Bài giảng An toàn và bảo mật thông tin doanh nghiệp - Chương I: Tổng quan

Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 1 Bộ môn CNTT Khoa Hệ thống thông tin Kinh tế 9/10/2014 Bộ môn CNTT 1  Mục đích của môn học  Cung cấp những kiến thức cơ bản về an toàn và bảo mật thông tin cho HTTT doanh nghiệp  Cung cấp thông tin về các nguy cơ tấn công và phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp  Giới thiệu một số ứng dụng của công nghệ trong đảm an toàn và bảo mật thông tin doanh nghiệp 9/10/2014 Bộ môn CNTT 2  Yêu cầu cần đạt được  Nắm vững các kiến thức cơ bản về an toàn và bảo mật thông tin doanh nghiệp  Có kiến thức về các nguy cơ tấn công và và các phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp  Sử dụng được một số ứng dụng đã có trong việc đảm bảo an toàn thông tin doanh nghiệp 9/10/2014 Bộ môn CNTT 3  Môn học gồm 2 tín chỉ (45 tiết) phân phối như sau:  Nội dung lý thuyết và thảo luận 30 tiết (15 buổi)  Thời gian: 11 tuần lý thuyết, 1 kiểm tra và 3 thảo luận  Email: hoint2002@gmail.com  Bài giảng: 9/10/2014 Bộ môn CNTT 4  Chương 1: ▪ Tổng quan về an toàn và bảo mật thông tin doanh nghiệp  Chương 2: ▪ Các hình thức tấn công vào thông tin doanh nghiệp  Chương 3: ▪ Các phương pháp phòng tránh và khắc phục  Chương 4: ▪ Các hệ mã hóa  Chương 5: ▪ Ứng dụng công nghệ trong an toàn và bảo mật thông tin 9/10/2014 Bộ môn CNTT 5  [1] Giáo trình An toàn dữ liệu, Bộ môn CNTT, Đại học Thương Mại, 2007.  [2] Phan Đình Diệu, Lý thuyết mật mã và an toàn thông tin, Đại học Quốc gia Hà Nội, 1999. [3] Willi St lli C t h d N t k am a ngs, ryp ograp y an e wor Security Principles and Practices, Fourth Edition, Prentice Hall, 2005  [4] Man Young Rhee. Internet Security: Cryptographic principles, algorithms and protocols. John Wiley & Sons, 2003. 9/10/2014 Bộ môn CNTT 6 Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 2  1. Khái niệm ▪ An toàn và bảo mật thông tin ▪ Vai trò ATBM trong DN ▪ Các nguy cơ ▪ Phân loại các nguy cơ ▪ Các nguy cơ thực tế của doanh nghiệp Phòng tránh▪ ▪ Khắc phục  2. Mục tiêu và yêu cầu của ATBMTTDN ▪ Mục tiêu ▪ Yêu cầu ▪ Quy trình  3. Mô hình và định hướng ATBMTTDN ▪ Mô hình ▪ Định hướng 9/10/2014 Bộ môn CNTT 7 9/10/2014 Bộ môn CNTT 8 => Thông tin không bị hỏng hóc, không bị sửa đổi và không bị mất mát  Một hệ thống thông tin được coi là an toàn khi thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép Một hệ thố thô ti t à thì á ố ó thể ng ng n an o n c c sự c c xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. 9/10/2014 Bộ môn CNTT 9 9/10/2014 Bộ môn CNTT 10  Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin.  Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng.  Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.  Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần”  Hệ thống được coi là bảo mật (confident) nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định. 9/10/2014 Bộ môn CNTT 11  Yếu tố công nghệ:  Những sản phẩm như Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành  Những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ máy trạm  Yếu tố con người:  Là những người sử dụng máy tính, những người làm việc với thông tin và sử dụng máy tính trong công việc của mình 9/10/2014 Bộ môn