Handout AISe C5

Học phần
An toàn thông tin kế toán

(Accounting Information Security – AISe)
Chương 5: Kiểm soát an toàn
TS. Phan Thị Bảo Quyên

Updated to 10 March 2021 1
Mục tiêu chương

Sau khi kết thúc chương, SV có thể:
• Hiểu vai trò của kiểm soát truy cập trong hệ
thống thông tin – Định nghĩa xác thực và ba
nhân tố xác thực phổ biến
• Hiểu cơ bản tường lửa và các loại tường lửa
• Hiểu Kiểm soát truy cập từ xa và mạng riêng ảo
(VPN)
• Hiểu và thảo luận về mối quan hệ giữa an toàn
thông tin và an toàn vật lý – một số kiểm soát an
toàn vật lý
• Hiểu về Đánh chặn dữ liệu
• Hiểu về An toàn máy tính và thiết bị di động
10 March 2021 2
Nội dung
1. Kiểm soát truy cập - Access control
2. Tường lửa – Firewall
3. Bảo vệ kết nối từ xa - Protecting remote
connections
4. Kiểm soát truy cập vật lý – Physical Access control
Kiểm soát an toàn vật lý – Physical security
control
5. Sự đánh chặn dữ liệu – Interception of data
6. An toàn hệ thống di động - Securing Mobile and
Portable Systems  An toàn máy tính từ xa
7. Những cân nhắc đặc biệt cho an toàn vật lý -
Special considerations for physical security
10 March 2021 3
1
3
Thuật ngữ
Key terms Thuật ngữ
Access control Kiểm soát truy cập
Access control list (ACL) Danh sách kiểm soát truy cập
Access control matrix Ma trận kiểm soát truy cập
Attribute-based access control (ABAC) Kiểm soát truy cập dựa trên thuộc tính
Accountability Sự giải trình
Authentication Xác thực
Authorization Phân quyền
Badge Phù hiệu
Biometrics access control Kiểm soát truy cập sinh trắc học
Capabilities table Bảng khả năng
Discretionary access controls (DACs) Kiểm soát truy cập tùy ý
Electromagnetic radiation (EMR) Bức xạ điện từ
Thuật ngữ
Facilities management Quản lý cơ sở vật chất
Firewall Tường lửa
Hybrid VPN VPN lai
Identification Nhận dạng
Identification (ID) card Thẻ định danh
Interception of data Sự đánh chặn dữ liệu
Lattice-based access control (LBAC) Kiểm soát truy cập dựa trên
mạng ma trận
Mandatory access control (MAC) Kiểm soát truy cập bắt buộc
Mantrap Bẫy
Nondiscretionary access controls (NDACs) Kiểm soát truy cập không tùy ý
Passphrase Cụm mật khẩu
Password Mật khẩu
Thuật ngữ
Physical security An toàn vật lý
Role-based access control (RBAC) Kiểm soát truy cập dựa trên vai trò
Secure facility Cơ sở an ninh
Secure VPN VPN bảo mật
Task-based access control (BAC) Kiểm soát truy cập dựa trên nhiệm vụ
Telecommuting Làm việc từ xa
Telecommuter Người làm việc từ xa
Trusted network Mạng tin cậy
Trusted VPN VPN tin cậy
Untrusted network Mạng không tin cậy
Virtual organization Tổ chức ảo
Virtual Private networks (VPNs) Mạng riêng ảo
Virtual password Mật khẩu ảo
2
6
Nội dung
connections
control
10 March 2021 7

1.2 Cơ chế kiểm soát truy cập (Access control
mechanisms)
1.2. Sinh trắc học (Biometrics)
1.3. Các mô hình kiến trúc kiểm soát truy cập

(Access control architecture models)
10 March 2021 8
1. Kiểm soát truy cập (Access Control)

