ChƯƠng 2 An ToÀn ThÔng Tin

CHƯƠNG 2
AN TOÀN THÔNG TIN
Gv: Trịnh Huy Hoàng

AN TOÀN THÔNG TIN
“ Việc liên lạc là một việc quan trọng

bậc nhất trong công tác cách
mệnh, vì chính nó quyết định sự
thống nhất chỉ huy, sự phân phối
lực lượng và do đó đảm bảo thắng
lợi”
Hồ Chí Minh
Truyền và bảo mật thông tin 2

NỘI DUNG
1. Khái niệm
2. Tầm quan trọng
3. Nguy cơ
4. Chính sách an toàn thông tin
5. Kết luận

I. Khái niệm
An toàn thông tin

Khả dụng
Nguyên vẹn
Bảo mật
An toàn thông
tin

I. Khái niệm
Nguy cơ
Lớp ứng dụng
Kiểm soát truy nhập
Phá hủy
Lớp ứng dụng Chứng thực
Lớp dịch vụ Sửa đổi
Chống chối bỏ
Cắt bỏ
Lớp hạ tầng
Bảo mật số liệu
Bóc, tiết lộ
Mức người sử dụng
An toàn luồng tin Gián đoạn
Mức kiểm soát
Mức quản lý Nguyên vẹn số liệu Tấn công
Khả dụng
Riêng tư

II. Tầm quan trọng
 Để cụ thể hoá vấn đề an toàn thông tin

mạng, nhiều nước đã hình thành thuật ngữ
“hạ tầng cơ sở trọng yếu”.
 Khái niệm cơ sở hạ tầng trọng yếu rất quan
trọng vì những lý do sau:
- Thứ nhất, nó có thể giúp làm rõ tại sao an
toàn thông tin mạng lại quan trọng.
- Thứ hai, danh sách hạ tầng cơ sở trọng yếu
rất quan trọng vì như vậy sẽ giúp cho các cơ
quan nhà nước xác định được trách nhiệm
để cải thiện an toàn thông tin mạng.

 Hoạt động của các hạ tầng cơ sở trọng yếu lại dựa vào
mạng hạ tầng công nghệ thông tin mà người ta thường
gọi là không gian mạng (Cyberspace).
 Đó chính là hệ thống thần kinh - hệ thống điều khiển bao
gồm hàng trăm ngàn máy tính, máy chủ, chuyển mạch,
định tuyến, cáp quang được kết nối với nhau, nó cho
phép các hạ tầng cơ sở trọng yếu này hoạt động. An toàn
cho hệ thống thần kinh này gồm cả hai phần: phần hữu
hình gồm các máy tính, máy chủ, định tuyến,…cáp
truyền dẫn và phần vô hình sẽ là các phần mềm và các
gói tin được lưu giữ, truyền đi trong hệ thống thần kinh
này mà chúng ta gọi là an toàn thông tin mạng.

An ninh quốc gia
n S: an ninh các lĩnh vực

NS = ∑S
1
i
i = 1, 2, 3,…, n
An toàn thông tin quốc gia

n
NIS = ∑ ISi
Trong đó i = 1, 2, 3,…, n
hạ tầng cơ sở trọng yếu
1
n m l
IS = ∑ PCSi + ∑ SS j + ∑ NSk
1 1 1

Chính phủ
Nhà nước
Doanh nghiệp
Quốc phòng

III. Nguy cơ
1. Những nguy cơ hiện hữu
Tên Năm Thiệt hại

Sâu Morris 1988 Làm tê liệt 10% máy tính trên mạng Internet
Vi rút Melisa 5/1999 100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ
USD
Vi rút Explorer 6/1999 Thiệt hại 1,1 tỷ USD
Vi rút Love Bug 5/2000 Thiệt hại 8,75 tỷ USD
Vi rút Sircam 7/2001 2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD
Sâu Code Red 7/2001 359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ
USD
Sâu Nimda 9/2001 160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD
Klez 2002 Thiệt hại 175 triệu USD
BugBear 2002 Thiệt hại 500 triệu USD

Badtrans 2002 90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD
Blaster 2003 Thiệt hại 700 triệu USD
Nachi 2003 Thiệt hại 500 triệu USD
SoBig.F 2003 Thiệt hại 2,5 tỷ USD
Sâu MyDoom 1/2004 100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ
USD

III. Nguy cơ
Virus máy tính năm 2007 (tại Việt ) Số lượng
Số lượt máy tính bị nhiễm virus 33.646.000 lượt máy tính

Số virus mới xuất hiện trong năm 6.752 virus mới
Số virus xuất hiện trung bình trong 1 ngày 18,49 virus mới / ngày
Virus lây lan nhiều nhất trong năm: W32.Winib.Worm Lây nhiễm 511.000 máy tính
Năm Số virus mới xuất hiện Tỷ lệ máy tính bị nhiễm virus (%)
2005 232 94%

2006 880 93%
2007 6.752 96%

III. Nguy cơ

III. Nguy cơ

III. Nguy cơ
2. Nguy cơ tương lai
- nguy cơ tia chớp
- DDOS
Toàn cầu - Tấn công hạ tầng trọng
yếu
- Nguy cơ rộng
Lĩnh vực
- Nguy cơ Warhol
Khu vực - Tấn công tín dụng quốc
gia
Tổ chức - Tấn công hạ tầng

riêng lẻ - Vi rút
- Sâu
Máy tính - DOS
riêng lẻ
- Tấn công tín
dụng
1990s 2000 2002 2004 Thời gian

