Professional Documents
Culture Documents
Bài tập ATTT
Bài tập ATTT
Hiểm họa: Bao gồm tập hợp những tác nhân xấu có khả năng ảnh hưởng tới an ninh của hệ
thống.
Lỗ hổng :là những khiểm khuyết trong chức năng, thành phần nào đó của HTTT mà có thể
bị lợi dụng để gây hại cho hệ thống. (thực tế đã bị khai thác). Về bản chất chúng là những lỗ
hống có thể bị khai thác bởi các hiếm họa để làm hư hại.
Điểm yếu: Những lỗ hồng không lường trước phát sinh trong quá trình thiết kế, triển khai,
Rủi ro: là khả năng một cái gì đó xấu sẽ xảy ra. Để một rủi ro xảy ra trong môi trường cụ thế
cần phải có cả một hiểm họa và một lỗ hống mà hiếm họa cụ thể có thể khai thác.
1. Tính bí mật
Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không được xác thực hoặc
để lọt vào
các hệ thống khác. Ví dụ: một giao dịch tín dụng qua Internet, số thẻ tín dụng được gửi từ người mua
hàng đến
người bán, và từ người bán đến nhà cung cấp dịch vụ thẻ tín dụng. Hệ thống sẽ cố gắng thực hiện tính bí
mật
bằng cách mã hóa số thẻ trong suốt quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu,
log file,
sao lưu (backup), in hóa đơn...) và bằng việc giới hạn truy cập những nơi mà nó được lưu lại. Nếu một
bên không
được xác thực (ví dụ người dùng không có trong giao dịch, hacker.) lấy số thẻ này bằng bất kì cách nào,
thì tính
Tính bí mật rất cần thiết (nhưng chưa đủ) để trì sự riêng tư của người có thông tin được hệ thống lưu
giữ.
Trong an toàn thông tin, toàn vẹn có nghĩa rằng dữ liệu không thể bị chỉnh sửa mà không bị phát hiện.
Nó khác với
tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như là một trường hợp
đặc biệt của
tính nhất quán như được hiểu trong hô hình cổ điển ACID (tính nguyên tử (atomicity), tính nhất quán
(consistency),
tính tính cách ly (isolation), tính lâu bền (durability)–là một tập các thuộc tính đảm bảo rằng cơ sở dữ
liệu đáng tin
cây) của xử lý giao dịch. Tính toàn vẹn bị xâm phạm khi một thông điệp bị chỉnh sửa trong giao dịch. Hệ
thống
thông tin an toàn luôn cung cấp các thông điệp toàn vẹn và bí mật.
Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải luôn luôn sẵn sàng khi cần
thiết. Điều
đó có nghĩa rằng hệ thống tính toán sử dụng để lưu trữ và xử lý thông tin, có một hệ thống điều khiển
bảo mật sử
dụng để bảo vệ nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác. Hệ thống có
tính sẵn
sàng cao hướng đến sự sẵn sàngởmọi thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm
như: sự
cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống... đảm bảo tính sẵn sàng cũng có nghĩa là
tránh được
Trong hoạt động tính toán, kinh doanh qua mạng và an toàn thông tin, tính xác thực là vô cùng cần thiết
để đảm
bảo rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu (tài liệu điện tử hoặc tài liệu cứng) đều là thật
(genuine). Nó
cũng quan trọng cho việc xác nhận rằng các bên liên quan biết họ là ai trong hệ thống.
Không thể chối cãi có nghĩa rằng một bên giao dịch không thể phủ nhận việc họ đã thực hiện giao dịch
với các bên
khác. Ví dụ: trong khi giao dịch mua hàng qua mạng, khi khách hàng đã gửi số thẻ tín dụng cho bên bán,
đã thanh
toán thành công, thì bên bán không thể phủ nhận việc họ đã nhận được tiền, (trừ trường hợp hệ thống
không đảm
bảo tính an toàn thông tin trong giao dịch).