• Kiểm soát truy cập là phương pháp mà hệ thống xác
định cách thức cho phép người dùng vào khu vực tin
cậy của tổ chức, đó là hệ thống thông tin, khu vực
hạn chế như phòng máy tính và toàn bộ vị trí vật lý.
• Kiểm soát truy cập tập trung vào các quyền hoặc
đặc quyền mà một chủ thể (người dùng hoặc hệ
thống) có trên một đối tượng (tài nguyên/nguồn
lực), bao gồm: khi nào và từ đâu mà một chủ thể có
thể truy cập vào một đối tượng và đặc biệt là làm thế
nào chủ thể có thể sử dụng đối tượng đó.
9
3
9
Kiểm soát truy cập đạt được thông qua:
Chính Chương
sách trình
Công nghệ
10
10
Các loại kiểm soát truy cập

Kiểm soát truy cập tùy ý Kiểm soát truy cập không tùy ý
Discretionary access controls (DACs) Nondiscretionary access controls
(NDACs)
Theo quyết định hoặc tùy chọn của Thực hiện theo cơ quan trung tâm.
người dùng dữ liệu. (Kiểm soát truy cập dựa trên ma trận
Truy cập không hạn chế, phân quyền (lattice-based access
hoặc giới hạn người, nhóm người control-LBAC)
có thể truy cập vào tài nguyên. Người dùng được gán một ma trận
Ví dụ: người dùng có thể có một ổ phân quyền cho các khu vực truy
cứng chứa thông tin được chia sẻ với cập cụ thể.
đồng nghiệp. Người dùng này có thể Việc phân quyền khác nhau giữa các
chọn cho phép các đồng nghiệp truy cấp.
cập bằng cách cung cấp quyền truy Ma trận phân quyền gồm các chủ
cập theo tên trong chức năng chia sẻ thể và đối tượng và các đường biên
kiểm soát. của mội cặp chủ thể - đối tượng.
Xác định mức độ truy cập của từng
chủ thể đối với từng đối tượng
11
11
Kiểm soát truy cập không tùy ý

Access control list (ACL) Capabilities tables
(In a lattice-based access
control)
Chi tiết về phân quyền cho Thể hiện từng dòng thuộc
người dùng tính kết hợp với từng chủ
Bao gồm danh sách người thể cụ thể.
dùng truy cập, ma trận và
bảng khả năng.
12
4
12
Mandatory (theo mệnh lệnh) Role/ task (vai trò/ nhiệm vụ)
Sử dụng các sơ đồ phân loại dữ (role-based access controls -
liệu, cung cấp cho người dùng RBAC)
và chủ sở hữu dữ liệu quyền Quyền gắn với vai trò của
kiểm soát hạn chế vào tài người dùng, được kế thừa khi
nguyên thông tin. người dùng được chỉ định vai
Thông tin được xếp hạng và tất trò đó.
cả người dùng được xếp hạng (task-based access controls-
để chỉ định mức thông tin họ có TBAC).
thể truy cập. Quyền gắn với nhiệm vụ, được
Xếp hạng theo mức độ nhạy kế thừa khi người dùng chỉ
cảm và mức độ bảo mật thông định nhiệm vụ
tin.  Nhiệm vụ tạm thời hơn vai
trò
13
13

