Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tự: Chương 2 - TS. Chử Bá Quyết

Chia sẻ: Trương Thị Mỹ | Ngày: | Loại File: PDF | Số trang:0

Thêm vào BST

Báo xấu

226
lượt xem 25
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tự: Chương 2 Nhận biết rủi ro thông tin thương mại điện tử do TS. Chử Bá Quyết biên soạn gồm các nội dung chính được trình bày như sau: Ý nghĩa nhận biết RR thương mại điện tự và tiếp cận phân loại RR TMĐT, các khái niệm liên quan nhận biết RR thông tin thương mại điện tự, phân loại đe dọa, lỗ hổng và tấn công An toàn thông tin.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tự: Chương 2 - TS. Chử Bá Quyết

Của SV: ............................................. 8/6/2017 1 2 Khoa TMĐT_ĐHTM Khoa TMĐT_ĐHTM Nội dung 1. Ý nghĩa nhận biết RR TMĐT và tiếp cận phân loại RR TMĐT 2. Các khái niệm liên quan nhận biết RR thông tin TMĐT NHẬN BIẾT RỦI RO THÔNG TIN THƯƠNG MẠI ĐIỆN TỬ 3. Phân loại đe dọa, lỗ hổng và tấn công ATTT 4. Đánh giá ATTT 5. Câu hỏi ôn tập chương 2 Biên soạn: TS. Chử Bá Quyết quyetcb@dhtm.edu.vn Bộ môn Thương mại điện tử H D 3 4 TM Khoa TMĐT_ĐHTM 1. Ý nghĩa nhận biết RR TMĐT Khoa TMĐT_ĐHTM Tiếp cận nhận biết RR TT ntn? • Nhận biết rủi ro là cốt lõi của quá trình QTRR. Nhận biết rủi ro giúp nhà quản trị chủ động quản trị rủi ro, đánh giá mức độ rủi ro, chủ động thực hiện các biện pháp bảo vệ phòng ngừa hiệu quả, đúng lúc, tối thiểu hóa chi phí. • Nhận biết RR thông tin TMĐT là nhận biết các đe dọa, tấn _T công, lỗ hổng ATTT. • Nếu một đe dọa không được nhận biết nó không thể được kiểm soát. Một lỗ hổng không được phát hiện sớm, được vá, một tấn công không được đối phó, sẽ có những tác động xấu tới các mục tiêu* của DN 6 U Bài giảng ATTT&QTRR trong TMĐT M 5 Khoa TMĐT_ĐHTM Khoa TMĐT_ĐHTM 1 Của SV: ............................................. 8/6/2017 7 8 Khoa TMĐT_ĐHTM Khoa TMĐT_ĐHTM 2. Các k/n liên quan nhận biết RR thông tin TMĐT Khái niệm đe dọa an toàn Đe dọa (threat): theo nghĩa rộng • Nhận biết rủi ro (Risk Identification): là liệt kê các RR mà • là các nguồn nguy hiểm; DN, KH có thể gặp phải và đánh giá (sơ bộ) mức độ xảy ra • bất kì lực lượng đối lập, của chúng. Đây là bước tiếp sau xây dựng kế hoạch QTRR. • điều kiện, nguồn hoặc tình huống  có khả năng ảnh hướng tới thực hiện/phá vỡ KH hoặc làm Nhận biết RR thông tin trong TMĐT bao giảm khả năng thực hiện nhiệm vụ, KH. gồm nhận biết các đe dọa an toàn (security threats) và + xác định các lỗ hổng bảo mật/an toàn (computing vulnerabilities). H D 9 10 TM Khoa TMĐT_ĐHTM Khái niệm đe dọa an toàn • Đe dọa an toàn (security threats): Trong an toàn máy tính, đe dọa là một mối nguy hiểm có thể bị khai thác từ một lỗ hổng để xâm phạm HT thông tin và gây ra các thiệt hại, mất an toàn. Khoa TMĐT_ĐHTM Khái niệm đe dọa an toàn Nguồn đe dọa: • khi có một hoàn cảnh, một khả năng, một hành động hay một sự kiện mà có thể có điều kiện vi phạm để gây hại (khả năng xảy ra) • có thể do chủ ý của con người (phát tán virus máy tính) hoặc sự cố bất khả kháng (động đất, sóng thần…) • Tổ chức tội phạm, 12 U Nguồn đe dọa (tiếp…) M _T 11 Khoa TMĐT_ĐHTM Khoa TMĐT_ĐHTM Nguồn đe dọa (tiếp …) • Phần mềm gián điệp, phần mềm độc hại, • Các công ty phần mềm quảng cáo, • Các nhân viên nội bộ bất bình bắt đầu tấn công sử dụng lao động của họ. • Sâu máy tính và virus cũng đặc trưng cho một mối đe dọa khi chúng có thể có thể gây ra thiệt hại bằng cách lây nhiễm các máy móc và gây thiệt hại tự động. Bài giảng ATTT&QTRR trong TMĐT 2 Của SV: ............................................. 