; Các tấn công an toàn hệ thống thông tin; Các bước cơ bản an toàn hệ thống thông tin; Sự cần thiết của An toàn HTTT đối với cá nhân, tổ chức, và xã hội; Pháp luật về an toàn hệ thống thông tin.
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Bài giảng An toàn hệ thống thông tin: Chương 1 - Nguyễn Thị Hạnh
- 07/01/2018 TỔNG QUAN VỀ AN TOÀN HỆ THỐNG THÔNG TIN (OVERVIEW OF INFORMATION SYSTEMS SECURITY) Giáo viên: Nguyễn Thị Hạnh Nguyễn Thị Hạnh Nội dung 1. An toàn hệ thống thông tin 2. Mục tiêu an toàn toàn hệ thống thông tin 3. Các tấn công an toàn hệ thống thông tin 4. Các bước cơ bản an toàn hệ thống thông tin 5. Sự cần thiết của An toàn HTTT đối với cá nhân, tổ chức, và xã hội 6. Pháp luật về an toàn hệ thống thông tin Nguyễn Thị Hạnh 1
- 07/01/2018 1. An toàn hê thống thông tin ˗ Information systems Security ˗ Bao hàm một lĩnh vực rộng lớn các hoạt động trong một tổ chức. ˗ Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn việc truy cập trái phép, hiệu chỉnh, xóa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép. Nguyễn Thị Hạnh 2. Mục tiêu an toàn thông tin ˗ Ba khái niệm: Tính bảo mật (Confidentiality), Tính toàn vẹn (Integrity) và Tính sẳn dùng (Availability) hình thành một Tam giác bảo mật CIA (CIA triad). ˗ Ba khái niệm thể hiện các mục tiêu cốt lỗi an toàn cho cả thông tin và dịch vụ của hệ thống Nguyễn Thị Hạnh 2
- 07/01/2018 2. Mục tiêu an toàn thông tin ˗ Tính bí mật (Confidentiality): Che dấu nội dung hoặc sự tồn tại dữ liệu, thông tin và tài nguyên Một hệ thống an toàn sẽ đảm bảo sự bí mật của dữ liệu. Có nghĩa là nó chỉ cho phép những các cá nhân hợp pháp được xem những dữ liệu hợp Ví dụ: Trong hệ thống thông tin ngân hàng, chỉ có chủ tài khoản hoặc người được ủy quyền mới được phép xem thông tin tài khoản và thực hiện giao dịch trên tài khoản đó. Người thân cũng không thể xem được thông tin của tài khoản đó. Nguyễn Thị Hạnh 2. Mục tiêu an toàn thông tin ˗ Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu. Ví dụ: Trong hệ thống thông tin ngân hàng, bản thân chủ tài khoản cũng không thể tự tiện thay đổi thông tin tài khoản (như địa chỉ, số điện thoại,..) trừ khi chủ tài khoản có phiếu yêu cầu và Nguyễn Thị Hạnh 3
- 07/01/2018 2. Mục tiêu an toàn thông tin ˗ Tính sẵn dùng (Availability): Cho phép truy cập dữ liệu và tài nguyên ở mọi lúc. Đảm bảo dữ liệu luôn sẵn sàng được truy cập bởi những người dùng hợp pháp, không bị trì hoãn. Denial-of-service là một hình thức tấn công làm mất đi tính sẵn sàng của dữ liệu. Ví dụ: Trong hệ thống quản lý thông tin ngân hàng, cần đảm bảo rằng chủ tài khoản có thể truy vấn/giao dịch thông tin tài khoản của mình bất cứ lúc nào. Nguyễn Thị Hạnh 2. Mục tiêu an toàn thông tin ˗ Bên cạnh bộ ba CIA, trong lĩnh vực an toàn còn khái niệm quan trọng cần có: Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã làm. Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp bằng chứng để chứng minh một hành vi khách hàng đã thực hiện, như giao dịch thanh toán, giao dịch chuyển khoản.... Nguyễn Thị Hạnh 4