CNTT 12 Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 3 9/10/2014 Bộ môn CNTT 13 So sánh 1 số nước: HQ: 62%, Singapore: 68%, 9/10/2014 Bộ môn CNTT 14  Về trang thiết bị:  Gần 70% số CQNN đã sử dụng firewall cứng hoặc mềm  Hầu hết chưa trang bị thiết bị phát hiện và phòng chống thâm nhập IDS, IPS  Hầu hết các CQNN và DNNN đều sử dụng phần mềm diệt virus, nhưng đa số là phần mềm không có bản quyền 9/10/2014 Bộ môn CNTT 15 9/10/2014 Bộ môn CNTT 16 9/10/2014 Bộ môn CNTT 17  Vai trò: - ATBM có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp - Thông tin là tài sản vô giá của các doanh nghiệp. ề ỗ ể ấ ề- Rủi ro v thông tin của m i doanh nghiệp có th gây th t thoát ti n bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp - Rủi ro thông tin doanh nghiệp ảnh hưởng uy tín & sự phát triển của doanh nghiệp nhưng lại là vấn đề rất khó tránh khỏi => ATBM không phải là công việc của riêng người làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp 9/10/2014 Bộ môn CNTT 18 Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 4  Ngẫu nhiên (nguyên nhân khách quan) ▪ Thiên tai, hỏng vật lý, mất điện,  Có chủ định (nguyên nhân chủ quan) ▪ Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có chủ ý, 9/10/2014 Bộ môn CNTT 19 9/10/2014 Bộ môn CNTT 20 9/10/2014 Bộ môn CNTT 21 Từ con người: Tin tặc, phishing, pharming, 9/10/2014 Bộ môn CNTT 22 Người đảm bảo an toàn thông tin phải luôn luôn cập nhật các kiến thức bảo ật ới h hế 9/10/2014 Bộ môn CNTT 23 m m ạn c được các nguy cơ tấn công ngày càng gia tăng như ngày nay!  a) Nguy cơ từ bên trong  Nguy cơ do yếu tố kỹ thuật (thiết bị mạng, máy chủ, hệ thống thông tin.., )  Nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành(vòng đời)  Nguy cơ trong quy trình, chính sách an ninh bảo mật  Nguy cơ do yếu tố người: vận hành, đạo đức nghề nghiệp 9/10/2014 Bộ môn CNTT 24 Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 5  Hơn 71% các tổ chức cho phép nhân viên dùng thiết bị di động trong khi làm việc  Trên thế giới có hơn 2 tỷ chiếc smartphone đang hoạt động T đó ó 68 8% dù A d id 18 8% dù rong c , ng n ro , . ng Apple, 4,5% dùng RIM và 5,8% dùng OS khác trong khi đó Malware tấn công vào OS thì có đến 79% tấn công vào Android, 19% vào Symbian và 2% vào các OS khác  Hơn 350.000 mã độc tấn công vào OS trong 12 phút, 1.000.000 mã độc tấn công OS trong 13’ 9/10/2014 Bộ môn CNTT 25 9/10/2014 Bộ môn CNTT 26 9/10/2014 Bộ môn CNTT 27 9/10/2014 Bộ môn CNTT 28 9/10/2014 Bộ môn CNTT 29 9/10/2014 Bộ môn CNTT 30 Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 6  B) Nguy cơ từ môi trường bên ngoài - Môi trường: hạ tầng năng lượng, truyền thông, thảm hoạ từ thiên nhiên hoặc con người - Các doanh nghiệp càng lớn càng là mục tiêu của nhiều đối tượng tấn công từ trong nước và quốc tế. 9/10/2014 Bộ môn CNTT 31  Phòng tránh là cách thức sử dụng các phương pháp, phương tiện, kỹ thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải  Phân loại:  Phòng tránh từ bên trong ▪ Yếu tố con người, hệ mã hóa, phần cứng, phần mềm,  Phòng tránh từ bên ngoài ▪ Yếu tố con người, mã độc, Internet, 9/10/2014 Bộ môn CNTT 32  Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuật nhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó  Phân