Professional Documents
Culture Documents
ChƯƠng 2 An ToÀn ThÔng Tin
ChƯƠng 2 An ToÀn ThÔng Tin
Nguyên vẹn
Bảo mật
An toàn thông
tin
Nguy cơ
Lớp ứng dụng
Kiểm soát truy nhập
Phá hủy
Lớp ứng dụng Chứng thực
Lớp dịch vụ Sửa đổi
Chống chối bỏ
Cắt bỏ
Lớp hạ tầng
Bảo mật số liệu
Bóc, tiết lộ
Mức người sử dụng
An toàn luồng tin Gián đoạn
Mức kiểm soát
Khả dụng
Riêng tư
Hoạt động của các hạ tầng cơ sở trọng yếu lại dựa vào
mạng hạ tầng công nghệ thông tin mà người ta thường
gọi là không gian mạng (Cyberspace).
Đó chính là hệ thống thần kinh - hệ thống điều khiển bao
gồm hàng trăm ngàn máy tính, máy chủ, chuyển mạch,
định tuyến, cáp quang được kết nối với nhau, nó cho
phép các hạ tầng cơ sở trọng yếu này hoạt động. An toàn
cho hệ thống thần kinh này gồm cả hai phần: phần hữu
hình gồm các máy tính, máy chủ, định tuyến,…cáp
truyền dẫn và phần vô hình sẽ là các phần mềm và các
gói tin được lưu giữ, truyền đi trong hệ thống thần kinh
này mà chúng ta gọi là an toàn thông tin mạng.
Chính phủ
Nhà nước
Doanh nghiệp
Quốc phòng
Sâu MyDoom 1/2004 100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ
USD
Năm Số virus mới xuất hiện Tỷ lệ máy tính bị nhiễm virus (%)
- DDOS
Toàn cầu - Tấn công hạ tầng trọng
yếu
- Nguy cơ rộng
Lĩnh vực
- Nguy cơ Warhol
Khu vực - Tấn công tín dụng quốc
gia
- Sâu
Máy tính - DOS
riêng lẻ
- Tấn công tín
dụng
1990s 2000 2002 2004 Thời gian
Loại III
Đối phó nhân công: bất khả thi
Giây Tự động đối phó: hy vọng Nguy cơ tia
Khóa tiên tiến: có thể chớp
Nguy cơ
Phút Warhol
Loại II
Đối phó nhân công: khó/bất khả thi
Tự động đối phó: có thể
Nguy cơ
Giờ diện rông
Loại I
Đối phó nhân công: có thể
Ngày Sâu E-
mail
Vi rút
Vi rút File Macro
Tuần,
tháng
Đầu 1990s Giữa 1990s Cuối 1990s 2000 2003 Thời gian
3. Tâm lý xã hội:
Các phương tiện truyền thông như TV, Radio.
Các bệnh viện.
Hệ thống luật, kiểm soát dân sự.
Toàn cầu
5 vấn đề Thương khẩu QG
Hạ tầng cơ sở
Doanh nghiệp
Người sử
dụng
1. Chiến lược
Năng lực an toàn thông tin là vấn đề cốt lõi
cần xây dựng đơn vị.
Dựa vào bên thứ 3 cho tất cả hoặc phần nào
đó.