III. Nguy cơ
Loại III
Đối phó nhân công: bất khả thi
Giây Tự động đối phó: hy vọng Nguy cơ tia
Khóa tiên tiến: có thể chớp
Nguy cơ
Phút Warhol
Loại II
Đối phó nhân công: khó/bất khả thi
Tự động đối phó: có thể
Nguy cơ
Giờ diện rông
Loại I
Đối phó nhân công: có thể
Ngày Sâu E-
mail
Vi rút
Vi rút File Macro
Tuần,
tháng
Đầu 1990s Giữa 1990s Cuối 1990s 2000 2003 Thời gian

III. Nguy cơ
1. Hạ tầng viễn thông: Như chúng ta đã biết ngày nay trên

thế giới cũng như Việt Nam tất cả các hệ thống viễn thông
đều dựa trên các hệ thống máy tính và ngày càng lệ thuộc
vào máy tính nên có thể dễ dàng bị tấn công và làm cho gián
đoạn hoặc đình trệ. Hạ tầng viễn thông được chia thành một
số loại mạng như sau:
 Hệ thống viễn thông cố định: hệ thống viễn thông cố định
cung cấp một hạ tầng mạng cho mạng điện thoại cố định,
truyền số liệu và là phương tiện chủ yếu của thương mại điện
tử và Chính phủ điện tử. Đồng thời các phương tiện truyền
thông như Internet đều dựa trên cơ sở mạng này.
 Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ
điện thoại di động, do trong môi trường hoàn toàn máy tính
hóa, nên họ cũng dễ dàng trở thành nạn nhân của bọn tội
phạm mạng.

III. Nguy cơ
 Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh
trên mạng điện thoại, nhưng trong tương lai gần, phần lớn mạng
viễn thông được dùng để trao đổi số liệu như tất cả các mạng
diện rộng của các tổ chức ngân hàng, hàng không, các hệ thống
khảo sát thăm dò.....
 Mạng Internet: đây là môi trường lý tưởng để cho các loại tội
phạm mạng thâm nhập các hệ thống, các phương tiện thiết bị
viễn thông, công nghệ thông tin, các cơ quan tổ chức để đạt được
các lợi ích của chúng.
 Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống thông
tin này tách biệt với các hệ thống thông tin khác, nhưng nó dựa
trên mạng viễn thông cơ sở và hệ thống máy tính nên nó cũng trở
thành mục tiêu của tội phạm mạng.
 Hệ thống điều hành và kiểm soát của các cơ quan Chính phủ.

III. Nguy cơ
2. Hạ tầng cơ sở kinh tế:

 Các tổ chức tài chính: tất cả các ngân hàng, các trung tâm
giao dịch chứng khoán... đều sử dụng máy tính để duy trì
các tài khoản và các giao dịch tài chính.
 Các nhà máy công nghiệp của Nhà nước và tư nhân sử dụng
máy tính để hiển thị và điều khiển các vật tư thiết bị mà con
người không thể tiếp cận vì lý do bảo vệ sức khỏe.
 Thị trường mua bán công khai và không công khai.
 Các doanh nghiệp tư nhân.
 Các trung tâm kinh doanh lớn.
3. Tâm lý xã hội:
 Các phương tiện truyền thông như TV, Radio.
 Các bệnh viện.
 Hệ thống luật, kiểm soát dân sự.

IV. Chính sách an toàn thông tin
Toàn cầu
5 vấn đề Thương khẩu QG
Hạ tầng cơ sở
Doanh nghiệp
Người sử
dụng

IV. Chính sách an toàn thông tin
(Giải pháp)
- Con người
- Hành lang pháp lý
- Tổ chức
- Quy trình
- Công nghệ
- Hợp tác
- Thưởng phạt

IV. Chính sách an toàn thông tin –Con người
1. Chiến lược
 Năng lực an toàn thông tin là vấn đề cốt lõi
cần xây dựng đơn vị.
 Dựa vào bên thứ 3 cho tất cả hoặc phần nào
đó.
 Cần một thời gian ngắn để bên thứ 3 giúp
cải thiện chương trình sau đó chuyển giao
công nghệ cho cán lược
1. Chiến bộ.
2. Hợp phần
3. Quản lý

 Có cần lãnh đạo có năng lực cho đơn vị.

 Có đào tạo đầy đủ cho cán bộ và họ có đạt
được chứng nhận của ngành.
 Có tiếp tục chương trình đào tạo để đảm bảo
cán bộ có được chứng nhận của ngành.
 Đơn vị theo mô hình tập trung hay phân tán.

 Bạn có muốn cách ly trách nhiệm trong đơn

vị như thế nào.
 Vai trò và trách nhiệm của cán bộ an toàn
thông tin.
 Phối hợp tối ưu nhất cán bộ trong đơn vị an
toàn thông tin.