• Các kiểm soát dựa trên vai trò được liên kết với các nhiệm vụ mà
người dùng thực hiện trong một tổ chức, như: vị trí hoặc phân công
tạm thời như người quản lý dự án, trong khi các kiểm soát dựa trên
nhiệm vụ được gắn với một công việc hoặc trách nhiệm cụ thể, như:
quản trị viên máy in của bộ phận.
• TBAC là kiểm soát truy cập vai trò phụ và phương pháp cung cấp
kiểm soát chi tiết hơn đối với các bước hoặc giai đoạn liên quan đến
vai trò hoặc dự án. Các kiểm soát này giúp dễ dàng duy trì các hạn
chế liên quan đến một vai trò hoặc nhiệm vụ cụ thể, đặc biệt nếu
những người khác nhau thực hiện vai trò hoặc nhiệm vụ.
• Thay vì liên tục phân công và thu hồi các đặc quyền của nhân viên
đến và đi, quản trị viên chỉ cần gán quyền truy cập cho vai trò hoặc
nhiệm vụ. Sau đó, khi người dùng được liên kết với vai trò hoặc nhiệm
vụ đó, họ sẽ tự động nhận được quyền truy cập tương ứng. Khi lượt
của họ kết thúc, họ sẽ bị xóa khỏi vai trò hoặc nhiệm vụ và quyền truy
cập bị thu hồi.
• Vai trò có xu hướng kéo dài trong một thời gian dài hơn và có liên
quan đến một vị trí, trong khi các nhiệm vụ có nhiều chi tiết và ngắn
hạn hơn nhiều. Trong một số tổ chức các thuật ngữ được sử dụng
đồng nghĩa.
14
14
Các loại kiểm soát truy cập

These definitions were later codified in the Trusted Computer System
Evaluation Criteria (TCSEC) documents from the U.S. Department of
Defense (DoD)
15
5
15
Theo National Institute of Standards and Technology (NIST)
• Một cách tiếp cận mới hơn đối với các kiểm soát truy
cập dựa trên ma trận là các kiểm soát truy cập dựa trên
thuộc tính (attribute-based access controls-ABAC).
Attribute-based access control (ABAC): là cách tiếp cận kiểm
soát truy cập do tổ chức chỉ định việc sử dụng các đối
tượng dựa trên một số thuộc tính của người dùng hoặc hệ
thống.
16
16
1.1 Cơ chế kiểm soát truy cập (Access

control mechanisms)
Cơ chế Nội dung
Nhận dạng (Identification) Tôi là người dùng hệ thống
Xác thực (Authentication) Tôi có thể chứng minh tôi là người

dùng hệ thống
Đây là những gì tôi có thể làm với

Phân quyền (Authorization)
hệ thống
Bạn có thể theo dõi và giám sát việc

Truy vết (Accountability) sử dụng hệ thống của tôi
17
1.1 Cơ chế kiểm soát truy cập

Nhận dạng (Identification)
• Là một cơ chế mà các thực thể chưa được xác thực, tìm
kiếm quyền truy cập vào tài nguyên, được cung cấp
một mã định danh - identifier (ID)
• Một số tổ chức sử dụng mã định danh tổng hợp bằng
cách nối các phần tử (mã bộ phận, số ngẫu nhiên hoặc
ký tự đặc biệt) để tạo mã nhận dạng duy nhất. Hoặc
tạo ID ngẫu nhiên
• Hầu hết các tổ chức sử dụng một phần thông tin duy
nhất, như tên đầy đủ hoặc họ và tên đầu tiên của
người dùng.
18
6
18
Xác thực (Authentication)
• Cơ chế kiểm soát truy cập yêu cầu xác thực và xác
minh danh tính của thực thể chưa được xác thực.
• Cơ chế xác thực:
 Cái bạn biết – something you know: password, PIN
 Cái bạn có – something you have: ATM
 Cái thuộc về bạn - something you are: khuôn mặt, vân
tay, giọng nói
19
19

Xác thực (Authentication)
• Thảo luận Something you know
1. Vấn đề gia tăng số lượng user name & password
của mỗi cá nhân?
2. Vấn đề ghi nhớ password?
20
20

• Là sự thiết lập quyền giữa một thực thể được xác thực
và một danh sách các tài sản thông tin và các mức độ
truy cập tương ứng. Danh sách này thường là một ACL
hoặc ma trận kiểm soát truy cập (access control matrix).
• Chứng nhận phân quyền (Authorization credentials) –

phiếu phân quyền (authorization tickets), được cấp bởi
một người có thẩm quyền và được tất cả các hệ thống
công nhận.
21
7
21
Cách thức phân quyền Nội dung
 Phân quyền cho mỗi người  Xác minh từng thực thể
dùng  cấp quyền truy cập vào tài
nguyên
 Phân quyền cho các thành viên  So sánh (match) các thực thể
trong nhóm được xác thực với danh sách
thành viên nhóm.
 Cấp quyền truy cập vào các tài
nguyên dựa trên quyền truy cập
của nhóm.
 Phân quyền cho nhiều hệ thống  Hệ thống xác thực và phân

