Câu 1:

Các định nghĩa:

Hiểm họa: Bao gồm tập hợp những tác nhân xấu có khả năng ảnh hưởng tới an ninh của hệ

thống.

Lỗ hổng :là những khiểm khuyết trong chức năng, thành phần nào đó của HTTT mà có thể

bị lợi dụng để gây hại cho hệ thống. (thực tế đã bị khai thác). Về bản chất chúng là những lỗ

hống có thể bị khai thác bởi các hiếm họa để làm hư hại.

Điểm yếu: Những lỗ hồng không lường trước phát sinh trong quá trình thiết kế, triển khai,

hoạt động của hệ thống.

Rủi ro: là khả năng một cái gì đó xấu sẽ xảy ra. Để một rủi ro xảy ra trong môi trường cụ thế

cần phải có cả một hiểm họa và một lỗ hống mà hiếm họa cụ thể có thể khai thác.

Các thành phần trong mô hình CIA:

1. Tính bí mật

Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không được xác thực hoặc
để lọt vào

các hệ thống khác. Ví dụ: một giao dịch tín dụng qua Internet, số thẻ tín dụng được gửi từ người mua
hàng đến

người bán, và từ người bán đến nhà cung cấp dịch vụ thẻ tín dụng. Hệ thống sẽ cố gắng thực hiện tính bí
mật

bằng cách mã hóa số thẻ trong suốt quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu,
log file,

sao lưu (backup), in hóa đơn...) và bằng việc giới hạn truy cập những nơi mà nó được lưu lại. Nếu một
bên không

được xác thực (ví dụ người dùng không có trong giao dịch, hacker.) lấy số thẻ này bằng bất kì cách nào,
thì tính

bí mật không còn nữa.

Tính bí mật rất cần thiết (nhưng chưa đủ) để trì sự riêng tư của người có thông tin được hệ thống lưu
giữ.

2. Tính toàn vẹn

Trong an toàn thông tin, toàn vẹn có nghĩa rằng dữ liệu không thể bị chỉnh sửa mà không bị phát hiện.
Nó khác với
tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như là một trường hợp
đặc biệt của

tính nhất quán như được hiểu trong hô hình cổ điển ACID (tính nguyên tử (atomicity), tính nhất quán
(consistency),

tính tính cách ly (isolation), tính lâu bền (durability)–là một tập các thuộc tính đảm bảo rằng cơ sở dữ
liệu đáng tin

cây) của xử lý giao dịch. Tính toàn vẹn bị xâm phạm khi một thông điệp bị chỉnh sửa trong giao dịch. Hệ
thống

thông tin an toàn luôn cung cấp các thông điệp toàn vẹn và bí mật.

3. Tính sẵn sàng

Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải luôn luôn sẵn sàng khi cần
thiết. Điều

đó có nghĩa rằng hệ thống tính toán sử dụng để lưu trữ và xử lý thông tin, có một hệ thống điều khiển
bảo mật sử

dụng để bảo vệ nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác. Hệ thống có
tính sẵn

sàng cao hướng đến sự sẵn sàngởmọi thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm
như: sự

cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống... đảm bảo tính sẵn sàng cũng có nghĩa là
tránh được

tấn công từ chối dịch vụ.

4. Tính xác thực

Trong hoạt động tính toán, kinh doanh qua mạng và an toàn thông tin, tính xác thực là vô cùng cần thiết
để đảm

bảo rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu (tài liệu điện tử hoặc tài liệu cứng) đều là thật
(genuine). Nó

cũng quan trọng cho việc xác nhận rằng các bên liên quan biết họ là ai trong hệ thống.

5. Tính không thể chối cãi

Không thể chối cãi có nghĩa rằng một bên giao dịch không thể phủ nhận việc họ đã thực hiện giao dịch
với các bên

khác. Ví dụ: trong khi giao dịch mua hàng qua mạng, khi khách hàng đã gửi số thẻ tín dụng cho bên bán,
đã thanh

toán thành công, thì bên bán không thể phủ nhận việc họ đã nhận được tiền, (trừ trường hợp hệ thống
không đảm
bảo tính an toàn thông tin trong giao dịch).

Câu 2:

3.1.1. Ưu điểm của hệ thống NIDS

•Chỉ cần một vài vị trí đặt các bộ cảm ứng tốt thì có thể giám sát tồn bộ cả hệ

thông mạng lớn.•

Việc thiết lập một hệ thống NIDS ít gây ra ảnh hưởng với mạng đang tồn tại. Chúng thường là các thiết

bị thụ động chỉ lắng nghe trên mạng thoi chứ khơng

ảnh hưởng đến các hoạt động bình thường của mạng. Thêm nữa nó lại rất dễ dàng trong việc trang bị

cho hệ thống an ninh của một mạng máy tính.

•NIDS có thể chống lại các cuộc tấn cơng một cách có hiệu quả trong khi nó lại

rất khó bị phát hiện của các kẻ tấn công.

3.1.2. Nhược điểm của hệ thống NIDS

•Nó có thể gặp khó khăn trong việc phân tích tồn bộ các gói tin trong một hệ

thông mạng lớn hoặc mạng đang trong giờ cao điểm. Do đó nó có hể nhận lầm cá dấu hiệu của một

cuộc tấn công trnog suốt khoảng thời gian mà lưu lượng

sử dụng mạng tăng cao. Một vài nhà sản suất đã cố gắng khắc phục điều này bằng cách xây dựng các

thiết bị NIDS bằng phần cứng giúp chúng có thể chạy

nhanh hơn rất nhiều. Sự cần thiế của việc phân tích nhanh buộc các nhà sản suất phải đáp ứng được

yêu cầu là phân tích nhanh nhưng lại tốn ít tài nguyên

của hệ thống đến thấp nhất có thể.

