THẢO LUẬN NHÓM
Bạn và em bạn cùng vào Sài gòn đi học, bạn có
trách nhiệm giám sát giúp đỡ em. Gần đây, đi
học về là em vào phòng, cắm đầu vào máy
tính, hay mượn tiền, học hành xa sút Hỏi
không nói.
Muốn biết nguyên nhân nhưng không để cho
em biết, bạn có thể dùng các phương pháp
nào để thu thập thông tin tìm nguyên nhân ?
44 trang |
Chia sẻ: vutrong32 | Lượt xem: 1483 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Bài giảng An toàn bảo mật hệ thống thông tin - Chương 1 Tổng quan về an toàn bảo mật HTTT, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
19/09/2013
1
An toàn bảo mật HTTT
Chương 1
Tổng quan về an toàn bảo mật HTTT
© 2012 Jones and Bartlett Learning, LLC www.jblearning.com
Mục tiêu môn học
Giải thích các khái niệm về an toàn bảo mật
cho các HTTT, trên cơ sở là hạ tầng công
nghệ thông tin
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 2
19/09/2013
2
Các khái niệm
An ninh hay là an toàn bảo mật
Thông tin
Các thuộc tính của thông tin
Tài sản
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 3
Các khái niệm
Khái niệm về tính bảo mật, tính toàn vẹn và
tính sẵn sàng (CIA)
Các giải pháp an ninh theo lớp được thực
hiện trên bẩy vùng (domain) của một hạ tầng
IT điển hình
Các nguy cơ phổ biến đối với từng vùng bảo
mật
Khung chính sách cho an ninh IT
Tác động của chuẩn phân loại dữ liệu đối
với bẩy vùng đã mô tả
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 3
19/09/2013
3
KHÁM PHÁ:CÁC KHÁI NIỆM
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 4
Giới thiệu về ISS
ISS
Information
Systems
Information
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 5
(Thông tin)
(Hệ thống thông tin)
(An ninh Hệ thống thông tin)
19/09/2013
4
An ninh – bảo đảm không thể gây hại đến hoạt động và
thuộc tính của một đối tượng nào đó, kể cả cấu trúc và
thành phần của nó
An ninh của một đối tượng có thể phân chia thành
nhiều dạng khác nhau. Một trong những dạng đó là an
ninh thông tin (bảo vệ thông tin và những hoạt động
với thông tin)
An ninh
Về phạm vi: an ninh thông tin xét theo các mức
cá nhân, tổ chức (doanh nghiệp) và quốc gia
“An ninh thông tin” – trạng thái được bảo vệ
của thông tin và vật mang tin (thuộc sở hữu cá
nhân, tổ chức, hệ thống và các phương pháp
bảo đảm sự tiếp nhận, xử lý, lưu trữ,lan truyền
và sử dụng thông tin) trước các nguy cơ khác
nhau
An ninh thông tin
19/09/2013
5
Nguồn gốc các nguy cơ có thể biết trước (ăn
cắp thông tin), có thể không biết trước (không
rõ mục tiêu của tội phạm)
Bảo đảm an ninh thông tin có thể thực hiện
bằng những “biện pháp” và “công cụ” khác
nhau (tổ chức, kỹ năng )
Tập hợp tất cả các biện pháp và phương pháp
bảo đảm an ninh thông tin tạo thành hệ thống
bảo vệ thông tin
An ninh thông tin (tiếp)
Ngăn ngừa mất mát, gây nhiễu, tung tin
Ngăn ngừa đe dọa an ninh của cá nhân, xã hội, quốc gia
Ngăn ngừa những hoạt động trái phép nhằm tiêu hủy,
gây nhiễu, sao chép, gây tắc nghẽn thông tin; ngăn ngừa
các dạng quấy rối vào tài nguyên thông tin và hệ thống
thông tin
Bảo vệ quyền công dân về sự riêng tư và tính bảo mật
của dữ liệu cá nhân trong các hệ thống thông tin
Bảo vệ bí mật quốc gia, tính bảo mật của thôg tin văn
bản tương ứng với quy định của luật pháp
Bảo đảm quyền lợi của các chủ thể trong quá trình
truyền thông, chế tác, sản xuất và sử dụng hệ thống
thông
Mục đích bảo vệ thông tin
19/09/2013
6
VAI TRÒ THÔNG TIN VỚI CÁ NHÂN
Nhằm nâng cao hiệu quả hoạt động với thông
tin, con người dùng các thiết bị hỗ trợ:
11
SV nêu ví
dụ?