(xem thêm thông tin giải thích) quyền trung tâm xác minh danh
tính của một thực thể và cấp
quyền.
22
22

Cơ chế truy vết (Accountability – Auditability)
• Đảm bảo rằng tất cả các hành động trên một hệ
thống (được phân quyền hoặc không được phân
quyền) có thể được gán cho một danh tính được
xác thực.
• Thực hiện bằng phương tiện nhật ký hệ thống,
nhật ký cơ sở dữ liệu và kiểm toán các hồ sơ.
23
23

• Kiểm soát truy cập bằng sinh trắc học (Biometric
access control): sử dụng các đặc điểm sinh học để
xác thực và nhận dạng. Các công nghệ xác thực sinh
trắc học bao gồm:
 Dấu vân tay
 Dấu lòng bàn tay (palm print)
 Hình học tay (hand geometry)
 Nhận dạng khuôn mặt bằng thẻ ID có hình ảnh
 Nhận dạng khuôn mặt bằng máy ảnh kỹ thuật số.
 Mẫu mống mắt (retinal)
 Võng mạc (iris pattern)
24
8
24
Khả năng chấp nhận sinh trắc học
• Phải cân bằng giữa khả năng chấp nhận của hệ

thống an toàn đối với người dùng và tính hữu hiệu
của nó trong việc duy trì sự an toàn.
• Nhiều hệ thống sinh trắc học có độ tin cậy và hữu
hiệu cao bị người dùng coi là có thể xâm nhập.
• Do đó, theo nhiều chuyên gia an toàn thông tin thì
không nên thực hiện các hệ thống này để tránh đối
đầu và có thể bị người dùng tẩy chay các kiểm soát
sinh trắc học.
25
25
1.3. Mô hình kiến trúc kiểm soát truy cập (Access

Control Architecture Models)
• Những mô hình này minh họa sự triển khai kiểm

soát truy cập và giúp các tổ chức nhanh chóng gia
tăng triển khai thông qua việc sửa đổi (đọc thêm)
26
26
1.3. Mô hình kiến trúc kiểm soát truy cập
Mô hình
Mô hình
Mô hình
truyền
mới
thống
- Bell-LaPadula Confidentiality
Model
- Biba Integrity Model
TCSEC’s Trusted The Information The Common - Clark-Wilson Integrity Model
Computing Base Technology Criteria for - Graham-Denning Access
System Information Control Model
Evaluation Technology - Harrison-Ruzzo-Ullman Model
Criteria (ITSEC) Security - Brewer-Nash Model (Chinese
Evaluation Wall)
27
9
27
Nội dung
connections
control
10 March 2021 28
28
2. Tường lửa (Firewalls)

• Tường lửa: Trong bảo mật thông tin, sự kết hợp
giữa phần cứng và phần mềm có chức năng lọc
hoặc ngăn thông tin cụ thể di chuyển giữa mạng
bên ngoài và mạng bên trong.
• Tường lửa có thể là một hệ thống máy tính riêng
biệt, dịch vụ phần mềm chạy trên bộ định tuyến
hoặc máy chủ hoặc một mạng riêng có chứa
một số thiết bị hỗ trợ.
• Phân loại tường lửa: theo chế độ xử lý, thời đại
phát triển hoặc cấu trúc.
29
29
Tường lửa theo chế độ xử lý