2. Hợp phần
 Quản lý an toàn
 Cán bộ kỹ thuật
 Kiểm soát

 Quản lý an toàn
- Lãnh đạo an toàn thông tin hiểu biết rộng:
+ An toàn thông tin
+ Hoạt động của đơn vị
- Nhà quản lý an toàn thông tin cần:
+ Chứng chỉ kỹ năng attt (CISSP)
+ Chứng chỉ quản lý attt (CISM)

Cán bộ kỹ thuật
Cần có: + Kỹ năng thích hợp theo lĩnh vực
+ SysAdmin
+ Audit
+ Network Security

Kiểm soát
Đảm bảo cho chương trình hoạt động phù hợp
với chính sách đã đề ra:
+ Có vai trò rất quan trọng
+ Phải hiểu về chương trình attt
+ Có kinh nghiệm
+ Có chứng chỉ kiểm soát hệ thống thông
tin (CISA)

3. Quản lý
Vai trò trong chương trình attt

CEO - Thiết lập trương trình attt chung
- Kiểm soát quá trình chung
Lãnh đạo attt Duy trì cấu trúc và chiến lược attt
Giám đốc thông tin Thuê và quản lý nhóm attt
(CIO)
Giám đốc an toàn (CSO) Xây dựng lộ trình attt và báo cáo quy
trình theo mục tiêu chung
Giám đốc attt (CISO) Chiến lược hóa và thực hiện thành
công nguồn lực ngoài
Director of Information Đảm bảo nhận thức chung về attt
Security trong đơn vị

Vị trí của attt trong đơn vị IT
CIO
Dịch vụ & hỗ trợ Ứng dụng Vận hành ATTT

khách hàng kinh doanh

Tổ chức ATTT theo chức năng
ATTT
Nhận thức
AT mạng AT Host AT ứng dụng
về AT

IV. Chính sách an toàn thông tin – Hành lang pháp
lý
Cần xây dựng các văn bản QPPL:
1. Các văn bản có tính quy định về ATTT

2. Các văn bản mang tính chế tài
3. Các loại văn bản khác

lý
1. Các văn bản về ATTT
Kiểm soát truy nhập Nguy cơ

Lớp ứng dụng
Chứng thực Phá hủy
Chống chối bỏ
Lớp dịch vụ Sửa đổi
Bảo mật số liệu
Cắt bỏ
An toàn luồng tin
Lớp hạ tầng
Nguyên vẹn số liệu Bóc, tiết lộ
Mức người sử dụng
Khả dụng Gián đoạn
Mức kiểm soát
Riêng tư
Mức quản lý Tấn công

lý
 Các văn bản QPPL
1. Luật Công nghệ thông tin.
2. Pháp lệnh Bưu chính, Viễn thông.
3. Nghị định 55/2001/NĐ-CP.
4. Nghị định 160/2004/NĐ-CP.
5. Nghị định số 64/2007/NĐ-CP.

lý
2. Chế tài
- Luật hình sự
- Luật tội phạm mạng
3. Văn bản khác

- Luật tố tụng hình sự

IV. Chính sách an toàn thông tin – Tổ chức
Uỷ Ban bảo vệ cơ sở hạ tầng thông tin (CPII)

Thủ tướng làm chủ tịch Uỷ ban
Bộ Tài chính & Bộ Tư pháp Bộ Quốc Bộ Thông tin

Kinh tế phòng
KISA (Cục An toàn

thông tin Hàn quốc
– 1996) Bảo vệ hạ tầng viễn
thông
CIP (Communication KrCERT/CC

Infrastructure
Protection)
Cơ quan tình báo quốc gia Hàn Quốc

NIS
Tổng cục An toàn mạng quốc gia NCSC
Trực tiếp xử lý
Chỉ đạo Chỉ đạo
Bộ Quốc phòng Hàn Quốc Các cơ quan của Chính Bộ Thông tin Hàn Quốc
phủ
Cục An toàn mạng quân Cục An toàn thông tin
sự


Tổ chức an toàn, an ninh thông tin mạng Việt Nam

An toàn, an ninh thông tin
quốc gia
Bộ Quốc phòng Bộ thông tin và Bộ Nội vụ Bộ Công an

Truyền thông
Cơ quan an toàn Trung tâm VNCERT Ban Cơ yếu Tổng cục An Tổng cục
thông tin ninh Cảnh sát

IV. Chính sách an toàn thông tin – Quy trình
1. Lên kế hoạch
1. Lên kế hoạch
2. Hợp phần
3. Quản trị
Hướng dẫn chung
phản ánh triết lý của
Chính đơn vị về attt
sách
Tài liệu chi tiết để đơn

vị dùng quản lý chương
Tiêu chuẩn
trình attt
Các bước chi tiết để

đơn vị thực hiện để
Biện pháp đạt mục tiêu cao hơn

2. Hợp phần
- Quản trị tài khoản
+ Hệ thống quản lý thông tin nguồn nhân lực
(HRIS).
+ Cán bộ trong biên chế, ngoài biên chế
+ Độ dài từ khóa tối thiểu 8 ký tự
+ 90 ngày lại thay đổi từ khóa
+ Nhận thức về attt

- Phản ứng khẩn cấp

+ Lập kế hoạch
+ Dễ hiểu, đơn giản (thao tác trong trường hợp khẩn cấp)
+ Khớp nối, phối hợp
+ Bộ phận chịu trách nhiệm (không nêu tên cá nhân)
+ Liên lạc
+ Ủy quyền

- Quản lý thương khẩu

+ Tần suất quét: 1 lần/1 quý
+ Thời gian quét: theo quy định
+ Báo cáo kết quả
+ Xúc tiến hàn khẩu
- Truy nhập từ xa
+ Ủy quyền: ai được truy nhập

+ Tin tức: loại tin được phép

+ Phương pháp truy nhập:
+ Máy tính tại gia đình
3. Quản trị
+ Đánh giá sự tuân thủ
+ Lập một nhóm mẫu
+ Lập ban ATTT
+ Phù hợp thông lệ quốc tế

IV. Chính sách an toàn thông tin – Công nghệ
Internet
1. Chiến lược Extranet 1. Chiến lược
-Limited Access
-Public & Partner
2. Hợp phần
Intranet 3. Quản lý
-Broad Employee Access
- File & Print sharing
Mission- Critical Zone