ĐỐI TƯỢNG QUẢN TRỊ
VAI TRÒ THÔNG TIN ĐỐI VỚI TỔ
CHỨC, DOANH NGHIỆP
• Mỗi doanh nghiệp, tổ chức được xem là một
hệ thống (sự liên kết nhân lực, vật lực để tiến
đến mục đích chung)
HỆ QUẢN TRỊ
MỤC TIÊU
19/09/2013
7
KHÁI QUÁT HỆ THỐNG THÔNG TIN
DOANH NGHIỆP
Mục tiêu doanh nghiệp là tìm kiếm lợi nhuận
NGUYÊN VẬT LiỆU
CÔNG CỤ, NGUYÊN VẬT LIỆU
CƠ HỘIĐE DỌA
CẤU TRÚC HỆ THỐNG THÔNG TIN DOANH
NGHIỆP THEO QUAN ĐIỂM TỔ CHỨC
HTTT
KẾ TOÁN HTTT
KINH DOANH
HTTT
SẢN XUẤT
HTTT
HTTT
NHÂN SỰ
HTTT
HTTT
KHO
Hệ thống thông tin doanh nghiệp bao gồm nhiều HTTT con. Mỗi
HTTT này phục vụ hoạt động của một phòng, ban và có sự
trao đổi thông tin nội bộ và với bên ngoài
19/09/2013
8
HỆ THỐNG THÔNG TIN QUỐC GIA
Thông tin cấp quốc gia nhằm phục vụ các hoạt
động mức nhà nước.(an ninh xã hội, bảo vệ
môi trường, giáo dục, sức khỏe cộng đồng )
Mục tiêu các hoạt động của nhà nước có thể
là :
- Tăng trưởng kinh tế
- Hòa bình, ổn định xã hội
- Thỏa mãn (hạnh phúc) của dân chúng
HỆ THỐNG THÔNG TIN QUỐC GIA
CÔNG NGHIỆP
DỊCH VỤ
NÔNG NGHIỆP
KHAI THÁC
SẢN
PHẨM
NGUYÊN
VẬT LIỆU
BANK
$ $
NHÀ NƯỚC
THUẾ LỆ PHÍ
LUẬT PHÁP
AN NINH
QUÂN ĐỘI
GIAO THÔNG
CHÍNH SÁCH KINH TẾ
GIÁO DỤC
Hệ thống thông tin quốc gia cũng được phân chia theo mục
tiêu của các bộ, ngành
19/09/2013
9
KẾT LUẬN VỀ HTTT
Hệ thống thông tin có thể xem xét ở các mức :
cá nhân, doanh nghiệp, nhà nước
Hệ thống thông tin của một chủ thể đảm bảo
hiệu quả hoạt động của chủ thể đó
An ninh thông tin của một hệ thống chính là
bảo vệ quyền lợi của hệ thống đó đối với tài
nguyên thông tin, hạ tầng thông tin, quyền về
thông tin, các hoạt động về thông tin
CẤU TRÚC KHÁI NIỆM “AN NINH THÔNG TIN”
An ninh thông tin – Đảm bảo không bị gây hại đến các
tính chất của đối tượng được bảo vệ, tài nguyên thông tin
và hạ tầng thông tin
Đối tượng an ninh
thông tin - các tính
chất đối tượng, tài
nguyên thông tin và hạ
tầng thông tin
Các nguy cơ
về an ninh
thông tin
Đảm bảo an
ninh thông
tin
Hoạt động Trang thiết bị Nhân lực
19/09/2013
10
THÔNG TIN VÀ
THUỘC TÍNH CỦA THÔNG TIN
KHÁI NIỆM THÔNG TIN
Thông tin – Mô tả, giải trình, trình bày, giãi bày,
bày tỏ, tỏ bày, giãi tỏ, diễn đạt mang lại hiểu
biết cho con người
19/09/2013
11
Thông tin – để hiểu sâu và tổng quát không
thể hiểu theo một quan điểm
Từ THÔNG TIN có thể hiểu khác nhau trong
kỹ thuật, khoa học và trong ngữ cảnh cuộc
sống
Ví dụ 1 : Report (CNTT) = báo cáo
Thế thì báo cáo của bộ trưởng máy tính có
viết được không? Lý do?
