Bài giảng An toàn bảo mật hệ thống thông tin - Chương 1 Tổng quan về an toàn bảo mật HTTT

19/09/2013 1 An toàn bảo mật HTTT Chương 1 Tổng quan về an toàn bảo mật HTTT © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Mục tiêu môn học Giải thích các khái niệm về an toàn bảo mật cho các HTTT, trên cơ sở là hạ tầng công nghệ thông tin Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 2 19/09/2013 2 Các khái niệm
An ninh hay là an toàn bảo mật
Thông tin
Các thuộc tính của thông tin
Tài sản Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 3 Các khái niệm
Khái niệm về tính bảo mật, tính toàn vẹn và tính sẵn sàng (CIA)
Các giải pháp an ninh theo lớp được thực hiện trên bẩy vùng (domain) của một hạ tầng IT điển hình
Các nguy cơ phổ biến đối với từng vùng bảo mật
Khung chính sách cho an ninh IT
Tác động của chuẩn phân loại dữ liệu đối với bẩy vùng đã mô tả Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 3 19/09/2013 3 KHÁM PHÁ:CÁC KHÁI NIỆM Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 4 Giới thiệu về ISS ISS Information Systems Information Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 5 (Thông tin) (Hệ thống thông tin) (An ninh Hệ thống thông tin) 19/09/2013 4
An ninh – bảo đảm không thể gây hại đến hoạt động và thuộc tính của một đối tượng nào đó, kể cả cấu trúc và thành phần của nó
An ninh của một đối tượng có thể phân chia thành nhiều dạng khác nhau. Một trong những dạng đó là an ninh thông tin (bảo vệ thông tin và những hoạt động với thông tin) An ninh
Về phạm vi: an ninh thông tin xét theo các mức cá nhân, tổ chức (doanh nghiệp) và quốc gia
“An ninh thông tin” – trạng thái được bảo vệ của thông tin và vật mang tin (thuộc sở hữu cá nhân, tổ chức, hệ thống và các phương pháp bảo đảm sự tiếp nhận, xử lý, lưu trữ,lan truyền và sử dụng thông tin) trước các nguy cơ khác nhau An ninh thông tin 19/09/2013 5
Nguồn gốc các nguy cơ có thể biết trước (ăn cắp thông tin), có thể không biết trước (không rõ mục tiêu của tội phạm)
Bảo đảm an ninh thông tin có thể thực hiện bằng những “biện pháp” và “công cụ” khác nhau (tổ chức, kỹ năng )
Tập hợp tất cả các biện pháp và phương pháp bảo đảm an ninh thông tin tạo thành hệ thống bảo vệ thông tin An ninh thông tin (tiếp)
Ngăn ngừa mất mát, gây nhiễu, tung tin
Ngăn ngừa đe dọa an ninh của cá nhân, xã hội, quốc gia
Ngăn ngừa những hoạt động trái phép nhằm tiêu hủy, gây nhiễu, sao chép, gây tắc nghẽn thông tin; ngăn ngừa các dạng quấy rối vào tài nguyên thông tin và hệ thống thông tin
Bảo vệ quyền công dân về sự riêng tư và tính bảo mật của dữ liệu cá nhân trong các hệ thống thông tin
Bảo vệ bí mật quốc gia, tính bảo mật của thôg tin văn bản tương ứng với quy định của luật pháp
Bảo đảm quyền lợi của các chủ thể trong quá trình truyền thông, chế tác, sản xuất và sử dụng hệ thống thông Mục đích bảo vệ thông tin 19/09/2013 6 VAI TRÒ THÔNG TIN VỚI CÁ NHÂN Nhằm nâng cao hiệu quả hoạt động với thông tin, con người dùng các thiết bị hỗ trợ: 11 SV nêu ví dụ? ĐỐI TƯỢNG QUẢN TRỊ VAI TRÒ THÔNG TIN ĐỐI VỚI TỔ CHỨC, DOANH NGHIỆP • Mỗi doanh nghiệp, tổ chức được xem là một hệ thống (sự liên kết nhân lực, vật lực để tiến đến mục đích chung) HỆ QUẢN TRỊ MỤC TIÊU 19/09/2013 7 KHÁI QUÁT HỆ THỐNG THÔNG TIN DOANH NGHIỆP Mục tiêu doanh nghiệp là tìm kiếm lợi nhuận NGUYÊN VẬT LiỆU CÔNG CỤ, NGUYÊN VẬT LIỆU CƠ HỘIĐE DỌA CẤU TRÚC HỆ THỐNG THÔNG TIN DOANH NGHIỆP THEO QUAN ĐIỂM TỔ CHỨC HTTT KẾ TOÁN HTTT KINH DOANH HTTT SẢN XUẤT HTTT HTTT NHÂN SỰ HTTT HTTT KHO Hệ thống thông tin doanh nghiệp bao gồm nhiều HTTT con. Mỗi HTTT này phục vụ hoạt động của một phòng, ban và có sự trao đổi thông tin nội bộ và với bên ngoài 19/09/2013 8 HỆ THỐNG THÔNG TIN QUỐC GIA