- 07/01/2018 3. Các tấn công an toàn thông tin ˗ Có thể phân hai loại chính: Tấn công thụ động (passive attacks): cố gắng tìm hiểu hoặc sử dụng thông tin từ hệ thống nhưng không ảnh hưởng đến tài nguyên hệ thống. Tấn công chủ động (active attacks): cố gắng để thay đổi tài nguyên hệ thống hoặc ảnh hưởng đến hoạt động của hệ thống. Nguyễn Thị Hạnh 3.1 Tấn công thụ động ˗ Các tấn công thụ động thực chất là nghe lén, hoặc giám sát việc trao đổi thông tin. Mục tiêu của đối phương là thu thập thông tin đang được trao đổi. ˗ Hai loại tấn công thụ động là (a) xem trộm thông tin; (b) Phân tích lưu lượng ˗ Các tấn công thụ động rất khó phát hiện bởi vì chúng không làm sai lệch hoặc hủy hoại thông tin trao đổi, nhưng có thể có những biện pháp ngăn chặn hiệu quả. Nguyễn Thị Hạnh 5
- 07/01/2018 3.1 Tấn công thụ động ˗ (a) xem trộm thông tin (Release of message contents) Nguyễn Thị Hạnh 3.1 Tấn công thụ động ˗ (b) Phân tích lưu lượng (Traffic analysis) Nguyễn Thị Hạnh 6
- 07/01/2018 3.2 Tấn công chủ động ˗ Tấn công chủ động (Active attacks): có thể làm thay đổi nội dung, xóa bỏ, làm trễ, xắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời gian. Có thể thêm vào một số thông tin ngoại lai để làm sai lệch nội dung thông tin trao đổi. ˗ Có thể được chia thành 4 loại: (a) Mạo danh (b) Phát lại thông điệp, (c) Thay đổi thông điệp, và (d) Từ chối dịch vụ. ˗ Tấn công chủ động dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều. Nguyễn Thị Hạnh 3.2 Tấn công chủ động ˗ (a) Mạo danh (masquerade) Nguyễn Thị Hạnh 7
- 07/01/2018 3.2 Tấn công chủ động ˗ (b) Phát lại thông điệp (replay) Nguyễn Thị Hạnh 3.2 Tấn công chủ động ˗ (c) Thay đổi thông điệp (modification of messages) Nguyễn Thị Hạnh 8
- 07/01/2018 3.2 Tấn công chủ động ˗ (d) Từ chối dịch vụ (denial of service) Nguyễn Thị Hạnh 4. Các bước cơ bản để bảo đảm ATTT Xác định các mối Lựa chọn chính sách Lựa chọn cơ chế de dọa an toàn thông tin an toàn thông tin ˗ Xác định các mối đe dọa (threat) Cái gì có thể làm hại đến hệ thống? ˗ Lựa chọn chính sách bảo mật (security policy) Điều gì cần mong đợi ở hệ thống bảo mật? ˗ Lựa chọn cơ chế bảo mật (security mechanism) Cách nào để hệ thống bảo mật có thể đạt được những mục tiêu bảo mật đề ra? Nguyễn Thị Hạnh 9
- 07/01/2018 4.1 Xác định các mối đe dọa Xác định các mối Lựa chọn chính sách Lựa chọn cơ chế de dọa an toàn thông tin an toàn thông tin ˗ Các mối đe dọa bảo mật (security threat) có thể xem là các tấn công an toàn thông tin. Nguyễn Thị Hạnh 4.2 Lựa chọn chính sách an toàn Xác định các mối Lựa chọn chính sách Lựa chọn cơ chế de dọa an toàn thông tin an toàn thông tin ˗ Việc an toàn thông tin cần có một chính sách an toàn rõ ràng. ˗ Cần có những chính sách an toàn riêng cho những yêu cầu an toàn khác nhau ˗ Xây dựng và lựa chọn các chính sách an toàn cho thông tin phải dựa theo các phương pháp an toàn có uy tín về an toàn thông tin Nguyễn Thị Hạnh 10