Cần một thời gian ngắn để bên thứ 3 giúp
cải thiện chương trình sau đó chuyển giao
công nghệ cho cán lược
1. Chiến bộ.
2. Hợp phần
3. Quản lý
2. Hợp phần
Quản lý an toàn
Cán bộ kỹ thuật
Kiểm soát
Quản lý an toàn
- Lãnh đạo an toàn thông tin hiểu biết rộng:
+ An toàn thông tin
+ Hoạt động của đơn vị
- Nhà quản lý an toàn thông tin cần:
+ Chứng chỉ kỹ năng attt (CISSP)
+ Chứng chỉ quản lý attt (CISM)
Cán bộ kỹ thuật
Cần có: + Kỹ năng thích hợp theo lĩnh vực
+ SysAdmin
+ Audit
+ Network Security
Kiểm soát
Đảm bảo cho chương trình hoạt động phù hợp
với chính sách đã đề ra:
+ Có vai trò rất quan trọng
+ Phải hiểu về chương trình attt
+ Có kinh nghiệm
+ Có chứng chỉ kiểm soát hệ thống thông
tin (CISA)
3. Quản lý
CIO
ATTT
Nhận thức
AT mạng AT Host AT ứng dụng
về AT
Chống chối bỏ
Lớp dịch vụ Sửa đổi
Bảo mật số liệu
Cắt bỏ
An toàn luồng tin
Lớp hạ tầng
Nguyên vẹn số liệu Bóc, tiết lộ
Mức người sử dụng
Khả dụng Gián đoạn
Mức kiểm soát
Riêng tư
Mức quản lý Tấn công
Trực tiếp xử lý
Chỉ đạo Chỉ đạo
Bộ Quốc phòng Hàn Quốc Các cơ quan của Chính Bộ Thông tin Hàn Quốc
phủ
Cục An toàn mạng quân Cục An toàn thông tin
sự
Cơ quan an toàn Trung tâm VNCERT Ban Cơ yếu Tổng cục An Tổng cục
thông tin ninh Cảnh sát
1. Lên kế hoạch
1. Lên kế hoạch
2. Hợp phần
3. Quản trị
Hướng dẫn chung
phản ánh triết lý của
Chính đơn vị về attt
sách
2. Hợp phần
- Quản trị tài khoản
+ Hệ thống quản lý thông tin nguồn nhân lực
(HRIS).
+ Cán bộ trong biên chế, ngoài biên chế
+ Độ dài từ khóa tối thiểu 8 ký tự
+ 90 ngày lại thay đổi từ khóa
+ Nhận thức về attt
Internet
1. Chiến lược Extranet 1. Chiến lược
-Limited Access
-Public & Partner
2. Hợp phần
Intranet 3. Quản lý
-Broad Employee Access
- File & Print sharing
Remote employee
access via VPN + 2nd
factor of authentication
Customer/Part
ner access via
SSL
Phòng vệ sâu
2. Hợp phần
Management
& Reporting
Content Filtering
Intrusion Detection
Vulnerability Management
Anti-Virus
AAA
3. Quản lý
-Quét và điều trị
-Rà soát độc lập chương trình ATTT
-Cập nhật chương trình chống vi rút
-Chương trình kiểm soát: kiểm soát
được sự cố/tháng
““AN
AN TOÀN
TOÀN BẢO
BẢO MẬT
MẬT THÔNG
THÔNG
TIN
TIN LÀ
LÀ MỘT
MỘT QUY
QUY TRÌNH
TRÌNH
(PROCESS)
(PROCESS) ,,
KHÔNG
KHÔNG CHỈ
CHỈ LÀ
LÀ CÔNG
CÔNG CỤ
CỤ
(TOOLS)”
(TOOLS)”
55
AN TOÀN THÔNG TIN
AN TOÀN THÔNG TIN - Khả năng bảo vệ của môi trường thông tin
kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển nó
vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia.
CÁC MÔ HÌNH : E - COMMERCE;E - BUSINESS;
E - GOVERNMENT …
Chỉ có thể tồn tại trên một môi trường thông tin an toàn và tin cậy.
56
AN TOÀN THÔNG TIN
QUY TRÌNH
QUY TRÌNH
57
QUY TRÌNH THIẾT LẬP HỆ THỐNG ATTT
58
ĐÁNH GIÁ THỰC TRẠNG HỆ THỐNG THÔNG TIN
CỦA CÁC TỔ CHỨC, CƠ QUAN
Khảo sát phương tiện thông tin của khách hàng (Nghiên
cứu hệ thống thông tin. Nghiên cứu luồng thông tin. Phân
tích công nghệ xử lý thông tin. Tình trạng phương tiện kiểm
tra an toàn thông tin của khách hàng)
Đánh giá hiểm hoạ (Xác định mức độ an toàn tài nguyên
thông tin. Xác định hiểm hoạ. Phân tích phương tiện bảo vệ.
Đánh giá các yếu điểm mỗi khi hiểm hoạ xuất hiện. Xác
định ưu tiên đảm bảo an toàn)
59
XÁC ĐỊNH CHÍNH SÁCH ATTT PHÙ HỢP VỚI CÁC
TIÊU CHUẨN QUỐC GIA VỀ ATTT THEO YÊU
CẦU CỦA CƠ QUAN ,TỔ CHỨC
Chính sách an toàn thông tin : Tổng hợp các quy tắc ,nội
quy ,quy trình ,công nghệ…về an toàn thông tin của một tổ
chức.