Câu 2:
•Chỉ cần một vài vị trí đặt các bộ cảm ứng tốt thì có thể giám sát tồn bộ cả hệ
Việc thiết lập một hệ thống NIDS ít gây ra ảnh hưởng với mạng đang tồn tại. Chúng thường là các thiết
bị thụ động chỉ lắng nghe trên mạng thoi chứ khơng
ảnh hưởng đến các hoạt động bình thường của mạng. Thêm nữa nó lại rất dễ dàng trong việc trang bị
•NIDS có thể chống lại các cuộc tấn cơng một cách có hiệu quả trong khi nó lại
•Nó có thể gặp khó khăn trong việc phân tích tồn bộ các gói tin trong một hệ
thông mạng lớn hoặc mạng đang trong giờ cao điểm. Do đó nó có hể nhận lầm cá dấu hiệu của một
cuộc tấn công trnog suốt khoảng thời gian mà lưu lượng
sử dụng mạng tăng cao. Một vài nhà sản suất đã cố gắng khắc phục điều này bằng cách xây dựng các
nhanh hơn rất nhiều. Sự cần thiế của việc phân tích nhanh buộc các nhà sản suất phải đáp ứng được
yêu cầu là phân tích nhanh nhưng lại tốn ít tài nguyên
•Hầu hết các ưu điểm của NIDS lại không thể áp dụng vào mơ hình mạng dựa
trên các chuyển mạch Switch based network. Các Switch chi các mạng ra thành các phân đoạn mạng
sẵn cho các trạm mà nó phục vụ. Hầu hết các Switch đều không cung cấp cổng đegiám sát mọi cổng
các gói tin từ các cổng khác đều được gửi đến cổng
này. Điều này làm giảm khoảng giám sát của các bộ cảm biến đến các máy trạm riêng biệt. Ngay cả khi
thì chúng cũng khơng thể được cung cấp hết tồn bộ giao thơng lưu chuyển qua Switch đó.
•NIDS khơng thể phân tích các thơng tin đã bị mã hoá. Vấn đề này sẽ trở nên
nghiêm trọng hơn rong các tổ chức sử dụng mạng riêng ảo VPN- Virtual Private Network.
•Hầu hết các NIDS đều khơng thể nói chính xác một cuộc tấn cơng đã được
tiến hành thành cơng hay chưa. Nó chỉ có thể nhận ra một cuộc tấn công đã được bắt đầu. Điều này
tấn cơng thì nhà quản trị phải tự mình kiểm tra xem các máy trạm đã bị tấn cơng để xác định rằng thực
•Một vài hệ thống NIDS có vấn đề với các cuộc tấn cơng vào mạng sử dụng
các gói tin phân đoạn. Những gói tin kiểu này sẽ làm cho hệ thống NIDS bị vô hiệu.
Ưu điểm
Xác định được kết quả của cuộc tấn công: Do HIDS sử dụng dữ liệu log lưu các sự kiện xảy ra, nó có
thể biết được cuộc tấn công là thành công hay thất
bại với độ chính xác cao hơn NIDS. Vi thế, HIDS có thể bổ sung thơng tin tiếp theo khi cuộc tấn cơng
Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát các hoạt động mà NIDS
không thể như: truy nhập file, thay đổi quyền, các hành
động thực thi, truy nhập dịch vụ được phân quyền. Đồng thời nó cũng giám sát các hoạt động chỉ được
host-based IDS có thể là một cơng cụ cực mạnh để phân tích các cuộc tấn cơng có thể xảy ra do nó
Phát hiện các xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn phím xâm nhập vào
Thích nghi tốt với mơi trường chuyển mạch, mã hoá: Việc chuyển mạch và mã hoá thực hiện trên
Khơng yêu cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có sẵn FTP Server,
WebServer nên HIDS không yêu cầu phải cài đặt thêm các
Khó quản trị:các hệ thống host-baseducầu phải được cài đặt trên tất cả các thiết bị đặc biệt mà bạn
Thơng tin nguồn khơng an tồn: một vấn đề khác kết hợp với các hệ thống host-based là nó hướng đến
sốt của server. Các thơng tin này có thể bị tấn công và đột nhập dẫn đến hệ thống hoạt đơng sai,
Hệ thống host-based tương đối đắt:nhiều tổ chức không có đủ nguồn tài chính để bảo vệ tồn bộ các
based. Những tổ chức đó phải rất thận trọng trong việc chọn các hệ thống nào để bảo vệ. Nó có thể để
hiện xâm nhập. Ví dụ như một kẻ tấn công trên một hệ thống láng giềng không được bảo vệ có thể
đánh hơi thấy các thơng tin xác thực hoặc các tài
Chiếm tài nguyên hệ thống:Do cài đặt trên các máy cần bảo vệ nên HIDS phải sử dụng các tài
Câu 3:
-Signature-Based: Đây là các IDS hoạt động dựa trên chữ ký, giám sát các gói tin trên mạng tương
tự như cách phần mềm diệt virus hoạt động. Tuy nhiên Signature-Based có thể không phát hiện
được những mối đe dọa mới, khi chữ ký để nhận biết nó chưa được IDS cập nhật.
-Anomaly-Based: IDS này được sử dụng để phát hiện mối đe dọa dựa trên sự bất thường.
Anomaly-Based sẽ giám sát traffic mạng và so sánh với baseline đã được thiết lập từ trước.
Baseline sẽ xác định đâu là mức bình thường của mạng và cảnh báo cho quản trị viên mạng hoặc
người dùng khi phát hiện traffic truy cập bất thường hoặc khác biệt so với baseline.