Ví dụ 2: máy tính dự báo đồng xu tung lên khi
rơi xuống mặt bàn có 2 trường hợp. Vậy
trong cuộc sống có trường hợp nào nữa
không? (SV)
Học ít quên ít, học nhiều quên nhiều !
Vậy cần học bao nhiêu???
19/09/2013
12
ĐỊNH NGHĨA THÔNG TIN
Thông tin – Sự mô tả về các đối tượng các các hiện
tượng của môi trường xung quanh, các thông số,
tính chất, trạng thái của chúng, được dùng để cung
cấp cho một hệ thống thông tin nào đó (cơ thể sống,
thiết bị điều khiển ) trong quá trình sống và làm
việc
Cùng một bản tin nhưng có thể cung cấp
lượng tin khác nhau cho những người khác
nhau
Có thuốc
OMVODICO
không em?
Không có anh
ơi!
Chỉ có thuốc
XERADION
phụ thuộc vào kinh nghiệm, trình
độ nhận thức, mức độ quan tâm
19/09/2013
13
Thông tin phải có giá trị sử dụng, tức là có NHU
CẦU về nó. Nếu không ai cần cả thì đấy là THÔNG
TIN VÔ NGHĨA
“Sáng mai mặt trời sẽ mọc”
Thiết bị kỹ thuật CNTT không chứa thông tin,
mà chỉ chứa các ký tự và quy luật ghép nối
để có thể hiển thị thông tin (dữ liệu và thuật
toán)
Thông tin có thể tồn tại dưới dạng
-Câu chữ, hình ảnh
-Tín hiệu ánh sáng, âm thanh
-Sóng radio
-Mùi vị
Sự vật, quá trình, hiện tượng vật chất và
không vật chất được gọi là đối tượng thông
tin (quan điểm mô tả thuộc tính)
19/09/2013
14
Có thể làm gì với thông tin???
Tạo ra Tiếp nhận Kết hợp Lưu trữ
Truyền đi Nhân bản Xử lý
Tìm kiếm
Cảm nhận Chuẩn hóa Phân chia Đo lường
Sử dụng Phân phối Yêu cầu Phá hủy
Ghi nhớ Chuyển đổi Thu lượm v.v.v
Tất cả các thao tác trên được gọi là quá trình
thông tin
THẢO LUẬN NHÓM
28
Hãy đưa ra các ví dụ thực tế tương ứng với
các thao tác thông tin. Kể ra các lý do có thể
làm suy giảm chất lượng thông tin trong từng
thao tác, cách phòng chống?
Minh họa :
Thao tác nhân bản
(copy) : Cuốn vở dưới
gầm bàn được copy trái
phép lên tờ giấy trên
mặt bàn trong giờ kiểm
tra
19/09/2013
15
Chất lượng khoai lang phụ thuộc vào các yếu tố
nào? Có đo được không?
Khoai có chất lượng,
vậy thông tin có không?
Có đánh giá được
không?
Các thuộc tính của thông tin
Thông tin rất cần thiết để giúp ta ra quyết định
đúng đắn.
Bởi vậy cần xét đến thuộc tính của thông tin,
nghĩa là dấu hiệu chất lượng thông tin
• Tính khách quan
• Độ tin cậy
• Mức đầy đủ
• Độ chính xác
• Độ sẵn sàng
• Tính phù hợp
• Tính hữu ích
• Mức giá trị
• Tính tức thời
• Tính dễ hiểu
• Tính sẵn sàng
• Tính ngắn gọn
19/09/2013
16
Tính khách quan của thông tin.