•Hầu hết các ưu điểm của NIDS lại không thể áp dụng vào mơ hình mạng dựa

trên các chuyển mạch Switch based network. Các Switch chi các mạng ra thành các phân đoạn mạng

nhỏ hơn và nó cung cấp các đường kết nối dành

sẵn cho các trạm mà nó phục vụ. Hầu hết các Switch đều không cung cấp cổng đegiám sát mọi cổng

các gói tin từ các cổng khác đều được gửi đến cổng

này. Điều này làm giảm khoảng giám sát của các bộ cảm biến đến các máy trạm riêng biệt. Ngay cả khi

các Switch có cá cổng phục vị cho việc giám sát

thì chúng cũng khơng thể được cung cấp hết tồn bộ giao thơng lưu chuyển qua Switch đó.

•NIDS khơng thể phân tích các thơng tin đã bị mã hoá. Vấn đề này sẽ trở nên
nghiêm trọng hơn rong các tổ chức sử dụng mạng riêng ảo VPN- Virtual Private Network.

•Hầu hết các NIDS đều khơng thể nói chính xác một cuộc tấn cơng đã được

tiến hành thành cơng hay chưa. Nó chỉ có thể nhận ra một cuộc tấn công đã được bắt đầu. Điều này

có nghĩa là sau khi hệ thống NODS phát hiện ra cuộc

tấn cơng thì nhà quản trị phải tự mình kiểm tra xem các máy trạm đã bị tấn cơng để xác định rằng thực

tế nó đã bị thâm nhập chưa.

•Một vài hệ thống NIDS có vấn đề với các cuộc tấn cơng vào mạng sử dụng

các gói tin phân đoạn. Những gói tin kiểu này sẽ làm cho hệ thống NIDS bị vô hiệu.

3.2. Host based IDS HIDS

Ưu điểm

Xác định được kết quả của cuộc tấn công: Do HIDS sử dụng dữ liệu log lưu các sự kiện xảy ra, nó có

thể biết được cuộc tấn công là thành công hay thất

bại với độ chính xác cao hơn NIDS. Vi thế, HIDS có thể bổ sung thơng tin tiếp theo khi cuộc tấn cơng

được sớm phát hiện với NIDS.

Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát các hoạt động mà NIDS

không thể như: truy nhập file, thay đổi quyền, các hành

động thực thi, truy nhập dịch vụ được phân quyền. Đồng thời nó cũng giám sát các hoạt động chỉ được

thực hiện bởi người quản trị. Vì thế, hệ thống

host-based IDS có thể là một cơng cụ cực mạnh để phân tích các cuộc tấn cơng có thể xảy ra do nó

thường cung cấp nhiều thơng tin chi tiết và chính

xác hơn một hệ network-based IDS.

Phát hiện các xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn phím xâm nhập vào

một server sẽ khơng bị NIDS phát hiện.

Thích nghi tốt với mơi trường chuyển mạch, mã hoá: Việc chuyển mạch và mã hoá thực hiện trên

mạng và do HIDS cài đặt trên máy nên nó khơng bị

ảnh hưởng bởi hai kỹ thuật trên.

Khơng yêu cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có sẵn FTP Server,

WebServer nên HIDS không yêu cầu phải cài đặt thêm các

phần cứng khác.

Nhược điểm

Khó quản trị:các hệ thống host-baseducầu phải được cài đặt trên tất cả các thiết bị đặc biệt mà bạn

muốn bảo vệ. Đây là một khối lượng cơng việc

lớn để cấu hình, quản lí, cập nhật.

Thơng tin nguồn khơng an tồn: một vấn đề khác kết hợp với các hệ thống host-based là nó hướng đến

việc tin vào nhật ký mặc định và năng lực kiểm

sốt của server. Các thơng tin này có thể bị tấn công và đột nhập dẫn đến hệ thống hoạt đơng sai,

khơng phát hiện được xâm nhập.

Hệ thống host-based tương đối đắt:nhiều tổ chức không có đủ nguồn tài chính để bảo vệ tồn bộ các

đoạn mạng của mình sử dụng các hệ thống host-

based. Những tổ chức đó phải rất thận trọng trong việc chọn các hệ thống nào để bảo vệ. Nó có thể để

lại các lỗ hổng lớn trong mức độ bao phủ phát

hiện xâm nhập. Ví dụ như một kẻ tấn công trên một hệ thống láng giềng không được bảo vệ có thể

đánh hơi thấy các thơng tin xác thực hoặc các tài

liệu dễ bị xâm phạm khác trên mạng.

Chiếm tài nguyên hệ thống:Do cài đặt trên các máy cần bảo vệ nên HIDS phải sử dụng các tài

nguyên của hệ thống để hoạt động như: bộ vi xử lí,

RAM, bộ nhớ ngoài.

Câu 3:

-Signature-Based: Đây là các IDS hoạt động dựa trên chữ ký, giám sát các gói tin trên mạng tương

tự như cách phần mềm diệt virus hoạt động. Tuy nhiên Signature-Based có thể không phát hiện

được những mối đe dọa mới, khi chữ ký để nhận biết nó chưa được IDS cập nhật.

-Anomaly-Based: IDS này được sử dụng để phát hiện mối đe dọa dựa trên sự bất thường.

Anomaly-Based sẽ giám sát traffic mạng và so sánh với baseline đã được thiết lập từ trước.

Baseline sẽ xác định đâu là mức bình thường của mạng và cảnh báo cho quản trị viên mạng hoặc

người dùng khi phát hiện traffic truy cập bất thường hoặc khác biệt so với baseline.