Scribd Logo
Upload

Welcome to Scribd!

  • Chuong 1 - SỰ CẦN THIẾT PHẢI BẢO MẬT THÔNG TIN

    Uploaded by

    Thanh Hằng Nguyễn
    13 views27 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    13 views27 pages

    Chuong 1 - SỰ CẦN THIẾT PHẢI BẢO MẬT THÔNG TIN

    Uploaded by

    Thanh Hằng Nguyễn

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 27

    CHƯƠNG 1

    SỰ CẦN THIẾT PHẢI BẢO MẬT THÔNG TIN


    Các nội dung
    1.1 Bảo mật các hệ thống thông tin
    1.2 Vạn vật kết nối
    1.3 Các tấn công, đe dọa và lỗ hổng
    1.4 Các mục tiêu bảo mật thông tin doanh nghiệp
    1.1 Bảo mật các hệ thống thông tin
    • Thông tin là gì?
    • Dữ liệu gắn với ngữ cảnh cụ thể (vd: biển số xe, số điện thoại…)
    • Hệ thống thông tin:
    • Gồm: phần cứng, hệ điều hành, các phần mềm ứng dụng
    • Mục đích: thu thập, xử lý, lưu trữ dữ liệu cho cá nhân/tổ chức
    • An toàn bảo mật các hệ thống thông tin: tập hợp các hoạt động bảo vệ
    hệ thống thông tin và các dữ liệu chứa trong đó.
    • Nguyên lý an toàn bảo mật hệ thống thông tin: 3 nguyên lý
    • Sự bí mật (Confidentiality): Chỉ những cá nhân được phép mới có thể truy cập
    thông tin
    • Sự toàn vẹn (Integrity): Chỉ những cá nhân được phép mới có thể thay đổi
    thông tin
    • Sự sẵn sàng (Availability): Những người có quyền đều có thể truy cập được
    thông tin
    • Tam giác CIA
    • Thông tin bí mật:
    • Thông tin cá nhân
    • Sở hữu trí tuệ của các doanh nghiệp
    • Thông tin an ninh quốc gia
    • Tính nhất quán
    • Có giá trị (hợp lệ)
    • Tính chính xác
    • Tính sẵn có:
    • Thời gian truy cập được uptime
    • Thời gian không truy cập được downtime
    • Tính khả dụng A = uptime / (uptime+downtime)
    • Thời gian lỗi trung bình
    • Thời gian phục hồi trung bình
    • Thời gian trung bình giữa các lỗi
    Các miền trong kiến trúc hạ tầng thông
    tin cơ bản
    • User domain
    • Workstation domain
    • LAN domain
    • LAN-WAN domain
    • WAN domain
    • Remote Access domain
    • System/Application domain
    User domain
    • Xác định người được phép truy xuất
    • Các rủi ro:
    • Bị truy cập trái phép (-> cảnh giác, tránh các nội dung email giả mạo..)
    • Thiếu sự phòng bị (-> huấn luyện, email nhắc nhở)
    • Thờ ơ trước các chính sách (-> huấn luyện thường niên, cập nhật hướng dẫn)
    • Vi phạm các chính sách (-> thực tập, kiểm tra)
    • Tống tiền hoặc lạm dụng (-> giám sát chặt chẽ các hành vi bất thường trong
    việc sử dụng hệ thống trong giờ nghỉ)
    Workstation domain
    • Gồm máy tính bàn, laptop, các thiết bị cầm tay
    • Cần kiểm soát truy cập
    • Các rủi ro:
    • Tiếp cận workstation trái phép (-> username/password)
    • Tiếp cận các hệ thống, ứng dụng và dữ liệu trái phép (-> đặt password cho lớp
    ứng dụng)
    • Các rủi ro của hệ điều hành, ứng dụng (-> cập nhật phiên bản mới nhất, cài đặt
    chương trình diệt virus…)
    • Các thiết bị cá nhân (-> các chính sách sử dụng thiết bị cá nhân, cho phép tiến
    hành việc kiểm tra dữ liệu khi xảy ra mất dữ liệu, và buộc thôi việc…)
    • LAN domain: mạng máy tính nội bộ. Kiểm soát chặt về an toàn, kiểm
    soát truy cập
    • LAN-WAN domain: các vấn đề liên quan đến việc kết nối LAN với
    WAN và Internet
    LAN – WAN domain
    • Điểm kết nối ra bên ngoài với WAN và Internet
    1.2 IoT
    • Sự bùng nổ
    • Thế giới TCP/IP
    • Tác động IoT đến cuộc sống con người: học tập, nghiên cứu, vui chơi-
    giải trí…
    • Bùng nổ thương mại điện tử
    • IP di động và các ứng dụng di động
    • Các tác động:
    • Đến con người:
    • Y tế
    • An ninh cuộc sống
    • Thời gian biểu