-Mission Critical
Applications
- Limited Employee
Access
Remote employee
access via VPN + 2nd
factor of authentication
Customer/Part
ner access via
SSL
Cấu trúc tổng quát chương trình ATTT

Phòng vệ sâu
An toàn Gateway An toàn Server An toàn Client

-AAA -AAA -AAA
-Firewall/VPN -Firewall/VPN -Firewall/VPN
-Anti-Virus Protection -Anti-Virus Protection -Anti-Virus
-Intrusion Detection -Vulnerability Protection
-Content Filtering Management -Intrusion Detection
-Intrusion Detection

2. Hợp phần
Management
& Reporting
Content Filtering
Intrusion Detection
Vulnerability Management
Anti-Virus
Firewall & VPN
AAA
Cấu trúc công nghệ

3. Quản lý
-Quét và điều trị
-Rà soát độc lập chương trình ATTT
-Cập nhật chương trình chống vi rút
-Chương trình kiểm soát: kiểm soát
được sự cố/tháng

IV. Chính sách an toàn thông tin – Hợp tác
 Cải thiện năng lực tìm và phòng ngừa tấn

công: các cơ quan tình báo, quốc phòng và
hành pháp phải cải thiện khả năng tìm ra
nhanh nguồn tấn công hoặc các hoạt động có
nguy cơ để cho phép đối phó kịp thời và hiệu
quả.
 Cải tiến việc phối hợp giữa các cơ quan trong
một quốc gia để đối phó với các cuộc tấn
công mạng

 Giành quyền đối phó thích hợp: khi một quốc

gia, nhóm khủng hay những ý đồ khác tấn
công vào một quốc gia nào đó qua mạng, thì
quốc gia bị tấn công không thể bị giới hạn
trong thủ thục tố tụng, mà có thể giành
quyền đối phó trước kịp thời và thích hợp.

 Hợp tác với các tổ chức quốc tế và với tổ

chức thuộc chuyên môn để tạo thuận lợi và
thúc đẩy “văn hóa an toàn mạng” toàn cầu:
mỗi một quốc gia cần phải quan tâm tới an
toàn mạng ngoài phạm vi biên giới của mình
 Tăng cường nỗ lực công tác phản tình báo

 Mối nước cần nỗ lực phối hợp giải quyết các

vấn đề về kỹ thuật, khoa học và các chính
sách liên quan đảm bảo sự hoàn chỉnh của
các mạng thông tin
 Mỗi một nước nên thiết lập hệ thống cảnh
báo quốc gia và quốc tế để phát hiện và
ngăn chặn các cuộc tấn công mạng

IV. Chính sách an toàn thông tin – Thưởng phạt
 Thực hiện công tác thanh tra, kiểm tra
 Tuyên dương, khen thưởng
 Xử phạt

GIẢI PHÁP NÀO CHO AN TOÀN
THÔNG TIN TẠI VIỆT NAM?

ÑAËC ÑIEÅM VEÀ AN TOAØN
THOÂNG TIN ÔÛ VIEÄÂT NAM
• Cô sôû haï taàng coøn laïc haäu-thieáu ñoàng

nhaát.Manh muùn,thieáu söï quaûn lyù thoáng nhaát.
 Chöa coù ñoäi nguõ chuyeân gia veà ATBMTT
chuyeân nghieäp.
• Chöa coù nhöõng quy taéc, quy trình quaûn lyù
đồng bộ .
• Chưa coù moät chính saùch an toaøn baûo maät
chung.Vieäc chuaån hoùa caùc tieâu chuaån an toaøn
baûo maät coøn raát chaäm.
• Söï quan taâm veà an toaøn – baûo maät thoâng tin
töø phía caùc nhaø quaûn lyù vaø quaûn trò maïng
chöa ñaày ñuû. 54
AN TOÀN THÔNG TIN
““AN
AN TOÀN
TOÀN BẢO
BẢO MẬT
MẬT THÔNG
THÔNG
TIN
TIN LÀ
LÀ MỘT
MỘT QUY
QUY TRÌNH
TRÌNH
(PROCESS)
(PROCESS) ,,
KHÔNG
KHÔNG CHỈ
CHỈ LÀ
LÀ CÔNG
CÔNG CỤ
CỤ
(TOOLS)”
(TOOLS)”
55
AN TOÀN THÔNG TIN
AN TOÀN THÔNG TIN - Khả năng bảo vệ của môi trường thông tin
kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển nó
vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia.
CÁC MÔ HÌNH : E - COMMERCE;E - BUSINESS;
E - GOVERNMENT …
Chỉ có thể tồn tại trên một môi trường thông tin an toàn và tin cậy.
56
AN TOÀN THÔNG TIN
QUY TRÌNH
QUY TRÌNH
Phân tích hiểm hoạ + Xây dựng

chính sách an toàn + Các phương
tiện bảo vệ + Thực thi các biện pháp
chống trả + Kiểm toán + Đối phó.
57
QUY TRÌNH THIẾT LẬP HỆ THỐNG ATTT
a) Khảo sát, đánh giá tình trạng của mạng.