Thông tin cấp quốc gia nhằm phục vụ các hoạt động mức nhà nước.(an ninh xã hội, bảo vệ môi trường, giáo dục, sức khỏe cộng đồng )
Mục tiêu các hoạt động của nhà nước có thể là : - Tăng trưởng kinh tế - Hòa bình, ổn định xã hội - Thỏa mãn (hạnh phúc) của dân chúng HỆ THỐNG THÔNG TIN QUỐC GIA CÔNG NGHIỆP DỊCH VỤ NÔNG NGHIỆP KHAI THÁC SẢN PHẨM NGUYÊN VẬT LIỆU BANK $ $ NHÀ NƯỚC THUẾ LỆ PHÍ LUẬT PHÁP AN NINH QUÂN ĐỘI GIAO THÔNG CHÍNH SÁCH KINH TẾ GIÁO DỤC Hệ thống thông tin quốc gia cũng được phân chia theo mục tiêu của các bộ, ngành 19/09/2013 9 KẾT LUẬN VỀ HTTT
Hệ thống thông tin có thể xem xét ở các mức : cá nhân, doanh nghiệp, nhà nước
Hệ thống thông tin của một chủ thể đảm bảo hiệu quả hoạt động của chủ thể đó
An ninh thông tin của một hệ thống chính là bảo vệ quyền lợi của hệ thống đó đối với tài nguyên thông tin, hạ tầng thông tin, quyền về thông tin, các hoạt động về thông tin CẤU TRÚC KHÁI NIỆM “AN NINH THÔNG TIN” An ninh thông tin – Đảm bảo không bị gây hại đến các tính chất của đối tượng được bảo vệ, tài nguyên thông tin và hạ tầng thông tin Đối tượng an ninh thông tin - các tính chất đối tượng, tài nguyên thông tin và hạ tầng thông tin Các nguy cơ về an ninh thông tin Đảm bảo an ninh thông tin Hoạt động Trang thiết bị Nhân lực 19/09/2013 10 THÔNG TIN VÀ THUỘC TÍNH CỦA THÔNG TIN KHÁI NIỆM THÔNG TIN Thông tin – Mô tả, giải trình, trình bày, giãi bày, bày tỏ, tỏ bày, giãi tỏ, diễn đạt  mang lại hiểu biết cho con người 19/09/2013 11 Thông tin – để hiểu sâu và tổng quát không thể hiểu theo một quan điểm Từ THÔNG TIN có thể hiểu khác nhau trong kỹ thuật, khoa học và trong ngữ cảnh cuộc sống Ví dụ 1 : Report (CNTT) = báo cáo Thế thì báo cáo của bộ trưởng máy tính có viết được không? Lý do? Ví dụ 2: máy tính dự báo đồng xu tung lên khi rơi xuống mặt bàn có 2 trường hợp. Vậy trong cuộc sống có trường hợp nào nữa không? (SV) Học ít quên ít, học nhiều quên nhiều ! Vậy cần học bao nhiêu??? 19/09/2013 12 ĐỊNH NGHĨA THÔNG TIN Thông tin – Sự mô tả về các đối tượng các các hiện tượng của môi trường xung quanh, các thông số, tính chất, trạng thái của chúng, được dùng để cung cấp cho một hệ thống thông tin nào đó (cơ thể sống, thiết bị điều khiển ) trong quá trình sống và làm việc Cùng một bản tin nhưng có thể cung cấp lượng tin khác nhau cho những người khác nhau Có thuốc OMVODICO không em? Không có anh ơi! Chỉ có thuốc XERADION phụ thuộc vào kinh nghiệm, trình độ nhận thức, mức độ quan tâm 19/09/2013 13 Thông tin phải có giá trị sử dụng, tức là có NHU CẦU về nó. Nếu không ai cần cả thì đấy là THÔNG TIN VÔ NGHĨA “Sáng mai mặt trời sẽ mọc” Thiết bị kỹ thuật CNTT không chứa thông tin, mà chỉ chứa các ký tự và quy luật ghép nối để có thể hiển thị thông tin (dữ liệu và thuật toán) Thông tin có thể tồn tại dưới dạng -Câu chữ, hình ảnh -Tín hiệu ánh sáng, âm thanh -Sóng radio -Mùi vị Sự vật, quá trình, hiện tượng vật chất và không vật chất được gọi là đối