(Firewall Processing Modes)
Loại tường lửa Đặc điểm
Packet-filtering firewalls Thiết bị mạng kiểm tra tiêu đề thông tin
của các gói dữ liệu đi vào một mạng và
xác định xem nên từ chối hay cho phép
chuyển tiếp đến kết nối mạng tiếp theo
dựa trên các quy tắc cấu hình của nó.
Application layer proxy firewalls Một thiết bị có khả năng hoạt động như
một tường lửa và application layer proxy
server
Media access control layer firewalls Tường lửa được thiết kế hoạt động ở lớp
con kiểm soát truy cập phương tiện của
lớp liên kết dữ liệu mạng (Lớp 2).
Hybrids Tường lửa kết hợp kết hợp các yếu tố của
các loại tường lửa khác: yếu tố của bộ lọc
gói, proxy lớp ứng dụng và tường lửa lớp
kiểm soát truy cập phương tiện.
30
10
30
Nội dung
connections
control
10 March 2021 31
31
3. Bảo vệ kết nối từ xa

(Protecting Remote Connections)
• Trước đây, các tổ chức đã cung cấp các kết nối từ xa
độc quyền thông qua các dịch vụ quay số như: Dịch
vụ xác thực từ xa - Remote Authentication Service
(RAS).
• Khi các kết nối Internet tốc độ cao đã trở thành xu
hướng, các tùy chọn khác như mạng riêng ảo (VPN)
đã trở nên phổ biến hơn.
32
32
3. Bảo vệ kết nối từ xa - Mạng riêng ảo

(Virtual Pirate Networks)
• VPN: Một mạng riêng tư an toàn hơn mạng công cộng. VPN
ẩn nội dung của các thông điệp trên mạng khỏi những người
quan sát có quyền truy cập vào mạng công cộng.
• VPN là sự triển khai của công nghệ mã hóa, mạng dữ liệu
riêng sử dụng cơ sở hạ tầng viễn thông công cộng để tạo
phương tiện liên lạc riêng thông qua giao thức đường hầm
(tunneling protocol) kết hợp với quy trình bảo mật.
 VPN được sử dụng để gia tăng an toàn trong kết nối giữa hệ
thống mạng nội bộ của tổ chức với các địa điểm khác.
 Có ba công nghệ VPN: VPN đáng tin cậy (Trust VPN), VPN an
toàn (secure VPN) và VPN lai (hybrid).
33
11
33
3. Bảo vệ kết nối từ xa - Mạng riêng ảo
(Virtual Pirate Networks)
Điều kiện để VPN đảm bảo an toàn và tin cậy trong môi trường
mạng công cộng (đọc thêm):
 Đóng gói (Encapsulation) dữ liệu đến và đi: giao thức gốc
(native protocol) của máy khách được nhúng trong các khung
của một giao thức có thể được định tuyến qua mạng công
cộng và có thể sử dụng được bởi môi trường mạng máy chủ.
 Mã hóa (Encryption) dữ liệu đến và đi: để giữ riêng tư nội
dung dữ liệu khi truyền qua mạng công cộng, nhưng máy
khách và máy chủ có thể sử dụng được.
 Xác thực (Authentication) máy tính (remote computer) và người
dùng từ xa: xác thực và phân quyền người dùng để thực hiện
các hành động cụ thể được xác định dựa trên nhận dạng
chính xác và đáng tin cậy của hệ thống và người dùng từ xa.
34
34
Nội dung
connections
4. Kiểm soát truy cập vật lý – Physical Access
control Kiểm soát an toàn vật lý – Physical
security control
10 March 2021 35
35
4. Kiểm soát truy cập vật lý