b) Soạn thảo chính sách an toàn cho mạng máy tính.
c) Thiết kế hệ thống ATTT.
d) Soạn thảo các quy tắc và tài liệu khai thác và bảo trì hệ
thống.
e) Đánh giá khả năng đảm bảo ATTT của hệ thống phục
vụ ATTT.
f) Đào tạo nhân lực: Chuyên viên quản trị ATTT- người
quản trị mạng an toàn, cán bộ quản lý cơ quan có mạng
máy tính.
58
ĐÁNH GIÁ THỰC TRẠNG HỆ THỐNG THÔNG TIN
CỦA CÁC TỔ CHỨC, CƠ QUAN
 Khảo sát phương tiện thông tin của khách hàng (Nghiên
cứu hệ thống thông tin. Nghiên cứu luồng thông tin. Phân
tích công nghệ xử lý thông tin. Tình trạng phương tiện kiểm
tra an toàn thông tin của khách hàng)
 Đánh giá hiểm hoạ (Xác định mức độ an toàn tài nguyên
thông tin. Xác định hiểm hoạ. Phân tích phương tiện bảo vệ.
Đánh giá các yếu điểm mỗi khi hiểm hoạ xuất hiện. Xác
định ưu tiên đảm bảo an toàn)
59
XÁC ĐỊNH CHÍNH SÁCH ATTT PHÙ HỢP VỚI CÁC
TIÊU CHUẨN QUỐC GIA VỀ ATTT THEO YÊU
CẦU CỦA CƠ QUAN ,TỔ CHỨC
 Chính sách an toàn thông tin : Tổng hợp các quy tắc ,nội
quy ,quy trình ,công nghệ…về an toàn thông tin của một tổ
chức.
 Tiêu chuẩn an toàn thông tin quốc gia:
 GOST 15408
 ISO 17799
Tài liệu hướng dẫn “An toàn công nghệ thông tin, các tiêu
chí đánh giá an toàn thông tin” (CHƯA CÓ Ở VN – có thể

sử dụng các tiêu chuẩn ATTT của Nga ,Mỹ).
60
CHÍNH SÁCH VỀ AN TOÀN THÔNG TIN
Chính sách ATTT

giải pháp của
ban lãnh đạo
Qu
Quan điểm về ATTT
yt
ắc Phân tích các vị trí xung yếu,
ắc
yt
chuẩn bị danh mục các mối đe dọa và mô hình
Qu
của kẻ vi phạm chương trình ứng dụng hệ thống ATTT
Chính sách ATTT

Chuẩn bị các quy tắc điều hành ATTT,
các tài liệu về tổ chức và quy chế
Cá
ục
ct
ủt
hủ
Điều hành nhân viên
c th
tục
Huấn luyện cho nhân viên về các yêu cầu ATTT
Cá
và kiểm tra việc chấp hành của họ
Điều khiển ATTT

Tổ chức, kiểm tra và phân tích chức năng của hệ thống ATTT
Cô
ng
hệ
ng
ng
Bảo vệ kết cấu hạ tầng công nghệ
hệ
ng
Thiết kế kỹ thuật, cung cấp, lắp đặt và hiệu chỉnh các thiết bị bảo vệ
Cô
61
NHIỆM VỤ
•Hình thành các điều kiện làm việc với độ an toàn cao nhất
•Hình thành cơ chế phản ứng linh hoạt đối với các mối đe dọa an toàn,
ngăn chặn có hiệu quả các cuộc tấn công vào các tài nguyên thông tin
trên cơ sở các biện pháp và phương tiện về pháp lý, tổ chức và kỹ thuật
đảm bảo an toàn.
•Phán đoán và kịp thời phát hiện các mối de dọa đối với sự an toàn của
các tài nguyên thông tin, nguyên nhân và các điều kiện góp phần gây
tổn hại về tài chính, vật chất và tinh thần.
•Tạo ra các điều kiện để có thể khôi phục với mức tối đa và xác định
những thiệt hại do việc tồn tại các nguy cơ gây mất an toàn.
62
CON NGƯỜI – KHÂU YẾU NHẤT
TRONG TOÀN BỘ CƠ CHẾ ĐẢM BẢO
AN TOÀN THÔNG TIN
Không tuân thủ các chính sách an toàn

thông tin - nguyên nhân lớn nhất gây ra
các lỗ hổng bảo mật .
63
TÍNH CHẤT CỦA HỆ THỐNG
THÔNG TIN
• Tính truy cập của thông tin

• Tính toàn vẹn của thông tin
• Tính bí mật của thông tin
• Tính xác thực của thông tin
64
NHỮNG TÁC ĐỘNG LÊN HỆ THỐNG THÔNG TIN
Những tác động điều khiển

Chủ sở hữu
Tăng cường
Đưa ra quyết định
B/pháp chống trả
Giảm bớt Lưu giữ
Vị trí xung yếu Mối hiểm nguy
Tạo ra
Người vi phạm Các mối đe dọa Tài nguyên
65
CÁC HỆ THỐNG BẢO MẬT YẾU
•Hệ thống truyền trực tiếp qua MODEM

không được bảo vệ.
•Hệ thống Dial-up không có các cơ chế
bảo mật.
•Hệ thống sử dụng các giao thức TCP/IP
không có các cơ chế bảo mật.
66
CÁC GIẢI PHÁP
QUAN ÑIEÅM :
TÍNH HEÄ THOÁNG ,TÍNH ÑOÀNG BOÄ TRONG CHÍNH
SAÙCH ATTT
QUAÛN LYÙ HEÄ THOÁNG TAÄP TRUNG
TÍNH BÍ MAÄT RIEÂNG TÖ CUÛA HEÄ THOÁNG
CHUÛ ÑOÄNG TRONG THIEÁT KEÁ ,XAÂY DÖÏNG VAØ
ÑIEÀU HAØNH HEÄ THOÁNG
67
NHỮNG VẤN ĐỀ CẦN QUAN TÂM
 Chống truy cập trái phép;