tượng thông tin (quan điểm mô tả thuộc tính) 19/09/2013 14 Có thể làm gì với thông tin??? Tạo ra Tiếp nhận Kết hợp Lưu trữ Truyền đi Nhân bản Xử lý Tìm kiếm Cảm nhận Chuẩn hóa Phân chia Đo lường Sử dụng Phân phối Yêu cầu Phá hủy Ghi nhớ Chuyển đổi Thu lượm v.v.v Tất cả các thao tác trên được gọi là quá trình thông tin THẢO LUẬN NHÓM 28 Hãy đưa ra các ví dụ thực tế tương ứng với các thao tác thông tin. Kể ra các lý do có thể làm suy giảm chất lượng thông tin trong từng thao tác, cách phòng chống? Minh họa : Thao tác nhân bản (copy) : Cuốn vở dưới gầm bàn được copy trái phép lên tờ giấy trên mặt bàn trong giờ kiểm tra 19/09/2013 15 Chất lượng khoai lang phụ thuộc vào các yếu tố nào? Có đo được không? Khoai có chất lượng, vậy thông tin có không? Có đánh giá được không? Các thuộc tính của thông tin Thông tin rất cần thiết để giúp ta ra quyết định đúng đắn. Bởi vậy cần xét đến thuộc tính của thông tin, nghĩa là dấu hiệu chất lượng thông tin • Tính khách quan • Độ tin cậy • Mức đầy đủ • Độ chính xác • Độ sẵn sàng • Tính phù hợp • Tính hữu ích • Mức giá trị • Tính tức thời • Tính dễ hiểu • Tính sẵn sàng • Tính ngắn gọn 19/09/2013 16 Tính khách quan của thông tin. Thông tin là sự thể hiện thế giới xung quanh, mà thế giới này tồn tại không phụ thuộc vào nhận thức và nguyện vọng của con người Ví dụ: Trên đường có một ổ gà thì mưa hay nắng, sang hay tối nó đều tồn tại. Ai không nhận thấy mà cứ lao vào nó sẽ bị thiệt hại Độ tin cậy của thông tin. Thông tin tin cậy là thông tin phản ánh đúng sự việc và giúp con người ra quyết định đúng. Thông tin khách quan luôn đáng tin cậy. Thông tin chủ quan (do người tạo ra) có thể tin cậy, có thể không đáng tin Ngoài ra độ tin cậy của thông tin có thể suy giảm do: -Chủ động bóp méo (1/4) -Nhiễu gây thay đổi nội dung (đường truyền) -. 19/09/2013 17 Mức đầy đủ của thông tin Thông tin được xem là đầy đủ, nếu như con người có thể hiểu nó để ra quyết định đúng. Đau bụng uống nhân sâm thì chết Tính giá trị và không có giá trị của thông tin - Giữa hai thuộc tính trên không có ranh giới vì giá trị thông tin tùy thuộc theo nhu cầu của từng người cụ thể -Tính hữu ích của một thông tin tùy thuộc vào nhiệm vụ, mà nếu thiếu thông tin đó không thể thực hiện nó được - Đối với phương tiện kỹ thuật thì việc xem xét tính hữu ích của thông tin là vô nghĩa, vì máy móc chỉ thực hiện nhiệm vụ mà con người giao cho nó. 19/09/2013 18 Độ chính xác – Thể hiện sai số của sự mô tả với hiện tượng, sự vật, trạng thái thực tế Độ chính xác cao thì lượng tin lớn, chi phí tạo ra, xử lý, truyền đi của thông tin lớn => phải xác định sai số cho phép VD:Trong ngôn ngữ C++, 10 chia 3 =??? Int Long Float Double . Tính sẵn sàng (tức thời) của thông tin Đây là đặc tính rất quan trọng, thực tế trong thời đại này Sẵn sàng – cần là có ngay Tức thời – Đúng với thời điểm Thông tin cũ giá trị sử dụng thấp. Càng lưu nhiều thông tin cũ càng khó tìm được thông tin cần thiết nhanh nhất VD:- nhiều quần áo quá, lúc cần bộ đó tìm không kịp - Nhiều phiên bản thiết kế quá, dễ nhầm lẫn 19/09/2013 19 Tổng kết về thuộc tính thông tin Bất kỳ thông tin nào đều có tính khách quan, độ tin cậy, đầy đủ, mức dễ hiểu và tính hữu ích. Nếu xem xét dưới góc độ cá nhân (xã hội) sẽ có thêm các thuộc tính khác nữa: 1.Tính ngữ nghĩa (ý nghĩa) 2. Thể hiện bằng