Thông tin là sự thể hiện thế giới xung quanh,
mà thế giới này tồn tại không phụ thuộc vào
nhận thức và nguyện vọng của con người
Ví dụ: Trên đường
có một ổ gà thì
mưa hay nắng, sang
hay tối nó đều tồn
tại. Ai không nhận
thấy mà cứ lao vào
nó sẽ bị thiệt hại
Độ tin cậy của thông tin.
Thông tin tin cậy là thông tin phản ánh đúng sự
việc và giúp con người ra quyết định đúng.
Thông tin khách quan luôn đáng tin cậy.
Thông tin chủ quan (do người tạo ra) có thể
tin cậy, có thể không đáng tin
Ngoài ra độ tin cậy của thông tin có thể suy
giảm do:
-Chủ động bóp méo (1/4)
-Nhiễu gây thay đổi nội dung (đường truyền)
-.
19/09/2013
17
Mức đầy đủ của thông tin
Thông tin được xem là đầy đủ, nếu như con
người có thể hiểu nó để ra quyết định đúng.
Đau bụng uống nhân sâm
thì chết
Tính giá trị và không có giá trị của thông
tin
- Giữa hai thuộc tính trên không có ranh
giới vì giá trị thông tin tùy thuộc theo nhu
cầu của từng người cụ thể
-Tính hữu ích của một thông tin tùy thuộc
vào nhiệm vụ, mà nếu thiếu thông tin đó
không thể thực hiện nó được
- Đối với phương tiện kỹ thuật thì việc xem
xét tính hữu ích của thông tin là vô nghĩa,
vì máy móc chỉ thực hiện nhiệm vụ mà
con người giao cho nó.
19/09/2013
18
Độ chính xác – Thể hiện sai số của sự mô tả
với hiện tượng, sự vật, trạng thái thực tế
Độ chính xác cao thì lượng tin lớn, chi phí tạo
ra, xử lý, truyền đi của thông tin lớn
=> phải xác định sai số cho phép
VD:Trong ngôn ngữ C++, 10 chia 3 =???
Int
Long
Float
Double .
Tính sẵn sàng (tức thời) của thông tin
Đây là đặc tính rất quan trọng, thực tế trong
thời đại này
Sẵn sàng – cần là có ngay
Tức thời – Đúng với thời điểm
Thông tin cũ giá trị sử dụng thấp. Càng lưu
nhiều thông tin cũ càng khó tìm được thông
tin cần thiết nhanh nhất
VD:- nhiều quần áo quá, lúc cần bộ đó tìm
không kịp
- Nhiều phiên bản thiết kế quá, dễ nhầm lẫn
19/09/2013
19
Tổng kết về thuộc tính thông tin
Bất kỳ thông tin nào đều có tính khách quan,
độ tin cậy, đầy đủ, mức dễ hiểu và tính hữu
ích. Nếu xem xét dưới góc độ cá nhân (xã hội)
sẽ có thêm các thuộc tính khác nữa:
1.Tính ngữ nghĩa (ý nghĩa)
2. Thể hiện bằng ngôn ngữ khác nhau
3. Tính tăng trưởng (tích lũy nhiều, nhỏ để đưa
ra thông tin khái quát, thông tin mới)
4. Thông tin càng cũ thì giá trị càng suy giảm
5. Tính logic, tính ngắn gọn, dễ hiển thị, mã
hóa
Các thuộc tính của thông tin
Khách quan Chủ quan
Độ tin cậy
Tính đầy đủ
Sẵn sàng, tức thời
Giá trị, hữu ích
Dễ hiểu
Độ không tin cậy
Tính thiếu sót
Không sẵn sàng
(cũ, chậm)
Vô ích
Khó hiểu
19/09/2013
20
THẢO LUẬN NHÓM
Hãy đưa ra các ví dụ thực tế trong doanh
nghiệp tương ứng với các thuộc tính thông tin.