 Kieåm tra tính xác thực,bảo mật thông điệp và chữ
ký điện tử;
Kiểm tra tính toàn vẹn cuả thông tin;
 Sao lưu trữ và có dự trữ thay thế các tài nguyên thông
tin;
 Bảo vệ tránh những hành động của những kẻ phá hoại
từ bên trong và từ bên ngoài;
 Bảo vệ các kênh liên lạc;
 Bảo vệ tránh bị thiệt hại do thiên tai;
68
GIẢI PHÁP
KIỂM SOÁT TRUY NHẬP
“Phòng ngừa bao giờ cũng tốt hơn chữa bệnh”
1. THƯỜNG XUYÊN PHÂN TÍCH VÀ KIỂM TRA CÁC LOG FILE,TƯ

LIỆU HOÁ HỆ THỐNG VÀ QUẢN LÝ CẤU HÌNH,LÀM SẠCH HỆ
THỐNG…
2. TỐI ƯU HOÁ CẤU HÌNH THIẾT BỊ VÀ MẠNG. ĐÓNG CÁC DỊCH
VỤ KHÔNG SỬ DỤNG.
3. SAO LƯU THƯỜNG KỲ,KỂ CẢ CẤU HÌNH PHẦN CỨNG - PHỤC
VỤ QUÁ TRÌNH PHỤC HỒI SAU TẤN CÔNG
4. SỬ DỤNG CÁC CÔNG CỤ KIỂM SOÁT TRUY CẬP (IDS) CHUYÊN
NGHIỆP (vd Cisco IDS4210 hoặc ISS)
5. …V…V….
69
GIẢI PHÁP
SỬ DỤNG CÔNG NGHỆ HIỆN ĐẠI NHẰM BẢO

VỆ HỆ THỐNG THÔNG TIN:
•Bức tường lửa – Firewall
•HỆ THỐNG AN TOÀN MẠNG THÍCH ỨNG
 Hệ thống phát hiện xâm nhập
 Hệ thống phân tích khả năng bảo vệ
 Hệ thống điều khiển chính sách an toàn
• Công cụ chống virút
• BẢO VỆ BẰNG MẬT MÃ
70
GIẢI PHÁP
HỆ THỐNG AN TOÀN MẠNG THÍCH ỨNG
 Để giảm bớt các rủi ro trong an toàn thông tin đòi hỏi phải có một
cơ cấu thích ứng, có độ nhạy cao đối với các biến đổi và hoạt động
được trong thời gian thực.
An toàn mạng thích ứng là một phương pháp có thể cho phép kiểm
tra, phát hiện và ứng phó ở chế độ thời gian thực đối với các hiểm
hoạ, sử dụng các quy trình và thiết bị được thiết kế tiêu chuẩn và
được điều khiển tốt nhất.
Công nghệ phân tích tính bảo mật hoặc tìm kiếm các vị trí dễ bị tổn
thương.
Công nghệ phát hiện các cuộc tấn công.
Thành tố điều khiển.
71
GIẢI PHÁP
HỆ THỐNG PHÁT HIỆN VI PHẠM

NHIỆM VỤ:
Phát hiện và phong tỏa một
Vị trí làm việc của cách tự động các cuộc tấn công
Môđun
ôđun người quản trị Quỹ
Quỹ thô
thông tin thông tin;
phát
phát hiện
hiện
sự tấn
tấn cô
công Hiển thị dòng thông tin của hệ
Môđun điều phối các thống thông tin trên các lớp
Telephone luồng thông tin mạng, lớp vận chuyển và lớp
ứng dụng trong OSI;
LAN
 Phát hiện điều bất thường
Host
ost 1 Host-
ost-2
2
trong dòng thông tin của hệ
Modul tác nghiệp Modul tác nghiệp thống thông tin;
Thông báo cho người quản trị
HTTP-cảm biến về an toàn về những cuộc tấn
SMTP-cảm biến
Cảm biến công hoặc điều bất thường
mạng được phát hiện;
FTP-cảm biến MSSQL-cảm biến
72
GIẢI PHÁP
HỆ THỐNG PHÂN TÍCH CẤP ĐỘ BẢO VỆ

NHIỆM VỤ:
THÔNG TIN DỄ BỊ XÂM PHẠM
 Xác định thành phần đảm
bảo phần mềm và phần
cứng của các hệ thống
Môđun
ôđun phát
phát hiện
hiện
điểm dễ
dễ bị
bị thông tin được kiểm thử
xâm phạm
phạm
 Phân tích và kiểm tra cấu
Vị trí
trí là
làm việc
việc
trúc thượng tầng của bức
của người
người quản
quản trị
trị tường lửa
Các đối tượng kiểm thử
 Phát hiện các điểm dễ bị
xâm phạm của các FTP-
Server, Server Email và
các máy trạm
 Thông báo cho người quản
trị an toàn về các điểm dễ
Máy trạm
người
trạm
người dùng
dùng
FTP-ser
FTP-server
ver Server
erver Email Máy trạm
người
trạm
người dùng
dùng bị xâm phạm đã được phát
hiện
73
GIẢI PHÁP
HỆ THỐNG ĐIỀU KHIỂN CHÍNH SÁCH AN TOÀN