Tiêu chuẩn an toàn thông tin quốc gia:
GOST 15408
ISO 17799
Tài liệu hướng dẫn “An toàn công nghệ thông tin, các tiêu
60
CHÍNH SÁCH VỀ AN TOÀN THÔNG TIN
Qu
Quan điểm về ATTT
yt
ắc Phân tích các vị trí xung yếu,
ắc
yt
chuẩn bị danh mục các mối đe dọa và mô hình
Qu
Cá
ục
ct
ủt
hủ
Điều hành nhân viên
c th
tục
Huấn luyện cho nhân viên về các yêu cầu ATTT
Cá
Cô
ng
hệ
ng
ng
Bảo vệ kết cấu hạ tầng công nghệ
hệ
ng
Thiết kế kỹ thuật, cung cấp, lắp đặt và hiệu chỉnh các thiết bị bảo vệ
Cô
61
NHIỆM VỤ
•Hình thành các điều kiện làm việc với độ an toàn cao nhất
•Hình thành cơ chế phản ứng linh hoạt đối với các mối đe dọa an toàn,
ngăn chặn có hiệu quả các cuộc tấn công vào các tài nguyên thông tin
trên cơ sở các biện pháp và phương tiện về pháp lý, tổ chức và kỹ thuật
đảm bảo an toàn.
•Phán đoán và kịp thời phát hiện các mối de dọa đối với sự an toàn của
các tài nguyên thông tin, nguyên nhân và các điều kiện góp phần gây
tổn hại về tài chính, vật chất và tinh thần.
•Tạo ra các điều kiện để có thể khôi phục với mức tối đa và xác định
những thiệt hại do việc tồn tại các nguy cơ gây mất an toàn.
62
CON NGƯỜI – KHÂU YẾU NHẤT
TRONG TOÀN BỘ CƠ CHẾ ĐẢM BẢO
AN TOÀN THÔNG TIN
63
TÍNH CHẤT CỦA HỆ THỐNG
THÔNG TIN
64
NHỮNG TÁC ĐỘNG LÊN HỆ THỐNG THÔNG TIN
Tạo ra
Người vi phạm Các mối đe dọa Tài nguyên
65
CÁC HỆ THỐNG BẢO MẬT YẾU
66
CÁC GIẢI PHÁP
QUAN ÑIEÅM :
TÍNH HEÄ THOÁNG ,TÍNH ÑOÀNG BOÄ TRONG CHÍNH
SAÙCH ATTT
QUAÛN LYÙ HEÄ THOÁNG TAÄP TRUNG
TÍNH BÍ MAÄT RIEÂNG TÖ CUÛA HEÄ THOÁNG
CHUÛ ÑOÄNG TRONG THIEÁT KEÁ ,XAÂY DÖÏNG VAØ
ÑIEÀU HAØNH HEÄ THOÁNG
67
NHỮNG VẤN ĐỀ CẦN QUAN TÂM
68
GIẢI PHÁP
KIỂM SOÁT TRUY NHẬP
“Phòng ngừa bao giờ cũng tốt hơn chữa bệnh”
69
GIẢI PHÁP
70
GIẢI PHÁP
Để giảm bớt các rủi ro trong an toàn thông tin đòi hỏi phải có một
cơ cấu thích ứng, có độ nhạy cao đối với các biến đổi và hoạt động
được trong thời gian thực.
An toàn mạng thích ứng là một phương pháp có thể cho phép kiểm
tra, phát hiện và ứng phó ở chế độ thời gian thực đối với các hiểm
hoạ, sử dụng các quy trình và thiết bị được thiết kế tiêu chuẩn và
được điều khiển tốt nhất.
Công nghệ phân tích tính bảo mật hoặc tìm kiếm các vị trí dễ bị tổn
thương.
Công nghệ phát hiện các cuộc tấn công.
Thành tố điều khiển.