Với mỗi ví dụ đó hãy đưa ra biện pháp nhằm
tăng cường hiệu quả sử dụng thông tin
Ví dụ tính khách quan : Giá nguyên vật liệu
tăng không phụ thuộc vào sự tồn tại của
doanh nghiệp. Muốn có hiệu quả sản suất
kinh doanh tốt doanh nghiệp phải đầu tư các
kênh thông tin hữu dụng. Ví dụ Peru mất mùa
cá thì giá bột cá trên thế giới sẽ tăng (báo chí)
CÁC THUỘC TÍNH CỦA THÔNG
TIN BẢO MẬT
• Xây dựng hệ thống an ninh thông tin trong
doanh nghiệp thường bắt đầu từ việc phân
tích các rủi ro (chiếm nhiều công sức nhất)
Nhà máy này có
những nguy cơ
nào? Chừng này
bảo vệ đã đủ
chưa?
19/09/2013
21
Một trong những công đoạn của phân tích rủi ro
chính là kiểm tra, rà soát toàn bộ các quá trình
và hoạt động nhằm tìm ra các khe hở, các lỗ
hổng. Đánh giá xác suất bị khai thác và thiệt hại
có thể xảy ra từ đó.
41
Lỗ hổng hệ thống được xem là các sự kiện có
thể dẫn đến sự phá hủy một trong những tính
chất an ninh của thông tin đang được xử lý:
- Tính sẵn sàng
- Tính toàn vẹn
- Tính bảo mật
(Ví dụ: hư hỏng phương tiện kỹ thuật hoặc
lỗi nhập liệu bằng tay trong máy tính trong
trường hợp không có kiểm soát từ bên ngoài.)
19/09/2013
22
An ninh thông tin: trạng thái thông tin, các
phương tiện kỹ thuật và công nghệ xử lý được
thể hiện bằng các thuộc tính : bảo mật, toàn vẹn
và sẵn sàng.
Tam giác CIA
Availability
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 6
19/09/2013
23
Cơ quan quản lý chủ động đưa ra giới hạn
quyền truy cập đối với từng thông tin và đảm
bảo hệ thống không cung cấp thông tin đến
những người không có quyền truy cập đến
thông tin đó.
45
Tính bảo mật
Tính bảo mật
Personal Data and Information
• Credit card account numbers and bank account numbers
• Social Security numbers and address information
Intellectual Property
• Copyrights, patents, and secret formulas
• Source code, customer databases, and technical
specifications
National Security
• Military intelligence
• Homeland security and government-related information
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 7
19/09/2013
24
Tính toàn vẹn
Đảm bảo thông tin đúng, không bị lỗi và
chính xác.
,
Patents and copyrights
Source code
Diplomatic information
Financial data
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 8
Usernames
and passwords
Đảm bảo khả năng truy cập tức thời của các chủ
thể có nhu cầu đến thông tin của họ và sự chuẩn
bị của các phương tiện tương ứng tham gia
phục vụ nhu cầu của chủ thể.
48
Tính sẵn sàng
19/09/2013
25
• Khi xem xét an ninh của hệ thống thông tin
phải xét đến yếu tố phạm vi (môi trường
trong, ngoài), các mối quan hệ giữa các thành
phần (tương tác, trao đổi). Bởi vậy tính chất
“được bảo vệ” trở thành một trong những
thuộc tính quan trọng của hệ thống thông tin.
• Được bảo vệ - khả chống lại các tác động từ
bên ngoài để giữ nguyên các thuộc tính
• (tương ứng trong vật lý : độ cứng, độ đàn hồi)
YẾU TỐ PHẠM VI
An ninh thông tin
(Tính chất HTTT)
Thông tin được bảo vệ
(Tính chất hệ thống
bảo vệ thông tin)
Xuất hiện
khi tương
tác với môi
trường
ngoài
Xuất hiện khi
tương tác với các
yếu tố trong
Độ ổn định
của thông tin
Mức ổn định
của phần mềm
Mức ổn định
của trang
thiết bị
Các thuộc tính cơ bản của thông tin
Bảo mật Toàn vẹn Sẵn sàng
19/09/2013
26
THẢO LUẬN NHÓM
• Doanh nghiệp luôn có nhiều phòng ban chức
năng, mỗi phòng ban có nhiều mối quan hệ
công việc với các đối tác khác. Hãy đưa ra các
giải pháp để đảm bảo các mối quan hệ này
không bị thất lạc khi có sự thay đổi về nhân sự
ở các phòng ban !