NHIỆM VỤ:
•Thu thập và hiển thị các dữ

liệu về hoạt động của các
Biên
Biên ddịch
ịch Người quản trị
ccác
ác ssự
ự ki
kiện
ện về an toàn
máy trạm
•Tự động phân tích các dữ
liệu được lưu trữ trong
Server của hệ thống và xác
Mo
Mođđun
un thu
thu th thập
ập
ddữ
ữ liliệu
ệu định trạng thái hiện tại của
ki
kiểm tra
ểm tra các máy trạm trong chế độ
thời gian thực;
Sự kiện
•Thông báo cho Người quản
Các chủ thể của
Các tác tử hệ thống thông tin
trị an toàn về sự vi phạm
chính sách an toàn TT;
•Phân tích thống kê các hoạt
động của người dùng; 74
CÔNG NGHỆ ỨNG DỤNG TẠI CÁC NÚT TRUY NHẬP
CỦA HỆ THỐNG AN TOÀN THÔNG TIN
HÖ thèng an toµn th«ng tin
Ph©n ®o¹n ng Phân đoạn tổ chức quản trị an toàn

êi dïng tõ - Hệ thống pháp hiện và ngăn chặn xâm phập “α ”
β ”
- Hệ thống phân tích cấp độ an toàn “β
xa - Hệ thống điều khiển chính sách an toàn “γ ”
- Hệ thống Antivirus
- Hệ thống Firewall
- vv…
Ph©n ®o¹n truyÒn th«ng Phân đoạn người

Tr¹m lµm viÖc cña ngêi dùng cục bộ
dïng tõ xa kh«ng x¸c thùc
INTERNE
INTERNE
T
T
Trạm làm việc của
VPN-Gateway
người dùng cục bộ
X¸c thùc
Tr¹m lµm viÖc cña ngêi
Chøng chØ
dïng tõ xa cã x¸c thùc
ngoµi
Web- Mail FTP- Internal file Database Application

server server server server server server
Phân đoạn dùng chung Phân đoạn máy chủ bên trong
Server Agent của hệ thống Server Sensor của hệ Network Sensor của
Switch Firewall thống phát hiện và Antivirus
Truy cập quản lý chính sách an hệ thống phát hiện và
từ xa ngăn chặn xâm nhập ngăn chặn xâm phập trái sensor
toàn “Gamma”
trái phép “Alpha” Phép “Alpha” 75
GIẢI PHÁP
SỬ DỤNG MẬT MÃ HIỆN ĐẠI
(Là những MÔ HÌNH TOÁN HỌC hiện đại cho phép xây dựng các
hệ thống có độ an toàn bảo mật cao)
MẬT
MẬT MÃ
MÃ
XÁC
XÁC THỰC
THỰC và
và TOÀN
TOÀNVẸN
VẸN
CHỮ
CHỮ KÝ
KÝ SỐ
SỐ DỮ
DỮLIỆU
LIỆU
BẢO
BẢO MẬT
MẬT QUẢN
QUẢNLÝ
LÝVÀ
VÀ
PHÂN
PHÂNPHỐI
PHỐIKHOÁ
KHOÁ
Các
Cáchệ
hệmật
mậtđối
đốixứng
xứng
…
… DES (Mô phỏng)
DES (Mô phỏng) RSA
RSA 512
512bit
bit
Các MD4
MD4
Các hàm
hàm OWH
OWH 3DES
3DES 512
512bit
bit
MD5
MD5 Kerberos
MD4 AES
AES512-1024
512-1024bitbit Kerberos v4,5
v4,5
CRC
CRC
MD5 …
GOST
GOST28147-89
28147-89 Diffie-Hellman
Diffie-Hellman
… GOST 34.11
GOST 34.11
SHA1
RSA
76
GIẢI PHÁP
Ví dụ : CHỨNG THỰC VĂN BẢN DÙNG SHA-1
MD -”dấu
tay” , nhận
dạng văn bản
77
GIẢI PHÁP
BẢO MẬT IP (IP sec)
- Kerberos - SET
Applications
Applications - Proxies – IP sec(IS KM P)
TCP/UDP
TCP/UDP - SOCKS – SSL,TLS
IP
IP
(internetwork) -IP sec (AH,ESP) - Packet filtering
(internetwork) – Tunneling Protocols
Network
Network
Interface
Interface
- CHAP , PAP
(Data
(Data link)
link)
78
GIẢI PHÁP
MẠNG VPN (VIRTUAL PRIVATE NETWORK)
HTTP HTTP
/FTP /FTP
TCP LA INTERNE
INTERNE LA TCP
N T
T N
IP IP IP IP
TUNNEL PPP PPP

PPP PPP TUNNEL PROTOCOL
PROTOCOL
UDP
UDP
IP IP
IP
PPP PPP PPP
79
GIẢI PHÁP
MẠNG VPN (VIRTUAL PRIVATE NETWORK)
• CÔNG CỤ QUAN TRỌNG BẢO MẬT IP

• XÂY DỰNG TRÊN GIAO THỨC PPP tunnel - L2F :
Mã hoá : Triple DES (512-1024 bit) , AES (512-1024 bit),GOST 15408
 Chứng thực SHA-1,MD4,MD5…
Phân phối khoá: Kerberos v4,5;Diffie-Hellman
• IP sec v4,v6 (Microshoft)
•Tổ hợp NSSC-FW (CHLB Nga) : Dựa trên công nghệ SHIELD : Tích hợp các giải
pháp.Sử dụng mật mã mạnh.Cách ly mạng bảo mật và mạng WAN.Quản lý mạng
VPN tập trung…
80
GIẢI PHÁP
CÔNG NGHỆ NS- SHIELD
• Mạng riêng ảo VPN.Giao diện modul