loại:  Phục hồi dữ liệu: ▪ Backup, Recovery data,  Phục hồi ứng dụng: ▪ Backup, phần cứng, phần mềm chuyên dụng, 9/10/2014 Bộ môn CNTT 33  3 Mục tiêu cơ bản  Phát hiện các lỗ hổng của hệ thống thông tin, dự đoán trước những nguy cơ tấn công ấ Ngăn chặn những hành động gây m t an toàn thông tin từ bên trong cũng như bên ngoài  Phục hồi tổn thất khi hệ thống thông tin bị tấn công 9/10/2014 Bộ môn CNTT 34  4 Yêu cầu  Tính bí mật (Secrecy) ▪ Đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị xâm phạm bởi những người không được phép  Tính toàn vẹn (Integrity): ▪ Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu.  Tính sẵn sàng (Availability): ▪ Dữ liệu phải luôn trong trạng thái sẵn sàng.  Tính tin cậy (Confidentiality) ▪ Thông tin người dùng nhận được là đúng 9/10/2014 Bộ môn CNTT 35 Tính tin cẩn 9/10/2014 Bộ môn CNTT 36 Bảo mật Tính sẵn sàng Tính toàn vẹn Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 7 ‐ Doanh nghiệp phải đảm bảo  đầy đủ các yếu tố của mô  hình C‐I‐A: Confidentiality,  Integrity, Availability. ‐ Xây dựng trung tâm dự  phòng thông tin trong tổng  thể an ninh hệ thống phần  nào đảm bảo tính liên tục  (Availability)  Xác định Đánh giá 9/10/2014 Bộ môn CNTT 38 Giám sát rủi ro Lựa chọn giải pháp  Xác định  Bảo vệ cho ai? Bảo vệ cái gì? Bảo vệ như thế nào? => Rất quan trọng  Đánh giá Đ á biệ há ? Đá h iá hiệ ă hi hí độ ưa ra c c n p p n g u n ng, c p , an toàn,  Lựa chọn giải pháp  Từ bước đánh giá lựa chọn giải pháp tối ưu có thể  Giám sát rủi ro  Luôn luôn giám sát hoạt động => Xác định nguy cơ => => => 9/10/2014 Bộ môn CNTT 39 9/10/2014 Bộ môn CNTT 41 9/10/2014 Bộ môn CNTT 42 Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 8  A. Mô hình đảm bảo an toàn trên máy đầu cuối MỨC MẠNGMỨC VẬT LÝ 9/10/2014 Bộ môn CNTT 43 TÀI NGUYÊN MỨC DỮ LiỆU MỨC HỆ ĐiỀU HÀNH  Chống nguy cơ mất mát dữ liệu qua đường vật lý  Đánh giá độ chịu đựng của hệ thống dữ liệu trước những sự cố bất ngờ.  Quản lý các truy nhập mức vật lý vào phần cứng lưu trữ  Quản lý hoạt động của các thiết bị cần bảo vệ và thiết bị bảovệ để đảm bảo sự hoạt động của dữ liệu một cách ổn đinh. 9/10/2014 Bộ môn CNTT 44  Tạo và phân quyền người dùng  Kiểm soát các chương trình đang được thực thi trong máy  Các file log dùng để theo dõi hoạt động của hệ thống  Các chức năng bảo mật được tích hợp sẵn (trình diệt Virus, tường lửa) 9/10/2014 Bộ môn CNTT 45  Sử dụng các thiết bị phần cứng chuyên dụng để ngăn chặn sự xâm nhập trái phép từ Internet  Dùng các cơ chế quản lý và phân quyền người sử dụng  Sử dụng các giao thức bảo mật trên mạng  Các phần mềm chống xâm nhập trái phép cũng như dò tìm Virus 9/10/2014 Bộ môn CNTT 46  Mã hóa dữ liệu:  Dữ liệu được lưu trữ dưới dạng bản mã.  Phân quyền người dùng:  Phân ra nhiều mức người sử dụng khác nhau .  Thiết lập các cơ chế sao lưu dữ liệu  Thiết lập cơ chế backup, lưu trên nhiều Server  Sử dụng các chương trình bảo mật thư mụcvà file  Dùng NTFS, hệ điều hành LINUX, .. 