ngôn ngữ khác nhau 3. Tính tăng trưởng (tích lũy nhiều, nhỏ để đưa ra thông tin khái quát, thông tin mới) 4. Thông tin càng cũ thì giá trị càng suy giảm 5. Tính logic, tính ngắn gọn, dễ hiển thị, mã hóa Các thuộc tính của thông tin Khách quan Chủ quan Độ tin cậy Tính đầy đủ Sẵn sàng, tức thời Giá trị, hữu ích Dễ hiểu Độ không tin cậy Tính thiếu sót Không sẵn sàng (cũ, chậm) Vô ích Khó hiểu 19/09/2013 20 THẢO LUẬN NHÓM Hãy đưa ra các ví dụ thực tế trong doanh nghiệp tương ứng với các thuộc tính thông tin. Với mỗi ví dụ đó hãy đưa ra biện pháp nhằm tăng cường hiệu quả sử dụng thông tin Ví dụ tính khách quan : Giá nguyên vật liệu tăng không phụ thuộc vào sự tồn tại của doanh nghiệp. Muốn có hiệu quả sản suất kinh doanh tốt doanh nghiệp phải đầu tư các kênh thông tin hữu dụng. Ví dụ Peru mất mùa cá thì giá bột cá trên thế giới sẽ tăng (báo chí) CÁC THUỘC TÍNH CỦA THÔNG TIN BẢO MẬT • Xây dựng hệ thống an ninh thông tin trong doanh nghiệp thường bắt đầu từ việc phân tích các rủi ro (chiếm nhiều công sức nhất) Nhà máy này có những nguy cơ nào? Chừng này bảo vệ đã đủ chưa? 19/09/2013 21 Một trong những công đoạn của phân tích rủi ro chính là kiểm tra, rà soát toàn bộ các quá trình và hoạt động nhằm tìm ra các khe hở, các lỗ hổng. Đánh giá xác suất bị khai thác và thiệt hại có thể xảy ra từ đó. 41 Lỗ hổng hệ thống được xem là các sự kiện có thể dẫn đến sự phá hủy một trong những tính chất an ninh của thông tin đang được xử lý: - Tính sẵn sàng - Tính toàn vẹn - Tính bảo mật (Ví dụ: hư hỏng phương tiện kỹ thuật hoặc lỗi nhập liệu bằng tay trong máy tính trong trường hợp không có kiểm soát từ bên ngoài.) 19/09/2013 22 An ninh thông tin: trạng thái thông tin, các phương tiện kỹ thuật và công nghệ xử lý được thể hiện bằng các thuộc tính : bảo mật, toàn vẹn và sẵn sàng. Tam giác CIA Availability Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 6 19/09/2013 23 Cơ quan quản lý chủ động đưa ra giới hạn quyền truy cập đối với từng thông tin và đảm bảo hệ thống không cung cấp thông tin đến những người không có quyền truy cập đến thông tin đó. 45 Tính bảo mật Tính bảo mật Personal Data and Information • Credit card account numbers and bank account numbers • Social Security numbers and address information Intellectual Property • Copyrights, patents, and secret formulas • Source code, customer databases, and technical specifications National Security • Military intelligence • Homeland security and government-related information Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 7 19/09/2013 24 Tính toàn vẹn Đảm bảo thông tin đúng, không bị lỗi và chính xác. ,
Patents and copyrights
Source code
Diplomatic information
Financial data Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 8
Usernames and passwords Đảm bảo khả năng truy cập tức thời của các chủ thể có nhu cầu đến thông tin của họ và sự chuẩn bị của các phương tiện tương ứng tham gia phục vụ nhu cầu của chủ thể. 48 Tính sẵn sàng 19/09/2013 25 • Khi xem xét an ninh của hệ thống thông tin phải xét đến yếu tố phạm vi (môi trường trong, ngoài), các mối quan hệ giữa các thành phần (tương tác, trao đổi). Bởi vậy tính chất “được bảo vệ” trở thành một trong những thuộc tính quan trọng của hệ thống thông tin. • Được bảo vệ - khả chống lại các tác động từ bên ngoài để giữ nguyên