8/6/2017 13 14 Khoa TMĐT_ĐHTM Khoa TMĐT_ĐHTM Khái niệm lỗ hổng bảo mật Khái niệm lỗ hổng bảo mật • Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo nên sự ngưng trệ của DV, thêm quyền đối với người sử dụng hoặc cho phép truy cập bất hợp pháp vào HT. Phân tích đe dọa an toàn thông tin luôn gắn với xác định lỗ hổng bảo mật (vulnerability) • Lỗ hổng là một điểm yếu có thể cho phép một kẻ tấn công đột nhập làm yếu đi sự đảm bảo an toàn thông tin của hệ thống. Lỗ hổng cũng được hiểu là một lỗi (mistake) của phần mềm mà các kẻ tấn công có thể sử dụng để truy cập vào hệ thống hoặc mạng máy tính. H D 15 16 TM Khoa TMĐT_ĐHTM Khoa TMĐT_ĐHTM Phân loại lỗ hổng • • • • Theo Bộ Quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống gồm: 3 loại • Các lỗ hổng loại A ▫ Rất nguy hiểm; ▫ Đe dọa tính toàn vẹn và bảo mật của hệ thống; ▫ Cho phép người sử dụng bên ngoài truy cập bất hợp pháp vào hệ thống; ▫ Gây ra việc phá hỏng toàn bộ hệ thống; ▫ Xuất hiện ở các hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. 17 Khoa TMĐT_ĐHTM Phân loại lỗ hổng 18 U M _T Lỗ hổng Phần cứng Lỗ hổng Phần mềm Site Mạng: đường truyền không được bảo vệ, kiến trúc mạng không an toàn • Con người: • Chính sách, quy trình Phân loại lỗ hổng Khoa TMĐT_ĐHTM Phân loại lỗ hổng Các lỗ hổng loại B: Các lỗ hổng loại C: • Có mức độ nguy hiểm trung bình; • Có mức độ nguy hiểm thấp, • Cho phép người sử dụng có thêm tác quyền trên HT mà không • chỉ ảnh hưởng đến chất lượng dịch vụ và làm gián đoạn hệ cần thực hiện bước kiểm tra tính hợp lệ; • Thường có trong các ứng dụng, dịch vụ trên HT; • Có thể dẫn đến việc mất hay rò rỉ thông tin yêu cầu bảo mật. thống; • Cho phép thực hiện các phương thức tấn công từ chối dịch vụ (DoS); • Ít phá hỏng dữ liệu hay cho phép quyền truy cập bất hợp pháp vào máy tính. Bài giảng ATTT&QTRR trong TMĐT 3 Của SV: ............................................. 8/6/2017 19 20 Khoa TMĐT_ĐHTM Khoa TMĐT_ĐHTM Phân loại đe dọa theo Microsoft Microsoft đã phân loại đe dọa an toàn máy tính thành 6 loại, viết tắt là STRIDE, cụ thể là: • Spoofing (Giả mạo, nặc danh): là một tình huống trong đó một người hay một chương trình thành công giả dạng người khác bằng cách làm sai lệch dữ liệu và nhờ đó thu lợi bất hợp pháp. • Tampering (Tấn công dữ liệu): An toàn dữ liệu có nghĩa là bảo vệ một cơ sở dữ liệu từ các phá hoại và các hành động không mong muốn của người sử dụng trái phép • Repudiation (Chối bỏ): Chống chối bỏ (non-repudiation) đề cập đến một hành vi đã được xác thực sẽ không thể bị phủ nhận. 3. Phân loại đe dọa, lỗ hổng, tấn công an toàn thông tin H D 21 22 TM Khoa TMĐT_ĐHTM Phân loại đe dọa theo Microsoft Khoa TMĐT_ĐHTM Các đe dọa thụ động và đe dọa chủ động Microsoft đã phân loại đe dọa an toàn máy tính thành 6 loại, viết tắt là STRIDE, cụ thể là: • Information disclosure (tiết lộ thông tin): là tiết lộ thông tin • Denial of service attack (Tấn công từ chối phục vụ): _T • Elevation of privilege (Nâng quyền): là hành động khai thác lỗ hổng do lỗi thiết kế hệ thống hoặc phần mềm để truy cập tới các tài nguyên không được phép. Bài giảng ATTT&QTRR trong TMĐT 24 U Các đe dọa truyền thông và đe dọa vật lí M 23 Khoa TMĐT_ĐHTM Khoa TMĐT_ĐHTM Các đe dọa theo mức độ phức tạp xử lí 4 Của SV: ............................................. 