Đạo đức trong ISS
ISS là cuộc đấu tranh kinh điển giữa “cái
tốt và cái xấu”
Không có luật, quy định hay quy tắc để
quản lý không gian mạng ở mức độ toàn
cầu.
Chính phủ Mỹ và ban kiến trúc Internet
đã xây dựng chính sách sử dụng
Internet chung
Các chuyên gia an ninh được quan tâm
và là “người tốt”.
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 10
19/09/2013
27
Compliance Laws Driving ISS
Health Insurance Portability
AccountabilityAct (HIPAA)
and
Sarbanes-Oxley (SOX)Act
Children’s Internet Protection Act (CIPA)
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 11
Khung chính sách an ninh IT
A short written statement that defines a
course of action that applies to the entire
organization
A detailed written definition of how
software and hardware are to be used
CHÍNH
SÁCH
Written instructions for how to use
the policy and standard
Suggested course of action for using
the policy, standard, or procedure
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 12
Chuẩn
Thủ tục
Hướng
dẫn
19/09/2013
28
Câu hỏi
• Các nhóm trình bày nguy cơ đối với hệ thống
thông tin của doanh nghiệp
– Các thành phần hệ thống
– Nguy cơ đối với từng thành phần
Bẩy vùng (domain) của một hạ
tầng IT điển hình
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 13
19/09/2013
29
Các nguy cơ trong vùng Người
dùng
Người dùng thiếu nhận thức
Người dùng thờ ơ với các chính sách
Người dùng vi phạm các chính sách an toàn
Người dùng sử dụng CD/DVD/USB chứa
các file cá nhân
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 14
Các nguy cơ trong vùng Người
dùng (tiếp)
Người dùng tải ảnh, nhạc, phim
Người dùng hủy các hệ thống, ứng
dụng, và dữ liệu
Nhân viên xấu phá hoại doanh nghiệp
Nhân viên xấu hăm dọa tống tiền
hoặc ăn cắp
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 15
19/09/2013
30
Các nguy cơ trong vùng máy
trạm (Workstation)
Truy cập trái phép tới máy trạm
Truy cập trái phép tới hệ thống, ứng
dụng và dữ liệu
Lỗ hổng trong hệ điều hành máy tính
Lỗ hổng hay bản vá lỗi trong phần
mềm ứng dụng của máy tính
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 16
Các nguy cơ trong vùng máy
trạm (Workstation)(tiếp)
Vi rút, mã độc và phần mềm có hại
Người dùng sử dụng CD/DVD/USB chứa các
file cá nhân
Người dùng tải ảnh, nhạc, phim
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 17
19/09/2013
31
Các nguy cơ trong vùng mạng
LAN
Truy cập vật lý trái phép tới mạng LAN
Truy cập trái phép tới các hệ
thống, ứng dụng và dữ liệu
Lỗ hổng trong hệ điều hành máy
chủ trong mạng LAN
Các lỗ hổng và cập nhật bản vá
phần mềm ứng dụng máy chủ
trong mạng LAN
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 18
Các nguy cơ trong vùng
mạng LAN (tiếp)
Người dùng xấu trong mạng WLAN
Bảo mật dữ liệu trong mạng WLAN
Các chuẩn và hướng dẫn cấu hình
máy chủ trong mạng LAN
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 19
19/09/2013
32
Các nguy cơ trong vùng mạng
LAN-to-WAN
Quét cổng và tìm kiếm trái phép
Truy cập bất hợp pháp
Lỗ hổng hệ điều hành các thiết bị