các thuộc tính • (tương ứng trong vật lý : độ cứng, độ đàn hồi) YẾU TỐ PHẠM VI An ninh thông tin (Tính chất HTTT) Thông tin được bảo vệ (Tính chất hệ thống bảo vệ thông tin) Xuất hiện khi tương tác với môi trường ngoài Xuất hiện khi tương tác với các yếu tố trong Độ ổn định của thông tin Mức ổn định của phần mềm Mức ổn định của trang thiết bị Các thuộc tính cơ bản của thông tin Bảo mật Toàn vẹn Sẵn sàng 19/09/2013 26 THẢO LUẬN NHÓM • Doanh nghiệp luôn có nhiều phòng ban chức năng, mỗi phòng ban có nhiều mối quan hệ công việc với các đối tác khác. Hãy đưa ra các giải pháp để đảm bảo các mối quan hệ này không bị thất lạc khi có sự thay đổi về nhân sự ở các phòng ban ! Đạo đức trong ISS
ISS là cuộc đấu tranh kinh điển giữa “cái tốt và cái xấu”
Không có luật, quy định hay quy tắc để quản lý không gian mạng ở mức độ toàn cầu.
Chính phủ Mỹ và ban kiến trúc Internet đã xây dựng chính sách sử dụng Internet chung
Các chuyên gia an ninh được quan tâm và là “người tốt”. Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 10 19/09/2013 27 Compliance Laws Driving ISS Health Insurance Portability AccountabilityAct (HIPAA) and Sarbanes-Oxley (SOX)Act Children’s Internet Protection Act (CIPA) Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 11 Khung chính sách an ninh IT A short written statement that defines a course of action that applies to the entire organization A detailed written definition of how software and hardware are to be used CHÍNH SÁCH Written instructions for how to use the policy and standard Suggested course of action for using the policy, standard, or procedure Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 12 Chuẩn Thủ tục Hướng dẫn 19/09/2013 28 Câu hỏi • Các nhóm trình bày nguy cơ đối với hệ thống thông tin của doanh nghiệp – Các thành phần hệ thống – Nguy cơ đối với từng thành phần Bẩy vùng (domain) của một hạ tầng IT điển hình Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 13 19/09/2013 29 Các nguy cơ trong vùng Người dùng
Người dùng thiếu nhận thức
Người dùng thờ ơ với các chính sách
Người dùng vi phạm các chính sách an toàn
Người dùng sử dụng CD/DVD/USB chứa các file cá nhân Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 14 Các nguy cơ trong vùng Người dùng (tiếp)
Người dùng tải ảnh, nhạc, phim
Người dùng hủy các hệ thống, ứng dụng, và dữ liệu
Nhân viên xấu phá hoại doanh nghiệp
Nhân viên xấu hăm dọa tống tiền hoặc ăn cắp Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 15 19/09/2013 30 Các nguy cơ trong vùng máy trạm (Workstation)
Truy cập trái phép tới máy trạm
Truy cập trái phép tới hệ thống, ứng dụng và dữ liệu
Lỗ hổng trong hệ điều hành máy tính
Lỗ hổng hay bản vá lỗi trong phần mềm ứng dụng của máy tính Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 16 Các nguy cơ trong vùng máy trạm (Workstation)(tiếp)
Vi rút, mã độc và phần mềm có hại
Người dùng sử dụng CD/DVD/USB chứa các file cá nhân
Người dùng tải ảnh, nhạc, phim Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 17 19/09/2013 31 Các nguy cơ trong vùng mạng LAN
Truy cập vật lý trái phép tới mạng LAN
Truy cập trái phép tới các hệ thống, ứng dụng và dữ liệu
Lỗ hổng trong hệ điều hành máy chủ trong mạng LAN
Các lỗ hổng và cập nhật bản vá phần mềm ứng dụng máy chủ trong mạng LAN Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 18 Các nguy cơ trong vùng mạng LAN (tiếp)