8/6/2017 25 26 Khoa TMĐT_ĐHTM Khoa TMĐT_ĐHTM Các đe dọa bên trong và bên ngoài H D 27 28 TM Khoa TMĐT_ĐHTM Khoa TMĐT_ĐHTM Các đe dọa đối với máy chủ • Các đe dọa vật lý hoặc sự cố (accidental): là các mối đe dọa xảy ra đối với hạ tầng CNTT và TMĐT như hỏa hoạn, lũ lụt, thiên tai, động đất, sóng thần… gây hậu quả không chỉ đối với an toàn thông tin mà còn gây hủy hoại tài sản, công trình, tính mạng con người… • Ví dụ: cơn bão Morakot 2008 và các trận động đất lớn xảy ra tại khu vực Thái Bình Dương làm đứt cáp biển quốc tế SMW3, APCN, APCN-2, FEA, China US, EAC, C2C, gây mất liên lạc hầu hết các kênh kết nối trực tiếp từ Việt Nam đi Đài Loan, Nhật Bản, Hàn Quốc và một phần liên lạc hướng đi Mỹ. VNPT bị mất gần 6.200 Mbps dung lượng truyền dẫn quốc tế sử dụng cho dịch vụ viễn thông quốc tế như điện thoại, kênh thuê riêng, Frame Relay, VPN và Internet. • Máy chủ là liên kết thứ ba trong bộ ba máy khách – Internet – máy chủ, bao gồm đường dẫn giữa một người sử dụng và một máy chủ thương mại. Máy chủ có những điểm yếu dễ bị tấn công và một đối tượng nào đó có thể lợi dụng những điểm yếu này để phá hủy, hoặc thu được các thông tin một cách trái phép. • Ví dụ: vụ một hacker (X_Spider) đã tấn công vào máy chủ web của techcombank.com.vn và để lại thông báo cần phải sửa lỗi và không gây thiệt hại gì cho website này. X_Spider cho biết website phuthai... đã gặp lỗ hổng bảo mật, qua đó anh ta có thể upload đoạn mã tấn công (shell) lên đó và dùng mã này vào được cơ sở dữ liệu của techcombank.com.vn. Vì các website đặt cùng server có chung thông số nên việc truy cập "liên thông" (local attack) là có thể thực hiện được (nguồn: Vnexpress.net). 29 30 U Khoa TMĐT_ĐHTM M _T Các đe dọa vật lý Khoa TMĐT_ĐHTM Các đe dọa đối với máy khách Đe dọa đối với kênh truyền thông • Các chương trình gây hại được phát tán thông qua các trang web, có thể phát hiện ra số thẻ tín dụng, tên người dùng và mật khẩu. Những thông tin này thường được lưu giữ trong các tệp đặc biệt – gọi là cookie. Các cookie được sử dụng để nhớ các thông tin yêu cầu của khách hàng, hoặc tên người dùng và mật khẩu. Nhiều nội dung động gây hại có thể lan truyền thông qua các cookie, chúng có thể phát hiện được nội dung của các tệp phía máy khách, hoặc thậm chí có thể hủy bỏ các tệp được lưu giữ trong các máy khách. • Ví dụ, một virus máy tính đã phát hiện được danh sách các địa chỉ thư tín điện tử của người sử dụng và gửi danh sách này cho những người khác trên Internet • Internet đóng vai trò kênh truyền thông. Các thông tin trên Internet được gửi đi theo các tuyến ngẫu nhiên, từ nút nguồn (node) tới nút đích. Các thông tin này đi qua một số máy tính trung gian trên mạng trước khi tới đích cuối cùng và mỗi lần đi, chúng có thể đi theo những tuyến khác nhau. Hiện rất khó đảm bảo tất cả các thông tin gửi đi trên Internet đều an toàn. Một số kẻ trộm trên mạng có thể đọc các thông tin, sửa đổi, hoặc thậm chí có thể loại bỏ các thông tin ra khỏi Internet. Do vậy, các thông tin được gửi đi trên mạng thường bị xâm phạm đến tính bí mật, tính riêng tư và tính toàn vẹn. Bài giảng ATTT&QTRR trong TMĐT 5