• Chính sách an toàn vật lý hướng dẫn người dùng cách sử
dụng phù hợp tài nguyên máy tính và tài sản thông tin, bảo
vệ sự an toàn trong các hoạt động hàng ngày.
• An toàn vật lý được thiết kế và triển khai theo nhiều lớp. Mỗi
bên có lợi ích liên quan trong đơn vị chịu trách nhiệm về các
thành phần trong các lớp kiểm soát này:
 Ban quản lý chung
 Quản lý IT và chuyên gia
 Ban quản lý và các chuyên gia an toàn thông tin
36
12
36
• Kiểm soát truy cập vật lý là các biện pháp quản lý sự
di chuyển của mọi người trong các cơ sở vật chất
của tổ chức, kiểm soát quyền truy cập vật lý của họ
vào các nguồn lực của công ty.
• Một số công nghệ được sử dụng để kiểm soát truy

cập vật lý: sinh trắc học, thẻ thông minh và thẻ khóa
hỗ trợ không dây (wireless-enabled keycards)
37
37

• Ban quản lý chung của một tổ chức giám sát an toàn
vật lý của tổ chức đó.
• Kiểm soát của một tòa nhà được điều hành bởi một
nhóm gọi là ban quản lý cơ sở vật chất.
• Ban quản lý cơ sở vật chất: Các khía cạnh của quản
lý tổ chức tập trung vào việc phát triển và bảo trì các
tòa nhà và cơ sở hạ tầng vật chất của nó.
• Các tổ chức lớn hơn có thể có toàn bộ nhân viên
chuyên trách quản lý cơ sở vật chất, trong khi các tổ
chức nhỏ hơn thường thuê ngoài làm nhiệm vụ này.
38
38

• Trong quản lý cơ sở vật chất, thuật ngữ cơ sở an
ninh được hiểu là: Vị trí thực tế có các biện pháp
kiểm soát để giảm thiểu nguy cơ bị tấn công từ các
mối đe dọa vật lý.
• Chiến lược phòng thủ sâu: tạo nhiều lớp phòng thủ,
bao gồm các lớp bảo vệ cho địa điểm của cơ sở,
đường vào khuôn viên của địa điểm và nhiều lớp
kiểm soát truy cập vật lý cần thiết để truy cập thông
tin.
39
13
39
Kiểm soát an toàn vật lý (Physical Security Controls)
• Một số thủ tục kiểm soát chính:
 Tường, hàng rào và cổng
 Bảo vệ
 Sử dụng chó nghiệp vụ
 Thẻ định danh và phù hiệu
 Ổ khóa và chìa khóa
 Bẫy (mantrap)
 Giám sát điện tử
 Báo động và hệ thống báo động
 Phòng máy tính và tủ điện
 Tường và cửa nội bộ
40
40
Nội dung
connections
control
10 March 2021 41
41
5. Sự đánh chặn dữ liệu (Interception of Data)

• Có ba phương pháp đánh chặn dữ liệu: quan sát trực tiếp, đánh
chặn việc truyền dữ liệu và đánh chặn điện từ.
Quan sát trực tiếp (direct Đánh chặn truyền dữ liệu Đánh chặn điện từ
observation) (interception of data (electromagnetic
transmissions) interception)
Thông tin sẽ dễ bị quan sát Kẻ tấn công truy cập Có thể nghe trộm những
ở những nơi không kiểm phương tiện truyền dữ tín hiệu điện từ -
soát tốt. liệu. electromagnetic signals
Đối thủ cạnh tranh có thể dễ Sử dụng PM do thám để (EM), do đó xác định dữ
dàng đánh chặn (intercept) thu thập dữ liệu. liệu được truyền trên cáp
thông tin quan trọng tại nhà Truy cập vào mạng LAN mà không cần thực sự khai
của một nhân viên hơn là tại Solution: thác chúng.
một văn phòng an toàn. - Kiểm tra vật lý định kỳ Gần đây, các nhà khoa học
Solution: tất cả các cổng dữ liệu đã xác định rằng một số
- xóa thông tin nhạy cảm để đảm bảo rằng không thiết bị có màn hình light-
khỏi văn phòng hoặc xảy ra các thao tác trái emitting diode (LED) thực
được yêu cầu thực hiện phép. sự phát ra thông tin được
an ninh chặt chẽ tại nhà. - Sử dụng cáp quang mã hóa dưới dạng ánh
- Thực hiện các cơ chế an chống nghe lén. sáng xung trong các đèn
toàn vật lý. - Mã hóa thông tin. LED này.
42
14
42
5. Sự đánh chặn dữ liệu (Interception of Data)
• Phương pháp thứ hai, đánh chặn việc truyền dữ liệu, trở
nên dễ dàng hơn trong thời đại Internet. Nếu kẻ tấn công có
thể truy cập phương tiện truyền dữ liệu, chúng không cần
phải ở bất kỳ đâu gần nguồn thông tin. Trong một số trường
hợp, kẻ tấn công có thể sử dụng phần mềm thám thính để
thu thập dữ liệu.
• Các phương tiện đánh chặn khác, như: các quản trị viên
mạng phải tiến hành kiểm tra vật lý định kỳ tất cả các cổng
dữ liệu để đảm bảo rằng không xảy ra các thao tác trái phép.
43
43
Nội dung
connections
control
6. An toàn hệ thống di động - Securing Mobile
and Portable Systems  An toàn máy tính từ xa
10 March 2021 44
44
6. An toàn hệ thống di động