Người dùng xấu trong mạng WLAN
Bảo mật dữ liệu trong mạng WLAN
Các chuẩn và hướng dẫn cấu hình máy chủ trong mạng LAN Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 19 19/09/2013 32 Các nguy cơ trong vùng mạng LAN-to-WAN
Quét cổng và tìm kiếm trái phép
Truy cập bất hợp pháp
Lỗ hổng hệ điều hành các thiết bị mạng như Internet Protocol (IP) router, firewall
Người dùng trong mạng tải về các phần mềm không rõ từ các người không xác định WAN Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 20 Các nguy cơ trong vùng mạng WAN
Dữ liệu truy cập công cộng, mở
Hầu hết dữ liệu được gửi dưới dạng không mã hóa
Dễ bị tấn công do nghe lén
Dễ bị thương tổn do các cuộc tấn công gây hại
Dễ bị tổn thương do DOS và DDOS WAN Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 21 19/09/2013 33 Các nguy cơ trong vùng mạng WAN (tiếp)
Dễ bị tổn thương do lỗi về dữ liệu hay thông tin
Các ứng dụng không an toàn
Hacker và các kẻ tấn công gửi qua email Trojans, worms, và các phần mềm độc hại khác một cách tự do, liên tục WAN Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 22 Các nguy cơ trong vùng Truy cập từ xa


Tấn công vét cạn ID người dùng và mật khẩu Tấn công điều khiển truy cập và login hệ thống nhiều lần Truy cập từ xa bất hợp pháp tới hệ thống IT, ứng dụng và dữ liệu Dữ liệu bí mật bị lộ từ xa Lộ dữ liệu do xung đột giữa các chuẩn phân loại dữ liệu
Internet
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 23 19/09/2013 34 Các nguy cơ trong vùng Hệ thống/Ứng dụng
Truy cập trái phép tới trung tâm dữ liệu, phòng máy và các hộp dây
Các máy chủ khó quản lý yêu cầu độ sẵn sàng cao Quản lý điểm yếu các hệ điều hành máy chủ

An ninh cho các môi trường ảo của điện toán đám mây Dữ liệu lỗi hoặc bị ngắt
Cloud Computing Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 24 KHÁM PHÁ:QUY TRÌNH Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 25 19/09/2013 35 Thực hiện tam giác CIA Tính bảo mật AUP chính sách sử dụng hợp lý Chính sách nhận thức về an toàn an ninh Điều khiển truy cập nâng cao Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 26 Thực hiện tam giác CIA (tiếp) Tính toàn vẹn AUP Đánh giá và theo dõi các nguy cơ Chính sách nhận thức an toàn an ninh Đánh giá và quản lý điểm yếu Điều khiển truy cập nâng cao Chính sách bảo vệ tài sản Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 27 19/09/2013 36 Thực hiện tam giác CIA (tiếp) Tính sẵn sàng Chuẩn phân loại dữ liệu AUP Đánh giá và theo dõi các nguy cơ Chính sách nhận thức an toàn an ninh Đánh giá và quản lý điểm yếu Điều khiển truy cập nâng cao Chính sách bảo vệ tài sản Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 28 KHÁM PHÁ:ROLES Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 29 19/09/2013 37 Ai thực hiện tam giác CIA? Toàn vẹn
Người dùng
Quản trị IT
Quản trị mạng
Nhân lực
Quản lý cấp cao Sẵn sàng
Quản trị IT
Quản trị mạng
Nhà cung cấp thứ 3, ví dụ công ty viễn thông Bảo mật
Người dùng
Quản trị IT
Quản trị mạng
Nhân lực
Quản lý cấp cao Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 30 Tổng kết
Các từkhóa gắn với ISS có: rủi ro, nguy cơ, và điểm yếu.
Chiến lược an ninh phân lớp bảo vệ CIA của hạ tầng IT.
Khung chính sách IT có các chính sách, chuẩn, thủ tục và hướng dẫn.