- 07/01/2018 4.2 Lựa chọn chính sách an toàn thông tin ˗ Gải pháp an toàn phải cân bằng giữa 3 yếu tố Khả năng sử dụng An toàn Hiệu suất Nguyễn Thị Hạnh 4.3 Lựa chọn cơ chế an toàn thông tin Xác định các mối Lựa chọn chính sách Lựa chọn cơ chế de dọa an toàn thông tin an toàn thông tin ˗ Xác định cơ chế an toàn phù hợp để hiện thực các chính sách an toàn và đạt được các mục tiêu an toàn đề ra ˗ Có 2 cơ chế an toàn chính: Cơ chế an toàn riêng biệt (SPECIFIC SECURITY MECHANISMS): có thể được tích hợp vào trong các tầng giao thức thích hợp để cung cấp một vài dịch vụ bảo mật OSI. Cơ chế an toàn tỏa khắp (PERVASIVE SECURITY MECHANISMS): các cơ chế mà không được chỉ rõ cho bất kỳ dịch vụ an toàn OSI hoặc tầng giao thức Nguyễn Thị Hạnh 11
- 07/01/2018 Cơ chế an toàn riêng biệt ˗ Sự mã hóa (Encipherment): sử dụng các thuật toán toán học để bến đổi dữ liệu thành một dạng mà không thực sự dễ hiểu. Việc viển đổi và phục hồi sau đó của dữ liệu tùy thuộc vào thuật toán và không hoặc nhiều khóa mã hóa. ˗ Chữ ký điện tử (Digital Signature): Dữ liệu được thêm vào hoặc biến đổi bằng mật mã của một đơn vị dữ liệu để chứng minh nguồn gốc và tính toàn vẹn của đơn vị dữ liệu và chống lại sự giả mạo (ví dụ: bởi người nhận) Nguyễn Thị Hạnh Cơ chế an toàn riêng biệt ˗ Điều khiển truy cập (Access Control): một loạt cơ chế thực thi quyền truy xuất các tài nguyên. ˗ Toàn vẹn dữ liệu (Data Integrity): một loạt cơ chế được dùng để đảm bảo tính toàn vẹn của một đơn vị dữ liệu oặc chuỗi các đơn vị dữ liệu. ˗ Trao đổi xác thức (Authentication Exchange): Một cơ chế nhằm đảm bảo danh tính của một thực thể bằng phương tiện trao đổi thông tin. Nguyễn Thị Hạnh 12
- 07/01/2018 Cơ chế an toàn riêng biệt ˗ Traffic Padding: tạo ra thêm dữ liệu giả mạo trong quá trình truyền tải để làm khó khăn cho kẻ tấn công trong quá trình phân tích trên đường truyền hoặc giải mã. ˗ Routing Control: Cho phép lựa chọn các đường truyền an toàn đặc biệt cho dữ liệu nào đó và cho phép thay đổi đường truyền, đặc biệt là khi một xâm phạm an ninh được nghi ngờ. ˗ Notarization: Dùng tổ chức thứ ba đáng tin cậy để đảm bảo các đặc tính của một sự trao đổi dữ liệu. Nguyễn Thị Hạnh Cơ chế an toàn tỏa khắp ˗ Chức năng đáng tin cậy (Trusted Functionality): Đó được coi là chính xác đối với một số tiêu chí (ví dụ như thành lập bởi một chính sách bảo mật) ˗ Nhãn an toàn (Security Label): Các đánh dấu gắn kết với một nguồn tài nguyên (có thể là một đơn vị dữ liệu) là tên hoặc chỉ định các thuộc tính an toàn của tài nguyên ˗ Phát hiện sự kiện (Event Detection): phát hiện các sự kiện liên quan đến an toàn Nguyễn Thị Hạnh 13