mạng như Internet Protocol (IP)
router, firewall
Người dùng trong mạng tải về các
phần mềm không rõ từ các người
không xác định
WAN
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 20
Các nguy cơ trong vùng mạng
WAN
Dữ liệu truy cập công cộng, mở
Hầu hết dữ liệu được gửi dưới
dạng không mã hóa
Dễ bị tấn công do nghe lén
Dễ bị thương tổn do các cuộc tấn
công gây hại
Dễ bị tổn thương do DOS và
DDOS
WAN
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 21
19/09/2013
33
Các nguy cơ trong vùng mạng
WAN (tiếp)
Dễ bị tổn thương do lỗi về dữ liệu hay thông
tin
Các ứng dụng không an toàn
Hacker và các kẻ tấn công gửi qua
email Trojans, worms, và các phần
mềm độc hại khác một cách tự do,
liên tục
WAN
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 22
Các nguy cơ trong vùng Truy
cập từ xa
Tấn công vét cạn ID người dùng và mật khẩu
Tấn công điều khiển truy cập và login hệ
thống nhiều lần
Truy cập từ xa bất hợp pháp tới hệ thống
IT, ứng dụng và dữ liệu
Dữ liệu bí mật bị lộ từ xa
Lộ dữ liệu do xung đột giữa các chuẩn
phân loại dữ liệu
Internet
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 23
19/09/2013
34
Các nguy cơ trong vùng Hệ
thống/Ứng dụng
Truy cập trái phép tới trung tâm dữ liệu, phòng
máy và các hộp dây
Các máy chủ khó quản lý yêu cầu độ sẵn
sàng cao
Quản lý điểm yếu các hệ điều hành máy
chủ
An ninh cho các môi trường ảo của
điện toán đám mây
Dữ liệu lỗi hoặc bị ngắt Cloud
Computing
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 24
KHÁM PHÁ:QUY TRÌNH
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 25
19/09/2013
35
Thực hiện tam giác CIA
Tính bảo mật
AUP chính sách sử
dụng hợp lý
Chính sách nhận
thức về an toàn
an ninh
Điều khiển truy
cập nâng cao
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 26
Thực hiện tam giác CIA (tiếp)
Tính toàn vẹn
AUP
Đánh giá và theo dõi
các nguy cơ
Chính sách nhận
thức an toàn an ninh
Đánh giá và quản lý điểm
yếu
Điều khiển truy cập nâng
cao
Chính sách bảo vệ tài sản
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 27
19/09/2013
36
Thực hiện tam giác CIA (tiếp)
Tính sẵn sàng
Chuẩn phân loại dữ liệu
AUP
Đánh giá và theo
dõi các nguy cơ
Chính sách nhận
thức an toàn an
ninh
Đánh giá và quản lý điểm
yếu
Điều khiển truy cập
nâng cao
Chính sách bảo vệ tài
sản
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 28
KHÁM PHÁ:ROLES
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 29
19/09/2013
37
Ai thực hiện tam giác CIA?
Toàn vẹn
Người dùng
Quản trị IT
Quản trị mạng
Nhân lực
Quản lý cấp cao
Sẵn sàng
Quản trị IT
Quản trị mạng
Nhà cung cấp
thứ 3, ví dụ công
ty viễn thông
Bảo mật
Người dùng
Quản trị IT
Quản trị mạng
Nhân lực
Quản lý cấp cao
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 30
Tổng kết
Các từkhóa gắn với ISS có: rủi ro, nguy cơ,
và điểm yếu.
Chiến lược an ninh phân lớp bảo vệ
CIA của hạ tầng IT.
Khung chính sách IT có các chính sách,
chuẩn, thủ tục và hướng dẫn.
Chuẩn phân loại dữ liệu định nghĩa cách
thức dữ liệu được xử lý trong hạ tầng IT.