Chuẩn phân loại dữ liệu định nghĩa cách thức dữ liệu được xử lý trong hạ tầng IT. Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 31 19/09/2013 38 KHÁM PHÁ: Các dạng phương tiện kỹ thuật chuyên dụng Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 29 1.Thiết bị nghe trộm : nghe trộm các cuộc nói chuyện trong nhà, ngoài trời - Ghi âm mang theo - Đặt trước máy ghi truyền ra ngoài - Thu thập âm thanh tản mát, lọc nhiễu và tăng cường tín hiệu - Thu âm định hướng - Kỹ thuật thu âm bằng laser nhờ dao động trên gương cửa sổ phòng hội thoại 19/09/2013 39 2. Hệ thống chụp ảnh, quay phim và quang học chuyên dụng - Bí mật quan sát (ngày, đêm) - Đọc và sao chép tài liệu từ xa - Nhận dữ liệu qua kênh vận chuyển (dạng hàng hóa, khối lượng sản xuất ) Hành động này thường sử dụng các thiết bị quan sát chuyên dụng, thiết bị nhìn đêm, máy quay phim ẩn, máy ảnh kích thước nhỏ 3. Kỹ thuật nghe trộm điện thoại - Đầu tiếp nhận gắn trực tiếp hoặc gián tiếp vào đường truyền riêng - Không chế đường truyền lớn, ghi lại toàn bộ và lọc âm nhờ máy tính 19/09/2013 40 4. Phương tiện chuyên dụng để chiếm hữu và ghi nhận thông tin trên đường truyền dữ liệu Mỗi kênh liên lạc hiện đại đều có một loại thiết bị chuyên dùng tương ứng - Quan sát màn hình - Chiếm hữu thông tin trên đường truyền trong tòa nhà hoặc giữa các tòa nhà - Kỹ thuật chiếm hữu thông tin điện thoại di động, tin nhắn, fax,mạng máy tính, kênh chuyên dụng 5. Thiết bị chuyên dùng để trộm cắp thông tin qua đường bưu chính Bí mật tiếp cận và xem trộm thư, cần thiết có thể ghi lại hoặc làm giả tài liệu. - Thiết bị chuyên dùng có thể là : thiết bị mở bao và phục hồi - Thiết bị đọc qua lớp bảo vệ (quang điện, hóa chất) - Con dấu 80 19/09/2013 41 6.Phương tiện kỹ thuật chuyên dùng để bí mật nghiên cứu đối tượng và tài liệu - Thiết bị pháp y (phục hồi, lấy mẫu ) - Phát hiện các bằng chứng - Dấu vân tay 7.Phương tiện kỹ thuật để bí mật xâm nhập và theo dõi kho xưởng, phương tiện vận tải và các đối tượng khác - Thiết bị để cắt và lắp ráp chuyên dùng - Thiết bị phá khóa bảo vệ - Thiết bị hỗ trợ vượt qua lớp bảo vệ, tê liệt hệ thống tín hiệu báo động . 82 19/09/2013 42 8. Thiết bị chuyên dụng để bí mật kiểm tra chuyển động của các phương tiện vận tải và các đối tượng khác Mục tiêu chính là ứng dụng thiết bị dạng này bí mật gắn vào đối tượng hoặc con người cần theo dõi nhằn xác định lộ trình hoặc vị trí - Định vị vệ tinh - Định hướng và khoảng cách so với mốc 84 19/09/2013 43 9. Thiết bị chuyên dùng để bí mật tiếp nhận (hoặc hủy diệt) thông tin từ phương tiện dùng để lưu trữ, xử lý và truyền tin - Thiết bị dò và bắt tín hiệu gài vào hệ thống tính toán, modem nhằm lấy mật khẩu, dữ liệu - Thiết bị kiểm tra và phân tích mẫu thu được từ hệ thống điện toán và mạng máy tính - Thiết bị để copy nhanh thông tin từ đĩa từ hoặc hủy dữ liệu 86 19/09/2013 44 10.Thiết bị chuyên dùng để ngầm xác định con người - Máy phân tích stress, mất tập trung, say xỉn - Thiết bị theo dõi y sinh, hóa sinh nhân viên - Thiết bị xác định giọng nói, chữ ký, vân tay THẢO LUẬN NHÓM Bạn và em bạn cùng vào Sài gòn đi học, bạn có trách nhiệm giám sát giúp đỡ em. Gần đây, đi học về là em vào phòng, cắm đầu vào máy tính, hay mượn tiền, học hành xa sút Hỏi không nói. Muốn biết nguyên nhân nhưng không để cho em biết, bạn có thể dùng các phương pháp nào để thu thập thông tin tìm nguyên nhân ? 88