71
GIẢI PHÁP
72
GIẢI PHÁP
INTERNE
INTERNE
T
T
Trạm làm việc của
VPN-Gateway
người dùng cục bộ
X¸c thùc
Tr¹m lµm viÖc cña ngêi
Chøng chØ
dïng tõ xa cã x¸c thùc
ngoµi
Server Agent của hệ thống Server Sensor của hệ Network Sensor của
Switch Firewall thống phát hiện và Antivirus
Truy cập quản lý chính sách an hệ thống phát hiện và
từ xa ngăn chặn xâm nhập ngăn chặn xâm phập trái sensor
toàn “Gamma”
trái phép “Alpha” Phép “Alpha” 75
GIẢI PHÁP
SỬ DỤNG MẬT MÃ HIỆN ĐẠI
(Là những MÔ HÌNH TOÁN HỌC hiện đại cho phép xây dựng các
hệ thống có độ an toàn bảo mật cao)
MẬT
MẬT MÃ
MÃ
XÁC
XÁC THỰC
THỰC và
và TOÀN
TOÀNVẸN
VẸN
CHỮ
CHỮ KÝ
KÝ SỐ
SỐ DỮ
DỮLIỆU
LIỆU
BẢO
BẢO MẬT
MẬT QUẢN
QUẢNLÝ
LÝVÀ
VÀ
PHÂN
PHÂNPHỐI
PHỐIKHOÁ
KHOÁ
Các
Cáchệ
hệmật
mậtđối
đốixứng
xứng
…
… DES (Mô phỏng)
DES (Mô phỏng) RSA
RSA 512
512bit
bit
Các MD4
MD4
Các hàm
hàm OWH
OWH 3DES
3DES 512
512bit
bit
MD5
MD5 Kerberos
MD4 AES
AES512-1024
512-1024bitbit Kerberos v4,5
v4,5
CRC
CRC
MD5 …
GOST
GOST28147-89
28147-89 Diffie-Hellman
Diffie-Hellman
… GOST 34.11
GOST 34.11
SHA1
RSA
76
GIẢI PHÁP
MD -”dấu
tay” , nhận
dạng văn bản
77
GIẢI PHÁP
- Kerberos - SET
Applications
Applications - Proxies – IP sec(IS KM P)
TCP/UDP
TCP/UDP - SOCKS – SSL,TLS
IP
IP
(internetwork) -IP sec (AH,ESP) - Packet filtering
(internetwork) – Tunneling Protocols
Network
Network
Interface
Interface
- CHAP , PAP
(Data
(Data link)
link)
78
GIẢI PHÁP
HTTP HTTP
/FTP /FTP
TCP LA INTERNE
INTERNE LA TCP
N T
T N
IP IP IP IP
UDP
UDP
IP IP
IP
PPP PPP PPP
79
GIẢI PHÁP
80
GIẢI PHÁP
81
GIẢI PHÁP
PHI CHUẨN IP
82
CÔNG NGHỆ “NS – SHIELD”
83
GIẢI PHÁP
84
V. KẾT LUẬN
10 Điểm cần quan tâm
1. CEO lãnh đạo chương trình ATTT
85
V. KẾT LUẬN
2. Xây dựng mức trách nhiệm
+ Phân cấp quản lý
+ Lựa chọn cán bộ có kinh nghiệm
+ Không bố trí cán bộ làm bán thời
gian
+ Xây dựng cơ chế báo cáo trực tiếp
86
V. KẾT LUẬN
3. Lập bộ phận quản trị ATTT liên
chức năng
+ Đảm bảo kết hợp chặt chẽ với
các bộ phận khác
+ Đảm bảo phù hợp với quy
định và luật
+ Xây dựng chính sách ATTT
87
V. KẾT LUẬN
4. Xây dựng ma trận quản lý chương
trình
+ Để đảm bảo không khác nhau
+ Đánh giá được hiệu quả của chương
trình
+ Giúp cải tiến quy trình
5. Thực hiện chế độ thường xuyên cải
tiến chương trình ATTT
88
V. KẾT LUẬN
6. Thực hiện rà soát độc lập chương
trình ATTT
7. Triển khai các mức an toàn tại
Gateway, Server và Client
8. Phân chia thành các vùng ATTT
9. Bắt đầu với chương trình cơ bản sau
đó cải tiến dần
10. Xem ATTT là khoản đầu tư thiết yếu
89