(Securing Mobile and Portable Systems)
Hầu hết các hệ thống máy tính di động gồm máy tính
xách tay, máy tính bảng và điện thoại thông minh,
chứa thông tin kết hợp có giá trị được lưu trữ bên
trong và một số được định cấu hình để tạo điều kiện
cho người dùng truy cập vào các cơ sở máy tính an
toàn của tổ chức.
• Ưu điểm và hạn chế của thiết bị di động trong ghi
nhớ tên người dùng và mật khẩu?
 Nhược điểm của các thiết bị di động?
45
15
45
An toàn máy tính từ xa
(Remote Computing Security)
Telecommuting (làm việc từ xa): Một sự sắp xếp công việc
trong đó nhân viên làm việc từ một vị trí bên ngoài và kết
nối điện tử với thiết bị của tổ chức.
Máy tính điều khiển từ xa (remote site computing), ngày
càng trở nên phổ biến, liên quan đến nhiều loại máy tính
bên ngoài cơ sở chính của tổ chức, bao gồm tất cả các hình
thức kết nối làm việc từ xa.
Virtual organization (tổ chức ảo): Một nhóm người đến từ
các tổ chức, bộ phận hoặc các phòng ban khác nhau.
Ưu điểm và hạn chế của làm việc từ xa?
46
46
An toàn máy tính từ xa

(Remote Computing Security)
• Để đảm bảo quy trình an toàn, các máy tính mà
nhân viên làm việc từ xa sử dụng phải được bảo mật
hơn hệ thống của tổ chức,
• Nhân viên làm việc từ xa phải sử dụng một thiết bị
bảo mật với hệ điều hành được cấu hình để yêu cầu
xác thực mật khẩu.
• Họ phải lưu trữ tất cả dữ liệu trong tủ hồ sơ có khóa
và phương tiện trong khóa két sắt. Họ phải xử lý dữ
liệu ở nhà cẩn thận hơn so với ở văn phòng (vì mức
độ bảo mật chung cho các ngôi nhà thấp hơn so với
một tòa nhà thương mại).
47
47
Nội dung
connections
control
10 March 2021 48
16
48
7. Những cân nhắc đặc biệt về an toàn vật lý
(Special Considerations for Physical Security)
• Một xem xét an toàn vật lý khác là tấn công phi kỹ