- 07/01/2018 Cơ chế an toàn tỏa khắp ˗ Theo dõi kiểm định an toàn (Security Audit Trail): Số liệu được thu thập và dùng để sử dụng cho việc đánh giá an toàn, chính là một đánh giá và kiểm tra các hoạt động và hồ sơ của hệ thống. một cách độc lập độc lập, kiểm tra hồ sơ và hoạt động của hệ thống. ˗ Phục hồi an toàn (Security Recovery): giải quyết các yêu cầu từ các cơ chế, chẳng hạn như các hàm xử lý và quản lý sự kiện và thực hiện các hành động phục hồi. Nguyễn Thị Hạnh 5. Sự cần thiết của An toàn HTTT đối với cá nhân, tổ chức, và xã hội ˗ Nếu không có an toàn hệ thống thông tin thì điều gì sẽ xảy ra? ˗ Thông tin cá nhân không được đảm bảo an toàn thì như thế nào? ˗ Tầm quan trọng của an toàn hệ thống thông tin của tổ chức như thế nào ˗ Đối với XH không có an toàn thông tin thì như thế nào? Nguyễn Thị Hạnh 14
- 07/01/2018 6. Pháp luật về an toàn hệ thống thông tin ˗ Luật CNTT ˗ Luật sở hữu trí tuệ Việt Nam ˗ Luật Giao dịch Điện tử ˗ Nghị định về Thương mại điện tử Nguyễn Thị Hạnh Câu hỏi 1. Trình bày và phân tích các nguy cơ về an toàn HTTT của một tổ chức 2. Nêu và phân tích mục tiêu của an toàn HTTT là gì? 3. Tam giác CIA là gì, giải thích và cho những ví dụ cụ thể? 4. Nêu ít nhất 3 tính cần thiết của an toàn HTTT đối với cá nhân, tổ chức và xã hội? Nêu ra ví dụ cụ thể để minh chứng cho các tính cần thiết tương ứng. 5. Một tổ chức (ví dụ ngân hàng, trường học, siêu thị,…) có những mối đe dọa an toàn HTTT nào? Nguyễn Thị Hạnh 15
- 07/01/2018 Câu hỏi 6. Một tổ chức (ví dụ ngân hàng, trường học, siêu thị,…) cần có những công cụ cơ chế gì để đảm bảo an toàn HTTT? 7. Nêu ra được lý do tại sao (nêu ví dụ cụ thể) một KS CNTT cần phải biết rõ về luận ATTT 8. Tìm hiểu và giải thích được một số điều khoản trong ISO- 27001 hoặc luật ATTT của VN Nguyễn Thị Hạnh 16
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Bài giảng An toàn hệ điều hành
11 p | 372 | 48
-
Bài giảng An toàn bảo mật hệ thống thông tin: Chương 6 - GV. Nguyễn Minh Thành
16 p | 202 | 40
-
Bài giảng An toàn bảo mật hệ thống thông tin: Chương 1 - GV. Nguyễn Minh Thành
20 p | 143 | 31
-
Bài giảng An toàn bảo mật hệ thống thông tin: Chương 5 - GV. Nguyễn Minh Thành
19 p | 147 | 21
-
Bài giảng An ninh mạng (Network security): Giới thiệu môn học
8 p | 242 | 17
-
Bài giảng An toàn hệ thống thông tin
9 p | 143 | 15
-
Bài giảng Bảo trì hệ thống: Chương 6 - TS. Trần Quang Diệu
19 p | 190 | 12
-
Bài giảng An toàn thông tin: Chương 5 - ThS. Nguyễn Thị Phong Dung
20 p | 21 | 8
-
Bài giảng An toàn bảo mật hệ thống: Chủ đề 3 - Nguyễn Xuân Vinh
15 p | 88 | 7
-
Bài giảng An toàn và bảo mật hệ thống thông tin: Giới thiệu môn học - Đại học Công nghệ Bưu chính Viễn Thông
11 p | 76 | 6
-
Bài giảng An toàn phần mềm
12 p | 144 | 6
-
Bài giảng Hệ điều hành nâng cao: Bài 11 - Trần Hạnh Nhi
6 p | 45 | 5
-
Bài giảng An toàn hệ thống thông tin: Chương 3b - Nguyễn Thị Hạnh
13 p | 42 | 5
-
Bài giảng An toàn và bảo mật dữ liệu trong hệ thống thông tin: Chương 4 - ThS. Trương Tấn Khoa
20 p | 42 | 5
-
Bài giảng An toàn hệ thống thông tin: Chương 3a - Nguyễn Thị Hạnh
18 p | 31 | 4
-
Bài giảng An toàn hệ thống thông tin: Chương 2b - Nguyễn Thị Hạnh
19 p | 34 | 3
-
Bài giảng An ninh mạng – KS. Trương Minh Tuấn
10 p | 25 | 1
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn