Bài giảng An toàn và bảo mật thông tin doanh nghiệp - Chương I: Tổng quan
Kết thúc chương I
Trình bày các khái niệm về an toàn thông tin và bảo mật thông tin
Vai trò của ATBM TT trong DN
Các nguy cơ tấn công vào HTTT của DN
Các yêu cầu cũng như mục tiêu của việc đảm bảo an toàn và bảo mật thông tin
Quy trình và mô hình đảm bảo ATBM TT
Định hướng để tăng cường ATBMTT trong DN
11 trang |
Chia sẻ: vutrong32 | Lượt xem: 1206 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Bài giảng An toàn và bảo mật thông tin doanh nghiệp - Chương I: Tổng quan, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 1
Bộ môn CNTT
Khoa Hệ thống thông tin Kinh tế
9/10/2014 Bộ môn CNTT 1
Mục đích của môn học
Cung cấp những kiến thức cơ bản về an toàn và
bảo mật thông tin cho HTTT doanh nghiệp
Cung cấp thông tin về các nguy cơ tấn công và
phương pháp đảm bảo an toàn cho hệ thống
thông tin doanh nghiệp
Giới thiệu một số ứng dụng của công nghệ trong
đảm an toàn và bảo mật thông tin doanh nghiệp
9/10/2014 Bộ môn CNTT 2
Yêu cầu cần đạt được
Nắm vững các kiến thức cơ bản về an toàn và
bảo mật thông tin doanh nghiệp
Có kiến thức về các nguy cơ tấn công và và các
phương pháp đảm bảo an toàn cho hệ thống
thông tin doanh nghiệp
Sử dụng được một số ứng dụng đã có trong việc
đảm bảo an toàn thông tin doanh nghiệp
9/10/2014 Bộ môn CNTT 3
Môn học gồm 2 tín chỉ (45 tiết) phân phối như
sau:
Nội dung lý thuyết và thảo luận 30 tiết (15 buổi)
Thời gian: 11 tuần lý thuyết, 1 kiểm tra và 3 thảo
luận
Email: hoint2002@gmail.com
Bài giảng:
9/10/2014 Bộ môn CNTT 4
Chương 1:
▪ Tổng quan về an toàn và bảo mật thông tin doanh nghiệp
Chương 2:
▪ Các hình thức tấn công vào thông tin doanh nghiệp
Chương 3:
▪ Các phương pháp phòng tránh và khắc phục
Chương 4:
▪ Các hệ mã hóa
Chương 5:
▪ Ứng dụng công nghệ trong an toàn và bảo mật thông tin
9/10/2014 Bộ môn CNTT 5
[1] Giáo trình An toàn dữ liệu, Bộ môn CNTT, Đại
học Thương Mại, 2007.
[2] Phan Đình Diệu, Lý thuyết mật mã và an toàn
thông tin, Đại học Quốc gia Hà Nội, 1999.
[3] Willi St lli C t h d N t k am a ngs, ryp ograp y an e wor
Security Principles and Practices, Fourth Edition,
Prentice Hall, 2005
[4] Man Young Rhee. Internet Security:
Cryptographic principles, algorithms and protocols.
John Wiley & Sons, 2003.
9/10/2014 Bộ môn CNTT 6
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 2
1. Khái niệm
▪ An toàn và bảo mật thông tin
▪ Vai trò ATBM trong DN
▪ Các nguy cơ
▪ Phân loại các nguy cơ
▪ Các nguy cơ thực tế của doanh nghiệp
Phòng tránh▪
▪ Khắc phục
2. Mục tiêu và yêu cầu của ATBMTTDN
▪ Mục tiêu
▪ Yêu cầu
▪ Quy trình
3. Mô hình và định hướng ATBMTTDN
▪ Mô hình
▪ Định hướng
9/10/2014 Bộ môn CNTT 7 9/10/2014 Bộ môn CNTT 8
=> Thông tin không bị hỏng hóc, không bị sửa đổi và
không bị mất mát
Một hệ thống thông tin được coi là an toàn khi thông
tin không bị làm hỏng hóc, không bị sửa đổi, thay
đổi, sao chép hoặc xóa bỏ bởi người không được
phép
Một hệ thố thô ti t à thì á ố ó thể ng ng n an o n c c sự c c
xảy ra không thể làm cho hoạt động chủ yếu của nó
ngừng hẳn và chúng sẽ được khắc phục kịp thời
mà không gây thiệt hại đến mức độ nguy hiểm cho
chủ sở hữu.
9/10/2014 Bộ môn CNTT 9 9/10/2014 Bộ môn CNTT 10
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn
và tính sẵn sàng của thông tin.
Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi
những người được cấp quyền tương ứng.
Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của
thông tin và thông tin chỉ được thay đổi bởi những người
được cấp quyền.
Tính sẵn sàng của thông tin là những người được quyền
sử dụng có thể truy xuất thông tin khi họ cần”
Hệ thống được coi là bảo mật (confident) nếu tính
riêng tư của nội dung thông tin được đảm bảo theo
đúng các tiêu chí trong một thời gian xác định.
9/10/2014 Bộ môn CNTT 11
Yếu tố công nghệ:
Những sản phẩm như Firewall, phần mềm phòng
chống virus, giải pháp mật mã, sản phẩm mạng,
hệ điều hành
Những ứng dụng như: trình duyệt Internet và
phần mềm nhận Email từ máy trạm
Yếu tố con người:
Là những người sử dụng máy tính, những người
làm việc với thông tin và sử dụng máy tính trong
công việc của mình
9/10/2014 Bộ môn CNTT 12
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 3
9/10/2014 Bộ môn CNTT 13
So sánh 1 số nước: HQ: 62%, Singapore: 68%,
9/10/2014 Bộ môn CNTT 14
Về trang thiết bị:
Gần 70% số CQNN đã sử dụng firewall cứng
hoặc mềm
Hầu hết chưa trang bị thiết bị phát hiện và phòng
chống thâm nhập IDS, IPS
Hầu hết các CQNN và DNNN đều sử dụng phần
mềm diệt virus, nhưng đa số là phần mềm không
có bản quyền
9/10/2014 Bộ môn CNTT 15 9/10/2014 Bộ môn CNTT 16
9/10/2014 Bộ môn CNTT 17
Vai trò:
- ATBM có vai trò quan trọng đối với sự phát triển bền vững
của các doanh nghiệp
- Thông tin là tài sản vô giá của các doanh nghiệp.
ề ỗ ể ấ ề- Rủi ro v thông tin của m i doanh nghiệp có th gây th t thoát ti n bạc,
tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất
của doanh nghiệp
- Rủi ro thông tin doanh nghiệp ảnh hưởng uy tín & sự phát triển của
doanh nghiệp nhưng lại là vấn đề rất khó tránh khỏi
=> ATBM không phải là công việc của riêng người làm
CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh
nghiệp
9/10/2014 Bộ môn CNTT 18
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 4
Ngẫu nhiên (nguyên nhân khách quan)
▪ Thiên tai, hỏng vật lý, mất điện,
Có chủ định (nguyên nhân chủ quan)
▪ Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp
có chủ ý,
9/10/2014 Bộ môn CNTT 19 9/10/2014 Bộ môn CNTT 20
9/10/2014 Bộ môn CNTT 21
Từ con người:
Tin tặc, phishing, pharming,
9/10/2014 Bộ môn CNTT 22
Người đảm bảo an
toàn thông tin phải
luôn luôn cập nhật
các kiến thức bảo
ật ới h hế
9/10/2014 Bộ môn CNTT 23
m m ạn c
được các nguy cơ
tấn công ngày càng
gia tăng như ngày
nay!
a) Nguy cơ từ bên trong
Nguy cơ do yếu tố kỹ thuật (thiết bị mạng, máy chủ, hệ
thống thông tin.., )
Nguy cơ do lập kế hoạch, triển khai, thực thi, vận
hành(vòng đời)
Nguy cơ trong quy trình, chính sách an ninh bảo mật
Nguy cơ do yếu tố người: vận hành, đạo đức nghề
nghiệp
9/10/2014 Bộ môn CNTT 24
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 5
Hơn 71% các tổ chức cho phép nhân viên dùng
thiết bị di động trong khi làm việc
Trên thế giới có hơn 2 tỷ chiếc smartphone đang
hoạt động
T đó ó 68 8% dù A d id 18 8% dù rong c , ng n ro , . ng
Apple, 4,5% dùng RIM và 5,8% dùng OS khác trong
khi đó Malware tấn công vào OS thì có đến 79% tấn
công vào Android, 19% vào Symbian và 2% vào các
OS khác
Hơn 350.000 mã độc tấn công vào OS trong 12
phút, 1.000.000 mã độc tấn công OS trong 13’
9/10/2014 Bộ môn CNTT 25 9/10/2014 Bộ môn CNTT 26
9/10/2014 Bộ môn CNTT 27 9/10/2014 Bộ môn CNTT 28
9/10/2014 Bộ môn CNTT 29 9/10/2014 Bộ môn CNTT 30
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 6
B) Nguy cơ từ môi trường bên ngoài
- Môi trường: hạ tầng năng lượng, truyền thông, thảm
hoạ từ thiên nhiên hoặc con người
- Các doanh nghiệp càng lớn càng là mục tiêu của
nhiều đối tượng tấn công từ trong nước và quốc tế.
9/10/2014 Bộ môn CNTT 31
Phòng tránh là cách thức sử dụng các
phương pháp, phương tiện, kỹ thuật nhằm
ngăn ngừa và giảm bớt các rủi ro mà hệ
thống gặp phải
Phân loại:
Phòng tránh từ bên trong
▪ Yếu tố con người, hệ mã hóa, phần cứng, phần mềm,
Phòng tránh từ bên ngoài
▪ Yếu tố con người, mã độc, Internet,
9/10/2014 Bộ môn CNTT 32
Khắc phục hậu quả là sử dụng các phương
pháp, phương tiện và kỹ thuật nhằm phục hồi
lại tài nguyên hệ thống và các hoạt động chủ
yếu của nó
Phân loại:
Phục hồi dữ liệu:
▪ Backup, Recovery data,
Phục hồi ứng dụng:
▪ Backup, phần cứng, phần mềm chuyên dụng,
9/10/2014 Bộ môn CNTT 33
3 Mục tiêu cơ bản
Phát hiện các lỗ hổng của hệ thống thông
tin, dự đoán trước những nguy cơ tấn công
ấ Ngăn chặn những hành động gây m t an
toàn thông tin từ bên trong cũng như bên
ngoài
Phục hồi tổn thất khi hệ thống thông tin bị
tấn công
9/10/2014 Bộ môn CNTT 34
4 Yêu cầu
Tính bí mật (Secrecy)
▪ Đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị
xâm phạm bởi những người không được phép
Tính toàn vẹn (Integrity):
▪ Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở
hữu.
Tính sẵn sàng (Availability):
▪ Dữ liệu phải luôn trong trạng thái sẵn sàng.
Tính tin cậy (Confidentiality)
▪ Thông tin người dùng nhận được là đúng
9/10/2014 Bộ môn CNTT 35
Tính tin cẩn
9/10/2014 Bộ môn CNTT 36
Bảo mật
Tính sẵn sàng
Tính toàn vẹn
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 7
‐ Doanh nghiệp phải đảm bảo
đầy đủ các yếu tố của mô
hình C‐I‐A: Confidentiality,
Integrity, Availability.
‐ Xây dựng trung tâm dự
phòng thông tin trong tổng
thể an ninh hệ thống phần
nào đảm bảo tính liên tục
(Availability)
Xác định
Đánh giá
9/10/2014 Bộ môn CNTT 38
Giám sát
rủi ro
Lựa chọn
giải pháp
Xác định
Bảo vệ cho ai? Bảo vệ cái gì? Bảo vệ như thế nào? =>
Rất quan trọng
Đánh giá
Đ á biệ há ? Đá h iá hiệ ă hi hí độ ưa ra c c n p p n g u n ng, c p , an
toàn,
Lựa chọn giải pháp
Từ bước đánh giá lựa chọn giải pháp tối ưu có thể
Giám sát rủi ro
Luôn luôn giám sát hoạt động => Xác định nguy cơ =>
=> =>
9/10/2014 Bộ môn CNTT 39
9/10/2014 Bộ môn CNTT 41 9/10/2014 Bộ môn CNTT 42
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 8
A. Mô hình đảm bảo an toàn trên máy đầu cuối
MỨC MẠNGMỨC VẬT LÝ
9/10/2014 Bộ môn CNTT 43
TÀI NGUYÊN
MỨC DỮ LiỆU MỨC HỆ ĐiỀU HÀNH
Chống nguy cơ mất mát dữ liệu qua đường vật lý
Đánh giá độ chịu đựng của hệ thống dữ liệu
trước những sự cố bất ngờ.
Quản lý các truy nhập mức vật lý vào phần cứng
lưu trữ
Quản lý hoạt động của các thiết bị cần bảo vệ và
thiết bị bảovệ để đảm bảo sự hoạt động của dữ
liệu một cách ổn đinh.
9/10/2014 Bộ môn CNTT 44
Tạo và phân quyền người dùng
Kiểm soát các chương trình đang được thực
thi trong máy
Các file log dùng để theo dõi hoạt động của
hệ thống
Các chức năng bảo mật được tích hợp sẵn
(trình diệt Virus, tường lửa)
9/10/2014 Bộ môn CNTT 45
Sử dụng các thiết bị phần cứng chuyên dụng
để ngăn chặn sự xâm nhập trái phép từ
Internet
Dùng các cơ chế quản lý và phân quyền
người sử dụng
Sử dụng các giao thức bảo mật trên mạng
Các phần mềm chống xâm nhập trái phép
cũng như dò tìm Virus
9/10/2014 Bộ môn CNTT 46
Mã hóa dữ liệu:
Dữ liệu được lưu trữ dưới dạng bản mã.
Phân quyền người dùng:
Phân ra nhiều mức người sử dụng khác nhau .
Thiết lập các cơ chế sao lưu dữ liệu
Thiết lập cơ chế backup, lưu trên nhiều Server
Sử dụng các chương trình bảo mật thư
mụcvà file
Dùng NTFS, hệ điều hành LINUX, ..
9/10/2014 Bộ môn CNTT 47
nChuyển đổi Chuyển đổin
Bên thứ ba đáng tin
Bên nhận
9/10/2014 Bộ môn CNTT 48
Th
ôn
g b
áo
an
to
àn
Thông tin
bí mật
liên quan
đến an toàn
Th
ôn
g b
áo
Th
ôn
g b
áo
Thông tin
bí mật
liên quan
đến an toàn
Th
ôn
g b
áo
an
to
àn
Đối thủ
Kênh
thông tin
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 9
1. Nâng cao nhận thức về ATBM TT cho
doanh nghiệp
2. Ban hành các chính sách ATBM
3. Tổ chức thực hiện & kiểm tra, kiểm soát
49 9/10/2014 Bộ môn CNTT 50
9/10/2014 Bộ môn CNTT 51 9/10/2014 Bộ môn CNTT 52
9/10/2014 Bộ môn CNTT 53
1.ATTTs là một trụ cột để phát triển CNTT, CPĐT
Một trong 5 trụ cột (hạ tầng, công nghiệp, ứng dụng, nguồn nhân lực,
ATTTs)
Điều kiện tiên quyết để PT ƯD CNTT
2.ATTTs là một bộ phận của QPANQG
Địa bàn hoạt động do thám, tội phạm, khủng bố, chiến tranh
Tác hại lớn đến cộng đồng ảnh hưởng đến KT ANQG TTATXH , , ,
Bảo đảm an toàn thông tin liên lạc, giữ gìn bí mật quốc gia
Giữ gìn bí mật kinh tế, đảm báo phát triển bền vững
Bảo vệ chủ quyền QG trọng không gian số
3.ATTTs là một ngành kinh tế công nghiệp, dịch vụ công nghệ cao
Giá trị kinh tế cao, tăng trưởng nhanh (28%)
Đầu tư đắt tiền, đòi hỏi tính hiệu quả cao
Đòi hỏi trình độ cao về phát triển KHCN và nhân lực
9/10/2014 Bộ môn CNTT 54
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 10
4.ATTTs là một lĩnh vực đặc thù ưu tiên sản phẩm, tổ chức nội địa
Kế thừa tri thức tinh hoa quốc tế, phát huy nội lực
Dịch vụ, hệ thống, công cụ, con người đòi hổi độ tin cậy cao
5.ATTTs là một lĩnh vực nóng trong đối ngoại
Xu hướng đồng thuận, hợp tác >< đấu tranh, do thám mạng
Công ước Châu Âu về chống tội phạm mạng
Chiến lược quốc tế về không gian mạng của Mỹ, Anh,
Hội thảo quốc tế về không gian mạng: Đa số các nước có quan điểm đối thoại,
xây dựng các quy tắc ứng xử, đồng thuận
Quan điểm “tự do internet” nhưng phải đảm bảo an ninh quốc gia và an toàn
cho người dân
6. ATTTs là sự nghiệp của toàn xã hội
CQ QLNN, thực thi & BV PL là nòng cốt + LL KHCN + cộng đồng + Xã hội
hóa + nâng cao thường xuyên nhận thức
9/10/2014 Bộ môn CNTT 55
- ATBM có vai trò đối với phát triển bền vững của
doanh nghiệp
- ATBM không phải là công việc của riêng người làm
CNTT trong doanh nghiệp mà là của tất cả mọi thành
viên trong tổ chức
- Doanh nghiệp cần có chính sách đầu tư thích đáng
cho ATBM TTDN
56
• Rà soát, chỉnh sửa và hoàn thiện các quy định
nghiệp vụ theo hướng ứng dụng công nghệ cao
• Tiếp tục hoàn thiện các quy định về an ninh, bảo
mật hệ thống thông tin trong các đơn vị sản xuất kinh
doanh
• Từng bước xây dựng các các tiêu chuẩn chung đối
với một hệ thống thông tin trong các đơn vị sản xuất
kinh doanh
• Xây dựng quy chế xử lý rủi ro ứng dụng CNTT.
57
• Thực hiện lộ trình áp dụng các tiêu chuẩn ATBM
• Từng đơn vị cụ thể hoá thành chính sách ATBM
riêng & tổ chức thực hiện
• Các đơn vị thường xuyên tổ chức kiểm tra,đánh giá
về mức độ ATBM của doanh nghiệp mình nhằm phát
hiện kịp thời và tăng cường mức độ đảm bảo ATTT
cho doanh nghiệp
58
9/10/2014 Bộ môn CNTT 59 9/10/2014 Bộ môn CNTT 60
Bài giảng An toàn và bảo mật thông tin
doanh nghiệp
Nguyễn Thị Hội - Bộ môn CNTT 11
9/10/2014 Bộ môn CNTT 61 9/10/2014 Bộ môn CNTT 62
9/10/2014 Bộ môn CNTT 63
Trình bày các khái niệm về an toàn thông tin
và bảo mật thông tin
Vai trò của ATBM TT trong DN
Các nguy cơ tấn công vào HTTT của DN
Các yêu cầu cũng như mục tiêu của việc đảm
bảo an toàn và bảo mật thông tin
Quy trình và mô hình đảm bảo ATBM TT
Định hướng để tăng cường ATBMTT trong
DN
9/10/2014 Bộ môn CNTT 64
Các file đính kèm theo tài liệu này:
- atbmttdn_chgi_tongquan_08_2014_compatibility_mode_7862.pdf