thuật (social engineering). Tấn công phi kỹ thuật liên
quan đến việc sử dụng các kỹ năng của con người
để lấy thông tin bí mật từ nhân viên.
 Hầu hết các kẻ tấn công phi kỹ thuật thích sử
dụng điện thoại hoặc máy tính để thu thập thông
tin.
 Một số cố gắng truy cập thông tin trực tiếp hơn.
49
49
Nội dung
connections
control
10 March 2021 50
50
Bài tập
1. Sử dụng Web, tìm kiếm “phần mềm tường lửa”. Kiểm tra
và so sánh chức năng, chi phí, tính năng và loại bảo vệ của
tường lửa. Xếp hạng theo đánh giá về các tính năng và
thông số kỹ thuật của từng gói phần mềm từng lửa.
2. Sử dụng Internet, xác định những ứng dụng có sẵn trên
thị trường để cho phép truy cập từ xa an toàn vào PC.
3. What are the advantages and disadvantages of the three
types of authentication credentials (something you know,
something you have, and something you are).
4. Bài 8.7 trong sách AISe
5. Bài tập chương 9 sách AISe
51
17
51
Bài tập
6. Giả sử bạn đã chuyển đổi diện tích văn phòng chung
thành phòng máy chủ. Mô tả các yếu tố bạn sẽ xem xét cho
từng thành phần sau:
a. Tường và cửa
b. Kiểm soát truy cập
c. Báo cháy
d. Chữa cháy
e. Hệ thống sưởi ấm, thông gió và điều hòa nhiệt độ
f. Chất lượng và sự phân phối điện
7. Giả sử bạn đã được yêu cầu xem xét nhu cầu điện năng
của một hệ thống máy tính độc lập xử lý dữ liệu quan
trọng. Mặc dù không phải lúc nào hệ thống cũng phải trực
tuyến, nhưng nó lưu trữ những dữ liệu quý giá có thể bị
hỏng nếu hệ thống điện bị ngắt đột ngột. Các tính năng
UPS nào quan trọng nhất đối với một hệ thống như vậy?
52
52
18

Handout AISe C5

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Handout AISe C5

Uploaded by

Copyright:

Available Formats

Học phần

An toàn thông tin kế toán

Chương 5: Kiểm soát an toàn

TS. Phan Thị Bảo Quyên

Mục tiêu chương

1. Kiểm soát truy cập - Access control

1.2. Sinh trắc học (Biometrics)

1.3. Các mô hình kiến trúc kiểm soát truy cập

1. Kiểm soát truy cập (Access Control)

Các loại kiểm soát truy cập

Kiểm soát truy cập không tùy ý

Kiểm soát truy cập không tùy ý

Các loại kiểm soát truy cập

1.1 Cơ chế kiểm soát truy cập (Access

Nhận dạng (Identification) Tôi là người dùng hệ thống

Xác thực (Authentication) Tôi có thể chứng minh tôi là người

Đây là những gì tôi có thể làm với

Bạn có thể theo dõi và giám sát việc

1.1 Cơ chế kiểm soát truy cập

1.1 Cơ chế kiểm soát truy cập

1.1 Cơ chế kiểm soát truy cập

• Chứng nhận phân quyền (Authorization credentials) –

 Phân quyền cho nhiều hệ thống  Hệ thống xác thực và phân

1.1 Cơ chế kiểm soát truy cập

1.2. Sinh trắc học (Biometrics)

• Phải cân bằng giữa khả năng chấp nhận của hệ

1.3. Mô hình kiến trúc kiểm soát truy cập (Access

• Những mô hình này minh họa sự triển khai kiểm

1.3. Mô hình kiến trúc kiểm soát truy cập

2. Tường lửa (Firewalls)

Tường lửa theo chế độ xử lý

3. Bảo vệ kết nối từ xa

3. Bảo vệ kết nối từ xa - Mạng riêng ảo

4. Kiểm soát truy cập vật lý

• Một số công nghệ được sử dụng để kiểm soát truy

4. Kiểm soát truy cập vật lý

4. Kiểm soát truy cập vật lý

5. Sự đánh chặn dữ liệu (Interception of Data)

6. An toàn hệ thống di động

An toàn máy tính từ xa

• Một xem xét an toàn vật lý khác là tấn công phi kỹ

You might also like