    • Thanh toán hóa đơn điện tử
    • Mua sắm hàng hóa trực tuyến
    • Kết nối Internet mọi lúc
    • Các tác động (tt)
    • Đến kinh doanh:
    • Cửa hàng bán lẻ
    • Không gian làm việc ảo
    • Các ứng dụng quản lý lưu thông công cộng
    • Mô hình B2C (Business to Consumer)
    • Các ứng dụng AaaS (Anything as a Service): cloud
    1.3 Các tấn công, đe dọa và lỗ hổng
    • Mã độc: virus, trojan, worm, ransomware
    • Các tấn công: backdoor, MITM, Replay…
    • Các lỗ hổng dịch vụ, ứng dụng
    1.4 Các mục tiêu bảo mật thông tin
    doanh nghiệp
    • Mỗi một tổ chức đều có các công việc nhằm đạt các mục tiêu đề ra. Để
    có thể đạt được mục tiêu thì cần phải có các nguồn lực.
    • Con người
    • Thông tin
    • Các điều kiện
    • Các biện pháp bảo mật thông tin sẽ hổ trợ trực tiếp đến một vài nguồn
    lực phổ biến: tuân thủ và nổ lực bảo vệ sở hữu trí tuệ.
    • Bảo mật thông tin cũng có tác động xấu đến các nguồn lực -> khó đạt
    mục tiêu
    • Quản trị rủi ro
    • Quản trị rủi ro?
    • Quá trình xác định, đánh giá, phân cấp độ ưu tiên và chỉ ra các rủi ro
    • Kế hoạch lặp đi lặp lại
    Hiện thực BIA, BCP và DRP
    • Mục tiêu chính của quản trị rủi ro là ngăn chặn các mối đe dọa đã nhận
    biết được.
    • Không thể thấy trước và ngăn chặn các rủi ro.
    -> phát triển và hiện thực các phương pháp và các kỹ thuật nhằm bảo vệ
    hoạt động kinh doanh không bị gián đoạn
    -> hiện thực BIA, BCP và DRP
    BIA (phân tích tác động kinh doanh)
    • Business Impact Analysis
    • Phân tích các chức năng và hoạt động nhằm phân loại chúng (quan
    trọng/không quan trọng)
    • Định hình hướng giải quyết kế hoạch kinh doanh liên tục và kế hoạch
    phục hồi khi có sự cố
    • Sắp xếp trình tự các hoạt động quan trọng nhằm xác định trình tự phục
    hồi các chức năng khi xảy ra sự cố
    • Hổ trợ quản trị rủi ro và kế hoạch ứng phó với các biến cố
    BCP (Kế hoạch kinh doanh liên tục)
    • Business Continuity Plan
    • Lập kế hoạch cho đáp ứng có cấu trúc khi sự cố xảy ra trong hệ thống
    • BIA phải thực hiện trước BCP. BIA định ra các tài nguyên mà BCP
    cần
    • Không phát triển BCP cho các tài nguyên không quan trọng trong kinh
    doanh
    • BCP chỉ ra các quá trình, tài nguyên, công cụ và các thiết bị cần cho
    các hoạt động kinh doanh quan trọng.
    • Phải có độ ưu tiên: con người, các chức năng và hoạt động quan trọng,
    cơ sở hạ tầng IT (7 domain)
    DRP (Kế hoạch phục hồi khi có sự cố)
    • Disaster Recovery Plan
    • Chỉ ra các hoạt động cần thiết để phục hồi tài nguyên sau khi xảy ra sự
    cố
    • Là một phần của BCP
    Đánh giá rủi ro, mối đe dọa và lỗ hổng
    • Risk = Threat X Vulnerability
    Tuân thủ các luật
    • Tuân thủ các luật và quy định SOX, HIPAA, FFIEC, FISMA, COPPA,

    • Tuân thủ luật riêng của từng quốc gia
    • Ví dụ: luật an ninh mạng
    • Trách nhiệm của các doanh nghiệp phải hiểu, áp dụng, tuân thủ
    Bảo mật dữ liệu cá nhân
    • Chú ý tính bảo mật nhiều hơn cả hai tính chất còn lại của thông tin
    • Xác thực, ủy quyền và lưu trữ hồ sơ truy cập (AAA)
    Xác thực
    • Mật khẩu và các số định danh (PINs)
    • Thẻ thông minh và các token
    • Các thiết bị sinh học
    • Các chứng nhận số
    • Xác thực challenge-response
    • Xác thực Kerberos
    • OTP (one-time password)
    Ủy quyền
    • Sau khi xác thực thành công, kiểm soát truy cập sẽ đảm bảo việc truy
    cập đúng dữ liệu được phép
    • Các công cụ được sử dụng
    • Authentication server rules and permissions
    • ACL
    • IDS/IPS
    • Kiểm soát truy cập vật lý
    • Lọc kết nối và truy xuất
    • Lọc lưu lượng mạng

    You might also like