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 31
19/09/2013
38
KHÁM PHÁ:
Các dạng phương tiện
kỹ thuật chuyên dụng
Fundamentals of Information Systems Security © 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 29
1.Thiết bị nghe trộm : nghe trộm các cuộc nói
chuyện trong nhà, ngoài trời
- Ghi âm mang theo
- Đặt trước máy ghi truyền ra ngoài
- Thu thập âm thanh tản mát, lọc nhiễu và tăng
cường tín hiệu
- Thu âm định hướng
- Kỹ thuật thu âm bằng laser nhờ dao động trên
gương cửa sổ phòng hội thoại
19/09/2013
39
2. Hệ thống chụp ảnh, quay phim và quang học
chuyên dụng
- Bí mật quan sát (ngày, đêm)
- Đọc và sao chép tài liệu từ xa
- Nhận dữ liệu qua kênh vận chuyển (dạng hàng
hóa, khối lượng sản xuất )
Hành động này thường sử dụng các thiết bị
quan sát chuyên dụng, thiết bị nhìn đêm,
máy quay phim ẩn, máy ảnh kích thước nhỏ
3. Kỹ thuật nghe trộm điện thoại
- Đầu tiếp nhận gắn trực tiếp hoặc gián tiếp
vào đường truyền riêng
- Không chế đường truyền lớn, ghi lại toàn bộ
và lọc âm nhờ máy tính
19/09/2013
40
4. Phương tiện chuyên dụng để chiếm hữu và
ghi nhận thông tin trên đường truyền dữ liệu
Mỗi kênh liên lạc hiện đại đều có một loại
thiết bị chuyên dùng tương ứng
- Quan sát màn hình
- Chiếm hữu thông tin trên đường truyền trong
tòa nhà hoặc giữa các tòa nhà
- Kỹ thuật chiếm hữu thông tin điện thoại di
động, tin nhắn, fax,mạng máy tính, kênh
chuyên dụng
5. Thiết bị chuyên dùng để trộm cắp
thông tin qua đường bưu chính
Bí mật tiếp cận và xem trộm thư, cần thiết
có thể ghi lại hoặc làm giả tài liệu.
- Thiết bị chuyên dùng có thể là : thiết bị mở
bao và phục hồi
- Thiết bị đọc qua lớp bảo vệ (quang điện, hóa
chất)
- Con dấu
80
19/09/2013
41
6.Phương tiện kỹ thuật chuyên dùng để bí mật
nghiên cứu đối tượng và tài liệu
- Thiết bị pháp y (phục hồi, lấy mẫu )
- Phát hiện các bằng chứng
- Dấu vân tay
7.Phương tiện kỹ thuật để bí mật xâm nhập và
theo dõi kho xưởng, phương tiện vận tải và
các đối tượng khác
- Thiết bị để cắt và lắp ráp chuyên dùng
- Thiết bị phá khóa bảo vệ
- Thiết bị hỗ trợ vượt qua lớp bảo vệ, tê liệt hệ
thống tín hiệu báo động .
82
19/09/2013
42
8. Thiết bị chuyên dụng để bí mật kiểm tra
chuyển động của các phương tiện vận tải và
các đối tượng khác
Mục tiêu chính là ứng dụng thiết bị dạng này
bí mật gắn vào đối tượng hoặc con người
cần theo dõi nhằn xác định lộ trình hoặc vị
trí
- Định vị vệ tinh
- Định hướng và khoảng cách so với mốc
84
19/09/2013
43
9. Thiết bị chuyên dùng để bí mật tiếp nhận
(hoặc hủy diệt) thông tin từ phương tiện
dùng để lưu trữ, xử lý và truyền tin
- Thiết bị dò và bắt tín hiệu gài vào hệ thống
tính toán, modem nhằm lấy mật khẩu, dữ liệu
- Thiết bị kiểm tra và phân tích mẫu thu được
từ hệ thống điện toán và mạng máy tính
- Thiết bị để copy nhanh thông tin từ đĩa từ
hoặc hủy dữ liệu
86
19/09/2013
44
10.Thiết bị chuyên dùng để ngầm xác định con
người
- Máy phân tích stress, mất tập trung, say xỉn
- Thiết bị theo dõi y sinh, hóa sinh nhân viên
- Thiết bị xác định giọng nói, chữ ký, vân tay
THẢO LUẬN NHÓM
Bạn và em bạn cùng vào Sài gòn đi học, bạn có
trách nhiệm giám sát giúp đỡ em. Gần đây, đi
học về là em vào phòng, cắm đầu vào máy
tính, hay mượn tiền, học hành xa sút Hỏi
không nói.
Muốn biết nguyên nhân nhưng không để cho
em biết, bạn có thể dùng các phương pháp
nào để thu thập thông tin tìm nguyên nhân ?
88
Các file đính kèm theo tài liệu này:
- chuong_1_tong_quan_ve_an_toan_bao_mat_fundamentals_2351.pdf