9/10/2014 Bộ môn CNTT 47 nChuyển đổi Chuyển đổin Bên thứ ba đáng tin Bên nhận 9/10/2014 Bộ môn CNTT 48 Th ôn g b áo an to àn Thông tin bí mật liên quan đến an toàn Th ôn g b áo Th ôn g b áo Thông tin bí mật liên quan đến an toàn Th ôn g b áo an to àn Đối thủ Kênh thông tin Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 9 1. Nâng cao nhận thức về ATBM TT cho doanh nghiệp 2. Ban hành các chính sách ATBM 3. Tổ chức thực hiện & kiểm tra, kiểm soát 49 9/10/2014 Bộ môn CNTT 50 9/10/2014 Bộ môn CNTT 51 9/10/2014 Bộ môn CNTT 52 9/10/2014 Bộ môn CNTT 53  1.ATTTs là một trụ cột để phát triển CNTT, CPĐT  Một trong 5 trụ cột (hạ tầng, công nghiệp, ứng dụng, nguồn nhân lực, ATTTs)  Điều kiện tiên quyết để PT ƯD CNTT  2.ATTTs là một bộ phận của QPANQG  Địa bàn hoạt động do thám, tội phạm, khủng bố, chiến tranh Tác hại lớn đến cộng đồng ảnh hưởng đến KT ANQG TTATXH , , ,  Bảo đảm an toàn thông tin liên lạc, giữ gìn bí mật quốc gia  Giữ gìn bí mật kinh tế, đảm báo phát triển bền vững  Bảo vệ chủ quyền QG trọng không gian số  3.ATTTs là một ngành kinh tế công nghiệp, dịch vụ công nghệ cao  Giá trị kinh tế cao, tăng trưởng nhanh (28%)  Đầu tư đắt tiền, đòi hỏi tính hiệu quả cao  Đòi hỏi trình độ cao về phát triển KHCN và nhân lực 9/10/2014 Bộ môn CNTT 54 Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 10  4.ATTTs là một lĩnh vực đặc thù ưu tiên sản phẩm, tổ chức nội địa  Kế thừa tri thức tinh hoa quốc tế, phát huy nội lực  Dịch vụ, hệ thống, công cụ, con người đòi hổi độ tin cậy cao  5.ATTTs là một lĩnh vực nóng trong đối ngoại  Xu hướng đồng thuận, hợp tác >< đấu tranh, do thám mạng  Công ước Châu Âu về chống tội phạm mạng  Chiến lược quốc tế về không gian mạng của Mỹ, Anh,  Hội thảo quốc tế về không gian mạng: Đa số các nước có quan điểm đối thoại, xây dựng các quy tắc ứng xử, đồng thuận  Quan điểm “tự do internet” nhưng phải đảm bảo an ninh quốc gia và an toàn cho người dân  6. ATTTs là sự nghiệp của toàn xã hội  CQ QLNN, thực thi & BV PL là nòng cốt + LL KHCN + cộng đồng + Xã hội hóa + nâng cao thường xuyên nhận thức 9/10/2014 Bộ môn CNTT 55 - ATBM có vai trò đối với phát triển bền vững của doanh nghiệp - ATBM không phải là công việc của riêng người làm CNTT trong doanh nghiệp mà là của tất cả mọi thành viên trong tổ chức - Doanh nghiệp cần có chính sách đầu tư thích đáng cho ATBM TTDN 56 • Rà soát, chỉnh sửa và hoàn thiện các quy định nghiệp vụ theo hướng ứng dụng công nghệ cao • Tiếp tục hoàn thiện các quy định về an ninh, bảo mật hệ thống thông tin trong các đơn vị sản xuất kinh doanh • Từng bước xây dựng các các tiêu chuẩn chung đối với một hệ thống thông tin trong các đơn vị sản xuất kinh doanh • Xây dựng quy chế xử lý rủi ro ứng dụng CNTT. 57 • Thực hiện lộ trình áp dụng các tiêu chuẩn ATBM • Từng đơn vị cụ thể hoá thành chính sách ATBM riêng & tổ chức thực hiện • Các đơn vị thường xuyên tổ chức kiểm tra,đánh giá về mức độ ATBM của doanh nghiệp mình nhằm phát hiện kịp thời và tăng cường mức độ đảm bảo ATTT cho doanh nghiệp 58 9/10/2014 Bộ môn CNTT 59 9/10/2014 Bộ môn CNTT 60 Bài giảng An toàn và bảo mật thông tin doanh nghiệp Nguyễn Thị Hội - Bộ môn CNTT 11 9/10/2014 Bộ môn CNTT 61 9/10/2014 Bộ môn CNTT 62 9/10/2014 Bộ môn CNTT 63  Trình bày các khái niệm về an toàn thông tin và bảo mật thông tin  Vai trò của ATBM TT trong DN  Các nguy cơ tấn công vào HTTT của DN  Các yêu cầu cũng như mục tiêu của việc đảm bảo an toàn và bảo mật thông tin  Quy trình và mô hình đảm bảo ATBM TT  Định hướng để tăng cường ATBMTT trong DN 9/10/2014 Bộ môn CNTT 64