mật mã mở.
•Điều khiển ,kiểm soát toàn bộ mạng
tập trung : Kiểm soát truy nhập,phân
phối khoá và các chính sách bảo mật
khác.
•Trong suốt đối với người dùng các
dịch vụ.
•Truy cập an toàn đến các máy phục
vụ WWW,FTP,E-mail.
81
GIẢI PHÁP
CÔNG NGHỆ NS- SHIELD
 Cách ly về mặt giao thức IP giữa các

trạm làm việc ở mạng bảo mật (INT)
và mạng công khai (EXT)
 Các hành động tấn công có hiệu quả ở
cổng bên ngoài không thể xâm nhập
vào cổng bên trong.
 Giao diện IEEE 1394 đảm bảo tốc độ
truyền cao (10 MB/s) giữa các modul
INTERNAL và EXTRNAL
PHI CHUẨN IP
82
CÔNG NGHỆ “NS – SHIELD”
83
GIẢI PHÁP
MÔ HÌNH LIÊN LẠC DÙNG CÔNG NGHỆ NS-SHIELD
84
V. KẾT LUẬN
 10 Điểm cần quan tâm
1. CEO lãnh đạo chương trình ATTT
+ Xây dựng chiến lược

+ Đảm bảo thực hiện phù hợp
mục tiêu
+ Xây dựng mô hình quản lý
85
V. KẾT LUẬN
2. Xây dựng mức trách nhiệm
+ Phân cấp quản lý
+ Lựa chọn cán bộ có kinh nghiệm
+ Không bố trí cán bộ làm bán thời
gian
+ Xây dựng cơ chế báo cáo trực tiếp
86
V. KẾT LUẬN
3. Lập bộ phận quản trị ATTT liên
chức năng
+ Đảm bảo kết hợp chặt chẽ với
các bộ phận khác
+ Đảm bảo phù hợp với quy
định và luật
+ Xây dựng chính sách ATTT
87
V. KẾT LUẬN
4. Xây dựng ma trận quản lý chương
trình
+ Để đảm bảo không khác nhau
+ Đánh giá được hiệu quả của chương
trình
+ Giúp cải tiến quy trình
5. Thực hiện chế độ thường xuyên cải
tiến chương trình ATTT
88
V. KẾT LUẬN
6. Thực hiện rà soát độc lập chương
trình ATTT
7. Triển khai các mức an toàn tại
Gateway, Server và Client
8. Phân chia thành các vùng ATTT
9. Bắt đầu với chương trình cơ bản sau
đó cải tiến dần
10. Xem ATTT là khoản đầu tư thiết yếu
89

ChƯƠng 2 An ToÀn ThÔng Tin

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ChƯƠng 2 An ToÀn ThÔng Tin

Uploaded by

Copyright:

Available Formats

CHƯƠNG 2

AN TOÀN THÔNG TIN

Gv: Trịnh Huy Hoàng

“ Việc liên lạc là một việc quan trọng

Truyền và bảo mật thông tin 2

Truyền và bảo mật thông tin 3

An toàn thông tin

Truyền và bảo mật thông tin 4

Mức quản lý Nguyên vẹn số liệu Tấn công

Truyền và bảo mật thông tin 5

 Để cụ thể hoá vấn đề an toàn thông tin

Truyền và bảo mật thông tin 6

Truyền và bảo mật thông tin 7

An ninh quốc gia

n S: an ninh các lĩnh vực

An toàn thông tin quốc gia

Truyền và bảo mật thông tin 8

Truyền và bảo mật thông tin 9

Tên Năm Thiệt hại

BugBear 2002 Thiệt hại 500 triệu USD

Truyền và bảo mật thông tin 10

Virus máy tính năm 2007 (tại Việt ) Số lượng

Số lượt máy tính bị nhiễm virus 33.646.000 lượt máy tính

2005 232 94%

Truyền và bảo mật thông tin 11

Truyền và bảo mật thông tin 12

Truyền và bảo mật thông tin 13

- nguy cơ tia chớp

Tổ chức - Tấn công hạ tầng

Truyền và bảo mật thông tin 14

Truyền và bảo mật thông tin 15

1. Hạ tầng viễn thông: Như chúng ta đã biết ngày nay trên

Truyền và bảo mật thông tin 16

Truyền và bảo mật thông tin 17

2. Hạ tầng cơ sở kinh tế:

Truyền và bảo mật thông tin 18

Truyền và bảo mật thông tin 19

Truyền và bảo mật thông tin 20

Truyền và bảo mật thông tin 21

 Có cần lãnh đạo có năng lực cho đơn vị.

Truyền và bảo mật thông tin 22

 Bạn có muốn cách ly trách nhiệm trong đơn

Truyền và bảo mật thông tin 23

Truyền và bảo mật thông tin 24

Truyền và bảo mật thông tin 25

Truyền và bảo mật thông tin 26

Truyền và bảo mật thông tin 27

Vai trò trong chương trình attt

Truyền và bảo mật thông tin 28

Vị trí của attt trong đơn vị IT

Dịch vụ & hỗ trợ Ứng dụng Vận hành ATTT

Truyền và bảo mật thông tin 29

Tổ chức ATTT theo chức năng

Truyền và bảo mật thông tin 30

1. Các văn bản có tính quy định về ATTT

Truyền và bảo mật thông tin 31

1. Các văn bản về ATTT

Kiểm soát truy nhập Nguy cơ

Truyền và bảo mật thông tin 32

Truyền và bảo mật thông tin 33

3. Văn bản khác

Truyền và bảo mật thông tin 34

Uỷ Ban bảo vệ cơ sở hạ tầng thông tin (CPII)

Ph©n ®o¹n ng Phân đoạn tổ chức quản trị an toàn